MANUAL DE ADMINISTRACIÓN DE LA GESTION DE RIESGO OPERATIVO

Transcripción

1 BANCO NACIONAL DE DESARROLLO AGRÍCOLA La Esperanza del Campo MANUAL DE ADMINISTRACIÓN DE LA GESTION DE RIESGO OPERATIVO Gerencia de Riesgos Noviembre, 2012

2 Contenido CAPÍTULO I GENERALIDADES Alcance Aprobación y Actualización del Manual Objetivo del Manual Objetivos generales Objetivos específicos: Fundamento legal Administración del Riesgo Operacional... 8 CAPÍTULO II DEFINICIONES Y POLÍTICAS SOBRE RIESGO OPERATIVO Definiciones Normatividad y Observancia Políticas sobre riesgo operativo Política General de Riesgo Operativo Políticas Específicas: Divulgación de la Información, Transitoriedad y Vigencia CAPÍTULO III FUNCIONES Y RESPONSABILIDADES PARA LA GESTION DEL RIESGO OPERATIVO Principales actores y responsabilidades en línea en la Gestión de Riesgo Operativo Responsabilidades y funciones de la Junta Directiva Funciones: Responsabilidades y funciones de la Presidencia Ejecutiva Funciones: Funciones del Comité de Riesgos Funciones de la Unidad de Riesgo Operativo Funciones de la Unidad de Auditoría Interna Funciones de las áreas operativas y demás áreas del Banco Funciones de los gerentes y jefes de área Funciones de los demás empleados del Banco CAPÍTULO IV GESTION DE RIESGO OPERATIVO Metodología en la gestión de riesgo operativo en BANADESA Factores de Riesgo Operativo Clasificación de eventos de riesgo operativo de primer nivel

3 Proceso de la Gestión del Riesgo Operativo Identificación de eventos de riesgos por procesos Procesos Identificación, evaluación y calificación de los eventos de Riesgo Operativo Identificación Análisis y evaluación Valoración Control y planes de tratamiento Efectividad de los controles Clasificación de los niveles de exposición al riesgo residual Nivel de tolerancia al riesgo Tratamiento Declaración de aplicabilidad Monitoreo Autoevaluación Monitoreo al perfil de riesgos y a las exposiciones a pérdidas Medición y seguimiento a indicadores claves de riesgos Indicadores de riesgo operativo Indicadores de gestión CAPÍTULO V OTRAS DISPOSICIONES SOBRE LA GESTIÓN DE RIESGO OPERATIVO Niveles de aceptación de riesgo operativo Nuevos procesos, productos y servicios Informe y periodicidad de la Unidad de Riesgo Operativo CAPÍTULO VI CAPACITACIÓN Y CULTURA DE RIESGOS Capacitación Cultura de Riesgos Transparencia CAPÍTULO VII ADMINISTRACIÓN DE LA BASE DE DATOS DE EVENTOS DE PÉRDIDA DE RIESGO OPERATIVO Registro de eventos de pérdida por riesgo operativo Objetivos Políticas sobre registros de eventos de pérdida

4 Metodología Procedimiento Características de los eventos de riesgo operativo por líneas de negocio afectadas Características de los eventos de riesgo operativo según los tipos de efectos producidos Base de datos de eventos de pérdida Criterios de validación Criterios de modificación Base de datos paralela Respaldo por pérdidas potenciales CAPÍTULO VIII PLAN DE CONTINUIDAD DE NEGOCIO Y SEGURIDAD DE LA INFORMACIÓN Plan de continuidad de negocio Seguridad de la información CAPÍTULO IX REPORTES INTERNOS Y EXTERNOS Reportes internos y externos CAPÍTULO X APROBACION Y VIGENCIA

5 INTRODUCCIÓN Este manual define los componentes de la estructura para la gestión del Riesgo Operativo de BANADESA, de acuerdo con lo dispuesto en la Circular SB No. 1321/ de la Comisión Nacional de Bancos y Seguros NORMA DE GESTIÓN DE RIESGO OPERATIVO. Los elementos para la gestión del Riesgo Operativo son: las políticas, objetivos, estructura organizacional, estrategias, procesos, procedimientos y capacitación, que serán aplicados dentro del proceso de implementación y seguimiento de la gestión del Riesgo Operativo dentro de BANADESA, con base en lo establecido por la CNBS. 5

6 CAPÍTULO I GENERALIDADES 1.1. Alcance Este manual suministra una orientación detallada sobre la forma como las áreas del Banco deben proceder para identificar, medir, monitorear y controlar el Riesgo Operativo. Aplica para todos los empleados de BANADESA, establece y unifica las responsabilidades específicas del Comité de Riesgos, en lo concerniente a las funciones establecidas para la gestión del Riesgo Operativo. Es responsabilidad de los Gerentes cuyas áreas y actividades se encuentren directa o indirectamente involucradas en la generación y administración de riesgos, hacer del conocimiento de las unidades a su cargo el presente manual, así como el análisis del mismo. La Gerencia de Riesgos coadyuvará con todas las áreas que así lo soliciten, en la difusión y el análisis del presente documento con el fin de promover, actualizar y mejorar las políticas para la administración de riesgos en el Banco Aprobación y Actualización del Manual El presente documento será aprobado por la Junta Directiva de BANADESA. El Comité de Riesgos debe velar por que el mismo se actualice por lo menos anualmente Objetivo del Manual El presente manual tendrá por objetivos los siguientes: Objetivos generales a) El presente manual tiene por objeto definir las diferentes políticas y procedimientos que utilizará BANADESA, para Identificar, evaluar, cuantificar, controlar y monitorear, de una manera eficiente el Riesgo Operativo (RO), a que se ve expuesto en desarrollo de las diferentes actividades comprendidas, en cumplimiento de los objetivos estratégicos establecidos por la Institución. 6

7 b) Facilitar el trabajo de la Junta Directiva, el Comité de Riesgos, Gerencia de Riesgos, los Gerentes de Área y demás personal del Banco para identificar la exposición general de BANADESA al Riesgo Operativo. c) Definir y comunicar a toda la organización las categorías de Riesgo Operativo aplicables para el banco. d) Establecer las políticas, procedimientos y procesos de identificación, evaluación, monitoreo y control de los riesgos operativos aprobados por la Junta Directiva. e) Garantizar que los Gerentes de Áreas, jefes de Departamento y demás personal del Banco conjuntamente con la Unidad de Riesgo Operativo realicen el análisis de los procesos principales e identifiquen sus riesgos asociados. f) Establecer los métodos para registrar los eventos de riesgo operativo, así como las pérdidas que pudieren presentarse. g) Capacitar a los funcionarios y empleados en cada una de las etapas de la gestión de riesgo operativo. h) Asegurar que cualquier evento de riesgo sea registrado en las bases de datos que se diseñen para tal fin. i) Velar porque el riesgo sea controlado y minimizado permanentemente. j) Asegurar la actualización y verificación de la gestión de acuerdo con las mejoras metodológicas y/o nuevos productos o servicios que se llegaren a prestar así como la permanente divulgación y capacitación Objetivos específicos: a) Identificar los eventos de pérdida internos y externos originados en los procesos, y que afectan negativamente la eficiencia en el desarrollo de las actividades normales de la Institución. b) Establecer metodologías necesarias, que permitan determinar eficientemente, el impacto y severidad, en la ocurrencia de eventos que afecten negativamente las actividades normales de la Institución. c) Establecer la eficiencia en los controles y determinar el riesgo inherente y riesgo residual de la Institución. d) Ajustar e Implementar controles que permitan identificar oportunamente la ocurrencia de eventos que afecten negativamente las actividades normales de la Institución. e) Mitigar su efecto negativo en el Balance y Estado de Resultados. 7

8 f) Establecer planes de acción necesarios que permitan asegurar la realización de las operaciones, cuando se presenten eventos que afecten la realización normal del objetivo de la Institución. g) Establecer el plan de continuidad de negocio que permita realizar las operaciones de la Institución, cuando se presentan eventos adversos y determinar la capacidad de retorno a la normalidad. h) Que los funcionarios conozcan e identifiquen eventos de pérdida, y los informen a la unidad de riesgo operativo (URO), para proceder a establecer los controles necesarios para la mitigación del evento Fundamento legal Este manual ha sido establecido con base en: (i) Ley del Sistema Financiero, (ii) Ley de la CNBS y del Banco Central de Honduras (BCH), (iii) Normas prudenciales y reglamentos emitidas por la CNBS y el BCH (iv) Ley de BANADESA y (v) normativas internas de BANADESA. Asimismo, el presente manual y sus directrices en el contenido, toman como premisa las pautas y normas emitidas por la CNBS. La presentación del mismo y los cambios en las normas internas estarán a cargo el Comité de Riesgos instituido por la Junta Directiva de BANADESA Administración del Riesgo Operacional El Riesgo Operacional se define como la posibilidad de incurrir en pérdidas derivadas por deficiencias, fallas o inadecuación en el recurso humano, los procesos, la tecnología, la infraestructura, ya sea por causa endógena o por la ocurrencia de acontecimientos externos. La exposición a este riesgo puede resultar de una deficiencia o ruptura en los controles internos o procesos de control, fallas tecnológicas, errores humanos o deshonestidad, prácticas inseguras y catástrofes naturales, entre otras causas. El riesgo operativo comprende, entre otros: El Riesgo Legal: La posibilidad de incurrir en pérdidas derivadas del incumplimiento de normas legales, errores u omisiones en la contratación, de la inobservancia de disposiciones reglamentarias, de códigos de conducta o normas éticas. Asimismo, el riesgo legal puede derivarse de situaciones de orden jurídico que afecten la titularidad o disponibilidad de los activos, en detrimento de su valor. Esto incluye las normas para la prevención y detección del uso indebido de los servicios y productos financieros en el lavado de activos. El Riesgo Tecnológico: La pérdida potencial por daños, interrupción, alteración o fallas derivadas del uso o dependencia en el hardware, software, sistemas, aplicaciones, redes y cualquier otro canal de distribución de información en la prestación de servicios bancarios con los clientes de la institución; 8

9 El Riesgo Estratégico: Es la posibilidad de perdida como consecuencia de la imposibilidad de implementar apropiadamente los planes de negocio, las estrategias, las decisiones de mercado, la asignación de recursos y su incapacidad para adaptarse a los cambios en el entorno de los negocios. Asimismo, abarca el riesgo que emerge de la pérdida de participación en el mercado y/o disminuciones en los ingresos que puedan afectar la situación financiera de la institución; El Riesgo Reputacional: Es la posibilidad de que se produzca una pérdida debido a la formación de una opinión pública negativa sobre los servicios prestados por el Banco (fundada o infundada), que fomente la creación de mala imagen o posicionamiento negativo ante los clientes, que conlleve a una disminución del volumen de clientes, a la caída de ingresos y depósitos entre otros. Una mala gestión de los demás riesgos inherentes a la institución inciden en el riesgo Reputacional, como por ejemplo, fallas en la prestación del servicio, noticias adversas derivadas de acciones de mercado o sanciones impuestas por la autoridad, debilidades financieras que minen la confianza de clientes o acreedores. El Riesgo de Lavado de Dinero y Financiamiento al Terrorismo: La pérdida potencial por permitir, consciente o inconscientemente, la integración de ingresos o activos provenientes de actividades ilícitas o carentes de fundamento económico o soporte legal a la operaciones que el Banco lleva a cabo. CAPÍTULO II DEFINICIONES Y POLÍTICAS SOBRE RIESGO OPERATIVO 2.1. Definiciones A efectos del presente manual se entiende por: Riesgo Operativo (RO) La posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones de los siguientes aspectos o factores de riesgos: - Recurso Humano, Procesos, Tecnología Infraestructura y Eventos Externos. Esta definición incluye el Riesgo Legal y Riesgo Reputacional. Este calificado dentro de la categoría de riesgos críticos y de alto impacto, por lo que requiere ser permanentemente identificado, evaluado, monitoreado y mitigado. Afecta a toda la organización, su evaluación es considerablemente más cualitativa y subjetiva que la evaluación de los riesgos de mercado y crédito. Administrar el riesgo operativo difiere del manejo del riesgo de mercado o de crédito porque el riesgo operativo afecta a cada actividad y proceso en el banco, la responsabilidad de su administración no se puede centralizar completamente; todas las áreas del banco son responsables de su identificación y control. Basilea II solicita a los bancos la implementación de un marco de trabajo que permita administrar todos los riesgos existentes en el entorno del negocio y exige contemplar el Riesgo Operativo. 9

10 Riesgo: Es la posibilidad de que un evento ocurra y afecte en forma adversa el cumplimiento de los objetivos. Perfil de Riesgo: Resultado del consolidado de la medición de los riesgos a que se ve expuesta la Institución, teniendo como pilar el cálculo de riesgo inherente y el Riesgo Residual. Riesgo Reputacional: La posibilidad de perdidas, a que se ve expuesta la Institución por desprestigio, mala imagen, publicidad negativa, que ocasionan perdidas de clientes, disminución de ingresos y procesos judiciales. Riesgo Inherente: Nivel de riesgo a la que la Institución se ve expuesta en la ejecución de sus procesos, para el cumplimiento de sus objetivos sin tener en cuenta los controles. Riesgo Residual: Nivel de riesgo a la que la Institución se ve expuesta en la ejecución de sus procesos, para el cumplimiento de sus objetivos teniendo en cuenta los controles asociados a las actividades para mitigar los riesgos. Riesgo Legal: Posibilidad de pérdida, por ser sancionada, u obligada a indemnizar a terceros o empleados por daños, ocasionados en el incumplimiento de las normas, regulaciones y/o obligaciones contractuales. Gestión de riesgo operativo: El proceso de gestión de riesgo operativo comprende las etapas de identificación, evaluación, mitigación y monitoreo de los eventos de riesgo operativo. A ello debe añadirse un mecanismo de comunicación y retro alimentación; y en caso que se determine un nivel significativo de pérdidas potenciales también añadir un respaldo patrimonial. Evento de riesgo operativo: Es un suceso o serie de sucesos, de origen interno o externo, que pueden derivarse en pérdidas financieras para la institución. Evento de pérdida: Acontecimiento, situación o incidente que generan pérdidas para la Institución. Recurso Humano: Conjunto de personal vinculado directa o indirectamente con la ejecución de los procesos de la Institución. Proceso: Conjunto de acciones relacionadas y repetitivas que interactúan para transformar estas actividades en un producto final que tiene valor para un usuario y/o cliente. Tecnología: Es el conjunto de herramientas de hardware, software y comunicaciones, que soportan los procesos de la entidad. Infraestructura: Conjunto de elementos de apoyo para la realización de las actividades de la Entidad. Indicadores de riesgo: Alarmas tempranas en los sistemas, procesos, productos, gente y el ambiente externo. 10

11 Unidad de Riesgo Operativo: (URO) El área o persona designada por el Gerente de Riesgos, para implementar, verificar, evaluar, controlar y promover los aspectos del Sistema de Administración de Riesgo Operativo (SARO) y administrar su adecuado funcionamiento. Manual de Riesgo Operativo. Es el documento que contiene las políticas, objetivos, estructura organizacional, estrategias, metodología y los procesos y procedimientos aplicables a la identificación, evaluación, mitigación, monitoreo y comunicación en la implementación de la gestión de riesgo operativo. Pérdidas: Cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los gastos derivados de su atención. Plan de Contingencia: Conjunto de acciones y recursos determinados por la Institución, para responder a fallas o interrupciones especificas de un sistema o proceso. Plan de Continuidad del Negocio: Conjunto de acciones que describen los procedimientos, encaminados para lograr continuar con las operaciones de la compañía, en caso de interrupción, y su retorno a la normalidad. Prácticas Impropias o Inapropiadas: Conjunto de actividades realizadas por los funcionarios en cumplimiento de los objetivos de la Institución, pero que son contrarias de las políticas y buenas prácticas adoptadas por la Entidad. Factor de Riesgo: Las fuentes generadoras de eventos, que originan pérdidas en el cumplimiento de los objetivos de la Institución. Control: Proceso realizado por la Junta Directiva, administradores y otro personal de la entidad, para proporcionar seguridad razonable en el cumplimiento de los objetivos. Alta Gerencia: Es el Presidente Ejecutivo, Director Ejecutivo, Gerente General o su equivalente, responsable de ejecutar las disposiciones del Directorio u organismo que haga sus veces. CNBS: Comisión Nacional de Bancos y Seguros Normatividad y Observancia Todas las normas y procedimientos contenidos en el presente manual, están revisadas y aprobadas por la Junta Directiva de BANADESA, así como por el Comité de Riesgos y la Gerencia de Riesgos. Lo anterior, sin contraponer en ningún sentido toda norma emitida por las autoridades supervisoras y reguladoras del país. 11

12 2.3. Políticas sobre riesgo operativo Para el cumplimiento de los objetivos generales y específicos, establecidos en el punto y 1.3.2, de este manual, la Junta Directiva determina crear las siguientes Directrices y Políticas: Política General de Riesgo Operativo BANADESA en el desarrollo de sus actividades y en cumplimiento de su misión, está expuesto a riesgos operacionales que pueden impactar negativamente el logro de sus objetivos, perjudicar sus resultados organizacionales, disminuir la calidad en la prestación de servicios y afectar las relaciones con sus partes interesadas. Por lo tanto se compromete a gestionar de manera integral tales riesgos. A través de la identificación, evaluación y tratamiento de los mismos, llevándolos a niveles aceptables de severidad, mediante la implementación del Sistema de Gestión de Riesgo Operativo, enmarcado en el Sistema de Integración de Riesgos del Banco Políticas Específicas: Son los lineamientos o normas que deben aplicarse a cada una de las etapas y elementos del Sistema de Gestión de Riesgo Operativo para permitir el funcionamiento eficiente, efectivo y oportuno de este. 1. El Comité de Riesgos debe apegarse por el fortalecimiento de una cultura de gestión de los riesgos operativos en el ámbito institucional, para crear conciencia colectiva sobre los beneficios de su aplicación y de los efectos nocivos de su desconocimiento. 2. El manejo del riesgo operativo es responsabilidad del personal a todos los niveles de la organización. 3. Los procesos, actividades y tareas derivados de los macro-procesos deben ser sometidos permanentemente al análisis de riesgos y las propuestas de modificaciones deben incluir este componente, con base en la aplicación de la metodología adoptada para el efecto. 4. Todas las políticas, procedimientos, normas y estrategias sobre el riesgo operativo deben ser revisadas y actualizadas anualmente, incluyendo una completa revisión de la efectividad de las actividades de identificación, evaluación, monitoreo y control del riesgo, al igual que revisar los apetitos, limites de exposición e indicadores establecidos para el control del riesgo operativo. 5. Deben existir funciones y responsabilidades claramente definidas por cada uno de los participantes claves de riesgo operativo y al mismo tiempo ser conocidas por toda la Institución. 6. Para realizar el proceso de Gestión de riesgo operativo, la Gerencia de Riesgos debe establecer las prioridades para abordar las diferentes áreas y procesos a ser evaluados 12

13 teniendo en cuenta el conocimiento de estos, su criticidad y eventos de pérdida o posibles pérdidas presentadas. 7. Para el proceso de identificación de los riesgos operativos, se debe utilizar el lenguaje común del riesgo operativo adoptado por el Banco el cual se encuentra en el anexo F.1.12 (Cuadro de clasificación de eventos) y anexo F.8.12 (Flujo grama para la identificación de eventos de riesgo operativo). 8. Todo riesgo identificado debe tener asignado un propietario del riesgo. 9. Debe existir un registro de todos los riesgos identificados, así como sus propietarios, calificaciones y planes de mitigación. 10. A los talleres de identificación de riesgos deben asistir funcionarios que participen en las actividades diarias de los procesos a ser evaluados, para garantizar la mayor efectividad en la identificación de los riesgos. 11. La Junta Directiva debe aprobar la estrategia del riesgo operativo, la política, los procedimientos para la identificación, evaluación, y mitigación así como las responsabilidades de cada uno de los integrantes dentro del marco de trabajo. 12. La Auditoría Interna debe realizar revisiones periódicas para identificar cualquier incumplimiento de la estrategia, la política, los procedimientos para la identificación, evaluación y mitigación del riesgo operativo aprobados por la Junta Directiva. 13. Los eventos de riesgo que se materialicen, deben ser reportados y revelados, utilizando los procedimientos e instrumentos establecidos para el efecto, en aplicación de los criterios señalados por la CNBS. El incumplimiento de esta política dará lugar a las sanciones pertinentes del caso. 14. La Gerencia de Riesgos desarrollará e implementará planes de contingencia para asegurar la continuidad de los procesos. Dichos planes deberán probarse periódicamente, para asegurar su funcionalidad en caso de eventualidades. 15. Todo riesgo con nivel residual superior al riesgo tolerado debe ser tratado. 16. Para aquellos procesos asociados a riesgos residuales Muy Altos, se deben determinar indicadores de riesgo Divulgación de la Información, Transitoriedad y Vigencia La Institución deberá revelar al público depositante, inversionista y acreedores, conforme la normativa en la materia, la información relativa a las políticas, metodologías, niveles de riesgo asumido y demás medidas relevantes adoptadas para la administración de cada tipo de riesgo. 13

14 Para cumplir con la Administración Integral de Riesgos, la Institución cuenta con una herramienta denominada Reporte de Riesgos Global y Reportes de Riesgo Operativo, que contiene todos los elementos que se detallarán posteriormente. Asimismo, la Gerencia de Riesgos estará facultada para desarrollar toda clase de reportes que faciliten la concientización al interior del Banco de los riesgos a los que se está expuesto, y que a su vez faciliten el desempeño y la toma de decisiones de las distintas Gerencias que velan por el buen desempeño de la Institución. CAPÍTULO III FUNCIONES Y RESPONSABILIDADES PARA LA GESTION DEL RIESGO OPERATIVO 3.1. Estructura Organizativa del BANADESA que sustenta la Administración del Riesgo Operativo La estructura con la que cuenta BANADESA para la aprobación, seguimiento y control de las políticas, objetivos, normas y procedimientos sobre Riesgo Operativo es la siguiente: Junta Directiva: La Junta Directiva es el organismo que toma las decisiones generales en materia de riesgos, siempre atendiendo las restricciones que le impone la regulación, o si es el caso, aquellas que bajo esos parámetros se ajustan a su grado de aversión. Presidencia Ejecutiva: El presidente apoya sus decisiones de Riesgo, a través del Comité de Riesgos. Comité de Auditoría: El Comité de Auditoría Interna del Banco, tiene como propósito contribuir al cumplimiento de los objetivos organizacionales mediante el desarrollo de métodos y procedimientos que buscan evaluar la efectividad de los procesos de riesgo integral, control interno y gobierno corporativo. Comité de Riesgos: En cumplimiento de la Normativa de Gobierno Corporativo se establece un Comité de Riesgos, el cual se ajusta a todos los requerimientos establecidos; el cual tiene como función monitorear los Riesgos de Crédito, Operacional, Liquidez, Tecnológico y determinar planes de mitigación de manera oportuna. Gerencia de Riesgos: Vigilar que la administración de riesgos sea integral y considere los riesgos en los que incurre el Banco en sus distintas líneas de negocio y operaciones. Unidad de Riesgo de Crédito: Proponer las metodologías para identificar, medir, controlar y monitorear los riesgos de crédito a los que se encuentra expuesta o inherentes a la entidad, y aplicarlas luego de ser aprobadas por el Comité de Riesgos y Junta Directiva. Unidad de Riesgo de Mercado y Liquidez: Proponer las metodologías para identificar, medir, controlar y monitorear los riesgos de mercado y liquidez a los que se encuentra expuesta o inherentes a la entidad, y aplicarlas luego de ser aprobadas por el Comité de Riesgos y Junta Directiva. 14

15 Unidad de Riesgo Operacional: El objetivo principal de la Unidad de Riesgo Operacional es velar por la implementación de una cultura de riesgos en BANADESA; encaminada hacia el Autocontrol, valiéndose de las metodologías existentes para la identificación, medición, monitoreo y control del Riesgo Operacional, dando cumplimiento a la legislación y Normatividad reglamentaria vigente. La Unidad de Riesgo Operativo depende y reporta directamente a la Gerencia de Riesgos y en vista que todas las áreas de la institución generan eventos potenciales de riesgo operativo, mantendrá con todas las áreas una relación de asesoramiento y apoyo en la administración de los riesgos. Unidad de Riesgo de Tecnología de la Información: Proponer las metodologías para identificar, medir, controlar y monitorear los riesgos de tecnología de la información a los que se encuentra expuesta BANADESA, y aplicarlas luego de ser aprobadas por el Comité de Riesgos y Junta Directiva Principales actores y responsabilidades en línea en la Gestión de Riesgo Operativo En el siguiente esquema se muestran algunas responsabilidades que recaen en los principales actores en la gestión de riesgo operativo de cada área del Banco: 1. Unidades de negocio y apoyo como principales responsables de la gestión del riesgo operacional. 2. Gerencia de Riesgos que ejerce la función de Monitoreo de las auto evaluaciones, análisis de indicadores, control de los planes y reportería necesaria. 3. Auditoría Interna es el verificador del cumplimiento de las normas y políticas de gestión de riesgos informando las actividades a la Junta Directiva, mediante el Comité de Auditoría. 15

16 4. Comité de Riesgos propone y define las políticas y reportes en las que se basan las actividades diarias. 5. Junta Directiva aprueba las políticas propuestas por el Comité de Riesgos y los recursos necesarios para desarrollar esta labor Responsabilidades y funciones de la Junta Directiva La Junta Directiva es la responsable de asegurar un ambiente adecuado para la gestión de riesgo operativo; así como, de propiciar un ambiente interno que facilite su desarrollo, entre sus responsabilidades específicas están: 1. Aprobar la política de gestión de riesgo operativo y sus actualizaciones. 2. Aprobar los recursos necesarios para el adecuado desarrollo de la gestión de riesgo operativo, a fin de contar con la infraestructura, metodología y personal apropiado. 3. Seleccionar y nombrar al Comité de Riesgos y asegurarse que este desarrolle una labor de riesgo operativo con personal idóneo y capacidad técnica. 4. Requerir a la Presidencia para su evaluación, reportes periódicos sobre los niveles de exposición al riesgo operativo, sus implicaciones y las actividades relevantes para su mitigación y/o adecuada administración. 5. Conocer los principales riesgos operativos asumidos por la institución, y tratar de definir el límite de tolerancia al riesgo. 16

17 6. Asegurarse que la institución cuenta con una efectiva gestión de riesgo operativo y que la misma se encuentra dentro de los límites establecidos. Funciones: Sin perjuicio de las funciones asignadas en los Estatutos y el Manual de Organización y Funciones, se establecen las siguientes en cuanto a Riesgo Operativo: 1. Establecer las medidas relativas al perfil de riesgo operativo, teniendo en cuenta el nivel de tolerancia al riesgo del Banco, fijado por la misma Junta Directiva. 2. Hacer seguimiento y pronunciarse sobre el perfil de riesgo operativo del Banco. 3. Aprobar el Manual de Riesgo Operativo y sus actualizaciones. 4. Pronunciarse respecto a cada uno de los puntos que contengan los informes periódicos que presente el Presidente Ejecutivo. 5. Pronunciarse sobre la evaluación periódica del sistema de gestión del riesgo operativo que realice la Auditoría Interna y Auditoría Externa, así como la Comisión Nacional de Bancos y Seguros Responsabilidades y funciones de la Presidencia Ejecutiva Es responsable de implementar la gestión de riesgos operativos conforme a las disposiciones de Junta Directiva, su responsabilidad incluye: 1. Crear y fomentar una cultura organizacional de gestión del riesgo operativo y de la implantación de prácticas adecuadas de controles internos, incluyendo estándares de conducta, integridad y ética para todos los empleados. 2. Administrar el proceso de riesgo operativo y asegurar su integridad de acuerdo a los lineamientos establecidos por la Junta Directiva. 3. Proporcionar los recursos necesarios para permitir la implementación de la gestión del riesgo operativo. 4. Asegurar que se cumpla con las estrategias y objetivos de la gestión del riesgo operativo. Funciones: 1. Velar que la Gerencia de Riesgos a través de la Unidad de Riesgo Operativo suministre adecuado cubrimiento a todas las Gerencias y ofrezca el apoyo correspondiente con relación al riesgo operativo. 17

18 2. Asignar responsabilidades a la Unidad de Riesgo Operativo y Gerencias de Áreas para garantizar que las personas a cargo del riesgo operativo reciban entrenamiento adecuado, que les permita desempeñar de manera efectiva sus funciones y responsabilidades. 3. Aprobar y ratificar los procedimientos del riesgo operativo definido y desarrollado por la Gerencia de Riesgos. 4. Asignar responsabilidades a la Unidad de Riesgo Operativo y Gerencias de Área para garantizar que estén vigentes metodologías y procesos sólidos para el manejo de riesgo operativo. 5. Diseñar y someter a aprobación de la Junta Directiva, el Manual de Riesgo Operativo y sus actualizaciones. 6. Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva. 7. Desarrollar y velar porque se implementen las estrategias con el fin de establecer el cambio cultural que la administración de este riesgo implica para el Banco. 8. Adoptar las medidas relativas al perfil de riesgo, teniendo en cuenta el Nivel de tolerancia al riesgo, fijado por la Junta Directiva. 9. Recibir y evaluar los informes presentados por el Comité de Riesgos, de acuerdo con los términos establecidos en el Manual de Riesgo Operativo. 10. Presentar un informe anual, a la Junta Directiva sobre la evolución y aspectos relevantes del Riesgo Operativo, incluyendo, entre otros, las acciones preventivas y correctivas implementadas o por implementar y el área responsable Funciones del Comité de Riesgos El Comité de Riesgos establecido en el Reglamento de Gobierno Corporativo, es el encargado de velar por una sana gestión de los riesgos de la institución, y desempeña como mínimo las funciones siguientes: 1. Solicitar a Junta Directiva los recursos necesarios para poder realizar adecuadamente su labor. 2. Evaluar, revisar y proponer para aprobación de Junta Directiva las políticas de gestión de riesgos operativos. 3. Asegurar que se mantiene un proceso de administración de riesgos operativos adecuado y mantener informado al Directorio sobre su efectividad. 4. Supervisar que los riesgos operativos sean efectiva y consistentemente identificados, evaluados, mitigados y monitoreados. 18

19 5. Proponer los mecanismos para la implementación de las acciones requeridas en caso de que existan desviaciones con respecto al nivel de tolerancia con respecto al riesgo operativo. 6. Apoyar la labor de la Gerencia de Riesgos, en la implementación de la gestión de riesgo operativo. 7. Aprobar el nivel de Apetito de Riesgo Operativo, así como los límites de exposición presentados por la Gerencia de Riesgos. 8. Evaluar el impacto de las medidas de control potenciales para cada uno de los eventos de riesgo identificados y medidos. 9. Establecer y monitorear el perfil de riesgo individual y consolidado del Banco y sus procesos, e informarlo a la Junta Directiva. 10. Realizar el seguimiento permanente de los procedimientos y planes de acción relacionados a la gestión de riesgo operativo y proponer sus correspondientes actualizaciones y modificaciones. 11. Realizar seguimiento a los controles, planes de contingencia y medidas adoptadas para mitigar el riesgo inherente, con el propósito de velar por su cumplimiento y evaluar su efectividad Funciones de la Unidad de Riesgo Operativo 1. Diseñar y someter a aprobación de Junta Directiva, a través del Comité de Riesgos, las políticas para la gestión del Riesgo Operativo. 2. Diseñar y someter a aprobación del Comité de Riesgos la Metodología a implementación para la gestión del Riesgo Operativo. 3. Presentar al directorio a través del Comité de Riesgos la estructura idónea para la gestión del Riesgo Operativo, designando los responsables o coordinadores de las diferentes unidades funcionales para las actividades de administración de Riesgo Operativo. 4. Implementar la metodología de gestión de Riesgo Operativo. 5. Apoyar y asistir a las demás unidades de gestión para la implementación de la metodología del Riesgo Operativo. 6. Elaborar una opinión sobre riesgos de nuevos productos o servicios, previo a su lanzamiento. Así como ante cambios importantes en el ambiente operativo o informático. 7. Reportar oportunamente y de forma completa y detallada las fallas en los diferentes factores de Riesgo Operativo al directorio a través del Comité de Riesgos. 19

20 8. Administrar el registro de eventos de pérdida por Riesgo Operativo 9. Coordinar la recolección de la información para alimentar el registro de eventos de pérdida por riesgo operativo. 10. Evaluar el impacto de las medidas de control potenciales para cada uno de los eventos de riesgo identificados y medidos. 11. Establecer y monitorear el perfil de riesgo individual y consolidado de la Entidad, e informarlo al órgano correspondiente. 12. Realizar el seguimiento permanente de los procedimientos y planes de acción relacionados con la gestión de Riesgo Operativo y proponer sus correspondientes actualizaciones y modificaciones. 13. Promover la cultura de gestión de Riesgo Operativo, desarrollar actividades de difusión, preparar y desarrollar los programas de capacitación del banco relacionados con la gestión del Riesgo Operativo. 14. Desarrollar e implementar el sistema de reportes, internos y externos del riesgo operativo del Banco. 15. Presentar a consideración del Comité de Riesgos en coordinación de la Presidencia Ejecutiva, antes del 30 de noviembre de cada año, un plan de actividades para el año siguiente, que contenga lo estipulado en el artículo 19.- de LA NORMA SOBRE UNIDAD DE GESTIÓN DE RIESGOS. 16. Proponer y coordinar la implementación de alternativas para mitigar y/o controlar los riesgos de operación que puedan afectar el cumplimiento de los objetivos del banco, en coordinación con los dueños del proceso. 17. Atender e implementar las medidas correctivas recomendadas por la auditoría interna y los organismos de control externos. 18. Elaborar y ejecutar los proyectos incluidos en el Plan Operativo Anual, así como los proyectos internos asignados a la Unidad de Riesgo Operativo. 19. Elaborar el mapa de riesgos operativos del Banco y presentarlo al Comité para su aprobación Funciones de la Unidad de Auditoría Interna Debe evaluar el cumplimiento de las políticas, procesos y procedimientos utilizados para la gestión del riesgo operativo, lo que involucra todo lo dispuesto en la normativa vigente. La función de auditoría interna no deberá ser directamente responsable de la gestión del riesgo operativo. 20

21 1. Promover la cultura de gestión de riesgo de operación en su área, identificar las necesidades de capacitación y debilidades comunicándolas a la Gerencia de Riesgos a través de la Unidad de Riesgo Operativo. 2. Mantener una comunicación constante y fluida con el área de riesgos con el fin de informar las debilidades, u opiniones de mejora en cuanto al riesgo operativo se refiere. 3. Asegurarse que la unidad de auditoría entienda y conozca la definición y el lenguaje común del riesgo operativo adoptado por el Banco. 4. monitorear que se lleven a cabo los planes de acción después de haber gestionado los riesgos en cada área del Banco. 5. Evaluar permanentemente el cumplimiento de las políticas, procesos y procedimientos utilizados para la gestión riesgo operativo y lo que involucra todo lo dispuesto en las normativas emitidas por la Comisión Nacional de Bancos y Seguros. 6. Informar los resultados de la anterior evaluación del Comité de Riesgos y al Presidente Ejecutivo. 7. Realizar una revisión periódica del registro de eventos de riesgo operativo e informar al Presidente Ejecutivo sobre el cumplimiento de las condiciones señaladas para el mismo en la normativa. 8. Validar el proceso de asignación de líneas de negocio y los cambios que se efectúan en el transcurso de la implementación al respecto. 9. Informar a la Junta Directiva a través del Comité de Auditoría de cualquier debilidad relevante que haya detectado como consecuencia de los análisis realizados y proponer soluciones alternativas Funciones de las áreas operativas y demás áreas del Banco La gestión de riesgos es una actividad transversal y es una función en la que deben involucrarse todas las áreas y todos los empleados de la institución; por tanto, todas las áreas deben desarrollar al menos las siguientes funciones: 1. Promover la cultura de gestión de riesgo operativo en su área, identificando las necesidades de capacitación y debilidades comunicándolas al área de riesgos. 2. Identificar los eventos de riesgo operativo, a que se ven expuestos los procesos y sub procesos que se ejecutan en las actividades diarias. 3. Mantener una comunicación constante y fluida, con la Gerencia de riesgos con el fin de informar las debilidades, u opiniones de mejora en cuanto al riesgo operativo y demás riesgos involucrados 21

22 4. Asegurarse que su Gerencia, Departamento, Unidad, Agencia o Ventanilla entienda la definición y el lenguaje común del riesgo operativo adoptado por el Banco. 5. Conocer las alertas de riesgo operativo y comunicarlas de manera oportuna a la Gerencia de Riesgos 6. Garantizar que se lleven registros de todos los riesgos identificados y de los propietarios que sean asignados a dichos riesgos. 7. Asegurarse de que todos los empleados de su área asistan a los diferentes talleres y sesiones de identificación de riesgos, sancionando al que por causa injustificada deje de asistir. 8. Definir conjuntamente con la Gerencia de Riesgos, la cantidad de riesgo o "Apetito" que es aceptable actualmente en sus procesos. 9. Conocer la forma como debe obtenerse el apetito de riesgo para cada uno de los procesos. 10. Monitorear que se lleven a cabo los planes de acción después de haber gestionado los riesgos en su área. 11. Informar a la Gerencia de Riesgos sobre cualquier proyecto, producto, servicio que se lance al mercado, para su respectiva evaluación y opinión en materia de riesgo operativo. 12. Conocer el Manual de Riesgo Operativo, las políticas generales y los límites de exposición que deben cumplir. 13. Alertar a la Gerencia de Riesgos sobre desfases o insuficiencias de las políticas o normas existentes 14. Conocer el perfil de riesgo operativo de su área y cumplir con los límites establecidos. 15. Informar oportunamente a la Gerencia de Riesgos cualquier pérdida operativa presentada en su área, para su análisis, aprobación y registro en los sistemas correspondientes 16. Continuamente revisar y cuestionar la calificación de los riesgos del área bajo su responsabilidad, teniendo en cuenta el apetito del riesgo del área Funciones de los gerentes y jefes de área 1. Definir los límites de exposición al Riesgo Operativo de su área, según sea el riesgo al que se somete, así como garantizar el cumplimiento de los mismos. 2. Garantizar que la estrategia de riesgo ratificada por el Presidente sea implementada apropiadamente dentro del área a su cargo. 22

23 3. Garantizar que las funciones, responsabilidades y obligaciones relacionadas con el riesgo Operativo y demás riesgos sean claramente comunicadas y comprendidas por todo el personal a cargo. 4. Informar oportunamente a la Gerencia de Riesgos cualquier cambio en los procesos existentes que puedan afectar la situación de los riesgos identificados. 5. Informar oportunamente a la Gerencia de Riesgo sobre cualquier pérdida operativa o derivada de las actividades propias de cada área. Para su análisis y registro en los sistemas correspondientes. 6. Garantizar que el personal a su cargo reciba adecuado entrenamiento para permitirles desempeñar de manera efectiva sus funciones y responsabilidades relacionadas con la gestión de riesgo operativo y demás riesgos involucrados. 7. Evaluar los riesgos identificados y proponer conjuntamente con la Gerencia de Riesgos las medidas que se deben tomar para la mitigación correspondiente. 8. Informar a la Gerencia de Riesgos sobre cualquier producto o negocio nuevo suscrito por el Banco, para ser evaluado en materia de riesgo operativo. 9. Garantizar que esté disponible el recurso e infraestructura requerida por la gerencia de riesgos, para desarrollar de manera efectiva la metodología y los procesos de riesgo operativo, tales como la identificación, la evaluación, el monitoreo y el control del riesgo. 10. Continuamente revisar y cuestionar la calificación del riesgo operativo del área bajo su responsabilidad, teniendo en cuenta el apetito del riesgo del área. 11. Garantizar que se tomen medidas rápidas, y cuando sea posible de manera anticipada, para tratar el riesgo operativo y las pérdidas que se perciban podrían presentarse Funciones de los demás empleados del Banco 1. Realizar diariamente la identificación, evaluación, monitoreo y control de las actividades relacionadas con la gestión de Riesgo Operativo mediante la metodología designada por la Unidad de Riesgo Operativo. 2. Identificar los nuevos riesgos o los cambios en los actuales riesgos relacionados con las actividades diarias. 3. Identificar cualquier cambio presentado en los controles que impacten las calificaciones de los riesgos y comunicarlos oportunamente a la Gerencia de riesgos. 4. Asistir a los talleres de capacitación a que sean convocados en materia de riesgo operativo. 23

24 5. Conocer a cabalidad el proceso, actividad y tarea que le fue asignado en el cumplimiento de sus funciones. 6. Reportar al Gerente de Área, Gerente de Riesgos o la persona designada como responsable de informar cualquier problema relacionado con el riesgo operativo que hayan sido identificados durante las actividades diarias. 7. Desarrollar por lo menos una vez al año el mapa de riesgos, para definir el perfil de riesgos en base a los procesos y actividades a su cargo, para la cual será capacitado por la Unidad de Riesgo Operativo. 8. Informar a la Unidad de Riesgo Operativo mediante los formularios designados todo evento o incidente de riesgo operativo o relacionado con los demás riesgos (Crédito, Liquidez o Tecnológico), ya sea que este genere impacto económico o solo llegue a clasificarse como evento de riesgo o incidencia. CAPÍTULO IV GESTION DE RIESGO OPERATIVO 4.1. Metodología en la gestión de riesgo operativo en BANADESA La metodología para la gestión del riesgo operativo en BANADESA está compuesta por las actividades de identificación, medición, monitoreo y control de riesgos, añadiendo un mecanismo de comunicación y retroalimentación Factores de Riesgo Operativo De acuerdo con la clasificación establecida por la Comisión Nacional de Bancos y Seguros, los siguientes son los factores de riesgo que BANADESA utilizará en sus matrices de Riesgo Operativo: 1. Factor Interno Recurso Humano: BANADESA debe gestionar el capital humano de forma adecuada, e identificar apropiadamente las fallas o insuficiencias asociadas al factor personas, tales como: falta de personal adecuado, negligencia, error humano, sabotaje, fraude, robó, apropiación de información sensible, nepotismo, inapropiadas relaciones interpersonales y ambiente laboral desfavorable, falta de especificaciones claras en los términos de contratación del personal, entre otros. 2. Factor Interno Procesos: Con el objeto de garantizar la optimización de los recursos y la estandarización de las actividades, BANADESA debe contar con procesos documentados, definidos, y actualizados permanentemente, que pueden ser agrupados en procesos estratégicos y procesos productivos u operativos. Las instituciones deben gestionar apropiadamente los riesgos asociados a procesos que permiten la realización de sus 24

25 operaciones y servicios, dado que su diseño inadecuado puede tener como consecuencia el desarrollo deficiente de las operaciones. 3. Factor Interno Tecnología: BANADESA debe contar con la tecnología de la información que garantice la captura, procesamiento, almacenamiento y transmisión de la información de manera oportuna y confiable; evitar interrupciones del negocio y lograr que la información, inclusive aquella bajo la modalidad de servicios provistos por terceros, sea integra, confidencial y esté disponible para una apropiada toma de decisiones. Además de lo anterior, deben cumplir con los requerimientos establecidos en las normas que sobre esta materia ha emitido la CNBS. 4. Factor Interno Infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento del banco. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte. 5. Factores Externos: BANADESA debe gestionar los riesgos de pérdidas derivadas de la ocurrencia de eventos ajenos al control de la institución que pueden alterar el desarrollo de sus actividades. Se deben tomar en consideración los riesgos que implican las contingencias legales, las fallas en los servicios públicos, la ocurrencia de desastres naturales, atentados y actos delictivos, así como las fallas en servicios críticos provistos por terceros Clasificación de eventos de riesgo operativo de primer nivel BANADESA debe identificar los eventos de riesgo operativo agrupándolos de acuerdo con la clasificación establecida por la Comisión Nacional de Bancos y Seguros, los siguientes son los eventos de riesgos que BANADESA utilizará en sus matrices de Riesgo Operativo: 1. Fraude Interno: Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o incumplir regulaciones, leyes o políticas internas en la que se encuentra implicados empleados de la institución, y que tiene como fin obtener un beneficio ilícito 2. Fraude Externo: Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de un activo indebidamente o incumplir la legislación, por parte de un tercero, con el fin de obtener un beneficio ilícito. 3. Relaciones laborales y seguridad en el puesto de trabajo: Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, sobre higiene o seguridad en el trabajo, el pago de reclamos por daños personales, o casos relacionados con la diversidad o discriminación. 4. Prácticas relacionadas con los clientes, los productos y el negocio: Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación frente a clientes o de la naturaleza y el diseño de un producto o servicio. 25

26 5. Daños a activos físicos: Pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales u otros acontecimientos. 6. Interrupción del negocio por fallas en la Tecnología de la Información: Pérdidas derivadas de interrupciones en el negocio y de fallos en el sistema. 7. Deficiencias en la ejecución, entrega y gestión de procesos: Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes (proveedores, clientes, depositantes, etc.) Con el fin de poder llevar a cabo un mejor seguimiento y evaluación de los eventos de riesgo operativo, se creará un segundo y tercer nivel de clasificación de eventos de riesgos o sub clasificación, los que se detallan en el anexo F.1.12 (cuadro de clasificación de eventos a nivel 1,2, y 3) Proceso de la Gestión del Riesgo Operativo Identificación de eventos de riesgos por procesos BANADESA tiene que tener identificados los procesos principales y los procesos de apoyo, alineados en el cumplimiento de los objetivos estratégicos de la Institución, y organizados por Líneas de Negocio / Líneas Operativas (ver anexo F.2.12 cuadro definición de procesos en base a las líneas de negocio), así mismo actualizar los manuales de funciones de cada cargo y el código de conducta donde se establecen las políticas de la Institución sobre los cargos y funciones de cada empleado su responsabilidad dentro del cumplimiento de los objetivos. BANADESA debe tener establecido un inventario de posibles eventos que pueden afectar negativamente las operaciones ordinarias de la Institución, que se encuentran incluidos en la base de datos para eventos de riesgo operativo. (Ver anexo F.3.12 Base de datos por eventos de riesgo operativo). El objetivo de las clasificaciones y sub clasificaciones de los eventos de riesgo operativo por proceso, es asegurarse de que no hay debilidades o inadecuaciones en el medio ambiente general de riesgo, que permitan a un riesgo en particular provocar una pérdida significativa para el banco. Los eventos de riesgos responden a la pregunta: Qué podría salir mal? La elaboración y mantenimiento actualizado de este segundo y tercer nivel o sub categorías de eventos de pérdida, es labor de la Unidad de Riesgo Operativo, con el apoyo de los funcionarios de las diferentes áreas del Banco Procesos 26

27 De acuerdo con la Circular SB 1321/ expedida por la CNBS, un proceso es el conjunto interrelacionado de actividades para la transformación de insumos en productos o servicios con valor para el usuario sea interno o externo. Partiendo de los Macro procesos y Procesos identificados dentro del banco, debe existir un dueño de proceso asignado a cada uno de ellos. En caso de no existir todavía un dueño de proceso, tal asignación será efectuada por la Unidad de Riesgo Operativo. El dueño del proceso es el responsable por administrar el proceso entero. Su función dentro de la administración de riesgos es la de revisar el nivel de evaluación del riesgo del respectivo proceso, para asegurarse de que esté completo, y de que el proceso esté vigente y los subprocesos y actividades que lo componen, estén actualizados. Esta labor resulta particularmente importante, cuando se han presentado cambios significativos en el medio ambiente operativo del Banco. El dueño del proceso debe identificar aquellos subprocesos que requieran de evaluación en términos de riesgo, y debe designar los miembros apropiados de su equipo, para ayudar a dimensionar los niveles de proceso y sus riesgos Identificación, evaluación y calificación de los eventos de Riesgo Operativo. En conjunto con los dueños de proceso, quienes actúan como facilitadores, los empleados y funcionarios involucrados en cada uno de los procesos y subprocesos (los cuales deben encontrarse debidamente documentados), deben reunirse periódicamente, mediante talleres o sesiones de trabajo, los participantes deben realizar las siguientes actividades. 1. La unidad de riesgo operativo en coordinación con los gerentes de área, citara a las reuniones para realizar el taller de identificación. Se debe explicar claramente el objetivo del taller, los procesos o productos a revisar, así como el alcance del mismo, con el ánimo de obtener un buen resultado del taller. 2. Definir los límites de exposición (impacto y probabilidad) para elaborar las escalas de calificación que deben utilizar durante el taller o análisis. Estos límites deben ser relacionados en la matriz del taller de riesgos. 3. El coordinador de riesgo operativo debe presentar a los participantes del taller los diferentes niveles de riesgos operativos, el lenguaje común del riesgo y los límites y escalas de calificación a utilizar. Todos los riesgos identificados deben ser clasificados de acuerdo a este lenguaje. 4. Identificar los potenciales eventos de riesgo que se consideren relevantes dentro del proceso o subproceso, utilizando para ello su conocimiento y experiencia en dicho proceso o subproceso. 5. Medir el impacto y frecuencia del riesgo inherente. El riesgo inherente es definido como una medida realista y probable del evento de perdida, anterior a cualquier control que pueda ser colocado en relación con dicho evento. Por cada evento de riesgo relevante que se identifique, el impacto y frecuencia del riesgo inherente de dicho evento de riesgo debe ser evaluada o medida. Para ello, se utiliza la metodología que se describe más adelante en el presente Manual. 27

28 6. Evaluar el diseño y desempeño del sistema de control (la suma de todos los controles del proceso o subproceso) y los planes de contingencia. Un control se define como una actividad que está en un lugar, para reducir el impacto o probabilidad de ocurrencia de un evento de riesgo. Cada control y plan de contingencia debe evaluarse de acuerdo con la metodología que se describe más adelante en el presente Manual. 7. Finalmente, los resultados de estos talleres o reuniones de trabajo deben documentarse y posteriormente ingresarse a las matrices de riesgo operativo administradas por la unidad de riesgos, con la periodicidad y en las condiciones establecidas por la Gerencia de Riesgos. Los resultados deben ser revisados previamente por el Gerente de Riesgos, para asegurarse de que todos los eventos de riesgos relevantes sean incluidos. 8. El área de Riesgo Operativo puede seleccionar cualquiera de los siguientes métodos para evaluar los procesos: a) Listas de Chequeo b) Entrevistas Estructuradas c) Cuestionarios d) Visitas en sitio, observando el flujo de trabajo y actividades realizadas e) Análisis del procedimiento y flujo de trabajo teniendo en cuenta los Manuales de Procedimientos. O la combinación con la anterior. 9. Diligenciamiento de la Matriz de Riesgo Operativo La matriz de riesgo operativo deberá contener los siguientes campos: a) Macro proceso a evaluar b) Proceso a evaluar c) No. de Riesgo d) Factor de Riesgo e) Código de tipo de riesgo f) Tipo de riesgo g) Descripción del riesgo h) Calificación de la probabilidad del riesgo inherente i) Calificación del impacto del riesgo inherente j) Valuación del riesgo inherente k) Descripción del tipo de control l) Calificación del diseño de control actual m) Calificación de la efectividad del control actual n) Exposición al riesgo residual o) Prioridad de tratamiento Esta información debe ser ingresada por cada empleado del Banco para los procesos en los que participa, y con la periodicidad establecida por la Gerencia de Riesgos, la cual debe ser por lo menos semestral. La Gerencia de Riesgos debe definir el medio o sistema a utilizar para que cada funcionario diligencie la Matriz de Riesgo Operativo (ver anexo F.4.12 Matriz de auto evaluación de procesos). El medio o sistema utilizado debe permitir la consolidación de los resultados. 28

29 Identificación La identificación de los riesgos se debe realizar a nivel de los procesos, pudiendo relacionarse los riesgos con los procedimientos y actividades que los componen. De esta manera, a través del análisis de procedimientos y actividades que se realizan en los procesos se puede inferir más fácilmente los riesgos. Como primer paso de la identificación de riesgos debemos asignar el número de riesgo dentro de la matriz según sea la secuencia de los procesos o actividades a evaluar el cual colocaremos en la columna A No. de Riesgo. Luego se debe identificar que factor está originando este riesgo utilizando la clasificación según normativa aplicable columna B de la matriz. Seguidamente debemos utilizar el código y descripción de tipología de riesgos los cuales se clasifican del 1 a 7 según categorización de la norma de gestión de riesgo operativo, descripción que se debe utilizar como lenguaje común del riesgo en BANADESA. Una vez que tenemos identificados los riesgos, los ponemos dentro de nuestra matriz de auto evaluación de Riesgos, columna E, Descripción de Riesgos Análisis y evaluación En esta parte se determinarán los criterios de análisis y evaluación de los riesgos operacionales, crédito, tecnológicos, legales, etc. Los cuales serán aplicados a los riesgos identificados en cada uno de los procesos de la Entidad. Como resultado de este análisis, se generará una priorización de los mismos, la cual servirá como insumo para los componentes de valoración y tratamiento. El análisis y evaluación del riesgo, consiste en calificar para cada riesgo identificado, el impacto y la probabilidad de ocurrencia, dentro de una escala semi-cuantitativa de cuatro (4) niveles, definida de la siguiente manera: Tabla No.1 Calificación de Impacto Impacto Valor Descripción Critico 4 Riesgos extremadamente severos que conlleva a una pérdida altamente costosa que puede llevar a la pérdida de ingresos o afectar totalmente el patrimonio del banco por eventos que se presentaron o se pueden presentar en algún momento dado. Alto 3 Fuerte pérdida por eventos derivados de un riesgo severo que puede llevar a provocar interrupción de una parte de las operaciones del Banco. Medio 2 Pérdida derivada de una posible contingencia produciendo inconvenientes significativos en el Banco. Bajo 1 Pérdida mínima derivada de riesgos que no afectan la productividad del banco o pueden producir o generar inconvenientes menores. Tabla No.2 Calificación de la Probabilidad Impacto Valor Descripción Baja 1 Riesgo cuya probabilidad de ocurrencia es BAJA, es decir, se tiene entre un valor mayor al 1% y un 25% de seguridad que el riesgo se presente Media 2 Riesgo cuya probabilidad de ocurrencia es MEDIA, es decir, se tiene entre un valor mayor al 26% y un 50% de seguridad que el riesgo se presente Alta 3 Riesgo cuya probabilidad de ocurrencia es ALTA, es decir, se tiene entre un valor mayor al 51% y un 75% de seguridad que el riesgo se presente 29

30 Muy Alta 4 Riesgo cuya probabilidad de ocurrencia es MUY ALTA, es decir, se tiene entre un valor mayor al 76% y un 100% de seguridad que el riesgo se presente. Estos campos están en la matriz de autoevaluación (anexo F.4.12) en la columna F y G respectivamente Valoración Con base en la calificación consolidada de la probabilidad de ocurrencia y el impacto se determina el nivel de riesgo inherente o absoluto (Columna H de la matriz de autoevaluación), para cada uno de los riesgos de un proceso o de la estructura en donde se está realizando la evaluación de los Riesgos. Este nivel representa el estado del riesgo sin la aplicación de tratamientos, es decir el peor escenario de riesgo, también es llamado Severidad del Riesgo. Para la obtención del nivel de riesgo inherente individual se aplicará el producto del puntaje de impacto y del puntaje de la probabilidad. Finalmente, el riesgo valorado se ubica en la Mapa de riesgos que se presenta a continuación en el Gráfico No 1, la cual representa en el eje X el nivel de impacto y en el eje Y la probabilidad de ocurrencia. En el intercepto se registra el valor consolidado del riesgo. Como se observa, el valor mínimo de la matriz es 1 cuando la probabilidad es Baja y el impacto Bajo, y el mayor puntaje es 16 cuando la probabilidad es Muy Alta y el Impacto es Critico. Gráfico No.1- Mapa de Riesgos MUY ALTA P R O B A B I L I D A D ALTO MEDIA BAJA BAJO MEDIO ALTO CRITICO IMPACTO Para efectos de interpretar los resultados se aplicará la Tabla No.3, en donde a partir del puntaje total obtenido en la valoración del riesgo, se establecen el nivel del mismo en términos descriptivos, en cuatro escalas, y se visualiza la valoración cromática, mediante la aplicación de un código de colores, los cuales constituyen los semáforos de riesgo absoluto. 30

31 TABLA No.3 Nivel del Riesgo y Semaforización VALOR Hasta 1 de 2 a 4 de 6 a 9 de 10 a 16 ESTADO BAJO MEDIO ALTO MUY ALTO De esta manera, el nivel de riesgo individual puede clasificarse en 4 niveles: Bajo, cuando el nivel sea igual a 1, Medio cuando es igual a 2 y menor o igual a 4, Alto cuando es igual a 6 y menor o igual a 9, Muy Alto cuando el puntaje es igual a 10 y menor o igual a Control y planes de tratamiento Con el objetivo de realizar un diagnóstico sobre las medidas de protección establecidas en el BANADESA para mitigar los riesgos inherentes, se hace necesario en primera medida adelantar una fase de identificación y documentación de los controles o salvaguardas existentes en los procesos de la entidad. Los controles son acciones o mecanismos definidos para prevenir o reducir el impacto o probabilidad de ocurrencia de los eventos que ponen en riesgo la adecuada ejecución de las actividades y tareas requeridas para el logro de objetivos de los procesos de una Entidad. Como es posible que se tengan implementados diferentes mecanismos de control en un mismo proceso, es necesario identificar y documentar todos los controles existentes, así como sus atributos; de tal forma que a partir de estas características se realice la valoración de la efectividad de los mismos. De esta manera es posible determinar si son insuficientes, suficientes o redundantes para cubrir o mitigar los riesgos potenciales o materializados identificados. También es necesario en esta fase efectuar una clasificación del control a partir de la lista estándar de controles y determinar si el control contribuye a mitigar la probabilidad de ocurrencia del riesgo o la consecuencia para posteriormente realizar la medición de la efectividad y la eficacia en forma independiente. La identificación de los controles y su evaluación será registrada en la matriz de riesgos de cada uno de los procesos de la Entidad. Tal como lo muestra la siguiente gráfica. GRÁFICA No. 2 Registro de la identificación y evaluación de los controles 31

32 Puede encontrar, este formato en la matriz de autoevaluación F.4.12 (Valorar Controles) Efectividad de los controles Se evaluará la efectividad de los controles, para lo cual se analizará si cumplen o no los criterios del Diseño del Control. Estos criterios de análisis se detallan a continuación. (a) Documentación del Control Se deberá verificar su oficialización es decir, que el control este descrito en los procesos y/o procedimientos contenidos en el mapa de procesos o manual de operaciones del BANADESA. En caso afirmativo el control recibirá una calificación de 10 puntos en la evaluación. (b) Oportunidad en la aplicación del Control Se deberá calificar la oportunidad de la aplicación del control, teniendo en cuenta la siguiente tabla: Tabla No.4 Oportunidad de la aplicación del control Tipo de Control Valor Descripción PREVENTIVO 50 Controles claves que actúan antes o al inicio de una actividad DETECTIVO 30 Controles claves que actúan durante la actividad y permiten corregir las deficiencias CORRECTIVO 10 Controles claves que actúan una vez se haya terminado la actividad y se detecte una deficiencia (Materialización del riesgo) (c) Periodicidad en la aplicación del Control Se deberá calificar la periodicidad en la aplicación del control, teniendo en cuenta la siguiente tabla: Tabla No.5 Periodicidad en la aplicación del control 32