El Análisis de Datos en la El Análisis de Datos en la Administración de Riesgo OperativoAdministración de Riesgo OperativoAdministración de Riesgo OperativoAdministración de Riesgo Operativo

Un enfoque prácticoUn enfoque prácticoUn enfoque prácticoUn enfoque práctico

Gustavo SolísGustavo Solís

gsolis@cynthus.com.mxgsolis@cynthus.com.mxwww.caseware.comwww.caseware.com

Riesgo OperativoRiesgo Operativo

• Basilea define al riesgo operativo, como el riesgo de perdidas derivadas de fallas en losderivadas de fallas en los procesos internos, en los sistemas, en la actuación del personal, por eventos externos, o por procesos internos no adecuados.– Gente: Violación por

desconocimiento o intencional de líti i tpolíticas internas

– Procesos: Deficiencias en los procesos, o a la ausencia de estos.Sistemas: Caída o violación de los– Sistemas: Caída o violación de los sistemas o de la información que manejan.

– Externos: Fuerzas naturales oExternos: Fuerzas naturales o humanas, o de la acción directa de terceros.

Marcos de ReferenciaMarcos de Referencia

Definir Contexto

Identificar Riesgos

Medir Riesgos

Monitor

Inform

Identificar Riesgos

Medir Riesgos

Monitor

Inform Rev

isar

Con

sulta

r

Identificar Riesgos

A li Rig rear R

iesgos

Limitar Riesgos

mar R

iesgos

g rear Riesgos

Limitar Riesgos

mar R

iesgosM

onito

rear

y

omun

icar

y Analizar Riesgos

Evaluar Riesgos

Controlar RiesgosControlar Riesgos MCo

Tratar Riesgos

Evaluación de Riesgos

Marcos de Referencia…. un común Marcos de Referencia…. un común denominadordenominador

Definir Contexto

Identificar Riesgos

Medir Riesgos

Monitor

Inform

Identificar Riesgos

Medir RiesgosMedir Riesgos

Monitor

Inform Rev

isar

Con

sulta

r

Identificar Riesgos

A li RiA li Rig rear R

iesgos

Limitar Riesgos

mar R

iesgos

gg rear Riesgos

Limitar Riesgos

mar R

iesgosM

onito

rear

y

omun

icar

y Analizar RiesgosAnalizar Riesgos

Evaluar RiesgosEvaluar Riesgos

Controlar RiesgosControlar Riesgos MCo

Tratar Riesgos

Evaluación de Riesgos

Veamos un métodoIIIIIIII

VIVIIIIIII

IIII

IVIVVV

En dónde podemos aplicarAnálisis de Datos

II Identificar y II Identificar y II. Identificar y II. Identificar y documentar riesgosdocumentar riesgos

VIVIIIIIII

I Definir el ContextoI Definir el ContextoI. Definir el ContextoI. Definir el Contexto

IV. Definir IV. Definir tratamiento de tratamiento de

VV

riesgosriesgos

Preguntas…

¿Cuál es mi nivel de riesgo actual?, ¿es tolerable?actual?, ¿es tolerable?¿Mi nivel de riesgo se debe a controles poco efectivos?¿Mis eventos de pérdida son¿Mis eventos de pérdida son congruentes con mis estimaciones de riesgo?¿Cuál es la causa raíz de mis¿Cuál es la causa raíz de mis eventos de pérdida?

Página 8

Las respuestas en un ambiente de

Limitados recursos económicosOperaciones altamente automatizadasRegulaciones normativas demandantesEtc., Etc.

Respuestas…

Análisis de datos: Efectividad de Control – Nivel de tolerancia al RiesgoRiesgo

Análisis de datos: Identificación de Incidentes

Análisis de datos: Análisis de Incidentes

Pero….. todo integrado en un sistema de administración de riesgos

Efectividad de Control y Nivel de Tolerancia

Riesgo InherenteLa posibilidad de que

100

90a pos b dad de quealgo que ocurra y tenga

un impacto sobre los objetivos de negocio

derivado de la naturaleza go

80

70

del negocio, de sus operaciones y de su

medio ambiente.Riesgo Residual el

de

Rie

sg 60

50

40Riesgo ResidualRiesgo remanente

después de implementar un

t t i t á ti

Niv

e 0

30

20

tratamiento o práctica de control para el

riesgo .

Efectividad del Control

10

00 10 20 30 40 50 60 70 80 90 100

Efectividad del Control

Identificación de Incidentes

Mejora la oportunidad en la identificación de eventosEli i l í d d “ i tElimina el síndrome de “si reporto un incidente, me echo la soga al cuello”Minimiza el trabajo manual y reduce laMinimiza el trabajo manual y reduce la probabilidad de errores.

Análisis de Incidentes

Permite determinar probabilidades e impactos de riesgo con mayor precisión.F ilit l id tifi ió d í d lFacilita la identificación de causas raíz de los eventos de pérdidaIncrementa la inteligencia de la “empresa”Incrementa la inteligencia de la empresa

Tolerancia al RiesgoTolerancia al Riesgo

El riesgo no es justificable, salvo en situacionesRegión Región

G l tG l t salvo en situaciones extraordinarias.Generalmente Generalmente

IntolerableIntolerableLímite básico de seguridad

El riesgo residual es tolerable, sólo si resulta impráctico su reducción.

Se conoce como ALARP (As Low A R bl P i bl )

Región TolerableRegión Tolerableo ALARPo ALARP

As Reasonably Practicable)

No es probable que se requiera una reducción del riesgo, pues los recursos

Objetivo básico de seguridad

Región Región AceptableAceptable reducción del riesgo, pues los recursos

requeridos para hacerlo serían desproporcionados

AceptableAceptable

RiRiesgo Imperceptible

¿Cómo mido?

Key Performance Indicators (KPI)Son indicadores que determinan qué tan bien se está desempeñando un proceso para alcanzar sus metasdesempeñando un proceso para alcanzar sus metas

Key Goal Indicators (KGI)Son indicadores que determinan si se lograron las metas establecidasestablecidas

Key Risk Indicators (KRI)Son indicadores que proporcionan una alerta temprana

l i d i t d t t l bi trelacionada con sistemas, productos, gente y el ambiente general de la empresa.Reportan información observable, no realizan estimaciones futurasestimaciones futuras .

Página 15

Que puede incluir la medición de riesgos

Qué puedo medir (entre otras cosas):La ejecución de procesos (efectividad de control)j p ( )Los productos de los procesos (eventos de pérdida)Los resultados del negocio (afectación en objetivos)Variables externas a los procesos (indicadores de p (riesgo)

Ambiente

Meta(s)

Gente Tecnología Procedimientos

Un ejemploUn ejemplo

• Número de presentaciones mensuales realizadas a clientesea adas a c e tes

• Número de cotizaciones enviadas a clientes

• Importe mensual de las ventas

• Cambio de precios de la competencia• Nuevos productos substitutos en el mercado• Rotación de personal de ventas especializado

IInteractive nteractive DData ata EExtraction and xtraction and AAnalysisnalysis

(Interactive Data Extraction and Analysis)

E l L t A

Oracle

Texto, ASCII, EBCDIC

Excel, Lotus, Acess

Reportes(.prn)

SQL

Informix

Oracle

PDF

Sybase

AS/400

SQL

Sybase

ExportaOtros

Esquema de integración

Base de Base de Conocimientos Conocimientos

de Riesgo yde Riesgo yde Riesgo y de Riesgo y ControlControl

Base de Datos Base de Datos de Eventos de de Eventos de

PérdidaPérdidaPérdidaPérdida

Demostración