RIESGO OPERATIVO EN ECUADOR: ¿ Qué es el Riesgo Operativo (RO)?

jueves, julio 06, 2006

¿ Qué es el Riesgo Operativo (RO)?

Las empresas de cualquier sector de negocios tienen diferentes niveles de exposición al Riesgo Operacional.

El riesgo operacional, operativo o de operación se basa en la posibilidad de que se ocasionen pérdidas financieras a las empresas por eventos o hechos derivados de fallas o insuficiencias en sus procesos estratégicos, administrativos o del negocio, las personas internas o relacionadas, la tecnología de información usada y por eventos externos.

El riesgo de operación incluye el riesgo legal, aunque no se refiere a la posibilidad de pérdidas originadas en cambios inesperados en el entorno político, económico y social.

PREGUNTAS DE LA ENTREVISTA

¿Ha mejorado la situación en los últimos años?

De ninguna manera, por ello la preocupación sobre el riesgo operacional y sus controles, con respecto a otros tipos de riesgos empresariales ha aumentado en proporciones del 20% desde el 2001 hasta el 35% en el 2003, y sigue en ascenso.

Hoy en día las empresas pioneras en la preocupación por el riesgo operacional son las instituciones que participan del sistema financiero de los países. Esto se produce básicamente por el énfasis que el Comité de Basilea en Supervisión Bancaria le ha dado al tema en los últimos años en su Segundo Acuerdo sobre Capital.

En base a este acuerdo, el Comité de Basilea ha publicado una serie de principios y recomendaciones para la conformación de un adecuado ambiente de gestión de riesgos, para la administración de los riesgos y para la Supervisión en los sistemas financieros.

Se espera que después del 2008, las instituciones del sector financiero (Bancos, Sociedades Financieras, Mutualistas, Cooperativas de Ahorro y Crédito, etc.), estén en capacidad de calcular sus requerimientos mínimos de capital en función de las pérdidas acumuladas sufridas a causa de defectos en el control o mitigacion del Riesgo Operacional, Riesgo de Mercado y Riesgo de Crédito.

De acuerdo a esto, las empresas que serán menos cuidadosas en el control de sus riesgos, deberán comprometer más capital para sus operaciones. El público conocerá cuáles serán las empresas más exitosas en el control de los riesgos, y podrá decidir si maneja sus operaciones financieras con empresas más seguras o empresas más riesgosas, lo cual a la vez le permitirá negociar diferentes condiciones para sus operaciones bancarias.

En base a este esquema en algún momento se podrá definir conceptual y funcionalmente el tipo de pérdidas "esperadas, inesperadas y en situación de crisis" que potencialmente pueden producirse, cuantificando las máximas pérdidas asociadas a la dinámica comercial de las instituciones, y por lo tanto permitiendo la asignación del "Capital en Riesgo" para soportar la operación de cada unidad estratégica de negocio.

¿Cómo se ha pronunciado la Superintendencia de Bancos y Seguros (SBS) en relación al control del RO ?

Desde octubre de 2005 está disponible en el website de la SBS la resolución No. JB-2005-834 para la gestión y administración del riesgo operacional. En esta resolución de 19 páginas y aproximadamente 146 controles, el equipo técnico de la Superintendencia ha organizando un conjunto de mejores practicas para mitigar o controlar los riesgos que forman la base del riesgo operacional.

Entre las fuentes de referencia el equipo ha considerado las recomendaciones del Comité de Basilea, modelos de Sistemas de Aseguramiento de la Información tales como ISO/IEC 17799, modelos de Administración de la Tecnología Informática a nivel de Gobierno Corporativo tales como Cobit, entre otros modelos reconocidos como los mejores a nivel global.

Los siguientes mayores aspectos, entre otros, están contemplados en la estructura de la resolución:

TABLA 1

Aspecto Mayor	Breve Descripción
Administración del Riesgo Operativo (Sección III)	Técnicas o esquemas de administración; códigos de ética y de conducta; supervisión interna; sólida cultura de control interno y adecuados sistemas de control interno; procesos, eventos, fallas e insuficiencias (de procesos, personas, tecnología de información y eventos externos); bases de datos centralizadas para administrar los elementos del riesgo operativo.
Reportes sobre el Riesgo Operativo (Sección III, artículo 9)	Detalle de los eventos de riesgo operativo, el grado de cumplimiento de los procesos, políticas y procedimientos, indicadores de gestión para evaluar la eficiencia y eficacia.
Responsabilidades sobre el Riesgo Operativo (sección V)	Nuevas responsabilidades en la administración de riesgos para el Directorio, Comité de Administración Integral de Riesgos, Unidad de Riesgos. Originales responsabilidades ya fueron establecidas por otra resolución en el 2004.
Procesos (sección II artículo 1.1)	Procesos definidos, clasificados, aprobados, inventariados, difundidos, aplicados, controlados, medidos, evaluados, asignados a un responsable, mejorados continuamente, con la respectiva identificación de cuales son críticos y considerando una adecuada segregación de funciones.
Personas (sección II artículo 1.2)	Identificación apropiada de las fallas o insuficiencias, políticas, procesos y procedimientos técnicos definidos para la incorporación, permanencia y desvinculación de las personas, garantizando condiciones laborales idóneas, con información actualizada completa del capital humano.
Eventos Externos (sección II, artículo 1.4)	Oficialmente y estructuradamente se considera la posibilidad de pérdidas derivadas de la ocurrencia de eventos ajenos al control, tales como: - fallas en los servicios públicos, - ocurrencia de desastres naturales, - atentados y - otros actos delictivos.
Tecnología de la Información (sección II, articulo 1.3)	Tecnología de información que garantice la captura, procesamiento, almacenamiento y transmisión de la información de manera oportuna y confiable. Tecnología de información que garantice evitar interrupciones del negocio y lograr que la información inclusive aquella bajo la modalidad de servicios provistos por terceros sea íntegra, confidencial y esté disponible para una apropiada toma de decisiones. Políticas, procesos, procedimientos y manuales, definidos y difundidos formalmente, que aseguren una adecuada planificación y administración. Plan Funcional y Plan Operativo. Información con propietario definido, criterios de control interno aplicados para conseguir la eficacia, eficiencia y cumplimiento. Administración controlada de los servicios de terceros. Adecuados controles sobre las aplicaciones. Sistema de Seguridad de la Información implementado, incluyendo adecuada planificación de contingencias para la continuidad del negocio, entre otros importantes aspectos asociados a la tecnología de la información.
Continuidad del Negocio (sección IV)	Planes de contingencia y de continuidad, a fin de garantizar su capacidad para operar en forma continua y minimizar las pérdidas en caso de una interrupción severa del negocio. Proceso de administración de la continuidad de los negocios.
Servicios Provistos por Terceros (sección VI, disposiciones generales)	Políticas, procesos y procedimientos efectivos que aseguren una adecuada selección y calificación de los proveedores.

Este compendio de mejores prácticas preparado por el Equipo de Riesgos de la SBS representa un conjunto importante de cambios que permitirán a las empresas mejorar sus controles sobre el riesgo operacional, pero también representaran un importante conjunto de inversiones en esfuerzo y presupuesto para las instituciones, los cuales deberían programarse en los próximos periodos fiscales.

Existen unos plazos contemplados en la resolución, que las diferentes instituciones deberán respetar tanto en la realización de un Diagnostico (autoevaluación), y para la Implementación de las disposiciones, tal como se puede visualizar en la Figura1.

Figura 1

Como podemos interpretar en esta figura, las Mutualistas y las Cooperativas tienen plazo para la implementación de los 146 controles hasta octubre del 2009, mientras todas las otras empresas del sistema financiero, y todas las controladas por la Superintendencia, solo tendrán 5 semestres, es decir hasta octubre del 2008.

Este plazo puede considerarse apropiado pero mínimo al considerar que algunos proyectos derivados de la resolución requerirán un tiempo de implementación de al menos 24 meses, como por ejemplo la planificación de la continuidad del negocio, implementación de un sistema de gestión y controles para la seguridad de la información, conformación de una base de datos para monitorear y controlar el riesgo operativo, y aquellos que signifiquen cambios en la cultura organizacional.

¿Cómo debe asumir una institución bancaria estos riesgos ?

El mundo entero está entrando en una etapa de alta preocupación en riesgos y controles. En los próximos diez a quince años los empresarios no podrán evitar la visión sobre riesgos en cada transacción y en cada abordaje a nuevos mercados, nuevos negocios, cambios a su infraestructura, nuevas estrategias en general, etc.

Afortunadamente en Ecuador en los dos últimos años en las instituciones se ha promovido ampliamente, por parte de la SBS y las Calificadoras de Riesgo, la importancia de mejorar sus controles para mitigar o controlar el Riesgo Operacional. Con respecto a las recomendaciones de la norma de la SBS, lo primero que las instituciones deben hacer es un autodiagnóstico independiente y objetivo, para conocer detalladamente cuáles son los temas de la norma que la empresa no tiene implementados, los tiene parcialmente implementados, o deben mejorar para garantizar que el control es efectivo.

El uso de un Checklist de Autoevaluación que contenga con claridad la referencia a los 146 controles será determinante en el primer diagnóstico. Casi simultáneamente las empresas deben evaluar cuales serán sus necesidades inmediatas de capacitación, pues algunos de estos temas son totalmente nuevos en nuestro medio. Una vez realizado el autodiagnóstico, las empresas deben definir qué proyectos requerirán e integrarlos de manera efectiva en su presupuesto anual de cada año hasta el 2008 o 2009, de modo que preferentemente estén sintonizados con su planificación estrategia empresarial.

Una oportuna evaluación y análisis costo-beneficio permitirá a las empresas determinar cuáles son los proyectos realmente viables y cuáles son los riesgos que atenderán de manera diferente a la implementación de controles directos. Obviamente las empresas deben reportar en el plazo previsto su enfoque particular a la SBS, la cual realizará el previsto seguimiento al cumplimiento de cada proyecto.

Es importante que en las empresas revisen cuidadosamente los artículos de la norma pues aunque las instituciones pueden sentir, al leer rápidamente los párrafos, que algunos temas ya los tienen cubiertos, es muy probable que al leer por segunda y tercera vez encuentren entre líneas la clara pista de que lo que tienen no lo cumplen en el alcance requerido por la norma. Una evaluación independiente descubrirá estos casos rápidamente.

¿Qué es la administración de riesgos?

Las instituciones deben contar con un sistema de administración del riesgo de operación que les permita identificar, medir, controlar / mitigar y monitorear los riesgos de manera que se fortalezca su seguridad y solidez, con la finalidad de proteger los intereses del publico y de sus accionistas o relacionados.

Las instituciones deben gestionar el riesgo de operación, como elemento fundamental de una administración preventiva que reduzca la posibilidad de pérdidas e incremente su eficiencia, para lo cual deberán implantar mecanismos, estrategias, tecnología, procesos y contar con recursos humanos calificados y experimentados a fin de mitigar este riesgo.

¿Qué posición debe asumir el sistema bancario y financiero en relación a las regulaciones de la SBS ?

Al momento no queda la menor duda de que al momento las instituciones están recibiendo las resoluciones con una posición constructiva, pues están claros los objetivos que se esperan alcanzar con respecto al mejoramiento de los controles para minimizar el Riesgo Operacional.

Lo que se ha notado en algunos gerentes es una subestimación al alcance de la norma sobre riesgo operativo. Es decir, no se ha dimensionado con claridad en las empresas cual es el esfuerzo y recursos económicos que deberán invertir para poder implementar satisfactoriamente las disposiciones, por lo cual veremos en el corto plazo como las unidades de riesgo aumentaran en forma no planificada su staff este año y como muchas empresas se inclinaran en el ultimo momento antes de los plazos, por contratar servicios profesionales y de consultoria externos.

49 Comments:

At 10:11 PM, Anónimo said...: Si su empresa requiere de una conferencia sobre este tema, escriba al mail: jolaya@espoltel.net o llame al celular (593)09195398
At 12:50 PM, Marcelo García said...: Al implementar los controles necesarios para administrar el riesgo operacional y de ser posible reducirlo a cero, acaso estamos en contradicción con el objetivo de cualquier empresa que busca eficiencia y efectividad en sus procesos?
At 12:55 PM, Marcelo García said...: Las empresas que no forman parte del sistema financiero en el Ecuador deben preocuparse por las recomendaciones que hace Basilea?
At 3:56 PM, Jorge E.Olaya.T said...: Hola Marcelo: En las empresas los esfuerzos para administrar la eficiencia y la efectividad deben mantener un equilibrio con aquellos necesarios para mantener buenos controles y seguridades. Cada empresa decide los parametros de dicho equilibrio. Las empresas deben incorporar en sus objetivos aquellos relacionados con seguridad, pues la inseguridad produce perdidas, afectando directa o indirectamente las condiciones de eficiencia y eficacia. Ciertamente los controles representan un costo y se espera que exista un retorno, el cual se identificara con claridad al medir el estado de la seguridad bajo un sistema de gestion. El riesgo operacional nunca se reducira a cero pues incluye algunos riesgos inherentes, casi imposible de eludir.

Saludos,
Jorge E.Olaya T.
At 4:14 PM, Jorge E.Olaya.T said...: En el mundo entero las empresas de cualquier sector de negocios deben preocuparse por el riesgo operacional, pues las perdidas anuales promedio por no controlar los siete eventos relacionados -en cualquier industria, se han estimado en 6% con respecto a los ingresos brutos. Dentro del gran paraguas y estructura que da el riesgo operacional existen elementos de control relacionados tales como el Aseguramiento de la Informacion, el Control Interno, la Planificacion de la Continuidad del Negocio, Administracion de Servicios con Terceros, Administracion del Capital Humano, entre otros, que ya son abordados independientemente y en diferente orden por las empresas. Justo esta semana en una empresa no financiera me convocaron para conocer sobre la norma ISO de la Seguridad de la Informacion, y en el escritorio del Vicepresidente
Ejecutivo encontre la resolucion de la Superintendencia de Bancos sobre riesgo operativo.

Pronto veremos que la tendencia aumenta en otros sectores de negocios preocupados por la seguridad integral. La iniciativa la ha tomado el Comite de Supervision Bancaria de Basilea para el sector que le preocupa, el cual es el sector financiero.

Saludos,
Jorge E.Olaya T.
At 11:07 AM, Marcos Parra said...: Leyendo su blog y su último comentario del día de hoy, estimado Jorge, me salta una duda que le agradecería me ayudara a resolver, ¿solo empresas comerciales o financieras se deben de preocupar por implementar este tipo de recomendaciones? y si la respuesta fuera positiva, ¿en Ecuador se cuenta con estadísticas tangibles para tener argumentos para una presentación a una gerencia?. Y en otro aspecto, ¿sólo para empresas grandes es aplicable o no depende el tamaño?

Saludos cordiales,

Marcos
At 9:43 AM, Danny Jaramillo said...: En las ultimas clases hemos conversado sobre empresas financieras o de otros sectores de la producción. Pero, ¿cuál sería el impacto con las empresas o fundaciones que son sin finalidad de lucro?. Se aplicaría algunos de los controles en especial. Y si fuera así, ¿cuál debería ser nuestro enfoque con estas empresas?. ¿Cuál sería el común denominador de éstas?. Agradeciendo de antemano su respuesta.
At 1:17 AM, Anónimo said...: Buenas noches existen manuales para implementar en cada tipo de empresa lo que es riesgo operativo o es en general para todas?
At 1:20 AM, Michelle Jimenez said...: Existen regulaciones para poner en marcha en las empresas del sector industrial lo que se denomina riesgo operativo?
At 5:40 PM, Jorge E.Olaya.T said...: Hola Marcos: los conceptos relativos a Riesgo Operacional son aplicables a cualquier tipo de empresa, aunque en un futuro mediano que se definirán modelos o estrategias particulares, personalizados para determinados sectores. Los modelos de control hoy existentes sin embargo, luego de un proceso de personalización, son aplicables a cualquier tipo de empresa, grande o pequeña. Por otro lado, no existen estadísticas validas certificadas en nuestro medio, ni siquiera estudios oficiales en curso, por eso tendremos que usar referencias de otros países, lo cual de todos modos funciona, pues es difícil rebatir que esas realidades no estén presentes en las empresas de nuestro país.
At 5:52 PM, Jorge E.Olaya.T said...: Hola Danny: Todas las empresas deben resolver sus debilidades con respecto a riesgo operativo, incluso aquellas sin fines de lucro. Sin embargo estas empresas no tienen tantos recursos disponibles para la inversión en todos los controles relativos a riesgo operacional. En esos casos es más importante realizar anticipadamente una evaluación de riesgos que permita identificar los riesgos de mayor preocupación en los cuales concentrarse y decidir el tratamiento que se dará a los otros riesgos; eso involucra realizar un adecuado análisis costo/beneficio y de impacto en su operación, su misión y en sus estrategias.

Saludos,
Jorge E.Olaya T.
jolaya@espoltel.net
At 6:03 PM, Jorge E.Olaya.T said...: Hola Michelle: hasta ahora el sector financiero ha asumido el liderazgo al aplicar una visión integral del riesgo operativo. Pero en general algunos componentes de los controles requeridos para resolver el riesgo operacional se pueden resolver usando modelos de control como COSO-ERM, ISO 17799:2005, ISO 27001:2005, Cobit Versión 4.0, ITIL, además de técnicas y herramientas para la administración de recursos humanos, procesos y administración de servicios de terceros. Algunas empresas ya están trabajando en algunos de estos temas de manera aislada, y conseguirán mejorar el nivel de riesgo, sin embargo al aplicar ese enfoque individual pierden de vista la administración integral del riesgo operativo y sus componentes.

Saludos, Jorge E.Olaya T.
Jolaya@espoltel.net
At 9:41 PM, Gina Ruíz López said...: La norma de riesgo operativo hace referencia a los procesos estratégicos, donde deben ser identificados estos procesos dentro de la cadena de valor de las compañías, no se si está bien ubicarlos donde se encuentran los procesos productivos...?
At 2:41 PM, Karina Mendoza said...: El riesgo operativo es un tema que en la actualidad es reconocido a nivel mundial. ¿Cuál es la diferencia en el enfoque que le dan en otros países con respecto al que le damos nosotros aquí en Ecuador? ¿Consideran otros países aspectos adicionales? ¿Cuáles serían estos aspectos?
At 5:14 PM, Jorge E.Olaya.T said...: Hola Gina: La Cadena de Valor Genérica de Porter, que data de 1987, solo contempla dos grandes actividades: primarias y de apoyo. Hoy las empresas han desarrollado una nueva visión cuando generan su cadena de valor particular moderna y asocian a los procesos gobernantes o estratégicos con una nueva gran actividad rectora o de Dirección, colocada horizontalmente -tal cual las actividades de apoyo, pero sobre las actividades primarias.

En julio (2006) participe en un proyecto de consultoria con un equipo multidisciplinario de consultores para una importante empresa y cuando hacíamos la definición de la nueva cadena de valor insertamos precisamente esta variante. Los Directores y Vicepresidentes de la empresa- gente muy inteligente- rápidamente aceptaron que podían definir su particular variante de cadena de valor y aportaron eficientemente a su nueva definición.

En otras empresas he visto que se definen particulares cadenas de valor de transición (efectivas durante tres a cinco años) que les sirven para llegar a cumplir su visión -en forma progresiva- para los próximos ocho o diez años. Eso si que es señal de una administración estratégica !!

El Margen (resultado según la versión original de Porter) ahora tiene un nuevo compañero que es la Satisfacción del Cliente. Ambos son también objetivos estratégicos indiscutibles en los actuales tiempos.

Saludos,
Jorge E.Olaya T.
jolaya@espoltel.net
At 5:31 PM, Jose Luis Asencio M. said...: En particular, si las empresas tienen definido e implementado sus planes de contingencias con un enfoque de riesgos operativos, que indicadores, metricas y material de apoyo se escogeria inicialmente para dar el primer paso para la evaluacion del riesgo operativo..?

Gracias....
At 6:14 PM, Maria Auxiliadora Abarca said...: Actualmente esta en voga el tema de riesgo operativo para las entidades financieras en el Ecuador, y debido a que este se ha vuelto obligatorio entonces dichas entidades deben acogerla, pero como hacer para que las empresas publicas en el pais acogan estas normas sin dejar que les afecten los cambios politicos?, se podria implementar algun tipo de ley para poner en practica esto, y de ser asi como podriamos incentivar esta propuesta, o a lo mejor no es tan practico para las entidades publicas hacer una gestion de su riesgo operativo?.
At 11:29 PM, Knito said...: En nuestro medio, existen varias financieras que tienen entre su personal de diversas áreas (especialmente sistemas) resursos que son parte de una empresas de servicios (tercerizadoras).
¿Estas empresas de servicio estas sujetas a la implementación de controles para satisfacer las normas de riesgo operativo?

Jorge Espinoza
At 8:13 PM, Byron Arias said...: En una empresa que se maneja varios sistemas operativos y varias plataformas que interactuan entre sí, cada una de ellas tienen sus propios controles y seguridades, existe riesgos opererativos el interactuar entre las plataformas y cual sería la mejor recomendación
At 1:28 PM, Lucy De la Cadena said...: En la resolución se indica que las instituciones deben realizar un adecuado estudio de riesgo y balancear el costo de la implementación de un plan de continuidad con el riesgo de no tenerlo, la resolución da los lineamientos básicos y las fechas para el cumplimiento de la misma, pero durante la implementación la Superintendencia de Bancos supervisará las actividades de cada institución para verificar que se este cumpliendo con el plan presentado y el mismo esté correctamente enfocado e implementado en cada institución; ya que de esperar al final del plazo muchas instituciones podrían no haber interpretado adecuadamente cada una de los controles solicitados, y no llegar a tener un verdadero plan de continuidad
At 1:30 PM, Lucy De la Cadena said...: Luego de la puesta en marcha de la resolución se realizarán revisiones periódicas a las instituciones para verificar el cumplimiento de la resolución?; de ser así que tipo de revisiones serán y con que frecuencia?
At 9:31 PM, Jorge E.Olaya.T said...: Hola Karina: al momento en la mayoría de los países, principalmente los latinoamericanos, los requerimientos de controles para mitigar el riesgo operativo han sido expresados de manera general por las entidades controladoras; esto ha obligado a las empresas a apoyarse en modelos como COSO para realizar una evaluación de riesgos que permita identificarlos, evaluarlos, priorizarlos, y entonces definir controles para su mitigación. En el caso de Ecuador este paso puede ser obviado en principio porque la entidad de control ya esta entregando en la resolución respectiva un aproximado de 146 controles sobre los cuales se puede trabajar directamente sin necesidad de realizar previamente un análisis de riesgos para abordarlos. De allí que muchas empresas están encontrando después de contratar consultores extranjeros y/o basados en COSO que ellos solo les entregaran un conjunto de nuevas recomendaciones sobre controles, los cuales deberán sumarlos a los 146 de la resolución. Pero también es importante añadir que algunas otras consultorias contemplan a través de uno o dos pilotos, la implementación de un mínimo de los controles (cuatro o cinco) exigidos en la resolución.

Saludos,
Jorge E.Olaya T.
jolaya@espoltel.net
At 10:08 PM, Jorge E.Olaya.T said...: Hola José Luis: Independientemente de si el enfoque de riesgo operativo fue considerado cuando las empresas implementaron sus planes de contingencia, será importante verificar que las empresas permanentemente realizan una Administración de la Continuidad del Negocio y de sus planes de contingencia. Los indicadores y métricas más importantes tendrán que ver con las pruebas y simulacros realizados, y con su relativo nivel de importancia también tendremos aquellos relacionados con las actividades de concienciación, actualización, ampliación y mantenimiento de los planes.

Saludos,
Jorge E.Olaya T.
jolaya@espoltel.net
At 10:28 PM, Jorge E.Olaya.T said...: Hola Maria Auxiliadora: Todas las instituciones tienen perdidas que no contribuyen a su propósito de creación de valor, por lo tanto todas deben hacer una gestión de su riesgo operativo. En el caso de las instituciones públicas existen leyes particulares que incluyen disposiciones específicas y generales sobre control interno, las cuales deben ser consideradas cuando se implementa la gestión del riesgo operativo de modo que no existan duplicaciones, contradicciones u omisiones importantes. Los cambios políticos afectan principalmente al Gobierno Corporativo de las instituciones. Una ley fuerte como la de Sarbanes-Oxley, entre otras cosas, puede ayudar a desincentivar el interés político; de hecho algunos gobiernos de Latinoamérica ya están estudiándola; otros gobiernos como por ejemplo el australiano ya decidieron adoptarla en un 80%.

Saludos,
Jorge E.Olaya T.
jolaya@espoltel.net
At 1:42 PM, Jorge E.Olaya.T said...: Hola Jorge Espinoza: Las empresas contratantes deben incluir sus requerimientos mínimos sobre controles y seguridades en sus contratos con las empresas tercerizadoras. El contrato que firman ambas partes se constituye en ley para las partes y contiene obligaciones para todos. Bajo ese contexto la empresa contratante debe decir que normas del riesgo operativo se incluyen en el contrato. Dependiendo del impacto de cada requerimiento de controles y seguridades en el servicio que se esta acordando, la empresa de servicios podría decidir incluir el esfuerzo y las inversiones comprometidas en el calculo de los precios definitivos.

Saludos,
Jorge E.Olaya T.
jolaya@espoltel.net
At 3:42 PM, Jorge E.Olaya.T said...: Hola Byron: El riesgo operativo incluye entre sus factores de pérdida las ineficiencias e inseguridades en las tecnologías de la información. Cuando hablamos de las tecnologías de la información y las seguridades relacionadas, invariablemente tenemos que pensar en ISO/IEC 17799:2005 que tiene el contenido mas completo sobre seguridades de la información en todos los aspectos de una organización. Al revisar dentro de este Estándar Internacional, podemos encontrar una respuesta en las guías detalladas del dominio Gestión de las Operaciones y Comunicaciones, particularmente en el aspecto relacionado con Intercambio de Información. Después de revisar lo que el Estándar exige en sus guías detalladas debemos revisar si en otros estándares de ISO tenemos una norma complementaria aun más específica y además si los controles propios de los sistemas operativos, redes, manejadores de bases de datos y las mismas aplicaciones informáticas contemplan lo que el Estándar Internacional exige. Este camino es hoy la única forma de asegurarse que los fabricantes de software implementaron controles estándares mínimos.

Saludos,
Jorge E.Olaya T.
jolaya@espoltel.net
At 4:03 PM, Jorge E.Olaya.T said...: Hola Lucy: La entidad de control tiene previsto el requerimiento de informes periódicos de avances, de acuerdo al derecho que se reserva en un mismo párrafo de la resolución. Los auditores de campo de la entidad de control también detectaran en sus exámenes los progresos y la orientación seguida por las empresas en la implementación de las disposiciones. Los auditores internos y externos también deben vigilar el progreso de este gran proyecto, y finalmente los evaluadores de las Calificadoras de Riesgos deberían evaluar y calificar el riesgo operativo en función de este progreso.

Saludos,
Jorge E.Olaya T.
jolaya@espoltel.net
At 4:05 PM, Jorge E.Olaya.T said...: Hola Lucy: Las instituciones podrían decidir no invertir recursos y esfuerzos en algunos controles, con lo cual estarán decidiendo seguir viviendo con el riesgo. Sus calificaciones de riesgo podrían estancarse o disminuir, y finalmente después del 2008, al oficializarse el método de medición de los requerimientos de capital, podrían verse obligadas a aumentar sus reservas de capital por estar entre las instituciones más riesgosas del medio. Eso reducirá sus utilidades y automáticamente representara una caída en su calificación de riesgos. Por todas estas consecuencias posibles la decisión formal y oficial de seguir viviendo con el riesgo debe ser de la Alta Gerencia con la aprobación del Directorio; no puede ser la decisión de un Gerente operativo o Vicepresidente ni ninguno de sus subordinados.

Saludos,
Jorge E.Olaya T.
jolaya@espoltel.net
At 4:07 PM, Jorge E.Olaya.T said...: Hola Lucy: Cuando hablamos particularmente del Plan de Continuidad del Negocio, es importante aclarar que este no es un tipo de control eludible. Es decir una empresa puede sabiamente decidir que no tendrá un plan de continuidad del negocio con el mismo alcance de la empresa más grande de su sector de negocios, pero no puede decir que no le interesa contar con su propio plan de continuidad del negocio. Más aun, la planificación de la continuidad del negocio, después del primer ciclo, debe estar permanentemente sostenida por una Administración de la Continuidad del Negocio.

Saludos,
Jorge E.Olaya T.
jolaya@espoltel.net
At 5:56 PM, chandlerhuron0179680883 said...: hey, I just got a free $500.00 Gift Card. you can redeem yours at Abercrombie & Fitch All you have to do to get yours is Click Here to get a $500 free gift card for your backtoschool wardrobe
At 2:22 PM, Jaime Cabello said...: Estimado Jorge
Gracias por su colaboración, antes de su visita deseo hacerle una pregunta:
en lo que compete Procesos criticos propios y provistos por terceros hay un formato en especial, si lo hay hagamelo saber, si no es así, puedo empiricamente hacer el analisis segun informacion recabada.

Saludos Cordiales
Jaime Cabello Vivar
At 11:43 AM, Anónimo said...: Estimado
Espero que se pueda llevar a cabo la reunion como acordamos a las 14H00 en el lugar previsto

Saludos Cordiales
At 8:03 PM, Carlos Jumbo G. said...: Felicitaciones por esta magnífica idea, no es muy común que en nuestro país, temas trascendentales como este, sean tratados y peor aún difundidos en espacios abiertos e interactivos como un blog.

Suerte éxitos
At 3:29 PM, Anónimo said...: Me interesaría conocer sobre los indicadores de la Gestión de Riesgo Operativo, que indicadores usan en España y/o en otros paises donde tienen avanzado la Gestión de Riesgo Operativo? Aqui se me ocurre identificar sobre que factor se encuentran la mayoría de los Riesgos, en Personas, Procesos, TI o Eventos Externos para poder implemnentar controles según corresponda, cual es la disminución de los eventos luego de implementado la Gestión de Riesgo Operativo? Hay estadísticas de otros paises?
La Gestión de Riesgo Operativo es en realidad inculcar la evaluación del riesgo en cualquier proyecto/actividad que se realice dentro de una institución, lo cual siempre pensamos positivamente pero debemos aprender a pensar negativamente y estar listos en caso ocurra un evento no deseado, en el futuro va a ser parte del procedimiento en cada actividad, hacia alla vamos y realmente medir la cantidad y cuantificar las pérdidas y en base a ello poder provisionar.
At 10:37 AM, Anónimo said...: Hola, felicito a los propiciadores de este espacio.

Gestionar riesgos es un proceso que nunca termina y su principal caraterística es que es un proceso costoso. El lograr mitigar riesgos y tratar de preveer todos aquellos eventos que pueden ocasionar que la organización no cumpla con sus objetivos es sin lugar a dudas un nuevo enfoque empresarial que pocas organizaciones en el mundo han podido implementar exitosamente.

Cuáles creen ustedes que son las ventajas tangibles que un empresario o directivo de una organización puede obtener de implementar una gestión de riesgos?
At 8:11 AM, Anónimo said...: Al Sr. Jorge Olaya mi más sincero respeto.....Soy de Panamá y apenas estoy ingresando al tema de riesgo operativo.....
Cómo no tengo experiencia en Banca, para mi no es tan fácil identificar cuáles son los procesos o procedimientos que tanto se mencionan en los documentos relacionados a este tema.

Los ejemplos son nulos...he investigado, pero la verdad es que no he encontrado ejemplos con relación a dichos procedimientos.

Me gustaría que alguien de repente pueda darme por lo menos un ejemplo para poder guiarme y desarrollar algo sobre el tema.
At 10:13 AM, JUAN PABLO said...: HOLA JORGE POR FAVOR NO SE SI ME PUEDAS AYUDAR INDICANDO COMO PUEDO CONSEGUIR LA NORMA ISO17799 O SI TU ME LA PUEDES OFRECER TE AGRADEZCO MUCHO
At 11:42 AM, Anónimo said...: Sr.Jorge primeramente deseandole que tenga un buen día, tengo una consulta, sobre que metodologia utilizastes para cuantificar los riesgos y así realizar tu análisis. Me podrías porfavor ayudar en ese tema.
At 2:27 PM, Juan said...: Hola Jorge, debo felicitarte por tu interesante iniciativa. Sobre la gestión de riesgo operativo, tengo dos preguntas: 1. En la página inicial y en los comentarios que envías tú hablas de 146 controles, yo he revisado la resolución y no encuentro tantos, debe suceder lo que tú comentas que en la primera lectura no se los encuentra a todos. Podrías publicar como una guía los 146 controles o enviarlos por mail?
2. He revisado bastante bibliografía pero no he encontrado un listado de eventos de riesgo típicos, es decir los más comunes para instituciones financieras, con una probabilidad o impacto estimados, que contribuyan para definir y establecer la base de datos, conoces tú donde podría obtener información sobre el tema?
At 11:01 AM, Juan Jose Leon said...: Hola Jorge, como estas? Mi inquietud viene por la participacion de Auditoria en la Gestion de Riesgo Operativo, entiendo que RO gestiona la identificacion de riesgos, implementacion de controles pero una vez implementados es Auditoria quien revisa que esos controles funcionen como deben funcionar. Luego una vez se haya implementado la Gestion de Identificar Riesgos en todos los procesos y sea un proceso continuo, como deberà actuar RO en la Organizaciòn?, pues serà menor su gestiòn?,pues ya estaria implementada la Gestion de RO, hacia donde va la cosa?.
At 12:25 AM, rogelio said...: juan jose, una vez identificada, evaluada, y propuesto las medidas de mitigación de los riesgo de la Institución la cosa va a un monitoreo continuo de la evolución de los riesgos mediante indicadores de causas, seguimiento de incidentes de pérdida analizando los eventos de origen, cambios estructurales en los procesos, lanzamiento nuevos productos/servicios, cambios en el marco normativo, agresividad del mercado, cambio en el apetito al riesgo, etc. Cada uno de estos escenarios replantea un cambio en la evaluación del riesgo corporativo, y siendo importante en la continuidad del mismo la implantación de la cultura de riesgos en la organización... no hay nada mas cambiante y dinamico en ésto de los riesgos corporativos, saludos
At 11:20 AM, luis said...: Sr. Olaya

Tengo entendido que dentro las organizaciones se deben impartir a los empleados, gerencia y junta directiva adiestramiento sobre el tema de riesgo operacional.

¿En dónde y cómo se puede conseguir material didáctico para este fin, en el cual se le explique a la gente este tema de una forma sencilla y amena?
At 3:49 PM, patricio said...: estimado jorge no se si el sitema financiero cooperativista esta listo para entrar a manejar un indicador AVANZADO. AMA. ESTÁNDAR. ALTENATIVO.de BASILEA gracias
At 11:31 AM, Carlos said...: Como estas Jorge: Exelente trabajo, cuando nos pocdemos reunir para revisar una par de proyectos.
Saludos
Carlos Saavedra
CONSULCREDITO
2884395
At 12:52 PM, Carlos said...: Sabe de algun Sistema Inf. probado en Ecuador que permita la gestión y q contemple la norma..?
At 3:39 PM, vanna said...: Hola, mi estimado Jorge muy bueno tu blog, ahora la SBS ha considerado incorporar dentro de la Norma 834 al Riesgo Legal, analizando el tema tu crees que para la gestión del riesgo, como punto de partida sería importante considerar los procesos de la institución identificando aspectos relacionados al riesgo legal, ya que ha mi criterio es un proceso trasversal de la institución?...
Saludos,
At 10:46 AM, darwin said...: Estimado Jorge, me encuentro en una disyuntiva relacionada a la distribución weibull, ya que tengo tres datos primordiales obtenidos desde un previo analisis con expertos de riesgo operacional. Estos tres datos corresponden al promedio de perdidas, peor escenario y el promedio de ocurrencia. La gran duda es, de que forma asigno cada uno de estas variables a los tres parametros para obtener una weibull(Alpha, Beta y Gama). No sabes cuanto agradecere me puedan ayudar y orientar con esta consulta. Gracias!!
At 2:59 PM, marijose said...: Jorge, yo manejo el tema de RO para una división de tarjetas de crédito de un banco local en Honduras, hace año y medio comenzamos con la recoleccción de la información de todas las áreas en lo que a identificación de riesgos se refiere, así como el reporte de los eventos; la herramienta que utilizamos es un excell normal con fórmulas para obtener severidad y probalibidad de los eventos. Mi consulta es: conoces algún sistema un poco más automatizado y confiable para poder manejar este flujo de información entre los departamentos y la Unidad de RO?
Agradeceré tu ayuda, saludos
At 5:10 PM, Anónimo said...: En base a lo leido, aprendido y escuchado como referencia sobre la importancia del manejo y administración de riesgos en las entidades financieras, bajo que concepto algunas de las mismas de tamaño pequeño no se ven en la juiciosa necesidad de implementarlo, considerando lo que se indica al respecto del incremento de capital?
Como puedo consientizar la buena práctica en la alta gerencia sobre el manejo de riesgos?
Gracias.

Publicar un comentario

Links to this post:

<$BlogBacklinkTitle$>: <$BlogBacklinkSnippet$>
posted by <$BlogBacklinkAuthor$> @ <$BlogBacklinkDateTime$>

Crear un vínculo

<< Home

Nombre: Jorge E.Olaya.T

Ubicación: Guayaquil, Ecuador

Ver mi perfil completo

TIPOS DE EVENTOS
Los tipos de eventos o hechos son los siguientes siete:
•Fraude interno; •Fraude externo; •Prácticas laborales y seguridad del ambiente de trabajo; •Prácticas relacionadas con los clientes, los productos y el negocio; •Daños a los activos físicos; •Interrupción del negocio por fallas en la tecnología de información; •Deficiencias en la ejecución de procesos, en el procesamiento de operaciones y en las relaciones con proveedores y terceros.

PARÁMETROS DE LA SBS
¿Qué parámetros usa la SBS para regular los riesgos ?
Aunque las recomendaciones en la norma son muy claras para los entendidos en el tema, se ha detectado un poco de incertidumbre en algunas instituciones con respecto a cual será el modelo de referencia especifico al implementar los detalles de cada control. Si no se recomienda explícitamente un modelo de referencia, existe el riesgo de que el evaluador externo (Auditores de SBS, Auditores externos, especialistas de Calificadoras de Riesgo, etc.) no coincida con los criterios aplicados internamente, lo cual puede complicar la aceptación de las opiniones y calificaciones, y la percepción sobre el nivel de riesgo. Un ejemplo de este caso es la referencia a los adecuados sistemas de control interno. Esto sin embargo no resta merito a la SBS sobre los progresos hasta ahora alcanzados en sus normativas, de hecho, la resolución tal como ha sido planteada posiciona al sistema financiero ecuatoriano como el que cuenta con mejores definiciones sobre riesgo operativo en toda Latinoamérica. En todo caso en fechas posteriores la SBS podrá difundir precisiones sobre estos temas y aun estará a tiempo para que las instituciones las contemplen en sus respectivos enfoques.

DEBILIDADES DEL SECTOR BANCARIO
¿Cuál cree que son las principales debilidades del sector bancario y financiero en cuestión a riesgos ?
No existe en las carreras de pregrado una educación con respecto a Administración de Riesgos, y en la mayoría de Maestrías y Diplomados tampoco se hace una referencia completa al Riesgo Operativo. Con este antecedente, es comprensible que en las instituciones los profesionales estén al momento recién empezando a entender con claridad estos temas que les resultan nuevos. De hecho, en las instituciones recién desde el año pasado se han creado en firme unidades de riesgo y no ha sido fácil conseguir personal capacitado para llenar esas vacantes. Al momento muchas instituciones no terminan de definir su estructura de riesgos y el alcance de los roles y responsabilidades que deben desempeñar. A pesar de todo esto algunas empresas han contratado capacitación complementaria especializada en riesgos y han dado la importancia relevante a fortalecer sus unidades de riesgo, y se espera que en el futuro mediano las unidades de riesgo desempeñen los roles esperados.

BASILEA
¿Qué es Basilea?
La actividad bancaria y financiera es una actividad de riesgos, desde los que tienen que ver con su tenencia física hasta los mas sofisticados vinculados con operaciones de arbitraje cambiario o de derivados financieros, pasando por riesgos tradicionales de infidelidad de empleados o terceros, de falsificación o alteración de los títulos que emite o con los que negocia y, naturalmente, de los que tocan con la suerte de las colocaciones que realiza en créditos o inversiones. Pero además, se trata de una actividad de “interés público” como que está ligada con un servicio masivo e insustituible, en cuanto la normal actividad económica cotidiana no podría concebirse sin su soporte. Y como la confianza es pilar fundamental sobre el cual se estructura todo el sistema financiero-bancario, las personas y empresas que depositan sus dineros en las instituciones, lo hacen llevados por la confianza que les generan estas entidades lo que impone la primordial necesidad de protegerla al máximo. La regulación prudencial, preconizada como indispensable por Basilea, busca anticipar y responder al interrogante de qué se debe hacer para evitar o controlar esas situaciones de riesgo. Y lo hace a través de establecer una serie de principios, parámetros, y normas que deben seguir quienes desarrollen actividades financieras, en general y bancarias, propiamente dichas, tendientes a minimizar los posibles eventos riesgosos o sus efectos, definiéndolos claramente, analizándolos en forma cuidadosa y señalando las medidas que se deben adoptar frente a las diferentes forman en que se manifiestan. Por eso, los objetivos de la regulación prudencial, coinciden con los que suelen establecer los Estados en su propósito de regular los sistemas bancarios y consisten, en últimas, en preservar la confianza del público en ellos y de esa manera garantizar su buen desarrollo, lo que debe conducir a proteger tanto los intereses del público, en general, como los de quienes prestan el servicio.

RIESGO OPERATIVO EN ECUADOR

jueves, julio 06, 2006

¿ Qué es el Riesgo Operativo (RO)?

49 Comments:

Links to this post:

Acerca de mí

Previous Posts