INFORME DE ACCIONES REALIZADAS PARA EL CONTROL Y EVALUACIÓN DEL RIESGO OPERACIONAL

Transcripción

1 INFORME DE ACCIONES REALIZADAS PARA EL CONTROL Y EVALUACIÓN DEL RIESGO OPERACIONAL Informe anual requerido por la Norma NPB4-50 Normas para la gestión del riesgo operacional de las entidades financieras, articulo 19. Página 1 de 18

2 Índice I- Estrategia utilizada para la gestión del Riesgo Operacional Estructura Organizacional Prevención y Reducción de Pérdidas Transferencia y Retención de Riesgos... 7 II- Metodología empleada para la gestión del riesgo operacional Cálculo de capital por riesgo operacional Líneas de Negocios Cálculo de indicadores y Gestión a través de Indicadores: Metodología de uso de Indicadores: Gestión del Riesgo Operacional Pasos de la Gestión Riesgo Legal Servicios prestados por terceros Base de datos de eventos de riesgo y pérdida III - Identificación y evaluación de los riesgos operacionales de eventos críticos ocurridos durante el año, por proceso y/o unidad de negocio y de apoyo; y el detalle de las medidas adoptadas para administrarlos Eventos ocurridos durante el año Total de eventos IV - Detalle de los ejecutivos responsables de las actividades de control de riesgo de los eventos críticos ocurridos durante el año V - Plan de Actividades a desarrollar por la Unidad de Riesgos relacionado con la gestión del riesgo operacional VI - Aprobación del informe Página 2 de 18

3 I- Estrategia utilizada para la gestión del Riesgo Operacional Para la gestión del riesgo operacional el Banco posee las siguientes estrategias: a) Una estructura organizacional acorde a la naturaleza del negocio la cual permite una identificación, monitoreo, cuantificación, control y divulgación de los distintos riesgos operativos que afectan las operaciones del Banco. b) Marco teórico y metodológico en el cual se basa el proceso de gestión del riesgo operacional. Lo anterior incluye lo siguiente: Manual para la gestión del riesgo operacional. Políticas para limitar los riesgos operacionales. Políticas para limitar los riesgos legales. Plan de continuidad del negocio. Plan de Sucesión. Manual de seguridad e higiene ocupacional. Guía para el registro de eventos de riesgo operativo en el sistema de gestión del Banco por parte de los gestores de riesgo. c) Software para la gestión del riesgo operativo y conformación de bases de datos de eventos de pérdida y riesgo generados. Página 3 de 18

4 d) Matrices de riesgo que resumen los principales eventos de riesgo controlados por el Banco. e) Plan de capacitación al personal que incluye temas sobre la minimización de los riesgos operativos a los cuales se encuentra inmerso el Banco en sus diferentes áreas. 1. Estructura Organizacional Dentro de las acciones desarrolladas para la gestión del riesgo operacional se ha establecido una estructura responsable de impulsar la cultura de la administración de este riesgo y que establece lineamientos que se implementan dentro del Banco con el objeto de llevar a cabo la identificación, medición, monitoreo, límites de riesgo, control y divulgación. Dentro de esta gestión se han designado gestores de riesgo quienes son los encargados del registro de eventos de riesgo y de coadyuvar en el proceso de mitigación de los riesgos identificados. La gestión de riesgos se desarrolla a través del marco organizacional que se muestra a continuación: Página 4 de 18

5 Esquema No. I Estructura de la Unidad de Riesgo con la función de Riesgo Operacional Página 5 de 18

6 Los eventos de riesgo operacional se registran a través de los gestores de riesgo operacional. El registro de los eventos de riesgo se lleva a cabo a través del siguiente ciclo de actividades: Esquema No. II Ciclo de actividades para el registro de eventos de riesgo y pérdida Página 6 de 18

7 2. Prevención y Reducción de Pérdidas La función principal de la unidad de riesgos es la prevención y reducción de las pérdidas de capital derivada del impacto de la ocurrencia de eventos de riesgo operativo; Para ello el Banco se prepara de manera integral en toda su estructura para minimizar los posibles daños ocasionados por la ocurrencia de un evento no planificado, buscando la reducción de las pérdidas ocasionadas por los diferentes eventos que se pueden presentar dentro de la institución. 3. Transferencia y Retención de Riesgos La Transferencia y Retención de Riesgos es una actividad que ocurre luego de concluido el proceso de diagnóstico y evaluación de las operaciones del Banco; cuando se han identificado los riesgos fundamentales a los que se encuentra expuesto el Banco y su respectivo impacto se decide de qué manera se actuará para la mitigación de los mismos. La mitigación se hace considerando los siguientes aspectos para la toma de acciones que lleven de la situación observada hacia una situación en la cual el riesgo es aceptable: Asumir el riesgo Evitar el riesgo Gestionar el riesgo Transferir el riesgo Página 7 de 18

8 Riesgo antes de mitigación Medidas de mitigación EVITAR REDUCIR Riesgo excedido o no aceptable TRANSFERIR ACEPTAR Riesgo después de mitigación Riesgo Aceptable II- Metodología empleada para la gestión del riesgo operacional La metodología para la evaluación de capital por riesgo operacional que ha implementado el Banco es el denominado Método Estándar el cual utiliza como indicador relevante el denominado ingreso bruto, el cual se establece para cada línea de negocio. El riesgo legal es evaluado por medio de la administración de los diversos asuntos legales que afecten las operaciones del Banco, asignándoles una prioridad (De acuerdo al criterio jurídico del área legal y de los abogados) para su tratamiento, medición y monitoreo, empleando la información histórica para generar indicadores de medición y seguimiento, y así estar en posibilidades de tomar las medidas preventivas aplicables. Página 8 de 18

9 1. Cálculo de capital por riesgo operacional Para el cálculo del requerimiento de capital por riesgo operacional se consideran tres factores críticos: Líneas de negocio; Ingresos brutos de cada línea; y El coeficiente de ponderación establecido por las recomendaciones emanadas del acuerdo de Basilea II. Para determinar este requerimiento se toma, de cada línea de negocio, el promedio de los ingresos brutos generados en los últimos tres años contables, y se multiplica por la ponderación del coeficiente de cada línea establecido por el Comité de Basilea II. Las líneas de negocios y su correspondiente coeficiente de ponderación son las siguientes: Líneas de negocios Coeficiente de ponderación Finanzas Corporativas 18% Negociación y ventas 18% Banca Minorista 12% Banca Comercial 15% Liquidación y pagos 18% Servicio de Agencia y otros Servicios 15% Administración de activos 12% Intermediación minorista 12% Página 9 de 18

10 Nota: Las ponderaciones corresponden a los factores beta recomendados por el Comité de Basilea en su documento Convergencia internacional de medidas y normas de capital Lo anterior se expresa de la forma matemática siguiente: Dónde: Rro = Requerimiento de Capital por Riesgo Operacional IB1-6 = Ingresos bruto anual de un año dado para cada línea de negocios. CP1-6 = Coeficiente de ponderación para cada línea de negocios. En el caso de que un requerimiento de capital sea negativo en cualquiera de las líneas se compensa con los requerimientos positivos de las demás. Sin embargo, cuando el requerimiento de capital agregado para todas las líneas de negocio de un año sea negativo, se sustituye este valor por cero. Para obtener los ingresos brutos de cada línea de negocios se procede de La manera siguiente: 1) Se seleccionan las cuentas de Ingresos previstas en el catálogo contable para relacionar cada una de las actividades asignadas a la línea de negocio con la cuenta contable que le corresponda. 2) Se toman las cuentas de gastos del manual de contabilidad. De igual forma, que los ingresos se relacionan las actividades de cada línea de negocio con las cuentas contables que le competan. Página 10 de 18

11 3) Se calcula la diferencia entre los ingresos y los gastos de cada línea de negocios. Dicho resultado será utilizado para el cálculo del requerimiento de capital por Riesgo Operacional. La segregación de cada una de las cuentas contables por línea de negocio se puede documentar dentro de la tabla anexo B, el cual debe ser modificado y actualizado según las necesidades institucionales. Para los efectos de los cálculos del indicador las cuentas contables a considerar serán las siguientes: Cuentas de productos Cartera de préstamos Cartera de inversiones Operaciones temporales con documentos Intereses sobre depósitos Operaciones en moneda extranjera Cartas de crédito Avales y Fianzas Servicios Cuentas de costos Depósitos Préstamos para terceros Préstamos para cubrir déficit de caja Títulos de emisión propia Pérdida por diferencia de precios Primas por garantía de depósitos Otros costos de intermediación. Página 11 de 18

12 2. Líneas de Negocios Como se expresa en el anexo 2, Detalle de Líneas de Negocios, de la Norma NPB4-50 Normas para la gestión del riesgo operacional de las entidades financieras, las entidades deben asignar las actividades a cada una de estas líneas de negocio ya definidas por la Superintendencia con su primer y segundo nivel. Para la aplicación de la metodología de Riesgo Operacional y dada la naturaleza, alcance y complejidad de las operaciones actuales, el Banco utiliza la línea de negocios denominada Banca Minorista. 3. Cálculo de indicadores y Gestión a través de Indicadores: Este es el método utilizado para la identificación del Riesgo Operacional ya que tiene un papel predictivo o de alertas tempranas, enfocándose en la verificación de los resultados de las operaciones realizadas por el Banco. De manera general son medidas utilizadas para medir el éxito de las actividades realizadas por el Banco y se basan en indicadores establecidos por la Junta Directiva, las entidades regulatorias o las leyes aplicables al sector financiero, y son posteriormente utilizados continuamente a lo largo del ciclo de vida, para evaluar el desempeño y los resultados obtenidos. 4. Metodología de uso de Indicadores: Para la correcta evaluación de los procesos de cada una de las áreas del Banco se cuenta con indicadores de gestión que permiten establecer las alertas necesarias para identificar alteraciones en los riesgos de las mismas. Página 12 de 18

13 5. Gestión del Riesgo Operacional Para el registro de los eventos de riesgo y pérdida el Banco pose el sistema denominado Risk Assistant Operational (Rop), el cual es un software que permite almacenar la base de datos de eventos en forma ordenada y clasificada. El proceso de gestión se muestra en el Esquema III, mientras que el proceso general de medición del riesgo operativo se muestra en el Esquema IV. Esquema No. III Proceso de Gestión y Administración de Riesgo Operacional GESTORES DE RIESGO UNIDAD DE RIESGO COMITÉ DE RIESGOS DETECCIÓN DEL EVENTO DE RIESGO OPERATIVO PLAN DE ACCIÓN SOBRE RIESGOS REPORTADOS IDENTIFICACIÓN DEL EVENTO * Tipo de Evento. * Descripción. * Línea de negocios. * Ubicación. * Severidad económica. * Vinculación con otros riesgos. * Consecuencias. ASUMIR RIESGO MONITOREO CONTINUO TRANSFERIR EL RIESGO ADQUISICIÓN DE SEGUROS REGISTRODEL EVENTO EN EL SISTEMA DE RIESGO OPERATIVO VERIFICACION DEL REGISTRO EFECTUADO POR EL GESTOR ANALISIS DEL EVENTO EN CUANTO A FRECUENCIA E IMPACTO, EVITAR EL RIESGO ACCIONES PREVENTIVAS EVALUACIÓN Y CUANTIFICACION DEL RIESGO REPORTE A COMITE DE RIESGOS GESTIONAR EL RIESGO ACCIONES CORRECTIVAS Y DE CONTENCIÓN Página 13 de 18

14 Esquema No. IV Proceso general de medición del Riesgo Operacional METODOLOGÍA CUALITATIVA RIESGO OPERATIVO METODOLOGÍA CUANTITATIVA Políticas y procedimientos. Gobierno corporativo. Controles internos. Identificación, medición, control y mitigación, monitoreo y comunicación. Cultura de riesgos. Norma NPB4-50 "Normas para la gestión del riesgo operacional" Administración del SistemaRisk assistant Identificación de líneas de negocio. Naturaleza del riesgo. Tipos de eventos de Riesgo Operativo. Categorización de eventos de pérdida. Metodología Cualitativa Metodología Cuantitativa Establecimiento de objetivos: Estratégicos. Operativos. Identificación de líneas de negocio. Análisis de procesos. Prestación de servicios por terceros. Identificación el riesgo: Probabilidad. Impacto. Análisis de controles: Efectividad Ejecución Matriz de riesgos. Monitoreo del riesgo. Tratamiento del riesgo: Mitigar. Reducir. Asumir. Transferir. Base de datos de eventos de riesgo operativo y pérdidas. Diseño. Información histórica. Implementación de metodología estadística. Cálculos en el Sistema Risk assistant Página 14 de 18

15 6. Pasos de la Gestión Los pasos de la gestión del riesgo operacional son los siguientes: Identificación de eventos de riesgo operacional Evaluación Análisis de Eventos por Riesgo Operacional Control del Riesgo Monitoreo 7. Riesgo Legal El impacto del riesgo legal se efectúa a través del cálculo de las pérdidas máximas estimadas resultantes de asuntos en materia: laboral, penal, civil, mercantil y administrativa, las cuales se registran y monitorean a través de los controles correspondientes. La cuantificación se basa en la información histórica de incidencias y en el juicio experto de los asesores legales, categorizando cada asunto en diferentes niveles de riesgo definidos con base en la posibilidad de tener una resolución desfavorable que represente pérdidas económicas para el Banco. La estimación del monto máximo que el Banco podría llegar a perder se le denomina Monto Contingente Este riesgo se divide en los siguientes tipos de riesgo legal: Riesgo Laboral Riesgo Penal Riesgo Civil y Mercantil Riesgo Administrativo Página 15 de 18

16 8. Servicios prestados por terceros Se refiere a la contratación de servicios externos o de terceros para realizar procesos de vital importancia para el Banco. Esta actividad es soportada través de los documentos legales que se debe manejar (contrato) donde se indican los términos finales del acuerdo y las condiciones de los mismos. La Unidad de Auditoría Interna del Banco monitorea y evalúa de forma continua los procesos o servicios externos contratados, verificando el cumplimiento de lo estipulado en los contratos firmados por el Banco. El Departamento de Recursos Humanos es el encargado de mantener actualizado, y a disposición de la Superintendencia, toda la información concernientes a las actividades y procesos tercerizados. 9. Base de datos de eventos de riesgo y pérdida El Banco posee una base detallada de todos los eventos registrados en su operación, acompañados de informaciones básicas como: la línea de negocios en donde se originó el evento, la tipología del evento, una descripción en detalle de la ocurrencia así como también las consecuencias y pérdida soportada por la ocurrencia de los eventos. Se poseen reportes que cuentan con información relevante como: la agencia o área donde aconteció el evento y las fechas de inicio, finalización y contabilización del evento. Adicional, a la información mencionada anteriormente los reportes presentan los montos de pérdida, lo recuperado por seguros o terceros, la cuenta contable donde se carga la pérdida y la vinculación con otros riesgos en caso de que aplique. Página 16 de 18

17 III - Identificación y evaluación de los riesgos operacionales de eventos críticos ocurridos durante el año, por proceso y/o unidad de negocio y de apoyo; y el detalle de las medidas adoptadas para administrarlos. 1. Eventos ocurridos durante el año 2015 Durante el año 2015 no se registraron eventos críticos de riesgo operacional. Los eventos identificados y registrados no mostraron niveles de criticidad, sino que fueron eventos de incidencia baja o muy baja en la operación del Banco. Estos eventos se resumen a continuación: 1.1 Total de eventos Descripción Eventos de Eventos de Total riesgo pérdida eventos Total eventos IV - Detalle de los ejecutivos responsables de las actividades de control de riesgo de los eventos críticos ocurridos durante el año No se posee registros de eventos críticos sucedidos en el año Los eventos identificados y registrados no mostraron niveles de criticidad, sino que fueron eventos de incidencia baja o muy baja en la operación del Banco. Página 17 de 18

18 V - Plan de Actividades a desarrollar por la Unidad de Riesgos relacionado con la gestión del riesgo operacional El plan de trabajo para el seguimiento del riesgo operativo para el año 2016 se enfocará en lo siguiente: Mantenimiento del Sistema Risk Assistant Operational (Rop). Ampliar el número de gestores de riesgo operacional. Capacitación de reforzamiento a los gestores de riesgo sobre los eventos de riesgo a gestionar y resultados obtenidos. Dar mantenimiento a las matrices de riesgo de conformidad a los nuevos eventos de riesgo que se decida controlar. Modificar la matriz de eventos de riesgo tecnológico derivados de los cambios resultantes en la normativa que se proyecta que emita el regulador para el año Seguimiento y control de los eventos de riesgo legal surgidos en el transcurso de la operación del Banco. VI - Aprobación del informe El presente informe fue aprobado por la Junta Directiva en sesión 018/1205/2016 de fecha 26 de Abril del Página 18 de 18