Presentada por D. Alberto Ferreras Salagre Lima

Transcripción

1 Evaluación de Riesgo y Control de nuevos productos y cambios importantes Presentada por D. Alberto.Ferreras.Salagre@gmail.com Lima

2 Descargo de responsabilidad. Las opiniones presentadas en esta presentación representan las opiniones personales del ponente basadas en sus años de experiencia y estudio de la gestión del Riesgo Operacional 2

3 Que los participantes salgan con todas las respuestas a sus preguntas de como evaluar los riesgos y controles de nuevos productos y cambios importantes Que identifiquemos juntos, las similitudes y diferencias en la metodología de la evaluación de riesgos y controles en nuevos productos y en productos existentes Objetivos del taller Que identifiquemos juntos, cuales son los retos a la hora de evaluar estos riesgos y controles y cual es la herramienta fundamental para abordarlos. Que identifiquemos juntos, las principales fuentes de riesgos que puede tener un nuevo producto, para tenerlas siempre presentes en las evaluaciones. Que tengo que mirar, si o sí. 3

4 Por qué debemos evaluar los de riesgos y los control de los nuevos productos y cambios importantes? 1 Es un requerimiento regulatorio. Principio 7 de las Mejores Práctica de RO de Basilea CIRCULAR N G Por qué? Esta es la razón principal por la que debemos hacerlo? 2 y si no fuera un requerimiento regulatorio? Debemos de evaluar y sobre todo controlar/mitigar los riesgos para que no se materialicen. Estamos admitiendo riesgo operacional. RIESGO Factor de Riesgo / Riesgos Pérdida Potencial 4

5 CIRCULAR N G Información del nuevo producto o cambio importante. a) En el caso de los nuevos productos se deberá incluir descripción del producto, proceso operativo asociado, canales y mercado objetivo; para el caso de los cambios importantes en el ambiente de negocio, operativo o informático, una breve descripción del cambio, indicando el objetivo que la empresa busca alcanzar. b) Descripción de los riesgos identificados como consecuencia del lanzamiento del nuevo producto o por los cambios en el ambiente de negocios, operativo o informático. c) Deberán incluirse claramente los tipos de riesgos asociados, teniendo como referencia mínima los indicados en el artículo 5 del Reglamento de la Gestión Integral de Riesgos. d) Resultados de la evaluación realizada y medidas de tratamiento implementadas o propuestas a fin de gestionar el riesgo. 5

6 Qué puede pasar? - Qué puede pasar si no evaluamos y controlamos correctamente estos riesgos? Podemos empezar a comercializar un producto que finalmente nos genere grandes pérdidas. - la red comercial no entiendo el producto y no lo sabe vender correctamente - los sistemas informáticos no soportan el funcionamiento del producto. - Los contratos no están bien redactados. Por qué? - Show must go on. Poner el carro delante de los bueyes. Empezar la casa por el tejado. 1 El Negocio no se puede parar Como riesgos tenemos que asegurarnos que se revisan/mitigan todos los posibles riesgos importantes y que se tienen en cuenta antes de lanzar un producto no después. Time to market o si?. 6

7 Pregunta: Hay que evaluar de forma diferente un nuevo producto de un producto existente? Si / No Por qué? En un producto existe el proceso ya esta funcionando, en un nuevo producto, lo estamos diseñando. Pregunta: En que se diferencia el proceso de evaluación? y la metodología? Identificar los riesgos relevantes a los que se puede enfrentar la entidad de cara a gestionarlos Cómo debemos realizar esta evaluación? Identificar los riesgos relevantes, elefantes rosas y gestionarlos antes de que se lance el producto no después. La metodología de partida ha de ser similar a la usada en un ejercicio de RCSA. Pero con matices. La evaluación es más teórica con un nuevo producto. 7

8 1 - Pre-análisis Determinación y conocimiento de los procesos Procesos 2 - Identificación de Riesgos y controles. SI Cambia NO 3 - Evaluación de los Riesgos y controles. Riesgo inherente / bruto / absoluto - Actividades = de Control. Riesgo residual Fases de un proceso RCSA Severidad/ Impacto Riesgo residual Probabilidad / frecuencia Teórico / Diseño Práctico Apetito al riesgo 4 - Gestión de los riesgos relevantes Acciones o planes de actuación 8

9 Debemos buscar los mismos riesgos que buscamos en un proceso RCSA Riesgos Ejecución, entrega y gestión de procesos Recepción, ejecución y mantenimiento de operaciones Seguimiento y presentación de informes Aceptación de clientes y documentación Gestión de cuentas de clientes Contrapartes comerciales Comunicación defectuosa Errores de Incumplimiento Ejecución errónea Error contable / atribución a entidades contable Error Errores en otras tareas Fallo en la entrega Fallo en la gestión del colateral Mantenimiento de datos de referencia Incumplimiento de la obligación de informar Inexactitud de informes externos (con generación de pérdidas) Inexistencia de Documentos jurídicos Acceso no autorizado a cuentas Registros incorrectos de clientes (con generación de pérdidas) Pérdida o daño de activos de clientes por negligencia Fallos de contrapartes distintas de clientes Otros litigios con contrapartes distintas de clientes introducción de datos, mantenimiento de datos descarga de datos de plazos de responsabilidades modelos sistemas atribución a entidades erróneas atribución a clientes erróneos autorizaciones rechazos de clientes inexistentes incompletos Distribuidores y proveedores Subcontratación Litigios con distribuidores 9

10 Costes no contables Coste contable PR FI FE PC TE RH DE Multas / sanciones Coste de reposición de activos Robos físico Pagos indebidos / pago de más Cobro de menos. Impuestos Severidad Compensaciones Cobro de menos. Ingresos no percibidos. Perdida de ingresos futuros 10

11 Tipos de riesgo Ejemplo de variables Desastres Coste de los activos ( edificios, instalaciones). Severidad Errores Fraudes Importe máximo de realizado en el proceso. Transacciones, prestamos. Número de oficinas. Importe máximo de dinero en la oficina Volumen de prestamos Pérdida esperada de la cartera de prestamos. Número de clientes Número de contratos Sanciones Conocer la normativa aplicable y la sanción máxima legal. La información de las bases de datos internas y externas, deben ser un punto de partida. Las perdidas históricas, sobre todo las del último año, salvo casos extremos deberían de ser un valor mínimo de la severidad teórica y en muchos casos práctica. Business case Estimaciones de clientes, ventas, 11

12 Variables adicionales a tener en cuenta a la hora de estimar la frecuencia. Periodicidad de ejecución del proceso Grado de manualidad del proceso Nivel de complejidad de ejecución del proceso Nivel de dispersión en la ejecución del proceso Frecuencia. Entorno 12

13 Eventos indeseados Preventivo Preventivo Preventivo Tipos de controles Niveles de control Detectivo Correctivo Detectivo Correctivo Fuente: Fondo Mivivienda. MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL 13

14 Preventivo Detectivo Correctivo Severidad Frecuencia Manual Semi-Automático Automático - Efectividad / grado de mitigación + Tipos de controles Características de los controles Soft Hard - Efectividad / grado de mitigación + - Periodicidad de ejecución del control + - Efectividad / grado de mitigación + Periodicidad del proceso Periodicidad del control 14

15 Pregunta: El banco acaba de empezar a patrocinar la liga de futbol del país, y decide lanzar una tarjeta con el nombre de la liga. Esta tarjeta es un nuevo producto? Pregunta: Y si la nueva tarjeta la vamos a vender sólo por internet y nunca antes habíamos vendido una tarjeta por internet. Esta tarjeta es un nuevo producto? Pero empecemos por el principio. Realmente tenemos tantos productos realmente nuevos, y tantos riesgos nuevos riesgos? Qué es un nuevo producto? Nuevo producto: Producto lanzado por primera vez por la empresa. En la presente norma, se considera también un nuevo producto cuando se realiza un cambio en un producto existente que modifica su perfil de riesgo. Producto: Bienes y/o servicios brindados por las empresas a sus clientes y usuarios. Subcontratación significativa: Aquella subcontratación que, en caso de falla o suspensión del servicio, puede poner en riesgo importante a la empresa, al afectar sus ingresos, solvencia, o continuidad operativa. Necesitamos definir que es un nuevo producto para mi entidad. Práctica 1 Hacer grupos de 2 a 5 personas y durante los próximos 10 minutos, definir que características utilizaríamos para considerar un producto como nuevo. Por ejemplo. Necesitar un nuevo circuito contable. Las características definidas en el taller se encuentran en un archivo compartido en la cuenta de correo en el peru2016grupoa@gmail.com clave: riesgooperacionala 15

16 Qué es cambio importante? a. Cambios en la forma en la que se conducen los negocios y operaciones, originados por modificaciones en las condiciones económicas, políticas o legales. b. Subcontrataciones significativas. c. Alianzas, contratos asociativos, participación en negocios 1 conjuntos. d. Reorganizaciones empresariales. e. Proyectos cuya falla pueda generar pérdidas significativas. f. Implementación de un nuevo canal de atención: Cajeros Automáticos, Internet, Telefonía móvil, Cajeros corresponsales, entre otros. En este caso, se considerará como cambio importante la implementación por primera vez del nuevo canal de atención y/o modificaciones importantes a su funcionamiento. g. Cambio de la infraestructura tecnológica que soporta los principales productos y/o servicios de la empresa. h. Traslado de la oficina principal de la empresa. 16

17 Ya tenemos una de definición. Ahora necesitamos una herramienta. La herramienta Comité de nuevos negocios ha de ser nuestra herramienta. Objetivo del comité? 1 Sin Pregunta: Qué unidades deben de estar incluidas en este comité? El comité La herramienta Composición del comité. Unidad que propone el producto Riesgo Operacional* Riesgos Tecnología / Operaciones Medios Cumplimiento Normativo Contabilidad Asesoría Fiscal Asesoría Jurídica RRHH Atención al cliente Auditoria Cualquier otra área importante en el lanzamiento.. 17

18 Algunos principios fundacionales del comité El comité El comité tiene que estar respaldado por una política abalada por la alta dirección. Tiene que haber una directriz clara que ningún producto es comercializado sin una aprobación expresa del comité. Tiene que existir un procedimiento (ágil y fácil) donde se describan las fases de comité y sobre todo los roles y responsabilidades de cada miembro del mismo. Riguroso y documentado. Todos sepan que se les va a pedir hacer o dar. No esperar hasta el final, trabajar desde el principio El secretario del comité a de ser un área de control. Cada miembro deberá de dar una opinión razonada a favor o en contra de la aprobación del producto. Aprobación formal y por escrito. Los miembro del comité deberán de ser personas de alto nivel. Es un órgano de admisión de riesgos. La aprobación podrá o no ser por unanimidad. 1 Pregunta: El comité debería tener potestad de veto en la comercialización de un nuevo producto? Si debería, pudiendo existir aprobaciones condicionadas o con condicionantes. Show must go on. 18

19 Pregunta: Qué tipo de información debemos solicitar al promotor de la propuesta para evaluar los riesgos más significativos? Información necesaria - Descripción básica del proyecto. Clientes objetivos del producto Estudio de mercado Características claves del producto Método de distribución Estimación de volúmenes de negocios y rentabilidad Cual es el modelo de control que se pretende aplicar. Si tiene alguna particularidad fiscal o normativa. Definición y descripción de la estructura e infraestructura que soporta el nuevo negocio, así como su logística Esquemas de incentivos comerciales. 19

20 Pregunta: Qué tipos de cosas debemos mirar si, o si? Información fundamental para evaluar - Implicaciones fiscales. Este nuevo producto o cambio genera nuevas exigencias fiscales y/ de impuestos. Implicaciones legales. Este nuevo producto o cambio esta amparado por los 1 contratos actuales, o hay que redactar nuevos contratos. Implicaciones normativas. A este nuevo producto o cambio se le aplica una nueva normativa diferente al resto de las que usábamos. Implicaciones contables A este nuevo producto o cambio implica la creación de nuevas cuentas o procesos de contabilidad. Valoración de riesgos no operacionales. Los modelos actuales de riesgo cubren la al producto o hay que desarrollar nuevos modelos. Perfiles de los recursos y conocimientos. Tenemos los conocimientos y las personas necesarias. Implicaciones infraestructura /tecnológica. Tenemos los sistemas necesarios para este nuevo producto. 20

21 Pregunta: La aprobación es el final del proceso? La respuesta debería de ser NO. No, si hay condicionantes que hay que revisar. La aprobación es el final del proceso? - No, ya que los nuevos productos deberían de ser revisados 1 para ver si las condiciones y/ suposiciones iniciales tanto económicas como operativas se ha cumplido o si hay cambios significativos. Pregunta: Se podría detener/discontinuar la comercialización de un nuevo producto? La respuesta debería de ser SI. Si las condiciones no se cumple, si aparecen riesgos contemplados o pérdidas significativas el producto de podría dejar de comercializar. Una vez que pase el tiempo definido en el procedimiento el análisis de riesgos utilizaría la metodología RCSA habitual. 21

22 Pregunta: Debería de existir un comité para la revisión y aprobación de los cambios importantes? Y los cambio importantes 1 Pregunta: Debemos hablar de aprobación o de implementación?. Preguntas: En vuestras entidades existen un comité de Outsourcing? Es el mismo que el de nuevos productos? Funciona igual? Analizar los riesgos existentes y ver como le afecta el cambio. Ejemplo del outsourcing 22

23 Resumen de Ideas. La evaluación de riesgos y controles parte de la misma metodología que un RCSA pero con matices El objetivo es identificar/mitigar los grandes problemas antes y no después de lanzar el producto. La herramienta fundamental es el comité de nuevos productos. En la mayoría de los casos hablamos de modificaciones, por lo que parte de los riesgos y el modelo de control ya están definidos El enfoque en muchos casos no es tanto poner controles como realizar los cambios a proceso para que nazca de la manera adecuada En los cambios importantes hay que identificar los riesgo significativos existentes y ver como se ven afectados por el cambio. 23

24 Casos Prácticos 1. Evaluar si el producto es realmente nuevo. 2. Evaluar que hace al producto nuevo en función de las características definidas anteriormente. 3. Identificar los departamentos que deben de participar en la evaluación. 4. Identificar en función del departamento el tipo de riesgo 5. Revisar si ya existen riesgo similares y ajustarlos. 6. Si hay realmente riesgos nuevos 7. Fijar los controles y las medidas 24

25 Caso Práctico 1 Monedero electrónico Producto Monedero electrónico. Desde el departamento comercial, han detectado que hay una gran demanda, por aplicaciones para móvil que permitan pagar los gastos del día a día usando la tecnología NFC de los nuevos teléfonos inteligentes. El banco quiere lanzar una aplicación que permita crear una única tarjeta virtual desde el teléfono o desde la página web de la entidad, recargar la tarjeta con dinero de tu cuenta y pagar cantidades de hasta nuevos soles. El producto sólo se podrá contratar desde el teléfono o en web. El publico objetivo es la totalidad de los clientes del banco con teléfonos inteligentes que son aproximadamente un 50% de los clientes.. Se estima que el primer año el 30% de esos clientes tengan funcionando la aplicación y la tarjeta. El banco tiene clientes y suelen gastar uno nuevos soles en pequeños pagos. Para limitar los posible fraudes, las primeras 3 operaciones diarias de menos de 300 nuevos soles, no necesitaran pin, y para el resto o operaciones de más de 300 nuevos soles, se necesitará el pin. 25

26 En los grupos, dedicar 5 minutos a identificar: Cual es la característica/s hace que este producto sea considerado nuevo? qué departamentos deberían de participar en la revisión de este nuevo producto?. Las características y los departamentos se ponen en común y se asignan los departamentos entre los grupos En los grupos, dedicar 10 minutos a identificar los 3 riesgos más significativos que pensáis que puede tener el nuevo producto, cuantificar el riesgo inherente por severidad y frecuencia en una escala del 1 al 5 y identificar posibles controles para esos riesgo Los riesgos, evaluaciones y controles se ponen en común y se estima el riesgo residual Caso Práctico 1 Monedero electrónico - Si la tarjeta en vez de ser prepago fuera una tarjeta de crédito normal, solo que solicitada y concedida on-line. Cambiaría lo anterior, los departamentos implicados? y los riesgos?, los controles? 26

27 Cambio relevantes. Outsourcing de la estancación de las tarjetas. Caso Práctico 2 Outsourcing de la estancación de las tarjetas. Desde el departamento de costes, ha decidido que la estancación/ emboce de las tarjetas de crédito y debito que se realizaba por personas internas al banco, a partir del año que viene se realizara por una empresa externa, ya que el coste de estampar esas tarjetas es la mitad si los subcontratamos a un empresa externa. El año pasado la entidad realizó tarjetas nuevas y renovó De las la mitad era de crédito y la otra mitad de debito De las la proporción fue 70% debito 30% crédito. 27

28 En los grupos, dedicar 5 minutos a identificar: Los 3 riesgos más significativos del proceso de estampación / emboce antes del outsourcing y a que clase de riesgo pertenecen? qué departamentos deberían de participar en la revisión de este cambio?. Caso Práctico 2 Outsourcing de la estancación de las tarjetas. En los grupos, dedicar 5 minutos a: responder si los riesgos anteriores y los controles que los mitigaban desaparecen al realizar el proceso de outsourcing? Como consecuencia del proceso de outsourcing aparece algún riesgo nuevo que debería de estar en el top3?. Como lo mitigaríais?. 28

29 Muchas gracias por su atención