Riesgo Operacional Definición y metodologías para su medición y gestión CORERIF, octubre 2017

Transcripción

1 Riesgo Operacional Definición y metodologías para su medición y gestión CORERIF, octubre 2017

2 Contenido Antecedentes y conceptos fundamentales Por qué gestionar el Riesgo Operacional? Administración del Riesgo Operacional Estándares y prácticas internacionales

3 Contenido Antecedentes y conceptos fundamentales Por qué gestionar el Riesgo Operacional? Administración del Riesgo Operacional Estándares y prácticas internacionales

4 Introducción La reflexión de RO fue motivada por casos muy especiales a mediados de los 90 s 1995: Barings Bank (UK), fundado en 1762 Quiebra por pérdida de US$ 1.4 millardos 1995: Daiwa Bank (Japón) Pérdidas de US$ 1.1 millardos 1996: Sumitomo Corporation (Japón) Pérdidas por US$ 2.6 millardos

5 Introducción Más allá de los casos legendarios: Diversos Tipos: Fraude interno: Allied Irish Bank, US$ 691 millones por trading fraudulento Fraude externo: Republic New York Corp., US$ 611 millones por estafa de cliente Prácticas inadecuadas: Providian Financial Corp., US$ 405 millones por ventas y facturación inapropiada Fallas en sistemas y procesos: Solomon Brothers, US$ 303 millones por migración fallida de sistemas informáticos En la última década más de 100 casos mayores a US$ 100 millones Encuesta Basilea 2002: 89 bancos, reportaron más de 47,000 pérdidas mayores a US$ 10, casos excedieron US$ 1 millón

6 Introducción Caso Lehman Brothers: Mayo de Un broker, empleado de Lehman, al ejecutar una orden de venta, añadió un cero más a la derecha y realizó una operación de 300 millones, en lugar de los 30 millones perseguidos. La venta la ejecutó sobre un conjunto de valores del índice londinense FTSE 100, lo que provocó un descenso del índice de 120 puntos, equivalentes a unos 40 millardos en pérdidas. FTSE (5,242.4, 5,187.6, 5,197.2) May

7 Introducción Caso Société Générale: Enero de Durante el 2007, un empleado llevó a cabo operaciones erróneas que pasaron desapercibidas en el seno del banco gracias a sus conocimientos del sistema informático del mismo (en el que había trabajado previamente). Sus superiores descubrieron que los descalabros financieros se relacionaban con su persona el 19 de enero de Según Daniel Bouton, ex-presidente del banco, el fraude Kerviel fue en realidad muy sofisticado. En la práctica, Kerviel apostó una suma extraordinaria a que ciertas acciones subirían o bajarían y "perdió la apuesta". Cuando el banco se dio cuenta de las operaciones e intentó deshacerlas, ya estaba en medio de la crisis financiera que afectaba a los mercados internacionales y perdió 4,900 millones. Según explicó Burton, Kerviel utilizó un complejo sistema para ocultar sus operaciones bajo falsas transacciones.

8 Introducción Caso Worldcom: Bernard Ebbers, presidente de WorldCom, realizó una serie de fraudes contables que llevaron a la empresa a la quiebra. El grupo bancario Citigroup tuvo que llegar a un acuerdo extrajudicial con los accionistas a los que pagó US$2,650 millones (había provisionado US$4,950) a cambio de que retirarán la demanda colectiva que habían realizado, por haber recomendado títulos de WorldCom.

9 Qué es riesgo operacional? El riesgo de pérdida causado por la falla o insuficiencia de los procesos, personas y sistemas internos, o por eventos externos. Esta definición incluye el riesgo legal, pero excluye los riesgos estratégico, de reputación y sistémico. Procesos internos 1 Personas Tecnología 2 3 Continuidad del Negocio 5 PSI Seguridad de la Información 6 Eventos Externos 4 Mejora Continua PCN

10 Contenido Antecedentes y conceptos fundamentales Por qué gestionar el Riesgo Operacional? Administración del Riesgo Operacional Estándares y prácticas internacionales

11 Enero 2014 Por qué gestionar el riesgo operacional? Eventos de Riesgo

12 Por qué gestionar el riesgo operacional? Enero 2014 Permite prepararse ante cambios externos Mejora el conocimiento de los procesos, de los sistemas, del negocio y del mercado Contribuye a la capacitación y especialización del recurso humano Reducción de riesgos y pérdidas Mejora la imagen de la institución

13 Contenido Antecedentes y conceptos fundamentales Por qué gestionar el Riesgo Operacional? Administración del Riesgo Operacional Estándares y prácticas internacionales

14 Administración del riesgo operacional Eventos Externos Procesos Internos Administración del Riesgo Operacional Personas Tecnología de la información

15 Administración del riesgo operacional Marco de gestión Proceso de gestión Gestión del Riesgo Operacional

16 Generadores de Riesgo Identificación y evaluación del riesgo Control del Riesgo Gestión del Riesgo Estructura organizacional Comité de Riesgos Unidad de Riesgos Áreas de Soporte Áreas de Negocio Procesos de la Entidad

17 Administración del RO Conceptos básicos (1/2) FACTOR EVENTO PÉRDIDA Es la causa primaria de un evento de riesgo operacional Es la materialización del riesgo operacional. Suceso o serie de sucesos, ya ocurridos o potenciales Impacto negativo en los resultados o en el patrimonio de la compañía, debido a un evento de riesgo operacional Deficiencias o fallas en el servicio de monitoreo de las alarmas Robo en agencia o sucursal con acciones violentas o premeditadas Robo agravado por US$ 750,000 Agencia 47

18 Administración del RO Conceptos básicos (1/2) Frecuencia (Probabilidad) Es una medida de ocurrencia de un evento. Se toma como la cantidad de ocurrencias de un evento en un periodo dado. 4 Severidad (Impacto) Se expresa como la pérdida monetaria (calculable o estimable) como consecuencia de la ocurrencia de un (1) evento.

19 Ventaja de la administración del RO Mayor gestión del RO Mayor eficiencia Menores sobre costos Riesgo Financiero Rentabilidad Capital Menor necesidad de capital a LP Mayor utilidad a MP

20 Mapa de riesgos Identificación (1/3) Asignación de riesgos a procesos Promoción Seguimiento y recuperación Solicitud Desembolso Evaluación Formalización Aprobación

21 Mapa de riesgos Identificación (2/3) Proceso de Desembolso Riesgos Potenciales Jefe de Créditos o Cartera Desembolso Recibe notificación de que la operación fue formalizada y el expediente del cliente Consulta la operación de préstamo cargada en el sistema Verifica que la solicitud se encuentre correctamente integrada y posea las autorizaciones correspondientes. Efectúa la liquidación de la operación en el sistema y la acreditación de los fondos en la cuenta indicada. Imprime copia de la liquidación efectuada, firma y sella se incorpora el expediente. Remite el expediente a contabilidad para su control Final Problemas en las aplicaciones informáticas o en las comunicaciones que impiden formalización del crédito. Errores en el cargo de las comisiones. Errores en la acreditación Errores en las firmas de los documentos legales. Errores en el proceso de liquidación

22 Mapa de riesgos Identificación (3/3) Asignación de riesgos a áreas FACTORES DE RIESGO No. RIESGO SISTEMAS TESORERIA BANCA PERSONAL BANCA CORPORATIVA PERSONAS 1 Realización de operaciones no autorizadas X 2 Fraude / fraude crediticio 3 Hurto / extorsión / malversación / robo X 4 Falsificación X 5 Apropiación y/o destrucción de activos X 6 Cumplimiento de contratos/reglamentos/normas 7 Pérdida o ausencia de personal clave X X X X PROCESOS 8 Pagos / cobros anómalos X 9 Inexistencia de autorizaciones X X X 10 Documentos jurídicos inexistentes X 11 Registros incorrectos X 12 Incumplimiento de la obligación de informar internamente X 13 Inexacitud de reportes X X X X 14 Errores de introducción de datos X X X 15 Incumplimiento de plazos o de responsabilidades X 16 Error contable X 17 Inadecuado mantenimiento de datos de referencia X X 18 Errores en el proceso de titulación X

23 Mapa de riesgos Evaluación -matriz de frecuencia- CLASIFICACION PROBABILIDAD DESCRIPCION FRECUENCIA RARA 1 Insignificante (muy improbable) Eventos que son extremadamente raros 6 años o menos POCO PROBABLE 2 Podría ocurrir en algún momento (poco probable pero posible) Eventos que ocurren en circunstancias excepcionales Una vez cada 3 años FRECUENTE 3 Debería ocurrir en algún momento (moderada) Evento que ocurre algunas veces Anualmente PROBABLE 4 Muy probablemente ocurrirá en algún momento (muy probable) Evento que probablemente ocurrirá en la mayoría de circunstancias Semestralmente ESPERADA 5 Ocurrirá en la mayoría de los casos (alta incertidumbre) Evento que ocurrirá en la mayoría de circunstancias Al menos mensualmente OBJETIVO: establecer la probabilidad de ocurrencia de cada evento sin considerar los controles.

24 Mapa de riesgos Evaluación -matriz de severidad- CLASIFICACION PERDIDA DIRECTA DESCRIPCION FACTORES QUE INFLUENCIAN EL VALOR Regulatorio Servicio al Cliente INSIGNIFICANTE 1 Por definir * Pérdidas financieras pequeñas, no hay pérdidas para los clientes Sin impacto Sin cuidado MENOR 2 Por definir Pérdidas financieras promedio, pocos clientes sufren pérdidas Intento infructuoso de acceso a los sistemas operacionales Impacto pequeño MODERADA 3 Por definir Pérdidas financieras moderadas, sin pérdida reputalcional total Penetración lógica en los sistemas operacionales del banco Número significativo de clientes afectados MAYOR 4 Por definir Pérdidas financieras mayores, pérdida de reputación general Investigación policial o regulatoria Pérdida prolongada de servicios en las últimas 24 horas MASIVA (CATASTROFICA) 5 Por definir Pérdidas financieras inmensas, seria pérdida reputacional Fallo significativo del sistema total Inconveniente para todos los clientes

25 Mapa de riesgos Evaluación Cuando ya se tiene la probabilidad y el impacto de cada evento, estos se multiplican para obtener el nivel de riesgo bruto Rara Probabilidad Esperada Insignificante Severidad Masiva Riesgo Bruto (1-25)

26 Mapa de riesgos Evaluación - matriz de exposición actual - EXPOSICION MENOR LIMITADA MEDIA SIGNIFICANTE MAYOR EXISTENCIA DE PROCEDIMIENTOS Se evalúa con los actuales procedimientos Los procedimientos cubren todas los puntos clave del proceso Los procedimientos cubren la mayorías de los puntos clave del proceso Los procedimientos no cubren la mayorías de puntos clave No existen procedimientos ULTIMOS CAMBIOS Estable por 3 años Cambios limitados en un año Existen nuevos proyectos que afectarán la operación Grandes cambios en los métodos de trabajo en los siguientes 6 meses Actualmente en cambio y con alta incertidumbre CONTROL Definición detallada para todos los roles. Los controles son adecuados Roles claros para la mayoría de actividades. Los controles son adecuados; sin embargo existen debilidades que no representan un riesgo significativo Roles definidos de manera general con problemas menores. Controles con debilidades que representan un Falta de implementación de acciones correctivas de largo plazo. Los controles no son de nivel aceptable. Falta de definición de responsabilidades y niveles de control CONTINGENCIA Existe planes de contingencia completos Recuperación en 24 horas Recuperación en pocas horas Contingencia menor Sin planes de contingencia

27 Mapa de riesgos Evaluación (1/2) Riesgo Extremo Riesgo Bruto (1-25) Insignificante Masiva Riesgo Alto Riesgo Medio Severidad Riesgo Bajo Exposición Actual (1-5)

28 Mapa de riesgos Evaluación (2/2) Como resultado de la valoración de los riesgos en cuanto a probabilidad e impacto, así como de los controles, se obtiene la clasificación global o riesgo residual. El resultado permite determinar las prioridades y planes de acción específicos para contrarrestar las vulnerabilidades encontradas. MATRIZ DE RIESGO OPERACIONAL CLASIFICACIÓN GLOBAL RIESGO 2/ >10 C B EXPOSICIÓN ACTUAL 1/ A A A 1 C 2 B 3 A 4 A 5 A 8-10 C B B A A C B B A A 5-7 C C B B A C C B B A 3-4 D C C B B D C C B B 0-2 D D C C C D D C C C 1/ Derivado de la matriz de exposición 2/ Derivado de la matriz de frecuencia y severidad. OBJETIVO: Priorizar los planes de mitigación de acuerdo al nivel de riesgo y la exposición actual. Riesgo Extremo Riesgo Alto Riesgo Moderado Riesgo Bajo

29 Mapa de riesgos Mitigación (1/3) Se elabora un resumen de todos los riesgos el cual contiene: Clasificación del riesgo Factor de riesgo Nombre del riesgo Valoración del riesgo bruto (probabilidad x impacto) Valoración del control (exposición actual) Valoración del Riesgo Residual La clasificación global es evaluada por el Comité de Riesgos con la finalidad de determinar cómo será administrado el riesgo y en qué casos se deberán establecer tratamientos. Los posibles tratamientos o respuestas al riesgo detectado son las siguientes:

30 Mapa de riesgos Mitigación (2/3) Riesgo Plan de Acción (Área 4) Gestionar (Área 2) Plan de Acción (Área 3) Ideal (Área 1) Gestionar (Área 2) Exposición

31 Mapa de riesgos Mitigación (3/3) R i e s g o s Evitar Reducir Transferir Aceptar Retiro de actividades causantes de riesgos en las cuales su tratamiento adicional no es efectivo en costo y el retorno no es atractivo en relación la riesgo involucrado (por ejemplo revocación de proyectos). Actividades y medidas tendientes a reducir la probabilidad de ocurrencia y/o minimizar la severidad de su impacto (por ejemplo planes de continuidad, cambio de políticas). Actividades y medidas tendientes transferir a un tercero la responsabilidad por el manejo de riesgos y/o obligación por las consecuencias financieras del riesgo, en caso de ocurrencia (por ejemplo seguros, sub-contratación). Aceptación de riesgo donde el tratamiento adicional del mismo no es costoso, pero los retornos potenciales son atractivos en relación con los riesgos involucrados.

32 Mapa de riesgos Mitigación (3/3) Una vez identificados y cuantificados los riesgos, es importante disponer de indicadores (conocidos como KRI, Key Risk Indicator) que nos permitan realizar una gestión preventiva de los mismos. Las principales características que deben tener los indicadores: o La elección del indicador debe ayudar a explicar el riesgo asumido y reflejar el criterio experto del responsable del proceso o de la línea de negocio. o De ser posible (no siempre es el caso) los indicadores deberían poder ser traducidos en medidas cuantitativas. o Tener sensibilidad al riesgo: un incremento en el valor del indicador debe corresponder a un incremento en el riesgo monitoreado. o Los indicadores deben estar bien documentados y sujetos a revisiones independientes. o La validez y pertinencia de los indicadores deberá ser validada comparándolos con la historia de pérdidas registradas.

33 Mapa de riesgos Monitoreo (1/3) Establecer un valor óptimo o valor objetivo para cada indicador, y a partir de este valor, fijar unos umbrales de fluctuación en donde el valor se considere como aceptable o crítico. Indicador 4 Estado Actual Indicadores Estado Indicador 1 Umbrales Indicador 2 Indicador 3 Indicador Período

34 Mapa de riesgos Monitoreo (2/3) FACTORES DE RIESGO PERSONAS PROCESOS PRODUCTOS Y CLIENTES SISTEMAS EXTERNOS INDICADORES DE RIESGO OPERACIONAL INDICADOR Tasa de rotación de personal Costos reales de capacitación Ratio de número de días de personal ausente sobre número total de días Cantidad de horas extras pagadas Ausentismo de personal/ tasa de enfermedades Número de superación de límites establecidos Número de observaciones/cargos debidos a incumplimientos regulatorios Volumen de transacciones Discrepancias en el número de confirmaciones de operaciones Número de quejas de clientes Número/porcentaje de cuentas de clientes con documentación incompleta Número y tipo de violaciones de seguridad Número de incidentes con virus informáticos Tiempo de sistema caído Porcentaje de disponibilidad de servidores Número de cambios de sistema Número de incidentes con sistemas Cantidad de eventos de alarma de robo detectados por el personal de seguridad Número de robos en agencias Número de ataques informáticos Número de fraudes de origen externo exitosos

35 Mapa de riesgos Monitoreo (3/3) De acuerdo con los datos históricos de pérdidas operacionales recogidas en la base de datos durante un determinado tiempo se debe realizar la modelización para cada factor de riesgo y línea de negocio, lo cual conlleva las siguientes etapas: o o Modelización de la función de distribución de la frecuencia de ocurrencia de los eventos operacionales. Modelización de la función de distribución de los impactos o pérdidas por evento (severidades). o Obtención de la distribución agregada de pérdidas operacional para dicho evento/línea de negocio. Cálculo del Valor en Riesgo Operacional, pérdidas esperadas e inesperadas.

36 Contenido Antecedentes y conceptos fundamentales Por qué gestionar el Riesgo Operacional? Administración del Riesgo Operacional Estándares y prácticas internacionales

37 Publicaciones del Comité de Basilea Acuerdo de Basilea I, no existía cargo explícito para el cálculo de capital para RO. Basilea II, Capital regulatorio mínimo (Pilar 1) Basilea II, Revisión de Supervisión (Pilar 2) Enfoque de Método Estándar (Marzo 2016) -Documento Consultivo-

38 Estándares internacionales (1/3) Comité de Basilea: Principios para la Gestión del Riesgo Operacional Junio de 2011 Ambiente apropiado para la Gestión de Riesgos Gestión del Riesgo Divulgación

39 Estándares internacionales (2/3) 1 La Junta Directiva establece: estrategia, metodología, modelo y revisión. 2 Implementar y mantener un marco de gestión integrado. 3 La Junta Directiva establece, aprueba y revisa periódicamente el marco de gestión. 4 La Junta Directiva aprueba y revisa el nivel de tolerancia al riesgo operacional 5 Alta Gerencia es responsable de implementar y mantener a través de la organización el SARO.

40 Estándares internacionales (3/3) 6 Identificar y valorar riesgos en productos, actividades, procesos y sistemas. 7 AG debe asegurar que existe un proceso de aprobación para nuevos productos y sistemas. 8 9 Monitoreo perfil de riesgos y pérdidas. Mecanismo de reportes. Políticas, procesos y procedimientos para mitigar riesgos. 10 Planes de contingencia y continuidad del negocio. 11 Divulgación pública de la exposición al riesgo y calidad de la gestión.

41 Consideraciones finales Involucramiento de la máxima autoridad de la institución. Responsabilidad en todos los niveles de la organización. Cambio cultural. Resultados de mediano y largo plazo. Complemento de lo cualitativo y lo cuantitativo.

42 Muchas gracias