martes, 19 de agosto de 2014

Operational risk assessment methodology: a business case in Brazil

Fuente: Risk Management and Insurance Magazine (Fundación MAPFRE)
Título: Operational risk assessment methodology: a business case in Brazil
Fecha: 2014
Autor: Ibere Ranieri

Introducción
El autor realiza un breve repaso de los conceptos básico de riesgo operacional y presenta la metodología desarrollada por el grupo asegurador BB MAPFRE.

Riesgos y controles
Todas las organizaciones desarrollan sus actividades a través de procesos que componen su cadena de valor.  La gestión de los riesgos tiene como objetivo el establecimiento de estrategias que son formuladas para:
  • Identificar en toda la organización los eventos potenciales capaces de afectarla;
  • Administrar los riesgos de forma que estos sean compatibles con el apetito de riesgo y la consecución de objetivos corporativos.


Sistema de control interno y autoevaluación de los riesgos operacionales
La gestión de riesgos corporativos es parte integrante del control interno. Dicho sistema de control interno queda definido a través de políticas y procedimientos.
BB MAPFRE clasifica los riesgos en diez categorías:
  1. Eventos externos
  2. Fraudes internos
  3. Fraudes externos
  4. Insolvencia
  5. Fallos en procesos
  6. Personas
  7. Relaciones comerciales
  8. Reaseguro
  9. Tarificación
  10. Sistemas (TI)

El método de trabajo se compone de dos áreas:
  • Autoevaluaciones internas, donde con una periodicidad de dos años las unidades de negocio del grupo MAPFRE son invitadas a realizar el proceso de autoanálisis de riesgos operacionales utilizando la herramienta corporativa RiskM@ap.
  • Evaluación independiente, a través de consultoría externa o el área de control interno.


Metodología de evaluación de riesgos operaciones de BB MAPFRE
La aseguradora BB MAPFRE desarrolló una metodología complementaria a la corporativa del grupo MAPFRE. Dicha metodología se divide en las siguientes fases:
  1. Pre-análisis: capacitación de los integrantes del equipo que van a realizar la evaluación de los procesos.
  2. Identificación de riesgos y controles: mapeos de procesos e identificación de riesgos en base a la categoría del grupo.
  3. Evaluación de riesgo puto y elaboración de la matriz de riesgo: la matriz de riesgos se crea en base a la frecuencia y el impacto, tras analizar 23 tipos de riesgos.
  4. Walkthrough: en función de la calidad de las información obtenidas en la etapas anteriores.
  5. Prueba y evaluación del control: mediante el análisis del objetivo de control se define cuál es la prueba a realizar.
  6. Matriz de riesgo residual: combina el riesgo puro y el control, dando como resultado una matriz de riesgo para el proceso analizado.
  7. Recomendación o sugerencias de mejoras: el equipo de control lleva a cabo una tarea de recomendación de mejoras que ayudan a mejorar al gestor su actividad.
  8. Elaboración del resultado final: recopilación de todas las informaciones obtenidas y envío a los responsables de procesos la opinión final.
  9. Presentación y plan de acción: se coordina una reunión para presentar la propuesta de plan de acción.
  10. Validación del plan de acción: los gestores deben validar el plan de acción en un plazo determinado.
  11. Encaminamiento de los planes de acción para conformidad: el área de Conformidad debe monitorizar las etapas de la implementación del plan y alertar sobre posibles desvíos e incumplimientos de plazos.
  12. Realimentación para el área de procesos: en caso de que se identifique que el flujo de procesos no está de acuerdo con lo que inicialmente se presentó, se notifica al área de Procesos para que realice las alteraciones pertinentes.