sistema de gestión del riesgo operacional

Transcripción

1.2
SISTEMA DE GESTIÓN DEL
RIESGO OPERACIONAL
Riesgo Operacional
Sistema de Gestión del Riesgo Operacional
ÍNDICE
Introducción ..................................................................................................... 3
Capitulo 1. Sistema de Gestión del Riesgo Operacional .................................... 4
Capítulo 2: Políticas de Riesgo Operacional ...................................................... 5
Capítulo 3: Procedimientos ............................................................................... 9
Capítulo 4: Responsabilidades ........................................................................ 12
ANEXO I - Clasificación de Eventos de Riesgo a Nivel 2 .................................. 15
ANEXO II - Líneas de Negocio a Nivel 2 .......................................................... 17
Glosario .......................................................................................................... 18
Página 2 de 18
Última actualización
17.11.2010
Riesgo Operacional
Introducción
Este documento presenta el Sistema de Gestión del Riesgo Operacional del Banco de la
Provincia de Buenos Aires (Bapro).
El mismo se basa en el documento Gestión del Riesgo Operacional – Políticas y
Estrategias aprobado por el Directorio en Resolución 1015/08 y sus modificaciones
aprobadas en Resolución 136/10.
Esta nueva versión se aplica en el marco de la revisión de las políticas y estrategias
aprobadas oportunamente que se encuentra contemplado en la Comunicación “A” 4793
del Banco Central de la República Argentina (B.C.R.A.) y constituye el nuevo marco
conceptual para que todo el personal de la Institución gestione el riesgo operacional como
una disciplina integral y separada de los restantes riesgos.
Página 3 de 18
17.11.2010
Riesgo Operacional
Capitulo 1. Sistema de Gestión del Riesgo Operacional
El Sistema de Gestión del Riesgo Operacional (SGRO) representa la estrategia del Banco
de la Provincia de Buenos Aires para la gestión de este riesgo en su ámbito y comprende
las políticas, los procedimientos y la estructura organizacional para su gestión.
Las políticas adoptadas por el Banco en materia de riesgo operacional se encuentran
detalladas en el capitulo 2 del presente documento.
En el capítulo 3 se establecen los objetivos, ámbito de aplicación y herramientas que debe
contemplar el SGRO a través de la implementación de sus procedimientos.
La estructura organizacional para la gestión del riesgo operacional se compone de los
roles y responsabilidades de los distintos intervinientes en concordancia con la normativa
del B.C.R.A. los cuales se encuentran detallados en el capítulo 4 del presente documento,
y la creación de la Gerencia de Riesgo Operacional, cuya estructura orgánica, misiones y
funciones son aprobadas por el Directorio.
El Sistema de Gestión debe ser revisado con una periodicidad mínima de un año o cada
vez que se produzcan, a juicio del Banco, hechos o situaciones de relevancia vinculadas a
este riesgo.
Página 4 de 18
17.11.2010
Riesgo Operacional
Capítulo 2: Políticas de Riesgo Operacional
1. DEFINICIÓN DE RIESGO OPERACIONAL
El Banco adopta como propia la siguiente definición del riesgo operacional del Banco
Central de la República Argentina, alineada con lo definido por el Comité de Basilea de
Supervisión Bancaria:
“El riesgo operacional – concepto que incluye el riesgo legal y excluye el riesgo
estratégico y reputacional - es el riesgo de pérdidas resultantes de la falta de
adecuación o fallas en los procesos internos, de la actuación del personal o de los
sistemas o bien aquellas que sean producto de eventos externos”.
2. GESTIÓN DEL RIESGO OPERACIONAL
Se entiende por gestión del riesgo operacional a la identificación, evaluación,
seguimiento, control y mitigación de este riesgo aplicable a todas las actividades de la
Entidad.
El Banco implementa un sistema de gestión del riesgo operacional, que fomenta el
tratamiento homogéneo de la información, asigna claramente las responsabilidades de
administración, para lograr la identificación, evaluación, seguimiento, control y mitigación
de este riesgo en todas las actividades de la entidad.
3. COMISION DE RIESGO OPERACIONAL
El Banco dispuso la creación de una Comisión de Riesgo Operacional para asegurar la
existencia y el cumplimiento del marco de gestión de riesgo operacional tendiente a
identificar, medir, monitorear y divulgar los niveles del riesgo operacional en el Banco.
Esta Comisión debe dar tratamiento institucional a las políticas y procedimientos para la
gestión del riesgo operacional, velando por su cumplimiento así como de las normas
legales y regulatorias que se establezcan.
4. CLASIFICACION DE EVENTOS DE PÉRDIDA
El Banco adopta las siguientes categorías para la clasificación de eventos de pérdida de
acuerdo a lo establecido por el Banco Central de la República Argentina.
1. Fraude Interno: Se entiende por fraude interno los actos destinados a defraudar,
usurpar la propiedad o a evadir las regulaciones, leyes o políticas de la empresa,
excluyendo los eventos de diversidad y de discriminación, que involucre al menos una
parte interna del Banco.
2. Fraude Externo: Se entiende por fraude externo a los actos por parte de terceros
destinados a defraudar, usurpar la propiedad o evadir la ley.
3. Relaciones Laborales y Seguridad en el Puesto de Trabajo: Actos inconsistentes
con las leyes o acuerdos de empleo, salud o seguridad, o que resulten en el pago de
reclamos por perjuicios al personal, o reclamos relacionados con temas de diversidad o
discriminación.
Página 5 de 18
17.11.2010
Riesgo Operacional
4. Prácticas con los Clientes, Productos y Negocios: Fallas negligentes o no
intencionadas que impidan cumplir con las obligaciones profesionales frente a clientes
específicos, incluyendo requerimientos de confianza y de idoneidad, o derivados de la
naturaleza o diseño de un producto.
5. Daños a Activos Físicos: Pérdidas por daños o perjuicios a activos físicos debido a
desastres naturales u otros acontecimientos.
6. Alteraciones en la Actividad y Fallas Tecnológicas: Pérdidas derivadas de
interrupciones del negocio o de fallas en los sistemas de información.
7. Ejecución, Gestión y Cumplimiento del Plazo de los Procesos: Pérdidas derivadas
de errores en el procesamiento de transacciones o en la administración del proceso, o en
las relaciones con las contrapartes comerciales y los proveedores.
A su vez, en concordancia con la normativa, cada tipo de evento se subdivide en
subcategorías las cuales se detallan en el Anexo I.
5. LÍNEAS DE NEGOCIO
El Banco adopta la clasificación de Líneas de Negocios de acuerdo a lo establecido por el
Banco Central de la República Argentina.
Líneas de Negocios:
•
Finanzas Corporativas;
•
Negociación y Ventas;
•
Banca Minorista;
•
Banca Comercial;
•
Pago y Liquidación;
•
Servicios de Agencia;
•
Administración de Activos;
•
Intermediación Minorista.
A su vez, en concordancia con la normativa, cada línea de negocio se subdivide en
subcategorías las cuales se detallan en el Anexo II.
6. AUDITORÍA
El sistema de gestión del riesgo operacional estará sujeto a un proceso de auditoria
interna que contemple una adecuada cobertura y profundidad de las revisiones y la
adopción oportuna de medidas correctivas por parte de las áreas auditadas.
La Unidad de Auditoria Interna no será responsable de la gestión de los riesgos
operacionales, no obstante ello podrá aportar sus conocimientos para el desarrollo del
sistema de gestión de riesgo operacional y para la constante mejora de su administración.
7. PROCEDIMIENTO INTERNO
Página 6 de 18
17.11.2010
Riesgo Operacional
Las Unidades Orgánicas de la estructura general del Banco - responsables de sus
procesos – contarán con manuales de procedimiento de las herramientas corporativas
utilizadas para la gestión del Riesgo Operacional, junto con el establecimiento de
atribuciones y asignaciones de responsabilidades.
Asimismo, son responsables de asumir un rol activo y primario en la identificación,
medición, control y monitoreo de sus riesgos inherentes.
Considerarán además las situaciones de contingencias que puedan presentarse de
acuerdo a los escenarios planificados y la forma de enfrentarlos.
8. DIFUSIÓN INTERNA DEL SGRO
El Banco creará y fomentará una cultura de administración del riesgo operacional a través
de planes de capacitación que estarán dirigidas a todas las áreas y funcionarios del
mismo; divulgando la visión, políticas, procedimientos, responsabilidades y gestión para
la administración del riesgo operacional.
El sistema de gestión del riesgo operacional será aplicado en forma consistente en todo el
Banco, debiendo todos y cada uno de los integrantes de la organización, comprender y
cumplir sus responsabilidades con respecto a la administración de este riesgo.
9. ADMINISTRACIÓN DE SERVICIOS EXTERNOS
El Banco procurará la profesionalidad, capacidad y experiencia cuando contrate servicios
con terceros, haciendo extensivos los procedimientos y controles establecidos en la
organización a los servicios contratados. El responsable de la contratación realizará la
evaluación y medición de los riesgos operativos inherentes, previendo las medidas
correctivas que permitan evitarlos.
Los contratos que el Banco suscriba con terceros por la prestación de servicios,
contendrán aspectos que aseguren la continuidad operacional de la Institución.
10.RECURSOS Y DIFUSIÓN A TERCEROS DEL SGRO
El Banco garantizará que se cuente con personal técnicamente calificado, como así
también con todos aquellos recursos que sean necesarios para un desarrollo adecuado de
la gestión de riesgo operacional.
Asimismo, perfeccionará la transparencia de la información, las prácticas comerciales y la
protección de los clientes, teniendo disponible para el público la debida información sobre
la gestión del riesgo operacional.
11.PRODUCTOS NUEVOS
El procedimiento para el desarrollo de nuevos productos, inicio de actividades, puesta en
marcha de procesos o sistemas, deberá incluir una adecuada evaluación y medición de los
riesgos operativos inherentes en forma previa a su lanzamiento o presentación.
Página 7 de 18
17.11.2010
Riesgo Operacional
12.INCENTIVOS
El marco de gestión del riesgo operacional deberá ser acompañado de un régimen de
incentivos – basado, entre otros valores, en la inclusión de la variable riesgo operacional
en el proceso de evaluación de desempeño - que permita fomentar su aplicación,
promoviendo de esta forma una cultura organizacional para el reporte de eventos de
riesgo y de controles que contribuyan a la verificación de su consistencia e integridad.
13.CONTINUIDAD DEL NEGOCIO
El Banco deberá contar con planes de contingencia y de continuidad de la actividad que
asegure la prosecución de su capacidad operativa y la reducción de las pérdidas en caso
de interrupción de la actividad.
Los Planes de Contingencias deben ser conocidos por todo el personal.
Los procedimientos de contingencia deben ser probados por todas las áreas de negocios y
actualizados de manera que mantengan su confiabilidad.
14.CUMPLIMIENTO NORMATIVO, LEGAL Y CONTRACTUAL
El Banco mantendrá procedimientos que permitan analizar, evaluar y minimizar los
riesgos que resulten de las modificaciones normativas o jurisprudenciales revisando con
periodicidad las regulaciones nacionales, provinciales o de otro orden que pudieran
impactar en las actividades de la organización como así mismo en contratos con clientes y
proveedores.
Página 8 de 18
17.11.2010
Riesgo Operacional
Capítulo 3: Procedimientos
Con la finalidad de determinar el perfil de riesgo operacional de la entidad, y con ello su
vulnerabilidad ante la ocurrencia de eventos, y poder adoptar medidas correctivas o
mitigantes, se establece un método sistemático para la identificación, evaluación,
seguimiento, control y mitigación de los riesgos asociados con cualquier actividad o
proceso.
Este método constituye la Gestión del Riesgo Operacional y debe asegurar la
administración del riesgo en las distintas líneas de negocio de modo que genere
incentivos para la mejora continua de los procesos en esas líneas.
3.1. OBJETIVOS
La gestión de riesgo operacional deberá promover la consecución de los siguientes
objetivos:
a. Desarrollar una cultura de gestión del riesgo operacional como una disciplina
integral y separada de los restantes riesgos.
b. Minimizar los daños y perjuicios ocasionados por la falta de adecuación o fallas en
los procesos internos, por la actuación del personal o de los sistemas o producto de
eventos externos.
c. Disminuir la probabilidad de ocurrencia de riesgos operacionales en el desarrollo de
los negocios de la Institución.
d. Atenuar la ocurrencia de futuras pérdidas derivadas de eventos operativos.
e. Establecer el registro de eventos que contribuya a reducir los incidentes, las
pérdidas y a mejorar la calidad del servicio y de los productos.
f.
Determinar los valores de riesgos tolerables, definidos por el Directorio, al que está
expuesto el Banco y en su caso adoptar las medidas correctivas que sean
pertinentes.
g. Apoyar a la organización para alcanzar sus objetivos institucionales a través de la
prevención y administración de los riesgos operacionales.
h. Procurar que los riesgos operacionales existentes y los controles requeridos estén
debidamente identificados, evaluados y alineados con la estrategia de riesgos
establecidos por la organización.
3.2. ÁMBITO DE APLICACIÓN
El Banco gestionará el riesgo operacional inherente a sus productos, actividades, procesos
y sistemas relevantes, los procesos de Tecnología y Seguridad de la Información así como
los riesgos derivados de las actividades subcontratadas y de los servicios prestados por
proveedores. Comprobará también que antes de lanzar o presentar nuevos productos,
actividades, procesos o sistemas, se evalúe adecuadamente su riesgo operacional
inherente.
Página 9 de 18
17.11.2010
Riesgo Operacional
Se adoptarán los mecanismos que permitan la efectiva capacitación de los recursos
humanos, como asimismo la interacción y coordinación efectiva con los otros riesgos del
Banco y con los responsables de contratar servicios externos, como también con las
personas con las que se tercericen servicios.
Las Unidades Orgánicas de la estructura general del Banco – dueñas de procesos y
productos – son las responsables de los riesgos operacionales inherentes. El área
encargada de la gestión de este riesgo tiene responsabilidades asociadas con definiciones
de políticas, utilización y selección de herramientas, sugerir planes de acción y realizar
actividades de control y seguimiento de los riesgos identificados mediante la aplicación de
los procesos y herramientas definidos en la presente estrategia.
3.3 HERRAMIENTAS/PROCEDIMIENTOS:
Para un adecuado cumplimiento de las etapas del proceso de Gestión del Riesgo
Operacional se utilizan las siguientes herramientas corporativas:
Autoevaluación de Riesgos Operativos (AERO):
Permite identificar los puntos críticos del entorno de riesgo operacional y conocer el nivel
de calidad de la gestión de riesgos para mejorarla y fortalecerla. Esta evaluación estará a
cargo de los responsables de cada Unidad Orgánica de la estructura general del Banco.
La identificación de riesgos operacionales se realiza a través de Talleres de trabajo o
“workshops” que consiste en reuniones grupales guiadas con el fin de llegar a un
consenso sobre los riesgos operacionales existentes y los controles aplicados sobre los
mismos. También podrá utilizarse cuestionarios estándar que permitan recolectar
información relevante sobre la gestión del riesgo operacional
La evaluación de los riesgos se efectúa bajo las siguientes pautas:
Se determina un nivel de riesgo inherente a través de la combinación de la ocurrencia del
riesgo, es decir la posibilidad de presentación del riesgo, y su impacto, es decir la
consecuencia que puede ocasionar al Banco la materialización del mismo.
Este riesgo inherente se contrasta con el actual ambiente de control a efecto de obtener
el nivel de riesgo residual.
Este riesgo tendrá distintos niveles de aceptación. Para los riesgos evaluados como altos
o inaceptables será obligatoria la implementación de un plan de acción con el fin de
mitigar el riesgo.
Los niveles y parámetros de medición serán presentados por Riesgo Operacional para ser
aprobados por la Comisión de Riesgo Operacional. Estos valores, estarán sujetos a
revisión periódica. Las modificaciones deberán ser aprobadas oportunamente por la
Comisión de Riesgo Operacional.
Reporte de Eventos y Pérdidas (REPRO):
Es la herramienta a través de la cual los responsables de las Unidades Orgánicas y de
Negocios del Banco deben reportar las pérdidas provocadas por eventos operativos. El
análisis de las pérdidas operativas permite analizar las evaluaciones de riesgos efectuadas
e identificar nuevos riesgos.
Página 10 de 18
17.11.2010
Riesgo Operacional
A su vez el B. C. R. A. en su Comunicación “A” 4904 establece un Régimen Informativo
trimestral sobre los eventos de pérdidas por Riesgo Operacional.
Indicadores de Riesgo (ICR):
Son variables o parámetros definidos y medidos periódicamente en el ámbito del banco.
Su función es reflejar las fuentes potenciales de riesgo operacional, como así también
detectar tendencias y cambios en los riesgos evaluados.
Asignación de riesgos o mapa de Riesgos Operacionales:
Esta herramienta permite agrupar los riesgos por productos. A partir de la información
obtenida en las restantes herramientas se puede obtener un mapa de riesgos por
producto/servicio, por línea de negocios o de acuerdo a clasificación de evento de
pérdida. Este mapa permite visualizar los riesgos con el fin de determinar las prioridades
para su gestión.
Informes de gestión de riesgo operacional:
El proceso de presentación de informes es clave para garantizar que se mantenga el
control sobre la administración de riesgos operativos y que se informen las cuestiones a
un nivel superior.
Riesgo Operacional deberá remitir periódicamente a Gerencia General y a la Comisión de
Riesgo Operacional informes vinculados a los resultados del seguimiento realizado y las
pertinentes propuestas de corrección en los procesos y procedimientos de gestión de
riesgo operacional.
Los informes mencionados precedentemente, una vez analizados por la Gerencia General
y aprobadas las correcciones pertinentes, se distribuirán entre los niveles gerenciales
correspondientes y las áreas del Banco que pudieran verse afectadas, a fin de que
adopten esas medidas correctivas para asegurar una gestión eficaz del riesgo operacional.
Página 11 de 18
17.11.2010
Riesgo Operacional
Capítulo 4: Responsabilidades
Un aspecto clave en la gestión del riesgo operacional es la definición clara de roles y
responsabilidades de los sectores involucrados. No obstante, cabe destacar que todos los
integrantes de la entidad deben estar involucrados, reconociendo el Sistema de Gestión
del Riesgo Operacional como un proceso de mejora continua.
La estructura de Gerenciamiento del Riesgo Operacional está diseñada para proveer una
clara segregación de responsabilidades entre quien es el responsable primario de los
riesgos (Unidades Orgánicas de la estructura general del Banco) y quien ejerce el
monitoreo independiente de los mismos, Riesgo Operacional (RO).
4.1. Directorio
Es responsable de que la entidad cuente con una estrategia adecuada para la gestión del
riesgo operacional, para lo cual deberá:
• Aprobar el sistema de gestión del riesgo operacional y efectuar su revisión anual.
• Analizar el perfil de riesgo operacional general de la entidad y verificar las implicancias
estratégicas y sustanciales para su actividad.
• Asegurar que el sistema para la gestión del riesgo operacional esté sujeto a un
proceso de auditoria interna en todo el Banco, que contemple una adecuada cobertura
y profundidad de las revisiones y la adopción oportuna de medidas correctivas por
parte de las áreas auditadas.
• Aprobar políticas de difusión del sistema de gestión del riesgo operacional y de
capacitación, dirigidas a todas las áreas y funcionarios de la entidad financiera
• Establecer políticas para la gestión del riesgo operacional derivadas de actividades
subcontratadas y servicios prestados por proveedores.
• Aprobar una política para la difusión a terceros de la información que corresponda
sobre el sistema de gestión del riesgo operacional.
• Garantizar que la entidad cuente con personal técnicamente calificado, así como
también con los recursos necesarios para la gestión del riesgo operacional.
4.2. Comisión de Riesgo Operacional
Es responsable de:
• Someter a aprobación de Directorio el Sistema de Gestión del Riesgo Operacional y
aprobar la incorporación y/o eliminación de procedimientos, verificando el
cumplimiento de las normas establecidas por las entidades de contralor.
• Efectuar el seguimiento de la implementación y el cumplimiento del Sistema de
Gestión del Riesgo Operacional aprobado por el Directorio, contribuyendo a la mejora
de la efectividad del marco de gestión de riesgo operacional.
• Analizar las revisiones periódicas del Sistema de Gestión del Riesgo Operacional,
manifestando los comentarios que estime pertinentes en relación con la naturaleza,
alcance y oportunidad, a efectos de elevar al Directorio para su aprobación.
• Tomar conocimiento de los informes emitidos por Riesgo Operacional sobre la
exposición al riesgo, ya sea por entidad, línea de negocio y por producto o proceso,
incluyendo información estadística respecto a la evolución de los riesgos y las pérdidas
operativas más importantes y monitorear la eficacia de las acciones adoptadas por las
Gerencias para su mitigación o regularización.
Página 12 de 18
17.11.2010
Riesgo Operacional
• Informar al Directorio, como mínimo con una periodicidad semestral, sobre el estado
de situación de la exposición de la entidad al riesgo operacional y en caso de
corresponder, las pérdidas operativas más importantes y recomendar acciones cuando
los riesgos tengan implicancias sustanciales para la actividad del Banco.
• Analizar los informes emitidos por Riesgo Operacional vinculados a los impactos más
importantes producidos por la incorporación de los nuevos productos y servicios y las
principales modificaciones a los sistemas y procesos existentes en el Banco,
recomendando cursos de acción.
• Aprobar los planes para la difusión del sistema de gestión del riesgo operacional y de
capacitación dirigidos a todas las áreas y funcionarios de la Institución.
• Aprobar los planes para la difusión a terceros de la información que corresponda sobre
el sistema de gestión del riesgo operacional.
• Tomar conocimiento sobre toda información que deba ser remitida al Banco Central de
la República Argentina vinculada a su ámbito de competencia.
• Tomar conocimiento de los informes de las auditorias internas vinculados al sistema
de gestión de riesgo operacional y efectuar el seguimiento de la adopción oportuna de
medidas correctivas.
• Investigar cualquier asunto vinculado a la gestión del riesgo operacional, solicitando la
participación de funcionarios, especialistas o profesionales, cuando lo considere
necesario conforme los temas a tratar.
4.3. Gerencia General
Es responsable de:
• La implementación, reporte y control de los procesos y procedimientos para la puesta
en práctica y funcionamiento del sistema de gestión aprobado por el Directorio del
Banco.
• La existencia de procesos y procedimientos aplicables a cada Unidad Orgánica de la
estructura general del Banco, destinados a la gestión del riesgo operacional de los
productos, actividades, procesos y sistemas de la entidad financiera.
• Establecer líneas claras de autoridad, responsabilidad y comunicación con las distintas
Gerencias para fomentar y mantener la asunción de responsabilidades.
• Asegurar la existencia de recursos suficientes para la realización de una gestión eficaz
de riesgo operacional.
• Evaluar si el proceso de vigilancia gerencial se adapta a los riesgos inherentes a las
políticas de cada Unidad Orgánica de la estructura general del Banco.
• Recibir informes de la Gerencia de riesgo operacional relacionados con los resultados
de la ejecución de los procesos y procedimientos, la detección de las posibles
deficiencias que se produzcan en las políticas, procesos y procedimientos de gestión
del riesgo operacional y las pertinentes propuestas para su corrección.
• Informar al Directorio, como mínimo semestralmente, sobre los principales aspectos
relacionados con la gestión del riesgo operacional.
4.4. Riesgo Operacional (RO)
RO es independiente de las distintas Unidades Orgánicas de la estructura general del
Banco, y es responsable por liderar la implementación efectiva del sistema de gestión de
riesgos operacionales, y la adhesión a las políticas descriptas en este documento.
Las funciones de Riesgo Operacional se encuentran especificadas en el Digesto
Administrativo, Módulo 3: Manual de Organización.
4.5. Unidades Orgánicas de la Estructura General del Banco
Página 13 de 18
17.11.2010
Riesgo Operacional
Para cumplir con su rol de administradoras del riesgo y conforme la política Nº 7
“Procedimiento Interno” las Unidades Orgánicas de la estructura general del Banco
deberán:
• Identificar y evaluar todos los riesgos de sus procesos internos y en los de sus
proveedores críticos, e implementar procedimientos y controles que eliminen o
mitiguen tales riesgos.
• Implementar y monitorear los planes de acción correctivos sobre riesgos no cubiertos
o no deseados.
• Informar las pérdidas operacionales de acuerdo a lo establecido por Riesgo
Operacional.
• Efectuar el seguimiento de riesgos operacionales a través de indicadores claves de
riesgos definidos conjuntamente con Riesgo operacional.
• Aplicar los procesos y procedimientos definidos a través de las herramientas
corporativas utilizadas para la gestión del riesgo operacional.
• Informar a Riesgo Operacional los resultados de la ejecución de los procesos y
procedimientos con la periodicidad que se establezca.
• Informar a Riesgo Operacional, previamente a su lanzamiento, sobre todo nuevo
producto, proceso, y/o sistema, como así también las modificaciones que se quieran
realizar a los existentes.
• Informar :
Interrupciones materiales o potencialmente materiales en materia de seguridad
o controles en los sistemas de computación que resulten en posibles fallas,
piratería informática (hacking) o virus (cualquier interrupción deberá ser
informada se haya materializado o no la amenaza);
Evidencias o sospechas de fraudes internos materiales o potencialmente
materiales, deshonestidad de parte de los empleados, o cualquier situación en la
que la conducta deliberada o negligente de los empleados comprometa los
activos de la compañía;
Evidencias o sospechas de que debilidades en los controles hayan puesto a los
activos o recursos de la Institución en riesgo de fraudes o amenazas externas.
• El responsable de cada Unidad Orgánica de la estructura general del Banco, y a fines
de su gestión del riesgo operacional deberá designar persona/s referentes, que
básicamente realizarán tareas vinculadas a:
Difundir y velar por la implementación y el cumplimiento de las políticas y
procedimientos establecidos para la administración del riesgo operacional.
Recolectar y registrar eventos y pérdidas y realizar su seguimiento.
Asistir al responsable de la unidad orgánica en sus funciones de riesgo
operacional, básicamente en lo relacionado con la capacitación y promoción de la
cultura.
Coordinar y monitorear los Plantes de Mitigación / Planes de Acción Correctivos.
Elaborar y elevar informes al responsable de la unidad orgánica y a Riesgo
Operacional.
4.6. Unidad de Auditoria Interna
Será la encargada de evaluar la efectividad del marco que utiliza la Entidad para la
gestión del riesgo operacional, en cumplimiento de la política Nº 6.
Página 14 de 18
17.11.2010
Riesgo Operacional
ANEXO I - Clasificación de Eventos de Riesgo a Nivel 2
1. Fraude Interno
(101) Actividades no Autorizadas
Actividades efectuadas por una parte interna del Banco, tendientes a evadir las
regulaciones, normativas o leyes del mismo o externas, de manera intencional pero sin
la apropiación para sí de bienes o fondos del Banco o de su custodia. Incluye
actividades que busquen intencionalmente perjudicar a clientes o favorecer a terceros.
(102) Hurto y Fraude
Actividades efectuadas por una parte interna del Banco, que constituyen apropiación de
activos del mismo o de su custodia, de manera intencional (bienes, fondos, otros).
2. Fraude Externo
(201) Hurto y Fraude
Actividades efectuadas por una parte externa al Banco, que constituyen fraude o
apropiación de activos del mismo o de su custodia (bienes, fondos, otros) burlando los
controles y procedimientos internos existentes, cuando estos han sido seguidos
correctamente.
(202) Seguridad de los Sistemas
Actividades efectuadas por una parte externa al Banco, que constituyen daño o
apropiación de información del mismo o de su custodia, vía canales o medios
tecnológicos, burlando los controles y procedimientos internos existentes.
3. Relaciones Laborales y Seguridad en el Puesto de Trabajo
(301) Relaciones Laborales
Actividades ajenas al cumplimiento de la legislación laboral.
(302) Higiene y Seguridad en el Trabajo
Actividades relacionadas con normas de higiene y seguridad de los funcionarios en el
lugar de trabajo.
(303) Diversidad y Discriminación
Pérdidas derivadas de actividades de discriminación o contrarias a la integración interna
de la organización.
4. Prácticas con los Clientes, Productos y Negocios
(401) Adecuación, divulgación de información y confianza
Errores de funcionarios con clientes del Banco o incumplimiento de obligaciones
profesionales frente a ellos, involuntariamente que atentan contra sus activos, datos y/o
derechos. En general capturados a través de reclamos de clientes.
(402) Prácticas empresariales o de mercado improcedentes
Malas prácticas generales de mercado (en la industria o con la competencia excluidos
los clientes)
Página 15 de 18
17.11.2010
Riesgo Operacional
(403) Productos defectuosos
Presencia de deficiencias o defectos en los productos y/o servicios generadas en la
etapa de desarrollo de los mismos.
(404) Selección, patrocinio y riesgos
Acciones que perjudican al Banco (pérdidas) por no estudiar, analizar, investigar y/o
validar adecuada y completamente a clientes potenciales o actuales.
(405) Actividades de asesoramiento
Litigios sobre las actividades de asesoramiento.
5. Daño a Activos Físicos
(501) Desastres y otros acontecimientos
Eventos correspondientes a siniestros que afectan a infraestructura y bienes del Banco.
6. Alteraciones en la Actividad y Fallas Tecnológicas
(601) Sistemas
Todas aquellas fallas en los sistemas que deriven en errores o interrupción en la
continuidad del negocio
7. Ejecución, Gestión y Cumplimiento del Plazo de los Procesos
(701) Recepción, ejecución y mantenimiento de operaciones
Todos los errores de tipo operativo (exceptuando los de tipo Práctica y errores de
empleados con productos, clientes o negocios) detectados en controles internos o
externos.
(702) Seguimiento y presentación de informes
Omisión de procedimientos de información acerca de la inexactitud de informes
externos.
(703) Aceptación de clientes y documentación
Errores relacionados con la generación, recepción y/o resguardo de documentación de
clientes potenciales o actuales (inexistencia, no completos, extraviados)
(704) Gestión de cuentas de clientes
Todos los errores relacionados con cuentas de clientes que no pertenezcan al tipo
“Adecuación, divulgación de información y confianza” detectados mediante controles
internos o externos.
(705) Contrapartes comerciales
Pérdidas derivadas de malas prácticas generales de contrapartes distintas de clientes
(contrapartes comerciales, otros)
(706) Distribuidores y proveedores
Pérdidas derivadas del incumplimiento o malas prácticas por parte de proveedores y
distribuidores de productos/servicios.
Página 16 de 18
17.11.2010
Riesgo Operacional
ANEXO II - Líneas de Negocio a Nivel 2
1. Finanzas Corporativas:
(101) Finanzas Corporativas
(102) Finanzas de Administraciones Locales / Públicas
(103) Banca de Inversión
(104) Servicios de Asesoramiento
2. Negociación y Ventas
(201) Ventas
(202) Creación de Mercado
(203) Posiciones Propias
(204) Tesorería
3. Banca Minorista
(301) Banca Minorista
(302) Banca Privada
(303) Servicios de Tarjetas
4. Banca Comercial
(401) Banca Comercial
5. Pago y Liquidación
(501) Clientes Externos
6. Servicios de Agencia
(601) Custodia
(602) Agencia para Empresas
(603) Fideicomisos de Empresas
7. Administración de Activos
(701) Administración discrecional de fondos
(702) Administración no discrecional de fondos
8. Intermediación Minorista
Página 17 de 18
17.11.2010
Riesgo Operacional
Glosario
AERO: Autoevaluación de riesgos operacionales.
REPRO: Reporte de eventos de pérdida por riesgo operacional.
ICR: Indicador clave de riesgo.
RO: Riesgo Operacional (se refiere a la Unidad Orgánica del Banco con dicha
denominación).
SGRO: Sistema de Gestión del Riesgo Operacional.
Página 18 de 18
17.11.2010

sistema de gestión del riesgo operacional

Transcripción

Documentos relacionados

Título: Duración: Anual Horario: II I VII

red brasil de organismo de cuenca

SMS en Helidosa 2