sistema de gestión del riesgo operacional
Transcripción
sistema de gestión del riesgo operacional
1.2 SISTEMA DE GESTIÓN DEL RIESGO OPERACIONAL Riesgo Operacional Sistema de Gestión del Riesgo Operacional ÍNDICE Introducción ..................................................................................................... 3 Capitulo 1. Sistema de Gestión del Riesgo Operacional .................................... 4 Capítulo 2: Políticas de Riesgo Operacional ...................................................... 5 Capítulo 3: Procedimientos ............................................................................... 9 Capítulo 4: Responsabilidades ........................................................................ 12 ANEXO I - Clasificación de Eventos de Riesgo a Nivel 2 .................................. 15 ANEXO II - Líneas de Negocio a Nivel 2 .......................................................... 17 Glosario .......................................................................................................... 18 Página 2 de 18 Última actualización 17.11.2010 Riesgo Operacional Sistema de Gestión del Riesgo Operacional Introducción Este documento presenta el Sistema de Gestión del Riesgo Operacional del Banco de la Provincia de Buenos Aires (Bapro). El mismo se basa en el documento Gestión del Riesgo Operacional – Políticas y Estrategias aprobado por el Directorio en Resolución 1015/08 y sus modificaciones aprobadas en Resolución 136/10. Esta nueva versión se aplica en el marco de la revisión de las políticas y estrategias aprobadas oportunamente que se encuentra contemplado en la Comunicación “A” 4793 del Banco Central de la República Argentina (B.C.R.A.) y constituye el nuevo marco conceptual para que todo el personal de la Institución gestione el riesgo operacional como una disciplina integral y separada de los restantes riesgos. Página 3 de 18 Última actualización 17.11.2010 Riesgo Operacional Sistema de Gestión del Riesgo Operacional Capitulo 1. Sistema de Gestión del Riesgo Operacional El Sistema de Gestión del Riesgo Operacional (SGRO) representa la estrategia del Banco de la Provincia de Buenos Aires para la gestión de este riesgo en su ámbito y comprende las políticas, los procedimientos y la estructura organizacional para su gestión. Las políticas adoptadas por el Banco en materia de riesgo operacional se encuentran detalladas en el capitulo 2 del presente documento. En el capítulo 3 se establecen los objetivos, ámbito de aplicación y herramientas que debe contemplar el SGRO a través de la implementación de sus procedimientos. La estructura organizacional para la gestión del riesgo operacional se compone de los roles y responsabilidades de los distintos intervinientes en concordancia con la normativa del B.C.R.A. los cuales se encuentran detallados en el capítulo 4 del presente documento, y la creación de la Gerencia de Riesgo Operacional, cuya estructura orgánica, misiones y funciones son aprobadas por el Directorio. El Sistema de Gestión debe ser revisado con una periodicidad mínima de un año o cada vez que se produzcan, a juicio del Banco, hechos o situaciones de relevancia vinculadas a este riesgo. Página 4 de 18 Última actualización 17.11.2010 Riesgo Operacional Sistema de Gestión del Riesgo Operacional Capítulo 2: Políticas de Riesgo Operacional 1. DEFINICIÓN DE RIESGO OPERACIONAL El Banco adopta como propia la siguiente definición del riesgo operacional del Banco Central de la República Argentina, alineada con lo definido por el Comité de Basilea de Supervisión Bancaria: “El riesgo operacional – concepto que incluye el riesgo legal y excluye el riesgo estratégico y reputacional - es el riesgo de pérdidas resultantes de la falta de adecuación o fallas en los procesos internos, de la actuación del personal o de los sistemas o bien aquellas que sean producto de eventos externos”. 2. GESTIÓN DEL RIESGO OPERACIONAL Se entiende por gestión del riesgo operacional a la identificación, evaluación, seguimiento, control y mitigación de este riesgo aplicable a todas las actividades de la Entidad. El Banco implementa un sistema de gestión del riesgo operacional, que fomenta el tratamiento homogéneo de la información, asigna claramente las responsabilidades de administración, para lograr la identificación, evaluación, seguimiento, control y mitigación de este riesgo en todas las actividades de la entidad. 3. COMISION DE RIESGO OPERACIONAL El Banco dispuso la creación de una Comisión de Riesgo Operacional para asegurar la existencia y el cumplimiento del marco de gestión de riesgo operacional tendiente a identificar, medir, monitorear y divulgar los niveles del riesgo operacional en el Banco. Esta Comisión debe dar tratamiento institucional a las políticas y procedimientos para la gestión del riesgo operacional, velando por su cumplimiento así como de las normas legales y regulatorias que se establezcan. 4. CLASIFICACION DE EVENTOS DE PÉRDIDA El Banco adopta las siguientes categorías para la clasificación de eventos de pérdida de acuerdo a lo establecido por el Banco Central de la República Argentina. 1. Fraude Interno: Se entiende por fraude interno los actos destinados a defraudar, usurpar la propiedad o a evadir las regulaciones, leyes o políticas de la empresa, excluyendo los eventos de diversidad y de discriminación, que involucre al menos una parte interna del Banco. 2. Fraude Externo: Se entiende por fraude externo a los actos por parte de terceros destinados a defraudar, usurpar la propiedad o evadir la ley. 3. Relaciones Laborales y Seguridad en el Puesto de Trabajo: Actos inconsistentes con las leyes o acuerdos de empleo, salud o seguridad, o que resulten en el pago de reclamos por perjuicios al personal, o reclamos relacionados con temas de diversidad o discriminación. Página 5 de 18 Última actualización 17.11.2010 Riesgo Operacional Sistema de Gestión del Riesgo Operacional 4. Prácticas con los Clientes, Productos y Negocios: Fallas negligentes o no intencionadas que impidan cumplir con las obligaciones profesionales frente a clientes específicos, incluyendo requerimientos de confianza y de idoneidad, o derivados de la naturaleza o diseño de un producto. 5. Daños a Activos Físicos: Pérdidas por daños o perjuicios a activos físicos debido a desastres naturales u otros acontecimientos. 6. Alteraciones en la Actividad y Fallas Tecnológicas: Pérdidas derivadas de interrupciones del negocio o de fallas en los sistemas de información. 7. Ejecución, Gestión y Cumplimiento del Plazo de los Procesos: Pérdidas derivadas de errores en el procesamiento de transacciones o en la administración del proceso, o en las relaciones con las contrapartes comerciales y los proveedores. A su vez, en concordancia con la normativa, cada tipo de evento se subdivide en subcategorías las cuales se detallan en el Anexo I. 5. LÍNEAS DE NEGOCIO El Banco adopta la clasificación de Líneas de Negocios de acuerdo a lo establecido por el Banco Central de la República Argentina. Líneas de Negocios: • Finanzas Corporativas; • Negociación y Ventas; • Banca Minorista; • Banca Comercial; • Pago y Liquidación; • Servicios de Agencia; • Administración de Activos; • Intermediación Minorista. A su vez, en concordancia con la normativa, cada línea de negocio se subdivide en subcategorías las cuales se detallan en el Anexo II. 6. AUDITORÍA El sistema de gestión del riesgo operacional estará sujeto a un proceso de auditoria interna que contemple una adecuada cobertura y profundidad de las revisiones y la adopción oportuna de medidas correctivas por parte de las áreas auditadas. La Unidad de Auditoria Interna no será responsable de la gestión de los riesgos operacionales, no obstante ello podrá aportar sus conocimientos para el desarrollo del sistema de gestión de riesgo operacional y para la constante mejora de su administración. 7. PROCEDIMIENTO INTERNO Página 6 de 18 Última actualización 17.11.2010 Riesgo Operacional Sistema de Gestión del Riesgo Operacional Las Unidades Orgánicas de la estructura general del Banco - responsables de sus procesos – contarán con manuales de procedimiento de las herramientas corporativas utilizadas para la gestión del Riesgo Operacional, junto con el establecimiento de atribuciones y asignaciones de responsabilidades. Asimismo, son responsables de asumir un rol activo y primario en la identificación, medición, control y monitoreo de sus riesgos inherentes. Considerarán además las situaciones de contingencias que puedan presentarse de acuerdo a los escenarios planificados y la forma de enfrentarlos. 8. DIFUSIÓN INTERNA DEL SGRO El Banco creará y fomentará una cultura de administración del riesgo operacional a través de planes de capacitación que estarán dirigidas a todas las áreas y funcionarios del mismo; divulgando la visión, políticas, procedimientos, responsabilidades y gestión para la administración del riesgo operacional. El sistema de gestión del riesgo operacional será aplicado en forma consistente en todo el Banco, debiendo todos y cada uno de los integrantes de la organización, comprender y cumplir sus responsabilidades con respecto a la administración de este riesgo. 9. ADMINISTRACIÓN DE SERVICIOS EXTERNOS El Banco procurará la profesionalidad, capacidad y experiencia cuando contrate servicios con terceros, haciendo extensivos los procedimientos y controles establecidos en la organización a los servicios contratados. El responsable de la contratación realizará la evaluación y medición de los riesgos operativos inherentes, previendo las medidas correctivas que permitan evitarlos. Los contratos que el Banco suscriba con terceros por la prestación de servicios, contendrán aspectos que aseguren la continuidad operacional de la Institución. 10.RECURSOS Y DIFUSIÓN A TERCEROS DEL SGRO El Banco garantizará que se cuente con personal técnicamente calificado, como así también con todos aquellos recursos que sean necesarios para un desarrollo adecuado de la gestión de riesgo operacional. Asimismo, perfeccionará la transparencia de la información, las prácticas comerciales y la protección de los clientes, teniendo disponible para el público la debida información sobre la gestión del riesgo operacional. 11.PRODUCTOS NUEVOS El procedimiento para el desarrollo de nuevos productos, inicio de actividades, puesta en marcha de procesos o sistemas, deberá incluir una adecuada evaluación y medición de los riesgos operativos inherentes en forma previa a su lanzamiento o presentación. Página 7 de 18 Última actualización 17.11.2010 Riesgo Operacional Sistema de Gestión del Riesgo Operacional 12.INCENTIVOS El marco de gestión del riesgo operacional deberá ser acompañado de un régimen de incentivos – basado, entre otros valores, en la inclusión de la variable riesgo operacional en el proceso de evaluación de desempeño - que permita fomentar su aplicación, promoviendo de esta forma una cultura organizacional para el reporte de eventos de riesgo y de controles que contribuyan a la verificación de su consistencia e integridad. 13.CONTINUIDAD DEL NEGOCIO El Banco deberá contar con planes de contingencia y de continuidad de la actividad que asegure la prosecución de su capacidad operativa y la reducción de las pérdidas en caso de interrupción de la actividad. Los Planes de Contingencias deben ser conocidos por todo el personal. Los procedimientos de contingencia deben ser probados por todas las áreas de negocios y actualizados de manera que mantengan su confiabilidad. 14.CUMPLIMIENTO NORMATIVO, LEGAL Y CONTRACTUAL El Banco mantendrá procedimientos que permitan analizar, evaluar y minimizar los riesgos que resulten de las modificaciones normativas o jurisprudenciales revisando con periodicidad las regulaciones nacionales, provinciales o de otro orden que pudieran impactar en las actividades de la organización como así mismo en contratos con clientes y proveedores. Página 8 de 18 Última actualización 17.11.2010 Riesgo Operacional Sistema de Gestión del Riesgo Operacional Capítulo 3: Procedimientos Con la finalidad de determinar el perfil de riesgo operacional de la entidad, y con ello su vulnerabilidad ante la ocurrencia de eventos, y poder adoptar medidas correctivas o mitigantes, se establece un método sistemático para la identificación, evaluación, seguimiento, control y mitigación de los riesgos asociados con cualquier actividad o proceso. Este método constituye la Gestión del Riesgo Operacional y debe asegurar la administración del riesgo en las distintas líneas de negocio de modo que genere incentivos para la mejora continua de los procesos en esas líneas. 3.1. OBJETIVOS La gestión de riesgo operacional deberá promover la consecución de los siguientes objetivos: a. Desarrollar una cultura de gestión del riesgo operacional como una disciplina integral y separada de los restantes riesgos. b. Minimizar los daños y perjuicios ocasionados por la falta de adecuación o fallas en los procesos internos, por la actuación del personal o de los sistemas o producto de eventos externos. c. Disminuir la probabilidad de ocurrencia de riesgos operacionales en el desarrollo de los negocios de la Institución. d. Atenuar la ocurrencia de futuras pérdidas derivadas de eventos operativos. e. Establecer el registro de eventos que contribuya a reducir los incidentes, las pérdidas y a mejorar la calidad del servicio y de los productos. f. Determinar los valores de riesgos tolerables, definidos por el Directorio, al que está expuesto el Banco y en su caso adoptar las medidas correctivas que sean pertinentes. g. Apoyar a la organización para alcanzar sus objetivos institucionales a través de la prevención y administración de los riesgos operacionales. h. Procurar que los riesgos operacionales existentes y los controles requeridos estén debidamente identificados, evaluados y alineados con la estrategia de riesgos establecidos por la organización. 3.2. ÁMBITO DE APLICACIÓN El Banco gestionará el riesgo operacional inherente a sus productos, actividades, procesos y sistemas relevantes, los procesos de Tecnología y Seguridad de la Información así como los riesgos derivados de las actividades subcontratadas y de los servicios prestados por proveedores. Comprobará también que antes de lanzar o presentar nuevos productos, actividades, procesos o sistemas, se evalúe adecuadamente su riesgo operacional inherente. Página 9 de 18 Última actualización 17.11.2010 Riesgo Operacional Sistema de Gestión del Riesgo Operacional Se adoptarán los mecanismos que permitan la efectiva capacitación de los recursos humanos, como asimismo la interacción y coordinación efectiva con los otros riesgos del Banco y con los responsables de contratar servicios externos, como también con las personas con las que se tercericen servicios. Las Unidades Orgánicas de la estructura general del Banco – dueñas de procesos y productos – son las responsables de los riesgos operacionales inherentes. El área encargada de la gestión de este riesgo tiene responsabilidades asociadas con definiciones de políticas, utilización y selección de herramientas, sugerir planes de acción y realizar actividades de control y seguimiento de los riesgos identificados mediante la aplicación de los procesos y herramientas definidos en la presente estrategia. 3.3 HERRAMIENTAS/PROCEDIMIENTOS: Para un adecuado cumplimiento de las etapas del proceso de Gestión del Riesgo Operacional se utilizan las siguientes herramientas corporativas: Autoevaluación de Riesgos Operativos (AERO): Permite identificar los puntos críticos del entorno de riesgo operacional y conocer el nivel de calidad de la gestión de riesgos para mejorarla y fortalecerla. Esta evaluación estará a cargo de los responsables de cada Unidad Orgánica de la estructura general del Banco. La identificación de riesgos operacionales se realiza a través de Talleres de trabajo o “workshops” que consiste en reuniones grupales guiadas con el fin de llegar a un consenso sobre los riesgos operacionales existentes y los controles aplicados sobre los mismos. También podrá utilizarse cuestionarios estándar que permitan recolectar información relevante sobre la gestión del riesgo operacional La evaluación de los riesgos se efectúa bajo las siguientes pautas: Se determina un nivel de riesgo inherente a través de la combinación de la ocurrencia del riesgo, es decir la posibilidad de presentación del riesgo, y su impacto, es decir la consecuencia que puede ocasionar al Banco la materialización del mismo. Este riesgo inherente se contrasta con el actual ambiente de control a efecto de obtener el nivel de riesgo residual. Este riesgo tendrá distintos niveles de aceptación. Para los riesgos evaluados como altos o inaceptables será obligatoria la implementación de un plan de acción con el fin de mitigar el riesgo. Los niveles y parámetros de medición serán presentados por Riesgo Operacional para ser aprobados por la Comisión de Riesgo Operacional. Estos valores, estarán sujetos a revisión periódica. Las modificaciones deberán ser aprobadas oportunamente por la Comisión de Riesgo Operacional. Reporte de Eventos y Pérdidas (REPRO): Es la herramienta a través de la cual los responsables de las Unidades Orgánicas y de Negocios del Banco deben reportar las pérdidas provocadas por eventos operativos. El análisis de las pérdidas operativas permite analizar las evaluaciones de riesgos efectuadas e identificar nuevos riesgos. Página 10 de 18 Última actualización 17.11.2010 Riesgo Operacional Sistema de Gestión del Riesgo Operacional A su vez el B. C. R. A. en su Comunicación “A” 4904 establece un Régimen Informativo trimestral sobre los eventos de pérdidas por Riesgo Operacional. Indicadores de Riesgo (ICR): Son variables o parámetros definidos y medidos periódicamente en el ámbito del banco. Su función es reflejar las fuentes potenciales de riesgo operacional, como así también detectar tendencias y cambios en los riesgos evaluados. Asignación de riesgos o mapa de Riesgos Operacionales: Esta herramienta permite agrupar los riesgos por productos. A partir de la información obtenida en las restantes herramientas se puede obtener un mapa de riesgos por producto/servicio, por línea de negocios o de acuerdo a clasificación de evento de pérdida. Este mapa permite visualizar los riesgos con el fin de determinar las prioridades para su gestión. Informes de gestión de riesgo operacional: El proceso de presentación de informes es clave para garantizar que se mantenga el control sobre la administración de riesgos operativos y que se informen las cuestiones a un nivel superior. Riesgo Operacional deberá remitir periódicamente a Gerencia General y a la Comisión de Riesgo Operacional informes vinculados a los resultados del seguimiento realizado y las pertinentes propuestas de corrección en los procesos y procedimientos de gestión de riesgo operacional. Los informes mencionados precedentemente, una vez analizados por la Gerencia General y aprobadas las correcciones pertinentes, se distribuirán entre los niveles gerenciales correspondientes y las áreas del Banco que pudieran verse afectadas, a fin de que adopten esas medidas correctivas para asegurar una gestión eficaz del riesgo operacional. Página 11 de 18 Última actualización 17.11.2010 Riesgo Operacional Sistema de Gestión del Riesgo Operacional Capítulo 4: Responsabilidades Un aspecto clave en la gestión del riesgo operacional es la definición clara de roles y responsabilidades de los sectores involucrados. No obstante, cabe destacar que todos los integrantes de la entidad deben estar involucrados, reconociendo el Sistema de Gestión del Riesgo Operacional como un proceso de mejora continua. La estructura de Gerenciamiento del Riesgo Operacional está diseñada para proveer una clara segregación de responsabilidades entre quien es el responsable primario de los riesgos (Unidades Orgánicas de la estructura general del Banco) y quien ejerce el monitoreo independiente de los mismos, Riesgo Operacional (RO). 4.1. Directorio Es responsable de que la entidad cuente con una estrategia adecuada para la gestión del riesgo operacional, para lo cual deberá: • Aprobar el sistema de gestión del riesgo operacional y efectuar su revisión anual. • Analizar el perfil de riesgo operacional general de la entidad y verificar las implicancias estratégicas y sustanciales para su actividad. • Asegurar que el sistema para la gestión del riesgo operacional esté sujeto a un proceso de auditoria interna en todo el Banco, que contemple una adecuada cobertura y profundidad de las revisiones y la adopción oportuna de medidas correctivas por parte de las áreas auditadas. • Aprobar políticas de difusión del sistema de gestión del riesgo operacional y de capacitación, dirigidas a todas las áreas y funcionarios de la entidad financiera • Establecer políticas para la gestión del riesgo operacional derivadas de actividades subcontratadas y servicios prestados por proveedores. • Aprobar una política para la difusión a terceros de la información que corresponda sobre el sistema de gestión del riesgo operacional. • Garantizar que la entidad cuente con personal técnicamente calificado, así como también con los recursos necesarios para la gestión del riesgo operacional. 4.2. Comisión de Riesgo Operacional Es responsable de: • Someter a aprobación de Directorio el Sistema de Gestión del Riesgo Operacional y aprobar la incorporación y/o eliminación de procedimientos, verificando el cumplimiento de las normas establecidas por las entidades de contralor. • Efectuar el seguimiento de la implementación y el cumplimiento del Sistema de Gestión del Riesgo Operacional aprobado por el Directorio, contribuyendo a la mejora de la efectividad del marco de gestión de riesgo operacional. • Analizar las revisiones periódicas del Sistema de Gestión del Riesgo Operacional, manifestando los comentarios que estime pertinentes en relación con la naturaleza, alcance y oportunidad, a efectos de elevar al Directorio para su aprobación. • Tomar conocimiento de los informes emitidos por Riesgo Operacional sobre la exposición al riesgo, ya sea por entidad, línea de negocio y por producto o proceso, incluyendo información estadística respecto a la evolución de los riesgos y las pérdidas operativas más importantes y monitorear la eficacia de las acciones adoptadas por las Gerencias para su mitigación o regularización. Página 12 de 18 Última actualización 17.11.2010 Riesgo Operacional Sistema de Gestión del Riesgo Operacional • Informar al Directorio, como mínimo con una periodicidad semestral, sobre el estado de situación de la exposición de la entidad al riesgo operacional y en caso de corresponder, las pérdidas operativas más importantes y recomendar acciones cuando los riesgos tengan implicancias sustanciales para la actividad del Banco. • Analizar los informes emitidos por Riesgo Operacional vinculados a los impactos más importantes producidos por la incorporación de los nuevos productos y servicios y las principales modificaciones a los sistemas y procesos existentes en el Banco, recomendando cursos de acción. • Aprobar los planes para la difusión del sistema de gestión del riesgo operacional y de capacitación dirigidos a todas las áreas y funcionarios de la Institución. • Aprobar los planes para la difusión a terceros de la información que corresponda sobre el sistema de gestión del riesgo operacional. • Tomar conocimiento sobre toda información que deba ser remitida al Banco Central de la República Argentina vinculada a su ámbito de competencia. • Tomar conocimiento de los informes de las auditorias internas vinculados al sistema de gestión de riesgo operacional y efectuar el seguimiento de la adopción oportuna de medidas correctivas. • Investigar cualquier asunto vinculado a la gestión del riesgo operacional, solicitando la participación de funcionarios, especialistas o profesionales, cuando lo considere necesario conforme los temas a tratar. 4.3. Gerencia General Es responsable de: • La implementación, reporte y control de los procesos y procedimientos para la puesta en práctica y funcionamiento del sistema de gestión aprobado por el Directorio del Banco. • La existencia de procesos y procedimientos aplicables a cada Unidad Orgánica de la estructura general del Banco, destinados a la gestión del riesgo operacional de los productos, actividades, procesos y sistemas de la entidad financiera. • Establecer líneas claras de autoridad, responsabilidad y comunicación con las distintas Gerencias para fomentar y mantener la asunción de responsabilidades. • Asegurar la existencia de recursos suficientes para la realización de una gestión eficaz de riesgo operacional. • Evaluar si el proceso de vigilancia gerencial se adapta a los riesgos inherentes a las políticas de cada Unidad Orgánica de la estructura general del Banco. • Recibir informes de la Gerencia de riesgo operacional relacionados con los resultados de la ejecución de los procesos y procedimientos, la detección de las posibles deficiencias que se produzcan en las políticas, procesos y procedimientos de gestión del riesgo operacional y las pertinentes propuestas para su corrección. • Informar al Directorio, como mínimo semestralmente, sobre los principales aspectos relacionados con la gestión del riesgo operacional. 4.4. Riesgo Operacional (RO) RO es independiente de las distintas Unidades Orgánicas de la estructura general del Banco, y es responsable por liderar la implementación efectiva del sistema de gestión de riesgos operacionales, y la adhesión a las políticas descriptas en este documento. Las funciones de Riesgo Operacional se encuentran especificadas en el Digesto Administrativo, Módulo 3: Manual de Organización. 4.5. Unidades Orgánicas de la Estructura General del Banco Página 13 de 18 Última actualización 17.11.2010 Riesgo Operacional Sistema de Gestión del Riesgo Operacional Para cumplir con su rol de administradoras del riesgo y conforme la política Nº 7 “Procedimiento Interno” las Unidades Orgánicas de la estructura general del Banco deberán: • Identificar y evaluar todos los riesgos de sus procesos internos y en los de sus proveedores críticos, e implementar procedimientos y controles que eliminen o mitiguen tales riesgos. • Implementar y monitorear los planes de acción correctivos sobre riesgos no cubiertos o no deseados. • Informar las pérdidas operacionales de acuerdo a lo establecido por Riesgo Operacional. • Efectuar el seguimiento de riesgos operacionales a través de indicadores claves de riesgos definidos conjuntamente con Riesgo operacional. • Aplicar los procesos y procedimientos definidos a través de las herramientas corporativas utilizadas para la gestión del riesgo operacional. • Informar a Riesgo Operacional los resultados de la ejecución de los procesos y procedimientos con la periodicidad que se establezca. • Informar a Riesgo Operacional, previamente a su lanzamiento, sobre todo nuevo producto, proceso, y/o sistema, como así también las modificaciones que se quieran realizar a los existentes. • Informar : Interrupciones materiales o potencialmente materiales en materia de seguridad o controles en los sistemas de computación que resulten en posibles fallas, piratería informática (hacking) o virus (cualquier interrupción deberá ser informada se haya materializado o no la amenaza); Evidencias o sospechas de fraudes internos materiales o potencialmente materiales, deshonestidad de parte de los empleados, o cualquier situación en la que la conducta deliberada o negligente de los empleados comprometa los activos de la compañía; Evidencias o sospechas de que debilidades en los controles hayan puesto a los activos o recursos de la Institución en riesgo de fraudes o amenazas externas. • El responsable de cada Unidad Orgánica de la estructura general del Banco, y a fines de su gestión del riesgo operacional deberá designar persona/s referentes, que básicamente realizarán tareas vinculadas a: Difundir y velar por la implementación y el cumplimiento de las políticas y procedimientos establecidos para la administración del riesgo operacional. Recolectar y registrar eventos y pérdidas y realizar su seguimiento. Asistir al responsable de la unidad orgánica en sus funciones de riesgo operacional, básicamente en lo relacionado con la capacitación y promoción de la cultura. Coordinar y monitorear los Plantes de Mitigación / Planes de Acción Correctivos. Elaborar y elevar informes al responsable de la unidad orgánica y a Riesgo Operacional. 4.6. Unidad de Auditoria Interna Será la encargada de evaluar la efectividad del marco que utiliza la Entidad para la gestión del riesgo operacional, en cumplimiento de la política Nº 6. Página 14 de 18 Última actualización 17.11.2010 Riesgo Operacional Sistema de Gestión del Riesgo Operacional ANEXO I - Clasificación de Eventos de Riesgo a Nivel 2 1. Fraude Interno (101) Actividades no Autorizadas Actividades efectuadas por una parte interna del Banco, tendientes a evadir las regulaciones, normativas o leyes del mismo o externas, de manera intencional pero sin la apropiación para sí de bienes o fondos del Banco o de su custodia. Incluye actividades que busquen intencionalmente perjudicar a clientes o favorecer a terceros. (102) Hurto y Fraude Actividades efectuadas por una parte interna del Banco, que constituyen apropiación de activos del mismo o de su custodia, de manera intencional (bienes, fondos, otros). 2. Fraude Externo (201) Hurto y Fraude Actividades efectuadas por una parte externa al Banco, que constituyen fraude o apropiación de activos del mismo o de su custodia (bienes, fondos, otros) burlando los controles y procedimientos internos existentes, cuando estos han sido seguidos correctamente. (202) Seguridad de los Sistemas Actividades efectuadas por una parte externa al Banco, que constituyen daño o apropiación de información del mismo o de su custodia, vía canales o medios tecnológicos, burlando los controles y procedimientos internos existentes. 3. Relaciones Laborales y Seguridad en el Puesto de Trabajo (301) Relaciones Laborales Actividades ajenas al cumplimiento de la legislación laboral. (302) Higiene y Seguridad en el Trabajo Actividades relacionadas con normas de higiene y seguridad de los funcionarios en el lugar de trabajo. (303) Diversidad y Discriminación Pérdidas derivadas de actividades de discriminación o contrarias a la integración interna de la organización. 4. Prácticas con los Clientes, Productos y Negocios (401) Adecuación, divulgación de información y confianza Errores de funcionarios con clientes del Banco o incumplimiento de obligaciones profesionales frente a ellos, involuntariamente que atentan contra sus activos, datos y/o derechos. En general capturados a través de reclamos de clientes. (402) Prácticas empresariales o de mercado improcedentes Malas prácticas generales de mercado (en la industria o con la competencia excluidos los clientes) Página 15 de 18 Última actualización 17.11.2010 Riesgo Operacional Sistema de Gestión del Riesgo Operacional (403) Productos defectuosos Presencia de deficiencias o defectos en los productos y/o servicios generadas en la etapa de desarrollo de los mismos. (404) Selección, patrocinio y riesgos Acciones que perjudican al Banco (pérdidas) por no estudiar, analizar, investigar y/o validar adecuada y completamente a clientes potenciales o actuales. (405) Actividades de asesoramiento Litigios sobre las actividades de asesoramiento. 5. Daño a Activos Físicos (501) Desastres y otros acontecimientos Eventos correspondientes a siniestros que afectan a infraestructura y bienes del Banco. 6. Alteraciones en la Actividad y Fallas Tecnológicas (601) Sistemas Todas aquellas fallas en los sistemas que deriven en errores o interrupción en la continuidad del negocio 7. Ejecución, Gestión y Cumplimiento del Plazo de los Procesos (701) Recepción, ejecución y mantenimiento de operaciones Todos los errores de tipo operativo (exceptuando los de tipo Práctica y errores de empleados con productos, clientes o negocios) detectados en controles internos o externos. (702) Seguimiento y presentación de informes Omisión de procedimientos de información acerca de la inexactitud de informes externos. (703) Aceptación de clientes y documentación Errores relacionados con la generación, recepción y/o resguardo de documentación de clientes potenciales o actuales (inexistencia, no completos, extraviados) (704) Gestión de cuentas de clientes Todos los errores relacionados con cuentas de clientes que no pertenezcan al tipo “Adecuación, divulgación de información y confianza” detectados mediante controles internos o externos. (705) Contrapartes comerciales Pérdidas derivadas de malas prácticas generales de contrapartes distintas de clientes (contrapartes comerciales, otros) (706) Distribuidores y proveedores Pérdidas derivadas del incumplimiento o malas prácticas por parte de proveedores y distribuidores de productos/servicios. Página 16 de 18 Última actualización 17.11.2010 Riesgo Operacional Sistema de Gestión del Riesgo Operacional ANEXO II - Líneas de Negocio a Nivel 2 1. Finanzas Corporativas: (101) Finanzas Corporativas (102) Finanzas de Administraciones Locales / Públicas (103) Banca de Inversión (104) Servicios de Asesoramiento 2. Negociación y Ventas (201) Ventas (202) Creación de Mercado (203) Posiciones Propias (204) Tesorería 3. Banca Minorista (301) Banca Minorista (302) Banca Privada (303) Servicios de Tarjetas 4. Banca Comercial (401) Banca Comercial 5. Pago y Liquidación (501) Clientes Externos 6. Servicios de Agencia (601) Custodia (602) Agencia para Empresas (603) Fideicomisos de Empresas 7. Administración de Activos (701) Administración discrecional de fondos (702) Administración no discrecional de fondos 8. Intermediación Minorista Página 17 de 18 Última actualización 17.11.2010 Riesgo Operacional Sistema de Gestión del Riesgo Operacional Glosario AERO: Autoevaluación de riesgos operacionales. REPRO: Reporte de eventos de pérdida por riesgo operacional. ICR: Indicador clave de riesgo. RO: Riesgo Operacional (se refiere a la Unidad Orgánica del Banco con dicha denominación). SGRO: Sistema de Gestión del Riesgo Operacional. Página 18 de 18 Última actualización 17.11.2010