RIESGO_OPERATIVO_VERSION_ FINAL

Transcript RIESGO_OPERATIVO_VERSION_ FINAL

GESTION DEL RIESGO OPERATIVO

Elementos Básicos del Riesgo La Conciencia

“Against the Gods: the remarkable story of risk” Peter Bernstein

“La idea revolucionaria que define la línea divisoria entre los tiempos modernos y el pasado es el manejo del riesgo: la noción de que el futuro es más que un improntus de los dioses y que hombres y mujeres no son pasivos frente a la naturaleza. Hasta que la humanidad descubrió el camino para cruzar esa línea divisoria, el futuro era un espejo del pasado o el oscuro dominio de oráculos o pitonisos que tenían el monopolio del conocimiento de los eventos futuros.”

Concepto de Riesgo

 “La posibilidad de que algo ocurra que impacte determinados objetivos, el cual se mide en términos de consecuencias y esperanza matemática”  “Toda aquella probabilidad que pudiese afectar de forma adversa el logro de los objetivos del negocio”  “La combinación de las probabilidades de ocurrencia de un evento y su consecuencias, haciendo notar que estas pueden ser positivas o negativas, y en algunas circunstancias el riesgo surge de la posibilidad de desviación de la ocurrencia del evento esperado” 4

Gestión Tradicional de Riesgo



Enfocada en Finanzas (inversiones, flujos de efectivo, infidelidad) y coberturas de seguros para activos de la empresa (incendio, pérdidas de activos, vida, HCM)



Atomizada en varias unidades funcionales de la empresa (RRHH, Seguridad Física, Tesorería, Administración) El riesgo dependiendo es del entendido gestionado de formas distintas, estilo y de gerencia y de como lo percibe cada unidad de negocio

Evolución de la Administración del Riesgo

Administración de Riesgos Integrada

Gestión de Riesgos Operativos OPERATIVO Gestión de Riesgos Crediticios Crédito 1980’s

Gestión de Riesgos Financieros

Mercado

Crédito

Mediados 1990’s

Estrategia Negocios Operación

Mercado

Crédito

Principios 2000’s

¿Qué es Riesgo Operativo?

• Concepción tradicional de Riesgo Operacional: “...todo aquello que no era ni riesgo de crédito, ni riesgo de mercado”

PILAR I

Cálculo de Capital

Riesgo Operacional Riesgo de Mercado Otros Riesgos

R. Estratégico R. de Negocio R. Reputacional

PILAR II Revisión Supervisora Riesgo de Crédito

Definición:

• Comité de Basilea (Junio de 2004): “el riesgo operacional se define como el riesgo de pérdida resultante: – de una falta de adecuación o – un fallo de los procesos, – el personal y – los sistemas internos o – bien de acontecimientos externos”.

• Esta definición incluye el riesgo legal (jurídico), pero excluye el riesgo estratégico y el riesgo de reputación.

El control del riesgo operacional es una de las preocupaciones principales de la Industria Financiera

• “Las pérdidas derivadas de los procesos operacionales han sido superiores en cuantía a las más importantes de las provocadas por el riesgo de mercado o de crédito” Senior Federal Reserve Bank Official.

• “24% de los experimentado bancos pérdidas en los últimos 3 años” encuestados por han motivos operacionales superiores a 1,5 millones de euros Encuesta de la Asociación de Bancos Británicos.

¿Qué es el Riesgo de Operación?

Riesgos de comunicación Riesgos de procesos de negocios Riesgos de reputación Riesgos legales Riesgos tecnológicos Cualquier cosa que pueda evitar que la organización cumpla con sus objetivos Riesgos estratégicos Riesgos RR.HH

Riesgos ambientales Riesgos externos Riesgos de seguridad Riesgos Regulativos

¿Qué es el Riesgo de Operación?

Tipos de Enfoque

Amplia

Cualquier cosa que pueda evitar que la organización cumpla con sus objetivos.

Específica

Todos los riesgos, que no son riesgos de crédito o de mercado.

El riesgo de pérdidas directas o indirectas resultantes de un inadecuado o fallido proceso interno, personal y fallas de sistemas o de eventos externos.

El riesgo de pérdidas originadas por un procesamiento transaccional.

¿Qué es el Riesgo de Operación?

El Comité de Basilea propuso la siguiente definición:

Legal

Eventos

Interno Externo Riesgos asociados Personas Procesos Tecnología Fuentes Cambio Complejidad Brechas de control

“El riesgo insuficiencia de pérdida causado por la falla o de los procesos, eventos legal, pero personas sistemas internos, o por externos.

y Esta definición incluye el riesgo excluye los riesgos estratégico, reputación y sistémico” de Fuente: Prácticas Adecuadas para la Gestión y Supervisión de los Riesgos de Operación. Comité de Supervisión Bancaria de Basilea, Julio de 2002. BANK FOR INTERNATIONAL SETTLEMENTS

¿Qué tópicos abarca el R.O.P?

• ¿Qué es Riesgo Legal? (SI) Posibilidad de ocurrencia de pérdidas financieras debido a la falla en la ejecución de contratos o acuerdos, al incumplimiento no intencional de las normas, así como a factores externos, tales como cambios regulatorios, procesos judiciales, etc.

• ¿Qué es Riesgo Estratégico? (NO) La posibilidad de pérdidas por decisiones de alto nivel asociadas a la creación de ventajas competitivas sostenibles.

Se encuentra relacionado a fallas o debilidades en el análisis del mercado, tendencias e incertidumbre del entorno, competencias claves de la empresa y en el proceso de generación e innovación de valor.

¿Qué tópicos abarca el R.O.P?:

• ¿Qué es Riesgo Reputacional? (NO) La posibilidad de pérdidas por la disminución en la confianza en la integridad de la institución que surge cuando el buen nombre de la empresa es afectado. El riesgo de reputación puede presentarse a partir de otros riesgos inherentes en las actividades de una organización.

• ¿Qué es Riesgo Sistémico? (NO) Aquella reacción en cadena que conduce a que el riesgo de una entidad financiera de incumplir con sus obligaciones cause que otras entidades incumplan con las suyas cual si fuesen piezas de dominó interconectadas. O Alternativamente, shock macro-económico que produce efectos adversos para la mayor parte del sistema financiero.

¿Qué tópicos abarca el R.O.P?

Procesos internos

Personas

Tecnología

Eventos Externos

4 Continuidad del Negocio 5 Seguridad de la Información

PSI Mejora Continua PCN

Costos de no gestionar Riesgos de Operación (Impactos posibles)

          Responsabilidades legales.

Interrupción del negocio.

Pérdidas financieras.

Costos financieros.

Pérdida de la reputación.

Daño a las personas, y al entorno.

Sanciones regulatorias.

Suspensión del servicio al cliente.

Salir del negocio.

NO GESTIONAR ADECUADAMENTE LOS OTROS RIESGOS.

Costos de no gestionar Riesgos de Operación (Impactos posibles)

 NO GESTIONAR ADECUADAMENTE LOS OTROS RIESGOS: MERCADO Y CREDITO Riesgo de Mercado Riesgo de Crédito Riesgo de Operación

¡Las fronteras no son claras!

Costos de no gestionar Riesgos de Operación (Impactos posibles)

 NO GESTIONAR ADECUADAMENTE TODOS LOS OTROS RIESGOS Crédito Liquidez Tasa de Interés País Legal

OPERATIVO

Reputación Precio Tipo de Cambio

Elementos Básicos del Riesgo La amplitud y variabilidad

Gestión Reputación Fraude Marketing Sistemas Procesamiento de Transacciones Contratos

RIESGO

Cambio de precios Personas Modelo y Valorización Cartera e Inversiones Terceras Partes

Tipología de Riesgos Operacionales

FRAUDE INTERNO Pérdidas derivadas de algún tipo de actos encaminados a defraudar, apropiarse o burlar regulaciones, la ley o las normas internas, excluyendo interno.

hechos por discriminación, los cuales, como mínimo, tienen un origen en parte Daños a Físicos Fallos Sistemas Ejecucióny Procesos  No informar intencionadamente de determinadas posiciones.

 Infidelidades de empleados.

 Uso el de información privilegiada para enriquecimiento propio.

Tipología de Riesgos Operacionales

Fraude Externo Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o a soslayar legislación por parte de un tercero.

Daños a Físicos Fallos Sistemas Ejecucióny Procesos  Robos;  Falsificación;  Daños de “piratas” informáticos (hackers),

Tipología de Riesgos Operacionales

Prácticas de Empleo Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, de higiene o seguridad en el empleo, del pago de reclamaciones por daños a las personas, o de eventos de diversidad o discriminación.

Daños a Físicos Fallos Sistemas Ejecucióny Procesos  Compensaciones a trabajadores por quejas;  Violaciones a las normas de seguridad e higiene en el trabajo;

Tipología de Riesgos Operacionales

Clientes y Productos Daños a Físicos Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación profesional frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un producto.

Fallos Sistemas Ejecucióny Procesos  Mal uso de la información confidencial de clientes;  Actividades comerciales inadecuadas en cuentas propias;  Venta de productos no autorizados.

Tipología de Riesgos Operacionales

Daños a Activos Físicos Fallos Sistemas Ejecucióny Procesos Pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales u otros acontecimientos.

 Terrorismo, vandalismo, terremotos, fuegos e inundaciones.

Tipología de Riesgos Operacionales

 Caídas del software;  Problemas de telecomunicaciones (Internet);  Apagones públicos Daños a Físicos Fallos de Sistemas Ejecucióny Procesos Pérdidas derivadas de incidencias en el negocio y de fallos en los sistemas.

Tipología de Riesgos Operacionales

Daños a Físicos Fallos Sistemas Ejecución y Gestión de Procesos  Errónea entradas de datos;  Documentación legal incompleta;  Accesos no aprobados a las cuentas de clientes;  Rupturas de contratos y disputas con proveedores y daños colaterales. Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores.

TALLER

PASOS PARA LA ADMINISTRACION DEL RIESGO OPERATIVO

• Para la administración de riesgos operativos en la empresa, se han establecido cinco (5) pasos principales, a fin de ofrecer mejor detalle de cada uno de los procesos de administración del riesgo operativo que serán implantados gradualmente en la empresa: • Paso 1: Identificación de los riesgos operativos • Paso 2: Análisis y valoración de los riesgos operativos • Paso 3: Estrategias de gestión de los riesgos operativos • Paso 4: Información y comunicación de los riesgos operativos • Paso 5: Monitoreo de los riesgos operativos

FASE I: Identificación de los Riesgos Operativos

Objetivo:

Determinar los riesgos operativos a los cuales se encuentra expuesta la organización, considerando tanto factores internos como externos, que puedan afectar adversamente la implantación de estrategias y el logro de objetivos del negocio.

PASO I: Identificación de los riesgos operativos

A continuación se presenta un resumen de lo concerniente a esta fase : Insumos

Información referente a la cadena de valor (ver detalle en sub-fase 1.1)

Sub-Fases

Planificación del proceso de identificación de los riesgos operativos en la cadena de valor Construcción del inventario de los riesgos operativos Categorización de los riesgos operativos Determinación del riesgo legal y reputacional como consecuencia de un riesgo operacional -Plan de identificación de los riesgos operativos -Inventario de riesgos operativos -Inventario de riesgos operativos categorizados -Inventario de riesgos operativos con riesgo legal y reputacional 32

Planificación del proceso de identificación de los riesgos en la cadena de valor

• Consiste en la obtención de información y análisis preliminar de los riesgos operativos que podrían impactar la cadena de valor seleccionada, con la finalidad de elaborar junto con las unidades de negocio y apoyo un “Plan de Identificación de los Riesgos Operativos” que sirva de orientación para la construcción de un “Inventario de Riesgos Operativos”.

• Esta sub-fase debe ser realizada por la unidad de control de riesgos para obtener el “Plan de Identificación de los Riesgos Operativos”, que incluye la recolección de información, el catálogo teórico de riesgos operativos, selección de la técnica de identificación de riesgos operativos y de las áreas y personas clave que intervendrán en el trabajo.

Recolección de información

Se debe obtener la siguiente información en el marco de la cadena de valor, canalizada mediante la Dirección o Gerencia responsable:  Objetivos y metas del negocio  Leyes, normas y regulaciones en general.

 Políticas y procedimientos.

 Mapa de procesos / Áreas involucradas  Hallazgos de auditoria interna, si existen  Informes de auditoria externa, si existen  Datos históricos de pérdidas operativas, si existen  Data externa de pérdidas y/o tendencias del sector en que opera la empresa.

 Auto-evaluaciones de riesgo y controles, si existen.

 Información sobre futuros cambios, si existe 34

Análisis de flujos de procesos

Consiste en examinar los procesos con el mejor entendimiento de las interrelaciones de sus componentes, entradas, actividades, salidas y responsabilidades, para facilitar la identificación de los posibles riesgos operativos en cada uno de los procesos. Para ello, se construye un listado de procesos de la cadena de valor evaluada.

Construcción del catalogo teórico de los riesgos operativos en la cadena de valor

Una vez recolectada la información y analizado el flujo de procesos, se procederá a generar el “Catálogo Teórico de Riesgos Operativos”, en el cual se deberán señalar todos los riesgos operativos de forma teórica, los procesos y las áreas directas de apoyo, lo que servirá de guía a las unidades de negocio y apoyo para identificar los riesgos operativos que realmente se presentan en la cadena de valor y obtener con mayor detalle el inventario de todos los riesgos 36

Determinación de la técnica de identificación de los riesgos operativos

Un apropiado análisis de los riesgos operativos involucra el uso de técnicas acertadas de identificación de riesgos, para obtener la mayor información posible sobre la cadena de valor. La técnica de identificación debe estar estructurada para obtener información comparable de múltiples fuentes.

Las técnicas de identificación de riesgos son:

      Realizar una sesión de inducción sobre la Metodología de Gestión Riesgo Operacional (MGRO), a fin de preparar a los participantes y garantizar el acceso a la información.

Los participantes deben ser personas que conozcan el proceso que se está analizando y que tengan capacidad y disponibilidad de cumplir con todas las fases de la metodología y presentar su punto de vista frente a los demás miembros del taller Las sesiones deben ser conducidas de manera que incentiven la participación activa de todos los integrantes del grupo.

Cada sesión debe indicar la agenda y los pasos a seguir para que sirvan de guía en el desarrollo efectivo del taller de trabajo (workshop).

Los resultados obtenidos en la identificación de riesgos deben analizarse y expresarse de forma que recoja una percepción consensual de los riesgos operativos.

Facilitar la retroalimentación permanente de los análisis y conclusiones, a los fines de incorporar posibles cambios que surjan en los talleres.

RESUMEN:

Ejemplo de los lineamientos que debe contener un taller de trabajo(workshop), incluyendo una agenda recomendada : Lineamientos para un taller de trabajo (workshop) Agenda recomendada Agenda sugerida para una apropiada sesión de entrevista 38

Selección de personas clave para la identificación de riesgo

A los fines de realizar una selección de las personas clave, es recomendable indagar sobre las preguntas siguientes:

¿Qué ocupan dentro de la organización y cuáles son posiciones responsabilidades?

sus

17 2 8 1 6 9 4 22

son las

competentes para identificar los

13 26

¿Cuáles son sus niveles de conocimiento de la cadena de valor?

11 12 20 3 19 14

¿Cuáles son sus contribuciones

para lograr la

identificación de

15 21 25

Construcción del inventario de los riesgos operativos en la cadena de valor

A efectos de lograr una adecuada identificación de los riesgos operativos, es importante considerar lo siguiente: En caso de no contar con la documentación de los procesos de la cadena de valor, bajo el enfoque de modelos extendidos de negocio, se sugiere realizar una diagramación de los principales flujos de procesos asociados a la cadena de valor y efectuar la identificación de los riesgos operativos con narrativas descriptivas, en donde el funcionario principal del proceso describe las actividades / pasos que ejecuta y el especialista de la unidad de control de riesgos facilitará la identificación de los riesgos.

Se recomienda que los participantes se a abstraigan de los controles existentes, a fin de que puedan visualizar los riesgos inherentes a la cadena de valor, ya que en caso de fallar el control se materializaría el riesgo.

A fin de facilitar una guía para la identificación de los riesgos operativos, se podría utilizar el “Catálogo Teórico de Riesgos Operativos”, que ha sido elaborado en el paso 1.1.2

Categorización de los riesgos operativos

Consiste en clasificar los riesgos operativos listados en el “Inventario de Riesgos Operativos” según las siguientes categorías / niveles: Categoría de Riesgos Operativos (RO) / Nivel I: Naturaleza u origen de los riesgos: Personas: posibles pérdidas generadas por fallas en el recurso humano Procesos: ausencias Posibles o en la ejecución pérdidas deficiencias en por los procedimientos que originan debilidades Sistemas :Posibles pérdidas generadas por fallas en los sistemas o tecnologías .

Eventos Externos: Posibles pérdidas por cambios adversos en el entorno de la organización, generados por fuerzas de la naturaleza o por terceros.

Categoría de RO / Nivel II: El origen potencial de las pérdidas de acuerdo a lo establecido por Basilea II:

Factores / Categorías

Tecnología Clientes Proceso productivo Capital Humano

Eventos Riesgo / Oportunidad

• Nueva tecnología disponible para la línea de producción • Sistema de información obsoleto • Cambio en el patrón de consumo • Deterioro del poder adquisitivo del mercado • Determinación de baja calidad de los productos • Aumento del número de accidentes • Adquisición de un nuevo software de control • Huelga del personal • Cambio en la productividad del personal • Oportunidad • Riesgo • Ambos • Riesgo • Riesgo • Riesgo • Oportunidad • Riesgo • Ambos 44

FASE I: Evaluación

1. Multas por violaciones ambientales y sanitarias 2. Deterioro de Imagen 3.

Daño en el ambiente 4.

Pérdida de mercado por precios bajos 5. Litigios clientes por incumplimientos 6. Lenta respuesta a 7.

necesidades de clientes Alta concentración venta en pocos clientes Insatisfacción de clientes no percibida Clientes Entorno Inversión Liquidez Riesgo 26. Flujo de caja irreal 27. Costo oportunidad 28.

Bajo retorno inversión RRHH 22. Contrataciones colectivas 23. Huelgas que afecten la producción 24. Fraudes – Ética 25. Actos y conductas ilegales Logística 19. Obsolescencia de inventario 20. Alto costo materia prima 21. Alto inventario de repuestos 9. Plan de contingencia 10. Calidad de servicio 11. Integridad de la información 16. Proceso Productivo ineficiente 17.

Plan de producción ineficiente 18. Alto costo laboral 12. Alta dependencia 13. Proveedores no confiables 14. Riesgo cambiario 15.

Alta inflación

Determinación del riesgo legal y reputacional como consecuencia de un riesgo operacional

A continuación se presentan las definiciones de Riesgo Legal y Riesgo Reputacional: Riesgo legal: Pérdidas por incumplimientos de leyes, normas, reglamentos, prácticas prescritas o normas de ética.

Riesgo reputacional: El Riesgo Reputacional surge cuando la forma de conducir el negocio no satisface las expectativas de los grupos de interés 46

TALLER

Paso 2: Análisis y valoración de los riesgos operativos

Objetivo:

Realizar un análisis y valoración de los riesgos operativos, que permita comprender el perfil de riesgo y dirigir de manera más efectiva los recursos para la gestión de los riesgos identificados. A tal efecto, se tomarán como insumo los inventarios de riesgos operativos obtenidos durante la Fase 1 de identificación de riesgos, para analizar y valorar los riesgos inherente, residual y reputacional y determinar aquellos riesgos operativos que requieran una auto-evaluación de los controles de forma prioritaria.

Técnicas cualitativas

Técnicas cuantitativas Mientras algunas mediciones cualitativas son definidas en términos subjetivos y otras en más de un término objetivo, la calidad de la evaluación depende en gran parte del conocimiento y juicio de los individuos involucrados y que además entiendan los eventos potenciales y el entorno que les rodea.

Las técnicas cuantitativas pueden ser usadas cuando existe suficiente información estadística o numérica para estimar la frecuencia de ocurrencia o el impacto del riesgo, usando escalas de intervalos o de razón. Adicionalmente, son comúnmente utilizadas para el análisis de riesgos en procesos o áreas específicas de una organización.

Para propósitos de ilustración, se puede indicar que existen cuatro tipos generales de medidas:

Escala nominal Escala de razón

Tipos generales de medida

Escala ordinal Escala de intervalos 51

RESUMEN:

A continuación se presenta un resumen de esta fase, que abarca insumos, sub-fases, productos entregables y referencias.

Insumos

Inventario de riesgos operativos -Inventario de riesgos operativos categorizados I identificación del riesgo legal y reputacional como consecuencia del riesgo operacional

Sub-Fases

Análisis y valoración del riesgo inherente Análisis y valoración del riesgo residual Análisis y valoración del riesgo reputacional --

Productos Entregables

Mapa de riesgo inherente -Mapa de riesgo residual -Matriz del impacto del riesgo reputacional 52

Sub- fases del análisis y valoración de los riesgos operativos

A continuación se presentan gráficamente las tres (3) sub-fases que forman parte de la evaluación de los riesgos operativos: 2.1 Análisis y valoración del riesgo inherente 2.2 Análisis y valoración del riesgo residual 2.3 Análisis y valoración del riesgo reputacional 53

Análisis y valoración del riesgo inherente

En esta sub-fase se determinarán el nivel de impacto por evento y la frecuencia de ocurrencia de cada riesgo operacional. Para esta actividad, se tomará como base los inventarios de riesgos operativos elaborados en la Fase 1. Finalmente, se obtendrá el impacto anualizado o riesgo inherente, como resultado de multiplicar el impacto por cada evento y la frecuencia de ocurrencia de este evento en un año.

intervalos de escalas definidos en los pasos.

Para la determinación del impacto y la frecuencia de ocurrencia, se utilizarán los 54

Determinación del impacto del riesgo inherente

En este paso se persigue determinar el impacto que podría tener un evento, por cada riesgo operacional identificado, sobre el patrimonio de la empresa. Para ello, se utilizará una escala valorativa.

De esta manera, se obtiene el impacto de un evento al año para cada riesgo operacional identificado.

Cuando se cuente con una base de datos histórica de pérdidas, se podrán utilizar fórmulas estadísticas para el cálculo de intervalos, tal como la de Sturges que se ilustra a continuación:

• Cuando se cuente con una base de datos histórica de pérdidas, se podrán utilizar fórmulas estadísticas para el cálculo de intervalos, tal como la de Sturges que se ilustra a continuación: • • • • • • [k = 1 + 3.3222 log10 (n)] Donde k: es el número de intervalos y n: es el número de datos. Los intervalos de la escala pueden ser uniformes o no, es decir que no necesariamente todos los intervalos mantendrán la misma amplitud o longitud. Por ejemplo: • – Si se cuenta con una base de datos histórica de pérdidas, se podrá calcular la longitud de clase uniforme, utilizando la fórmula siguiente: l = Dato mayor – Dato menor K Donde l: es la longitud que deben tener los intervalos y K: es el número de intervalos.

A continuación se presenta la escala que puede ser utilizada para valorar el impacto patrimonial de los riesgos:

• • • • • • • • • • • • Base de la escala = 100 US$.

Luego, para hallar los límites superiores de los diferentes grados de la escala, se procede a utilizar la siguiente fórmula: Lim superior (n)= Base X 10n-1; n ≥ 1 Por ejemplo, para calcular el límite superior del grado de escala 1 y 2, se procede de la siguiente manera: Lim superior (1) = 100 X 10(1-1) = 100 Lim superior (2) = 100 X 10(2-1) = 1.000

Y así, sucesivamente.

A continuación, se muestra la tabla con los valores que corresponden a esta escala:

Código Color Indicad or Bajo Grado de Escala 1 2 Orden de Magnitud en US$ 0 – 100 101 - 1.000

Descripción El riesgo afecta poco al patrimonio de la Empresa.

Medio Alto 3 4 5 6 7 1.001 - 10.000

10.001 - 100.000

100.001

1.000.000

El riesgo significativamente afecta patrimonio de la Empresa.

al 1.000.001

10.000.000

≥ 190,000.

El riesgo afecta seriamente al patrimonio Empresa .

de la 58

Color

Determinación de la frecuencia de ocurrencia anualizada del riesgo inherente

El número de veces que un evento se repite en el año, se puede expresar como se muestra en la siguiente tabla: Código Color Bajo Medio Alto Grado de Escala 8 9 10 11 12 1 2 3 4 5 6 7 Descripción 1 al año 2 al año 1 al trimester 1 al mes 2 al mes 1 por semana 2 por semana 1 al día 2 - 5 al día 6 - 20 al día 21 - 40 al día ≥41 al día Ocurrencia Annual 1 2 4 12 24 52 104 365 1,278 4,745 11,133 14,965 59

Determinación del riesgo inherente

Una vez determinado el impacto unitario y la frecuencia de ocurrencia de cada riesgo operacional, se elaborará una “Matriz de Análisis y Valoración del Riesgo Inherente”, en la cual se consoliden el impacto unitario y la frecuencia de ocurrencia de los riesgos. En otras palabras, se procederá a multiplicar el impacto determinado de cada riesgo por la frecuencia de ocurrencia de cada uno de esos riesgos, a fin de obtener el riesgo inherente; este último monto se debe ubicar en la escala de impacto del riesgo patrimonial, para determinar que grado le corresponde.

Elaboración del mapa de riesgo inherente

A fin de tener una visión global de los riesgos, a los cuales está expuesto el Empresa, se elabora el mapa de riesgo inherente, el cual podrá ser mediante curvas o cuadrantes.

Frecuencia de ocurrencia

Elaboración del mapa de riesgo inherente

A fin de tener una visión global de los riesgos, a los cuales está expuesto el Empresa, se elabora el mapa de riesgo inherente, el cual podrá ser mediante curvas o cuadrantes.

Más de 10 000 000

1 000 001 - 10 000 000

100 001 - 1 000 000

10001 - 100000

1001 - 10000

101 - 1000

0 - 100

1 2 4 12 24 52 104 365 1 278 4 745 11 133 14 965

1 Figura Nº 4.2 Mapa de riesgos operativos 2 3 4 5 6 7

Ocurrencia Anual (Veces)

8 9 10 11 12 62

Análisis y valoración del riesgo residual

En esta sub-fase se identificarán los controles de los riesgos inherentes, que mitiguen la frecuencia, el impacto o ambos, para determinar el riesgo residual.

De esta manera, se obtendrá la “Matriz de Análisis y Valoración del Riesgo Residual ” 63

Identificación y evaluación funcional de los controles asociados a la cadena de valor

Un control interno se define como el proceso efectuado por la Junta Directiva, la Gerencia y el resto del personal de una organización, diseñado para proveer una seguridad razonable.

El control interno no debe ser acontecimientos, mecanismos o decretos aislados de la gerencia. Son mucho más efectivos cuando se crean en los procesos de negocios. El control interno se refiere a la gente, por lo cual todas las personas en sus diferentes niveles de cargo deben estar conscientes de la evaluación y los controles de los riesgos, a fin de responder de manera apropiada. No se puede esperar que los controles internos eviten todos los problemas, aborden todos los asuntos o permitan la suficiencia organizacional .

El personal de las unidades de negocios y apoyo, deberá identificar los controles, que mitigan los riesgos operativos, tomando en cuenta lo siguiente:

 ¿Quién ejecuta el control ? (una persona / sistema de información)  ¿Qué tarea pone en acción el control? (aprobación, comparación, reconciliación)  ¿Cuándo? (frecuencia de ejecución del control: tiempo real, lotes, diario, semanal)  ¿Dónde? (punto de la transacción donde se ejecuta el control)  ¿Cómo se realiza el control y su evidencia?

Efectividad

Escala cualitativa para valorar la efectividad de los controles implantados

Descripción Ponderación Control efectivo El control identificado reduce los niveles inherentes de impacto, frecuencia de ocurrencia o ambos en un 75% 0,25 (un control no elimina el riesgo) Control medio El control identificado reduce los niveles inherentes de impacto, frecuencia de ocurrencia o ambos en un 50% 0,50 Sin control control inefectivo o No se identificaron controles, por lo que los niveles inherentes de impacto y frecuencia de ocurrencia quedan iguales.

El control es inefectivo 1 66

Determinación del impacto unitario del riesgo residual

En este paso se determinará el impacto de cada riesgo operacional identificado, considerando los controles que la gerencia ha identificado para mitigar ese riesgo.

En este sentido, se procederá a calcular, para cada riesgo operacional identificado, el impacto unitario residual mediante la siguiente fórmula: Impacto Unitario Residual = (Impacto Unitario Inherente) * (Efectividad del Control) 67

Determinación de la frecuencia de ocurrencia anualizada del riesgo residual

En este paso, se revaluará la frecuencia anual de cada riesgo operacional identificado, considerando los controles identificados que mitigan ese Para obtener la frecuencia anualizada residual, se utilizan los resultados obtenidos al valorar la efectividad de los controles implantados. Se procederá a calcular, para cada riesgo operacional identificado, la frecuencia anualizada residual mediante la siguiente fórmula: Frecuencia Anualizada Residual = (Frecuencia Anualizada Inherente) * (Efectividad del control) 68

Determinación del riesgo residual

Una vez calculada el impacto y la frecuencia anualizada inherente, se procede a calcular el riesgo residual. Para esto se toma el total del riesgo inherente multiplicado por la efectividad del control. Para cada uno de los riesgos es importante determinar cuál de las dos dimensiones está disminuyendo el riesgo, (ya sea el impacto, la probabilidad o ambos). Una vez que se ha calculado la dimensión que afecta la efectividad del control, se procede a ubicar el resultado en la escala del mapa.

Ejemplo del cálculo del Riesgo Residual:

Si el impacto de un riesgo inherente es $50 000 y su frecuencia de ocurrencia es 12 veces en un año, el total del riesgo inherente es: $600 000. Si se determinó que el grado de efectividad del control es medianamente efectivo, el riesgo residual es el resultado de multiplicar $600 000 X 0.5, lo que da un riesgo residual de $300 000 .

Elaboración del mapa de riesgo residual

Como producto de este paso se obtendrá el “Mapa de Riesgo Residual. En este sentido, se elabora el “Mapa de Riesgo Residual”, de la misma forma como se construyó el “Mapa de Riesgo Inherente”, pero utilizando los valores de frecuencia anualizada residual e impacto anualizado residual.

Análisis y valoración del riesgo reputacional

Los riesgos operativos identificados decisión, dentro de un grupo de riesgos .

que puedan desencadenar riesgos reputacionales. En este sentido, se podrá utilizar la escala definida en la Tabla N° 8, donde se establecen valores cualitativos. Ello permitirá centrar los esfuerzos en aquellos riesgos operativos que, a su vez, tengan implícito un riesgo reputacional, como elemento de 72

Escalas para medir el nivel de riesgo reputacional

Daños de Imagen (Valor Cualitativo ) Código Indicador Grado de la Color Escala Descripción  Débil Medio 1 2    El evento atrajo la atención de personas externas aunque limitado a un pequeño círculo (determinados clientes, autoridades locales, entre otros).

El evento es conocido sólo al ámbito de la institución.

El evento atrajo la atención de un amplio rango de personas (reguladores).

El nombre de la Empresa es citado públicamente.

 Fuerte 3    Pérdida de reputación colocando en peligro la continuidad del negocio.

Múltiples citaciones en los medios de comunicación.

la Empresa es cuestionado con respecto a como ha coordinado la situación y más aún sus valores y sus prácticas.

Investigaciones externas.

ESTRATEGIA DE GESTION DE LOS RIESGOS OPERATIVOS

Fase 3: Determinación de las estrategias de gestión de los riesgos operativos

Objetivo:

El objetivo de esta fase es determinar las acciones que se emprenderán para reducir y/o mantener el riesgo dentro de los niveles aceptables para la organización 75

Riesgos a los que se encuentran expuesta la organización

Impacto Riesgo Inherente

Más de 10 000 000 1 000 001 - 10 000 000 100 001 - 1 000 000

Riesgo Residual

10001 - 100000

Zona de riesgos que requieren acci ó n

Zona aceptaci ó n de riesgos

1001 - 10000 101 - 1000 0 - 100

1 2 3 4 5 6 7 8 9 10 11 12

1 2 4 12

Zona Aceptación de Riesgos

24 52 104 365 1 278 4 745 11 133 14 965

RESUMEN:

A continuación se presenta un resumen d de lo concerniente a esta fase :

Insumos

-Mapa de riesgo inherente -Mapa de riesgo residual Matriz de evaluación

Sub-Fases

Definición de las estrategias de gestión de los riesgos operativos Priorización de los riesgos operativos Evaluación de las estrategias de los riesgos operativos Selección de la estrategia de gestión del riesgo Integración de las actividades de control con la estrategia de gestión de riesgo Determinación de la prioridad y responsable de implantación --

Productos Entregables

Plan de implantación 77

Sub-fases de la determinación de las estrategias de gestión de los riesgos operativos

A continuación se presentan gráficamente las seis (6) sub-fases que forman parte de la determinación de las estratega las de gestión de los riesgos operativos:  Definición de las estrategias de gestión de los riesgos operativos  Priorización de los riesgos operativos  Evaluación de las estrategias de gestión de los riesgos operativos  Selección de la estrategia de gestión del riesgo  Selección de la estrategia de gestión del riesgo  Determinación de la prioridad y responsables de implantación 78

Definición de las estrategias de gestión de los riesgos operativos

En esta sub-fase, el área operativa y riesgo operativos, definirán las estrategias de gestión que seleccionarán para cada riesgo, las cuales deberán estar sujetas al apetito de riesgo y al nivel de tolerancia al riesgo establecidos por la institución.

Esto se terminará de definir y ajustar, con el apoyo brindado por la Gerencia de las unidades de negocio.

Opciones para gestionar el riesgo operacional

Priorización de los riesgos operativos

En esta sub-fase se establecerá la prioridad de los riesgos operativos residuales, calculados en la Fase 2, sobre los cuales la Gerencia focalizará las estrategias de gestión. Para ello, se ordenan los riesgos operativos según su nivel de criticidad y se seleccionan aquellos riesgos que requieren de una acción inmediata.

5 4 3 2

Zonas de tratamiento y aceptación de los riesgos

Riesgos que requieren de un plan de específico acción Zona de riesgos que requieren acciones Zona de aceptación de riesgos 3 4 5 6 7 8 9 10 11 12

Evaluación de las estrategias de gestión de los riesgos operativos

En esta sub-fase, la Gerencia de las unidades de negocio y apoyo evaluarán la viabilidad de las estrategias de gestión determinadas anteriormente.

Dicha viabilidad se determinará en términos del efecto de la estrategia de gestión sobre el impacto y la frecuencia de ocurrencia del riesgo, del análisis del costo-beneficio y de la identificación de posibles oportunidades.

El objetivo fundamental es evaluar cuan efectiva es la estrategia de gestión para reducir el riesgo residual.

Evaluación del efecto de la estrategia de gestión del riesgo sobre el impacto y la frecuencia de ocurrencia

Una de las opciones para evaluar las estrategias de gestión de los riesgos operativos es determinar su efecto sobre el impacto, sobre la probabilidad de ocurrencia o sobre ambos.

el impacto, aunque si la probabilidad de ocurrencia .

Por ejemplo, una institución podría movilizar sus servidores principales desde una región geográfica de alta peligrosidad por fenómenos naturales devastadores hacia otra de mayor estabilidad, pero ello no disminuirá 84

Métodos de análisis de costo-beneficio

El análisis de costo-beneficio permite establecer la factibilidad financiera de las estrategias de gestión del riesgo operacional determinadas. Su objetivo fundamental es proporcionar una medida de los costos en que se podría incurrir, y, a su vez, comparar dichos costos previstos con los beneficios esperados.

Análisis costo-beneficio

Implantación de las Estrategias de Gestión de Riesgo Priorización de los Riesgos Operativos para la Implantación 86

Identificación de posibles oportunidades

Cuando se evalúan las estrategias de gestión de riesgos, también se podrían identificar nuevas oportunidades para la organización. Para la Gerencia de las unidades de negocio y apoyo, la evaluación de estrategias de gestión de riesgos podría ser innovadora y podrían surgir algunas oportunidades.

negocio o mejora.

De esta manera, al momento de seleccionar la estrategia de gestión, la Gerencia podría inclinarse por la estrategia en la cual identificó alguna nueva oportunidad de 87

Selección de la estrategia de gestión del riesgo

En esta sub-fase, se deberá elegir la estrategia de gestión, para cada riesgo operacional, de forma que se ubiquen los riesgos dentro de los límites de tolerancia establecidos por la organización.

Integración de las actividades de control con la estrategia de gestión del riesgo

En esta sub-fase, se deben definir las actividades de control a ser implantadas acordes con la estrategia de gestión de riesgo.

En la selección de las actividades de control, la Gerencia deberá considerar como se pueden integrar a una o varias estrategias de gestión de riesgo .

Así mismo, se deben determinar los tipos de controles a implantar:

Preventivos Detectivos Correctivos

Determinación de la prioridad y responsables de implantación de la estrategia de gestión del riesgo En esta sub-fase, se deberá establecer la prioridad y los responsables de implantación de la estrategia de gestión de riesgo. El plan de prioridades de implantación debe contemplar los siguientes aspectos:

- Indicar las acciones estratégicas para gestionar el riesgo operacional con la asignación de la unidad organizativa o persona responsable.

-Establecer el período de tiempo requerido para la implantación de los planes de acción. El período de tiempo requerido de implantación definido por el Empresa, consta de los plazos siguientes: Corto plazo: 0 a 6 meses.

Mediano plazo: 6 a 12 meses.

Largo plazo: Mayor a 12 meses.

Fase 4: Información y comunicación de la gestión de los riesgos operativos

Objetivo:

Desarrollar una estructura y proceso de información y comunicación del estado de gestión de los riesgos operativos, que permita a la Gerencia de las unidades de negocio y apoyo comunicar el estatus de los riesgos operativos. En este sentido, la información debe identificarse, captarse y comunicarse de una forma y en un marco de tiempo que permiten a las personas llevar a cabo sus responsabilidades. Asimismo, la organización debe contar con los medios para comunicar la información significativa desde los niveles operativos hasta la alta gerencia, los comités y la Junta Directiva.

También debe haber una comunicación eficaz con terceros, como es el caso de clientes, proveedores y accionistas.

Ejemplo del proceso de información y comunicación sobre la gestión de los riesgos operativos Proceso de Información y Comunicación de la Gestión de los Riesgos Operativos

Junta Directiva / Comité • de Riesgo Alta Gerencia     

Perfil de riesgo operacional Acciones para mitigar riesgos Efectividad y avance de las acciones aplicadas Estado del marco de gestión de riesgos operativos Principales eventos / incidentes de riesgo

• Línea gerencial • Personal operativo Reporte Externo           

Resultados de los indicadores clave de desempeño (Ley Performance Indicator / KPI) Resultados de los indicadores clave de riesgo (Key Risk Indicator / KRI) Comentarios de los principales eventos / incidentes de riesgo Áreas donde los riesgos cambian adversamente Nueva exposición al riesgo Avance de las acciones en riesgos potenciales Comentario de los principales eventos / incidentes de riesgo Principales eventos / incidentes de riesgo Áreas donde los riesgos cambian adversamente.

Avances de las acciones en riesgos potenciales Divulgación de los riesgos y prácticas para gerenciar los riesgos a los entes relacionados

RESUMEN:

A continuación se presenta un resumen de lo concerniente a esta fase :

Insumos

Plan de implantación

Sub-Fases

Definición de las directrices para informar el estado de la gestión de los riesgos operativos . Establecimiento del proceso de información y comunicación del estado de la gestión de los riesgos

Productos Entregables

Proceso de información y comunicación del estado de gestión los riesgos operativos.

Sub-fases de la información y comunicación del estado de gestión de los riesgos operativos

Definición de las directrices para informar el estado de la gestión de los riesgos Establecimiento del proceso de información y comunicación del estado de la gestión de los riesgos .

Definición de las directrices para reportar el estado de la gestión de los riesgos

En esta sub-fase, se describen los lineamientos que deben ser considerados al comunicar la gestión de los riesgos operativos, a fin de que la información pueda fluir de manera precisa y oportuna.

Establecimiento del proceso de información y comunicación del estado de la gestión de los riesgos

En esta sub-fase, se establece el proceso que se debe seguir a fin de comunicar la situación o avance de la gestión de los riesgos operativos, de manera efectiva, para lo cual se requiere definir la estructura de información y comunicación, el alcance, la frecuencia de la información y los canales de comunicación a ser utilizados.

Definición de la estructura de información y comunicación

En este paso, la Gerencia de las unidades de negocio y apoyo deberá acordar con su personal y con la unidad de control de riesgos la estructura, para que la información se comunique de forma fluida a las partes interesadas, tanto internas como externas.

Ejemplo de una estructura de información y comunicación:

100

ENTES INTERNOS:

El proceso de comunicación con entes internos debe producirse de forma clara y directa, para que la información se direcciones específicamente a los entes revisores de la gestión de los riesgos operativos y que reflejen correctamente las acciones, expectativas, roles y responsabilidades del personal involucrado.

La comunicación con entes internos debe proveer al personal y a la organización, principalmente, lo siguiente:

 La importancia y relevancia de la gestión de los riesgos operativos.

 La alineación de la gestión de los riesgos con los objetivos de la organización.

 El apetito y la tolerancia al riesgo operacional.

 Un lenguaje común de riesgo operacional.

 Las funciones y responsabilidades del personal de la organización en el apoyo a la gestión de los riesgos operativos.

101

Ejemplo de un proceso de comunicación con entes internos

102

ENTES EXTERNOS:

Dentro de la estructura de información y comunicación, también se debe estructurar una comunicación apropiada a los entes externos, tales como: clientes, proveedores, auditores, reguladores y otros relacionados.

103

Definición del alcance y frecuencia de la información

En este paso, se establecerá el alcance y frecuencia de la información a reportar, lo cual debe ser consistente con las necesidades de información de la organización sobre la situación o avance de la gestión de los riesgos operativos.

La información debe fluir de manera oportuna, para reaccionar proactivamente sobre cualquier cambio que se requiera en la estrategia de gestión de los riesgos operativos.

104

Alcance global de la información a comunicar

Zona 1 Sistemas / Aplicaciones operativas: • Transacciones • De captura mantenimiento y distribución de información Zona 3 Sistemas de gestión de incidentes: • Sistemas de alerta de fraude • Información de pérdidas por fraude Zona 2 Sistemas de reporte financiero: • Mayor general • Cuenteas automatizadas • Ajuste manual de cuentas Zona 4 Sistemas de información gerencial: • Almacenamiento de datos (data warehouse) • Modelos de cuantificación Reporte de la situación o avance de la gestión de los riesgos operacionales, por ejemplo: Indicadores clave de riesgos, reporte de incidentes / eventos de pérdida operacional.

Reporte del estado financiero 105

Determinación de los canales de información y comunicación

En este paso se determinarán los canales de comunicación que las unidades de negocio y apoyo deberán utilizar para realizar un reporte efectivo de la situación o avance de la gestión de los riesgos operativos .

106

Fase 5: Monitoreo de los riesgos operativos

Objetivo:

Establecer un efectivo proceso de seguimiento de los riesgos operativos, lo cual permitirá velar por la implantación de las estrategias de gestión de los riesgos, recopilar la información pérdidas / incidentes de riesgos operativos.

sobre sus avances o reestructuraciones a que dieran lugar o su culminación; así como también asegurar que se detecten, comuniquen y gestionen los eventos de La gestión de riesgo operacional se monitorea revisando la presencia y funcionamiento de sus fases a lo largo del tiempo, lo cual se puede llevar a cabo mediante monitoreo continuo, auto-evaluaciones separadas, análisis de eventos de pérdidas operativos y medición de la cultura de riesgo y control.

108

Reestructuración del plan de implantación producto del monitoreo de las estrategias de gestión de los riesgos operativos

Riesgos Operativos Identificados Nuevos Riesgos Operativos Identifica si el existente plan de estrategias de gestión se ha implantado en las cadenas de valor.

Establece los objetivos del plan de estrategias de gestión; por ejemplo, cuales riesgos están siendo mitigados.

Evalúa si las estrategias de gestión existentes satisface los objetivos fijados.

Determina si el plan de estrategias de gestión es suficiente y relevante, es decir, si no se requiere agregar o eliminar alguna(s) de las estrategia(s) de gestión.

Evalúa si la gestión de los riesgos está diseñada para considerar nuevos riesgos, en función del apetito y niveles de tolerancia.

Determina si el plan de estrategias de gestión existente puede ser modificado para mitigar/controlar identificados.

los nuevos riesgos Identifica y evalúa un rango de opciones de respuesta /estrategias de gestión de los riesgos.

Diseña un plan de implantación de las estrategias (KRI´s).

de gestión seleccionadas, incluyendo los indicadores clave de riesgo Ejecuta el plan de implantación.

109

RESUMEN:

A continuación se presenta un resumen de lo concerniente a esta fase:

Insumos

Proceso de información y comunicación del estado de gestión los riesgos operativos

Sub-Fases

Monitoreo de la gestión de los riesgos operativos Monitoreo de la gestión de los riesgos operativos

Productos Entregables

-Formatos de monitoreo de riesgos operativos 110

Sub-fases del monitoreo de los riesgos operativos

Monitoreo de la gestión de los riesgos operativos Métodos de monitoreo 111

Monitoreo de la gestión de los riesgos operativos

En esta sub-fase, las unidades de negocio y apoyo deben velar por la implantación de las estrategias de gestión de los riesgos operativos y deben informar a la unidad de control de riesgos sobre la culminación o reestructuración de cronogramas de todas las estrategias de gestión de los riesgos operativos, establecidas en la Fase 3, y del proceso de información y comunicación, establecido en la Fase 4; adicionalmente, también deben realizar el monitoreo de los indicadores de riesgo operacional .

112

Métodos de monitoreo

En esta sub-fase se presentan cuatro (4) métodos que pueden ser utilizados para monitorear las estrategias de gestión de los riesgos operativos: Monitoreo continuo, auto evaluaciones separadas, análisis de eventos de pérdida operacional y medición de la cultura de riesgo y control. También puede utilizarse combinaciones de las cuatro, para asegurar la efectividad del monitoreo.

113

Auto-evaluaciones separadas

Consiste en monitorear el estado de la gestión de los riesgos operativos en un momento determinado (por ejemplo: trimestral, semestral o anualmente) o cuando ocurran eventos como:  L Reestructuración.

 Incremento en el volumen de transacciones.

 Nuevas tecnologías.

 Cambios organizacionales.

 Nuevos productos .

 Eventos externos que impacten a la organización 114

Los elementos que deben ser considerados al aplicar auto-evaluaciones separadas, son los siguientes:

 Alcance  ¿Quién se auto-evalúa?

 Proceso de auto-evaluaciones separadas  Metodología  Documentación 115

Análisis de eventos de pérdida operacional

El análisis de eventos de pérdida operacional es un proceso importante en demostración de la necesidad de gestionar los riesgos operativos y permite demostrar como la unidad de control de riesgos puede mejorar los procesos utilizados para reducir las pérdidas y agregar valor al negocio .

116

Un ejemplo de cómo se pueden presentar los eventos de pérdida operacional :

117

Medición de la cultura de riesgo y control

La cultura de riesgo y control es definida como el conjunto de valores, conocimientos y prácticas compartidas que indican cómo la organización considera los riesgos en las actividades del “día a día”.

Constituye un factor clave de éxito para la gestión de los riesgos operativos.

118

Entre los principales beneficios de la medición, se encuentran los siguientes:

 Proporciona una visión global de cómo la estrategia de control interno y gestión de riesgo está integrado y se ha alineado en todos los niveles de cargo y áreas de la organización .

 Provee información para desarrollar acciones que contribuyan con el fortalecimiento de la cultura de riesgo y control .

 Provee información sobre los atributos clave de una efectiva y sólida gestión integral de riesgos .

 Permite establecer un indicador que puede ser medido regularmente para monitorear e identificar posibles desviaciones y evoluciones en el ámbito de la cultura y práctica de gestión de riesgo y control interno 119

Normas de actualización de la guía metodológica

El marco metodológico contenido en este documento de trabajo debe ser actualizado cuando se presenten cambios externos o internos que impacten al Marco de Gestión de Riesgo Operacional de la empresa. A tal efecto, se deben considerar los siguientes aspectos:  Se debe actualizar el marco metodológico y de procedimientos para la gestión de riesgo operacional, de forma anual o cuando se presenten cambios externos o internos de gran impacto sobre el Empresa  Las enmiendas del marco metodológico y los procedimientos para la gestión de riesgo operacional deben ser discutidos y aprobados por el Comité de Riesgos.

 Las revisiones frecuentes, bajo la asistencia de profesionales calificados, ayudarán a asegurar que el marco metodológico y de procedimientos para la gestión de riesgo operacional estén actualizadas y reflejen cambios de cualquier circunstancia .

120

Apéndice Glosario de Terminos MGRO

Activos Apetito de riesgo

Impacto Riesgo reputacional

Volatilidad Cadena de valor Catástrofe Segregación de funciones

1 22 5

Riesgo inherente

Auto evaluación

Tolerancia al riesgo

Riesgo operacional

Control interno

22 13

Riesgo residual

Evento

6 14 10 19

Riesgo legal

9 21

Frecuencia de ocurrencia Objetivo Cultura de riesgo

11 12

Organización

MGRO Monitoreo Riesgo 121