Este documento describe cómo el análisis de datos puede usarse para administrar riesgos operativos de manera efectiva. Explica que el análisis de datos permite medir la efectividad de los controles, identificar incidentes, y analizar las causas de los eventos de pérdida. También muestra cómo el análisis de datos integrado en un sistema de administración de riesgos puede ayudar a una organización a determinar su nivel de riesgo actual, identificar áreas para mejorar los controles, y administrar el riesgo de manera más
2. El Análisis de Datos en la
Administración de Riesgo Operativo
Un enfoque práctico
Gustavo Solís
gsolis@cynthus.com.mx
www.caseware.com
3. Riesgo Operativo
• Basilea define al riesgo operativo,
como el riesgo de perdidas
derivadas de fallas en los
procesos internos, en los sistemas,
en la actuación del personal, por
eventos externos, o por procesos
internos no adecuados.
– Gente: Violación por
desconocimiento o intencional de
políticas i t
líti internas
– Procesos: Deficiencias en los
procesos, o a la ausencia de estos.
– Sistemas: Caída o violación de los
sistemas o de la información que
manejan.
– Externos: Fuerzas naturales o
humanas, o de la acción directa de
terceros.
4. Marcos de Referencia
Definir Contexto
omunicar y Consultar
Identificar Riesgos
Monitorear y Revisar
Identificar Riesgos
Monitor
Monitor
Inform Riesgos
Medir Riesgos
g
mar
rear Riesgos
rear Riesgos Analizar Ri
A li Riesgos
Limitar Riesgos
Evaluar Riesgos
Co
M
Controlar Riesgos Evaluación de Riesgos
Tratar Riesgos
5. Marcos de Referencia…. un común
denominador
Definir Contexto
omunicar y Consultar
Identificar Riesgos
Monitorear y Revisar
Identificar Riesgos
Monitor
Monitor
Inform Riesgos
Medir Riesgos
g
mar
rear Riesgos
rear Riesgos Analizar Ri
A li Riesgos
Limitar Riesgos
Evaluar Riesgos
Co
M
Controlar Riesgos Evaluación de Riesgos
Tratar Riesgos
7. En dónde podemos aplicar
Análisis de Datos
II Identificar y
II.
documentar riesgos
III
VI
I. Definir el Contexto
I
V IV. Definir
tratamiento de
riesgos
8. Preguntas…
¿Cuál es mi nivel de riesgo
actual?, ¿es tolerable?
¿Mi nivel de riesgo se debe a
controles poco efectivos?
¿Mis eventos de pérdida son
congruentes con mis estimaciones
de riesgo?
¿Cuál es la causa raíz de mis
eventos de pérdida?
Página 8
9. Las respuestas en un ambiente de
Limitados recursos económicos
Operaciones altamente automatizadas
Regulaciones normativas demandantes
Etc., Etc.
10. Respuestas…
Análisis de datos:
Efectividad de Control – Nivel de tolerancia al
Riesgo
Análisis de datos:
Identificación de Incidentes
Análisis de datos:
Análisis de Incidentes
Pero….. todo integrado en un sistema de
administración de riesgos
11. Efectividad de Control y Nivel de Tolerancia
100
Riesgo Inherente
La pos b dad de que
a posibilidad 90
algo que ocurra y tenga
80
un impacto sobre los
objetivos de negocio 70
go
derivado de la naturaleza
Nive de Riesg
del negocio, de sus 60
operaciones y de su 50
medio ambiente.
Riesgo Residual 40
0
Riesgo remanente el 30
después de
20
implementar un
tratamiento
t t i t o práctica
á ti 10
de control para el
riesgo . 0
0 10 20 30 40 50 60 70 80 90 100
Efectividad del Control
12. Identificación de Incidentes
Mejora la oportunidad en la identificación de
eventos
Elimina l í d
Eli i el síndrome d “ i reporto un
de “si t
incidente, me echo la soga al cuello”
Minimiza el trabajo manual y reduce la
probabilidad de errores.
13. Análisis de Incidentes
Permite determinar probabilidades e impactos
de riesgo con mayor precisión.
Facilita la identificación d causas raíz d l
F ilit l id tifi ió de í de los
eventos de pérdida
Incrementa la inteligencia de la “empresa”
empresa
14. Tolerancia al Riesgo
El riesgo no es justificable,
Región
salvo en situaciones
Generalmente
G l t extraordinarias.
Intolerable
Límite básico de seguridad
Región Tolerable El riesgo residual es tolerable, sólo
o ALARP si resulta impráctico su reducción.
Se conoce como ALARP (As Low
As Reasonably P
A R bl Practicable)
i bl )
Objetivo básico de seguridad
Región No es probable que se requiera una
reducción del riesgo, pues los recursos
Aceptable
requeridos para hacerlo serían
desproporcionados
Riesgo
Ri
Imperceptible
15. ¿Cómo mido?
Key Performance Indicators (KPI)
Son indicadores que determinan qué tan bien se está
desempeñando un proceso para alcanzar sus metas
Key Goal Indicators (KGI)
Son indicadores que determinan si se lograron las metas
establecidas
Key Risk Indicators (KRI)
Son indicadores que proporcionan una alerta temprana
relacionada con sistemas, productos, gente y el ambiente
l i d i t d t t l bi t
general de la empresa.
Reportan información observable, no realizan
estimaciones futuras .
Página 15
16. Que puede incluir la medición de
riesgos
Qué puedo medir (entre otras cosas):
La ejecución de p
j procesos ( (efectividad de control)
)
Los productos de los procesos (eventos de pérdida)
Los resultados del negocio (afectación en objetivos)
Variables externas a los procesos (
p (indicadores de
riesgo)
Ambiente
Meta(s)
Gente Tecnología Procedimientos
17. Un ejemplo
• Número de presentaciones mensuales
realizadas a c e tes
ea adas clientes
• Número de cotizaciones enviadas a clientes
• Importe mensual de las ventas
• Cambio de precios de la competencia
• Nuevos productos substitutos en el mercado
• Rotación de personal de ventas especializado
18. Interactive Data Extraction and Analysis
(Interactive Data Extraction and Analysis)
E l L t A
Excel, Lotus, Acess
Reportes Texto, ASCII, EBCDIC
(.prn)
Oracle
Informix
PDF
SQL
AS/400
Sybase
Exporta
Otros
19. Esquema de integración
Base de
Conocimientos
de Riesgo y
Control
Base de Datos
de Eventos de
Pérdida