gestión del riesgo operacional - erudias · definición incluye el riesgo legal, pero excluye el...

Gestión del Riesgo Operacional - Experiencia del Perú -

Septiembre 2013

Claudia Cánepa Silva MBA PMP Supervisor Principal de Riesgo Operacional Superintendencia de Banca, Seguros y AFP

Agenda

Organización para la supervisión del riesgo operacional

Marco normativo: evolución y principales normas

Principales proyectos en curso

La SBS y la estructura organizativa para la supervisión del riesgo operacional

Superintendencia Adjunta de

Riesgos

Superintendencia Adjunta de Banca y Microfinanzas

Superintendencia Adjunta de AFP y

Seguros

Superintendente de Banca, Seguros y AFP

Departamento de Supervisión de

Riesgo Operacional

Supervisión del Riesgo Operacional

Continuidad de negocios

Seguridad de la información

Agenda



Evolución de las normas

Reglamento para la gestión del riesgo operacional

Reglamento para el cálculo de requerimiento de capital por RO


Normativa: evolución y normas vigentes

2002

2008 2009

2012

2013 Primeras normas

• Reglamento para la administración del riesgo operativo

• Riesgos de tecnología de información

Reglamento de la

Gestión Integral de

Riesgos

Res. SBSN° 37-2008

Emisión de nuevas normas:

• Reglamento para el Requerimiento de Patrimonio Efectivo por R. Operacional

• Reglamento para la Gestión del Riesgo Operacional

• Circular sobre Gestión de la Continuidad del Negocio

• Circular sobre Gestión de la Seguridad de la Información

Emisión de norma

específicas

• Reporte de evento de interrupción significativa

• Informe de riesgos de nuevos productos y cambios importantes

Normas en proceso de

emisión

• Indicadores clave de riesgo de CN, NV, SI, BM y BC

• Captura de Eventos de Pérdida por RO

Basilea II

(2004)

Agenda








Definición: Posibilidad de ocurrencia de pérdidas debido a procesos inadecuados, fallas del personal, de la tecnología de información, o eventos externos. Esta

definición incluye el riesgo legal, pero excluye el riesgo estratégico y de reputación.

• Fraude Interno

• Fraude Externo

• Relaciones laborales y seguridad en el puesto de trabajo

• Clientes, productos y practicas empresariales

• Daños a activos materiales

• Interrupción en el negocio y fallos en el sistema

• Ejecución, entrega y gestión de procesos

• Finanzas Corporativas

• Negociación y Ventas

• Banca Minorista

• Banca Comercial

• Liquidación y pagos

• Otros servicios

Tipos de Evento (N1) Líneas de Negocio (N1)

Norma de Gestión del Riesgo Operacional: Principales aspectos requeridos

Nuevos productos y cambios importantes

Subcontratación Procesos y unidades de

negocio y apoyo

In

form

ació

n y

C

om

un

icació

n

Identificación

Tratamiento

Mo

nit

oreo

Evaluación

Ambiente interno

Ambiente Interno

Estructura Organizativa

• Área especializada

• Independencia respecto a otras áreas

• Personal suficiente

• Coordinadores de RO en áreas de negocio/apoyo

• Comité de Gestión de Riesgos y/o específico (RO)

Cultura de gestión de riesgos

• Políticas establecidas y aprobadas por el Directorio

• Implementación de políticas por la Gerencia

• Capacitación continua (especializada y general)

• Sistema de incentivos asociados al desempeño.

Apetito Tolerancia +

• Establecimiento de apetito y tolerancia al riesgo

Identificación y evaluación de riesgos (i)

Principales Herramientas Medición de la exposición

• Análisis cuali-cuantitativo de la frecuencia e impacto asociado a cada riesgo

• Autoevaluaciones

• Base de datos de eventos de pérdida (BDEP)

• Evaluación de efectividad de

controles

Fre

cu

en

cy

• Variables con rangos numéricos asociados

• Estimaciones toman en cuenta información de la BDEP

• No se debe considerar “zona fantasma” de la matriz de riesgo

Evaluación de controles

• Se deben evaluar los riesgos asociados a subcontratación

Identificación y evaluación de riesgos (ii)

Recolección de Eventos de Pérdida

• Políticas y procedimientos de captura, validación, registro y reporte de esta información

• Código y descripción • Tipo de evento de pérdida • Líneas de negocio • Monto bruto • Moneda • Recuperación • Cuenta contable asociada • Fechas: descubrimiento,

ocurrencia y registro contable

• Umbrales de captura de eventos (aprox. US$ 1000) y mantenimiento de expediente

• Entrenamiento de las personas que participan del proceso

• Información mínima

• Criterios para la asignación de eventos multilínea

Tratamiento de riesgos

Estrategias Planes de acción y seguimiento Estrategias mitigar y transferir

• Evitar

• Aceptar

• Transferir

• Mitigar

• Aprobación de planes por parte de las Gerencias responsables

• Establecimiento de responsables y fechas propuestas de implementación

• Seguimiento periódico

• Reporte de excepciones en la implementación, cuando menos, al Comité de Riesgos y Gerencia General

• Directorio

• Comité de Riesgos

• Comité de RO (si hubiera)

• Gerencia General

• Áreas de Negocio/Apoyo

Información y comunicación

Reporte al interior de la empresa

Se deben definir niveles y frecuencia

Reporte a la SBS

Informe de Gestión de Riesgo Operacional (IGROp), una vez al año

Monitoreo de riesgos

Monitoreo del área especializada

• Autoevaluaciones periódicas

Auditoría Interna

Auditoría Externa

Debe evaluar el cumplimiento del Reglamento

Debe indicar si se cuenta con políticas para la gestión del riesgo, en su informe sobre sistema de control interno

• Evaluación de nuevos productos y cambios importantes

• Seguimiento a la implementación de planes de acción

• Base de datos de eventos de pérdida

• KRI (si los hubiera)

Revisión de la SBS

Revisión periódica del cumplimiento de las normas referidas a la gestión del riesgo operacional

Subcontratación

Políticas y procedimientos

• Proceso de selección del proveedor

del servicio

• Elaboración del acuerdo de subcontratación

• Gestión de riesgos asociados a la subcontratación

• Implementación de entorno de control efectivo

• Establecimiento de planes de continuidad

• Acuerdos de subcontratación:

• Formalizados mediante contrato • Deben incluir acuerdos de niveles de

servicios • Definir claramente responsabilidades

del proveedor y de la empresa

Agenda







Requerimiento Patrimonial por RO (Res. SBS N°2115-2009)

Métodos Avanzados (AMA) Sistema interno de medición de RO

Método Estándar Alternativo (ASA) Basado en indicadores de exposición por LN

Método del Indicador Básico Basado en margen operacional bruto

• Sensibilidad al

riesgo

• Complejidad

• Costo de

implementación

Requieren autorización SBS

• Las autorizaciones pueden ser por plazo definido o indefinido

• Se puede otorgar autorización parcial para emplear métodos AMA

Requerimiento Patrimonial por RO Método Estándar Alternativo (i)

Expectativa

• Sólida gestión integrada en la cultura de la empresa

Principal criterio

• “Prueba de uso”

Cálculo

• Forma de cálculo y mapeo de

cuentas contables x LN regulada

Proceso

• Riguroso proceso de evaluación

• Verificación de 24 requisitos

Situación actual

• Nueve empresas

autorizadas

• 88% del total de activos del sector financiero (aprox. US$ 80 mil millones)

Importante mejora en la gestión del riesgo

operacional desde que se requiere capital

Requerimiento Patrimonial por RO Método Estándar Alternativo (ii)

Requisitos

R1: Participación activa del Directorio y Gerencia

R2: Función de gestión del riesgo operacional

R3: Programa de capacitación profesional

R4: Metodología para la gestión del RO

R5: Recursos suficientes

R6: Reportes periódicos sobre exposición al RO

R7: Procedimientos para asegurar cumplimiento

R8: Incentivos a la apropiada gestión del RO

R9: Base de datos de eventos de pérdida por RO

R10: Gestión de la continuidad del negocio

R11: Gestión de la seguridad de la información

R12: Revisión periódica independiente por AI

R13: Revisión periódica de una Sociedad de AE

• Función a dedicación exclusiva

• Uso de KRIs

• Soporte informático para la gestión

• Soporte informático para la gestión • Conciliación contable

• Revisión del cumplimiento de 13 requisitos

• Revisión cada tres años

• Deben ser monetarios • Deben incluir al nivel gerencial

Requerimiento Patrimonial por RO Métodos Avanzados (AMA)

R1: Unidad especializada para la gestión del RO

R2: Sistema de medición integrado a la gestión

R3: Reportes periódicos sobre exposición al RO

R4: Procedimientos para asegurar cumplimiento

R5: Revisión del sistema de medición por AI y AE

R6: Revisión de AE sobre validación y flujo de datos

R7: No objeción del supervisor de casa matriz

R8: Demostrar solidez del modelo

R9: Criterios detallados

R10: Criterios sobre datos internos

R11: Uso de datos de pérdida externos

R12: Análisis de escenarios para evaluar exposición

R13: Capturar factores del entorno y control interno

Requisitos

Cu

alit

ativ

os

Cu

anti

tati

vos

Requerimiento Patrimonial por RO Métodos AMA: Criterios Cuantitativos

R10. Datos internos

• Recopilar y analizar datos internos

• Procedimientos sobre el uso de datos

históricos

• Medición RO basada en el uso de 5

años de datos internos de pérdidas

como mínimo

R11. Datos externos

R12. Análisis de escenarios

R13. Factores de negocio y CI

• SM debe incluir información cualitativa y

cuantitativa de pérdidas externas

• Proceso sistemático para su ajuste antes

de su uso

• Práctica revisada anualmente

• Basada en opinión de expertos para

evaluar exposición a pérdidas severas

• Para evaluar supuestos de correlación

• Deben ser validados con experiencia real

para evaluar su razonabilidad

• Selección justificada por su influencia en

exposición

• Estimaciones deben ser sensibles ante

variación en los factores

• Metodología documentada

• Proceso validado contra la ocurrencia de

pérdidas reales

Agenda




Taxonomía

Central de pérdidas por riesgo operacional

Regulación de indicadores clave de riesgo

Taxonomía de procesos y productos

Líneas

de negocio

Procesos

de soporte

Finanzas

corporativas

Banca

minorista

Banca

comercial

Negociación y

ventas

Pago y

liquidaciones

Otros

servicios

Gestión de

riesgos

Gestión

de TI

Gestión del

cumplimiento

Gestión de

activos físicos

Gestión de

proveedores

Gestión

de RRHH

Auditoría

Interna

Gestión

financiera

y contable

Gestión de

proyectos

Gestión

legal

Gobierno corporativo

Seis líneas de negocio y diez procesos de soporte Líneas de negocio alineadas a Basilea y norma de RO

Taxonomía de procesos y productos (Ejemplo: Banca Minorista)

Banca

minorista

Línea

de negocio

Crédito

hipotecario

Depósito

minorista

Tipo de

producto N1

Tipo de

producto N2

Tarjetas de crédito

Crédito revolvente con garantía hipotecaria

Convenios

Otros créditos

Crédito consumo

revolvente

Crédito consumo

no revolvente

Crédito

microempresa

Crédito

pequeña empresa

Préstamos

MiVivienda

Otros créditos hipotecarios

Taxonomía de procesos

Departamento de Supervisión de Riesgo Operacional

Finanzas corporativas

Desarrollo,

diseño y

mantto.

de

productos y

servicios

Promoción de

productos y

servicios

Venta y

establecimiento

de acuerdos

para desarrollar

negocios

Captura y

documentación

de las

transacciones

Entrega de

productos y

servicios

Desarrollo de

condiciones

y actividades

de cierre

Registro

contable

de las

transacciones

Mantto. de la

relación

con los

clientes

Banca minorista

Banca comercial

Negociación y ventas

Pago y liquidaciones

Otros servicios

Cadena de valor

Son 8 los macroprocesos que cruzan los productos, a nivel 1 y nivel 2, de las diferentes líneas de negocio

Central de Pérdidas por Riesgo Operacional (CPRO)

Objetivo: Obtener información para evaluar fuentes de pérdidas por riesgo operacional, mejorar las competencias de los sistemas supervisados para gestionar este riesgo y facilitar el desarrollo de modelos avanzados

Indicadores Clave de Riesgo (KRIs)

Objetivos

• Monitorear los

principales riesgos

de tipo operacional

• Proveer conjunto de

indicadores que pueda

ser usas por las

empresas

Proceso

Resultados

• Entendimiento de las actividades de las

empresas: Taxonomía de LN, productos y

procesos

• Selección de actividades significativas

• Definición / selección de KRIs

• Elaboración de norma

• Normas de indicadores clave de riesgo operacional:

• Para las actividades de negociación y venta (prepublicación)

• Para las actividades de BM y BC (rev)

• Para la gestión de la continuidad del negocio (rev)

• Para la gestión de la seguridad de la información (rev)

GRACIAS

Claudia Cánepa Silva [email protected] [email protected]

gestión del riesgo operacional - erudias · definición incluye el riesgo legal, pero excluye el...

Documents