10 CONGRESO INTERNACIONAL DE TECNOLOGIA PARA EL NEGOCIO FINANCIERO. Junio

Transcripción

1 10 CONGRESO INTERNACIONAL DE TECNOLOGIA PARA EL NEGOCIO FINANCIERO Junio

2 IMPLEMENTACION MENTACION DE UN SISTEMA DE GESTIÓN DE RIESGO OPERACIONAL 2

3 Riesgo Operativo - agenda 1. Introducción. Basilea II/BCRA. 2. Políticas. 3. Estructuras. 4. Sistemas 5. Administracion del RO 6. Capacitaciones RO 7. Sistema RO en BP 8. Proximos pasos. Integración riesgo de TI. 3

4 BCRA- Basilea II En Diciembre de 2006 el BCRA da a conocer una hoja de ruta para implementar gradualmente Basilea II. Implementación completa a partir de enero de

5 BCRA- Basilea II - (cont.) Riesgo operacional: Exigencia de Capital : el BCRA considera conveniente seguir analizando entre las alternativas disponibles para su medición en orden a identificar la que mejor se aplica al sistema financiero local. no obstante lo cual, propiciará la adopción de buenas prácticas en materia de administración de este riesgo. 5

6 BCRA- hoja de ruta Basilea II (cont) Avances hoja de ruta: Adopción de buenas prácticas. Normativa de Riesgo Operacional: A 4793 (abril 2008) A 4904 (enero 2009) y complementarias. 6

7 BCRA Riesgo Operacional Com. A 4793 (abril 2008): Las Entidades Financieras deberán implementar un sistema para gestionar el riesgo operacional..como una disciplina integral y separada de los restantes riesgos el cual deberá ser proporcional a las dimensiones de la Entidad y a la complejidad de sus operatorias. 7

8 Com A 4793 Riesgo Operacional Definición: Riesgo de pérdida resultante de la inadecuación o fallas de los procesos internos, de la actuación del personal y o de los sistemas internos o bien aquellas que sean producto de eventos externos. Esta definición incluye el riesgo legal pero excluye el riesgo estratégico y reputacional. 8

9 Comunicación A 4793 Detalla los eventos de pérdidas y líneas de negocio. Enumera las responsabilidades del Directorio y la alta gerencia de las entidades. Elementos que deben contener las políticas sobre la materia. Define en forma general las etapas de un proceso de gestión de riesgo operacional (identificación y evaluación, seguimiento y control/mitigación del riesgo operacional). 9

10 Eventos de Riesgos Operacional Fraude interno Fraude Externo Externo Prácticas laborales inadecuadas Práct. Inad. con clientes, productos y servicios Daño a los Activos Físicos Fallas en los sistemas Fallas en los procesos 10

11 Com A 4793 Cronograma Desde el al : aprobación por parte del Directorio de los lineamientos generales (políticas y estrategias). Desde el hasta el : claramente definidas y documentadas las procesos, procedimientos y estructuras Implementación plena: Procesos críticos Procesos no críticos. 11

12 Comunicación A 4904 y complement. Base de datos de pérdidas operativas obligatoria a partir del , a informar al BCRA a partir del Se debe informar: Carácter del evento. Pérdidas ocurridas individuales. Pérdidas ocurridas repetitivas. Pérdidas previsionadas contablemente. Recuperos. Desafectación de previsiones. Cuasi-pérdidas en los casos que corresponda. Descripción de la perdida: tipo de riesgo Fechas 12

13 Riesgo Operativo - agenda 1. Introducción. Basilea II/BCRA. 2. Políticas. 3. Estructuras. 4. Sistemas 5. Administracion del RO 6. Capacitaciones RO 7. Sistema RO en BP 8. Proximos pasos. Integración riesgo de TI. 13

14 Riesgo Operacional-Polìtica Cómo empezamos? En junio/08, el Directorio creó un grupo de trabajo multidisplinario integrado por representantes de auditoría, sistemas, organización y procesos, riesgo operacional, régimen informativo y contabilidad. 14

15 Premisas Básicas Rol de la Unidad de riesgo operacional: análisis/ asistencia para confeccionar autoevaluaciones. No compiladores de datos. No a la utilización de planillas de cálculo. Automatizar la captura de pérdidas. Facilitar la tarea de autoevaluación de riesgos. Necesidad de contar con un sistema para administrar las autoevaluaciones de riesgo y base de datos. Modelo propio. 15

16 Riesgo Operacional - Política Aprobada por el Directorio el Aspectos comprendidos Principales definiciones. (RO, fuentes de RO, Eventos) Roles y Responsabilidades Directorio Comité de Riesgo Operacional. Define integrantes. Gerencia de RO. Gerencias o areas responsables de la gestión del riesgo. 16

17 Riesgo Operacional Política (cont.) Metodología para identificar/ evaluar/monitorear y mitigar el RO. Niveles de tolerancia al riesgo. Herramientas a utilizar. Mapa de procesos/subprocesos Matrices de riesgos y controles. Indicadores de riesgo Planes de acción. Base de datos de pérdidas. 17

18 Riesgo Operativo - agenda 1. Introducción. Basilea II/BCRA. 2. Políticas. 3. Estructuras. 4. Sistemas 5. Administracion del RO 6. Capacitaciones RO 7. Sistema RO en BP 8. Proximos pasos. Integración riesgo de TI. 18

19 Riesgo Operacional Estructura Creación de la Gerencia de Gestión del RO y CN (01/07/08). Unidad de Riesgo Operacional : 5 personas (octubre/noviembre 08). Creación del Comité de RO- 04/12/08. 19

20 Riesgo Operativo - agenda 1. Introducción. Basilea II/BCRA. 2. Políticas. 3. Estructuras. 4. Sistemas 5. Administracion del RO 6. Capacitaciones RO 7. Sistema RO en BP 8. Proximos pasos. Integración riesgo de TI. 20

21 Riesgo Operacional - Sistemas En sept/08 se adquirió un sistema a la firma Cor Consulting que se desarrolló en conjunto. Modulos: Mapas de procesos/subprocesos y actividades Autoevaluaciones de riesgos y mitigantes/ planes de acción indicadores de riesgo. Registro de Eventos de pérdidas. Reportes 21

22 Riesgo Operativo - agenda 1. Introducción. Basilea II/BCRA. 2. Políticas. 3. Estructuras. 4. Sistemas 5. Administracion del RO 6. Capacitaciones RO 7. Sistema RO en BP 8. Proximos pasos. Integración riesgo de TI. 22

23 Riesgo Operacional - Administración Por que es necesario administrar el RO? Eventos de baja frecuencia y alto impacto juegan un rol importante.

24 Riesgo Operacional - Administración Identificar Medir Mitigar Monitorear Autoevaluaciones de riesgo Recolección De Pérdidas Planes de Acción Indicadores 24

25 RO - Identificación y análisis Los riesgos operacionales están asociados a la ejecución de los procesos del Banco: Metodología Mapa de procesos- subprocesos y actividades Definición de responsables: referentes de RO Autoevaluación de riesgos y controles. Resultado Mapa de Riesgos y Exposiciones al Riesgo. 25

26 Mapa de procesos/subprocesos/actividades Cómo se armó? Se tomó en cuenta la documentación de los procesos (normativa interna, relevamientos de auditoría interna) o bien se realizaron relevamientos específicos. En Banco Patagonia el mapa lo armó RO y tenemos: 57 procesos + de 500 subprocesos + de actividades 26

27 Mapa de procesos Cantidad % Total de procesos % Críticos 35 61% No críticos 22 39% 27

28 Mapa de procesos - Ejemplo Proceso Subproceso Actividades Caja de ahorro Apertura de cuentas Integración de formularios Recepción y análisis de la documentación Alta de la persona y cliente en el sistema. Depósitos 28

29 Autoevaluaciones de riesgo Siguiente paso: identificación del riesgo Para poder identificar los mitigantes que pueden minimizar o evitar la ocurrencia de esos riesgos. Para poder identificar los controles apropiados o puntos en que es necesario incrementar los controles. 29

30 Autoevaluación identificación del riesgo Qué puede pasar? Dónde? Cuándo? Para cada actividad se determinan el o los riesgos 30

31 Autoevaluación Ejemplos Proceso: Caja de ahorro Subproceso: Apertura de cuenta Actividades Analisis de la documentación recibida del cliente Riesgos Documentación falsa. Documentación incompleta Alta de persona y cliente en el sistema Errores en el ingreso de datos al sistema 31

32 Autoevaluación análisis del riesgo Frecuencia estimada Probabilidad o conocida de ocurrencia del riesgo. Resultado que el Impacto riesgo podría ocasionar 32

33 Análisis de riesgo Medidas de probabilidad Nivel Denominacion descripción 100% Casi certeza (5) Ocurre muchas veces al año 75% Probable (4) 1vez cada 3-12 meses 50% Posible (3) 1 vez cada 1-2 años 25% Improbable (2) 1 vez cada 2-5 años 10% Raro (1) 1 vez cada 5 o + años 33

34 Analisis de riesgo Medidas de impacto Nivel Denominacion descripción 1 Insignificante Baja pérdida financiera (Menos de $10.000) 2 Bajo Perdida financiera media ($ $30.000) 3 Moderado Perdida financiera alta ($ $ ) 4 Alto Perdida financiera mayor($ ) 5 Critico Enorme Perdida financiera (+ de$ ) 34

35 Evaluación del riesgo Se combinan las mediciones de probabilidad e impacto y se determina el riesgo inherente : E Riesgo Extremo A M B Riesgo Alto Riesgo Moderado Riesgo Bajo 35

36 Determinación del Riesgo Inherente Probabilidad Casi certeza 5 Probable 4 IMPACTO Posible 3 Improbable 2 Raro 1 36

37 Determinación del riesgo residual Por cada riesgo determinado se identifican y evaluan los controles (escala de 1 a 5). Se describen y se analizan si son eficientes y si en la práctica se aplican. Riesgo residual = Riesgo inherente controles 37

38 Determinación del Riesgo Residual P R O B A B I L I D A D RR IMPACTO RI 38

39 Nivel de tolerancia al riesgo - mitigación Riesgo Bajo Aceptación del riesgo Riesgo Moderado Requiere plan de acción Riesgo alto Requiere plan de acciónprioridad alta Indicador de riesgo Riesgo Extremo Requiere plan de acción máxima prioridad Indicador de riesgo 39

40 Plan de acción Medida correctiva para aquellas actividades cuyo riesgo residual exceda los niveles de tolerancia admitidos. Descripción de las acciones a tomar (nuevos procedimientos, sistemas, nuevos controles, etc), fechas de implementación. Resultados esperados (disminución del riesgo estimada). 40

41 Determinación del Riesgo Residual con plan de acción P R O B A B I L I D A D RRN/CP RR RI IMPACTO 41

42 Riesgo Operacional - Administración Identificar Medir Mitigar Monitorear Autoevaluaciones de riesgo Recolección De Pérdidas Planes de Acción Indicadores 42

43 Medición Base de datos de pérdidas Objetivos: Entender el riesgo operacional sobre la base de la experiencia. Facilitar el establecimiento de medidas correctivas. Información de gestión para el Directorio y las áreas. Constituir la base para la estimación del capital por riesgo operacional (Métodos avanzados de Basilea II). 43

44 Medición del RO en Banco Patagonia Procedimiento para la registración de pérdidas operacionales (con vigencia a partir del ) Captura automática de pérdidas. Según apertura de cuentas por tipo de evento. Captura manual: Solo para las pérdidas que no se capturen en forma automática o no identificadas con anterioridad. 44

45 Mapa de riesgos por línea de negocio LINEA DE NEGOCIOS TIPO DE EVENTO ADM DE ACTIVOS BANCA COMERCIAL BANCA MINORISTA FINAN. CORP. INTER. MIN. NEG.Y VTAS PAGO Y LIQUID SERV DE AGENCIA TOTAL FRAUDE INTERNO ,00 FRAUDE EXTERNO ,00 RELACIONES LABORALES Y SEGURIDAD EN EL PUESTO DE TRABAJO PRACTICAS CON LOS CLIENTES, PRODUCTOS Y SERVICIOS , ,00 DAÑOS A ACTIVOS FISICOS INCIDENCIAS EN EL NEGOCIO Y FALLAS TECNOLOGICAS EJECUCION, GESTION Y FINALIZACION DE PROCESOS , , ,00 TOTAL 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 45

46 Riesgo Operativo - agenda 1. Introducción. Basilea II/BCRA. 2. Políticas. 3.Estructuras. 4. Sistemas 5. Administracion del RO 6. Capacitaciones RO 7.Sistema RO en BP 8. Proximos pasos. Integración riesgo de TI. 46

47 Riesgo Operativo - capacitación Responsables designados autoevaluación de riesgo Riesgo Operacional RO Responsable / Dueño Rechazos RO Referente Autoevaluación Plan de Acción Indicador de Riesgo RO Supervisor / Responsable

48 Capacitación Supervisores Aspectos a considerar Perdidas ocurridas. Historia. Nuevos productos o procesos, nuevos riesgos. Aspectos relevados por la auditoría/bcra. En las tareas manuales siempre hay riesgos. Conocimiento de casos de otras entidades del sistema financiero. Opinión de expertos, estimaciones.

49 Riesgo Operativo - agenda 1. Introducción. Basilea II/BCRA. 2. Políticas. 3.Estructuras. 4. Sistemas 5. Administracion del RO 6. Capacitaciones RO 7.Sistema RO en BP 8. Proximos pasos. Integración riesgo de TI. 49

50

51 Riesgo Operacional - sistema 1 PASO : Revisar Mapa PROCESOS SUBPROCESOS ACTIVIDADES PROCESO Depósitos Cuentas Corrientes SUBPROCESO Cierre de Cuenta Corriente Analizar y considerar modificaciones Actividades

52 El Referente de Riesgo Operacional recibe el mail informando que posee un Subproceso disponible para realizar la Autoevaluación. Ingresa al Sistema a través de la solapa Análisis de Riesgos / Autoevaluación y visualiza los Procesos asignados. Selecciona el período en el cual va a trabajar (Año 2010) y luego el Proceso a analizar. En nuestro ejemplo: Depósitos Cuenta Corriente.

53 Selección del Subproceso Cierre de Cuenta Corriente

54 Dentro del Subproceso se encuentran las actividades que lo conforman. Se debe ingresar a cada una de las actividades para evaluarlas.

55 Riesgo Operacional - sistema 2 PASO: AUTOEVALUACION Actividad Riesgo Asociado - Probabilidad Riesgo Inherente Control / Mitigante / Seguro - Impacto Riesgo Residual Moderado a Extremo Plan de Acción Riesgo Residual Nuevo Nuevo Control / Mitigante Alto a Extremo Indicador de Riesgo

56 Pantalla de definición de los riesgos asociados a la actividad.

57 Determinación del riesgo (Tabla Nivel I, II y III) y descripción adicional.

58 Evaluación del riesgo inherente Probabilidad: se considera que, ante la ausencia de controles, podrían producirse muchos casos al año. Impacto: se considera que la pérdida financiera provocada podría ser alta.

59

60 De la evaluación del riesgo y sus controles surge el Riesgo Residual, el cual es Extremo. Dicha condición requiere la creación de un Plan de Acción y de un Indicador de Riesgo.

61

62 En la opción de Nuevos Controles se pueden ingresar modificaciones sobre los controles vigentes y, a su vez, proponer la creación de nuevos controles que mitiguen el riesgo. Estas propuestas se materializarán luego en la definición detallada del Plan de Acción. En este caso, se dio de baja el control manual existente y se propuso un nuevo control automatizado, el cual se consideró Optimo.

63 El nuevo control redujo el Riesgo Residual a Moderado. A la espera de la implementación del Plan de Acción se seguirá evaluando con el Indicador de Riesgo.

64 Riesgo Operacional - sistema 3er. Paso: Plan de Acción

65

66 Riesgo Operacional - sistema 4to. Paso: Indicadores de Riesgo

67 Tratamiento a aplicar sobre el Indicador de Riesgo.

68 Se determinó un indicador que muestra la relación entre los cierres de Cuenta Corriente con servicios Datanet vigente respecto del total de cierres de cuentas corrientes del mes. Este indicador es de frecuencia mensual siendo la responsabilidaddelreferente la actualizacióndelvalorde lasvariables.

69

70 Riesgo Operativo - agenda 1. Introducción. Basilea II/BCRA. 2. Políticas. 3.Estructuras. 4. Sistemas 5. Administracion del RO 6. Capacitaciones RO 7.Sistema RO en BP 8. Proximos pasos. Integración riesgo de TI. 70

71 Metodologia - Analisis de riesgo de los Activos informáticos Actividades del negocio Activos Procesos criticos y no criticos Arboles de dependencias Amenazas Salvaguardas Riesgo Residual 71

72 Integración riesgo de TI con riesgo operacional Procesos criticos y no críticos Valor Asignado (máximo de subprocesos) 23 CANTIDAD DE PROCESOS : 7 días 2: 1 día 3: 6 horas 4: 3 / 5 horas CRITICIDAD

73 Integración riesgo de TI con RO Indentificación de activos Inventario Dependencias y vinculación con procesos. Clasificación de activos. Analisis y evaluación de riesgos. SISTEMA PILAR (Metodologia Magerit)

74 Dependencias entre activos/procesos Proceso A Proceso B Proceso C Activo A Activo D Activo B Activo C Activo C Activo E Activo I Activo F Activo G Activo J

75 Dependencias entre activos/procesos

76 Determinación del del riesgo riesgo (Magerit) (Magerit)

77 Clasificación de activos Los activos interesan por su valor en todas sus dimensiones (confidencialidad /integridad y disponibilidad) La clasificación se hereda del activo superior a los inferiores según el grado de dependencia. Proceso Caja de ahorro Activos Disponibili dad Integridad Confidencia lidad Activo A Activo B Activo C Activo D Activo E 3 2 4

78 Resultados de la clasificación de activos Sistemas y Tecnología: analisis de gap entre nivel de disponibilidad requerida y real. Planes de acción. Analisis de costos. Seguridad Informática: Análisis de gap entre nivel de confidencialidad e integridad requeridos y reales. Planes de Acción. Análisis de costos.

79 Determinación del riesgo Metodologia calculos grado de dependencia grado(a? C) = Si { grado(a? Bi) grado(bi? C) } a + b = 1 - (1 - a) (1 - b) Riesgo Repercutido Riesgo Acumulado

80 Gestión del riesgo Uso Área Beneficio Análisis de Riesgo Riesgo Único por Proceso Riesgo Repercutido Ver como la TI afecta la operación del negocio. Riesgo operacional. Encontrar la variable TI en la valoración del riesgo operacional. Riesgo por Activo Riesgo Acumulado Ver como el riesgo afecta a cada activo de TI. El área de sistemas del Banco. Seguridad Gestionar el riesgo. Plan de continuidad del negocio. Gestión de la Seguridad.

81 Integración riesgo TI con RO Situación Actual Implementación en curso del Sistema Pilar (sigue la metodología Magerit) y cumple con los requerimientos de la politica del Banco de riesgo de TI. Se elaborarán unicamente las interfases con el sistema de Riesgo Operacional para el componente de TI (riesgo repercutido residual).

82 Muchas gracias! Junio