CORERIF, octubre 2017 · 2017-10-25 · 1996: Sumitomo Corporation (Japón) • Pérdidas por US$...

Riesgo Operacional Definición y metodologías para su medición y gestión

CORERIF, octubre 2017

Contenido

Antecedentes y conceptos fundamentales

¿Por qué gestionar el Riesgo Operacional?

Administración del Riesgo Operacional

Estándares y prácticas internacionales

La reflexión de RO fue motivada por casos muy especiales a mediados de los 90’s…

1995: Barings Bank (UK), fundado en 1762

• Quiebra por pérdida de US$ 1.4 millardos

1995: Daiwa Bank (Japón)

• Pérdidas de US$ 1.1 millardos

1996: Sumitomo Corporation (Japón)

• Pérdidas por US$ 2.6 millardos

Introducción

Más allá de los casos legendarios:

Diversos Tipos:

• Fraude interno: Allied Irish Bank, US$ 691 millones por trading fraudulento

• Fraude externo: Republic New York Corp., US$ 611 millones por estafa de cliente

• Prácticas inadecuadas: Providian Financial Corp., US$ 405 millones por ventas y facturación inapropiada

• Fallas en sistemas y procesos: Solomon Brothers, US$ 303 millones por migración fallida de sistemas informáticos

En la última década más de 100 casos mayores a US$ 100 millones

Encuesta Basilea 2002: 89 bancos, reportaron más de 47,000 pérdidas mayores a US$ 10,000. 700 casos excedieron US$ 1 millón

Introducción

Caso Lehman Brothers: Mayo de 2001. Un broker, empleado de Lehman, al ejecutar una orden de

venta, añadió un cero más a la derecha y realizó una operación de £300

millones, en lugar de los 30 millones perseguidos. La venta la ejecutó

sobre un conjunto de valores del índice londinense FTSE 100, lo que

provocó un descenso del índice de 120 puntos, equivalentes a unos £40

millardos en pérdidas.

23 24 25 26 27 30 1

May

2 3 4 8 9 10 11 14 15 16 17 18

5700

5750

5800

5850

5900

5950

6000

FTSE - 100 (5,242.4, 5,187.6, 5,197.2)

Introducción

Caso Société Générale: Enero de 2008. Durante el 2007, un empleado llevó a cabo operaciones

erróneas que pasaron desapercibidas en el seno del banco gracias a sus

conocimientos del sistema informático del mismo (en el que había

trabajado previamente).

Sus superiores descubrieron que los descalabros financieros se

relacionaban con su persona el 19 de enero de 2008. Según Daniel Bouton,

ex-presidente del banco, el fraude Kerviel fue en realidad muy sofisticado.

En la práctica, Kerviel apostó una suma extraordinaria a que ciertas

acciones subirían o bajarían y "perdió la apuesta". Cuando el banco se dio

cuenta de las operaciones e intentó deshacerlas, ya estaba en medio de la

crisis financiera que afectaba a los mercados internacionales y perdió

€4,900 millones. Según explicó Burton, Kerviel utilizó un complejo sistema

para ocultar sus operaciones bajo falsas transacciones.

Introducción

Caso Worldcom:

Bernard Ebbers, presidente de WorldCom, realizó una serie de fraudes

contables que llevaron a la empresa a la quiebra. El grupo bancario

Citigroup tuvo que llegar a un acuerdo extrajudicial con los accionistas a

los que pagó US$2,650 millones (había provisionado US$4,950) a cambio

de que retirarán la demanda colectiva que habían realizado, por haber

recomendado títulos de WorldCom.

Introducción

El riesgo de pérdida causado por la falla o insuficiencia de los procesos, personas y sistemas internos, o por eventos externos. Esta definición incluye el riesgo legal, pero excluye los riesgos estratégico, de reputación y sistémico.

Tecnología

Procesos internos

Personas

Eventos Externos

Continuidad

del Negocio

Seguridad de

la

Información

1

2

3

4

6

5

Mejora Continua

PSI

PCN

¿Qué es riesgo operacional?

Contenido





•Enero 2014

¿Por qué gestionar el riesgo operacional?

Eventos de

Riesgo

•Enero 2014

Reducción de riesgos y pérdidas

Permite prepararse ante cambios

externos

Mejora el conocimiento de los

procesos, de los sistemas, del negocio

y del mercado Contribuye a la capacitación y

especialización del recurso humano

Mejora la imagen de la institución

¿Por qué gestionar el riesgo operacional?

Contenido





Administración del Riesgo

Operacional

Personas Procesos Internos

Tecnología de la

información

Eventos Externos

Administración del riesgo operacional

Administración del riesgo operacional

Gestión del Riesgo

Operacional

Marco de gestión

Proceso de gestión

Estructura organizacional

Gen

erad

ore

s

de

Rie

sgo

Iden

tifi

caci

ón

y

eval

uac

ión

del

rie

sgo

C

on

tro

l del

R

iesg

o

Ge

stió

n d

el

Rie

sgo

Procesos de la Entidad

Comité de Riesgos

Unidad de Riesgos

Áreas de Soporte

Áreas de Negocio

FACTOR EVENTO PÉRDIDA

Robo agravado por US$ 750,000 – Agencia 47

Deficiencias o fallas en el servicio de

monitoreo de las alarmas

Robo en agencia o sucursal con acciones

violentas o premeditadas

Es la causa primaria de un evento de riesgo

operacional

Es la materialización del riesgo operacional.

Suceso o serie de sucesos, ya ocurridos o potenciales

Impacto negativo en los resultados o en el

patrimonio de la compañía, debido a un evento de

riesgo operacional

Administración del RO Conceptos básicos (1/2)

4

Frecuencia

(Probabilidad)

Es una medida de ocurrencia de un evento. Se toma como la cantidad de ocurrencias de un evento en un periodo dado.

Severidad (Impacto)

Se expresa como la pérdida monetaria (calculable o estimable) como consecuencia de la ocurrencia de un (1) evento.

Administración del RO Conceptos básicos (1/2)

Mayor

gestión

del RO

Mayor

eficiencia

Menores

sobre

costos

Mayor

utilidad

a MP

Menor

necesidad

de capital

a LP

Rentabilidad

Riesgo Financiero

Capital

Ventaja de la administración del RO

Asignación de riesgos a procesos

Promoción

Solicitud

Evaluación

Aprobación Formalización

Desembolso

Seguimiento y recuperación

Mapa de riesgos Identificación (1/3)

Proceso de Desembolso

Desembolso

Problemas en las aplicaciones informáticas o en las comunicaciones que impiden formalización del crédito.

Jefe de Créditos o Cartera

Recibe notificación de que la operación fue formalizada y el expediente del cliente

Errores en el proceso de liquidación

Riesgos Potenciales

Consulta la operación de préstamo cargada en el sistema

Efectúa la liquidación de la operación en el sistema y la acreditación de los fondos en la cuenta indicada.

Verifica que la solicitud se encuentre correctamente integrada y posea las autorizaciones correspondientes.

Imprime copia de la liquidación efectuada, firma y sella se incorpora el expediente.

Remite el expediente a contabilidad para su control

Final

Errores en el cargo de las comisiones.

Errores en la acreditación Errores en las firmas de los

documentos legales.


Asignación de riesgos a áreas

FACTORES

DE RIESGONo. RIESGO SISTEMAS TESORERIA

BANCA

PERSONAL

BANCA

CORPORATIVA

PERSONAS 1 Realización de operaciones no autorizadas X

2 Fraude / fraude crediticio

3 Hurto / extorsión / malversación / robo X

4 Falsificación X

5 Apropiación y/o destrucción de activos X

6 Cumplimiento de contratos/reglamentos/normas

7 Pérdida o ausencia de personal clave X X X X

PROCESOS 8 Pagos / cobros anómalos X

9 Inexistencia de autorizaciones X X X

10 Documentos jurídicos inexistentes X

11 Registros incorrectos X

12 Incumplimiento de la obligación de informar internamente X

13 Inexacitud de reportes X X X X

14 Errores de introducción de datos X X X

15 Incumplimiento de plazos o de responsabilidades X

16 Error contable X

17 Inadecuado mantenimiento de datos de referencia X X

18 Errores en el proceso de titulación X


PROBABILIDAD DESCRIPCION FRECUENCIA

1

POCO PROBABLE 2

FRECUENTE 3

PROBABLE 4

ESPERADA 5

OBJETIVO: establecer la probabilidad de ocurrencia de cada evento sin considerar los controles.

CLASIFICACION

RARAInsignificante (muy

improbable)

Eventos que son

extremadamente raros6 años o menos

Una vez cada 3

años

Eventos que ocurren en

circunstancias excepcionales

Podría ocurrir en algún

momento (poco probable

pero posible)

Evento que ocurre algunas

vecesAnualmente

Al menos

mensualmente

Evento que ocurrirá en la

mayoría de circunstancias

Ocurrirá en la mayoría de

los casos (alta

incertidumbre)

Debería ocurrir en algún

momento (moderada)

Muy probablemente

ocurrirá en algún momento

(muy probable)

Evento que probablemente

ocurrirá en la mayoría de

circunstancias

Semestralmente

Mapa de riesgos Evaluación -matriz de frecuencia-

Regulatorio Servicio al Cliente

1

2

3

4

5

Inconveniente

para todos los

clientes

Fallo significativo

del sistema total

Por definir

Por definir

Pérdidas

financieras

moderadas, sin

pérdida

reputalcional total

Penetración lógica

en los sistemas

operacionales del

banco

Impacto pequeño

Intento

infructuoso de

acceso a los

sistemas

operacionales

Investigación

policial o

regulatoria

Sin impacto Sin cuidado

Número

significativo de

clientes afectados

Pérdida

prolongada de

servicios en las

últimas 24 horas

Pérdidas

financieras

pequeñas, no hay

pérdidas para los

clientes

Por definir

Pérdidas

financieras

inmensas, seria

pérdida

reputacional

Pérdidas

financieras

promedio, pocos

clientes sufren

pérdidas

Por definir

Por definir *

Pérdidas

financieras

mayores, pérdida

de reputación

general

INSIGNIFICANTE

MASIVA

(CATASTROFICA)

MENOR

MODERADA

MAYOR

FACTORES QUE INFLUENCIAN EL

VALOR CLASIFICACION

PERDIDA

DIRECTADESCRIPCION

Mapa de riesgos Evaluación -matriz de severidad-

1 2 3 4 5

Rara

Esperada

Probabilidad

1 2 3 4 5

Riesgo Bruto

(1-25)

Insignificante

Masiva

Severidad

•Cuando ya se tiene la probabilidad y el impacto de cada evento, estos se multiplican para obtener el nivel de riesgo bruto.

Mapa de riesgos Evaluación

EXISTENCIA DE

PROCEDIMIENTOS

ULTIMOS

CAMBIOSCONTROL CONTINGENCIA

1

2

3

4

5

LIMITADA

MEDIA

SIGNIFICANTE

Roles claros para la mayoría de

actividades. Los controles son

adecuados; sin embargo existen

debilidades que no representan

un riesgo significativo

EXPOSICION

Se evalúa con los

actuales

procedimientos

Estable por 3 años

Definición detallada para todos

los roles. Los controles son

adecuados

Existe planes de

contingencia

completos

MENOR

Recuperación en

24 horas

Los procedimientos

cubren todas los

puntos clave del

proceso

Cambios limitados

en un año

MAYOR

Recuperación en

pocas horas

Contingencia

menor

Sin planes de

contingencia

Falta de definición de

responsabilidades y niveles de

control

Actualmente en

cambio y con alta

incertidumbre

No existen

procedimientos

Grandes cambios en

los métodos de

trabajo en los

siguientes 6 meses

Falta de implementación de

acciones correctivas de largo

plazo. Los controles no son de

nivel aceptable.

Los procedimientos

cubren la mayorías

de los puntos clave

del proceso

Roles definidos de manera

general con problemas

menores. Controles con

debilidades que representan un

Existen nuevos

proyectos que

afectarán la

operaciónLos procedimientos

no cubren la

mayorías de puntos

clave

Mapa de riesgos Evaluación - matriz de exposición actual -

Insignificante

Masiva Severidad

Riesgo Bruto (1-25)

Exposición Actual (1-5)

Riesgo Extremo

Riesgo Alto

Riesgo Medio

Riesgo Bajo

Mapa de riesgos Evaluación (1/2)

Como resultado de la valoración de los riesgos en cuanto a probabilidad e impacto, así como de los controles, se obtiene la clasificación global o riesgo residual. El resultado permite determinar las prioridades y planes de acción específicos para contrarrestar las vulnerabilidades encontradas.

Riesgo Extremo

Riesgo Alto

Riesgo Moderado

Riesgo Bajo

1 2 3 4 5

C B A A A

C B A A A

8 - 10 C B B A A

C B B A A

5 - 7 C C B B A

C C B B A

3 - 4 D C C B B

D C C B B

0 - 2 D D C C C

D D C C C

1/ Derivado de la matriz de exposición

2/ Derivado de la matriz de frecuencia y severidad.

OBJETIVO: Priorizar los planes de mitigación de acuerdo al nivel de riesgo y la exposición actual.

MATRIZ DE RIESGO OPERACIONAL

CLASIFICACIÓN GLOBAL

EXPOSICIÓN ACTUAL 1/RIESGO 2/

>10

Mapa de riesgos Evaluación (2/2)

•Se elabora un resumen de todos los riesgos el cual contiene: • Clasificación del riesgo • Factor de riesgo • Nombre del riesgo • Valoración del riesgo bruto (probabilidad x impacto) • Valoración del control (exposición actual) • Valoración del Riesgo Residual

•La clasificación global es evaluada por el Comité de Riesgos con la finalidad de determinar cómo será administrado el riesgo y en qué casos se deberán establecer tratamientos. Los posibles tratamientos o respuestas al riesgo detectado son las siguientes:

Mapa de riesgos Mitigación (1/3)

Rie

sgo

Gestionar (Área 2)

Ideal (Área 1)

Exposición

Gestionar (Área 2)

Plan de Acción (Área 3)

Plan de Acción

(Área 4)


Evitar

Reducir

Transferir

Aceptar

Retiro de actividades causantes de riesgos en las cuales su tratamiento adicional no es efectivo en costo y el retorno no es atractivo en relación la riesgo involucrado (por ejemplo revocación de proyectos).

Actividades y medidas tendientes a reducir la probabilidad de ocurrencia y/o minimizar la severidad de su impacto (por ejemplo planes de continuidad, cambio de políticas).

Actividades y medidas tendientes transferir a un tercero la responsabilidad por el manejo de riesgos y/o obligación por las consecuencias financieras del riesgo, en caso de ocurrencia (por ejemplo seguros, sub-contratación).

Aceptación de riesgo donde el tratamiento adicional del mismo no es costoso, pero los retornos potenciales son atractivos en relación con los riesgos involucrados.


R

i

e

s

g

o

s

• Una vez identificados y cuantificados los riesgos, es importante disponer de indicadores (conocidos como KRI, Key Risk Indicator) que nos permitan realizar una gestión preventiva de los mismos.

• Las principales características que deben tener los indicadores:

o La elección del indicador debe ayudar a explicar el riesgo asumido y reflejar el criterio experto del responsable del proceso o de la línea de negocio.

o De ser posible (no siempre es el caso) los indicadores deberían poder ser traducidos en medidas cuantitativas.

o Tener sensibilidad al riesgo: un incremento en el valor del indicador debe corresponder a un incremento en el riesgo monitoreado.

o Los indicadores deben estar bien documentados y sujetos a revisiones independientes.

o La validez y pertinencia de los indicadores deberá ser validada comparándolos con la historia de pérdidas registradas.


Indicador 4

Indicador 3

Indicador 2

Indicador 1

Estado Indicadores

Período

Indicador 4

1 2 3 4 5 6 7 8 9

Umbrales

Estado Actual

Establecer un valor óptimo o valor objetivo para cada indicador, y a partir de este valor, fijar unos umbrales de fluctuación en donde el valor se considere como aceptable o crítico.

Mapa de riesgos Monitoreo (1/3)

FACTORES DE RIESGO INDICADOR

PERSONAS Tasa de rotación de personal

Costos reales de capacitación

Ratio de número de días de personal ausente sobre número total de días

Cantidad de horas extras pagadas

Ausentismo de personal/ tasa de enfermedades

PROCESOS Número de superación de límites establecidos

Número de observaciones/cargos debidos a incumplimientos regulatorios

Volumen de transacciones

PRODUCTOS Discrepancias en el número de confirmaciones de operaciones

Y Número de quejas de clientes

CLIENTES Número/porcentaje de cuentas de clientes con documentación incompleta

SISTEMAS Número y tipo de violaciones de seguridad

Número de incidentes con virus informáticos

Tiempo de sistema caído

Porcentaje de disponibilidad de servidores

Número de cambios de sistema

Número de incidentes con sistemas

EXTERNOS Cantidad de eventos de alarma de robo detectados por el personal de seguridad

Número de robos en agencias

Número de ataques informáticos

Número de fraudes de origen externo exitosos

INDICADORES DE RIESGO OPERACIONAL


• De acuerdo con los datos históricos de pérdidas operacionales recogidas en la base de datos durante un determinado tiempo se debe realizar la modelización para cada factor de riesgo y línea de negocio, lo cual conlleva las siguientes etapas:

o Modelización de la función de distribución de la frecuencia de

ocurrencia de los eventos operacionales.

o Modelización de la función de distribución de los impactos o pérdidas por evento (severidades).

o Obtención de la distribución agregada de pérdidas operacional para dicho evento/línea de negocio. Cálculo del Valor en Riesgo Operacional, pérdidas esperadas e inesperadas.


Contenido





Publicaciones del Comité de Basilea

Acuerdo de Basilea I, no existía cargo explícito para el cálculo de capital para RO.

Basilea II, Capital regulatorio mínimo (Pilar 1)

Basilea II, Revisión de Supervisión (Pilar 2)

Enfoque de Método Estándar (Marzo 2016)

-Documento Consultivo-

Estándares internacionales (1/3)

Comité de Basilea: Principios para la

Gestión del Riesgo Operacional

Junio de 2011

Ambiente apropiado para la Gestión de Riesgos

Gestión del Riesgo

Divulgación

La Junta Directiva establece: estrategia, metodología, modelo y revisión.

Implementar y mantener un marco de gestión integrado.

La Junta Directiva establece, aprueba y revisa periódicamente el marco de gestión.

La Junta Directiva aprueba y revisa el nivel de tolerancia al riesgo operacional

Alta Gerencia es responsable de implementar y mantener a través de la organización el SARO.

1

2

3

4

5


Identificar y valorar riesgos en productos, actividades, procesos y sistemas.

AG debe asegurar que existe un proceso de aprobación para nuevos productos y sistemas.

Monitoreo perfil de riesgos y pérdidas. Mecanismo de reportes.

Políticas, procesos y procedimientos para mitigar riesgos.

Planes de contingencia y continuidad del negocio.

Divulgación pública de la exposición al riesgo y calidad de la gestión.

6

7

8

9

11


10

• Involucramiento de la máxima autoridad de la institución.

• Responsabilidad en todos los niveles de la organización.

• Cambio cultural.

• Resultados de mediano y largo plazo.

• Complemento de lo cualitativo y lo cuantitativo.

Consideraciones finales

Muchas gracias

CORERIF, octubre 2017 · 2017-10-25 · 1996: Sumitomo Corporation (Japón) • Pérdidas por US$...

Documents

Transcript of CORERIF, octubre 2017 · 2017-10-25 · 1996: Sumitomo Corporation (Japón) • Pérdidas por US$...