CORERIF, octubre 2017 · 2017-10-25 · 1996: Sumitomo Corporation (Japón) • Pérdidas por US$...
Transcript of CORERIF, octubre 2017 · 2017-10-25 · 1996: Sumitomo Corporation (Japón) • Pérdidas por US$...
Riesgo Operacional Definición y metodologías para su medición y gestión
CORERIF, octubre 2017
Contenido
Antecedentes y conceptos fundamentales
¿Por qué gestionar el Riesgo Operacional?
Administración del Riesgo Operacional
Estándares y prácticas internacionales
Contenido
Antecedentes y conceptos fundamentales
¿Por qué gestionar el Riesgo Operacional?
Administración del Riesgo Operacional
Estándares y prácticas internacionales
La reflexión de RO fue motivada por casos muy especiales a mediados de los 90’s…
1995: Barings Bank (UK), fundado en 1762
• Quiebra por pérdida de US$ 1.4 millardos
1995: Daiwa Bank (Japón)
• Pérdidas de US$ 1.1 millardos
1996: Sumitomo Corporation (Japón)
• Pérdidas por US$ 2.6 millardos
Introducción
Más allá de los casos legendarios:
Diversos Tipos:
• Fraude interno: Allied Irish Bank, US$ 691 millones por trading fraudulento
• Fraude externo: Republic New York Corp., US$ 611 millones por estafa de cliente
• Prácticas inadecuadas: Providian Financial Corp., US$ 405 millones por ventas y facturación inapropiada
• Fallas en sistemas y procesos: Solomon Brothers, US$ 303 millones por migración fallida de sistemas informáticos
En la última década más de 100 casos mayores a US$ 100 millones
Encuesta Basilea 2002: 89 bancos, reportaron más de 47,000 pérdidas mayores a US$ 10,000. 700 casos excedieron US$ 1 millón
Introducción
Caso Lehman Brothers: Mayo de 2001. Un broker, empleado de Lehman, al ejecutar una orden de
venta, añadió un cero más a la derecha y realizó una operación de £300
millones, en lugar de los 30 millones perseguidos. La venta la ejecutó
sobre un conjunto de valores del índice londinense FTSE 100, lo que
provocó un descenso del índice de 120 puntos, equivalentes a unos £40
millardos en pérdidas.
23 24 25 26 27 30 1
May
2 3 4 8 9 10 11 14 15 16 17 18
5700
5750
5800
5850
5900
5950
6000
FTSE - 100 (5,242.4, 5,187.6, 5,197.2)
Introducción
Caso Société Générale: Enero de 2008. Durante el 2007, un empleado llevó a cabo operaciones
erróneas que pasaron desapercibidas en el seno del banco gracias a sus
conocimientos del sistema informático del mismo (en el que había
trabajado previamente).
Sus superiores descubrieron que los descalabros financieros se
relacionaban con su persona el 19 de enero de 2008. Según Daniel Bouton,
ex-presidente del banco, el fraude Kerviel fue en realidad muy sofisticado.
En la práctica, Kerviel apostó una suma extraordinaria a que ciertas
acciones subirían o bajarían y "perdió la apuesta". Cuando el banco se dio
cuenta de las operaciones e intentó deshacerlas, ya estaba en medio de la
crisis financiera que afectaba a los mercados internacionales y perdió
€4,900 millones. Según explicó Burton, Kerviel utilizó un complejo sistema
para ocultar sus operaciones bajo falsas transacciones.
Introducción
Caso Worldcom:
Bernard Ebbers, presidente de WorldCom, realizó una serie de fraudes
contables que llevaron a la empresa a la quiebra. El grupo bancario
Citigroup tuvo que llegar a un acuerdo extrajudicial con los accionistas a
los que pagó US$2,650 millones (había provisionado US$4,950) a cambio
de que retirarán la demanda colectiva que habían realizado, por haber
recomendado títulos de WorldCom.
Introducción
El riesgo de pérdida causado por la falla o insuficiencia de los procesos, personas y sistemas internos, o por eventos externos. Esta definición incluye el riesgo legal, pero excluye los riesgos estratégico, de reputación y sistémico.
Tecnología
Procesos internos
Personas
Eventos Externos
Continuidad
del Negocio
Seguridad de
la
Información
1
2
3
4
6
5
Mejora Continua
PSI
PCN
¿Qué es riesgo operacional?
Contenido
Antecedentes y conceptos fundamentales
¿Por qué gestionar el Riesgo Operacional?
Administración del Riesgo Operacional
Estándares y prácticas internacionales
•Enero 2014
¿Por qué gestionar el riesgo operacional?
Eventos de
Riesgo
•Enero 2014
Reducción de riesgos y pérdidas
Permite prepararse ante cambios
externos
Mejora el conocimiento de los
procesos, de los sistemas, del negocio
y del mercado Contribuye a la capacitación y
especialización del recurso humano
Mejora la imagen de la institución
¿Por qué gestionar el riesgo operacional?
Contenido
Antecedentes y conceptos fundamentales
¿Por qué gestionar el Riesgo Operacional?
Administración del Riesgo Operacional
Estándares y prácticas internacionales
Administración del Riesgo
Operacional
Personas Procesos Internos
Tecnología de la
información
Eventos Externos
Administración del riesgo operacional
Administración del riesgo operacional
Gestión del Riesgo
Operacional
Marco de gestión
Proceso de gestión
Estructura organizacional
Gen
erad
ore
s
de
Rie
sgo
Iden
tifi
caci
ón
y
eval
uac
ión
del
rie
sgo
C
on
tro
l del
R
iesg
o
Ge
stió
n d
el
Rie
sgo
Procesos de la Entidad
Comité de Riesgos
Unidad de Riesgos
Áreas de Soporte
Áreas de Negocio
FACTOR EVENTO PÉRDIDA
Robo agravado por US$ 750,000 – Agencia 47
Deficiencias o fallas en el servicio de
monitoreo de las alarmas
Robo en agencia o sucursal con acciones
violentas o premeditadas
Es la causa primaria de un evento de riesgo
operacional
Es la materialización del riesgo operacional.
Suceso o serie de sucesos, ya ocurridos o potenciales
Impacto negativo en los resultados o en el
patrimonio de la compañía, debido a un evento de
riesgo operacional
Administración del RO Conceptos básicos (1/2)
4
Frecuencia
(Probabilidad)
Es una medida de ocurrencia de un evento. Se toma como la cantidad de ocurrencias de un evento en un periodo dado.
Severidad (Impacto)
Se expresa como la pérdida monetaria (calculable o estimable) como consecuencia de la ocurrencia de un (1) evento.
Administración del RO Conceptos básicos (1/2)
Mayor
gestión
del RO
Mayor
eficiencia
Menores
sobre
costos
Mayor
utilidad
a MP
Menor
necesidad
de capital
a LP
Rentabilidad
Riesgo Financiero
Capital
Ventaja de la administración del RO
Asignación de riesgos a procesos
Promoción
Solicitud
Evaluación
Aprobación Formalización
Desembolso
Seguimiento y recuperación
Mapa de riesgos Identificación (1/3)
Proceso de Desembolso
Desembolso
Problemas en las aplicaciones informáticas o en las comunicaciones que impiden formalización del crédito.
Jefe de Créditos o Cartera
Recibe notificación de que la operación fue formalizada y el expediente del cliente
Errores en el proceso de liquidación
Riesgos Potenciales
Consulta la operación de préstamo cargada en el sistema
Efectúa la liquidación de la operación en el sistema y la acreditación de los fondos en la cuenta indicada.
Verifica que la solicitud se encuentre correctamente integrada y posea las autorizaciones correspondientes.
Imprime copia de la liquidación efectuada, firma y sella se incorpora el expediente.
Remite el expediente a contabilidad para su control
Final
Errores en el cargo de las comisiones.
Errores en la acreditación Errores en las firmas de los
documentos legales.
Mapa de riesgos Identificación (2/3)
Asignación de riesgos a áreas
FACTORES
DE RIESGONo. RIESGO SISTEMAS TESORERIA
BANCA
PERSONAL
BANCA
CORPORATIVA
PERSONAS 1 Realización de operaciones no autorizadas X
2 Fraude / fraude crediticio
3 Hurto / extorsión / malversación / robo X
4 Falsificación X
5 Apropiación y/o destrucción de activos X
6 Cumplimiento de contratos/reglamentos/normas
7 Pérdida o ausencia de personal clave X X X X
PROCESOS 8 Pagos / cobros anómalos X
9 Inexistencia de autorizaciones X X X
10 Documentos jurídicos inexistentes X
11 Registros incorrectos X
12 Incumplimiento de la obligación de informar internamente X
13 Inexacitud de reportes X X X X
14 Errores de introducción de datos X X X
15 Incumplimiento de plazos o de responsabilidades X
16 Error contable X
17 Inadecuado mantenimiento de datos de referencia X X
18 Errores en el proceso de titulación X
Mapa de riesgos Identificación (3/3)
PROBABILIDAD DESCRIPCION FRECUENCIA
1
POCO PROBABLE 2
FRECUENTE 3
PROBABLE 4
ESPERADA 5
OBJETIVO: establecer la probabilidad de ocurrencia de cada evento sin considerar los controles.
CLASIFICACION
RARAInsignificante (muy
improbable)
Eventos que son
extremadamente raros6 años o menos
Una vez cada 3
años
Eventos que ocurren en
circunstancias excepcionales
Podría ocurrir en algún
momento (poco probable
pero posible)
Evento que ocurre algunas
vecesAnualmente
Al menos
mensualmente
Evento que ocurrirá en la
mayoría de circunstancias
Ocurrirá en la mayoría de
los casos (alta
incertidumbre)
Debería ocurrir en algún
momento (moderada)
Muy probablemente
ocurrirá en algún momento
(muy probable)
Evento que probablemente
ocurrirá en la mayoría de
circunstancias
Semestralmente
Mapa de riesgos Evaluación -matriz de frecuencia-
Regulatorio Servicio al Cliente
1
2
3
4
5
Inconveniente
para todos los
clientes
Fallo significativo
del sistema total
Por definir
Por definir
Pérdidas
financieras
moderadas, sin
pérdida
reputalcional total
Penetración lógica
en los sistemas
operacionales del
banco
Impacto pequeño
Intento
infructuoso de
acceso a los
sistemas
operacionales
Investigación
policial o
regulatoria
Sin impacto Sin cuidado
Número
significativo de
clientes afectados
Pérdida
prolongada de
servicios en las
últimas 24 horas
Pérdidas
financieras
pequeñas, no hay
pérdidas para los
clientes
Por definir
Pérdidas
financieras
inmensas, seria
pérdida
reputacional
Pérdidas
financieras
promedio, pocos
clientes sufren
pérdidas
Por definir
Por definir *
Pérdidas
financieras
mayores, pérdida
de reputación
general
INSIGNIFICANTE
MASIVA
(CATASTROFICA)
MENOR
MODERADA
MAYOR
FACTORES QUE INFLUENCIAN EL
VALOR CLASIFICACION
PERDIDA
DIRECTADESCRIPCION
Mapa de riesgos Evaluación -matriz de severidad-
1 2 3 4 5
Rara
Esperada
Probabilidad
1 2 3 4 5
Riesgo Bruto
(1-25)
Insignificante
Masiva
Severidad
•Cuando ya se tiene la probabilidad y el impacto de cada evento, estos se multiplican para obtener el nivel de riesgo bruto.
Mapa de riesgos Evaluación
EXISTENCIA DE
PROCEDIMIENTOS
ULTIMOS
CAMBIOSCONTROL CONTINGENCIA
1
2
3
4
5
LIMITADA
MEDIA
SIGNIFICANTE
Roles claros para la mayoría de
actividades. Los controles son
adecuados; sin embargo existen
debilidades que no representan
un riesgo significativo
EXPOSICION
Se evalúa con los
actuales
procedimientos
Estable por 3 años
Definición detallada para todos
los roles. Los controles son
adecuados
Existe planes de
contingencia
completos
MENOR
Recuperación en
24 horas
Los procedimientos
cubren todas los
puntos clave del
proceso
Cambios limitados
en un año
MAYOR
Recuperación en
pocas horas
Contingencia
menor
Sin planes de
contingencia
Falta de definición de
responsabilidades y niveles de
control
Actualmente en
cambio y con alta
incertidumbre
No existen
procedimientos
Grandes cambios en
los métodos de
trabajo en los
siguientes 6 meses
Falta de implementación de
acciones correctivas de largo
plazo. Los controles no son de
nivel aceptable.
Los procedimientos
cubren la mayorías
de los puntos clave
del proceso
Roles definidos de manera
general con problemas
menores. Controles con
debilidades que representan un
Existen nuevos
proyectos que
afectarán la
operaciónLos procedimientos
no cubren la
mayorías de puntos
clave
Mapa de riesgos Evaluación - matriz de exposición actual -
Insignificante
Masiva Severidad
Riesgo Bruto (1-25)
Exposición Actual (1-5)
Riesgo Extremo
Riesgo Alto
Riesgo Medio
Riesgo Bajo
Mapa de riesgos Evaluación (1/2)
Como resultado de la valoración de los riesgos en cuanto a probabilidad e impacto, así como de los controles, se obtiene la clasificación global o riesgo residual. El resultado permite determinar las prioridades y planes de acción específicos para contrarrestar las vulnerabilidades encontradas.
Riesgo Extremo
Riesgo Alto
Riesgo Moderado
Riesgo Bajo
1 2 3 4 5
C B A A A
C B A A A
8 - 10 C B B A A
C B B A A
5 - 7 C C B B A
C C B B A
3 - 4 D C C B B
D C C B B
0 - 2 D D C C C
D D C C C
1/ Derivado de la matriz de exposición
2/ Derivado de la matriz de frecuencia y severidad.
OBJETIVO: Priorizar los planes de mitigación de acuerdo al nivel de riesgo y la exposición actual.
MATRIZ DE RIESGO OPERACIONAL
CLASIFICACIÓN GLOBAL
EXPOSICIÓN ACTUAL 1/RIESGO 2/
>10
Mapa de riesgos Evaluación (2/2)
•Se elabora un resumen de todos los riesgos el cual contiene: • Clasificación del riesgo • Factor de riesgo • Nombre del riesgo • Valoración del riesgo bruto (probabilidad x impacto) • Valoración del control (exposición actual) • Valoración del Riesgo Residual
•La clasificación global es evaluada por el Comité de Riesgos con la finalidad de determinar cómo será administrado el riesgo y en qué casos se deberán establecer tratamientos. Los posibles tratamientos o respuestas al riesgo detectado son las siguientes:
Mapa de riesgos Mitigación (1/3)
Rie
sgo
Gestionar (Área 2)
Ideal (Área 1)
Exposición
Gestionar (Área 2)
Plan de Acción (Área 3)
Plan de Acción
(Área 4)
Mapa de riesgos Mitigación (2/3)
Evitar
Reducir
Transferir
Aceptar
Retiro de actividades causantes de riesgos en las cuales su tratamiento adicional no es efectivo en costo y el retorno no es atractivo en relación la riesgo involucrado (por ejemplo revocación de proyectos).
Actividades y medidas tendientes a reducir la probabilidad de ocurrencia y/o minimizar la severidad de su impacto (por ejemplo planes de continuidad, cambio de políticas).
Actividades y medidas tendientes transferir a un tercero la responsabilidad por el manejo de riesgos y/o obligación por las consecuencias financieras del riesgo, en caso de ocurrencia (por ejemplo seguros, sub-contratación).
Aceptación de riesgo donde el tratamiento adicional del mismo no es costoso, pero los retornos potenciales son atractivos en relación con los riesgos involucrados.
Mapa de riesgos Mitigación (3/3)
R
i
e
s
g
o
s
• Una vez identificados y cuantificados los riesgos, es importante disponer de indicadores (conocidos como KRI, Key Risk Indicator) que nos permitan realizar una gestión preventiva de los mismos.
• Las principales características que deben tener los indicadores:
o La elección del indicador debe ayudar a explicar el riesgo asumido y reflejar el criterio experto del responsable del proceso o de la línea de negocio.
o De ser posible (no siempre es el caso) los indicadores deberían poder ser traducidos en medidas cuantitativas.
o Tener sensibilidad al riesgo: un incremento en el valor del indicador debe corresponder a un incremento en el riesgo monitoreado.
o Los indicadores deben estar bien documentados y sujetos a revisiones independientes.
o La validez y pertinencia de los indicadores deberá ser validada comparándolos con la historia de pérdidas registradas.
Mapa de riesgos Mitigación (3/3)
Indicador 4
Indicador 3
Indicador 2
Indicador 1
Estado Indicadores
Período
Indicador 4
1 2 3 4 5 6 7 8 9
Umbrales
Estado Actual
Establecer un valor óptimo o valor objetivo para cada indicador, y a partir de este valor, fijar unos umbrales de fluctuación en donde el valor se considere como aceptable o crítico.
Mapa de riesgos Monitoreo (1/3)
FACTORES DE RIESGO INDICADOR
PERSONAS Tasa de rotación de personal
Costos reales de capacitación
Ratio de número de días de personal ausente sobre número total de días
Cantidad de horas extras pagadas
Ausentismo de personal/ tasa de enfermedades
PROCESOS Número de superación de límites establecidos
Número de observaciones/cargos debidos a incumplimientos regulatorios
Volumen de transacciones
PRODUCTOS Discrepancias en el número de confirmaciones de operaciones
Y Número de quejas de clientes
CLIENTES Número/porcentaje de cuentas de clientes con documentación incompleta
SISTEMAS Número y tipo de violaciones de seguridad
Número de incidentes con virus informáticos
Tiempo de sistema caído
Porcentaje de disponibilidad de servidores
Número de cambios de sistema
Número de incidentes con sistemas
EXTERNOS Cantidad de eventos de alarma de robo detectados por el personal de seguridad
Número de robos en agencias
Número de ataques informáticos
Número de fraudes de origen externo exitosos
INDICADORES DE RIESGO OPERACIONAL
Mapa de riesgos Monitoreo (2/3)
• De acuerdo con los datos históricos de pérdidas operacionales recogidas en la base de datos durante un determinado tiempo se debe realizar la modelización para cada factor de riesgo y línea de negocio, lo cual conlleva las siguientes etapas:
o Modelización de la función de distribución de la frecuencia de
ocurrencia de los eventos operacionales.
o Modelización de la función de distribución de los impactos o pérdidas por evento (severidades).
o Obtención de la distribución agregada de pérdidas operacional para dicho evento/línea de negocio. Cálculo del Valor en Riesgo Operacional, pérdidas esperadas e inesperadas.
Mapa de riesgos Monitoreo (3/3)
Contenido
Antecedentes y conceptos fundamentales
¿Por qué gestionar el Riesgo Operacional?
Administración del Riesgo Operacional
Estándares y prácticas internacionales
Publicaciones del Comité de Basilea
Acuerdo de Basilea I, no existía cargo explícito para el cálculo de capital para RO.
Basilea II, Capital regulatorio mínimo (Pilar 1)
Basilea II, Revisión de Supervisión (Pilar 2)
Enfoque de Método Estándar (Marzo 2016)
-Documento Consultivo-
Estándares internacionales (1/3)
Comité de Basilea: Principios para la
Gestión del Riesgo Operacional
Junio de 2011
Ambiente apropiado para la Gestión de Riesgos
Gestión del Riesgo
Divulgación
La Junta Directiva establece: estrategia, metodología, modelo y revisión.
Implementar y mantener un marco de gestión integrado.
La Junta Directiva establece, aprueba y revisa periódicamente el marco de gestión.
La Junta Directiva aprueba y revisa el nivel de tolerancia al riesgo operacional
Alta Gerencia es responsable de implementar y mantener a través de la organización el SARO.
1
2
3
4
5
Estándares internacionales (2/3)
Identificar y valorar riesgos en productos, actividades, procesos y sistemas.
AG debe asegurar que existe un proceso de aprobación para nuevos productos y sistemas.
Monitoreo perfil de riesgos y pérdidas. Mecanismo de reportes.
Políticas, procesos y procedimientos para mitigar riesgos.
Planes de contingencia y continuidad del negocio.
Divulgación pública de la exposición al riesgo y calidad de la gestión.
6
7
8
9
11
Estándares internacionales (3/3)
10
• Involucramiento de la máxima autoridad de la institución.
• Responsabilidad en todos los niveles de la organización.
• Cambio cultural.
• Resultados de mediano y largo plazo.
• Complemento de lo cualitativo y lo cuantitativo.
Consideraciones finales
Muchas gracias