Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO FACULTAD DE CIENCIAS ADMINISTRACIÓN DE RIESGOS OPERATIVOS EN EL SEGURO DE VIDA INDIVIDUAL REPORTE DE TRABAJO PROFESIONAL QUE PARA OBTENER EL TÍTULO DE: ACTUARIA P R E S E N T A : GUADALUPE IVONNE PEÑALOZA MACÍAS TUTOR ACTUARIO VICTOR MANUEL SANDOVAL ARIAS 2007 UNAM – Dirección General de Bibliotecas Tesis Digitales Restricciones de uso DERECHOS RESERVADOS © PROHIBIDA SU REPRODUCCIÓN TOTAL O PARCIAL Todo el material contenido en esta tesis esta protegido por la Ley Federal del Derecho de Autor (LFDA) de los Estados Unidos Mexicanos (México). El uso de imágenes, fragmentos de videos, y demás material que sea objeto de protección de los derechos de autor, será exclusivamente para fines educativos e informativos y deberá citar la fuente donde la obtuvo mencionando el autor o autores. Cualquier uso distinto como el lucro, reproducción, edición o modificación, será perseguido y sancionado por el respectivo titular de los Derechos de Autor. Índice Introducción I. Administración de Riesgos Operativos 1.1 El riesgo 1.2 Clasificación de Riesgos 1.3 La Administración de Riesgos y su proceso 1.4 El riesgo Operativo 1.5 Definición de Riesgos Operativos 1.6 Clasificación de Riesgos Operativos II. Proceso de Administración de Riesgos Operativos 2.1 Identificación y Evaluación de Riesgos 2.2 Medición de Riesgo 2.3 Monitoreo de Riesgo 2.4 Control de Riesgo 2.5 Información y Revelación del Riesgo III. Metodología para identificar y disminuir los Riesgos Operativos 3.1 Método Causal 3.1.1 Lluvia de ideas 3.1.2 Matriz de jerarquización de problemas 3.1.3 Diagrama de causa – efecto 3.1.4 Diagrama de relaciones 3.2 Método Funcional 3.2.1 Diagrama de procesos IV. Administración de Riesgos Operativos en el Seguro de Vida Individual 4.1 El Área de Servicio a Asegurados 4.1.1 Funciones 4.1.2 Procesos 4.2 Aplicación de la Administración de riesgos Operativos 4.3 Soluciones de la metodología aplicada Conclusiones Anexos Bibliografía INTRODUCCIÓN Una parte fundamental del Sector asegurador es la creación de capacidades institucionales en el control y administración de riesgos. Tales capacidades son particularmente importantes debido a la alta cantidad de transacciones que forman parte de las operaciones diarias, y a la creciente tendencia de las compañías aseguradoras de someterse a la supervisión formal de autoridades. Las instituciones del sector asegurador son entidades, que por su naturaleza propia de operación, son susceptibles a incurrir en los diferentes tipos de riesgos cualitativos (operativo y legal) y cuantitativos (financiero), inherentes a otros intermediarios como son por ejemplo las reaseguradoras. En este sentido, las compañías aseguradoras deben contar con una herramienta que les permita entender los diferentes riesgos, tanto los comunes del sector, como los que son más particulares. En una compañía de seguros el impacto que puedan tener los riesgos operativos, es en algunos casos catastrófico, para el caso de una mala operación, si no se tienen las adecuadas políticas y procedimientos se puede estar incurriendo en “eventos seguros”, hay que recordar que el seguro es un contrato de buena fe entre dos partes donde se tiene un costo seguro (prima) por una pérdida incierta (suma asegurada), lo cual impactaría fuertemente en la utilidad de una compañía. A esta situación se le puede agregar que la competencia entre las aseguradoras ocasiona que los precios de los seguros lo determine el mercado que cada día es más agresivo a la baja de precios, por esto es importante tener bases sólidas disminuyendo nuestros riesgos operativos para mejorar la situación económica de la compañía, poder competir y dar un buen servicio. Una Aseguradora está sujeta a distintos tipos de riesgos en sus diferentes áreas y por diversas causas, así como para ciertos fines y posibilidades, este trabajo se enfocará en especial al área de Servicio a Asegurados, en la cual el problema principal es que se tienen largos tiempos de respuesta a las solicitudes de los clientes, esto es consecuencia de una serie de situaciones como son: El personal no cuenta con la capacitación adecuada para este trabajo, los agentes no envían la información completa para realizar las modificaciones, no se tiene el formato adecuado para las modificaciones que se pretenden realizar, entre otros que trataremos. Cabe mencionar que el principal filtro para evitar este tipo de situaciones se da mediante una buena selección de riesgos, la cual en ocasiones no se hace presente. Todo lo anterior, implica para la compañía una imagen de mal servicio y atención, así como falta de oportunidad en la entrega de los endosos de cambio. El presente trabajo tiene por objeto proporcionar un panorama general de la administración de riesgos operativos y su implementación en un área de Servicio a Asegurados, cuyo contenido aborda la estructura y las herramientas necesarias para llevar acabo una adecuada administración de riesgos operativos. Asimismo contiene las políticas y procedimientos para monitorear y eventualmente prevenir y controlar las exposiciones a los Riesgos Operativos. Así como se mencionan los principales lineamientos a los que se debe apegar la entidad y su personal en cuestión, para una correcta administración de riesgos operativos. Se incluye un capítulo dedicado al análisis del concepto “riesgo” y su clasificación, definición de riesgos operativos, así como, se trata también la administración de riesgos enfocada a un área de Servicio a Asegurados, su concepto y los elementos más importantes de la misma. Se presenta también, el proceso de la administración de riesgos operativos, el cual consiste en las siguientes etapas: a) Identificación y Evaluación de riesgos b) Medición de riesgo c) Monitoreo de riesgo d) Control de riesgo e) Información y revelación de riesgo Las herramientas para poder llevar acabo esta tarea están basadas en dos métodos básicos que corresponden a dos subtipos de problemas. El método causal y el método funcional, los primeros están relacionados con situaciones especificas del área, mientras los funcionales tiene que ver con la estructura y operación del sistema entero. Estos métodos están apoyados en herramientas como: El diagrama de causa-efecto, el diagrama de relaciones, el diagrama de procesos, la matriz de jerarquización de problemas, etc. Las cuales nos ayudarán a identificar y resolver problemas, así como a mejorar y fortalecer la calidad del área. Los resultados que se pretenden alcanzar son: • Una disminución de los riesgos operativos en el área de Servicios a Asegurados. • Proporcionar la estructura y las herramientas necesarias para llevar acabo una adecuada administración de los riesgos operativos a que esta expuesta el área de Servicios a Asegurados. • Desarrollo de estrategias, políticas y procedimientos para garantizar que el riesgo operativo sea controlado de manera apropiada. • Mostrar como esta metodología se puede extender a otras áreas para identificar y corregir riesgos operativos que finalmente impacta en los resultados financieros de la compañía. REPORTE DE TRABAJO PROFESIONAL CAPITULO I ADMINISTRACIÓN DE RIESGOS OPERATIVOS 1.1 El riesgo Para poder comprender el concepto de riesgo, se citan a continuación las definiciones más utilizadas: • Grado o probabilidad de pérdida. • Amenaza de contingencia dañosa. • Posibilidad de ocurrencia de un suceso fortuito que puedeser o no imprevisto, súbito así como violento, y producir daño o pérdida en las personas, animales o cosas en las que se presenta y conlleva una perdida económica. • Probabilidad de que un suceso ocurra y provoque perdida a una persona física o moral en sus personas o en sus bienes. • Incertidumbre de que un suceso pueda ocurrir. • Acontecimiento futuro, posible e incierto de naturaleza objetiva, cuya realización o siniestro causa un daño concreto. • Exposición a determinada eventualidad económicamente desfavorable. En base a las anteriores definiciones, el riesgo es la producción de un daño o perdida en razón de la ocurrencia de un acontecimiento fortuito, que puede ocurrir de manera gradual o paulatinamente o de forma violenta, inesperada y súbita. El hecho de percibir al riesgo como un evento dañoso sea gradual o súbito es la preocupación y motivo de estudio de la administración de riesgos. Los aspectos más comunes e importantes en estas definiciones son: Acontecimiento futuro Un peligro implica el enfrentarse a situaciones que tienen dos caras conocidas; una, tomar las medidas pertinentes a fin de intentar evitar su ocurrencia o, disminuir su potencial de daño; la otra, dejar que su presencia actué de acuerdo a su propia potencia, sin tomar medidas de prevención y seguridad. En ambos casos hay una actitud implícita ante el suceso futuro que puede ser activa o pasiva, consciente o inconsciente, voluntaria o involuntaria, responsable o irresponsable, diligente o negligente, tal actitud, sea de un tipo o de otro es motivo de su estudio en la administración de riesgos. Incertidumbre Grado de duda que se puede tener en cuanto a predecir cual de los posibles resultados ocurra, este concepto conlleva una dosis de aleatoriedad que es el propósito de la administración de riesgos. Probabilidad En términos matemáticos, se define como la frecuencia relativa de un suceso. Esta es la herramienta de mayor uso en la administración de riesgos. REPORTE DE TRABAJO PROFESIONAL 1.2 Clasificación de riesgos Por su propia naturaleza, la entidad esta sujeta a ciertos riesgos. Los riesgos están clasificados en una forma general de la siguiente manera: Riesgos Operativos Son los riesgos presentes en las operaciones diarias de la entidad que ocurren por errores o fallas en el desarrollo de las actividades administrativas y operativas del negocio. Incluyen el riesgo de administración, de sistemas de información, así como el fraude interno y externo. Por lo general los riesgos operativos son cualitativos, son distintos en relación a otros tipos de riesgos asumidos por la entidad, por el hecho de que típicamente no son asumidos a cambio de un retorno esperado. Más bien, los riesgos operativos existen por la naturaleza de la actividad que desarrolla la institución. La falta de reconocimiento de la importancia de administrar estos riesgos, y/o la incapacidad de hacerlo en una forma efectiva por parte de la entidad, resultará en una subestimación de la exposición real del riesgo, impactando su toma de decisiones y posiblemente quedando vulnerable a pérdidas sustanciales. Riesgos Financieros Los riesgos financieros identificados por la entidad incluyen las siguientes categorías: riesgo crediticio, riesgo de balance, riesgo de rentabilidad, riesgo de tasa de interés, de liquidez, y la adecuación de capital. Por lo general los riesgos financieros son cuantitativos. El desarrollo de la entidad implica cada vez mayor complejidad en sus operaciones financieras. En el sector asegurador, esta progresión típicamente inicia con las operaciones relacionadas exclusivamente al otorgamiento del seguro a una verdadera intermediación financiera. Para la entidad, esto incluirá, la captación de depósitos, el acceso a fuentes de financiamientos diversos, y la expansión de sus operaciones a través del crecimiento y diversificación de su cartera. Riesgos Externos Además de los riesgos internos enfrentados por la entidad (riesgos financieros y riesgos operativos), la institución deberá anticipar los riesgos presentes en su entorno. Estos riesgos se originan en el ambiente en que la entidad opera. Por lo general, son riesgos fuera del control de la institución. Sin embargo, la institución tendrá la obligación de obtener información sobre estos riesgos, evaluar su importancia, y generar estrategias de mitigación en los casos que sea posible. Esta categoría de riesgos es extensiva e incluye, entre otros, los riesgos asociados con cambios macroeconómicos, con cambios en el entorno legal, riesgos del sistema financiero, riesgos políticos, riesgos del mercado, riesgos relacionados con la competencia, y riesgos de desastres naturales. La identificación de riesgos del entorno típicamente requiere la recopilación y análisis de información por parte de instituciones capaces de coordinar varias fuentes, tanto privadas, como gubernamentales. En muchos casos, es REPORTE DE TRABAJO PROFESIONAL responsabilidad de redes profesionales y entidades supervisoras, el detectar la presencia de estos riesgos y evaluar la vulnerabilidad potencial del sistema y de instituciones particulares. Aunque se les menciona, no todos estos riesgos son tratados por su importancia relativa. 1.3 La Administración de Riesgos y su proceso La administración de riesgos es el conjunto de objetivos, políticas, procedimientos y acciones que se implementan para identificar, medir, vigilar, controlar, informar y revelar los riesgos a que se encuentra expuesta una empresa. No es posible ni recomendable, debido al costo, el eliminar todos los riesgos potenciales. La administración integral de riesgos pretende equilibrar, en la búsqueda de altos rendimientos, riesgos tolerables para la entidad. Por lo tanto la administración de riesgos incluye tanto la prevención de problemas potenciales, como la detección, y corrección de los problemas actuales en caso de que ocurran. La prevención es diseñada para advertir las consecuencias no deseables antes que ocurran; la detección es diseñada para identificar las consecuencias no deseables antes que ocurren: y la corrección es diseñada para asegurar que se tomen medidas correctivas para eliminar o reducir las consecuencias no deseables y para asegurar que no ocurran de nuevo. La siguiente gráfica representa el proceso continuo de administración de riesgo tomando en cuenta la prevención, detección y corrección: El proceso de la Administración de Riesgos 1. Identificar Riesgos 6. Actualizar políticas 2. Desarrollar estrategias 5. Evaluar efectividad y 3. Diseñar políticas para monitorear resultados controlar o mitigar el riesgo 4. Implementar políticas y Asignar responsabilidades El proceso de la Administración de Riesgos Como primer punto, la entidad definirá los riesgos más relevantes en el ámbito en donde trabaja. Casi todas las transacciones llevaran algún nivel de riesgo, ya sea crediticio, financiero, u operativo. REPORTE DE TRABAJO PROFESIONAL Segundo, la entidad definirá los modelos, parámetros, y escenarios que habrán de utilizarse para llevar a cabo la medición de los riesgos y darles prioridad tomando en cuenta tres dimensiones: • La magnitud de la posible perdida • La duración del tiempo en el cual estará expuesto al riesgo • La probabilidad de consecuencias adversas Después, la entidad formulará estrategias y políticas para controlar o mitigar el riesgo, las mismas que deberán ser observadas y cumplidas, y al mismo tiempo establecer las medidas correctivas en caso de excesos. Finalmente, será responsabilidad de la entidad el estar continuamente evaluando la efectividad de las medidas tomadas, midiendo los niveles de riesgo, y, en caso que sea necesario, actualizando las políticas y estrategias. La administración de riesgos es unproceso continuo que involucra personal de todo nivel de la entidad. Los responsables de la administración de riesgos en la entidad, entenderán y tomaran en consideración los atributos particulares del sector, que influencia en su exposición de riesgo. A continuación se presenta una lista de características particulares del sector: • Las compañías aseguradoras emiten un número significativo de pólizas y recuperan sus gastos a través del pago de primas, de las cuales su cobranza puede ser difícil de controlar. • Típicamente, las personas carecen de una cultura hacia el seguro y los agentes no cuentan con la capacitación suficiente, lo cual lleva a una mala asesoria de parte del agente al posible asegurado, y si a esto se le suma una mala suscripción de riesgos, se presentará un alto índice de siniestros. • En el área de Cobranza, la instancia de mora en la cartera, a pesar de su nivel inicial, puede ser contagiosa, resultando en una rápida deterioración de calidad a corto plazo. • La demanda extraordinaria resulta a veces en un crecimiento rápido que presiona a los sistemas de control. • La Gerencia y el Consejo de Administración están compuestos frecuentemente por personas que carecen de experiencia en el sector. • En relación a su actividad, las compañías aseguradoras operan con costos administrativos y operativos mayores que otros sectores, por lo tanto, existe mucha presión de bajar costos, muchas veces a costa del sistema de control y de la supervisión adecuada. • Las compañías aseguradoras demuestran frecuentemente una cultura organizacional que minimiza la importancia de control y administración de riesgos. REPORTE DE TRABAJO PROFESIONAL Para que sea efectiva la administración de riesgos integrales de la entidad deberá ser: preventiva, detectiva y correctiva. El fundamento del sistema de administración de riesgos esta compuesto por los siguientes elementos: • Cultura Organizacional • Recursos Humanos • Políticas y procedimientos • Información Cultura Organizacional La entidad se propone lograr un sistema efectivo de administración integral de riesgos para lo cual desarrollará, aplicará, y verificará la implantación de actividades de control apropiadas, políticas y procedimientos que permitan identificar y administrar riesgos, un sistema de información, aplicación y promoción permanente de un entorno institucional que influya positivamente en la administración de los riesgos en todos los niveles de la organización. Fundamentalmente, será responsabilidad tanto del Consejo de Administración, como de la alta Gerencia, el fomentar una sana cultura organizacional como uno de los elementos de prevención más importantes en la administración de riesgos integrales. La siguiente lista presenta una breve descripción de indicaciones de una cultura distorsionada: • Pólizas relacionadas- Una sobre extensión de seguros a personas relacionadas con la institución, como por ejemplo directores, accionistas, y/o desvíos de políticas de selección bajo presión de otros intereses relacionados. Esta situación demuestra el poco compromiso con el sector meta y la estrategia institucional. • Ansiedad sobre ingresos y crecimiento- Existe una ansiedad sobre la capacidad de generar ingresos y crecer con una actitud no realista sobre los riesgos inherentes. Esta condición es evidente en los tipos de incentivos que ofrece la institución a su personal y los tipos de metas que establezcan. • Complacencia- Es una causa común de una administración inadecuada. La complacencia se manifiesta típicamente en una falta de supervisión, de conocimiento inadecuado del agente, dependencia en información verbal en lugar de documentación completa, y tolerancia de condiciones de riesgo elevados y/o estándares o políticas que no están puestos en ejecución. • Incompetencia técnica- Incluye una falta de capacidad y conocimiento técnico del personal. Es más destacado en los seleccionadores de riesgos y su capacidad de ejecutar el proceso de selección según lo diseñado, incluyendo selección médica, el monitoreo de la cartera, y el manejo de negocios diplomáticos. La incompetencia puede ser un resultado de una REPORTE DE TRABAJO PROFESIONAL mala selección del personal y/o sistemas de capacitación y comunicación inadecuados. Recursos Humanos Similar a la cultura organizacional, la gerencia efectiva de recursos humanos, será para la entidad un elemento crucial en la prevención de los riesgos. La entidad establecerá valores institucionales, principios y reglas de conducta, perfiles del talento humano, y políticas de capacitación, frente a las estrategias y a la forma de desarrollar adecuadamente los procesos, con el fin de que se solidifique una cultura de autorregulación. Por lo tanto, contará con una metodología de selección de personal que, en la medida de lo posible, permita identificar empleados potenciales con altos niveles de ética y que desde el proceso de contratación se enfatice la importancia de los valores institucionales. La entidad establecerá un sistema de compensación justo y motivante para el personal que reconoce contribuciones individuales en la implementación de las estrategias institucionales, siendo el control de los riesgos una parte importante. Políticas y procedimientos Las políticas y procedimientos claros y comprensivos, son una parte integral de la prevención, detección y corrección en el proceso de administración de riesgos. Las políticas son lineamientos escritos que indican la dirección de las operaciones. Cada área de riesgos identificada por la institución tendrá su propia política que defina los límites de riesgo aceptables y otros requerimientos que aseguren el buen funcionamiento del área. Los procedimientos, son las instrucciones por escrito que definen la implementación de políticas. Para que la administración integral de riesgos sea efectiva, las políticas y procedimientos serán en todos casos: • Documentadas- La entidad documentará las políticas y procedimientos en un Manual correspondiente al área, como Manual de Crédito, Manual de Recursos Humanos, Manual de Control Interno, y en todo caso evitara depender de instrucciones verbales que son típicamente inconsistentes y malentendidas. • Sencillas y precisas- Los manuales contendrán un lenguaje sencillo y directo utilizando flujogramas para una mayor explicación. • Disponibles-Todo el personal responsable de la aplicación de políticas y procedimientos tendrá acceso al manual o manuales relevantes. • Actualizadas-Los cambios serán comunicados y documentados en una forma oportuna. • Implementadas- El Consejo de Administración y la Dirección General garantizaran que todas las políticas y procedimientos sean implementadas. REPORTE DE TRABAJO PROFESIONAL Información La información es vital para la administración de riesgos. La información es necesaria para la prevención y detección de los riesgos, por lo tanto, la entidad utilizará un sistema que administre y controle el contenido y flujo de información. La información producida será en todo caso relevante, utilizada, oportuna, y accesible para las personas responsables. El sistema de información adecuado será aplicado para evitar los siguientes riesgos: • La incapacidad de prioritizar riesgos- Una parte fundamental de la administración de riesgos es su identificación y evaluación, creando una matriz que estime la probabilidad de que algo ocurra (frecuencia), y estime el costo potencial de su ocurrencia (impacto). La falta de información, especialmente histórica, hará el proceso mucho más difícil. • La incapacidad de medir riesgos- La medición y monitoreo de riesgos es un proceso continuo. La información generada permite al Consejo de Administración, a la gerencia, y a otras áreas responsables, el cumplir con su responsabilidad de supervisión, asegurando que la institución semantenga dentro de los rangos de riesgo aceptables. • La incapacidad de detectar fraude- Un sistema de información con problemas de confiabilidad es una precondición al fraude. Para la prevención y detección de todo tipo de actividades fraudulentas, es necesario tener información que sea accesible, veraz y puntual. • La incapacidad de cumplir con requerimientos establecidos por la ley- La supervisión formal de una aseguradora incluye una serie de requerimientos de información que tiene que ser cumplidos al cien por ciento para evitar multas y perdida de derechos de operación. • La falta de control financiero- La administración de riesgos financieros requiere que la gerencia pueda detectar todo tipo de variaciones en las proyecciones financieras y el presupuesto, con los resultados reales. A la misma vez, la transparencia de los estados financieros es fundamental para la prevención y detección de riesgos. 1.4 El riesgo operativo La base de un programa eficaz de administración de los Riesgos de Operación es una clara comprensión de lo que constituye el riesgo operativo. Las definiciones claras de los elementos de los Riesgos de Operación promueven la comunicación entre las unidades de administración de riesgos al brindar un medio para distinguir los tipos de riesgo operativo del riesgo de crédito y del riesgo de mercado, clarificando de esta manera la responsabilidad. Las definiciones y clasificaciones de riesgo operativo brindan una base para la administración integral de los REPORTE DE TRABAJO PROFESIONAL Riesgos de Operación. En los últimos años, la industria financiera ha dedicado un considerable esfuerzo pensando en formas en las que el riesgo operativo pudiera ser identificado y categorizado de manera útil. Si bien no existe un consenso formal en la industria sobre un único enfoque, existe considerable acuerdo entre diferentes instituciones en un marco común, que incluye definiciones de apoyo. Sin que se obligue a un único enfoque, existe un creciente consenso en que un marco común podría servir como base para la creación de bases de datos de referencia, que sería sumamente útil para la industria como un todo. Para propósitos de la cuantificación de los Riesgos de Operación en toda la institución, así como para la reunión de datos de diferentes instituciones, es necesario contar con definiciones que sean fácilmente mensurables y comparables. Considerando la situación actual de la práctica en la industria, ésta ha llevado a las instituciones y supervisores a distinguir entre: a) Causas o factores de los Riesgos de Operación, b) eventos de pérdida (pérdidas medibles que pueden deberse a una serie de causas, muchas de las cuales pueden no ser completamente entendidas), y c) los efectos de la pérdida de los Riesgos de Operación que se reflejan en las ganancias y pérdidas. Es una práctica emergente usar un enfoque de clasificación de pérdidas para administrar el riesgo operativo. Si bien los sistemas de clasificación varían de una institución a otra, generalmente incluyen tipos de evento de pérdida tales como fraude interno y externo; prácticas de empleo y seguridad en el centro de trabajo; clientes, productos y prácticas comerciales; daño a los activos físicos; interrupciones de negocios; fallas del sistema; así como ejecución, prestación y administración del proceso. Muchas instituciones además subdividen estas categorías para identificar con mayor claridad los tipos de eventos que ocasionan pérdidas de los Riesgos de Operación. El enfoque en los eventos de los Riesgos de Operación permite categorizar su actual experiencia de pérdida en un marco integral y distinguir más claramente el riesgo operativo del riesgo de crédito y el riesgo de mercado. Este enfoque también brinda un marco que corresponde a la manera en la que muchas instituciones estructuran sus actividades de administración de riesgos. Al asignar las pérdidas en diferentes categorías de acuerdo con la naturaleza general del evento de riesgo operativo, las instituciones están en capacidad de evaluar el impacto de las actividades reductoras del riesgo –como mejores controles y procesos internos – destinadas a reducir la probabilidad y severidad de tales eventos. De esa manera, un sistema de clasificación de pérdidas destaca el tipo de eventos que puede llevar a pérdidas significativas, y brinda información directa e importante sobre la necesidad y eficacia de diversas medidas de administración de riesgos. REPORTE DE TRABAJO PROFESIONAL Además de categorizar las pérdidas de riesgo operativo por tipo de evento o riesgo, también es una práctica común clasificar las pérdidas dentro de las principales líneas de negocio de una institución. Este proceso crea un sistema de clasificación “matriz” de doble entrada que asigna las pérdidas a diferentes celdas de tipo “evento/línea de negocio”. Las líneas específicas utilizadas pueden variar de una institución a otra. Así como con los sistemas de clasificación por tipo de evento, muchas instituciones subdividen estas categorías en líneas comerciales que reflejan su estructura específica y combinación de actividades comerciales. Algunas instituciones también consideran útil categorizar las pérdidas de acuerdo con sus efectos, lo que permite a las instituciones categorizar y hacer un seguimiento de estas pérdidas en términos que son compatibles con el sistema contable con libro mayor general de una institución, relacionando así la categorización de las pérdidas con el proceso de atribución de las ganancias y pérdidas de la institución. Las categorías de pérdidas normalmente incluyen elementos tales como responsabilidad legal, acción normativa, pérdida o daño a los activos físicos, indemnización, pérdida de recurso, y depreciación de activos. Para cualquier evento de pérdida dado, este sistema de clasificación le permite a una institución hacer un seguimiento del impacto del evento en las ganancias y pérdidas de manera que lo mapea directamente en sus cuentas de resultado. 1.5 Definición de Riesgos Operativos Los riesgos operativos se refieren a las pérdidas potenciales resultantes de sistemas inadecuados, fallas administrativas, controles defectuosos, fraude o errores humanos. Los riesgos operativos tienen que ver con el mercado del producto en el cual opera la empresa y comprende, innovaciones tecnológicas, diseño del producto y mercadotecnia. En cualquier actividad de negocios, la exposición racional de este tipo de riesgos es considerada como una habilidad interna o ventaja competitiva de la propia empresa. Las principales causas que han motivado a las entidades en la gestión del riesgo operacional son por: − Motivos regulatorios. − Interés creciente en el Riesgo Operacional. − Control y reducción de pérdidas operacionales. − Concienciación de la alta dirección. − Búsqueda de ventajas competitivas. − Requerimientos de auditoría. REPORTE DE TRABAJO PROFESIONAL Las mejoras mínimas esperadas en la gestión de Riesgos Operacionales en consecuencia a estas preocupaciones podemos resumirlas en: − Reducir las pérdidas por fallos operacionales. − Cumplimiento de las normas y requerimientos de la empresa. − Mejorar la calidad del servicio. − Reducción en los fallos de control. − Información completa sobre el Riesgo Operativo. − Protección del valor para los accionistas. − Mejorar la estimación del Riesgo Operativo. − Incremento en el conocimiento del Riesgo Operativo. 1.6 Clasificación de Riesgos Operativos De acuerdo con la fuente que los generan los riesgos operativos los podemos clasificar en: Personal. Las exigencias comerciales no se cumplen a causa de problemas de falta de motivación, fraude o políticas inadecuadas provenientes del personal. Así como accidentes que involucran a individuos clave. Tecnología. Indisponibilidad de los sistemas, calidad de datos deficiente, erroresdel sistema, problemas con programas informáticos. Planta física. La continuidad del negocio se ve adversamente afectada por daños o pérdidas de planta física. Relaciones. Relaciones inadecuadas, prácticas comerciales, problemas con clientes, etc. Factores externos. Riesgo de que una transacción no se pueda hacer valer ahora o en el futuro, así como cambios en las leyes o las normas aplicables. REPORTE DE TRABAJO PROFESIONAL CAPITULO II PROCESO DE ADMINISTRACIÓN DE RIESGOS OPERATIVOS 2.1 Identificación y evaluación de Riesgos Las instituciones deben identificar y evaluar el riesgo operativo inherente a todos los productos, actividades, procesos y sistemas relevantes. Las compañías aseguradoras también deben asegurar que antes de introducir o emprender nuevos productos, actividades, procesos y sistemas, el riesgo operativo inherente a los mismos esté sujeto a procedimientos de evaluación adecuados. La identificación de riesgos es fundamental para el posterior desarrollo de procesos viables de monitoreo y control del riesgo operativo. Una identificación eficaz de riesgos considera tanto factores internos (como la complejidad de la estructura de la entidad, la naturaleza de sus actividades, la calidad del personal, los cambios organizacionales y la rotación de los empleados), como factores externos (cambios en la industria y los avances tecnológicos) que podrían afectar adversamente el logro de los objetivos de la institución. Además de identificar los riesgos potencialmente más adversos, deben evaluar su vulnerabilidad a estos riesgos. Una evaluación efectiva de riesgos le permite comprender mejor su perfil de riesgo y dirigir de manera más efectiva los recursos para la administración de riesgos. Existen diversos procesos empleados comúnmente para ayudarlas a identificar y evaluar el riesgo operativo: • Autoevaluación o Evaluación de riesgos: La entidad deberá evaluar sus operaciones y actividades con relación a un menú de vulnerabilidades potenciales de riesgos de operación. Este proceso es manejado internamente y con frecuencia incorpora listas de control y/o talleres de auto evaluación con el fin de identificar las fortalezas y debilidades del ambiente de los riesgos de operación. • Mapeo de riesgos: en este proceso, diversas unidades comerciales, funciones organizacionales o flujos de procesos son mapeados por tipo de riesgo. Este ejercicio puede revelar áreas de debilidad y ayudar a dar prioridad a la acción posterior de la Gerencia. • Indicadores Principales de Riesgo: los indicadores de riesgo son datos estadísticos y/o métricas, con frecuencia financiera, que pueden permitir conocer la posición de riesgo de una entidad. Estos indicadores tienden a ser revisados periódicamente (p.ej. con frecuencia mensual o trimestral) para alertar sobre cambios que pudieran indicar riesgo. Tales indicadores pueden incluir: el número de operaciones fallidas, los índices de rotación del personal, y la frecuencia y/o severidad de los errores y las omisiones. • Tablas de Control (Scorecards): proporcionan un medio para traducir las evaluaciones cualitativas en datos cuantitativos, ayudando a definir un REPORTE DE TRABAJO PROFESIONAL orden relativo de los diferentes tipos de exposición a los riesgos de operación. Algunos puntajes pueden referirse a riesgos únicos a una línea de negocio específica, mientras que otros pueden servir para ordenar los riesgos que atraviesan varias líneas de negocio. Los puntajes pueden referirse a riesgos inherentes a los factores, así como a los controles para mitigarlos. Asimismo, los scorecards pueden ser empleados para asignar capital económico a las líneas de negocio con relación al desempeño en la administración y el control de diversos aspectos de los riesgos de operación. • Umbrales/límites: típicamente ligados a los indicadores de riesgo, los niveles límites (o sus cambios) de los indicadores principales de riesgo, cuando son alcanzados, alertan a la Gerencia acerca de áreas con problemas potenciales. • Medida: Algunas empresas han comenzado a cuantificar su exposición a los riesgos de operación utilizando una variedad de enfoques. Por ejemplo, los datos referidos a una experiencia de pérdida histórica pueden proporcionar información significativa para evaluar la exposición a los riesgos de operación y desarrollar una política para mitigar/controlar el riesgo. Una manera efectiva de hacer un buen uso de esta información consiste en establecer un marco general para hacer un registro y seguimiento sistemático de la frecuencia, severidad y otra información relevante sobre eventos individuales de pérdidas. Algunas empresas han combinado también datos de pérdidas internas con datos de pérdidas externas, análisis de escenarios, y factores de evaluación cualitativa. La desregulación y globalización de todo tipo de servicios, junto con la creciente sofisticación de la tecnología, están haciendo cada vez más diversas y complejas las actividades del sector asegurador (y por lo tanto sus perfiles de riesgo). Además del riesgo de crédito, riesgo de tasa de interés y riesgo de mercado, pueden ser considerables otros riesgos. Los ejemplos de estos nuevos y crecientes riesgos que se enfrentan incluyen: • Si no se controla adecuadamente, el mayor uso de tecnología altamente automatizada, puede transformar los riesgos de errores en el procesamiento manual, en riesgos de fallas del sistema, puesto que cada vez más se depende de sistemas integrados mundialmente. • El crecimiento del comercio electrónico trae consigo riesgos potenciales (por ejemplo, problemas de fraude externo y de seguridad en los sistemas) que aún no han sido comprendidos totalmente. • Las fusiones, escisiones y consolidaciones a gran escala ponen a prueba la viabilidad de sistemas nuevos o recientemente integrados. REPORTE DE TRABAJO PROFESIONAL • La aparición de entidades que actúan como proveedores de servicios de gran volumen crea la necesidad de un continuo mantenimiento de controles internos y de sistemas de seguridad y respaldo apropiados. • El creciente uso de acuerdos de tercerización (‘outsourcing’) y la participación en sistemas de compensación y liquidación pueden reducir algún riesgo, pero también pueden representar otros riesgos significativos. El conjunto de riesgos listados puede ser agrupado bajo la categoría de “riesgos de operación”, que para propósitos de supervisión se ha definido como: Los riesgos en que incurrirá la institución por errores o fallas en el desarrollo de las actividades administrativas y operativas del negocio. Se definen, también, como los riesgos de pérdida ocasionados por deficiencias en los procesos de control interno, sea cual fuere el motivo. Incluye errores cometidos por el personal y por sistemas internos creados para la operación cotidiana de la entidad así como por eventos externos. A continuación se presentan los tipos de riesgos más sustanciales: • Fraude Interno- Actos destinados a defraudar, usurpar la propiedad o evadir la regulación, la ley o las políticas de la empresa, excluyendo los eventos de diversidad y discriminación, que involucren al menos una parte interna. Ejemplos de ello incluyen: reportes de posiciones intencionalmente errados, defraudación de empleados y negociación con información privilegiada por cuenta de un empleado. • Fraude Externo- Actos por parte de terceros destinados a defraudar, usurpar la propiedad o evadir la ley. Ejemplos de ello incluyen: robo, falsificación, emisión de cheques sin fondos y perjuicios por hacking de computadoras. • Errores y fallas en procesos, y ejecución en el desarrollo de actividades. Ejemplos de esto incluye errores en el registro de datos, y fallas en los sistemas de información. • Prácticas de empleo y seguridad del ambiente de trabajo- Actos inconsistentes con lasleyes o acuerdos de empleo, salud o seguridad, o que resulten en el pago de reclamos por perjuicios al personal, o reclamos relacionados con temas de diversidad o discriminación. Ejemplos sobre la materia incluyen: reclamos por compensación a trabajadores, violación de las normas de salud o seguridad de los empleados, actividades sindicales, reclamos por discriminación, y cualquier obligación derivada de reclamos en general (por ejemplo, un cliente que se resbala y cae en una sucursal). • Prácticas relacionadas con los clientes, los productos y el negocio-Fallas negligentes o no intencionadas que impidan cumplir con las obligaciones profesionales con clientes específicos (incluyendo requerimientos fiduciarios y de idoneidad), o derivadas de la naturaleza o diseño de un producto. Ejemplos al respecto incluyen: brechas fiduciarias, mal manejo REPORTE DE TRABAJO PROFESIONAL de la información confidencial de clientes, actividades de negocio inapropiadas por cuenta de la empresa, lavado de dinero, y venta de productos no autorizados. • Daño a los activos físicos- Pérdida o daño a los activos físicos debido a desastres naturales u otros eventos. Ejemplos de este tipo incluyen terrorismo, vandalismo, terremotos, incendios e inundaciones. • Interrupción del negocio y fallas en los sistemas- Interrupción de las actividades del negocio o fallas en los sistemas de información. Ejemplos de esta naturaleza incluyen: fallas en el software o hardware, problemas de telecomunicación y cortes en los servicios públicos. • Administración de la ejecución, la entrega y el proceso-Fallas en el procesamiento de las transacciones o en la administración del proceso, y en las relaciones con las contrapartes y los proveedores. Ejemplos sobre la materia incluyen: errores en el ingreso de los datos, fallas en la administración de colaterales, documentación legal incompleta, acceso no aprobado a las pólizas de clientes, desempeño inadecuado de las contrapartes no clientes y disputa con los intermediarios. Los riesgos operativos son distintos en relación a otros tipos de riesgos asumidos por la entidad, por el hecho de que típicamente no están asumidos en intercambio con un retorno esperado. Más bien, los riesgos operativos existen por la naturaleza de la actividad que desarrolla la institución. La falta de reconocimiento de la importancia de administrar los riesgos operativos, y/o la incapacidad de hacerlo en una forma efectiva por parte de la entidad, resultará en una subestimación de la exposición real de riesgo, impactando su toma de decisiones y posiblemente quedando vulnerable a pérdidas sustanciales. Definición de Fraude El fraude será un tema importante en la administración de riesgos operativos. La definición de un fraude es un engaño deliberadamente practicado para asegurar una ganancia de manera injusta e ilegal. Sus consecuencias pueden ser significativas. Los tipos de fraude más comunes en el sector asegurador que serán tomados en cuenta para el desarrollo de políticas y estrategias en la entidad son: • Clientes ficticios • Comisiones (mordidas/tajadas) • Robo de caja/Dinero en efectivo • Confabulación en la emisión de pólizas • Manipulación de datos financieros de los clientes REPORTE DE TRABAJO PROFESIONAL Creación de un mapeo de Riesgos La entidad identificará y evaluará los riesgos operativos inherentes en todos los productos, actividades, procesos y sistemas existentes y nuevos. Para poder identificar y luego evaluar los puntos de riesgo, la Entidad creará un mapeo de riesgos aplicando el “método cíclico” que clasifica las actividades y transacciones dentro de ciclos. Este ejercicio revelará las áreas débiles y ayudará a la gerencia en la creación de ciertas estrategias, políticas y controles. Las categorías de ciclos principales son: Ciclo de Ingreso- Grupo de actividades y transacciones incluidas en la generación de ingresos. Las principales fuentes de ingresos son el interés de las inversiones y el pago de primas. El ciclo de ingreso es el ciclo que incluye todo el proceso de otorgamiento del seguro y cobranza, los cuales deberían estar claramente diseñados en un manual. Ciclo de Egreso- Grupo de actividades y transacciones incluidas en la adquisición de bienes y servicios. Este incluye todo tipo de compras, la administración de otros gastos, y la planilla. Las políticas de compras deberían diseñar procedimientos para el inicio de requisiciones para bienes o servicios, el proceso de oferta o cotización, niveles de aprobación, preparación y firma de cheques o emisión de efectivo, el recibo y almacenamiento de bienes. La planilla incluye el rango de funciones de recursos humanos para contratación, entrenamiento, compensación, evaluación, y terminación, tanto como las funciones de desembolso de contabilidad para todos los costos de planilla, deducciones, beneficios, adelantos, y otros ajustes. Ciclo de Conversión- Grupo de actividades y transacciones incluidas en la posesión y manejo de activos fijos. Los controles comienzan con un presupuesto de capital preaprobado y un criterio para el uso de valores. En adición, deberían existir políticas para la identificación e inventario de bienes, depreciación, disposición y el registro de dicha disposición. Ciclo de Tesorería/ Finanzas- Grupo de actividades y transacciones incluidas en la posesión y manejo de efectivo, y activos de inversión. Sus funciones incluyen el manejo de fondos recibidos por inversionistas, fondos invertidos, manejo de activos y pasivos. REPORTE DE TRABAJO PROFESIONAL Para utilizar el método cíclico la entidad implementara el siguiente proceso: Esquematizar las transacciones/ actividades para cada ciclo 2.2 Medición de Riesgo Prioritizar los riesgos por probabilidad y severidad Identificar los estándares apropiados para reducir los riesgos Establecer e implementar controles Identificar los riesgos de potencial en cada punto Por lo general, los riesgos operativos son considerados como riesgos cualitativos, o no cuantificables, por la dificultad de medición. Sin embargo, con la experiencia de la institución y el análisis de información histórica, la entidad desarrollará métodos para estimar el nivel de exposición de algunos de los riesgos operativos más observables, los cuales serán de utilidad en el desarrollo de políticas para el control y mitigación de dichos riesgos. En este caso, la entidad establecerá un método sistemático de monitorear y registrar la frecuencia, severidad, y otra información relevante a eventos de perdida, haciendo posible la identificación de indicadores apropiados que servirá como advertencia de una mayor probabilidad de perdidas futuras. Tales indicadores de advertencia podrán reflejar fuentes potenciales de riesgo, tanto del fraude, como errores y fallas en el desarrollo de las actividades administrativas y operativas. Estos incluyen: REPORTE DE TRABAJO PROFESIONAL • Crecimiento rápido de la cartera en sucursales. • Introducción de nuevos productos • Gran demanda de cancelación de pólizas • Interrupciones en el funcionamiento del sistema de información • Retraso en la generación de reportes financieros • Irregularidades en la contabilidad • Alta rotación de personal • Ambiente de reducción de costos significativos • Cobranza atrasada 2.3 Monitoreo de Riesgo Es el objetivo de la entidad, el imitar las prácticas de operación de las compañías aseguradoras más exitosas quienes se caracterizan por tener sistemas eficientes, por ser capaces de operar con un alto volumen, y por mantener procesos que minimizan los costos de transacción al cliente. Tales capacidades de los servicios cotidianos, sucederán mientras se mantenga una estructura conmensurativa con la complejidad de las operaciones, y capaz de implementar las estrategias y políticas institucionalesdefinidas. Por lo tanto será responsabilidad de la Dirección General, el asegurar que la entidad cumpla con las siguientes condiciones: • Una cultura organizacional que establezca una prioridad alta en el cumplimiento del código de ética y de los controles operativos • Recursos humanos capacitados y suficientemente motivados • Un sistema de información eficiente y confiable • Un sistema de control adecuado • Conciencia a nivel gerencial de nuevos y más complejos tipos de fraude a medida que la entidad desarrolla nuevos productos y procesos Las entidades deben implementar un proceso para monitorear regularmente los perfiles de riesgos de operación y su exposición material a pérdidas. Deben existir reportes regulares de información pertinente a la Gerencia REPORTE DE TRABAJO PROFESIONAL y al Director General que apoye la administración proactiva de los riesgos de operación. Un proceso eficaz de monitoreo es esencial para administrar adecuadamente el riesgo operativo. Las actividades regulares de monitoreo pueden ofrecer la ventaja de detectar y corregir rápidamente deficiencias en las políticas, procesos y procedimientos para administrar el riesgo operativo. Detectar y corregir rápidamente estas deficiencias pueden reducir sustancialmente la frecuencia y/o severidad potencial de un evento de pérdida. Adicionalmente al monitoreo de los eventos de pérdidas operativas, se deben reconocer indicadores que puedan ser predictivos del riesgo de pérdidas futuras. Tales indicadores (generalmente referidos como indicadores principales de riesgo o indicadores de alerta temprana) deben ser proyectados y pueden reflejar fuentes potenciales de riesgos de operación tales como rápidos crecimientos, la introducción de nuevos productos, rotación de empleados, cortes de transacción, tiempo de cierre de sistemas (‘system downtime’), etc. Cuando los límites establecidos están ligados directamente a estos indicadores, un proceso de monitoreo efectivo puede ayudar a identificar los principales riesgos materiales en una manera transparente y permitir que la entidad actúe sobre estos riesgos apropiadamente. La frecuencia de monitoreo debería reflejar los riesgos implicados, así como la frecuencia y naturaleza de los cambios en el ambiente operativo. El monitoreo es más eficaz cuando el sistema de control interno está integrado en las operaciones de la institución y produce informes periódicos. Los resultados de estas actividades de monitoreo deben ser incluidos en los informes de la Gerencia y del Director General, así como las revisiones de cumplimiento llevadas a cabo por las funciones de auditoría interna y/o administración de riesgos. Los informes generados por los supervisores de estas entidades también pueden referirse a este monitoreo y de la misma manera deben ser presentados internamente a la Gerencia y al Director General, cuando sea apropiado. La Gerencia debe recibir informes regulares de las unidades de negocio y de la función de auditoría interna. Los informes deben contener datos internos financieros, operacionales, y de cumplimiento, al igual que información del mercado externo acerca de eventos y condiciones que sean relevantes para la toma de decisiones. Los informes deben ser distribuidos a los niveles apropiados de la Gerencia y hacia áreas de la institución en las que los temas de preocupación puedan tener impacto. Los informes deben indicar completamente cualquier área con problemas identificada y deben motivar acciones correctivas oportunas en los temas más destacados. Para asegurar la utilidad y confiabilidad de estos informes de riesgos y de auditoría, la Gerencia debe verificar regularmente la oportunidad, exactitud y relevancia de los sistemas de reporte y los controles internos en general. REPORTE DE TRABAJO PROFESIONAL La Gerencia puede también usar informes preparados por fuentes externas (auditores, supervisores) para evaluar la utilidad y confiabilidad de los informes internos. Los informes deben ser analizados con una perspectiva de mejora del desempeño existente de la administración de riesgos, así como para desarrollar nuevas políticas, procedimientos y prácticas de la administración de riesgos. En general, el Director General debe recibir suficiente información de alto nivel para permitirle comprender el perfil integral de riesgo de la empresa y enfocarse en las implicaciones materiales y estratégicas de los riesgos de operación en el negocio. 2.4 Control de Riesgo Las compañías aseguradoras deben tener políticas, procesos y procedimientos para controlar o mitigar los riesgos de operación significativos. También deben evaluar la viabilidad de estrategias alternativas de control y limitación de riesgos así como deben ajustar su perfil de riesgo operativo empleando estrategias apropiadas, de conformidad con su apetito y perfil integral de riesgo. Las actividades de control son diseñadas para abordar los riesgos que una aseguradora haya identificado. Para aquellos riesgos que se pueden controlar, la entidad debe decidir en que medida desea emplear procedimientos de control y otras técnicas apropiadas, o aceptar el riesgo. Para aquellos riesgos que no pueden ser controlados, debe decidir si acepta estos riesgos, retira o reduce el nivel de actividad comercial implicado. Los procesos y procedimientos de control deben ser establecidos y se debe implementar un sistema para garantizar el cumplimiento de un conjunto documentado de políticas internas con relación al sistema de administración de riesgos. Sus principales elementos podrían incluir: a) Revisiones de alto nivel del avance hacia los objetivos establecidos. b) Verificación del cumplimiento de los controles administrativos. c) Políticas, procesos y procedimientos con respecto a la revisión, tratamiento y resolución de problemas de incumplimiento. d) Un sistema de aprobaciones y autorizaciones documentadas con el fin de asignar la responsabilidad a un nivel apropiado de administración. Aunque un marco general de políticas y procedimientos formales y escritos es crítico, esto requiere ser reforzado a través de una fuerte cultura de control que promueva la adecuada administración de riesgos. Para ser efectivas, las actividades de control deben formar parte integral de las actividades regulares de la entidad. Los controles que constituyen una parte integral de las actividades regulares permiten respuestas rápidas ante condiciones cambiantes y evitan costos innecesarios. Un sistema eficaz de control interno también exige una apropiada separación de funciones y que no se le asigne al personal responsabilidades que puedan crear un conflicto de interés. Asignar dichas funciones conflictivas a individuos, o a un equipo, puede permitirles ocultar pérdidas, errores o acciones inapropiadas. Por lo tanto, las áreas de potenciales conflictos de interés deben ser identificadas, minimizadas y estar sujetas a cuidadosa supervisión y revisión independiente. REPORTE DE TRABAJO PROFESIONAL Adicionalmente a la separación de funciones, se deben establecer prácticas internas para controlar el riesgo operativo. Entre ellas pueden estar el monitoreo cercano relacionado con el cumplimiento de los límites o umbrales de riesgo definidos, mantener mecanismos de seguridad para el acceso y uso de los activos y registros de la institución, asegurar que el personal tiene las habilidades, experiencia y capacitación apropiadas, identificar las líneas de negocio o productos donde las rentabilidades o ventas parecen estar significativamente fuera de lo razonablemente esperado, verificaciones y conciliaciones regulares de transacciones y cuentas. La falla en implementar tales prácticas ha resultado en pérdidas operativas significativas para algunas entidades en los años recientes. El riesgo operativo parece ser común cuando las compañías aseguradoras se han dedicado anuevas actividades o han desarrollado nuevos productos (particularmente cuando estas actividades o productos no son consistentes con las estrategias principales de negocio), cuando han ingresado a mercados no conocidos. Asimismo, en muchos de esos casos, la empresa no asegura que la infraestructura de control de administración de riesgos se mantenga acorde con el crecimiento en la nueva actividad del negocio. Algunas de las más grandes pérdidas que han ocurrido en los años recientes han sucedido en los casos en que una de estas condiciones o una combinación de las mismas existía. Por ello, corresponde a estas asegurar que se dé especial atención a las actividades de control interno cuando tales condiciones existen. Algunos riesgos operativos significativos tienen pocas probabilidades, pero un impacto financiero potencialmente muy grande. Asimismo, no todos los eventos de riesgo pueden ser controlados (p.ej. desastres naturales). Las herramientas o programas de mitigación de riesgos pueden emplearse para reducir la exposición, la frecuencia y/o la severidad de tales eventos. Sin embargo se debería considerar las herramientas de mitigación de riesgos como complementarias, en lugar de verlas como un reemplazo, de un cuidadoso control del riesgo operativo interno. La implementación de mecanismos para reconocer y corregir rápidamente errores atribuidos a riesgos de operación puede reducir en gran medida las exposiciones. También se necesita considerar cuidadosamente en qué medida las herramientas de mitigación del riesgo están reduciendo verdaderamente los riesgos, o lo están transfiriendo a otro sector o área del negocio, o incluso creando un nuevo riesgo. Las inversiones en apropiadas tecnologías de procesamiento y en seguridad de tecnología de la información, son importantes también para la mitigación del riesgo. Así como deben ser conscientes de que la mayor automatización podría transformar pérdidas de alta frecuencia y baja severidad en pérdidas de baja frecuencia y alta severidad. Estas últimas pueden estar asociadas con la pérdida o la prolongada interrupción de servicios causada por factores internos o por factores fuera del control inmediato (por ejemplo, eventos externos). Tales problemas pueden causar serias dificultades y podrían poner en peligro la capacidad de una institución para llevar a cabo las actividades principales de negocio. Se deben establecer planes de contingencia y de reanudación de negocios que manejen este riesgo. REPORTE DE TRABAJO PROFESIONAL Se deben establecer políticas adecuadas para la administración de los riesgos asociados con las actividades de tercerización (‘outsourcing’). La tercerización de actividades puede reducir el perfil de riesgo de la empresa al transferir actividades a terceros con mayor competencia y alcance para administrar los riesgos asociados con actividades de negocio especializadas. Sin embargo, el uso de terceras partes por no disminuye la responsabilidad del Director General y la Gerencia de asegurar que la actividad de la tercera parte es conducida en una manera segura y adecuada y en cumplimiento de las leyes aplicables. Las actividades de tercerización (‘outsourcing’) deberían basarse en acuerdos legales estrictos que garanticen una clara asignación de responsabilidades entre los proveedores de servicios externos y la quien los contrata. Asimismo, se necesita administrar cualquier riesgo residual asociado con los acuerdos de tercerización (‘outsourcing’), incluyendo la interrupción de servicios o riesgos de reputación. Dependiendo de la importancia y criticidad de la actividad, las instituciones deben comprender el impacto potencial, en sus operaciones y en sus clientes, de cualquier deficiencia en los servicios prestados por los proveedores de servicios (terceros o pertenecientes al grupo), incluyendo interrupciones operativas y la posible falla o incumplimiento de terceras partes. El Director General y la Gerencia deben asegurar que las expectativas y obligaciones de cada parte sean claramente definidas, comprendidas y exigibles. El alcance de la responsabilidad y capacidad financiera de terceros para compensar a la institución por errores, negligencia y otras fallas operativas debe ser considerado explícitamente como parte de la evaluación de riesgos. También deben llevar a cabo pruebas de debida diligencia y monitorear las actividades de los proveedores externos, especialmente de aquellos que carecen de experiencia en el ambiente regulado del sector asegurador. Para actividades críticas, pueden necesitar considerar planes de contingencia, incluyendo la disponibilidad de proveedores externos alternativos, y los costos y recursos necesarios para cambiar de proveedores, potencialmente con muy corto aviso previo. En algunos casos, pueden decidir ya sea retener un cierto nivel de riesgo operativo o auto-asegurarse contra ese riesgo. Cuando ése sea el caso y el riesgo sea importante, la decisión de retener o auto-asegurar el riesgo debe ser transparente dentro de la empresa y debe ser consistente con la estrategia integral de negocio y su “apetito” por el riesgo. Las entidades deben implementar planes de contingencia y de continuidad del negocio a fin de garantizar su capacidad para operar en forma continua y minimizar las pérdidas en caso de una interrupción severa del negocio. Por razones que están más allá del control de la empresa, un evento severo puede generar como resultado la incapacidad para completar alguna o la totalidad de sus obligaciones, particularmente cuando las infraestructuras físicas, de telecomunicaciones o de tecnología de información de esta han sido dañadas o son inaccesibles. Esto puede, a su vez, generar pérdidas financieras significativas a la institución, al igual que interrupciones mayores al sistema financiero a través de canales. Debido a ello se requiere que se establezcan planes de contingencia REPORTE DE TRABAJO PROFESIONAL y de reanudación de negocios que tomen en cuenta diferentes tipos de escenarios plausibles a los que puede ser vulnerable, acorde con el tamaño y complejidad de las operaciones de la empresa. Las entidades deben identificar los procesos críticos de negocio, incluyendo aquellos en los que existe dependencia de proveedores externos u otras terceras partes, para los cuales la rápida reanudación de servicios sería más importante. Para estos procesos, se deben identificar mecanismos alternativos para reanudar servicios en el evento de una interrupción. Debe prestarse atención particular a la capacidad para restaurar los registros electrónicos o físicos que son necesarios para la reanudación del negocio. Cuando tales registros son respaldados en una instalación alterna, o cuando las operaciones deben ser desplazadas a un nuevo local, debe tenerse cuidado que estos locales se encuentren a una distancia adecuada de las operaciones impactadas para minimizar el riesgo que tanto los registros e instalaciones primarias como las de respaldo no estén disponibles simultáneamente. También deben revisar periódicamente sus planes de contingencia y de reanudación de negocios, para asegurar que sean consistentes con las actuales operaciones y estrategias de negocio. Asimismo, estos planes de contingencia deben ser probados periódicamente para asegurar que la entidad será capaz de ejecutar los planes en el evento poco probable de una interrupción severa del negocio. Los puntos más importantes en el control de riesgo son los siguientes: Controles Internos Un aspecto significativo en el proceso, esta relacionado a un sistema de controles internos. A continuación se describen las actividades de controles operativos que deben ser establecidos: Niveles de autorización Mediante políticas, procedimientos y controles, la entidad establecerá limitaciones a las facultades del personal. Cada empleado contará con un determinado margen de actuación, fueradel cual será necesaria la autorización por parte de un nivel superior, garantizándose un marco de supervisión eficiente para el monitoreo de las actividades en general. Asociado a lo anterior, la entidad contará con un control de firmas autorizadas, a través del cual los funcionarios permitirán movimientos cuyo monto pudiera representar impactos negativos en caso de no supervisarse. Segregación de funciones A cada empleado se le asignará una responsabilidad, de acuerdo a su posición y funciones, misma que se establece en su descripción de puesto. Dichas responsabilidades se otorgan de acuerdo a la experiencia, manejo y entendimiento de las actividades a desarrollar por parte del personal involucrado. REPORTE DE TRABAJO PROFESIONAL El criterio utilizado para la separación de funciones, se basa en la posibilidad de que se den los siguientes eventos: • Malversaciones o fraudes. • Cometer errores en forma repetitiva. • Deterioro del estándar adecuado de productividad y eficiencia. • Contar con una administración deficiente. En este sentido se mantendrá una separación entre aquellos que autorizan y aquellos que ejecutan las actividades, especialmente las relacionadas con aspectos financieros y de crédito. Diseños de Procesos Los procesos de la entidad definen las actividades sucesivas, mediante las cuales se mantiene la eficiencia y control de las operaciones. La documentación de los procesos y su mapeo facilitan el monitoreo de actividades, la detección de oportunidades de mejora, la asignación adecuada de las responsabilidades, la supervisión de actividades y el establecimiento de controles. Implantación de Controles Una vez establecidos los procesos para el funcionamiento adecuado de la operación, se procederá a implementar los controles administrativos o tecnológicos que reduzcan al máximo las exposiciones a riesgos operativos. Los controles deberán ser regularmente revisados y, en su caso, modificados para mantener su eficacia. Diseño de políticas y procedimientos El establecimiento de políticas y procedimientos le permiten a la institución aplicar estándares administrativos y operativos, homogéneos, y consistentes a través de las diferentes áreas del negocio. Su continua revisión y su adecuación a mejores prácticas y a entornos cambiantes, permitirá realizar la operación en forma más segura. Controles Tecnológicos En materia de sistemas informáticos, los manuales de operación, consideran políticas, procedimientos y controles que permitan asegurar que dichos sistemas: • Realicen las funciones para las que fueron diseñados, desarrollados o adquiridos. • Se encuentran documentados y actualizados. REPORTE DE TRABAJO PROFESIONAL • Estén debidamente probados antes de ser implementados. • Cuenten con códigos de acceso para garantizar la integridad de la información generada por los sistemas. • Cuenten con mecanismos de respaldo y procedimiento de recuperación que garanticen la integridad de la información. Soporte Documental Para las operaciones fundamentales de la entidad, se tendrá como práctica mantener un soporte de la documentación necesaria con la finalidad de garantizar el rastreo de dichas operaciones, en caso de que existan errores, fallas o malversaciones. Cada área será responsable de mantener la información necesaria y suficiente que avale sus movimientos y operaciones. Guarda y Custodia de Contratos y Expedientes Todos los expedientes de la entidad, se resguardarán en el archivo general de la misma. Todos los expedientes de los empleados de las entidades, se resguardan en un archivo especial de las mismas. Todos los contratos de empleados, proveedores de servicios y asegurados se resguardaran en un archivo especial destinado para ese fin. Reportes Un sistema sólido de reportes relacionados con las actividades claves es fundamental para el seguimiento de las operaciones. Existen reportes a diferentes niveles organizacionales y a través del organigrama funcional de la entidad, lo cual garantiza el seguimiento de actividades y sus resultados. Prevención del Fraude A continuación se plasman algunos criterios a seguir por entidad, en relación a los riesgos de fraude más comunes en el sector asegurador: • Se verifique la autenticidad de los datos o la información que reposa en las solicitudes de seguro, de esta manera se pueden detectar inconsistencias en los datos. • Dar seguimiento a clientes con pagos atrasados o aquellos cuyos seguros fueron cancelados. • Que en los formatos de solicitud de seguro se analicen en lo posible los antecedentes personales de los clientes, con el fin de establecer sí son honestos, respetables y trabajadores. REPORTE DE TRABAJO PROFESIONAL • La aprobación de seguros con sumas aseguradas de montos elevados se debe llevar mediante una estricta selección. • Los pagos de primas se deben hacer estrictamente en las sucursales de la entidad, otorgando siempre un comprobante por escrito de la operación realizada por el cliente. En ningún caso se deber delegar en los empleados el recibo de dinero en efectivo por ningún motivo (salvo a los cobradores o agentes). • Rotar el personal de las sucursales o, en su defecto, contratar personal de apoyo con el fin de reemplazar a los empleados durante sus vacaciones o ausencias de enfermedad. Esto puede ayudar a revelar los errores y fraudes. • Exigir siempre a sus empleados que tomen sus vacaciones conforme lo establecen las políticas y las normas legales. El interés de un empleado de no salir de vacaciones puede ser indicio de que tiene un interés particular para permanecer en la organización. • Crear y mantener manuales operativos y de procedimientos pedagógicos que describan los pasos mínimos a seguir para cada operación y que indiquen cómo manejar las excepciones y establezcan las líneas de autoridad y señalen indicadores de alerta (orientados a detectar posibles fraudes). Dichos manuales deberán dar relevancia a la normatividad externa, interna y contractual. • Diseñar procedimientos que consagren una adecuada segregación de funciones. • Creación de procedimientos rutinarios de verificación, tendientes a comprobar la integridad de flujos de efectivo (entradas y salidas), integridad de registros operativos y contables y su adecuada incorporación en los reportes o informes. • Realizar auditorías a los sistemas informáticos, con el fin de establecer, entre otras cosas, que la información no sea manipulada o modificada sin la respectiva autorización, que cualquier modificación pueda ser fácilmente rastreada. • En caso de detectarse fraudes, debe precisarse quién y cómo se realizarán las investigaciones tendientes a establecer cómo se cometió el fraude, quiénes lo cometieron, qué usuarios pueden estar afectados o comprometidos y cuanto puede ser la pérdida patrimonial. Se recomienda que dichas investigaciones sean realizadas por personal ajeno al área de auditoría interna para no desviarlo de su plan de trabajo. REPORTE DE TRABAJO PROFESIONAL Medidas de Contingencia Operativa Las entidades deben diseñar medidas de contingencia en caso de eventos de fuerza mayor, que pudieran provocar una pérdida financiera o que pudieran interrumpir, obstaculizar o desajustar el desempeño normal de sus operaciones. Tales riesgos muchas veces tienen probabilidad limitada de ocurrencia, pero a la misma vez, impactos potenciales muy severos; por esta razón ellos merecen atención. Estas medidas deben ser periódicamente probadas para asegurar que la institución sea capaz de ejecutar los planes en el evento de un desastre real. Las medidas de contingencia más importantes son las siguientes: • Comunicación general identificando el tipo de contingencia, daños, duración aproximada, posibilidad de operar en las instalaciones (en su caso las actividades de protección civil se deberánactivar de inmediato). • Reunión del Director General con su equipo de trabajo y determinación de acciones a seguir. • En caso de imposibilidad de trabajar en las instalaciones se recurrirá a centros de operación alternos para cada área, con la finalidad de restablecer las operaciones. a. Reunión con el equipo de trabajo. b. Recopilar material de contingencia y establecer acciones. c. Una vez preparados para normalizar operaciones, establecer contacto con el resto de las áreas. • El Área de Recursos Humanos se pondrá en contacto con el resto de los representantes de área y oficinas regionales, y se determinarán las acciones de apoyo en insumos y recursos dando prioridad a las operaciones de atención al cliente. a. Se instalarán en su caso puestos de información fuera de las instalaciones. b. Se contactarán proveedores de mano de obra. c. Se contactarán proveedores de materiales. d. Se determinará estructura activa y se integrarán listas de asistencia. e. Se establecerá logística de acopio de documentos “valijas y mensajería” y suministro de materiales. f. Se obtendrán y estimarán tiempos de respuesta y se analizarán posibles mejoras incrementales con los funcionarios de las diferentes áreas. REPORTE DE TRABAJO PROFESIONAL g. Se desarrollaran investigaciones con relación a las anomalías detectadas con el personal y se detonarán acciones (legales, apoyos etc.). h. Se pondrá vigilancia en las instalaciones de la Institución. i. Se elaborará un informe de estructura activa y condiciones generales para la Dirección General y los diferentes Comités. • El servicio de nómina electrónica se sustituirá en su caso por pagos con cheque, manejando y llevando a mano los controles particulares y gubernamentales, retenciones, deducciones etc. • Cobranza establecerá puestos de recepción de pagos alternativos, uno fuera de las instalaciones y otro fuera de algunas sucursales bancarias más cercanas. (Sólo se recibirán cheques y/o depósitos bancarios), en el puesto localizado fuera de las instalaciones de la entidad, se entregarían también pagos mediante cuentas alternas establecidas en conjunto con Contabilidad y Tesorería. • Registro de controles contables en sistemas alternos (pagado del mes, cancelado del mes, rehabilitado del mes). • Seguirá el control de las inversiones mediante un teléfono y el material de contingencias, para lo cual se llevará el saldo de cada uno de los rubros manejados (No se podrán realizar transferencias, sin embargo, seguirá el servicio vía cheques con contabilidad). • Contabilidad reactivará sus operaciones mediante su respaldo de saldos, compra de una herramienta contable alterna y mano de obra adicional, reactivará las funciones de caja en los mismos puestos establecidos para cobranzas. Todas las áreas tendrían que enviar copia de sus operaciones diarias al centro establecido en el lugar designado. Se seguirán generando los estados financieros y el pago de compromisos fiscales. Cabe resaltar que la comunicación entre los distintos departamentos del área, principalmente en materia monetaria será estricta para evitar insuficiencia de fondos. • La Dirección General se unirá a los esfuerzos de normalización de operaciones contables y generará proyecciones e información para la toma de decisiones, presentando el impacto y la afectación financiera de la entidad generada por la contingencia. • Recursos Humanos analizará la identificación en su caso, de un inmueble en el cual reanudar a nivel de empresa las actividades. REPORTE DE TRABAJO PROFESIONAL 2.5 Información y Revelación del riesgo Emisión y análisis de reportes Será responsabilidad del consejo de administración, la contratación anual de una auditoría externa que tendrá, entre otras responsabilidades, la revisión del sistema de control interno de la entidad. En el transcurso del año será responsabilidad de la Dirección General, reportar con la frecuencia que sea necesaria al Consejo de Administración, cualquier violación de los controles internos resultando en una mayor exposición de riesgos operativos y cambios en las condiciones del entorno, lo que volverá más vulnerable a la institución. La Dirección General designará como encargado de la supervisión de las operaciones diarias, a sus respectivas gerencias operativas, quienes tendrán la responsabilidad de reportar violaciones de control interno, además de observaciones sobre debilidades en el sistema actual. Será responsabilidad de auditoría interna, el dar seguimiento permanente a las medidas de control interno y reportar hallazgos al Comité de auditoría con la periodicidad que sea necesaria (al menos cada dos meses). Recopilación de Datos de los Riesgos de Operación Un fundamento esencial de cualquier proceso riguroso de Administración de los Riesgos de Operación son los datos completos, razonables, verificables y validados que cubren la experiencia histórica de pérdidas de riesgo operativo de la institución. La disciplina de recopilación de datos sobre las pérdidas no sólo es necesaria para comprender las dimensiones del riesgo que enfrenta la institución, sino que también puede ser usada para motivar al personal para que considere y controle más activamente los elementos claves del riesgo. La disciplina de recopilación de datos promueve un diálogo dentro de la institución acerca de determinar las principales exposiciones y conductores de los Riesgos de Operación, y refuerza los esfuerzos cualitativos para administrar el riesgo operativo en cada una de las líneas comerciales. De esta manera, es una buena práctica para las instituciones contar con un sistema para recopilar datos acerca de su experiencia real de pérdidas de riesgo operativo en las líneas comerciales importantes; de hecho, es un criterio de calificación para el uso de los Enfoques Avanzados de Medición (AMA, por su sigla en inglés). Los datos de pérdidas de riesgo operativo consisten principalmente en eventos rutinarios, generalmente de alta frecuencia y de bajo impacto, así como también de eventos de baja frecuencia y de alto impacto. Las instituciones importantes cuentan con sistemas de informes para hacer un seguimiento de ambos tipos de eventos de pérdida, incluyendo la referencia a datos externos sobre grandes eventos de pérdida. Las pérdidas promedio, o esperadas, en una institución generalmente son manejadas por los eventos de alta frecuencia y bajo impacto. Esas pérdidas esperadas generalmente pueden ser presupuestadas con un alto grado de confianza y fluyen de manera rutinaria a través del estado de ganancias y pérdidas, si bien puede no ser el caso en todas las líneas comerciales (por ejemplo, comercio electrónico); mientras que las pérdidas inesperadas -que tienden a reflejar el impacto de eventos de baja frecuencia y alto impacto- ocurren REPORTE DE TRABAJO PROFESIONAL con muy poca frecuencia y algunas veces son suficientemente grandes como para causar una pérdida periódica y una reducción en el capital básico. Las instituciones deben tener políticas y procedimientos claros que establezcan estándares para la integridad de los datos, especificar cómo será la recopilación de los datos y bajo que circunstancias se autorizará modificar los conjuntos de datos internos y externos que se usan en la metodología de capital económico de la institución. En el caso de pérdidas de baja frecuencia y de alta severidad, las instituciones pueden tener la necesidad de complementar sus datos internos con datos de pérdidas de la industria. Las instituciones deben ejecutar políticas que describan las circunstancias en las que se van a recopilar dichos datos externos, su importancia para la institución y la forma en que van a usarse dentro de esta. Los estándares deben abordar las circunstancias en las que la experiencia interna de pérdida de una institución no es suficientemente
Compartir