Presentada por D. Alberto Ferreras Salagre Lima

Transcripción

1 Metodología de Cuantificación y Gestión de Escenarios Presentada por D. Alberto.Ferreras.Salagre@gmail.com Lima

2 Descargo de responsabilidad. Las opiniones presentadas en esta presentación representan las opiniones personales del ponente basadas en sus años de experiencia y estudio de la gestión del Riesgo Operacional 2

3 Metodología de Cuantificación y Gestión de Escenarios Cómo gestionamos el Riesgo Operacional? 3

4 Entornos / modelos de gestión Que no haya sucedido no quiere decir que no pueda suceder. Utilizar el conocimiento de los expertos para detectar problemas y gestionarlos antes de que sucedan o estar mejor preparados si suceden (+) Forward Looking (-) Subjetividad (Anticiparme) (opiniones). 4

5 Riesgos Significativos Todos los Riesgos Parecidos pero no iguales Análisis de Escenarios RCSA Análisis de escenario Comprender un riesgo específico con suficiente detalle para permitir a los gestores estar adecuadamente preparados para tratar con el evento El enfoque es de extremo a extremo Tratamiento asume riesgos identificados y explora qué otra cosa podría ir mal desde entonces? Explora causa fundamental de evento de pérdida Cómo podemos responder? RCSA El objetivo es identificación de los riesgos de alto nivel asociada con una unidad específica, una división o un grupo de productos Se centra en procesos individuales El riesgo es identificado y descrito brevemente. Puede no tener un análisis asociado de la causa A que estamos expuestos? 5

6 Estándar Mejores Prácticas Antes de seguir El hecho de que el riesgo operacional se encuentra en diferentes fase de evolución dependiendo de la entidad. La influencia de la regulación. De cara a poder definir esas mejores prácticas de cuantificación y gestión de un escenario antes tendremos que responder a algunas preguntas que parecen muy obvias pero que a día de hoy no lo son. Qué entendemos por la palabra escenario? Para qué usan las entidades los escenarios? Para qué quiere mi entidad usar los sus escenarios? 6

7 Los escenarios no se usan sólo en R.O Qué pasaría si.? What if? Representación de una situación adversa, poco probable y que puede implicar unas pérdidas muy significativas para la entidad. Cómo se suele definir un escenario en riesgo operacional? Qué es un escenario? Un escenario de riesgo operacional describe un conjunto de circunstancias que se combinan para crear, un evento de pérdida operacional poco probable, pero posible, de severidad tal elevada (eventos de cola o extremos) que podrían afectar gravemente una organización. Errores Fraudes Desastres 7

8 Qué es un escenario? En la guía para modelos AMA, se indica varios elementos encontrados habitualmente en un marco de gestión de escenarios. Un proceso repetible y definido claramente. Unos buenos conocimientos por parte de las personas que participan el proceso de generación de escenarios. Facilitadores cualificados y con experiencia. La participación en el proceso de generación de escenarios de los representante adecuados del negocio, de la materia analizada y del equipo de riesgo operacional. Un proceso estructurado de la selección de los datos utilizados en la estimación. La generación de una documentación de alta calidad que proporciona un razonamiento claro y evidencias que apoyen el resultado del escenario. Un sólido proceso de challenge (cuestionamiento) y supervisión por parte de la unidad de riesgo operacional corporativa para garantizar la idoneidad de las estimaciones de escenarios Los mecanismos para mitigar los sesgos inherentes a los procesos de escenarios. Estos sesgos incluyen los sesgos de anclaje, la disponibilidad y motivación. 8

9 No hablamos de escenarios Hablamos de marco de gestión de escenarios Fases de la gestión de escenarios Uso o el propósito del escenario Gestión de sesgos Fuente: ORX Modelo de Gobierno Preparación Revisión Marco de gestión de escenarios Capital Gestión Cuantificación Validación Reporting 9

10 En la actualidad existe mucha diversidad dentro de las entidades en relación al uso de escenarios en la gestión de riesgo operacional. Para qué usan las entidades los escenarios? Usos Pilar 2 (ICAAP) Input directo en modelos de capital Herramienta de gestión / análisis cualitativo Herramienta de concienciación de riesgos Identificación de riesgos emergentes Validación de outputs de capital Identificación de necesidad de controles adicionales Evaluación de la compra de seguros Input indirecto en los modelos de capital Tipo C C G G G C G G C 10

11 Temas relacionados con cálculo de capital por riesgo operacional Para qué usan las entidades los escenarios? Para generar datos o validar output para el modelo de capital, ya sea económico o reglamentario Metodología AMA. Enfoque LDA Fuente: 11

12 Requisito regulatorio Para qué usan las entidades los escenarios? Resolución SBS Nº Reglamento para el Requerimiento de Patrimonio Efectivo por Riesgo Operacional La empresa deberá utilizar análisis de escenarios basados en las opiniones de expertos, junto con datos externos, para evaluar su exposición a pérdidas severas. Este enfoque se apoya en el conocimiento de gerentes experimentados y de expertos en gestión de riesgos para obtener evaluaciones razonables de las pérdidas severas que podría sufrir la entidad. Las evaluaciones realizadas por los expertos podrían ser expresadas como parámetros de una distribución estadística estimada de las pérdidas. Además, el análisis de escenarios debe utilizarse para evaluar el impacto de las desviaciones que se produzcan respecto a los supuestos de correlación incorporados en el sistema de medición del riesgo operacional de la empresa, en particular, para evaluar las pérdidas potenciales procedentes de eventos simultáneos de pérdida. Estas evaluaciones deben ser validadas y revisadas a través de su comparación con la experiencia real de pérdidas, con el fin de asegurar su razonabilidad significativas para la entidad. 12

13 Severidad Montecarlo Frecuencia Objetivo principal de complementar la base de datos interna con datos procedentes de bases externas o escenarios, es tener una representación adecuada de los eventos significativos que pueden condicionar el capital, para asegurarse que la cifra obtenida no esta infra estimada. Distribución agregada de pérdidas Para qué Metodología usan las entidades LDA. los escenarios? 13

14 "Escenario de capital" describe una posible combinación de acontecimientos que conducen a la pérdida improbable pero posible de un impacto extremo. Evaluación se centra en la producción cuantitativa de la pérdida en términos de impactos directos de la pérdida (restitución, los costes profesionales, multas y honorarios de abogados, etc.) y debe incluir una evaluación de las siguientes medidas de riesgo: tamaño de la pérdida en un intervalo determinado de probabilidad / confianza (gravedad); número de pérdidas a lo largo de un cierto período (frecuencia ). Fuente: ORX Para qué usan las entidades los escenarios? Con el futuro cambio normativo este uso puede disminuir considerablemente También se usan los escenarios en capital para el estrés a los modelos de capital. Cambio en las suposiciones del modelo. Sensibilidades e impactos de capital. evaluar el impacto de las desviaciones 14

15 Para qué usan las entidades los escenarios? Temas relacionados con Gestión de riesgos operacionales Un " escenario de gestión ", describe una posible combinación de hechos que afecten a un conjunto de productos, procesos o control en términos de los tres elementos discretos de un riesgo ( fuente, eventos e impacto). En general, el objetivo principal es poner a prueba la resistencia de los marcos de control y tiene planes de acción / respuesta como de salida. escenarios de gestión no están limitados por el tipo de negocio o línea de Basilea de eventos, y pueden abarca una amplia gama de tipos de riesgo ( de crédito, mercado, los seguros y los riesgos de negocio ). Ellos incluyen la evaluación de supuestos de procedimiento, de reputación, estratégicos y de negocio. Fuente: ORX Escenarios de continuidad de negocio Otros escenarios de gestión Dependiendo del tipo de escenario a generar el contenido de las fases del proceso puede cambiar. Para qué quiere mi entidad usar los sus escenarios? 15

16 Escenarios para Capital La responsabilidad sobre los mismos se ubica a nivel grupo. Son menores en número. Se centran más intensamente en riesgos estratégicos y emergentes, y se crean a nivel grupo o uno o dos niveles por debajo Es más probable que estén definidos centralizadamente, sean consistentes, transparentes, y recurrentes. Están estrechamente vinculados con preocupaciones de orden superior sobre capital regulatorio y económico, apetito al riesgo, y medidas RAROC. Fuente: KPMG ORX Preparándose ante lo imprevisto Escenarios Para gestión Se crean desde una perspectiva bottomup y la responsabilidad sobre los mismos, sobre su evaluación y validación recae en un nivel inferior de la organización, más cercano al ámbito concreto donde reside el riesgo Son más granulares en lo que respecta al tipo de acontecimientos y a los niveles de unidad de negocio. Son análisis más cualitativos Se realizan incluyendo un mayor grado de análisis sobre las causas para identificar indicadores de riesgo lineales y diferenciados. Se centran más en las pérdidas esperadas 16

17 Descripción o definición Normativas Cual es el resultado esperado de un escenario Estimación de frecuencia Causas Controles Estimación de Impacto 17

18 Fuentes de información Internas y externas KRI. Indicadores de referencia Cual es el resultado esperado de un escenario Unidades participantes Identificación de acciones o controles adicionales A veces el proceso puede ser mas importante que el resultado. Clase de riesgo. Línea de negocio Documentación de las decisiones e hipótesis 18

19 Promover un claro respaldo por parte de la alta dirección visible para el conjunto de la organización que legitime el proceso. Establecer un proceso de rendición de cuentas definido claramente para resolver discrepancias y conflictos entre las diferentes partes involucradas. Modelo de Gobierno Atribuir la responsabilidad sobre escenarios de análisis y ejecución de los mismos del grupo o de la función corporativa de riesgo operacional a las unidades de negocio, manteniendo la supervisión por parte del grupo Involucración total, si no propiedad de los escenarios por las unidades de negocio Todo lo proceso debe de estar perfectamente documentado, y definidos los roles y responsabilidades de cada uno de los intervinientes en el mismo. 19

20 Capital. Pocos <25 Gestión. Más >50 Riesgos de que ocurrir pueden llegar a tener un impacto significativos para el negocio. Riesgos que completen celdas con pocos datos. Inquietudes de la alta dirección. Desastres/Pandemias. Cada departamento establece su propio escenario a través de la amplia análisis de los errores operacionales y accidentes, el control interno condición, el entorno empresarial, etc. Identificación Selección Los riesgos más significativos o con severidades más elevadas obtenidos en los procesos de autoevaluación o en la base de datos de pérdidas, o eventos sucedidos a entidades similares (base externas). Preguntas tales como Cuál es que puedo sufrir?. El desastre más grande La multa más grande El fraude más importante 20

21 Capital. Gestión. Un escenario no se hace en 1 día. Seleccionar las personas adecuadas para realizar el escenario. No es todos los escenarios tiene que estar todos los departamentos. Facilitarles previamente toda la información disponible en relación al tema analizado. Preparación / realización Definición del escenario. Información interna. Base de datos, indicadores, variables de referencia, ejercicios de autoevaluación, auditorias. Información de bases de datos externas, información aparecida en presa. Cuestionarios Entrevistas individuales Talleres workshop 21

22 Preparación Fuente: Oric SCENARIO ANALYSIS OF OPERATIONAL RISK IN INSURANCE A guide to sound practices February

23 Cuantificación Casi cualquier cuantificación es rebatible? Cualquier cuantificación se debe basar en hipótesis. Las hipótesis han de estar documentada y respaldadas lo mejor posible por los datos. La realidad interna o externa ha de ser un punto de partida Un escenario debe basarse en el conocimiento y la experiencia de los gestores. Output esperado Pérdida esperada Pérdida extrema Intentar objetivar la subjetividad Para que necesito una cuantificación? Directa Indirecta Lucro cesante Frecuencia Evaluación del marco de control y de su efectividad Escalas Valores concretos 23

24 Partimos de la base de que un escenario es poco probable Diferencia entre una probabilidad de 0,001 o 0,0001 al 90% al 95% Simplifiquemos esta parte. Frecuencia. 1 cada 10 1 cada 25 1 cada 50 1 cada 100 Me ha sucedido algo parecido dentro de mi entidad No me ha sucedido algo parecido a mi entidad, pero si a alguna entidad del sistema parecida a mi. No ha sucedido nada parecido a ninguna entidad 24

25 Severidad Se suele calcular 2 valores Pérdida esperada: Importe medio que podría costar el evento a la Entidad en caso de ocurrencia Modelo de control funciona razonablemente. Pérdida extrema: Importe que podría costar el evento a la Entidad excepcionalmente cuando ocurra el riesgo Modelo de control no funciona. Buscar variables numéricas y objetivables de referencia que sustenten la justificación de la severidad. Buscar esas variables para la perdida directa, indirecta y lucro cesante. 25

26 Severidad Ejemplo I-1 Fraude masivo en tarjeta de crédito. Perdida directa Número de tarjetas comprometidas * importe defraudado por cada tarjeta. Numero de tarjetas comprometidas. o Parque total de tarjetas. o Tarjetas activas. o Número de tarjetas sobre las que se puede hacer un fraude. o Tiempo necesario para la detección. o Tiempo para la implantación de medidas. Importe defraudado por tarjeta. o Límite de cada una de las tarjetas o Tipo de control por tarjeta o importe 26

27 Perdida indirecta Coste de reposión de las tarjetas = Total tarjetas % tarjetas comprometidas % tarjetas activas coste unitario reposisión Coste de revisión de los sistemas. Lucro cesante Severidad Ejemplo I-2 Comisiones no cobradas = Tarjetas afectadas Tiempo de reposición Beneficio anual por tarjeta 365 Abandono de clientes = Clientes afectados % abandono beneficio medio cliente En función de que cuantifiquemos la pérdida esperada o la extrema los valores de las variables son diferentes 27

28 Severidad Ejemplo II-1 Sanción por incumplimiento de la ley del prevención de blanqueo de capitales. Pérdida directa. Importe de la sanción en función del incumplimiento y del comportamiento. Valores de la sanción en función del importe Dólares 10k dólares 10k 1 millón - 100k dólares +1 Millón - 1 millón de dólares Número y importe de transacciones que realizamos Dólares k 1 millón Millón - 0 Importe máximo que soporta el sistema Número de operaciones sospechosas identificadas y reportadas Retroactividad de la norma Sanciones anteriores a nosotros o a otras entidades 28

29 Perdida indirecta Costes de rectificación y revisión. Honorarios y costos legales Costos de administración Revisión y sustitución de los sistemas Los costos de las investigaciones internas o externas Lucro cesante Severidad Ejemplo II-2 Posible daños de imagen Pérdida de ingresos por pérdida de licencia. Los gestores son los que tienen que proponer y justificar las suposiciones detrás de las variable La severidad es fundamental, para el cálculo de capital, para gestión entender que puede ir mal y como anticiparnos puede ser igual de importante Qué tiene que llegar a pasa para estar en esa situación?. Qué controles deberían de fallar? Causas vs consecuencias 29

30 Severidad Tipos de costes a considerar Fuente: Oric SCENARIO ANALYSIS OF OPERATIONAL RISK IN INSURANCE A guide to sound practices February

31 Gestión de sesgos. Subconsciente, o de juicio, surgen sesgos como consecuencia de las limitaciones en la propia capacidad de procesamiento de la memoria o información. Disponibilidad - La sobreestimación de los acontecimientos del escenario debido a los acontecimientos reales con los que los encuestados o o tenían más cerca o un contacto más reciente. La realización de talleres con personas de varios departamentos Utilizar información tanto interna como externa, probabilidad de que se incendie en edificio. Consciente, o de motivación, surgen sesgos cuando se tiene un interés en influir en los resultados del análisis. Motivación / Gaming - La falsificación deliberada o accidental de información debido al interés de los encuestados en conflicto con los objetivos y las consecuencias del escenario. 31

32 Gestión de sesgos. A los gestores puede no gustarles que se plante que nos procesos pueden fallar, creen que están cuestionando su trabajo. Los gestores pueden aumentar las estimaciones para dar importancia a un tema que les preocupa. o Las evaluaciones comparativas entre los LOB o La validación independiente y desafío o El uso de los datos internos y externos. o Los escenarios utilizados para autoevaluaciones no deben conectarse directamente al ajuste de capital o Verificar los datos que los expertos aportan a la discusión o Pedir razones para apartarse de la distribución de datos externa o Anime a los participantes a cuestionar las estimaciones razonables o Mostrar la medida en que afectan a los escenarios de la cantidad y distribución de capital o Requerir evidencia de cambio en el riesgo de indicadores o Validación de los puntos de referencia alternativos o Los requisitos de consenso y la copropiedad de las estimaciones o Documentación 32

33 Capital. Gestión. Validar implica cuestionarse las suposiciones usadas, así como los resultados numéricos de los escenarios. Validación Suele ser realizado por una unidad independiente. Validación interna Auditoria. Esta fase le da credibilidad a los resultados de los escenarios No suele ser tan necesario, ya que en el propio proceso de realización, el grupo esta cuestionando los resultados. 33

34 Capital. Gestión. Reguladores Alta dirección / Gerencia/ responsable de la unidad / comité de ro de la unidad Reporting Presentar tanto a la dirección ejecutiva como a los responsables de las líneas de negocio los resultados de las evaluaciones de una forma que les permita tomar decisiones bien fundadas. Garantizar que los resultados del proceso de análisis de escenarios se traducen en un proceso de mejora continua y proporcionan información valiosa y significativa 34

35 Revisión Tiene que estar documentado dentro del procedimiento de generación de escenarios dos temas fundamentales. Cada cuanto se revisa un escenario? Generalmente la periodicidad suele ser anual, aunque hay entidades que lo hacen semestral o trimestral. Cuales son los detonantes ( triggers ) para considerar incluir o desarrollar un escenario nuevo o eliminar uno exístete. Lógicamente no es lo mismo revisar un escenario ya existente, que realizar un escenario nuevo. 35

36 Dependiendo del tipo de escenario a generar el contenido de las fases del proceso puede cambiar. Para qué quiere mi entidad usar los sus escenarios? Capital. Foco en lo cuantitativo Gestión. Foco en lo cualitativo Realizar escenarios implica un conjunto de pasos Involucración total, si no propiedad de los escenarios por las unidades de negocio Resumen de Ideas. Output esperado Pérdida esperada Pérdida extrema Directa Indirecta Lucro cesante Para que necesito una cuantificación? Frecuencia Evaluación del marco de control y de su efectividad. El proceso es mas importante que el resultado. 36

37 Muchas gracias por su atención. Ruegos y preguntas