Supervisión del Riesgo OperativoLa experiencia de la SBS Perú

Julio 2012Julio 2012Jorge Dominguez GallegosJorge Dominguez Gallegos

Agenda• Principales conceptos• Marco Normativo• Diagnóstico sectorial

– Gestión del riesgo operacional– Gestión de la continuidad del negocio– Gestión de la seguridad de la información– Base de datos de eventos de pérdida por riesgo operacional

• Requerimiento de Capital– Métodos– Proceso de autorización ASA

• Herramientas– Team Risk– Risk Manager– IG-Rop

Principales conceptos y definiciones

Definición de Riesgo

Entendiendo el riesgo como la incertidumbre de los que puede suceder

(-)Menor Riesgo

¿Dónde estaría este riesgo?

1.Entras corriendo a la terraza de un departamento del piso 20, que sabes que está congelada y no tiene baranda.

(+)Mayor Riesgo

Fuente: Presentación de ACME Consultora

5

Enfoque tradicional y moderno

El riesgo y el negocio financiero

Compras una oportunidad de lanzar una moneda a US$ 100

CARA: te pagan US$ 130

SELLO: te pagan US$ 20

Esperanza (E) = 30 * 0.5 + -80 * 0.5 = -25

Fuente: Presentación de ACME Consultora

Esperanza (E) = 30 * 0.5 + -10 * 0.5 = 10

En el negocio financiero

100

90

10

CARA: Pagan US$ 130 (+30)

SELLO: Pagan US$ 20 (-80)

Accionista gana US$ 30

Accionista sólo pierde US$ 10

Fuente: Presentación de ACME Consultora

Que hay de Nuevo en la Gestión de Riesgos:

Rs = F(V, A)Donde:

Rs = RiesgoV = VulnerabilidadA = Amenaza

Amenaza¿Qué tan amenazada está la empresa por hechos o situaciones que le puedan producir un daño?Entendiendo los factores de riesgo se puede conocer mejor las amenazas

Amenaza (A)

SE PUEDE UTILIZAR:

•KRI de los factores de riesgo por línea de negocio•Valor de las pérdidas•Nro. de incidentes frecuentes por sector

Posibilidad de que un evento se presente con una cierta intensidad, en un sitio especifico y dentro de un periodo de tiempo definido.

+

+

¿Qué tan vulnerable es una empresa según sus características?

A B

Considerando su estructura, la empresa A es más vulnerable que la empresa B, ante el mismo evento natural (por ejemplo un terremoto)

La gestión de riesgos funciona como un blindaje que hace a la empresa menos o más vulnerable ante eventos que la puedan impactar.

Vulnerabilidad

¿Qué tan vulnerable es una empresa?

La gestión de riesgos funciona como un blindaje que expone en menor medida a la empresa a posibles amenazas.

+

+-

Vulnerabilidad (V)

Rs = F(V, A)

Indicador de Riesgo (RS)El índice del riesgo operacional estaría en función de la Vulnerabilidad y Amenaza, y estas variables a su vez en 5 variables.

V = F(Q1, Q2, Q3) A = F(Q4, Q5)

Q1 Q3Q2

Q4 Q5

InRop

Indicador de Riesgo Operacional

Marco Normativo

Evolución de Regulación en Riesgo Operacional

2012

Modificación Norma de CapitalRes. SBS N° 3127-2012

Tecnología

Procesos internos

Personas

EventosExternos

Continuidad del Negocio

(Circ. G-139)

Seguridad Información

(Circ. G-140)

Gestión del Riesgo Operacional (Res. 2116-2009)

Patrimonio Efectivo por Riesgo Operacional Res. 2115-2009

Diagnóstico Sectorial

Gestión del riesgo operacional en los bancos del SFP

Gestión del riesgo operacional, evaluada en cada empresas supervisada a través de cada uno de los 8 componentes de la gestión integral de riesgos. Componente adicional, gestión de proyectos.

• “Información y comunicación”: componente más desarrollado (15 bancos en “Adecuado”)

• “Establecimiento de objetivos”: componente “Adecuado” en un número importante de bancos (9); sin embargo, con número relevante de empresas (4) con este componente “Insatisfactorio”

•“Ambiente interno”: componente que requiere un mayor esfuerzo por parte de los bancos.

Situación a diciembre de 2010

1

96 3 4

7

15

24

15

4

1114

12 10

2

15

3

1

4

1

10

25

20

15

10

5

0

5

10

15

20

25

Adecuado Necesita Mejora Insatisfactorio No se conoce

Componentes Evaluados

AmbienteInterno

Estab.Objetivos

ID.Riesgos

Evaluación de Riesgos

Tratamiento

Act. Control

Inf. Y Com.

MonitoreoGestión de Proyectos

N°E

mpre

sas

Gestión de la continuidad de negocios en los bancos del SFP

Situación a febrero de 2011

Gestión de la seguridad de la información en los bancos del SFP

Situación a febrero de 2011

Situación de base de datos de eventos de pérdida

Basado en cuestionario enviado a los 18 bancos del SFP

Antigüedad de información recolectada

El 89% de los bancos (16) aseguran contar con información completa y confiable con una antigüedad mayor a 2 años

Cinco bancos (28%) contarían con información confiable con una antigüedad igual o mayor a 4 años.

Pérdidas por Línea de Negocio

Requerimiento de Capital

Requerimiento de Capital

>=10.0%Capital Regulatorio

APRC + APRM + APROp

Capital regulatorio tiene por fin asegurar que bancos soporten importantes pérdidas sin causar una crisis bancaria que podría amenazar la integridad del sistema financiero

ImportanteEl APR por riesgo operacional deberá ser multiplicado por un factor según tabla

Periodo Factor de ajusteJulio de 2009 - Junio de 2011 0,40Julio de 2011 – Junio de 2012 0,50Julio de 2012 – En adelante 1,00

CAMBIOS PROPUESTOS A LA RES. 2115-2008

Tope del 25%El requerimiento patrimonial por riesgo operacional será como máximo el 25% de los requerimientos patrimoniales por riesgo de crédito y de mercado. Es decir, no tienen que reservar el capital que excede ese límite.

Nuevo Cronograma de Factor de AjusteEn la norma anterior, a partir de julio de 2012 tenían que cambiar el factor de ajuste de 0.5 a 1. Propuesta:

•De julio 2012 a junio 2013: Factor de ajuste = 0.6•De julio 2013 a junio 2014: Factor de ajuste = 0.8•De julio 2014 en adelante: Factor de ajuste = 1

Sensibilidad al riesgo

Facilidad para Implementar

Método del Indicador Básico

Método Estándar y Estándar Alternativo

Método Avanzado

El regulador puede crear incentivos para que, con el fin que el requerimiento de capital sea más sensible al riesgo, las empresas tiendan hacia el método avanzado

ENFOQUESCAPITAL RIESGO OPERACIONAL

A Octubre 2011, el patrimonio requerido por riesgo operacional supera los S/. 800 millones en el sistema financiero. El requerimiento se constituye de manera

progresiva

Res. SBS N° 2115-2009 Requerimiento de patrimonio efectivo por riesgo operacional

Inicio de Vigencia de Res. 2115

Dic. 2010 6 bancos y 1 financiera enMétodo Estándar

Dic. 2011 7 bancos y 1 financiera enMétodo Estándar

Julio

200

9

Julio

201

0

Abril

200

9

Julio

201

1

Julio

201

2

0.4 0.4 0.5

Nuevo cronograma de factor de ajuste

Factor de ajuste

Empresa manifiesta interés y remite autoevaluación

Empresa prepara solicitud de autorización: -Declaración de cumplimiento-Informe de Cumplimiento

ACTIVIDADES PREVIASACTIVIDADES PREVIAS PROCESO FORMALPROCESO FORMAL

SBS evalúa información remitida por empresa

Reunión para informar de resultados de evaluación

Empresa inicia proceso de

mejora

SBS recibe solicitud de autorización

Se realiza la evaluación:- Reuniones de trabajo- Validación en Línea de Negoc- Solicitud de información complementaria

SBS emite Resolución con resultado

Autorizando Denegando

Indefinida

Con plazo definido(Oficio con acciones Requeridas)

ACCIONES COMPLEMENTARIAS

ACCIONES COMPLEMENTARIAS

Evaluaciones periódicas para evaluar situación de acciones

requeridas

Autorización de Método Estándar Alternativo

REQUISITOS PARA METODO ASAREQUISITOS PARA METODO ASA

R1: Participación activa del Directorio y la Gerencia General.R2: Función de gestión del riesgo operacional.R3: Programa de capacitación profesional.R4: Metodología para la gestión del riesgo operacional.R5: Recursos suficientes.R6: Reportes periódicos sobre exposición al riesgo operacional.R7: Procedimientos para asegurar cumplimiento.R8: Incentivos a la apropiada gestión del riesgo operacional.R9: Base de datos de eventos de pérdida por riesgo operacional.R10: Gestión de la continuidad del negocio.R11: Gestión de la seguridad de la información.R12: Revisión periódica independiente por Auditoría Interna.R13: Revisión periódica de una Sociedad de Auditoría Externa.

EVALUACION ADICIONAL EN CONTINUIDAD DEL NEGOCIO

EVALUACION ADICIONAL EN CONTINUIDAD DEL NEGOCIO

EVALUACION ADICIONAL EN SEGURIDAD DE LA INFORMACION

EVALUACION ADICIONAL EN SEGURIDAD DE LA INFORMACION

Políticas y organización para GCN

Análisis de impacto y evaluación

Plan de gestión de crisis

Planes de continuidad

Planes de emergencia

Plan de recuperación de servicios

Pruebas de continuidad del negocio

Políticas y organización para GSI

Gestión de activos

Seguridad de personal

Seguridad lógica

Seguridad física y ambiental

Seguridad de operaciones y comunicación

Seguridad en el desarrollo

Gestión de incidentes.

Aspectos evaluados en autorización ASA

Herramientas de Supervisión

Objetivos de EvaluaciónAspectos a Evaluar

1. Ambiente interno2. Establecimiento de objetivos3. Identificación de riesgos4. Evaluación de riesgos5. Tratamiento6. Actividades de control7. Información y comunicación8. Monitoreo9. Gestión de proyectos

Se evalúa según

Calidad (X)Cerca mejor práctica 1Adecuado 2Necesita Mejora 3Insatisfactorio 5No se conoce 6

Importancia (Y)Poco Importante 1ImportanteMuy Importante

23

Req. de Acción Supervisora = F (X, Y)

3 13.96 16.60 18.37 20.87 21.85 2 12.61 15.00 16.60 18.86 19.74 1 10.61 12.61 13.96 15.85 16.60

1 2 3 4 5 X

Y

(De 15.1 a 17 )

Consolidando Puntuaciones

Conocimiento de la Empresa

Por cada Objetivo

OBJETIVO 11. Participación del Directorio2. Participación de la Gerencia...OBJETIVO 2...

Acciones Supervisoras

Team Risk

Formula de PuntuaciónPermite determinar una medida de criticidad, la que se utiliza para priorizar los proyectos necesarios para el cumplimiento de los objetivos previamente definidos.

Sci

Ci

Enfoque Exigente

Enfoque Moderado

Enfoque Flexible

RANGOS

LímiteMayor

LímiteMenor

Bajo Medio Alto

Posibles Resultados de S

Sci

Ii

Score (C) = α (p . Ci )^ (1/α)

Score(I) = β [(1-p) . Ii] ^ (1/β)

Bajo un Enfoque Exigente

Score = (α.β) . (p. C)^ (1 / prom(α, β)) . [(1-p).I] ^ (1 / prom(α, β))

Nri,Gi

Gráfico N° 2

α ó β = 4

α ó β = 3

α ó β = 2

RS(Nri),

RS(Gi)

Fórmula de Puntuación Utilizada

Score = f (C, I)

(Ver Detalle)

Flexible

SExigente Moderado

C,I

C,I

S(C)S(I)

Modelo de Implementación Team Risk

Clasificación de empresas

33

Aplicación web utilizada desde el 2007 para el envío del

informe anual de gestión de riesgo operacional. Se está

realizando la actualización de la información requerida.

Contenido

Inicio de operación : Marzo 2012Se comunicará en forma previa mediante un oficio

Informe de Gestión por WEB

34

Líneas de negocio y tipo de producto

35

ASPECTOS DE EVALUACION

Aspecto Evaluar 1Aspecto Evaluar 2

.

.

.Aspecto Evaluar N

AUTOEVALUACION 1Cada pregunta se asocia a uno o más aspectos a evaluar

Criterio1Criterio2Criterio N

AUTOEVALUACION 2

Criterio1Criterio2Criterio N

WORKFLOW

Evaluador realiza acción y actualiza

respuesta

Coordinador define acción y

monitorea Reportes de Gestión

•Situación de empresa y sector•Monitoreo del Workflow

Risk Manager

Reportes de Gestión por Empresa

Objetivo: Obtener información para evaluar fuentes de pérdidas por riesgo operacional, mejorar las competencias de los sistemas supervisados para gestionar este riesgo y facilitar el desarrollo de modelos avanzados

Proyecto: Central de eventos de pérdida: CPRO

FuncionaFuncionaFuncionaFunciona

Nivel de preparación de las empresasNivel de preparación de las empresasante un evento de contingenciaante un evento de contingencia

Nivel de preparación de las empresasNivel de preparación de las empresasante un evento de contingenciaante un evento de contingencia

A nivel individualA nivel individualA nivel individualA nivel individual A nivel sectorialA nivel sectorialA nivel sectorialA nivel sectorial

Sólo empresassupervisadas

Empresassupervisadas y otros como: BCR, MEF, Telcos, otros

Verificado mediante supervisión

Verificado medianteejercicios sectoriales

Los ejercicios sectoriales son el único medio para conocer el nivel de preparaciónLos ejercicios sectoriales son el único medio para conocer el nivel de preparaciónde los sistemas supervisados ante eventos de contingencia de gran impactode los sistemas supervisados ante eventos de contingencia de gran impacto

????

Ejercicios sectoriales de continuidad de negocios (en estudio)

GRACIAS