Gestión del Riesgo Operacional - Experiencia del Perú -
Septiembre 2013
Claudia Cánepa Silva MBA PMP Supervisor Principal de Riesgo Operacional Superintendencia de Banca, Seguros y AFP
Agenda
Organización para la supervisión del riesgo operacional
Marco normativo: evolución y principales normas
Principales proyectos en curso
Agenda
Organización para la supervisión del riesgo operacional
Marco normativo: evolución y principales normas
Principales proyectos en curso
La SBS y la estructura organizativa para la supervisión del riesgo operacional
Superintendencia Adjunta de
Riesgos
Superintendencia Adjunta de Banca y Microfinanzas
Superintendencia Adjunta de AFP y
Seguros
Superintendente de Banca, Seguros y AFP
Departamento de Supervisión de
Riesgo Operacional
Supervisión del Riesgo Operacional
Continuidad de negocios
Seguridad de la información
Agenda
Organización para la supervisión del riesgo operacional
Marco normativo: evolución y principales normas
Evolución de las normas
Reglamento para la gestión del riesgo operacional
Reglamento para el cálculo de requerimiento de capital por RO
Principales proyectos en curso
Agenda
Organización para la supervisión del riesgo operacional
Marco normativo: evolución y principales normas
Evolución de las normas
Reglamento para la gestión del riesgo operacional
Reglamento para el cálculo de requerimiento de capital por RO
Principales proyectos en curso
Normativa: evolución y normas vigentes
2002
2008 2009
2012
2013 Primeras normas
• Reglamento para la administración del riesgo operativo
• Riesgos de tecnología de información
Reglamento de la
Gestión Integral de
Riesgos
Res. SBSN° 37-2008
Emisión de nuevas normas:
• Reglamento para el Requerimiento de Patrimonio Efectivo por R. Operacional
• Reglamento para la Gestión del Riesgo Operacional
• Circular sobre Gestión de la Continuidad del Negocio
• Circular sobre Gestión de la Seguridad de la Información
Emisión de norma
específicas
• Reporte de evento de interrupción significativa
• Informe de riesgos de nuevos productos y cambios importantes
Normas en proceso de
emisión
• Indicadores clave de riesgo de CN, NV, SI, BM y BC
• Captura de Eventos de Pérdida por RO
Basilea II
(2004)
Agenda
Organización para la supervisión del riesgo operacional
Marco normativo: evolución y principales normas
Evolución de las normas
Reglamento para la gestión del riesgo operacional
Reglamento para el cálculo de requerimiento de capital por RO
Principales proyectos en curso
Reglamento para la gestión del riesgo operacional
Definición: Posibilidad de ocurrencia de pérdidas debido a procesos inadecuados, fallas del personal, de la tecnología de información, o eventos externos. Esta
definición incluye el riesgo legal, pero excluye el riesgo estratégico y de reputación.
• Fraude Interno
• Fraude Externo
• Relaciones laborales y seguridad en el puesto de trabajo
• Clientes, productos y practicas empresariales
• Daños a activos materiales
• Interrupción en el negocio y fallos en el sistema
• Ejecución, entrega y gestión de procesos
• Finanzas Corporativas
• Negociación y Ventas
• Banca Minorista
• Banca Comercial
• Liquidación y pagos
• Otros servicios
Tipos de Evento (N1) Líneas de Negocio (N1)
Norma de Gestión del Riesgo Operacional: Principales aspectos requeridos
Nuevos productos y cambios importantes
Subcontratación Procesos y unidades de
negocio y apoyo
In
form
ació
n y
C
om
un
icació
n
Identificación
Tratamiento
Mo
nit
oreo
Evaluación
Ambiente interno
Ambiente Interno
Estructura Organizativa
• Área especializada
• Independencia respecto a otras áreas
• Personal suficiente
• Coordinadores de RO en áreas de negocio/apoyo
• Comité de Gestión de Riesgos y/o específico (RO)
Cultura de gestión de riesgos
• Políticas establecidas y aprobadas por el Directorio
• Implementación de políticas por la Gerencia
• Capacitación continua (especializada y general)
• Sistema de incentivos asociados al desempeño.
Apetito Tolerancia +
• Establecimiento de apetito y tolerancia al riesgo
Identificación y evaluación de riesgos (i)
Principales Herramientas Medición de la exposición
• Análisis cuali-cuantitativo de la frecuencia e impacto asociado a cada riesgo
• Autoevaluaciones
• Base de datos de eventos de pérdida (BDEP)
• Evaluación de efectividad de
controles
Fre
cu
en
cy
• Variables con rangos numéricos asociados
• Estimaciones toman en cuenta información de la BDEP
• No se debe considerar “zona fantasma” de la matriz de riesgo
Evaluación de controles
• Se deben evaluar los riesgos asociados a subcontratación
Identificación y evaluación de riesgos (ii)
Recolección de Eventos de Pérdida
• Políticas y procedimientos de captura, validación, registro y reporte de esta información
• Código y descripción • Tipo de evento de pérdida • Líneas de negocio • Monto bruto • Moneda • Recuperación • Cuenta contable asociada • Fechas: descubrimiento,
ocurrencia y registro contable
• Umbrales de captura de eventos (aprox. US$ 1000) y mantenimiento de expediente
• Entrenamiento de las personas que participan del proceso
• Información mínima
• Criterios para la asignación de eventos multilínea
Tratamiento de riesgos
Estrategias Planes de acción y seguimiento Estrategias mitigar y transferir
• Evitar
• Aceptar
• Transferir
• Mitigar
• Aprobación de planes por parte de las Gerencias responsables
• Establecimiento de responsables y fechas propuestas de implementación
• Seguimiento periódico
• Reporte de excepciones en la implementación, cuando menos, al Comité de Riesgos y Gerencia General
• Directorio
• Comité de Riesgos
• Comité de RO (si hubiera)
• Gerencia General
• Áreas de Negocio/Apoyo
Información y comunicación
Reporte al interior de la empresa
Se deben definir niveles y frecuencia
Reporte a la SBS
Informe de Gestión de Riesgo Operacional (IGROp), una vez al año
Monitoreo de riesgos
Monitoreo del área especializada
• Autoevaluaciones periódicas
Auditoría Interna
Auditoría Externa
Debe evaluar el cumplimiento del Reglamento
Debe indicar si se cuenta con políticas para la gestión del riesgo, en su informe sobre sistema de control interno
• Evaluación de nuevos productos y cambios importantes
• Seguimiento a la implementación de planes de acción
• Base de datos de eventos de pérdida
• KRI (si los hubiera)
Revisión de la SBS
Revisión periódica del cumplimiento de las normas referidas a la gestión del riesgo operacional
Subcontratación
Políticas y procedimientos
• Proceso de selección del proveedor
del servicio
• Elaboración del acuerdo de subcontratación
• Gestión de riesgos asociados a la subcontratación
• Implementación de entorno de control efectivo
• Establecimiento de planes de continuidad
• Acuerdos de subcontratación:
• Formalizados mediante contrato • Deben incluir acuerdos de niveles de
servicios • Definir claramente responsabilidades
del proveedor y de la empresa
Agenda
Organización para la supervisión del riesgo operacional
Marco normativo: evolución y principales normas
Evolución de las normas
Reglamento para la gestión del riesgo operacional
Reglamento para el cálculo de requerimiento de capital por RO
Principales proyectos en curso
Requerimiento Patrimonial por RO (Res. SBS N°2115-2009)
Métodos Avanzados (AMA) Sistema interno de medición de RO
Método Estándar Alternativo (ASA) Basado en indicadores de exposición por LN
Método del Indicador Básico Basado en margen operacional bruto
• Sensibilidad al
riesgo
• Complejidad
• Costo de
implementación
Requieren autorización SBS
• Las autorizaciones pueden ser por plazo definido o indefinido
• Se puede otorgar autorización parcial para emplear métodos AMA
Requerimiento Patrimonial por RO Método Estándar Alternativo (i)
Expectativa
• Sólida gestión integrada en la cultura de la empresa
Principal criterio
• “Prueba de uso”
Cálculo
• Forma de cálculo y mapeo de
cuentas contables x LN regulada
Proceso
• Riguroso proceso de evaluación
• Verificación de 24 requisitos
Situación actual
• Nueve empresas
autorizadas
• 88% del total de activos del sector financiero (aprox. US$ 80 mil millones)
Importante mejora en la gestión del riesgo
operacional desde que se requiere capital
Requerimiento Patrimonial por RO Método Estándar Alternativo (ii)
Requisitos
R1: Participación activa del Directorio y Gerencia
R2: Función de gestión del riesgo operacional
R3: Programa de capacitación profesional
R4: Metodología para la gestión del RO
R5: Recursos suficientes
R6: Reportes periódicos sobre exposición al RO
R7: Procedimientos para asegurar cumplimiento
R8: Incentivos a la apropiada gestión del RO
R9: Base de datos de eventos de pérdida por RO
R10: Gestión de la continuidad del negocio
R11: Gestión de la seguridad de la información
R12: Revisión periódica independiente por AI
R13: Revisión periódica de una Sociedad de AE
• Función a dedicación exclusiva
• Uso de KRIs
• Soporte informático para la gestión
• Soporte informático para la gestión • Conciliación contable
• Revisión del cumplimiento de 13 requisitos
• Revisión cada tres años
• Deben ser monetarios • Deben incluir al nivel gerencial
Requerimiento Patrimonial por RO Métodos Avanzados (AMA)
R1: Unidad especializada para la gestión del RO
R2: Sistema de medición integrado a la gestión
R3: Reportes periódicos sobre exposición al RO
R4: Procedimientos para asegurar cumplimiento
R5: Revisión del sistema de medición por AI y AE
R6: Revisión de AE sobre validación y flujo de datos
R7: No objeción del supervisor de casa matriz
R8: Demostrar solidez del modelo
R9: Criterios detallados
R10: Criterios sobre datos internos
R11: Uso de datos de pérdida externos
R12: Análisis de escenarios para evaluar exposición
R13: Capturar factores del entorno y control interno
Requisitos
Cu
alit
ativ
os
Cu
anti
tati
vos
Requerimiento Patrimonial por RO Métodos AMA: Criterios Cuantitativos
R10. Datos internos
• Recopilar y analizar datos internos
• Procedimientos sobre el uso de datos
históricos
• Medición RO basada en el uso de 5
años de datos internos de pérdidas
como mínimo
R11. Datos externos
R12. Análisis de escenarios
R13. Factores de negocio y CI
• SM debe incluir información cualitativa y
cuantitativa de pérdidas externas
• Proceso sistemático para su ajuste antes
de su uso
• Práctica revisada anualmente
• Basada en opinión de expertos para
evaluar exposición a pérdidas severas
• Para evaluar supuestos de correlación
• Deben ser validados con experiencia real
para evaluar su razonabilidad
• Selección justificada por su influencia en
exposición
• Estimaciones deben ser sensibles ante
variación en los factores
• Metodología documentada
• Proceso validado contra la ocurrencia de
pérdidas reales
Agenda
Organización para la supervisión del riesgo operacional
Marco normativo: evolución y principales normas
Principales proyectos en curso
Taxonomía
Central de pérdidas por riesgo operacional
Regulación de indicadores clave de riesgo
Agenda
Organización para la supervisión del riesgo operacional
Marco normativo: evolución y principales normas
Principales proyectos en curso
Taxonomía
Central de pérdidas por riesgo operacional
Regulación de indicadores clave de riesgo
Taxonomía de procesos y productos
Líneas
de negocio
Procesos
de soporte
Finanzas
corporativas
Banca
minorista
Banca
comercial
Negociación y
ventas
Pago y
liquidaciones
Otros
servicios
Gestión de
riesgos
Gestión
de TI
Gestión del
cumplimiento
Gestión de
activos físicos
Gestión de
proveedores
Gestión
de RRHH
Auditoría
Interna
Gestión
financiera
y contable
Gestión de
proyectos
Gestión
legal
Gobierno corporativo
Seis líneas de negocio y diez procesos de soporte Líneas de negocio alineadas a Basilea y norma de RO
Taxonomía de procesos y productos (Ejemplo: Banca Minorista)
Banca
minorista
Línea
de negocio
Crédito
hipotecario
Depósito
minorista
Tipo de
producto N1
Tipo de
producto N2
Tarjetas de crédito
Crédito revolvente con garantía hipotecaria
Convenios
Otros créditos
Crédito consumo
revolvente
Crédito consumo
no revolvente
Crédito
microempresa
Crédito
pequeña empresa
Préstamos
MiVivienda
Otros créditos hipotecarios
Taxonomía de procesos
Departamento de Supervisión de Riesgo Operacional
Finanzas corporativas
Desarrollo,
diseño y
mantto.
de
productos y
servicios
Promoción de
productos y
servicios
Venta y
establecimiento
de acuerdos
para desarrollar
negocios
Captura y
documentación
de las
transacciones
Entrega de
productos y
servicios
Desarrollo de
condiciones
y actividades
de cierre
Registro
contable
de las
transacciones
Mantto. de la
relación
con los
clientes
Banca minorista
Banca comercial
Negociación y ventas
Pago y liquidaciones
Otros servicios
Cadena de valor
Son 8 los macroprocesos que cruzan los productos, a nivel 1 y nivel 2, de las diferentes líneas de negocio
Central de Pérdidas por Riesgo Operacional (CPRO)
Objetivo: Obtener información para evaluar fuentes de pérdidas por riesgo operacional, mejorar las competencias de los sistemas supervisados para gestionar este riesgo y facilitar el desarrollo de modelos avanzados
Indicadores Clave de Riesgo (KRIs)
Objetivos
• Monitorear los
principales riesgos
de tipo operacional
• Proveer conjunto de
indicadores que pueda
ser usas por las
empresas
Proceso
Resultados
• Entendimiento de las actividades de las
empresas: Taxonomía de LN, productos y
procesos
• Selección de actividades significativas
• Definición / selección de KRIs
• Elaboración de norma
• Normas de indicadores clave de riesgo operacional:
• Para las actividades de negociación y venta (prepublicación)
• Para las actividades de BM y BC (rev)
• Para la gestión de la continuidad del negocio (rev)
• Para la gestión de la seguridad de la información (rev)
GRACIAS
Claudia Cánepa Silva [email protected] [email protected]