Gestión del riesgo operacional en instituciones financieras de Uruguay

La Superintendencia de Servicios Financieros (SSF) de Uruguay realiza una evaluación integral de la gestión de las instituciones financieras a partir de una metodología de calificación denominada CERT, que considera los siguientes componentes: 

C: Gobierno Corporativo; E: Evaluación económico-financiera; R: Riesgos; T: Tecnología, que tiene que ver con la gestión de los riesgos tecnológicos.

En este artículo nos centraremos en los estándares de gestión de riesgos que deben cumplir las entidades supervisadas, específicamente los relacionados con riesgo operacional, que también incluye la gestión de la seguridad de la información. 

Además, te mostraremos cómo cumplir estos estándares de una manera más simple y eficiente a través de los sistemas de gestión ORM e ISMS de Pirani.

Estándares de gestión de riesgos

Según lo establecido por la Superintendencia de Servicios Financieros, las instituciones supervisadas deben implementar un Sistema de Gestión Integral de Riesgos, que se trata del conjunto de políticas, procedimientos y mecanismos de control implementados para favorecer la identificación, medición, control y monitoreo de los riesgos a los que están expuestas, así como para evaluar la suficiencia de capital y liquidez en relación con el perfil de riesgo. 

Estos estándares incluyen el riesgo de crédito, mercado, liquidez, operacional, lavado de activos y financiación del terrorismo, estratégico y reputacional.

Estándares de gestión del riesgo operacional

De acuerdo con la SSF el riesgo operacional, se trata del “riesgo presente y futuro de que las ganancias o el patrimonio de la entidad se vean afectados por pérdidas resultantes de procesos, personal o sistemas internos inadecuados o defectuosos, o por eventos externos”.

Igualmente, este riesgo “acompaña el desarrollo y evolución de los productos, el desarrollo e implementación de los sistemas, los procesos transaccionales y guarda relación con la complejidad de los productos y servicios, la calidad del personal y el ambiente de control interno”. 

Algunos de los estándares que deben cumplir las entidades financieras de Uruguay supervisadas por la SSF con respecto al riesgo operacional son: 

Para lograr esto, entre otras acciones el Directorio debe:

• Aprobar las políticas en relación al riesgo operacional y revisarlas periódicamente.
• Promover una cultura de control adecuada en la organización.
• Asegurar que la gestión del riesgo se lleva a cabo continuamente.
• Revisar periódicamente la efectividad de la gestión del riesgo operacional.
• Identificar líneas de responsabilidad y autoridad en la gestión del riesgo.
• Aprobar las políticas en relación a seguridad de la información y revisar periódicamente la efectividad de su implementación.

Para lograr esto, la Alta Gerencia debe, entre otras acciones:

• Asignar responsabilidades explícitamente para el manejo del riesgo operacional, independiente de la estructura organizacional que se defina.
• Contar con los recursos necesarios en cantidad, calidad y competencia para un buen manejo del riesgo operacional. 
• Identificar adecuadamente las fuentes potenciales de riesgo operacional y en consecuencia establecer mecanismos que mitiguen este riesgo. 
• Establecer que la función de seguridad de la información sea independiente funcional y presupuestalmente del área de TI.  

Para cumplir con este estándar, las instituciones financieras deben:

• Realizar un mapeo de los distintos procesos y revisarlo periódicamente.
• Establecer algún mecanismo de autoevaluación de riesgos a nivel de los distintos procesos de la entidad y definir los controles orientados a mitigar dichos riesgos. 
• Involucrar al personal vinculado a los distintos procesos en este mecanismo de autoevaluación. 
• Llevar un registro de los eventos de riesgo operacional que permita la consolidación y el análisis.
• Generar un sistema de indicadores que alerten sobre debilidades en los procesos.
• Informar los resultados de la gestión del riesgo operacional al Comité de Riesgos, a la Auditoría Interna y al Comité de Auditoría y comunicarlas al personal involucrado. 

4. La institución debe contar con una gestión integral e independiente de la seguridad de la información. En este sentido debe:

• Mantener actualizada la clasificación de sus activos de información. Todos los activos deben tener dueño y custodio.
• Implementar estándares, procedimientos y directrices para preservar la confidencialidad, integridad y disponibilidad de la información, teniendo en cuenta aspectos de seguridad física y lógica. 
• Identificar, evaluar, tratar y monitorear los riesgos asociados a la gestión de sus activos de información, incluyendo un análisis sobre las amenazas y vulnerabilidades presentes.  
• Contar con indicadores y medidas que contribuyan al monitoreo de la gestión de la seguridad de la información.
• Generar concientización y asegurar una adecuada capacitación al personal para involucrar a todos en la gestión de los riesgos asociados a los activos de información. 
• Contar con una política, procedimientos e indicadores de gestión de incidentes de seguridad y hacer pruebas frecuentemente para tener actualizadas las actividades a realizar. 

Entre otras cosas, esta revisión debe incluir la evaluación de:

• El sistema en su conjunto y su eficacia en el cumplimiento de los objetivos.
• El cumplimiento efectivo de las políticas y procedimientos y la adecuada documentación de los procesos y las decisiones adoptadas. 
• La capacidad y eficacia del sistema para capturar todos los elementos materiales de riesgo. 
• Los cambios significativos que puedan afectar la efectividad de los controles, como cambios en los mercados, recursos humanos o tecnología.

Cumplimiento de los estándares de riesgo operacional con Pirani

A través del sistema de gestión de riesgo operacional de Pirani, ORM, las entidades financieras pueden dar cumplimiento a los estándares de la Superintendencia de Servicios Financieros. 

ORM de Pirani permite:

• Identificar y registrar los procesos de la organización.
  
  
• Identificar y calificar los diferentes riesgos operacionales a los que está expuesta la entidad. Cada uno de los riesgos puede ser calificado en su probabilidad de ocurrencia y en su impacto, el riesgo inherente se verá reflejado en la matriz de riesgos. 
  
  
• Definir y calificar los controles que sirvan para mitigar los riesgos operacionales, bien sea en su probabilidad de ocurrencia o en su impacto.
  
  
• Involucrar a todo el personal de los diferentes procesos en la identificación y calificación de los riesgos.
  
  
• Reportar los eventos de riesgo operacional que se presentan y que puedan tener consecuencias para la organización; lo mejor es que se puede hacer desde cualquier lugar con la versión mobile. Contar con este reporte permite realizar mejores análisis y tomar decisiones.
  
  
• Establecer un sistema de indicadores para realizar seguimiento a los procesos y riesgos.
  
  
• Realizar evaluaciones periódicas para monitorear cómo están los riesgos y cómo es el comportamiento de los controles implementados, es decir, si efectivamente cumplen con su propósito o es necesario ajustarlos o cambiarlos.  
  
  
• Generar fácilmente diferentes reportes y gráficas que dan cuenta de la gestión realizada. Estos informes sirven para ser presentados al Comité de Riesgos, a la Auditoría Interna y a la Dirección para la toma oportuna de decisiones. 

Crea tu cuenta y conoce más sobre todas las funcionalidades de ORM para la gestión del riesgo operacional.

Adicional a ORM, a través del sistema de gestión de seguridad de la información de Pirani, ISMS, las entidades pueden:

• Identificar y mantener actualizado el inventario de activos de información de la organización. Este inventario incluye información como: nombre del activo, tipo de activo, descripción, criticidad según su confidencialidad, integridad y disponibilidad, proceso asociado, propietario, custodio y ubicación. 
  
  
• Identificar los riesgos de seguridad de la información asociados a los activos, además de las amenazas y vulnerabilidades que se puedan presentar. Cada riesgo puede ser evaluado en su probabilidad y en su impacto. 
  
  
• Establecer los controles para mitigar los riesgos asociados a los activos de información.
  
  
• Crear objetivos e indicadores de cumplimiento que permitan realizar un monitoreo eficaz de la gestión de la seguridad de la información.
  
  
• Reportar fácilmente incidentes de seguridad de la información, teniendo en cuenta datos como: nombre, descripción, si genera pérdidas, lugar de ocurrencia, fecha y hora de inicio, fecha y hora de descubrimiento y adjuntar evidencia.
  
  
• Generar reportes e informes para la toma oportuna de decisiones. 

En Pirani podemos acompañar a tu organización a hacer más simple la gestión de riesgos operacionales y de seguridad de la información. Crea tu cuenta gratis y conoce más.