DIPLOMADO EN GESTIÓN DE RIESGOS

FINANCIEROS

GESTION DE RIESGO
OPERATIVO
Docente: Lic. Nataly Flores Roca
Herramientas de Gestión

Comité de Riesgo Operativo

Gestión de Eventos de Riesgo

Operacional en la Base

Gestión de Riesgos Operativos en los

Procesos

Gestión de Incidentes de Seguridad de la

Información

Auto Evaluación de Riesgo Operativo

Indicadores de Riesgo Operativo

Boletín de Riesgo Operacional

 INCIDENTES DE
SEGURIDAD DE LA
INFORMACIÓN
Seguridad de la Información
 Seguridad de la Información
“Seguridad de la información: Conjunto de medidas y
recursos destinados a resguardar y proteger la
información, así como los activos de información,
buscando mantener la integridad, confidencialidad y
disponibilidad de la misma”
Seguridad de la Información - Funciones
 Seguridad de la Información - Funciones
• Evite publicar información personal en redes sociales e internet en
general.

• Evite responder, abrir o ejecutar el contenido de correos de dudosa

procedencia.

• Evite acceder a páginas web mediante links de acceso directo,

escriba la dirección por su cuenta.

• Evite hacer uso de dispositivos USB personales o que hayan sido

encontrados como resultado de un olvido o extravío.
 Seguridad de la Información – Normativa

• 1) Política de uso aceptable.

• 2) Política de Seguridad Informática.

• 3) Manuales de Procedimientos:

a) Análisis y evaluación de Riesgos en Seguridad de la

Información.

b) Administración y control de Accesos

c) Control de registros Informáticos

d) Gestión de vulnerabilidades técnicas.

e) Gestión de incidentes de Seguridad de Información.

 Gestión de Incidentes
“La Entidad Supervisada debe tener un procedimiento para la
gestión de incidentes de seguridad de la información
formalizado, actualizado e implementado; aprobado por el
Directorio u Órgano equivalente, en concordancia con el Plan
de Contingencias Tecnológicas que mínimamente debe
contener:
a) Responsabilidades y procedimientos: La Gerencia General debe establecer formalmente
las responsabilidades y procedimientos para asegurar una rápida, efectiva y ordenada
respuesta a los incidentes de seguridad de la información;

b) Registro, cuantificación y monitoreo de incidentes de seguridad de la información: La

Entidad Supervisada debe establecer los mecanismos necesarios que permitan identificar la
tipología, los volúmenes y los costos de los incidentes de seguridad de la información, así
como las medidas asumidas para mitigarlos, garantizando que éstos sean registrados,
cuantificados y monitoreados.

De igual manera, debe ejecutar las acciones correctivas oportunas;

Clasificación de Incidentes de Seguridad de la Información

1. Pérdida de servicio;
2. Pérdida de equipo o instalaciones;
3. Sobrecargo o mal funcionamiento del sistema;
4. Errores humanos;
5. Incumplimiento de políticas o procedimientos;
6. Deficiencias de controles de seguridad física;
7. Cambios incontrolables en el sistema;
8. Mal funcionamiento del software;
9. Mal funcionamiento del hardware;
10. Código malicioso;
11. Negación de servicio;
12. Errores resultantes de datos incompletos o no actualizados;
13. Violaciones en la confidencialidad e integridad de la información;
14. Mal uso de los sistemas de información;
15. Accesos no autorizados exitosos, sin perjuicios visibles a componentes
tecnológicos;
16. Intentos recurrentes y no recurrentes de acceso no autorizado.
GESTION DE RIESGOS
OPERATIVOS EN LOS
PROCESOS
 Aspectos Normativos
“Directrices Básicas para la Gestión de Riesgo Operativo”, Libro 3°, Título V, Capítulo II, Sección 2.
señala lo siguiente:

“Art.5. Inventario de Procesos. La entidad supervisada en la gestión del riesgo operativo que lleva
adelante, debe realizar un inventario de procesos, determinando aquellos considerados como críticos.
Dicho inventario tiene que contener mínimamente la siguiente información:
a) Denominación del proceso.
b) La periodicidad de su ejecución.
c) Nivel de automatización.
d) Grado de descentralización.
e) Responsables de su ejecución, revisión y aprobación.
f) Documentación de entrada y de salida del proceso.
g) Productos y servicios que genera el proceso.
h) Su clasificación como proceso crítico o no.
 Objetivo del trabajo
El objetivo del trabajo es la identificación del Riesgo Operativo en los procesos, con el fin de:

Identificar, medir y evaluar de forma preventiva los Riesgos Operativos de los procesos y subprocesos, con
el objeto de adoptar medidas oportunas para mitigar estos riesgos a un nivel aceptable, tendientes a
reducir el riesgo, de acuerdo al perfil de riesgo.

Contar con el detalle de los procesos (Inventario de Procesos) asociados a líneas de negocio, con fines
de reporte al Ente Supervisor. Revisar y actualizar

13
 INVENTARIO DE PROCESOS
Incluye la revisión del marco normativo interno (Políticas, Reglamentos, Procedimientos, etc.) mismas que
serán contrastadas a través de los especialistas ejecutores de los procesos, designados por los dueños del
proceso.

PRODUCTOS Y
CODIFICACIÓN CODIFICACIÓN PERIODICIDAD DE SU NIVEL DE GRADO DE RESPONSABLE RESPONSABLE RESPONSABLE DOCUMENTACIÓN DOCUMENTACIÓN SERVICIOS QUE
MACROPROCESO PROCESO
INTERNA INTERNA EJECUCION AUTOMATIZACION DESCENTRALIZACION EJECUCIÓN REVISIÓN APROBACIÓN ENTRADA SALIDA GENERA EL
PROCESO

PLANILLA DE
PROMOCIÓN DE SOLICITUD DE
GESTIÓN CREDITICIA ASESOR DE CRÉDITO PLANILLA DE PROMOCIÓN FIRMADA
GNN_MP_1 PRODUCTOS GNN_MP_1_P001 CONTINUA 1 3 JEFE DE AGENCIA JEFE DE AGENCIA PRÉSTAMO DE
BANCA COMUNAL Y EDUCACIÓN (ACE) PROMOCIÓN POR LAS SOCIAS
CREDITICIOS BANCA COMUNAL
(ASISTENCIA)

FORMULARIO DE
RESOLUCIÓN DE
GESTIÓN CREDITICIA RECOPILACIÓN DE ASESOR DE CRÉDITO JEFE DE REGISTRO DE CLIENTES - FORMULARIOS
GNN_MP_1 GNN_MP_1_P002 CONTINUA 1 3 AUX. DE AGENCIA CRÉDITOS DE
BANCA COMUNAL INFORMACIÓN Y EDUCACIÓN (ACE) OPERACIONES CROQUIS - CONSULTA REVISADOS
BANCA COMUNAL
INFOCRED - SEGIP

14
MAPA DEL PROCESO
INVENTARIO DE PROCESOS

16
INVENTARIO DE PROCESOS

17
 IDENTIFICACIÓN DE RIESGO OPERATIVO
Analizar y evaluar los procesos, a efectos de
establecer posible existencia de debilidades en los mismos y adoptar las medidas oportunas,
tendientes a reducir el riesgo operativo al que se encuentran expuestos.
 Auto Evaluación de Riesgos y Controles

Parámetros de evaluación y nivel de exposición

PROBABILIDAD
ESCALA
Criterios
1. Muy Baja 2. Baja 3. Media 4. Alta 5. Muy Alta
Cantidad de eventos Podría Se Podría Nos podría ocurrir 1 Nos podría ocurrir Nos podría ocurrir
(caso por caso) presentarse presentar por lo vez al trimestre o 4 1 vez al mes o 12 más de 4 veces al
alguna vez en la menos 1 vez al veces al año veces al año mes o 52 veces al
entidad en un año año
periodo mayor a 1
año
0
Establecimiento de 2.3 Existen 3.3 Existencia de 4.3 No Existencia
Políticas/ políticas bien políticas y de políticas y
Procedimientos documentadas y procedimientos procedimientos o
claras. desactualizados. falta de
comunicación de
la misma.

Complejidad de 2.4 La actividad es 3.4 La actividad no 4.4 La actividad

Proceso simple y no es repetitiva ni es compleja y
requiere de un simple pero no requiere de un
nivel de requiere de un nivel nivel de
especialización de especialización especialización
alto (actividades alto. alto (especialistas)
estandarizadas y
repetitivas)
 Auto Evaluación de Riesgos y Controles

Parámetros de evaluación y nivel de exposición

IMPACTO

ESCALA
Criterios
1. Muy bajo 2. Bajo 3. Medio 4. Alto 5. Muy Alto
CUANTITATIVO
5.1. Impacto >a
1.1 Impacto <= 2.1 Impacto > a 3.1 Impacto >a 4.1 Impacto > a
Bs.150,000 x
Bs.1,000 x Bs. 1,000 pero Bs10,000 pero Bs. 50,000 pero
evento
Monto por evento. <= a Bs. 10,000 <= a Bs. 50,000 <= a Bs.150,000
Representa el x%
evento (Bs.) Representa el x evento x evento x evento
del PE ROP
x% del PE Representa el Representa el Representa el
ROP[ x% del PE ROP x% del PE ROP x% del PE ROP

Para la evaluación del impacto en la organización se deberá tomar en cuenta el impacto financiero, y
el impacto en el logro de los objetivos.
 CONOCIMIENTO DEL PROCESO

NORMATIVA INTERNA
* POLITICA,
PROCEDIMIENTO,
REVISION DE RNSF REGLAMENTO Y OTROS
RELACIONADA AL
PROCESO * MANUAL DE
ORGANIZACIÓN (VER
ESTRUCTURA DEL ÁREA Y
CARGOS ACTUALES)

JEFES DE RIESGO

* EVENTOS DE RIESGO OPERATIVO

RELACIONADOS AL PROCESO
* RIESGOS OPERATIVOS
IDENTIFICADOS
(ANTERIORMENTE GESTIONES O
REVISION DE RIESGO ADICIONAL

21
 IDENTIFICACIÓN Y DESCRIPCION DE RIESGO

Identificación de
Riesgos Determinación del Análisis de
DUEÑOS DEL RIESGO
(ESPECIALISTAS)

Falla + Causa + Riesgo Inherente controles

Consecuencia

Propuestas de
Determinación del
Planes de
Riesgo Residual
Mitigación

22
IDENTIFICACIÓN Y DESCRIPCION DE RIESGO

FALLA CAUSA CONSECUENCIA

Razón, motivo
Irregularidad, por el cual se Efecto, impacto
Desviación, origina un o resultado
Inconsistencia, suceso, hecho, negativo
Anormalidad. acontecimiento generado por la
o evento. causa.
23
IDENTIFICACIÓN Y DESCRIPCION DE RIESGO

FALLA CAUSA CONSECUENCIA

Incumplimiento a los
Cajero no registra
procedimientos
todos los servicios Pérdidas económicas
establecidos para
auxiliares cobrados .
transacciones en cajas

Incumplimiento a los procedimientos establecidos

RIESGO: para transacciones en cajas, debido a que el Cajero
no registra todos los servicios auxiliares cobrados,
ocasionando pérdidas económicas.
 QUIENES PARTICIPAN:

GESTIONAN
EL RIESGO Equipo de Riesgos (Jefes de Riesgos y
Jefe Nacional de Riesgo Operativo)

DUEÑOS DEL Gerentes de Área, que designan

PROCESO personal que conoce los procesos en
Sucursales y Agencias.

DUEÑOS DEL
RIESGO Especialistas designados por los
Gerentes de Área.
 COMO PARTICIPAN:
REVISION DE PROCESOS E IDENTIFICACION DE
RIESGOS OPERATIVOS
DAN A CONOCER:
ELABORAN EL
INVENTARIO DE
* EVENTOS DE RIESGO
JEFES DE PROCESOS
COORDINAN OPERATIVO
RIESGO SOLICITAN CONFORMAN REVISAN ACTIVIDADES DE * RIESGOS OPERATIVOS
REVISION DE
EXPERTOS TALLERES DE RO EJECUCIÓN DEL PROCESO IDENTIFICADOS (R. ADIC)
PROCESOS
* OBSERVACIONES ASFI, AI, IDENTIFICAN RIESGOS
AE. Y DAN A
CONOCERLOS

GERENTES DE
ÁREA
DESIGNA
ESPECIALISTAS

IDENTIFICAN: DAN CONFORMIDAD

CLASIFICAN PERIODICIDAD DEL INVENTARIO DE
ESPECIALISTAS
DE EJECUCION, NIVEL DE * RIESGOS INHERENTES PROCESOS Y LOS
PARTICIPAN DE * CONTROLES RIESGOS
AUTOMATIZACION Y GRADO
LOS TALLERES RO * RIESGOS RESIDUALES IDENTIFICADOS
DE DESCENTRALIZACION
ENTRE OTROS.

26
 COMO PARTICIPAN:

CONSOLIDACION DE CONSOLIDACION DE
PROCESOS Y CLASIFICACIÓN RIESGOS OPERATIVOS EN
DE LÍNEAS DE NEGOCIO PROCESOS

UNIFICAR RESULTADOS
DE RIESGOS
JEFE CONSOLIDACION DE IDENTIFICADOS POR
NACIONAL DE CLASIFICACIÓN ACTUALIZAR EL ELABORACION DE INFORME
INFORMACIÓN PARA EL AGENCIAS Y PROCESOS.
SEGÚN LINEAS DE INVENTARIO DE
RO INVENTARIO DE
NEGOCIO PROCESOS
PROCESOS

SOLICITAN DAN A CONOCER LOS

CONFORMIDAD RESULTADOS

GERENTES DE
ÁREA
DAN CONFORMIDAD Y REVISAN Y APRUEBAN INCLUYEN EN SUS
ACEPTAN LOS RIESGOS LOS PLANES DE ACTIVIDADES LA
MITIGACIÓN Y IMPLEMENTACION DE
FECHAS DE PLANES DE MITIGACION
27
CUMPLIMIENTO
 CRONOGRAMA

AGOSTO
ACTIVIDAD/ FECHA
8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
CAPACITACION EN LINEA X X
REVISIÓN RNSF, NORMATIVA INTERNA, EVENTOS X X
TALLERES, REUNIONES CON ESPECIALISTAS X X X
AGENCIA
GRANDE

REVISIÓN IN SITU O SOMBRA X

REVISION PLANILLAS Y RIESGOS IDENTIFICADOS
CON ESPECIALISTAS X
TALLERES, REUNIONES CON ESPECIALISTAS X X
PEQUEÑA
AGENCIA

REVISIÓN IN SITU O SOMBRA X

REVISION PLANILLAS Y RIESGOS IDENTIFICADOS
CON ESPECIALISTAS X X
 Autoevaluación de riesgos y controles
AUTOEVALUACION DE RIESGOS Y CONTROLES
INDICADORES
 DiseñoDE
DISEÑO de INDICADORES
indicadores

Genérico •Recogen la evolución del volumen de la operativa en general.

Orientado a Pérdidas •Ofrecen una plataforma de análisis de los posibles fallos que se
(Loss) hayan producido en los procesos de negocio. (reactivo)

Orientado a Riesgos •Se considera la causa que puede provocar el riesgo en un proceso .
(predictivo)
(Risk Point)

•Se definen considerando los fallos potenciales o reales en los

Orientado al Control
controles establecidos sobre los riesgos operacionales de la Entidad.

•Su definición requiere un análisis exhaustivo de los procesos con el

Análisis de puntos
fin de detectar los puntos de vulnerabilidad de los mismos que
clave (Análisis Risk)
puedan devenir en un riesgo.
DISEÑO DE INDICADORES

C.I.