Implantación modelo AMA de RO en Grupo BBVA

Transcripción

1

2 Implantación modelo AMA de RO en Grupo BBVA Febraban - 1st International Risk Management Congress - 19th - 21st, October 2011 El presente documento y sus anexos quedan sujetos a confidencialidad en los términos establecidos en la normativa aplicable. Son de exclusivo uso interno y queda prohibida su divulgación, copia, cesión, entrega, remisión o envío a terceros ajenos al Grupo BBVA sin previa autorización. Página 2

3 Indice 1. Conceptos básicos 2. Situación de Partida: Dos Metodologías 3. Nueva Metodología para la gestión Cualitativa del Riesgo Operacional 4. Base de datos y cálculo de capital Página 3

4 1. CONCEPTOS BÁSICOS Página 4

5 Definiciones de Riesgo Operacional Grupo BBVA (en inicio) Riesgo no tipificable como de crédito o de mercado Aquél que puede provocar pérdidas como resultado de errores humanos, procesos internos inadecuados o defectuosos, fallos en los sistemas, o por causas externas Basilea Excluidos: riesgo estratégico (de negocio) y reputacional Página 5

6 Ejemplos de Riesgo Operacional Nos saltamos algún control Empleado falsifica una firma No practicamos una retención de impuestos El sistema informático no está disponible Documentación legal incorrecta Se incendia una oficina bancaria Asesoramos mal a un cliente El nombre de la entidad se asocia a un escándalo por blanqueo de dinero Política salarial no competitiva Sentencia judicial adversa Página 6

7 No es Riesgo Operacional Riesgo estratégico o de negocio: Decisiones de cierre de oficinas Aspectos de dotación de RRHH (nº. de personas) Riesgo Reputacional: Comparación con la competencia o con otros sectores Asociación con sectores con mala reputación Riesgo Regulatorio Las diferencias temporales no se consideran en la cuantificación de factores de riesgo operacional (gastos adicionales: recargos, multas, demoras, gastos judiciales, etc. si se consideran) Página 7

8 Capital Regulatorio por RO Basilea II ofrece varias alternativas de cálculo: 1. Modelo del Indicador Básico. 2. Modelo Estándar. 3. Modelo Avanzado. Los bancos pueden usar sus propias metodologías, previamente aprobadas por los supervisores de la institución financiera. MODELO AVANZADO. Gestión por líneas de negocio y clases de RO. Utilizando bases de datos de eventos (internas/externas). Gestión cualitativa y cuantitativa integradas en el día a día MENOR CAPITAL REGULATORIO Oportunidad de ahorro de capital por RO. GENERA MUCHO VALOR Recurrente y que repercute en las AdN Y LO MÁS IMPORTANTE: PODEMOS EVITAR GRANDES EVENTOS FUTUROS GRACIAS A LA GESTIÓN EX-ANTE MENOR COSTE DE EVENTOS Actualmente el Grupo pierde más de 100 millones de al año Considerando una mejora del 25%, ahorraríamos unos 25 M de anuales Página 8

9 Ciclo de Gestión Activa del RO Identificar Seguir Informar Cuantificar Mitigar Página 9

10 Clases de RO en BBVA F A C T O R E S D E R I E S G O Operativa Controles Normativa Gestión Ctas. Clientes Document. y contr. legales Incumpl. de cttos. no clientes Desastres Proveedores Identificar Procesos Fraude y Act.na Tecnológico RRHH Prácticas Comerciales Externo Página 10

11 Tipos de Consecuencia (impacto) Cuantificar + Directas Reconocidas específicamente en la contabilidad 1- Pago de los intereses de demora 2- Multa de la Agencia de Protección de Datos Indirectas Gastos para solucionar el Riesgo Operacional 1- Coste re-calculo y corrección de la posición 2- Coste de Gestión de la multa V I S I B L E Lucro Cesante Ingresos que no llegan Página 11

12 Tipos de pérdida (probabilidad) Parte mejor conocida del riesgo operacional Cuantificar Directas Indirectas Lucro Cesante Recurrentes Recurrentes Recurrentes Frecuencia anual >= 1 Parte más peligrosa del riesgo operacional Frecuencia anual < 1 Página 12

13 Modelo de Gestión GLOBAL RISK MANAGEMENT Validación y Control CIyRO Metodología y Seguimiento EU y Transformación Seguimiento América y WB&AM Grupo Desarrollo RO Unidad 1 ÁREA DE NEGOCIO / SOPORTE Unidad Unidad Unidad CIRO Control Interno Riesgo Operacional Comité de CIRO Planes de Mitigación Unidad... Ev Ro RepTool TransVaR SIRO CIRO (Control Interno Riesgo Operacional): Implantación herramientas en su unidad Control del RO en su Área/Unidad Coordina el Comité de RO de su Área/Unidad Planes y control de la mitigación Página 13

14 Modelo de Gestión del RO Comité Global de Control Interno y Riesgo Operacional CGCIRO (trimestral) Unidad 1 Unidad 2 Unidad n País n CCIRO 1 (trimestral) CCIRO 2 (trimestral) CCIRO n (trimestral) Comité País de CIyRO CPCIRO(trimestral) CCIRO 1 (trimestral) CCIRO 2 (trimestral) CCIRO n (trimestral) Página 14

15 2. Situación de partida: dos metodologías

16 Qué es el Control Interno? El Control interno es un proceso diseñado por la Dirección que afecta a todos los ámbitos de la Entidad para alcanzar, de forma razonable, los siguientes objetivos: Eficacia y eficiencia de las operaciones. Facilita el cumplimiento de los objetivos de negocio de la empresa, incluyendo los objetivos de eficiencia y rentabilidad. Fiabilidad de la información financiera. Garantiza la fiabilidad en el proceso de elaboración de los Estados Financieros de la empresa y la información financiera pública relevante. Cumplimiento de la normativa. Asegura el cumplimiento de todas las leyes y regulaciones a los que está sujeta la sociedad. La evaluación de la eficacia del modelo de Control Interno se podrá realizar en función de su aportación al cumplimiento de estos objetivos. Página 16

17 Metodología de Control Interno Modelo anclado en la documentación de procesos. Identificación de Riesgos Inherentes de los procesos. Priorización cualitativa de los Riesgos: Determinación Riesgos críticos Documentación de controles para Riesgos críticos. Workflow de evaluación del modelo de control. Identificación y calificación de debilidades de control. Certificación piramidal anual (Comité CIRO Unidad > CGCIRO). Gestión de debilidades: Planes de mitigación. Herramienta soporte: ARIS Riesgo Identificados Total Evaluados Página 17

18 Metodología de Riesgo Operacional Gestión Cualitativa Autoevaluación de las Unidades de Negocio (según Basilea). Identificación de Factores de Riesgos Residuales (FR). Priorización cuantitativa de los FRs. Gestión de factores de riesgo relevantes: Planes de mitigación. Comité CIRO Unidad. Herramientas: EvRo (Excel y EvRo Host) y TransVar Algunos FR del EvRo alimentan el Cálculo de capital Factores Identificados Total Prioritarios Página 18

19 Metodología de Riesgo Operacional Cálculo de capital en Riesgo (CaR) SIRO P 1 Distribución frecuencias Poisson Negative Binomial ORX P 2 América y Resto ORX West Europe P 3 Base de Datos Combinada Monte Carlo Simulation CaR Eventos Simulados España P 4 Distribución severidades Ajuste Cualitativo Página 19

20 Resumen Gestión y medición del riesgo operacional en BBVA RIESGO INHERENTE CONTROLES = RIESGO RESIDUAL RO intrínseco en cualquier tarea de un proceso Actividades orientadas a la mitigación del riesgo Es el riesgo que causa los eventos de RO Control Interno (gestión del RO) Riesgo Operacional (medición del RO) CIROS en las Unidades de Negocio y Apoyo Página 20

21 3. Nueva Metodología para la Gestión cualitativa del Riesgo Operacional Página 21

22 Objetivo y premisas de partida Crear una metodología de trabajo actualizada, para nuestra función integrada, que cree más valor para el Grupo que las metodologías actuales, cumpliendo con el marco regulatorio y anticipando riesgos relevantes. Premisas de partida: Cumplir con los requerimientos regulatorios (Basilea, SOx, BdE, CNMV, etc.) Cumplir con los principios del Modelo de Control Interno establecidos en el Estatuto de la Función aprobado por la CAC Simplificar, para centrarnos en lo que es verdaderamente importante Anticipar Eliminar solapamientos, tareas y trabajos que no aportan valor CONSENSUADO CON LOS CIROS DE LAS PRINCIPALES UNIDADES DEL GRUPO Página 22

23 Metodología de Gestión del Riesgo Operacional Fijación del perímetro Identificació n de Riesgos Priorizació n de Riesgos Documentació n del modelo de control Determinació n de Riesgos Residuales Gestión del Riesgo Residual Página 23

24 Perímetro de Gestión del RO Sociedades que estén dentro del perímetro SOx. además Esta catalogación es efectuada anualmente por Intervención General. Sociedades que estén dentro del perímetro Bancario. Quedan excluidas las sociedades inactivas, en liquidación y aquellas que no cumplan unos requisitos mínimos de actividad. Sociedades no incluidas por los criterios anteriores pero con elevado RO (ejemplo: Inmobiliarias). Página 24

25 Identificación de Riesgos Fuentes internas: Análisis de los procesos de la Entidad. Familia Subfamilia Macroproceso Proceso Variante de Proceso Función Otras fuentes: Informes de auditoría, reguladores, reclamaciones de clientes, Datos históricos: Base de datos de pérdidas, Riesgos no relacionados con procesos. Documentación de los Riesgos. Identificación de riesgos a bajo nivel (Función) o alto nivel (Proceso). Página 25

26 Priorización de Riesgos Impacto Probabilidad estimada Riesgo Inherente Producto final: Risk Map del Grupo BBVA. Identificación de los riesgos prioritarios con la visión Grupo. Risk Map por Unidad para facilitar la gestión de los riesgos importantes. Modelo cualitativo, sencillo e intuitivo para los CIROS. Impacto: Escala con una equivalencia monetaria. Considerar el peor de los escenarios posibles, teniendo en cuenta todas las consecuencias que pudieran darse si el riesgo a evaluar finalmente se produjera (pérdidas directa e indirecta, lucro cesante, diferencias contables, etc.). La probabilidad estimada es un término que describe cómo es de probable que ocurra un evento sencillo incierto o un conjunto de circunstancias. Utilización de herramientas internas (SIRO, GERE, Informes de AI, ) para calibrar el punto de partida de las variables Impacto y Probabilidad. Página 26

27 Priorización de Riesgos: Impacto Valor Descripción 1 Se aplicará este nivel a riesgos cuyo nivel de impacto estimado no supere los euros 2 Riesgos cuyo nivel de impacto estimado se encuentre entre los y euros 3 Riesgos cuyo nivel de impacto estimado se encuentre entre los y euros 4 Riesgos cuyo nivel de impacto estimado se encuentre entre los y euros 5 Riesgos cuyo nivel de impacto estimado se encuentre entre los y 2,5 MM euros 6 Riesgos cuyo nivel de impacto estimado se encuentre entre los 2,5 MM y 10 MM euros 7 Riesgos cuyo nivel de impacto estimado se encuentre entre los 10 MM y 25 MM euros 8 Riesgos cuyo nivel de impacto estimado se encuentre entre los 25 MM y 50 MM euros 9 Riesgos cuyo nivel de impacto estimado se encuentre entre los 50 MM y 75 MM euros 10 Riesgos cuyo nivel de impacto estimado supere los 75 MM euros Página 27

28 Priorización de Riesgos: Probabilidad estimada 1 Probabilidad estimada: Remota. 2 Probabilidad estimada: Escasa. 3 Probabilidad estimada: Poco Probable. 4 Probabilidad estimada: Probable. 5 Probabilidad estimada: Muy Probable. Página 28

29 Ayuda para homogeneizar la asignación de Probabilidad estimada (I) La probabilidad de ocurrencia de los riesgos de un proceso está directamente relacionada con las características de dicho proceso. Variables del proceso a tener en cuenta para la determinación de la probabilidad de ocurrencia de sus riesgos: Manualidad del proceso. Periodicidad de su ejecución. Nivel de complejidad de su ejecución. Nivel de dispersión en la ejecución del proceso. Entorno:se valorarán agentes externos que pudieran incidir en la probabilidad de ocurrencia del Riesgo. Los riesgos externos (desastres) siempre tendrán una probabilidad de ocurrencia menor que los relacionados directamente con procesos (probabilidad remota). Página 29

30 Determinación de Riesgos Críticos Objetivo: Centrarse en lo relevante. Determinación centralizada de los Riesgos más importantes para el Grupo. Determinación local de los Riesgos más importante a nivel País y/o Unidad Organizativa. Fijación del perímetro de documentación y gestión del modelo de control de cada País / Unidad Organizativa. Página 30

31 Documentación del Modelo de Control Controles de ambiente Controles Generales y de seguimiento Controles específicos Documentación, clasificación y asignación de controles. Determinación de Key Controls. Página 31

32 Determinación de Riesgos Residuales Riesgo Inherente Controles: Nivel de Mitigación Riesgo Residual El Nivel de mitigación vendrá determinado por el nivel de control existente. Necesidad de evaluar la eficacia del Modelo de control. Modelo sencillo basado en la experiencia de los CIROS. Posibilidad de incidir en una o en las dos características del riesgo: Impacto (nueva estimación según la tabla cuantitativa). Probabilidad estimada (según cuadro en la transparencia siguiente). Página 32

33 Reducción del nivel de Probabilidad estimada Valor Concepto Descripción 90% Muy elevado 75% Elevado 50% Medio 25% Bajo 0% Nulo Cuando se considere que el efecto mitigador de los controles existentes es MUY ELEVADO (tendente al 100%), se considerará como nivel de reducción de la probabilidad de ocurrencia un 90%. Cuando se considere que el efecto mitigador de los controles existentes es ELEVADO, se considerará como nivel de reducción de la probabilidad de ocurrencia un 75%. Cuando se considere que el efecto mitigador de los controles existentes es MEDIO, se considerará como nivel de reducción de la probabilidad de ocurrencia un 50%. Cuando se considere que el efecto mitigador de los controles existentes es BAJO, se considerará como nivel de reducción de la probabilidad de ocurrencia un 25%. Cuando haya controles o se considere que el efecto mitigador de los mismos es MUY BAJO, la probabilidad de ocurrencia del riesgo será tendente al 100%. Por ello, se considerará como nivel de reducción de la probabilidad de ocurrencia un 0%. Página 33

34 Mitigación del Riesgo Residual La responsabilidad del control interno recae en los Directores de las Unidades de Negocio y Apoyo. En la práctica, esta responsabilidad es cubierta mediante el desarrollo de las funciones de control interno específicamente atribuibles al Director de Producción. Es decir, cada Unidad de Negocio y Apoyo, determinará su nivel de apetito al riesgo residual en el correspondiente Comité CIRO, informando al CIRO Corporativo para su posterior ratificación. Será obligatorio, por lo tanto, establecer planes de mitigación para todos aquellos riesgos residuales que superen el apetito al riesgo establecido. Seguimiento de la implantación de los Planes de mitigación: CIROS. Reevaluación del nivel de mitigación de los Riesgos Residuales. Página 34

35 Mitigación del Riesgo Residual Valoración del Riesgo de acuerdo a la eficacia de los controles Determinación del Riesgo Objetivo: CCIRO a propuesta del CIRO Distancia del Riesgo Residual al Riesgo Objetivo Valoración Riesgo Residual Determinación Riesgo Objetivo Valoración GAP de Riesgo Impacto Probabilidad Impacto Probabilidad Impacto Probabilidad Elaboración Plan de Mitigación Página 35

36 Modelo de Key Risk Indicators (KRIs) Indicadores anclados a los Riesgos Residuales de los procesos. Objetivos: Medir la evolución en el tiempo del riesgo residual de los procesos. Carácter anticipativo. Alimentación manual o automática de Indicadores. Flexibilidad para facilitar la construcción del modelo poco a poco. Posibilidad de construir indicadores Top Down. Frecuencia de la captura variable en función de la disponibilidad de la información (diaria, trimestral, anual, ). Página 36

37 Modelo de Escenarios Requerimiento normativo para el cálculo de capital. Eventos de Riesgos Operacionales de baja recurrencia y alto impacto. Fuentes utilizadas: Modelo de gestión de Control Interno y Riesgo operacional (Riesgos Residuales). Otras fuentes. Valoraciones profundas contemplando diferentes variables y ámbitos geográficos para un mismo riesgo y realizadas, en general, por áreas expertas. Colaboración diferentes unidades especializadas. Cuantificación Monetaria. Necesidad de estresar los cálculos. Refuerzo para la gestión. Página 37

38 Realización Se requiere una documentación exhaustiva del escenario CIRO País construirá escenarios cuya fuente de información se encuentre en un único sitio y distribuirá la cuantificación económica entre las áreas afectadas. Se han definido 3 tipos de escenario: General: afecta a todo el país o toda una sociedad Independiente: impacta solo en un área Multilínea: afecta a dos o mas áreas Página 38

39 Realización Se requiere una documentación exhaustiva del escenario CIRO País construirá escenarios cuya fuente de información se encuentre en un único sitio y distribuirá la cuantificación económica entre las áreas afectadas. Se han definido 3 tipos de escenario: General: afecta a todo el país o toda una sociedad Independiente: impacta solo en un área Multilínea: afecta a dos o mas áreas Página 39

40 Elaboración de Escenarios En el ámbito del País. Liderados por el CIRO PAIS. Valoraciones profundas contemplando diferentes variables y ámbitos geográficos. Colaboración diferentes unidades especializadas. Cuantificación Monetaria. Necesidad de estresar los cálculos. Fuentes utilizadas: Modelo de gestión de Control Interno y Riesgo operacional (Riesgos Residuales). Otras fuentes. Lista de escenarios abierta. Revisiones anuales. Página 40

41 Inventario de escenarios CIRO Holding ha definido las siguientes tipologías de escenarios: CLASE DE RIESGO TIPO DE ESCENARIO DESCRIPCION CLASE DE ESCENARI O 801 Corte del suministro/actividad de proveedores críticos Suspensión definitiva o momentánea del servicio que presta un proveedor Mal servicio reiterado en la prestación de un servicio por parte de un proveedor Global RESPON SABLE CIRO país 701 Desastres naturales o provocados en edificios singulares Desastre en un edificio que provoca el no poder desarrollar el trabajo que se venía realizando en dicho edificio o que se realiza por debajo de la actividad normal. Especial atención a edificios operativos (Ej. Op+ Málaga) Multilinea CIRO país 701 Desastres naturales o provocados en CPD Desastre en un CPD que provoca el no poder desarrollar el trabajo que se venía realizando en dicho edificio o que se realiza por debajo de la actividad normal. Global CIRO país 701 Pandemias Suspensión / reducción de la actividad como consecuencia de la aparición de cualquier tipo de enfermedad a nivel país (epidemia) o de ámbito mayor (pandemia) 604 Incumplimiento de la ley de blanqueo de capitales 603 Comercialización productos defectuosos Posibles sanciones por incumplimiento de la ley de Blanqueo de capitales, independientemente de su origen (negocio, deficiencia de sistemas informáticos, deficiencias en diseños y/o de los procedimientos, etc.) Comercialización de productos con defectos en su diseño que puede llevar a la entidad a tener que responder de pagos ante la Hacienda Pública o cualquier otro organismo, así como a tener que atender reclamaciones/indemnizaciones de clientes. 501 Admisión forzosa de empleado Admisión forzada de un colectivo de empleados subcontratados por el banco tanto si es directamente como si dicha contratación se realiza a través de otra empresa. 401 Errores en diseño de aplicativo Fallos de programación en los aplicativos, provocados por errores en su diseño o elaboración. Global Independ. Multilinea Global Multilinea CIRO país Area afectada CIRO país CIRO país CIRO país Página 41

42 Inventario de escenarios CLASE DE RIESGO TIPO DE ESCENARIO DESCRIPCION CLASE DE ESCENARI O RESPON SABLE 301 Uso indebido de cuentas Internas de la entidad (transitorias contables, orden diversa, ) Quebrantos producidos por traspasos realizados por empleados con cargo a este tipo de cuentas a cuentas personales Independ Area afectada 301 Uso indebido de información confidencial/privilegiada Uso de información confidencial/privilegiada, valorando tanto el supuesto que pueda ser con el fin de obtener un beneficio (la persona que lo realiza) como que se trate de informaciones que se puedan hacer públicas y conlleven multas y/o indemnizaciones. Independ. Area afectada 301 Uso indebido del Swift Fraudes realizados a través del Swift con cargo a cuentas de clientes Independ. CIRO País 301 Uso indebido del TP Fraudes realizados a través del teleproceso con cargo a cuentas de clientes Independ. Area afectada 302 Operativa no autorizada en el ámbito de Mercados (Tesorería) Operativa no declarada en operaciones de Tesorería como consecuencia de posiciones indebidas, ocultación de operaciones/riesgos, etc. Independ. Area afectada 204 Fraudes a través de sistemas informáticos Ataques a sistemas informático tanto con el ánimo de lucrarse como con el fin de dañar los sistemas. Global CIRO País 105 Errores que puedan perjudicar la finalidad de un contrato con clientes Errores significativos que puedan perjudicar de algún modo la finalidad de un contrato por importes considerables Independ. Area afectada 103 Incumplimiento de la normativa de BdE, CNMV, LOPD, Posibles sanciones impuestas por cualquier organismo Regulador, independientemente del origen. Independ. Area afectada 103 Incumplimiento de la normativa de fiscal Sanciones impuestas por la Agencia Tributaria, independientemente del origen. Global Area afectada Página 42

43 Índice del Modelo de Escenarios 1. Introducción 2. Intervinientes 3. Ámbito concreto del escenario 1. Análisis y funcionamiento 2. Controles y medidas mitigadoras 3. Fuentes de información Interna Externa 4. Hipótesis 5. Conclusiones Frecuencia Escenario de pérdida esperada Escenario de pérdida extrema Página 43

44 Objetivo 2011: nueva plataforma de gestión cualitativa P 4 P 1 SIRO España Base de Datos Combinada P 2 ORX América y Resto P 3 ORX West Europe Plataforma de Gestión cualitativa Plataforma de Gestión cuantitativa Página 44

45 4. Base de Datos y Cálculo de Capital Página 45

46 SIRO Eventos (pérdidas) de Riesgo Operacional DISTRIBUCIÓN DE IMPORTES POR CLASE TECNOLOGÍA 2% FRAUDE INTERNO 20% RR HH 1% PRÁCTICAS COMER. 6% FRAUDE EXTERNO 25% EXTERNO 3% PROCESOS 43% Características del SIRO Herramienta cuantitativa Convierte la contabilidad en una base de datos de eventos Ámbito local / global Acceso por Intranet Visión por área de negocio/soporte y clase de riesgo Integrado con bases de datos externas (ORX) Información histórica desde Enero 2002 Página 46

47 Objetivos Gestión Cuantitativa R.O. Solvencia Modelos AMA Ahorro Capital Gestión (resultados) SIRO Bases de datos internas con eventos y pérdidas ORX, CERO Bases de datos externas con eventos y pérdidas Expedientes eventos internos Página 47

48 Metodología de Riesgo Operacional SIRO P 1 Distribución frecuencias Poisson Negative Binomial ORX América y Resto ORX West Europe P 2 P 3 Base de Datos Combinada Monte Carlo Simulation CaR Eventos Simulados España P 4 Distribución severidades Lognormal Pareto Weibul Gamma Mixture (2 lognormals) EVT Etc... Ajuste Cualitativo Página 48

49 Ventajas de los modelos AMA La cultura de RO genera valor para nuestro Grupo + V A L O R = Reducción pérdidas Incremento negocio Menor capital regulatorio Menor costes de seguros Página 49