Presentacion de D. Marino Sanchez-Cid

Gestin de Riesgo Operacional en las Instituciones FinancierasPresente y FuturoD. Marino Snchez-CidSocio de PricewaterhouseCoopers8 de marzo de 2000

OPERATIONAL RISK PricewaterhouseCoopers 2000

AgendaAntecedentesDefinicin y AlcanceGrandes Estudios sobre Riesgo Operacional:Informe BIS 1998Encuesta ISDA / BBA / RMA 1999Herramientas de Control y Mejora de Riesgo OperacionalMetodologa de Medicin de PwC: OpVaRConclusin


AntecedentesRealmente el tercer riesgo?Enfoque tradicionalControl Interno (coste controles vs. eficacia)Manuales de procedimientosDepartamento de OrganizacinAuditora Interna


AntecedentesCasos pblicos de fuertes prdidasInterrelacin con otros riesgosAsignacin de responsabilidad(Toma vs. control)Superior anlisis financieroAsociacin de ingresos y costes con riesgosAnlisis de creacin de valor(SVA, EVA, RORAC)Por qu el cambio de enfoque?


Cifras Ilustrativas de la Importancia CrecienteDurante el pasado ao, se produjeron ms de 7,000 millones de USD en prdidas en empresas de servicios financieros!!!Fuente: PricewaterhouseCoopers0.01000200030004000500060007000800092939495969798Prdidas menores que $100MPrdidas mayores que $100MPrdidas Reportadas ($USMM)Aos


Qu se necesita?Una definicin claraAsignacin de responsabilidadesProcesos de control y mejoraMetodologasRestringir accesoPlan contingencia / desastresOrientado a resultadosCulturalENFOQUE TRADICIONALENFOQUE INNOVADOR




Definicin y AlcanceQu es Riesgo Operacional?Riesgo de MercadoRiesgo de CrditoOtrosRiesgo OperacionalTodo lo que no es crdito o mercado...?...qu dejamos fuera?


Definicin y AlcanceLos bancos manejan diferentes definiciones:Riesgo Operacional es todo tipo de riesgo en las instituciones no clasificable como Riesgo de Mercado o Riesgo de CrditoRiesgo Operacional es el riesgo de prdida derivado de distintos tipos de errores tcnicos y humanosRiesgo Operacional es el riesgo de prdidas directas o indirectas derivadas de fallos en los procesos internos


Definicin y AlcanceTienen las Instituciones una defincin de riesgo operacional?49%15%31%5%S, definicin nicaS, definido como todo lo que no es mercado o crditoNo existe definicin formalS, mltiples definicionesEncuesta ISDA/BBA/RMA


Definicin y AlcanceEjemplo de clasificacin de riesgosRiskMarketCreditOperatingUnderwritingOperational EventsMargins Volume LeveragePortfolio RiskBusiness RiskVolatilityIncomeValue


Definicin y AlcanceCada vez ms existe un consenso acerca de la definicin

Definicin positivaFcilmente comprensibleFlexible (adaptable a distintas instituciones)Incluye consideracin de sucesos externosRiesgo Operacional es el riesgo de prdidas directas o indirectas que resultan de procesos internos inadecuados o de fallos en los mismos, fallos humanos, de sistemas y como consecuencia de sucesos externos


Definicin y AlcanceEl riesgo Operacional tiene lugar no slo en las actividades de B/O, si no en F/O y en todas las dems actividades del proceso de negocioContratacin Procesamiento Control


Definicin y AlcanceErrores en el procesamiento de transaccionesErrores en el incumplimiento de controles:Excesos no detectados en los lmitesRealizacin de operativa no autorizadaPrcticas fraudulentas / conflictos de interesesSeguridad: accesos no autorizados y planes de contingenciaAdecuado soporte documental legal de las transaccionesFallos en los sistemas de soporteFallos en los modelos de valoracinPolticas de recursos humanos: delegacin de funciones y formacin adecuadaTipos de riesgos incurridos


Consecuencias del Riesgo OperacionalExisten consecuencias directas e indirectas procedentes de prdidas por Riesgo Operacional en las InstitucionesRiesgo RegulatorioRiesgo LegalPrdidas por Riesgo OperacionalDisminucin o Interrupcin del NegocioImagenPrdida directaDirectasIndirectas}}




Estudios Riesgo Operacional: Informe BIS 1998Existe una conciencia creciente en la Alta DireccinResponsabilidad principal asignada a los responsables de reas de negocio/productosSlo 60% tiene un responsable para riesgo operacional en el conjunto del bancoCreacin de incentivos para una buena gestinAsignacin de capitalIndicadores de calidadPresentacin de detalles de prdidas y acciones correctivasLos bancos estn en una fase inicial en la gestin del Riesgo OperacionalLa medicin del Riesgo Operacional es compleja y pocos bancos lo calculan e informan regularmenteLa mayora controla indicadores, analiza la experiencia de prdidas y las calificaciones de auditora interna.

Basado en contactos con 30 grandes bancos:


Informe BIS 1998Dificultades en la medicin del Riesgo Operacional:Los factores de riesgo son principalmente internosAusencia de datos histricosNo existe experiencia suficiente en cuanto a prdidasFalta de conocimiento de la relacin entre:factores de riesgoprdidas ocasionadas


Encuesta ISDA / BBA / RMA 1999OrganizadoresBritish Bankers AssociationInternational Swaps and Derivatives AssociationRobert Morris AssociatesElaborada por PricewaterhouseCoopers12 PatrocinadoresAbbey NationalAllied Irish BankCIBCChaseCitibankCredit Suisse First BostonDeutscheFleetBostonRoyal BankScotiaBankState StreetUBS


Encuesta ISDA / BBA / RMA 1999: AlcancePremisas y definicin de Riesgo OperacionalEstructura organizativa soporte de la gestin de Riesgo OperacionalHerramientas de gestinInformacin a la Alta DireccinAsignacin de Capital por Riesgo OperacionalEstrategias de inmunizacin


Algunos Resultados de la EncuestaQuality or service improvedRegulators satisfiedStrategy clarifiedCommon risk language establishedComplete/consistent operational risk informationAudit points addressedControl breakdowns reducedCross-enterprise risk identifiedReputation protected Improved capability to predict operational riskLosses reduced Awareness of operational risk increasedShareholder value protected11222246141923236844863536543385320510152025303540TopSecondThird Number of Respondents1Riesgo Operacional y Valor para el Accionista


Estructura Organizativa en Torno al Riesgo OperacionalSe observan tres tipos de modelos organizativosCorporate risk functionDecentralized operational risk functionsInternal Audit-driven approachesTraditional independent reviewerExpanded pro-active roleEl 84% de las instituciones encuestadas, han establecido la Funcin de Gestin de Riesgo Operacional durante los 3 ltimos aos


Tendencia Principal: modelo corporate operational riskComit DirectivoAuditora InternaAlta DireccinComit de Riesgo OperacionalResponsable de RiesgosDireccin de Unidad de NegocioSatff de Riesgo Operacional de la UnidadPersonal con Responsabilidades en la Gestin de Riesgo Operacional

Normas y ProcedimientosRecursos HumanosSegurosSistemasAsesora JurdicaResponsable de Riesgo OperacionalStaff de Riesgo Operacional


Utilizacin de Herramientas de Control71% de las Instituciones utiliza o est en proceso de utilizar las principales herramientas de controlNo


RaRoC y Medidas de Riesgo Operacional71 % de las Instituciones encuestadas tienen o estn en proceso de tener un proceso de asignacin de capital econmico; de ellas, el 80 % tienen una metodologa de cuantificacin del riesgo operacionalNo29%59%12%No, actualmente en desarrolloS


Nivel de Satisfaccin de las Metodologas actualesEl nivel de satisfaccin de las instituciones acerca de las metodologas actuales de medicin de riesgo operacional no alcanza los niveles deseados


Tendencias FuturasAcumulacin de informacin interna de prdidasDedicar esfuerzos a la mejora de modelos de cuantificacin de riesgo y capitalOrientacin hacia el modelo basado en riesgos bottom-upFormacin continua para incrementar la conciencia de la viabilidad e importancia de la cuantificacinInvestigar modelo causa-efectoUtilizar los resultados en el modelo de evaluacin del desempeo y compensacin econmica




Herramientas de Control y Mejora del Riesgo OperacionalSon metodologas especficas o procedimientos que facilitan la identificacin, evaluacin, control y gestin del riesgo operacionalLas ms utilizadasAuto evaluaciones (self-assesments)Flujos de proceso y mapas de riesgoIndicadores de RiesgoEscalation triggersBase de datos de prdidas


Herramientas de Control: AutoevaluacionesLas autoevaluaciones son las herramientas que se consideran ms tiles en el control del Riesgo OperacionalFormas de llevar a cabo las autoevaluaciones:CuestionariosFormularios (Issue-oriented forms)WorkshopsEvaluaciones independientes


Herramientas de Control: Indicadores de RiesgoRecursos humanosContratacin temporalRotacinTiempo de permanenciaDesarrollo de direccin vs. planificadoVacaciones y ausenciasPresupuesto de formacin vs planificadoNegocioPuntuacin de auditoraExcepciones de auditoraObservaciones destacables de la auditoraQuejas de clientesSistemasDowntimeNmero de problemas de sistemasOperacionesPrdidas fsicasPrdidas contablesNmero de erroresCuentas nostro sin conciliarPrdidas de valuacinFallos de liquidacionesConfirmaciones vencidasUn-reconciled A/R & A/PAjustes de P&L


Herramientas de Control: Base de datos de prdidasResultados aplicables a medio/largo plazoRecogida de datos con objeto de:Llevar a cabo anlisis experimentalCuantificar el coste del riesgo operacionalEstablecer relaciones prdidas/factores de riesgoModelizar el capital por riesgo operacional


Herramientas de Control: TendenciasHerramientas integradasEnfoque en herramientas cuantitativas y afinamiento de las herramientas de prediccinBases de datos de errores estandarizadas y comprensiblesF/O dejar de ser un rea proveedora de informacin para utilizar tambin las herramientas de control




Enfoque de medicinEl enfoque estadstico/actuarial, utilizado por la industria de seguros para cuantificar tipos de riesgo similares, ofrece una validez terica y unos inventivos adecuados para el cambio de comportamiento.Evaluar todo el espectro de causas de riesgo operacionalpara cada unidad de negocio Incorporar toda medida tendente a evitar, paliar o transferir riesgosModeloestadsticoVaR OperacionalSuposicionesNivel de ConfianzaReflejar los puntos intrnsecos de cadaunidad de negocio yresponder al cambio


Qu es Op VaR (VaR Operacional)?VaR Operacional es la diferencia entre la prdida anual agregada, a un nivel de confiaza determinado, y la prdida esperada anual.


Comparativa de VaREl VaR es determinado sobre todo por riesgo de baja frecuencia y alta severidad. Por tanto,puede haber negocios con prdidas anuales altas pero con un VaR relativamente pequeo.ProbabilidadMedia AMedia BPercentil 99 BPercentil 99 ADistribucin de prdidas Unidad ADistribucin de prdidas Unidad BPrdida anual agregada ($)VaR AVaR B


Clculo de OpVaR Total OpVaR =RegulatorioLegalInterrupcin del NegocioImagenNegocio Coste de reemplazamientoOpVaR cuantifica el Valor en Riesgo Operacional utilizando dos procesos independientes:OpVaR por Prdidas directasOpVaR por Resultados FuturosOpVaRResultados Futuros OpVaRPrdidas Directas+


Clculo de OpVaREl enfoque estadstico se basa en la teora de que la historia se puede utilizar para medir el rango de exposiciones potenciales que cada negocio enfrenta OpVaR = f (Exposicin, Transferencias, Adaptacin, Calidad)Frecuencia de sucesosRelacionar el entorno de control de calidad con mejores prcticasAjuste por programas de inmunizacinSe aplica un ajuste que depende de las caractersticas del negocio, y su adaptacin a la generalidadSeveridad de la prdidaContrato de seguro

Chart1

0.99

0.3

0.1

0.04

0.02

0.01

Sheet1

012345

0.990.30.10.040.020.01

Sheet1

Sheet2

Sheet3


Datos Internos de PrdidasUn modelo avanzado requiere la existencia de una base de datos de prdidas, que recoja:Causa del errorDescripcin del eventoCantidad de la pdida reportadaCantidad recuperableCondiciones en que se produce la incidenciaDaImplicacin del personalResponsable de la Unidad de NegocioEl proceso de creacin de estas bases de datos genera adems a la Institucin beneficios desde el punto de vista de la cultura (conciencia de los costes del riesgo operacional) y la gestin de riesgos integral (mayor anlisis del origen de los riesgos).


Datos Externos de PrdidasPRDIDAS PEQUEAS - MUCHAS OBSERVACIONES INTERNASPRDIDAS MEDIAS - ALGUNAS OBSERVACIONES INTERNAS PRDIDAS GRANDES - POCAS OBSERVACIONES INTERNASTamao de la prdidaNmero de sucesosNecesidad de datos externosLos datos internos no contienen el rango completo de prdidas (especialmente los sucesos de las colas). Por ello es necesario complementarla con datos externos.


Base de Datos ExternaLa Base de datos de OpVaR actualmente contiene ms de 4.700 prdidas de ms de un milln de dlares. A U.S. phone company lost $211.5M after the regulators mandated that refunds be paid to customers following industry deregulation.*3712 datos pblicos de prdidas a 2/1/99 A Swedish bank lost $5M in punitive fines for violations of US banking regulations as a result of misreporting intercompany accounts.

A U.S. government department lost $500M when they discontinued implementation of a new computer system.A UK bank lost $1,330M due to unauthorized trading.The losses led to the banks collapse.


Tratamiento de Datos de Prdidas Operacionales $0$1$2$3$4$5$6$7$8$9$1002468101214161820Tamao de la prdidaValorValor estimado Tamao de la institucinLos datos de prdidas deben ser convertidos a la moneda del banco, ajustados a la inflacin, y adaptados al tamao de la entidad.


Matriz de Datos de Prdidas Los datos de prdidas son distribuidos en una matriz que se utiliza para calcular el perfil de riesgos de cada tipo de negocio.Matriz de datos de prdidas*Los parmetros estn expresados en ln para una mayor facilidad de aplicacin


SeveridadPara la distribucin de la severidad, se asume en principio distribucin log-normal (basado en los datos exixtentes). Para calcular la distribucin de severidad de cada celda (negocio/riesgo), es necesario saber la media y desviacin estndar de cada una de ellas.ProbabilidadProbabilidadTamao de la prdidaTamao de la prdida


FrecuenciaLa frecuencia se asume distribuida como una Poisson. La media para cada celda es calculada utilizando una media ponderada de datos internos y externosUnidad de negocio internaUnidad de negocio externaDatos financieros externosDatos completos externos

Frecuencia media ponderada (anual)Fraude

141234221216

3.2Procesode datos

11109312835

2.4Tecnologa

212146142327

5.2Actividadesno autorizadas

232134241123

3.1Prcticas de venta

21102211612

1.5Banca Comercial


Distribuciones individualesProbabilidadBanca ComercialFraudeDistribucin de frecuenciaBanca ComercialFraudeDistribucin de severidadTamao de la prdida ($)Nmero de eventosProbabilidadEl resultado es un conjunto de distribuciones de severidad y frecuencia para cada unidad de negocio y por categora de riesgo.

Chart1

0.99

0.3

0.1

0.04

0.02

0.01

Sheet1

012345

0.990.30.10.040.020.01

Sheet1

Sheet2

Sheet3


TransferenciasAlgunas prdidas estn cubiertas por contratos de seguro. Cuando existen estos contratos, la cobertura debe ser tenida en cuenta en las distribuciones de severidad. Prdida potencialProbabilidadBajoMedia$1billnPrdida potencialProbabilidadBajoMedio$50mSin InmunizacinCon Inmunizacin$1billn$50m$200m


Simulacin de Monte-CarloUtilizando tcnicas de simulacin de Monte-Carlo, se simulan prdidas para cada celda (negocio/categora de riesgo).

El resultado es una medida de VaR para cada linea de negocio y categora de riesgo, diversificada y no diversificada.Banca ComercialBanca CorporativaMercado de CapitalesGestin de Fondos

SumaTotal 5674468235

944567738712389

2241564065115

14589246345543388

1,8251,256Actividadesno autorizadasPrcticasde venta Fraude Total...............


Ajustes por Adaptacin y CalidadApproach

El rango de puntuacin es de +5 a -5 para tener en cuenta diferencias de negocio, riesgo pas, riesgo de nuevos negocios, etc.

ApproachEl rango de puntuacin es de 0-100 para tener en cuenta la calidad de los controles (e.g., autoevaluacin, auditora interna, indicadores de riesgo).

Se realizan ajustes de adaptacin y calidad para reflejar las diferencias posibles entre los datos internos y externos recopilados y el perfil de riesgo actual de la entidad.Ajuste por adaptacin

Es una puntuacin que refleja que algn tipo de exposicin puede ser ms relevante para el negocio analizado.

Ajuste por calidad

Es una puntuacin que refleja la calidad del proceso interno de control


OpVaR por Resultados FuturosOpVaR por resultados futuros (imagen e interrupcin de negocio) se estima mediante un enfoque basado en escenarios. EscenariosPrdida estimadaInterrupcin del negocio por fallos en sistemas

Artculo de prensa con acusaciones de prcticas fraudulentas

La competencia nos aventaje con la puesta en mercado de un nuevo producto

$13m

$27m

$15mTamao de la prdidaDistribucin de severidad...Probabilidad




ConclusinLos componentes se integran en un marco global de riesgo operacional.EstrategiaPolticas de riesgoProcesos de gestin de riesgosControlesEvaluacinMedicinInformesReduccin de RiesgosGestin de OperacionesCultura de la EntidadSe integra con el Riesgo de Mercado y de CrditoAlineado con los intereses de la entidad


ConclusinSituacin tradicionalConcienciaSeguimientoCuantificacinIntegracinEtapa 1Etapa 2Etapa 3Etapa 4Etapa 5Para arrancar una funcin de riesgo operacional, se pueden considerar cinco etapas de desarrollo.Cmo avanzar/crear culturaFormacincrear Inters/apoyoLigar con compensacinImpulso Alta Direccin

To illustrate the importance of operational risks, based on a database of operational risk events reported in the press collected by PwC, the industry incurred $7.5 billion of losses, and the graph indicates the trend is growing. And we know that this is only a fraction of what is incurred since most losses do not make the press

We asked people if they have a definition for operational risk. 49%have a single, positive definition used across the institution. This is in contrast to the negative definition frequently cited as operational risk is everything but market and credit risk. Some had multiple definitions developed in separate businesses, and about a third had not yet developed an internal definition

Upon review of the definition used, although each was different in both words and categories, in fact the underlying meaning was generally the same. After much discussion, we reached a consensus on a statement of operational risk which was a positive definition.we agreed that you cant manage what something isnt, only what it is. It is comprehensive in scope, flexible enough for each firm to tailor to its own needs, and specifically includes external events (which some popular definitions do not).

(read definition)

Direct losses refer to the out of pocket losses such as lawsuits and penalties. Indirect losses refer to damage to reputation, business interruption, or other less easily quantifyable impacts but that are nevertheless important. Internally, operational risk is centered around processes, people and technology. External events include exposure to disasters such as hurricane or fire, systemic risks, changes to regulation, and reliance on external vendors/parties

Starting last year, the British Bankers Associations, International Swaps and Derivatives Association, and Robert Morris Associates decided to jointly conduct a study of operational risk management in financial institutions, focusing on why this change took place, what are the current and leading practices, and what are the trends for the future. They contracted with PricewaterhouseCoopers to conduct the survey. This is an executive summary of the results. The full results is being published by the associations will be available from them in January

In addition to the organizers and PwC, 12 sponsor institutions actively contributed to the survey. They helped draft the questionnaire, were interviewed to understand the specifics of their practices, participated in workshops to review survey findings and reviewed and commented on drafts of the report.The study focused on these seven topics and there is a chapter in the report on each of them. This presentation contains select highlightsAnd when we asked firms what the benefits of their operational risk function was, the most frequently cited benefit was protection of shareholder value. Moving down the list we see awareness increased and losses reduced. A reduction in losses contributes directly to the bottom line, so we can safely say that the motivation is the protection AND improvement of shareholder value

In reviewing the organization approach, we can summarize the findings into three generic organization models:

1. A corporate risk function with dedicated staff at the corporate level, often with additional staff dedicated to the businesses2. A decentralized approach where each line of business does its own operational risk management as it wishes and finds justified3. Reliance on internal audit to perform this function. Before the introduction of operational risk specialists, this was the standard approach, with controls in the business and audit assuring they were in place. Some audit organizations have evolved to a more proactive role of consulting with the businesses and performing more daily monitoring.The corporate model is the emerging trend. There is a head of operational risk with a usually small staff, most often reporting to the chief risk officer. Business lines are responsible for risk management and may also have dedicated operational risk staff, working under a common framework with the head office function. Similarly, specialist units operate under a common framework. There will be an operational risk committee assuring resource allocation and maintaining awareness of major issues.

71 % use or plan to use all five tools. Self-assessment is the most common today . Loss data bases are the least common but the fastest growing. The message here is that all five tools are valuable, they complement each other, and work as an integrated toolset

Most institutions reported that they have an economic capital/RAROC process and 80% of those have a methodology to quantify operational risk

But as you can see from this chart, most are dissatisified with the results, indicating the early stage of developmentIn the future, there will continue to be investment in improving capital models. The industry is still at an early stage. We will see more hard data collected which can then be applied in bottom-up models and causal modeling to link cause to consequence. It is important to note that there is a fair amount of skepticism in senior management that operational risk can be quantified at all, and continued education and exposure is necessary to raise their level of confidence. Ultimately, the results can be linked to executive performance evaluation and compensation to reenforce the importance of attention to operational risk.

The study reviewed five toolsIndicators are commonly used, with the intent that these types of ratios can provide a warning of issues that need attention and could result in a problem/loss. They may be accompanied by escalation triggers which set a quality standard or point at which a more senior level of management is informed as to the problem

A loss event data base accumulates events and associated costs for each type of risk across the organization. It is valuable for three reasons:1. By accumulating the loss events and studying them, both individually and to see which repeat and why, we gain specific knowledge on control issues and can take corrective action.2. Only by accumulating these events can we understand the true cost of operational risk. Credit and market risk managers understand the costs of their risks, but today, most institutions cannot answer the question - What does operational risk cost the institution? Without this figure, we cannot set priorities, capture management attention and get the resources attack the issue.3. The loss data provides the ability to better model risk and capitala topic we will discuss in the next section.The future trends is that these tools will be integrated into a solutions set. The trend towards quantification will increase and more and more hard data will be collected to provide the facts to generate better risk models with true predictive power.

We also see a change in the role of front office. Analysis says that many operational risk issues originate in the front office, but today, they do not see themselves involved in operational risk management. As there is more transparency of risk and accountability assigned, they will be involved as a user, instead of just complying with information requests.

Presentacion de D. Marino Sanchez-Cid

Documents

Transcript of Presentacion de D. Marino Sanchez-Cid