Gestión del Riesgo Operacional - Experiencia del Perú -

Transcripción

1 Gestión del Riesgo Operacional - Experiencia del Perú - Septiembre 2013 Claudia Cánepa Silva MBA PMP Supervisor Principal de Riesgo Operacional Superintendencia de Banca, Seguros y AFP

2 Agenda Organización para la supervisión del riesgo operacional Marco normativo: evolución y principales normas Principales proyectos en curso

3 Agenda Organización para la supervisión del riesgo operacional Marco normativo: evolución y principales normas Principales proyectos en curso

4 La SBS y la estructura organizativa para la supervisión del riesgo operacional Superintendente de Banca, Seguros y AFP Superintendencia Adjunta de Banca y Microfinanzas Superintendencia Adjunta de AFP y Seguros Superintendencia Adjunta de Riesgos Departamento de Supervisión de Riesgo Operacional Supervisión del Riesgo Operacional Continuidad de negocios Seguridad de la información

5 Agenda Organización para la supervisión del riesgo operacional Marco normativo: evolución y principales normas Evolución de las normas Reglamento para la gestión del riesgo operacional Reglamento para el cálculo de requerimiento de capital por RO Principales proyectos en curso

7 Normativa: evolución y normas vigentes Basilea II (2004) Emisión de norma específicas Reporte de evento de interrupción significativa Informe de riesgos de nuevos productos y cambios importantes Primeras normas Reglamento para la administración del riesgo operativo Riesgos de tecnología de información 2002 Reglamento de la Gestión Integral de Riesgos Res. SBSN Emisión de nuevas normas: Reglamento para el Requerimiento de Patrimonio Efectivo por R. Operacional Reglamento para la Gestión del Riesgo Operacional Circular sobre Gestión de la Continuidad del Negocio Circular sobre Gestión de la Seguridad de la Información 2013 Normas en proceso de emisión Indicadores clave de riesgo de CN, NV, SI, BM y BC Captura de Eventos de Pérdida por RO

9 Reglamento para la gestión del riesgo operacional Definición: Posibilidad de ocurrencia de pérdidas debido a procesos inadecuados, fallas del personal, de la tecnología de información, o eventos externos. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y de reputación. Tipos de Evento (N1) Líneas de Negocio (N1) Fraude Interno Fraude Externo Relaciones laborales y seguridad en el puesto de trabajo Clientes, productos y practicas empresariales Daños a activos materiales Interrupción en el negocio y fallos en el sistema Ejecución, entrega y gestión de procesos Finanzas Corporativas Negociación y Ventas Banca Minorista Banca Comercial Liquidación y pagos Otros servicios

10 Información y Comunicación Monitoreo Norma de Gestión del Riesgo Operacional: Principales aspectos requeridos Ambiente interno Identificación Evaluación Tratamiento Procesos y unidades de negocio y apoyo Nuevos productos y cambios importantes Subcontratación

11 Ambiente Interno Cultura de gestión de riesgos Estructura Organizativa Políticas establecidas y aprobadas por el Directorio Implementación de políticas por la Gerencia Área especializada Independencia respecto a otras áreas Apetito + Tolerancia Establecimiento de apetito y tolerancia al riesgo Personal suficiente Capacitación continua (especializada y general) Sistema de incentivos asociados al desempeño. Coordinadores de RO en áreas de negocio/apoyo Comité de Gestión de Riesgos y/o específico (RO)

12 Frecuency Identificación y evaluación de riesgos (i) Principales Herramientas Medición de la exposición Base de datos de eventos de pérdida (BDEP) Autoevaluaciones Análisis cualicuantitativo de la frecuencia e impacto asociado a cada riesgo Variables con rangos numéricos asociados Evaluación de controles Evaluación de efectividad de controles Estimaciones toman en cuenta información de la BDEP No se debe considerar zona fantasma de la matriz de riesgo Se deben evaluar los riesgos asociados a subcontratación

13 Identificación y evaluación de riesgos (ii) Recolección de Eventos de Pérdida Políticas y procedimientos de captura, validación, registro y reporte de esta información Entrenamiento de las personas que participan del proceso Criterios para la asignación de eventos multilínea Umbrales de captura de eventos (aprox. US$ 1000) y mantenimiento de expediente Información mínima Código y descripción Tipo de evento de pérdida Líneas de negocio Monto bruto Moneda Recuperación Cuenta contable asociada Fechas: descubrimiento, ocurrencia y registro contable

14 Tratamiento de riesgos Estrategias Evitar Aceptar Transferir Mitigar Planes de acción y seguimiento Estrategias mitigar y transferir Aprobación de planes por parte de las Gerencias responsables Establecimiento de responsables y fechas propuestas de implementación Seguimiento periódico Reporte de excepciones en la implementación, cuando menos, al Comité de Riesgos y Gerencia General

15 Información y comunicación Reporte al interior de la empresa Se deben definir niveles y frecuencia Directorio Comité de Riesgos Comité de RO (si hubiera) Gerencia General Áreas de Negocio/Apoyo Reporte a la SBS Informe de Gestión de Riesgo Operacional (IGROp), una vez al año

16 Monitoreo de riesgos Monitoreo del área especializada Autoevaluaciones periódicas Auditoría Interna Debe evaluar el cumplimiento del Reglamento Evaluación de nuevos productos y cambios importantes Seguimiento a la implementación de planes de acción Auditoría Externa Debe indicar si se cuenta con políticas para la gestión del riesgo, en su informe sobre sistema de control interno KRI (si los hubiera) Base de datos de eventos de pérdida Revisión de la SBS Revisión periódica del cumplimiento de las normas referidas a la gestión del riesgo operacional

17 Subcontratación Políticas y procedimientos Proceso de selección del proveedor del servicio Elaboración del acuerdo de subcontratación Gestión de riesgos asociados a la subcontratación Implementación de entorno de control efectivo Establecimiento de planes de continuidad Acuerdos de subcontratación: Formalizados mediante contrato Deben incluir acuerdos de niveles de servicios Definir claramente responsabilidades del proveedor y de la empresa

19 Requerimiento Patrimonial por RO (Res. SBS N ) Requieren autorización SBS Sensibilidad al riesgo Métodos Avanzados (AMA) Sistema interno de medición de RO Complejidad Costo de implementación Método Estándar Alternativo (ASA) Basado en indicadores de exposición por LN Método del Indicador Básico Basado en margen operacional bruto Las autorizaciones pueden ser por plazo definido o indefinido Se puede otorgar autorización parcial para emplear métodos AMA

20 Requerimiento Patrimonial por RO Método Estándar Alternativo (i) Expectativa Sólida gestión integrada en la cultura de la empresa Principal criterio Prueba de uso Situación actual Nueve empresas autorizadas 88% del total de activos del sector financiero (aprox. US$ 80 mil millones) Cálculo Forma de cálculo y mapeo de cuentas contables x LN regulada Proceso Riguroso proceso de evaluación Verificación de 24 requisitos Importante mejora en la gestión del riesgo operacional desde que se requiere capital

21 Requerimiento Patrimonial por RO Método Estándar Alternativo (ii) Requisitos R1: Participación activa del Directorio y Gerencia R2: Función de gestión del riesgo operacional R3: Programa de capacitación profesional R4: Metodología para la gestión del RO R5: Recursos suficientes R6: Reportes periódicos sobre exposición al RO R7: Procedimientos para asegurar cumplimiento R8: Incentivos a la apropiada gestión del RO R9: Base de datos de eventos de pérdida por RO R10: Gestión de la continuidad del negocio R11: Gestión de la seguridad de la información R12: Revisión periódica independiente por AI R13: Revisión periódica de una Sociedad de AE Función a dedicación exclusiva Uso de KRIs Soporte informático para la gestión Deben ser monetarios Deben incluir al nivel gerencial Soporte informático para la gestión Conciliación contable Revisión del cumplimiento de 13 requisitos Revisión cada tres años

22 Cuantitativos Cualitativos Requisitos Requerimiento Patrimonial por RO Métodos Avanzados (AMA) R1: Unidad especializada para la gestión del RO R2: Sistema de medición integrado a la gestión R3: Reportes periódicos sobre exposición al RO R4: Procedimientos para asegurar cumplimiento R5: Revisión del sistema de medición por AI y AE R6: Revisión de AE sobre validación y flujo de datos R7: No objeción del supervisor de casa matriz R8: Demostrar solidez del modelo R9: Criterios detallados R10: Criterios sobre datos internos R11: Uso de datos de pérdida externos R12: Análisis de escenarios para evaluar exposición R13: Capturar factores del entorno y control interno

23 Requerimiento Patrimonial por RO Métodos AMA: Criterios Cuantitativos R10. Datos internos Recopilar y analizar datos internos Procedimientos sobre el uso de datos históricos Medición RO basada en el uso de 5 años de datos internos de pérdidas como mínimo R11. Datos externos SM debe incluir información cualitativa y cuantitativa de pérdidas externas Proceso sistemático para su ajuste antes de su uso Práctica revisada anualmente R12. Análisis de escenarios R13. Factores de negocio y CI Basada en opinión de expertos para evaluar exposición a pérdidas severas Para evaluar supuestos de correlación Deben ser validados con experiencia real para evaluar su razonabilidad Selección justificada por su influencia en exposición Estimaciones deben ser sensibles ante variación en los factores Metodología documentada Proceso validado contra la ocurrencia de pérdidas reales

24 Agenda Organización para la supervisión del riesgo operacional Marco normativo: evolución y principales normas Principales proyectos en curso Taxonomía Central de pérdidas por riesgo operacional Regulación de indicadores clave de riesgo

25 Agenda Organización para la supervisión del riesgo operacional Marco normativo: evolución y principales normas Principales proyectos en curso Taxonomía Central de pérdidas por riesgo operacional Regulación de indicadores clave de riesgo

26 Taxonomía de procesos y productos Gobierno corporativo Líneas de negocio Finanzas corporativas Negociación y ventas Banca minorista Pago y liquidaciones Banca comercial Otros servicios Gestión de riesgos Gestión de TI Gestión del cumplimiento Auditoría Interna Gestión de RRHH Procesos de soporte Gestión de activos físicos Gestión de proveedores Gestión financiera y contable Gestión de proyectos Gestión legal Seis líneas de negocio y diez procesos de soporte Líneas de negocio alineadas a Basilea y norma de RO

27 Taxonomía de procesos y productos (Ejemplo: Banca Minorista) Línea de negocio Tipo de producto N1 Tipo de producto N2 Banca minorista Crédito hipotecario Crédito consumo revolvente Crédito consumo no revolvente Crédito microempresa Crédito pequeña empresa Depósito minorista Préstamos MiVivienda Otros créditos hipotecarios Tarjetas de crédito Crédito revolvente con garantía hipotecaria Convenios Otros créditos

28 Taxonomía de procesos Cadena de valor Desarrollo, diseño y mantto. de productos y servicios Promoción de productos y servicios Venta y establecimiento de acuerdos para desarrollar negocios Captura y documentación de las transacciones Entrega de productos y servicios Desarrollo de condiciones y actividades de cierre Registro contable de las transacciones Mantto. de la relación con los clientes Finanzas corporativas Banca minorista Banca comercial Negociación y ventas Pago y liquidaciones Otros servicios Son 8 los macroprocesos que cruzan los productos, a nivel 1 y nivel 2, de las diferentes líneas de negocio Departamento de Supervisión de Riesgo Operacional

29 Central de Pérdidas por Riesgo Operacional (CPRO) Objetivo: Obtener información para evaluar fuentes de pérdidas por riesgo operacional, mejorar las competencias de los sistemas supervisados para gestionar este riesgo y facilitar el desarrollo de modelos avanzados

30 Indicadores Clave de Riesgo (KRIs) Objetivos Monitorear los principales riesgos de tipo operacional Proveer conjunto de indicadores que pueda ser usas por las empresas Proceso Entendimiento de las actividades de las empresas: Taxonomía de LN, productos y procesos Selección de actividades significativas Definición / selección de KRIs Elaboración de norma Resultados Normas de indicadores clave de riesgo operacional: Para las actividades de negociación y venta (prepublicación) Para las actividades de BM y BC (rev) Para la gestión de la continuidad del negocio (rev) Para la gestión de la seguridad de la información (rev)

31 GRACIAS Claudia Cánepa Silva