José Manuel Taveras LayContralor

BANCO CENTRAL DE LA REP. DOM.

RIESGO OPERACIONAL.LA VISION DE LA GERENCIA CON APOYO DEL 

COMITÉ DE AUDITORíA

CONTENIDO• Introducción• Antecedentes• Evolución de la Gestión de Riesgo• Gestión de Riesgo en la actualidad• Responsabilidades de la Gerencia• Apoyo de Auditoría y del Comité de Auditoría• Auditoría basada en Riesgo 

INTRODUCCIÓN

Desde siempre, ha sido importante para las organizacionesintentar evitar fraude, mantener la integridad de loscontroles internos, reducir los errores en el procesamiento detransacciones, entre otros aspectos importantes.

Sin embargo, en un mundo cada vez más globalizado, se hacenecesario enfrentar con mayor rigor diversos riesgosproducidos por avances tecnológicos, política, consumidores,la competencia, terrorismo; en escalas de tiempo cada vezmás cortas, lo que ha llevado a estructurar una Gestión deRiesgo con enfoque integral.

DEFINICION RIESGO OPERACIONAL

“Riesgo de pérdidas  como resultado de personas, sistemas y procesos internos fracasados o de eventos externos”. 

Comité de Basilea

Esta definición incluye el riesgo legal, pero excluye elriesgo estratégico y el riesgo de reputación.

INTRODUCCIÓN

Elementos: “Marco de administración del Riesgo Operacional”

• Estrategias claras y supervisión por el directorio y la Gerencia• Fuerte cultura del riesgo operativo • Cultura interna de control

– Claras líneas de responsabilidad y segregación de obligaciones– Efectivo sistema interno de presentación de informes– Planes de contingencia

INTRODUCCIÓN

Resultados• Organización más

eficiente• Reducción en los eventos

de pérdida• Mejores niveles de

servicio• Reducción en los

requerimientos de capital

INTRODUCCIÓN

Marco de actuación de la Gestión de Riesgo

(Política, Reglamento, Procedimientos, Cultura, etc..)

ANTECEDENTES DE LA GESTIÓN DE RIESGO

En el entorno Internacional:

• Cambios en la economía mundial y mercados globalizados• Ocurrencia de eventos de pérdidas importantes:

– Caso del Banco Barings, Daiwa Bank, Sumitomo Bank, Allied Irish Bank. – Caso de la caída del mayor banco de la República Dominicana. 

(Baninter).

• Mayor sofisticación de la operativa bancaria y de losmercados financieros

• Aumento de los casos de terrorismo

Entorno Organizacional:

• Diferentes estructuras organizacionales – Cada área gestiona de manera individual. – Auditoría

• Analizaba y controlaba todos los temas relacionados con riesgo. • Detectaba cierta categoría de riesgos operacional.

• Poca cultura de riesgo y control• No existía una metodología ni proceso formal para la GR• Alto índice de ocurrencia de eventos de riesgo, los cuales se 

mantenían en secreto

ANTECEDENTES DE LA GESTIÓN  DE RIESGO

COMO HA EVOLUCIONADO LA GESTIÓN DEL RIESGO?

• Tradicionalmente, los riesgos más tratados habían sido los riesgos Financieros.

• En la ultima década, inicia mayor preocupación respecto al riesgo operacional y de ahí, la Gestión Integral de Riesgo:– Administración del riesgo operativo otorga seguridad y 

solvencia.• Conocimiento y documentación de los procesos internos.• Diseño del marco general.• Metodología basada en Estándares Internacionales.• Priorización de procesos operacionales (mapa de procesos).• Unidad independiente, responsable por la gestión del RO.• Evolución de las estructuras organizacionales.• Sinergias con otras áreas de la organización (Ej. auditoría).

Normativa relacionada con la Gestión de Riesgo

• ESTÁNDARES INTERNACIONALES– 1988, Basilea I– COSO I– 2004, Basilea II– 2004, COSO II– Ley Sarbanes‐Oxley 404– Norma Australiana AS/NZS4360:2004– ISO 31000:2009

• ESTÁNDARES NACIONALES

– Reglamento sobre Riesgo Operacional para las entidades deintermediación financiera.

EVOLUCIÓN DE LA GESTIÓN DEL RIESGO

VISION DE LA GERENCIA

Principal reto de cualquier administrador…

Determinar cuanta incertidumbre acepta paramaximizar valor de la empresa, equilibrando losobjetivos estratégicos mediante un balance óptimoentre crecimiento, retorno de inversión, riesgo,oportunidades, eficacia y eficiencia.

VISION DE LA GERENCIA

Enlazar Riesgos con el proceso de establecimiento de objetivos estratégicos

• Debe haber una separación de responsabilidades y líneas claras entre las funciones de control del riesgo operativo y líneas de negocios.

QUÉ BUSCAR CUANDO SE EVALÚA UN AMBIENTE QUE SOPORTE LA GESTIÓN DE RIESGO?

• La existencia de una estructura de gobierno en la cual consideren la GR.• La existencia de una estructura organizacional dedicada a la GR, con roles

y responsabilidades definidos.• Una cultura de GR clara, dedicada y a la medida. Debe ser un tema de

seguimiento continuo en las reuniones gerenciales.• La disponibilidad de programas de entrenamiento y concienciación sobre

la GR.

RESPONSABILIDADES EN LA GESTION DEL RIESGO

Estructura organizacional de la Gestión de Riesgo

RESPONSABILIDAD DE LA GESTION DEL RIESGO‐ VISION DE LA GERENCIA ‐

Areas

• Auto-evaluaciones• Implementa cambios• Reporte a lo internoy a riesgos

Riesgos• Monitoreo auto-

Evaluaciones• Análisis indicadores• Control planes• Reportes

Auditoría Interna

• Monitorea proceso• Revisa las auto-

Evaluaciones• Prueba controles

Junta DirectivaAprueba y asigna recursos

RiesgosDefiniciones – Políticas – Reportes - Cuantificación

Responsable Monitoreo Verificador

GerenciaAsegura gestión y promueve

Comité Auditoria

Comité Riesgos

RESPONSABILIDADES DE LA JUNTA DIRECTIVA

• Definir y aprobar las políticas.• Patrocinar el enfoque del Riesgo Operacional.• Nombrar comité de riesgos, definir funciones y aprobar reglamento.• Aprobar código de ética, sistema de control interno, estructura

organizacional y tecnológica.• Establecer y dar constante aplicación de los niveles de apetito y

tolerancia al riesgo.• Revisión y evaluación de la visión y del portafolio de riesgo y su apego al

nivel de apetito de riesgo.• Aprobar las actuaciones, en caso de sobrepasar los límites de exposición

frente al riesgo, así como los planes de contingencia.• Pronunciarse sobre los informes de riesgo y dar lineamientos.

RESPONSABILIDAD DE LA GESTION DEL RIESGO‐ VISION DE LA GERENCIA ‐

RESPONSABILIDADES LA GERENCIA

• Responsabilidad legal compartida con la Junta Directiva para laadministración de los riesgos.

• Proveer dirección y retroalimentación en respuesta a los principalesriesgos.

• Monitorear el perfil de riesgo de alto nivel y las respuestas de mitigación.• Implementar el cambio a través de la organización.• Asegurar que se lleva a cabo una revisión de la administración de riesgos

a intérvalos especificados, suficientes para asegurar su continuaadecuación y eficacia.

RESPONSABILIDAD DE LA GESTION DEL RIESGO‐ VISION DE LA GERENCIA ‐

RESPONSABILIDADES DEL COMITÉ DE RIESGOS

• Opinar sobre las recomendaciones del área de GR.• Realizar seguimiento permanente a las exposiciones de riesgo.• Velar por el cumplimiento efectivo de las políticas y que las etapas y

elementos para la administración de riesgo se cumplan.• Aprobar los límites de exposiciones a los riesgos.• Adoptar, implementar y difundir los planes de acción para eventos de

contingencia.• Aprobar la metodología que se aplicará para gestionar los riesgos.• Aprobar las estrategias comunicacionales.• Recomendar a la Junta Directiva la modificación de los límites de

exposición a los riesgos e informarle del desarrollo de la GR.• Conocer el monto de las estimaciones y de las pérdidas realizadas.

RESPONSABILIDAD DE LA GESTION DEL RIESGO‐ VISION DE LA GERENCIA ‐

RESPONSABILIDADES DEL AREA DE GESTION DE RIESGOS

• Coordinar y realizar seguimientos periódicos al esquema de control delriesgo.

• Proponer al Comité de Riesgos límites de exposiciones al riesgo.• Diseñar y velar por el cumplimiento de la política de Riesgo.• Diseñar la metodología para GR.• Objetar la realización de aquellas operaciones que no cumplan con las

políticas y/o límites de riesgo establecidas.• Informar al Comité de Riesgos y áreas operacionales los resultados de sus

evaluaciones y dar recomendaciones.

RESPONSABILIDAD DE LA GESTION DEL RIESGO‐ VISION DE LA GERENCIA ‐

RESPONSABILIDADES DEL AREA DE GESTION DE RIESGOS

• Informar a los responsables de las áreas operativas sobre losincumplimientos sobre los límites.

• Fomentar la cultura de riesgo en todos los niveles de cargo de laorganización.

• Determinar los sistemas de información necesarios para la administraciónde los riesgos.

• Capacitar a los Delegados de Riesgo en los procesos de administración deriesgo en las unidades de la Organización.

RESPONSABILIDAD DE LA GESTION DEL RIESGO‐ VISION DE LA GERENCIA ‐

RESPONSABILIDADES DE LAS AREAS OPERATIVAS• Identificar los riesgos y sus respectivos planes de tratamiento.• Implementar los planes de tratamiento.• Definir escenarios de posibles eventos y preparar plan de

contingencia.• Registrar los eventos de riesgos y reportarlos a la unidad de

Riesgo.• Reportar a la Gerencia estatus plan de tratamiento.

RESPONSABILIDAD DE LA GESTION DEL RIESGO‐ VISION DE LA GERENCIA ‐

POLITICA DE GESTION DE RIESGO

Debe ser:Relevante para el contexto estratégico de la organización y parasus metas, objetivos y naturaleza del negocio.

Incluye:• Alcance• Componentes del ciclo de gestión de riesgos• Responsabilidades• Compromiso de cada miembro de la organización

RESPONSABILIDAD DE LA GESTION DEL RIESGO‐ VISION DE LA GERENCIA ‐

APETITO DE RIESGO

El apetito de riesgo es una vista a alto nivel de cuantoriesgo la Junta Directiva está dispuesta a aceptar en la 

persecución de sus objetivos estratégicos.

RESPONSABILIDAD DE LA GESTION DEL RIESGO‐ VISION DE LA GERENCIA ‐

CULTURA DE GESTIÓN DE RIESGO

Creencias y actitudes compartidas, que caracterizan la maneraque la entidad considera el riesgo en todo lo que hace.

Depende de:– La historia de la entidad– Desarrollo del nivel de madurez/organizacional (número de  años en 

operación)– Tipo de negocio– Tamaño– Ubicación– Los principios de controles y estilo de operación de la gerencia

RESPONSABILIDAD DE LA GESTION DEL RIESGO‐ VISION DE LA GERENCIA ‐

ENCUESTA DE CULTURA DE RIESGO

• Es una medida base, sobre la cultura y prácticas de riesgo de unaorganización.

• Consiste en la validación directa, desde los empleados, sobre cómo seentiende y está alineada la estrategia.

• Es un punto de inicio para el desarrollo de un marco de trabajo de gestiónde riesgo.

• Provee una visión sobre el riesgo y su preparación para moverse hacia unambiente de Riesgo y Control Continuo.

• Envía un mensaje a los empleados de que la gerencia toma en seriomejorar la gestión de riesgo.

RESPONSABILIDAD DE LA GESTION DEL RIESGO‐ VISION DE LA GERENCIA ‐

Metodología de Evaluacióndel Riesgo Operacional

Identificar Riesgos

Analizar los Riesgos

Evaluar los Riesgos

Tratar los Riesgos

Establecer Contexto

Monitorear y Revisar

Comunicary

Consultar

Riesgo Aceptable y

Excesos Temporales

RESPONSABILIDAD DE LA GESTION DEL RIESGO‐ VISION DE LA GERENCIA ‐

RESPONSABILIDAD DE LA GESTION DEL RIESGO‐ APOYO DE AUDITORIA ‐

COMO APOYA LA AUDITORIA ESTE RENOVADO ENFOQUE SOBRE EL RIESGO QUE TIENE LA GERENCIA DE LA 

ORGANIZACIÓN 

El objetivo principal de cualquier función o actividad en unaOrganización, debe ser apoyar el logro de los objetivos de lapropia organización.

– Entonces: El principal objetivo de la auditoría interna es ayudar a laorganización para lograr sus objetivos.

– El logro de estos objetivos se ve obstaculizado por los riesgos.

– Un programa de auditoría basado en riesgos que esté diseñadocorrectamente incrementa la eficiencia y efectividad, por ende, alapoyo en el logro de los objetivos institucionales.

AUDITORIA BASADA EN RIESGOS

El IIA proporciona la orientación en el Marco para la PrácticaProfesional Internacional (IPPF): 

• Estándar de Desempeño 2010 –Plan de Auditoría– El encargado de auditoría TIENE que considerar el marco de riesgo

definido en la organización y planificar las auditorías en función de lasprioridades de riesgo definidas en dicho marco.

• Estándar de Desempeño 2120 –Gestión de Riesgo– La auditoría TIENE que evaluar la efectividad de la gestión del riesgo y

contribuir a mejorarla.

• Estándar de Desempeño 2210 –Compromiso con los Objetivos

• Estándar de Desempeño 2600 –Resolución de la Gerencia de laAceptación de Riesgos

AUDITORIA BASADA EN RIESGOS

RESPONSABILIDADES DEL COMITÉ DE AUDITORIA

• Velar por que el proceso de GR sea comprensible, fácil de ejecutar ycontinuo.

• Ayudar a la organización a tener controles internos efectivos.• Comunicar a la Gerencia temas actuales o potenciales que puedan

provocar eventos de riesgo.• Revisar la información en los planes de auditoría interna, reportes y

hallazgos importantes, que puedan ayudar en la gestión de riesgo.• Velar porque se realice el monitoreo de los historiales de riesgo.• Colaborar identificando riesgos emergentes.• Revisar conjuntamente con la Gerencia, las políticas relacionadas a gestión

de riesgo.

RESPONSABILIDAD DE LA GESTION DEL RIESGO‐ APOYO DE AUDITORIA ‐

RESPONSABILIDAD DE LA GESTION DEL RIESGO‐ APOYO DE AUDITORIA ‐

RESPONSABILIDADES DE AUDITORIA INTERNA

• Incluir en el plan de auditoría interna, la revisión de los procesosprioritarios según las evaluaciones de riesgo.

• Revisar el cumplimiento de los lineamientos de GR por parte de las áreasoperativas.

• Revisar los procesos de administración de riesgo –diseño y funciones.• Realizar pruebas de efectividad de los controles asociados a los riesgos.• Proveer opinión a la Gerencia, sobre la efectividad de la GR y

funcionamiento del sistema de control interno.• Seguimiento para la determinación del cumplimiento de los planes de

acción.

AUDITORIA BASADA EN RIESGOS‐ INFORMES DE AUDITORIA ‐

• Entrega regular (unidades de negocio, oficina de administración del riesgo operativoy de auditoría interna).

• Contener datos sobre el nivel de cumplimiento.

• Contener y analizar información del mercado.

• Deben reflejar problemas identificados.

• Alentar acciones correctivas oportunas.

• Deben verificar la oportunidad, exactitud y relevancia de los sistemas de informes yde los controles internos en general.

• Utilizar informes preparados por fuentes externas (auditores, supervisores) paraevaluar la utilidad y confiabilidad de los informes internos.

• Unidad de criterio en torno al manejo de riesgos.• Generación de conciencia sobre la GR.• Priorización de los riesgos de mayor impacto para cada uno de los 

recursos: Financiero, Humano, Imagen Corporativa e Información.• Definición clara y explícita de responsabilidades en todos los niveles de la 

organización.• Convertir la GR en eje articulador de temas sensibles a la actividad 

organizacional, como:– La preservación de la reputación.– El plan de continuidad del negocio. 

CONCLUSIONES Y RECOMENDACIONES

CONCLUSIONES Y RECOMENDACIONES

• Análisis por área o por proceso.• Conocimiento/documentación detallada de la operación.• Levantamiento de información honesto. Temor a reportar !!• Apoyo de la Unidad de Riesgo a las áreas operativas.• Priorizar el enfoque en riesgos, no mejoras operativas.• Comunicación constante con la Gerencia. • Metodología clara y ejecutable (reducir la subjetividad).• Revisión periódica de los procesos críticos.• Cuantificación de los eventos de riesgos.• Identificación de escenarios de riesgo.

Gracias por su atención