• Author / Uploaded
• Elizabeth Granda Carazas

• Categories
• Riesgo operacional
• Derecho laboral
• Información
• Software
• Matriz (Matemáticas)

Citation preview

BALOTARIO ASA – COORDINADORES DE RIESGOS AGENCIAS 1.

¿Sabe Ud. qué es Requerimiento Patrimonial?

Es el respaldo económico que toda entidad financiera necesita para realizar operaciones. En términos prácticos, por cada sol que Caja utiliza ya sea en colocación de créditos, toma de inversiones, etc debe contar al menos con 0.14 soles de patrimonio efectivo. La SBS exige un monto de requerimiento patrimonial por cada tipo de riesgo (riesgo de crédito, riesgo de mercado y riesgo operacional) 2.

¿Qué es el Proyecto ASA y para que le sirve a Caja Arequipa?

Para calcular el requerimiento patrimonial por riesgo operacional la SBS establece tres métodos de medición. De utilizar el método Estándar Alternativo (ASA por sus siglas en inglés) el requerimiento patrimonial por riesgo operacional de Caja Arequipa disminuiría en más de 60 millones de soles en relación al monto de requerimiento actual. El proyecto ASA busca obtener la autorización de la SBS para utilizar este método en Caja Arequipa y de este modo liberar capital para generar más negocio. RIESGO OPERACIONAL 3.

¿Qué es el Riesgo Operacional (ROP)?

Es la posibilidad de ocurrencia de pérdidas en Caja Arequipa debido a cuatro factores (procesos, personas, tecnología de información y eventos externos). Un evento de pérdida por ROP (a diferencia de un riesgo) es la materialización de riesgos de operación durante un proceso, originando pérdidas a Caja Arequipa. La SBS agrupa los eventos de pérdida por riesgo operacional en siete (7) categorías. En anexo adjunto se muestra la Tabla Nº 1 que contiene el detalle de la clasificación de los eventos de pérdida, su definición y algunos ejemplos tipo (esta información será de utilidad al momento que se reporten eventos de pérdida a través del Sofware CERO). 4.

¿Qué es la Gestión de Riesgo Operacional?

Es un proceso efectuado por todos los colaboradores de la institución, diseñado para identificar y mitigar potenciales riesgos que podrían afectarla. Los pasos que se siguen son los siguientes:

(*)

(*) Para determinar si el riesgo identificado es bajo, moderado, alto o extremo se aplican criterios de frecuencia / impacto pudiendo solicitar apoyo del personal de riesgo operacional en el establecimiento del nivel de riesgo. 5.

¿Conoce Ud. cuál es el Apetito y Tolerancia al Riesgo Operacional de Caja Arequipa?

Apetito al Riesgo: Uno de los principales objetivos de Caja Arequipa es generar utilidades para lo cual realiza una serie de actividades que la exponen a un conjunto de riesgos. En consecuencia, el apetito al riesgo se define como el nivel de pérdida que la empresa está dispuesta a asumir al realizar operaciones de créditos, ahorros y prestación de otros servicios. Tolerancia al Riesgo: Es la desviación máxima respecto al nivel de apetito al riesgo establecido. Caja Arequipa ha fijado niveles de apetito y tolerancia para los distintos tipos de riesgo (riesgo de crédito, riesgo de mercado y riesgo operacional); en el caso del riesgo operacional nuestra institución sólo está dispuesta a asumir riesgos de nivel bajo (Apetito) y como máximo riesgos de nivel moderado (Tolerancia). En términos monetarios, Caja Arequipa podría asumir un importe de pérdida anual por riesgo operacional equivalente a más o menos 800 mil soles (nivel de riesgo bajo) y como máximo un monto de alrededor 1.2 millones de soles (nivel de riesgo moderado). Es importante indicar que estos importes se actualizan cada año por lo que debemos estar atentos a los cambios que se realicen.

6.

7.

¿Qué herramientas se utiliza para identificar y evaluar los riesgos operacionales? a.

Talleres de Autoevaluación de Riesgos y Controles: Se convoca al dueño del proceso y personal clave que interviene en éste para identificar y evaluar los riesgos que se pueden presentar en el flujo de actividades asimismo identificar los controles existentes y proponer los planes de acción para el tratamiento de los riesgos altos y extremos (niveles por encima de la tolerancia al riesgo de Caja Arequipa). Como resultado de estos talleres se obtiene la matriz de riesgos y controles respectiva que contiene el detalle de los riesgos detectados, sus controles, planes de acción y KRI`s.

b.

Base de Datos de Eventos de Pérdida: Esta base de datos se alimenta de los eventos de pérdida por riesgo operacional reportados por el personal de Caja Arequipa a través del Software CERO. En base a esta información se hace posible identificar el riesgo asociado y proponer las medidas de mitigación correspondientes para que el evento de pérdida no se repita.

¿A qué se denomina mapa de riesgos?

El mapa de riesgos operacionales está compuesto por todos los riesgos identificados que podrían generar pérdidas a Caja Arequipa, estos riesgos están contenidos en las matrices de riesgos y controles (archivos con el detalle de los riesgos detectados en el proceso, controles implementados, nivel de riesgo, planes de acción, KRI`s, etc) que se obtienen como resultado de la ejecución de los talleres de autoevaluación de riegos. Todos los dueños de procesos críticos deben mantener actualizada su matriz de riesgos.

8.

¿Conoce Ud. cuáles son procesos críticos de Caja Arequipa?

Un proceso crítico incide de forma directa en los resultados que alcanza la organización. Caja Arequipa cuenta con 69 procesos, de los cuales 14 han sido tipificados como críticos. Se han realizado talleres de autoevaluación de riesgos para identificar los riesgos en estos 14 procesos críticos y en el mediano plazo se contará con las matrices de riesgos y controles correspondientes a los procesos que no están tipificados como críticos 9.

¿Quiénes son los coordinadores de Riesgos?

Son funcionarios de Caja Arequipa cuya función es canalizar el reporte de los eventos de pérdida y riesgos identificados por personal de la Caja (y por ellos mismos). En caso de ser dueños del proceso, son responsables adicionalmente, de proponer los planes de acción respectivos para la mitigación del riesgo y realizar el seguimiento a su implementación. En agencias los coordinadores de Riesgos son:

Coordinadores de Riesgo unidades administrativas

• • • • •

Gerente Regional Jefe Zonal Supervisor Regional de Operaciones Gerente de Agencia Jefe de Plataforma

10. ¿Qué acciones realiza Ud. como coordinador de riesgos cuando identifica o un colaborador de su área le reporta un riesgo operacional o un evento de pérdida? Para un mejor entendimiento se ha elaborado un flujo del proceso a seguir (anexo adjunto) en el que se detallan las actividades a realizar. Considerar que en caso de duda en cualquiera de los pasos del proceso se debe solicitar apoyo al personal de riesgo operacional. 11. ¿Qué es un Indicador Clave de Riesgo o KRI? Son indicadores que permiten monitorear si el riesgo que hemos identificado mantiene, disminuye o incrementa su nivel, se denominan KRI’s por sus siglas en Inglés (Key Risk Indicators) y ayudan a tomar acciones oportunas y corregir las desviaciones de metas. De acuerdo a la metodología vigente sólo se elaboran KRI`s en caso se detecten riesgos altos o extremos. Ejemplo: Riesgo: Desembolsar créditos sin la documentación correspondiente Indicador Clave de Riesgo: N° de créditos desembolsados sin la documentación correspondiente / N° de créditos desembolsados 12. ¿Conoce Ud. la definición de nuevo producto y cambio importante? Nuevo Producto: Producto lanzado por primera vez por Caja Arequipa. También se considera nuevo producto o servicio cuando se realiza un cambio en un producto existente que modifica su perfil de riesgo. Cambio importante en el ambiente de negocio, operativo e informático: Cambios de software, hardware, aplicaciones y/o procedimientos considerados críticos para la Caja Municipal de Ahorro y Crédito de Arequipa. En el Anexo Nº 1 del Procedimiento de Nuevos Productos y cambios importantes en el ambiente de negocios, operativo e informático se detalla una lista (explicativa más no limitativa) de los cambios que pueden considerarse como importantes o significativos. http://cajanet/index.php/2012-07-10-17-30-17/doc_view/1834-nuevos-productos-cambios-importantes-en-el-ambiente-de-negociosoperativo-e-informatico 13. ¿Sabe Ud. que todo nuevo producto o cambio importante debe contar con una evaluación de riesgos previa a su lanzamiento o puesta en producción? -

Esta evaluación de riesgos se realiza a través de un taller de autoevaluación de riesgos convocada por el líder del proyecto y en el que deben participar personal clave involucrado en el mismo. La Unidad de Riesgos participa como facilitador y documentador del taller de autoevaluación por lo que se le debe comunicar y remitir información con la debida anticipación. Contar con una evaluación de riesgos nos permite actuar de manera oportuna para evitar que se materialicen amenazas que eviten el cumplimiento de los objetivos trazados. El detalle de la información que se debe remitir a la Unidad de Riesgos se encuentra en el Anexo Nº 2 del Procedimiento e incluye información relativa a: Objetivo, Alcance del Proyecto, impacto Financiero, Estrategia de Comunicación, entre otros.

14. ¿Conoce Ud. la definición de proveedor crítico y Sub Contratación Significativa? Proveedor crítico: aquellos proveedores cuyos servicios, en caso fallen o se suspendan pueden afectar la calidad de servicio, afectando ingresos, solvencia o capacidad operativa. Subcontratación significativa: Modalidad de gestión mediante la cual una empresa contrata a un tercero para que éste desarrolle un proceso que podría ser realizado por Caja Arequipa y que en caso de falla o suspensión del servicio, puede poner en riesgo importante a la empresa, al afectar sus ingresos, solvencia, o continuidad operativa. SEGURIDAD DE INFORMACIÓN 1.

¿Qué es confidencialidad? Característica que menciona que el acceso a la información solo puede ser por personas autorizadas.

2.

¿Qué es integridad? Característica que menciona que la información se debe de mantener la exactitud tal cual fue generada.

3.

¿Qué es la Disponibilidad? Característica que menciona que la información debe ser accedida en cualquier momento.

4.

Propietario de la información, se define como: Es la entidad o persona quien tiene la responsabilidad gerencial aprobada de controlar la producción, desarrollo, mantenimiento, uso y seguridad del activo.

5.

¿Cuáles son las prohibiciones del colaborador? No proporcionar a terceros en general, documentos, información propia de la labor que desempeñan o cualquier otra. No introducir programas informáticos, música, videos, chips, USB, etc. No violar el secreto bancario, divulgar, publicar o publicitar sobre las operaciones, negocios, intereses en que intervenga la institución o sus clientes y proveedores.

6.

¿Cuáles son las obligaciones del colaborador? No utilizar el correo electrónico de la empresa para fines personales. No copiar información de propiedad de la Caja en USB o CDs o cualquier dispositivo, sin la autorización debida. Utilizar los servicios, bienes y las claves de acceso solo para fines laborales.

7.

¿Qué es la información de tipo confidencial? Es la información considerada crítica y no puede ser pública ya que afectaría las operaciones y funciones de los colaboradores.

8.

¿Qué es la información de tipo Especial? Es la información que solo es de interés de determinadas agencias o departamentos.

9.

¿Qué es la información de tipo interna? Es la información que llega a todos los colaboradores pero no está aprobada para ser circulada fuera del ámbito de la Caja

10. ¿Qué es la información de tipo pública? Es la información que cuya difusión no implica repercusiones a la Caja y cuyo contenido es de uso general. CONTINUIDAD DEL NEGOCIO 1. ¿Qué es Gestión de continuidad del negocio (GCN)? Es un proceso efectuado por el Directorio, la Gerencia Mancomunada y el personal, que implementa respuestas efectivas para que la operatividad del negocio de la Caja continúe de una manera razonable, con el fin de salvaguardar los intereses de sus principales grupos de interés, ante la ocurrencia de eventos que pueden crear una interrupción o inestabilidad en las operaciones de la Organización. 2. ¿Qué es un proceso urgente? Proceso considerado indispensable para la continuidad de las operaciones y servicios de la Organización, cuya realización podría ser razonablemente desarrollada por la Caja. 3.

¿Cuáles son los procesos urgentes identificados por la Caja?

4.

¿Cuáles son las responsabilidades del Líder del equipo de Continuidad en Oficinas Administrativas Identificar la naturaleza del evento de interrupción. Activar el Plan de Continuidad de Negocios en Oficinas Administrativas, en coordinación con el Comité de Gestión de Crisis (en caso aplique), en base a la naturaleza del evento de interrupción. Convocar al Equipo de Continuidad en Oficinas Administrativas (personal clave o alterno), Ver Anexo 2 – Datos de contacto del personal clave y alterno. Coordinar con el equipo las actividades a realizar para dar continuidad a los procesos utilizados por la Caja dentro de los tiempos objetivos de recuperación. Gestionar las actividades relativas a la recuperación de los procesos desde el evento de interrupción hasta la restauración a la normalidad, informando el estado de la operación al Comité de Gestión de Crisis. Informar los problemas específicos ocurridos durante la operación en continuidad al Comité de Gestión de Crisis. Mantener actualizado el Plan de Continuidad de Negocios en Oficinas Administrativas, Mantener actualizado el listado de datos de contactos del personal clave y alterno, así como los datos de los proveedores claves. Participar activamente de las capacitaciones y de las pruebas de continuidad del negocio.

5.

¿Cuáles son las responsabilidades del Líder del equipo de Continuidad en Agencias Identificar la naturaleza del evento de interrupción.

Activar el Plan de Continuidad de Negocios en la Agencia, en coordinación con el Comité de Gestión de Crisis (en caso aplique), en base a la naturaleza del evento de interrupción. Convocar al Equipo de Continuidad en Agencias. Ver Anexo 2 del presente documento y PL-UR020- Política de conformación del comité de agencia Coordinar con el equipo las actividades a realizar para dar continuidad a los procesos utilizados por La Caja dentro de los tiempos objetivos de recuperación. Gestionar las actividades relativas a la recuperación de los procesos desde el evento de interrupción hasta la restauración a la normalidad, informando el estado de la operación al Comité de Gestión de Crisis. Informar los problemas específicos ocurridos durante la operación en continuidad al Comité de Gestión de Crisis. Mantener actualizado el Plan de Continuidad de Negocios en Agencias. Participar activamente de las capacitaciones y de las pruebas de continuidad del negocio. 6. ¿Qué es un Centro de Negocios alterno? Es un sitio mantenido en espera para ser utilizado cuando ocurra un evento de interrupción que involucre la no disponibilidad de las oficinas principales. El personal clave principal como alterno deberá ser trasladado al centro 7. ¿Qué Implica trabajar con operaciones manuales en una contingencia? Implica que se pueda atender las operacionen de forma manual, de tal forma se pueda trabajar solo las operaciones que estan permitidas en caso de contingencia. Revisar en la intranet el procedimiento de “Ejecución de operaciones en caso de contingencias”. 8. ¿Quienes participan en las pruebas de continuidad del negocio? En las pruebas de continuidad del negocio, todos estamos obligados a participar, todo ello dirigido por los líderes de cada Agencia. 9. ¿Qué es un plan de emergencia? Conjunto de procedimientos pre establecidos para dar respuesta a situaciones de emergencias en la instalación 10. ¿Cuáles son las funciones de un Coordinador de Brigada? Asignar las funciones y responsabilidades de los miembros de la brigada de emergencias. Organizar, planificar y dirigir las acciones destinadas a salvaguardar la vida de todos los colaboradores y los visitantes. Asegurar que la identidad de los miembros de las brigadas de emergencia estén disponibles para todos los colaboradores. Coordinar con el responsable de la brigada los simulacros a efectuarse en la instalación. Determina la necesidad de ayuda externa y realizar las coordinaciones pertinentes. Comunicar sobre el estado de la situación de emergencia al comité de gestión de crisis

TABLA Nº 1 – EVENTOS DE PÉRDIDA POR RIESGO OPERACIONAL

Evento de Pérdida por ROP

Definición

Ejecución, entrega y gestión de procesos

Son los eventos derivados de errores en la ejecución y administración de los procesos, cuyo origen está en las deficiencias de los procesos de Caja Arequipa.

Fraude externo

Fraude interno

Interrupción del negocio y fallas en el sistema

Daños a activos materiales

Incumplimiento de procedimientos internos y externos /Error en la introducción y mantenimiento de datos/Términos de contratos inapropiados/Fecha de entregas no cumplidas.

Son los eventos derivados de errores en la ejecución y administración de los procesos, cuyo origen está en las deficiencias de los procesos de Caja Arequipa. Pueden deberse a errores en la operativa, controles deficientes o incumplimiento de la normativa.

Clonación de tarjetas de débito/Robos y atracos perpetrados contra activos de Caja Arequipa/Ataques de hackers/Uso fraudulento de órdenes de pago y transferencias

Son los eventos causados por actos que, de forma intencionada, buscan defraudar o apropiarse indebidamente de los activos de Caja Arequipa o incumplir normas o leyes en los que está implicado, al menos, un colaborador

Falsificación de documentos/Utilización fraudulenta de passwords por personas distintas al titular/Uso indebido de facultades y poderes/Divulgación intencionada de información privilegiada.

Son los riesgos derivados de incidentes por fallas tecnológicas.

Relaciones laborales y Son los eventos asociados con actos que son incompatibles con la seguridad en el legislación laboral, con los acuerdos internos de trabajo y, en puesto de trabajo general, con la legislación vigente sobre la materia.

Clientes, productos y prácticas empresariales

Ejemplos

Pérdidas originadas por la utilización de sistemas y aplicaciones que no soportan la carga de trabajo/ Deficiente funcionamiento de los sistemas por errores en el diseño, construcción e implementación de nuevas funcionalidades/Fallas en las comunicaciones y redes. Multas y sanciones impuestas por las autoridades laborales relacionadas con el incumplimiento de las normas de Seguridad e Higiene en el trabajo/ Multas, sanciones e indemnizaciones relacionadas con la discriminación laboral. Despidos improcedentes.

Son los eventos ocasionados por fallas negligentes o involuntarias de los colaboradores frente a los clientes.

Asesoramiento deficiente a los clientes/Publicidad engañosa, lo que causa pérdidas por sanciones y reclamaciones/Información desfasada o incompleta respecto a las tasas de interés y comisiones cobradas por los productos ofrecidos.

Son los eventos por daños o perjuicios a los activos físicos de Caja Arequipa, los cuales son producto de acontecimientos externos naturales y/o provocados, que originan la interrupción de las actividades.

Incendios / explosiones /Desastres naturales/Terrorismo / huelga / conmoción civil/Fallas en las telecomunicaciones.

FLUJO DE ACTIVIDADES A REALIZAR POR LOS COORDINADORES DE RIESGOS (AGENCIAS) ANTE LA IDENTIFICACIÓN DE RIESGOS, EVENTOS PÉRDIDA E INCIDENTES DE SEGURIDAD Y CONTINUIDAD