RIESGO OPERACIONAL.

[pic 2]

[pic 3][pic 4][pic 5][pic 6]

Gestión del Riesgo Operacional

[pic 7]

[pic 8]

[pic 9]

ÍNDICE

RESUMEN EJECUTIVO        

1.        Presentación del tema.-        

1.1.        Visión.        

1.2.        Misión.        

1.3.        Objetivos.        

1.4.        Marco para la gestión integral de riesgos.        

2.        Plan de Gestión de Riesgo Operacional.-        

2.1.        Gestión de riesgos.        

2.1.1.        Autoevaluación de riesgos y controles.        

2.1.2.        Indicadores de riesgos críticos.        

2.1.3.        Análisis del entorno.        

2.1.4.        Base de datos de pérdidas        

2.2.        Gestión de continuidad del negocio.        

3.        Conclusiones y recomendaciones.        

3.1.        Conclusiones.        

3.2.        Recomendaciones.        

4.        Anexos.        

RESUMEN EJECUTIVO

El presente informe contiene un análisis de los riesgos operacionales de los procesos críticos de negocios de la Cooperativa de Ahorro y Crédito Abaco (En adelante Ábaco), para lo cual se ha tomado como referencia la Resolución SBS N° 2116-2009, Reglamento para la Gestión de Riesgo Operacional.

Ábaco es una institución financiera solidaria (Cooperativa de Ahorro y Crédito) con 34 años de vida institucional. Conforme a la legislación vigente está regulada por la Superintendencia de Banca, Seguros y AFP (SBS) y supervisada por la Federación Nacional de Cooperativas de Ahorro y Crédito del Perú (FENACREP), que se dedica a cubrir necesidades de financiamiento diverso a sus socios.

En lo referente a la gestión de riesgos operacionales en Ábaco, se está aplicando el Estándar Australiano AS/NZS 4360:1999 “Administración de Riesgos“, que constituye una guía genérica para el establecimiento e implementación del proceso de administración de riesgos, este estándar tiene una amplia difusión y ha constituido la base para el desarrollo de la normativa nacional e internacional de gestión de riesgo operacional; por otro lado también se ha considerado como guía el Marco Integral Enterprise Risk Management (ERM) bajo el esquema COSO^[1].

Las fases del proceso de administración de riesgos que establece el estándar australiano son:

1. Establecimiento del Contexto
2. Identificación de Riesgos
3. Análisis de Riesgos
4. Evaluación de Riesgos
5. Tratamiento de Riesgos
6. Monitoreo y Revisión
7. Monitoreo y Consulta

La implementación de una Gestión de Riesgo Operacional integrada permitirá controlar a un nivel razonable los riesgos operacionales, monitorearlos y estar adecuadamente preparados para los cambios del negocio y el entorno, con una visión de las situaciones que pueden incrementar su exposición.

1. Presentación del tema.-

La Cooperativa de Ahorro y Crédito Abaco (“Ábaco”) es una institución financiera creada hace 34 años bajo el esquema legal cooperativo. Conforme a la legislación vigente, Abaco está regulada por la Superintendencia de Banca, Seguros y AFP (SBS) y es supervisada por la Federación Nacional de Cooperativas de Ahorro y Crédito del Perú (FENACREP), la que a su vez es supervisada por la SBS.

A Diciembre 2014, Abaco es líder a nivel nacional en su sector, con activos por S/. 1,009.30 millones, con depósitos por S/. 847.06 millones y con un patrimonio de S/. 68.29 millones.

La institución cuenta con cerca de 13,000 socios y desarrolla relaciones comerciales en base a empresas vinculadas, a la vez que participa como socio en la promoción y en el desarrollo de otras cooperativas.

1. Visión.

Ser reconocidos como la mejor solución financiera para nuestros socios.

1. Misión.

Contribuir en elevar el bienestar de nuestros socios con soluciones financieras ágiles y adaptables, trabajando por el bien común, enfocados en un desarrollo sostenible.

1. Objetivos.

Dentro de los objetivos para alcanzar una adecuada gestión de riesgo operacional, tenemos los siguientes objetivos:

• Objetivo general.

Dar a conocer un modelo de gestión de riesgo operacional bajo un enfoque de gestión integral de riesgos, para prevenir y reducir niveles de pérdida que ocurran por este riesgo.

• Objetivo específico.

Mantener informada a la gerencia sobre los niveles de riesgo operacional y los aspectos que pueden influir en incrementar su exposición, así como las estrategias a implementar para reducirlos a niveles aceptables, lo cual ayudará a tomar decisiones mitigando los riesgos de negocio asociados a las operaciones de la Institución Financiera, es decir, controlar los riesgos en los niveles deseados.

1. Marco para la gestión integral de riesgos.

En el Perú, el marco regulatorio sobre Gestión de Riesgo Operacional está constituido por las siguientes normas, las cuales tomamos como referenciales al no existir para el sector cooperativo regulación propia:

1. Resolución SBS Nº 2116-2009, “Reglamento para la Gestión del Riesgo Operacional” del 2 de Abril de 2009.

Esta resolución establece que las entidades financieras deben realizar una gestión adecuada del riesgo operacional que enfrentan, para lo cual observarán los criterios mínimos indicados en la misma. Asimismo, delimita las funciones, responsabilidades y perfil de puestos para los integrantes y responsables en todo nivel, así:

• El Directorio es responsable de definir la política general para la gestión del riesgo operacional.
• La Gerencia General es responsable de implementar la gestión del riesgo operacional conforme a las disposiciones del Directorio.
• Las funciones del Comité de Riesgos, señaladas en el Reglamento de la Gestión Integral de Riesgos, son de aplicación a la gestión del riesgo operacional.
• El Área de Riesgos recibe el encargo de administrar el riesgo operacional, incorporando, de ser necesario, a alguna unidad especializada adicional. La norma enfatiza la necesidad de mantener independencia entre el Área de Riesgos de aquellas otras unidades de negocio o de apoyo.

La norma exige la presentación de informes anuales referidos a la gestión del riesgo operacional, a través del software IG-ROp, los cuales deberán ser remitidos a más tardar el 31 de enero del año siguiente al año de reporte. El contenido mínimo del referido informe, así como los aspectos operativos del IG-ROp, relacionado con las instrucciones, responsables y demás aspectos necesarios para su adecuado funcionamiento, se establecen en el “Manual del IG-ROp.

La norma presenta la gestión del riesgo operacional considerando los siguientes aspectos:

• El Manual de gestión del riesgo operacional
• La metodología para la gestión del riesgo operacional
• Las instituciones deberán contar con una base de datos de los eventos de pérdida por riesgo operacional.
• Las instituciones deben implementar un sistema de gestión de la continuidad del negocio; así como un sistema de gestión de la seguridad de la información.
• Las instituciones deberán establecer políticas y procedimientos apropiados para evaluar, administrar y monitorear los procesos subcontratados.

1. Circular Nº G-140-2009, “Gestión de la seguridad de la información” del 2 de Abril de 2009.

Las instituciones deberán establecer, mantener y documentar un sistema de gestión de la seguridad de la información (SGSI). Las actividades mínimas que deben desarrollarse para implementar el SGSI, son las siguientes:

• Definición de una política de seguridad de información aprobada por el Directorio.
• Definición e implementación de una metodología de gestión de riesgos, que guarde consistencia con la gestión de riesgos operacionales de la institución.
• Mantenimiento de registros adecuados que permitan verificar el cumplimiento de las normas, estándares, políticas, procedimientos y otros definidos por la institución, así como mantener pistas adecuadas de auditoría.

Como parte de su sistema de gestión de la seguridad de información, las instituciones deberán considerar, como mínimo, la implementación de los controles generales que se indican a continuación:

• Seguridad lógica.
• Seguridad de personal.
• Seguridad física y ambiental.
• Inventario de activos y clasificación de la información.
• Administración de las operaciones y comunicaciones.
• Adquisición, desarrollo y mantenimiento de sistemas informáticos.
• Procedimientos de respaldo.
• Gestión de incidentes de seguridad de información.
• Privacidad de la información.
• Cumplimiento normativo.

Las instituciones son responsables y deben verificar que se mantengan las características de seguridad de la información contempladas en la norma, incluso cuando ciertas funciones o procesos puedan ser objeto de una subcontratación. Asimismo, deben asegurarse que el procesamiento y la información objeto de la subcontratación, se encuentre efectivamente aislada en todo momento.

...