Professional Documents
Culture Documents
Tabla de contenido
Resumen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 629
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630
1. Matriz de Riesgo Operativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 631
2. Conceptos claves para la definición de la matriz de Riesgo operativo (RO). . . . . 631
Construcción de la matriz de Riesgo Operativo (RO). . . . . . . . . . . . . . . . . . . . . . . . . . 634
Bibliografía. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 635
Resumen
Summary
This article explains what a bank or financial institution’s operational risk is; how to
identify it, quantify it and control it as well as the adequate measures to eliminate or
mitigate its effect.
A reliable tool to help us understand and manage this type of risk is through the
construction of a matrix which allows us to identify it by gathering the Risk Levels
(viability and Impact) and the associated exposure to the operational risk.
An example of this operational risk’s matrix is designed, as well as its results.
Lastly, recommendations are proposed to the financial institution for the proper
administration of the operational risk.
amenazas que eventualmente nos podrían ver 1.1.1. Personas: Este riesgo está relacionado
expuestos por el riesgo operativo de la entidad c on la p o sibilid ad de p érd id a s
pública o privada. Si la empresa financiera o financieras asociadas con negligencia,
bancaria, posee base de datos históricas, pode- error huma no, sabot aje, fraude,
mos estimar las pérdidas de la matriz de riesgo robo, paralizaciones, apropiación
operativo, aplicando metodología elaborados de infor mación sensible, lavado
por el Comité de Basilea, que constan de tres de dinero, inapropiadas relaciones
métodos: indicador (IB) básico, el indicador interpersonales y ambiente laboral
estándar (IS) y el de medición avanzada (IMA), desfavorable.
para lo cual, dependiendo de las características 1.1.2. Procesos Inter nos: Identif ic a la
de los datos, se utilizan con los modelos esta- posibilidad de incurrir en pérdidas
dísticos de simulación de Montecarlo, distribu- debido a fallas en los procesos, políticas
ción Poisson, distribución Uniforme, distribu- o procedimientos inadecuados o
ción Longiversa y cópulas. inexistentes que pueden ocasionar
El presente artículo se refiere a la cons- la suspensión de servicios o bien el
trucción de una matriz de riesgo operativo, desarrollo deficiente de operaciones.
en donde la empresa financiera o bancaria no 1.1.3. Tecnología de Infor mación: L os
posee una base de datos y por lo tanto no es fallos tecnológicos pueden ocasionar
posible aplicar las metodologías mencionadas pérdidas financieras derivadas del uso
anteriormente. inadecuado de sistemas de información
y tecnologías relacionadas, que pueden
afectar el desarrollo de las operaciones
1. Matriz de Riesgo Operativo y servicios.
1.1.4. E v e n t o s E x t e r n o s : e s t e g r u p o
El Comité de Basilea define como riesgo comprende la posibilidad de pérdidas
operativo “la posibilidad de ocurrencia de pér- derivadas de la ocurrencia de eventos
didas financieras por deficiencias o fallas en los ajenos al control de la empresa que
procesos internos, en la tecnología de informa- pueden alterar el desarrollo de sus
actividades, afectando a los procesos
ción, en las personas o por ocurrencia de even-
internos, personas y tecnología de
tos externos adversos. Esta definición incluye el
información. Por ejemplo las fallas en
riesgo legal, pero excluye el riesgo estratégico y
los servicios públicos, la ocurrencia
el de reputación”. 2
de desastres naturales, atentados y
actos delictivos, así como las fallas
1.1. Fuentes de riesgo operativo en servicios críticos provistos por
terceros. Otros riesgos asociados
Para legitimar la administración del ries- con eventos externos incluyen: el
go operativo, las empresas deben de identificar rápido paso de cambio en las leyes,
los indicadores de riesgo, tales como: estadísti- regulaciones o guías, así como el
cas de la actividad, base de datos de incidencias riesgo político o del país.
y eventos de pérdida, reportes de cifras de con-
trol, reportes para análisis de conciliaciones y el
2. Conceptos claves para la definición de la
grado de implementación de las recomendacio- matriz de Riesgo operativo (RO)
nes de los auditores.
Las fuentes de riesgo operativo se pueden El objetivo principal de la matriz de ries-
agrupar en 4 grandes categorías: go operativo es identificar los posibles ries-
gos que pueden afectar un negocio o una ins-
titución, cuantificar las repercusiones de la
2 Op. Cit materialización de los mismos y elaborar un
plan de contingencia que permita establecer los sobre un riesgo, disminuye mi exposición a
controles y acciones que puede tomar una insti- sufrir una pérdida.
tución para llevar a cago una gestión eficiente y
eficaz de los riesgos operativos. Nuestra matriz 2.1 Especificaciones de la matriz: Para
de riesgo Operativo (RO) clasifica los eventos obtener el riesgo se debe definir a priori cuá l es
según su nivel de riesgo y exposición asocia- la viabilidad de que se materialice el riesgo y a su
da. A su vez el nivel de riesgo está en función vez el impacto que provoca sobre las actividades
de dos variables fundamentales: la viabilidad diarias del negocio a analizar. Específicamente el
riesgo se obtiene mediante la siguiente fórmula.
y el impacto. La viabilidad: es la probabilidad
de que el riesgo se materialice, suponiendo Riesgo = Viabilidad * impacto (1)
que no estén establecidos los controles o la
Donde se definen las siguientes variables:
mitigación, mientras que el impacto es la con-
secuencia potencial del suceso, es decir de con- VIABILIDAD: Selecciona las siguientes
solidarse el riesgo cual es la huella en términos categorías en relación a la probabilidad de que
monetarios, o bien el efecto directo o indirecto el riesgo se materialice. Por ejemplo:
sobre los accionistas o acciones de una empre-
sa. Mientras que la exposición al riesgo se defi- Tabla 1
ne como qué tanto me afecta el riesgo ya que Puntuación Viabilidad
mantengo cierta posición y por lo tanto soy 1 Rara
vulnerable a lo que pueda suceder, es decir 2 Inverosímil
3 Frecuente
estoy expuesto Exposición = Riesgo-Control. Es 4 Verosímil
importante aclarar que el grado de exposición 5 Esperada
es inverso a la efectividad de los controles y
mitigantes que se mantienen ante un determi- En la tabla #2 se detalla el significado de
nado riesgo, es decir entre más controles tenga cada puntuación
Tabla 2
Parámetros de viabilidad
Puntuación Viabilidad Ejemplo de frecuencia del evento de pérdida
Rara 1 Insignificante- puede ocurrir sólo Una vez cada 30 años o menos frecuente
en circunstancias excepcionales
Inverosímil 2 Podría ocurrir alguna vez Una vez cada 10 años
Frecuente 3 Debería ocurrir alguna vez Una vez cada 3 años
Verosímil 4 Probablemente ocurra una vez Anualmente
Esperada 5 Ocurrirá en muchas circunstancias Al menos mensualmente
Tabla 4
Parámetros de impacto
Puntuación Repercusiones sobre los Reacción de los medios de comunicación Acciones del
clientes Regulador
Moderado 3 Repercusiones sobre los Artículos en prensa, televisión, internet, es Acciones por parte del
clientes significativas decir divulgación significativa por un día regulador que pueden
máximo incluir multas
Tabla #5
Puntuación Exposición
1 Menor
2 Limitada
3 Media
4 Significativa
5 Mayor
Tabla #6
Parámetros de Exposición
Puntuación Existencia de Controles Planes de mitigación de riesgos
procedimientos
Menor 1 Procedimientos 1-Roles detallados 1-De materializarse el riesgo el
exhaustivos para cada 2-Controles automáticos trabajo puede continuar porque
situación y actualizados 3-Controles a priori existen un tercero al cual se
diariamente transmitirá el riesgo.
Limitada 2 Procedimientos 1-Roles claros 2- Mayoría de 1-Casi todo el riesgo se ha
que cubren áreas responsabilidades definidas transmitido a un tercero, es decir
claves y actualizados 3-La mayoría son automáticos y si existe un plan de contingencia
mensualmente preventivos
Media 3 Procedimientos para áreas 1-La mayoría de roles definidos 1-El riesgo ha sido parcialmente
claves, actualizaciones 2-Algunos controles automáticos transferido a un tercero
periódicas otros manuales 3-Pocos controles
preventivos
Continúa...
Continuación...
Significativa 4 Escasez de 1-Lo que existen son acciones 1-Una parte mínima ha sido
procedimientos sin correctivas de largo plazo. 2-La transferida a un tercero,
actualizaciones mayoría de controles son manuales no se puede continuar con
las operaciones en caso de
materializarse el riesgo
Mayor 5 Procedimientos mínimos 1-No existe definición de roles, 1-No existe plan de contingencia,
o nulos, ausencia de controles ni de responsabilidades es decir el riesgo no se ha
actualizaciones transferido a un tercero
Tabla 7
Matriz de Riesgo Operativo
Riesgo
RO
12-25 8-10 5-6 3-4 1-2
1 C B B A A
2 C C B B A
Exposición
3 C C C B B
4 D C C C B
5 D D C C C