COMO ELABORAR E IMPLEMENTAR LA MATRIZ DE RIESGO PLAFT

Transcripción

1 COMO ELABORAR E IMPLEMENTAR LA MATRIZ DE RIESGO PLAFT

2 Contenido 1 2 Contexto General Caso Real Elaboración Implementación 3 Herramientas Tecnológicas

3 Convergencia y necesidad de integración de información, conceptos como de metodologías Sistemas de Riesgos Operativos LAFT Incumplimiento Fraude Contagio Reputación

4 Valoración Exposición al Riesgos de LAFT Un caso real

5 Resultados de la valoración de exposición al Riesgo de LAFT Evolución de Riesgo SARLAFT Bancamía IV Trimestre de 2014 Estado y evolución del Riesgo Consolidado de la Entidad 124,1 124,1 124,8 116,3 103, ,7 24,9 24,9 22,5 21,6 IV TM 2013 I TM 2014 II TM 2014 III TM 2014 IV TM 2014 Riesgo Residual Riesgo Inherente Extremo Alto Moderado Ba 21,6

6 Riesgo residual desde el ángulo de los factores de riesgos % % % % % % % Extremo Alto Moderado Bajo

7 Riesgo residual desde el ángulo de los riesgos asociados Extremo Alto Moderado Bajo

8 Como lo elaboramos? Elaborar. (Del lat. elaborāre). Obtener un producto por medio de un trabajo adecuado. RAE

9 Se definió y se ejecutó el método a seguir Segmentación de los Factores de Riesgo - Normativos - Procesos Identificación y Valoración de Riesgos por Procesos y factores normativos a partir de la estructura de Cadena de Valor de la Gestión por Procesos Valoración de Riesgos de las nuevas Iniciativas y Proyectos de la Entidad. Identificación, Determinación, Medición, Control y Monitoreo

10 Se definió y se ejecutó el método a seguir Etapas y estructura de la matriz de riesgo 1 Identificación y Clasificación de los Riesgos 2 Determinación del Riesgo Inherente 3 Valoración de los Controles 4 Determinación del Riesgo Residual 5 Monitoreo y Planes Mitigación Procesos Factores Riesgo asociado Segmento Valoración de los Riesgos Probabilidad Impacto Valoración de Controles Testing de Controles % mitigación Consolidación riesgo de la Entidad Procesos Factores Asociados Planes de Acción Oportunidades de mejora Fortalecimiento a los procesos

11 Para identificar el riesgo Alternativas definidas para Segmentación y valoración del Riesgo Establecimiento de metodologías para la segmentación de los factores originadores del riesgo y segmentarlos. Con base en las metodologías establecidas segmentar los factores de riesgo. Establecer metodologías para la valorar los riesgos Según Norma (Mínimos) Clientes/ Usuarios Productos Canales Según procesos Macroprocesos Procesos Subprorocesos Identificar los riesgos asociados respecto de cada uno de los factores de riesgo segmentados Jurisdicciones Niveles de subprocesos

12 Se determinó el tipo de Matriz a utilizar Extremo Alto Moderado Bajo

13 Descripción de los niveles de probabilidad

14 Descripción de los niveles de impacto

15 Segmentación Clasificación en grupos de acuerdo con las características particulares de cada uno de los factores, garantizando homogeneidad al interior de los segmentos y heterogeneidad entre ellos

16 Segmentación Factor Riesgos Clientes Nivel 1 Nivel 2 Nivel 3 Nivel 4 Empleado D.G. Red Oficinas Directivo Supervisión y Apoyo Persona Natural Externo Rural Urbano Urbano Agricultura CLIENTES PEP Rural Producción Comercio Externo Urbano Servicio Rural Persona Jurídica Aliado Estratégico Urbano Rural Tesorería Corporativo Institucional

17 Segmentación Factor Riesgos Productos Nivel 1 Nivel 3 Nivel 4 Nivel 2 Clase 1 Microcreéito Clase 2 Activos Créditos Clase 3 Clase 1 Otros Créditos Clase 2 Productos Ahorros Clase 1 Clase 2 Clase n Clase n Clase 1 Pasivos CDT Clase 2 Clase n Bonos Clase 1 Clase 2

18 Segmentación Factor de Riesgo Canales Nivel 1 Nivel 3 Nivel 4 Nivel 5 Nivel 2 Norte Zonas Oficinas Red Oficinas Regional Centro Zonas Oficinas Canales Correspon sales Bancarios Red Propia Red Posicionada Bancamovil Sur Zonas Oficinas Banca Electrónica ATM Convenios ACH

19 Segmentación Factor Riesgos Jurisdicciones Nivel 1 Nivel 3 Nivel 4 Nivel 2 Nacionales Departamen tos Municipios Ciudades Jurisdicciones Internacional es Continentes Países

20 Análisis del riesgo Que (Efectos) Por qué (Causa) Como (Del modo o la manera que) Factor de Riesgo Riesgo Asociado A través del esquema del método Delphi

21 Determinación del Riesgo Inherente Contenido básico de la Matriz Las técnicas sugerida en esta etapa es el criterio de experto (soportada con el método DELPHI)

22 Determinación del Riesgo Inherente Productos Identificación Determinación Riesgo Inherente Procesos 8 No. Riesgos 13 Probabilidad* 3 Impacto* 59.6 X = Riesgo Inherente Extremo Alto Moderado Bajo * Promedios consolidados de todos los riesgos identificados sobre los procesos que tienen relación con el factor producto de la calificación.

23 Identificación y análisis de controles existentes 1. Diseño Caracterización y aplicación de los Controles 2. Frecuencia de aplicación del control 3. Grado de Automatización 4. Tipo de Control 5. Mezcla de Tipos de controles 6. Documentación 7- Aplicación real de controles a) Que. No impacta la valoración; b) Quien. Califica, c) Donde. Califica, d) Porque. Califica, e) Como. Califica Diaria, Semanal, Quincenal, Mensual, Bimestral, Trimestral, Semestral, Anual, Por evento. a) Manual, b) Semiautomático, c) Automático a) Preventivo, b) Detectivo, c) Correctivo a) Preventivo o Detectivo o Correctivo; b) Preventivo y Detectivo; c) Preventivo y Correctivo; d) Detectivo y Correctivo Documentado Sin documentar Desactualizado Satisfactorios Con excepciones No satisfactorio Determinación que los controles efectivamente contribuyen a la minimización de los riesgos Documentación existente Manuales Diagramas de flujo Visitas Entrevistas con los dueños de proceso Otras prácticas que se siguen en la entidad Informes de Auditoría Interna, Externa Riesgo Operacional y/o organismo supervisor Análisis de las fallas de los controles. Retroalimentación del personal que haya participado en la implementación de controles y que a su vez hayan evidenciado falencias en los mismos.

24 Estructura de Identificación y criterios de valoración de controles

25 Identificación y análisis de controles existentes Ejemplos de contenido básico de conceptos de la matriz

26 Estructura de Identificación y criterios de valoración de controles Criterios Evaluados por Control 7 Sensibilización de valoración Valoración Control 0,72 + Mezcla de Controles 0,05 x Controles por Riesgo 0,81 + Riesgo por Control 0,75 = Grado total de Mitigación (%) 0,80 = 80%

27 Determinación del Riesgo Residual Productos Riesgo Inherente % mitigación de controles 80% X = Riesgo de exposición residual 33.9 Extremo Alto Moderado Bajo

28 Esta metodología es aplicable a todos los factores de riesgo? Ejemplo: Clientes y Jurisdicciones nacionales e Internacionales Que técnica o metodología alterna podemos utilizar?

29 Valoración del Factor de Riesgo Cliente Externo Metodología Actual Resultados Se obtiene una calificación uno a uno del cliente, la cual es llevada como valoración consolidada de acuerdo a los niveles de severidad establecidos Financieras Transaccionales Sociales Riesgos Variables Utilizadas Ingresos, Egresos, Patrimonio Movimientos créditos, débito, productos Jurisdicción, Sector Económico, PEP Alertas, Investigaciones, ROS Factores de Riesgo Riesgo Inherente Riesgo Residual Clientes Aliado Estratégico Cliente Externo Colaborador PEP's

30 Valoración Factor de Riesgo Jurisdicciones Nacionales Metodología Actual Resultados Municipios calificados en cada grupo, la cual es llevada como valoración consolidada a la Evaluación de Riesgos LAFT Anual de la Entidad, en el segmento correspondiente. Factores de Riesgo Riesgo Inherente Riesgo Residual Jurisdicciones Internacionales Nacionales Transparencia

31 Valoración Factor de Riesgo Jurisdicciones Internacionales Metodología Actual The Basel AML Index Se Baja la información de la página de Basilea de la calificación países, homologando la calificación numérica y asignación de los niveles de riesgo. Resultados Se homologa los niveles de riesgo países calificación emitida por el Comité de Basilea con los niveles establecidos por Bancamía, la cual es llevada como valoración consolidada a la Evaluación de Riesgos LAFT Anual de la Entidad, en el segmento correspondiente. Homologación Nivel de Riesgo Lavado de Dinero / Financiación del Terrorismo Riesgo Corrupción Transparencia y Normas v Financieras Transparencia Pública y Responsabilidad Riesgo Político y Legal v Factores de Riesgo Riesgo Inherente Riesgo Residual Jurisdicciones Internacionales Nacionales

32 Minería de Datos Estándares Calf. Riesgos Consolidación de los Factores de Riesgo

33 Como se implementa? Implementar. 1.tr.Poner en funcionamiento, aplicar métodos, medidas, etc., para llevar algo a cabo RAE

34 Premisas esenciales para la implementación Sin perder el foco de: Aporte y creación de valor Prevención Efectividad Integralidad Dinámica Normativa y mejores prácticas

35 Como parte del Sistema de Prevención del LA/FT Componente de Cumplimiento Sistema Basado en reglas, igual para toda la industria Elementos Integración Fases Etapas Componente de Gestión de Riesgos Sistema basados en riesgos diferenciado por tipo de industria y otras características asociadas Información para realizar valoración de riesgo

36 Con método Enmarcado en el Sistema Integral de Gestión - Ciclo PHVA

37 Necesidad de considerar otros sistemas de riesgos e información de la Entidad. Economía a escala y de informaci ón interna y externa Fra. Cial. Opera tiva Gremial Autori dades

38 Seleccionar modelos y metodologías Importante COSO MODELO AUSTRALIANO AS/NZS 4360:1999 ISO 9001:2008 ISO 31000: 2009 ISO 27001: 2013 ISO Compliance Las metodologías sirven para guiar y llenar los vacíos de la norma Definir metodologías con enfoque real

39 Se seleccionaron técnicas utilizadas en el modelo Técnicas Modelos / Rutinas Clasificación Organiza un dato dentro de una de las clases categóricas predefinidas. Regresiones Lineales Arboles de Clasificación CHAID,C&R Análisis Factorial Segmentación de Factores de Riesgo Segmentación de Factores de Riesgo Calificación Canales (Oficinas) Regresión El propósito de este modelo es hacer corresponder un dato con un valor real de una variable Regresión Lineal Preparación de data Modelo Segmentación de Factores de Riesgo Análisis de Secuencias Se generan patrones secuenciales, el objetivo es modelar los estados del proceso, extraer e informar de la desviación y tendencias en el tiempo. Series de Tiempo Indicadores Prospectivos

40 Tener en cuenta factores críticos para lograr una buena implementación A Nivel Organizacional A Nivel Operativo Apoyo de la alta gerencia Definición adecuada del alcance del proyecto Conformación del equipo del proyecto (Integración casi todas las Áreas) Dedicación del personal y los responsables del proyecto Conocimiento de PLAFT Conocer los sistemas corporativos existentes Elección de la adecuada versión del software Adecuada configuración del Software Fortalecer los mecanismos de comunicación Adecuado plan de entrenamiento Definición clara de Procesos / Objetivos / Riesgos / Controles Compromiso Organizacional Implementando cumplimiento Seguimiento y medición Evaluación y Mejora Formular política de cumplimiento alineada a políticas de negocio Asignación de recursos (desarrollar, implementar y mantener) Identificar las obligaciones de cumplimiento (Inventario) Asignación de roles y responsabilidades de este programa Identificar las necesidades de entrenamiento y capacitación Gestión del cambio hacia una cultura de cumplimiento Controlar la identificación de los requerimientos de cumplimiento Hacer seguimiento al proyecto, medir su desempeño y reportar a instancias superiores el desarrollo Mantener registro y trazabilidad de las acciones, demostrando cumplimiento de técnicas de gerencia de proyectos Asegurar que el modelo implementado sea revisado ajustado y mejorado

41 Soluciones Tecnológicas de apoyo para la Gestión del Riesgo

42 Si decide seleccionar una solución tecnológica, tener en cuenta Extensión a las aplicaciones y procesos de negocio, considere un plataforma que logre esta interacción o integración de Gobierno, Riesgos, Controles y Cumplimiento. Requerirá una amplia Integración de contenidos (datos, información operativa, fra., del negocio, etc y documentos) Involucrar y comprometer a los empleados proporcionándoles una interfaz amigable en el sistema, sin sentirse intimidado y perdido. No olvide la capacitación y sensibilización de los empleados como usuarios finales en el tema de PLAFT como parte de un sistema integrado

43 Soluciones Tecnológicas adaptable a la Entidad Soluciones Tecnológicas de Bajo Costo Soluciones Tecnológicas de Costo Medio Soluciones Tecnológicas Minería Datos SPSS Modeler Fuente: Lozano Consultores

44 Soluciones Tecnológicas adaptable a la Entidad. Alto Costo Comparación de características Benchmarketing de Deloitte

45

46 Gracias