Enfoque de Implementación de la Administración de Riesgo Operacional · 2012-07-10 · •...

© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá

Arturo E. Carvajal O.Administración de Riesgo Financiero – FRMDirectorJulio 2009

Enfoque de Implementación de la Administración de Riesgo Operacional

2© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá

Contexto de Riesgo Operacional • Introducción• Qué desean los Bancos de Riesgo Operacional • Fundamentos de Riesgo Operacional • Factores críticos de éxitos• Riesgo operacional en el contexto internacional• Alineación de regulación con el desempeño del negocio

Gestión de Riesgo Operacional• Enfoque de Riesgo Operacional • Integración con la gestión diaria del negocio• Pasos de la implementación del enfoque de riesgo operacional

– Cultura al riesgo– Estrategia al riesgo– Estructura organizacional– Reportes– Identificación, evaluación, opciones de tratamiento al riesgo– Captura de datos y mantenimiento– Modelo de requerimiento de capital– Tecnología de la información

Agenda


"…con toda mi experiencia, nunca he visto un accidente de ninguna clase que merezca mencionarse. Ni siquiera he visto un

sólo barco con problemas en alta mar… Nunca he visto un hundimiento ni estuve en ninguna situación que me amenace de

ningún tipo…" Edward J. Smith, Capitán del TITANIC, entrevistado por la prensa

de Nueva York, 1907

“La recuperación de la rentabilidad ha resultado asombrosa, lo que llevó a Barings a la conclusión

de que en realidad no era tremendamentedifícil ganar dinero en el negocio de los valores”

Peter Baring, presidente de Barings a Brian Quinn,Director del Banco de Inglaterra a cargo de la Supervisión de Bancos.

13 de septiembre de 1993

Contexto de Riesgo Operacional - Introducción


Grandes operaciones de trading en los mercados con quiebre de sus propios límites como operador de los mercados de derivados.

Creación de falsos clientes y eliminación de las alertas en los sistemas de control usando sus conocimientos de los sistemas cuando trabajaba en el middle office.

Ingresó posiciones de coberturas ficticias para disfrazar las operaciones de trade.

Utilizó passwords de otros miembros del staff para acceder a los sistemas.

El fraude salió a la luz cuando el área de riesgos detectóun cliente no identificado. Esta situación se detectó dado que el operador olvidó invalidar el sistema de alerta para ese cliente.

Contexto de Riesgo Operacional - IntroducciónCaso de Riesgo Operacional = Société GénéralePérdida Operacional por USD 7,39 BillionFebrero 2008

Jerome Kiervel – Junior Trader

Daniel Bouton - Chairman


Interrogantes a responder ?• Tenemos conciencia de nuestros riesgos?

• Tenemos apropiados procesos y controles?

• Tenemos estrategias de mitigación del riesgo?

• Estamos trabajando en un Plan de Continuidad de Negocio (BCP) ante un evento de desastre?

• Es nuestra infraestructura de tecnología segura?

• La estrategia de seguridad soporta nuestro crecimiento?

• Nuestro banco y las agencias están cumpliendo con nuestras reglas y regulaciones?

• Estamos manejando nuestra imagen?

• Está siendo efectiva nuestra función de Auditoría Interna?

• Estamos intentando de aprender acerca de las regulaciones y tendencias relacionadas con Basilea II?



Cualquier iniciativa de administración de riesgo operacional debe balancear el costo de los negocios y los beneficios que se deben derivar de tal iniciativa. Creación de Valor ……….

Identificación de Riesgos y categorización

Entendimiento de los Riesgos

Priorización

Base de Datos de Eventos

Desarrollo de consenso y definiciones de eventos

Registro de eventos

Análisis de tendencias

Inherent

Risk

Riesgo Retorno

MitigantesRiesgo

ResidualIngreso

Bruto

Costo de

los controles Retorno

Neto

Acción de la Administración

Rechazar

Reducir

Aceptar

Traspasar

Análisis de Pérdidas Esperadas

Derivación de pérdidas estimadas

Afinación con KRI

Análisis de Pérdidas Inesperadas

Derivación de pérdidas inesperadas de la estimación de pérdidas esperadas

Centro de Costo

Mejora en el proceso de medición de costos

Análisis de costo de control

Evaluación de los costos de control versus el valor del control

Eventos de Pérdidas

Frecuencia

Severidad

Pérdida Esperada

Pérdida Inesperada

Seguros

Seguros

Controles

Cobertura

Riesgo Inherente

Auto-evaluación de Controles

Mejora en la calidad de los controles

Evaluar eficiencia y efectividad de los mitigantes

Indicadores de Riesgos (KRI)

Definición de indicadores

Mejora en el proceso de integración

Análisis de tendencias



Qué desean los Bancos de Riesgo Operacional ?

• Incrementar el valor del accionista …

• Reducir las pérdidas operacionales …

• Mejora constante de los procesos …

• Mejor preparados para eventos catastróficos …

• Implementación de sistemas de alertas tempranas …

• Disminuir el cargo por capital regulatorio …

• Asegurarse de un buen nivel de rating mediante la

demostración de una administración de riesgo

operacional sólida …

Contexto de Riesgo Operacional


Fundamentos de Riesgo OperacionalEl riesgo operacional de acuerdo al marco de Basilea II se define: “El riesgo de pérdida debido a la inadecuación o a fallos de los procesos, el personal y los sistemas internos o bien a causa de acontecimientos externos”. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y el de reputación.”

El riesgo operacional cubre dos aspectos clave:

• La integridad de los procesos de negocios; y

• La habilidad de mantener el “delivery”.

Sus objetivos se basan en identificar los riesgos, monitorear que los mismos se mitigan a niveles aceptables y cuantificar su consumo de capital.

Por lo tanto sus responsabilidades no incluyen la reingeniería de procesos u optimización, ni la auditoría de los mismos.

Procesos

Personas

Sistemas

Eventosexternos



El documento está estructurado en diez principios agrupados por áreas

I. Desarrollo de un ambiente de Administración de Riesgo adecuado.

II. Identificación, Evaluación, Monitoreo y Mitigación/Control de los riesgos

III. Rol de la Entidad Reguladora

IV. Rol de Divulgación

Fundamentos de Riesgo OperacionalBasilea II emitió un documento con los principios de Administración y Supervisión de Riesgo Operacional para: Identificar, Evaluar, Monitorear, Mitigar y Controlar el Riesgo.



ESTRATEGIA DE RIESGOS

Información Tecnológica

ESTRUCTURA ORGANIZACIONAL

Datos de Pérdidas

Modelamiento de Capital

Evaluación de Riesgos

Indicadores claves de Riesgo

(KRI)

Bases

Mitigación

Definiciones, procesos

y estructuras

R E P O R T ES


Fundamentos de Riesgo Operacional – Estructura de Riesgo Operacional


Fundamentos de Riesgo Operacional - Marco de Riesgo Operacional

Objetivos Estratégicos

Estrategia CorporativaMisión y Filosofía Operacional Objetivos EstratégicosAlineación al Plan de NegociosApetito al RiesgoRecursos Financieros

Process and systemsProcesos y Sistemas

Entrenamiento y Competencia

xxx xx xx xx

xxx xx xx xx

xxx xx xx xx

xxx xx xx xx

xxx xx xx xx

Administración de la Información

Financieroxxx

Clientesxxx

Personasxxx

Procesosxxx

Ene Feb etc.

Estructura Organizacional

Gerencia

A B C

D E

Reportes

EstratégicoObjetivoFinancieroMercadoProcesos

Ene Feb etc.

Efectivo Gobierno Corporativo y

Administración de Riesgo Integrada

Evaluación de Riesgo



Fundamentos de Riesgo OperacionalIdentificar, Medir y Administrar el Riesgo Operacional …

Identificar y Medir

Mitigar y Manejar

Contingencia

• Qué puede ser el evento ?

• Cuál es su frecuencia ? (PROBABILIDAD)

• En cuánto nos afectará ?

• Acciones de mitigación para reducir

• Acciones de mitigación para reducir

• Acciones de Contingencia

(INCIDENTE)

(IMPACTO)

(PROBABILIDAD)

(IMPACTO)




Fundamentos de Riesgo OperacionalProceso de Evaluación de Riesgos y Controles

Prue

bas/S

oftw

are

Controles clavespor producto

Riesgos clavespor producto

Dueños Controles/Procesos

CSA CheckList

Matriz de Riesgo

Matriz de Control

AuditoríaInterna

Riesgo Operacional

de A

udito

ría

Diseño y ejecución adecuada y efectiva

Monitoreo

Procedimientos Po

lítica

s


Factores Críticos de Éxitos 1. Ser lo más simple posible

2. Soporte claro desde arriba hacia abajo

3. Establecer un lenguaje común

4. Operar con el concepto de dueño de riesgo.

5. Convencimiento del nivel gerencial del esquema de Administración de Riesgo Operacional

6. Creación de cultura que permita la identificación, reportes y corrección de aspectos de Riesgo Operacional.

7. Mantener una visión de Administración de Riesgo Operacional

8. Establecer Roles en la Administración de Riesgo Operacional

9. Establecer un proceso uniforme de Administración de Riesgo Operacional

10. Establecer un proceso de reportes de Riesgo Operacional



Factores Críticos de Éxitos 11. Iniciar el proceso de riesgo operacional con un proyecto piloto12. Establecer la figura de coordinador de Riesgo Operacional

13. Establecer propios perfiles de riesgos en las áreas del Negocio

14. Consenso de todas las partes de los riesgos expuestos

15. Establecer medidas de riesgos e indicadores de alertas tempranas

16. Involucramiento del organismo regulador (establecer la oportunidad)

17. Aseguramiento de los recursos humanos y materiales alocados para el proceso de Riesgo Operacional

18. Generación incremental del grado de concientización de riesgo operacional en la organización

19. Resolver la problemática de administración de bases de datos

20. Identificar e implementar herramientas

21. … y no olvidar los requerimientos para el cálculo de capital por riesgo operacional



[%]

Areas definidas por KPMG: Américas = Canadá, Estados Unidos y Latino América; ASPAC = Asia Pacífico; EMA = Europa, Europa del Este y África

Riesgo Operacional en el Contexto Internacional


5 312

3428 29

38

42

4349 47

27

58

18 23

3

20 21

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Americas ASPAC EMA Worldwide Centroamérica

Enfoque de MediciónAvanzada (AMA)

Enfoque Estándar

Enfoque Indicador Básico

Sin definir




Implementación para el manejo de requerimiento de regulación

Estructura de riesgo operacional potenciada para propósito de negocio

Monitoreo

Metodologías, herramientas, recursos IT y estructura organizacional

Componentes Principales

Responsabilidad de Directores Ejecutivos

Estrategia de Negocio y Estrategia de Riesgo

Capacidad – Asumir riesgos

Administración Global del Banco

Perfil de Riesgo

Map

a de

Riesg

o

Pérdida de datos, KRI, Auto-evaluación y cuantificación

Perfil de riesgo actual

Alternativa de decisiones (negocios,

administración de riesgo)

Validación de alternativas

(riesgo, retorno, costos)

Escoger alternativa

Identificación/Evaluación Reportes Administración Dinámica

Y

X

Z

W

ESTRATEGIA DE RIESGOS

Información Tecnológica

ESTRUCTURA ORGANIZACIONAL

Datos de Pérdidas

Modelamiento de Capital


Indicadores claves de Riesgo

(KRI)

Bases

Mitigación

Definiciones, procesos

y estructuras

R E P O R T ES

Alineación Regulación con Desempeño del Negocio


Enfoque de Riesgo Operacional

Gestión de Riesgo Operacional

Hoy en día los líderes responsables del proceso de gobierno de un banco deben establecer una estrategia de cómo implementar y ejecutar su administración de riesgo operacional.

Por ello, una efectiva administración de riesgo operacional no puede ser iniciada sin la presencia de un líder que armonice el proceso de implementación y sin el apoyo de la alta administración

Como así también, las distintas líneas de negocios deben comprender y apreciar los beneficios que se presentarán a nivel de la cultura y de la forma de administrar los riesgos operacionales en los procesos de negocios del Banco.


Gestión de Riesgo OperacionalEnfoque de Riesgo Operacional - Integración con la gestión diaria del negocio a través de un proceso de madurez …

EVALUACION DINAMICA/PREDICTIVA

• Correlación entre clases /tipos de riesgos y eventos

• Modelos predictivos

EVALUACION Y MEDICION• Análisis estadístico• Modelaje /Simulación• Administración por procesos• Benchmarking

MONITOREO/ MEDICION• Bases de datos eventos• Priorización riesgos• Reportes formales• Indicadores de riesgos• Sistemas detección automática

IDENTIFICACION / EVALUACION• Auditoría y revisión financiera

tradicional• Uso de métodos cualitativos AD HOC

• Reactivo, centradoen recuperación y protección

• No sistemático en UN• Captura fragmentada de• datos

ESTANDARIZADO• Formalizado en UNE.j. definiciones, datos, reportes, gestión• Mejora continua enevaluación monitoreo

CONSOLIDADO INTEGRADO• Medición consistente• riesgo en procesos en UN • Relación entre KRI yacciones de remediación• Cargas de capital• Involucramiento alta

gerencia

• Integración otros riesgos• Manejo activo seguros y derivados

• Foco en maximizaciónganancias

• Sinergias entre UN

Integración con la gestión diaria del negocio

Impa

cto

en la

Ges

tión

EvitarErrores/ Fallas

Basilea/ Solvency IIBIA, Estándares

Estructura de AtenciónAl Riesgo

Basilea IIAMA

Gestión y ConsistenciaDinámica

Creación de ValorGestión Basada en Riesgo

SOX



Enfoque de Riesgo Operacional Paso ACultura al Riesgo Operacional

Objetivo:Asegurar que todos los niveles del Banco estén conscientes de la importancia y la necesidad de la administración del riesgo operacional como forma de garantizar el logro de los objetivos del Banco.

Enfoque: La toma de conciencia es un componente clave para identificar y tomar las acciones adecuadas para mitigar el riesgo operacional. Un entrenamiento continuo a través de talleres y sesiones de trabajo al personal, más la adecuada divulgación de las amenazas a las que están expuestos los procesos de negocios, son componentes esenciales de las medidas de mitigación de los riesgos.

Es responsabilidad de los niveles directivos y coordinadores de riesgo operacional, el concientizar y proporcionar entrenamiento al personal a su cargo para crear las competencias necesarias para la administración del riesgo operacional, contando siempre con el apoyo del área de Riesgo Operacional.



Enfoque de Riesgo Operacional Paso BEstrategia al Riesgo

Objetivo: Contar con una definición de una estrategia al riesgo operacional en alineación a la estrategia de riesgo corporativo del Banco para ser utilizado como marco de acción en las definiciones de tolerancia o grado de apetito al riesgo, políticas y procesos de la administración del riesgo operacional del día a día.

Enfoque:La estrategia de riesgo operacional comprende tanto una visión de arriba hacia abajo para los procesos de requerimientos de capital como de abajo hacia arriba para los procesos de identificación, evaluación, administración, reportes y seguimientos de los riesgos operacionales.

En este contexto, cada área del Banco basa sus decisiones de negocios en el día a día en la información de riesgos operacionales expuestas y en las consideraciones de requerimientos de capital.


Lecciones Aprendidas sobre :Lecciones Aprendidas sobre :Estrategia de Riesgo OperacionalEstrategia de Riesgo Operacional

•El prerrequisito de éxito es establecer objetivos realistas con claros beneficios económicos

•Lograr el apoyo de la Junta Directiva y Alta Gerencia.

Establecer objetivos realistas y ganar el apoyo de la Junta Directiva y Alta Gerencia.




Enfoque de Riesgo Operacional Paso CEstructura Organizacional

Objetivo: Definición formal de la estructura organizacional de riesgo operacional con participación integral en toda la organización.

Enfoque:Diseño de la estructura de riesgo operacional incorporando:

• Políticas• Marco de acción• Dependencias jerárquicas• Asignación de roles y responsabilidades centralizados en el área de riesgos y

descentralizados a las distintas áreas del Banco• Líneas de reportes • Procesos de gestión de riesgo operacional• Manual de riesgo operacional


Equipo Gerencial

Junta Directiva

Áreas de Soporte

Línea de Negocios

1

Actividades

Primera Línea de Defensa Función de Riesgos

Roles y Responsabilidades

Segunda Línea de Defensa

Tercera Línea de Defensa Línea de

Negocios 2

Línea de Negocios

3

Auditoría Interna

Auditores Internos

Áreas Especializadas

LegalCumplimiento

Seguridadetc


Roles en la Administración de Riesgo Operacional - Diagrama de Tres Líneas de Defensa


Roles en la Administración de Riesgo Operacional: Modelo Sugerido por las Entidades Líderes

Modelo de Riesgo Operacional (Roles y Responsabilidades)

Equipo de Negocios

Alta Administración

REGULADORES

Comité de Riesgo Operacional

Área de Riesgo Operacional

Riesgo Operacional, etc.

Departamentos de Soportes

Comité de Auditoría

Centralizado

Validación y Aseguramiento

Independendiente de todos los otros Componentes

Auditores Externos

Responsables Primarios/Descentralizados

Negocios 1 Negocios 2 Auditoría Interna



LegalCumplimientoSeguridadetc



Lecciones Aprendidas sobre :Lecciones Aprendidas sobre :Estructura OrganizacionalEstructura Organizacional

•Con la definición de roles y responsabilidades se establecen claras comunicaciones y cooperaciones entre las distintas áreas de la organización.

•En particular, es crucial la interrelación con Auditoría Interna, Seguridad Informática, Continuidad de Negocio y Administración de Calidad.

•Es crítico para el éxito del esfuerzo de riesgo operacional.

Definir roles y responsabilidades a lo largo de toda la organización.




Enfoque de Riesgo Operacional Paso DReportes

Objetivo: La administración del riesgo operacional es un proceso continuo. Los directivos deben asegurarse que los planes de acción con las medidas de mitigación definidos, sean implementados en los tiempos establecidos y una vez implantadas, se revise continuamente el estado de los riesgos operacionales identificados.

Enfoque:Para un adecuado monitoreo y reporte del riesgo operacional, es necesario establecer un proceso de auto-evaluación y esquema de reportes, para ello las áreas de negocios a través de coordinadores y el área de Riesgo Operacional elaborarán:

Reportes de Exposiciones de Riesgos OperacionalesPlan de Mejora de Exposición al Riesgo Reporte de Indicadores de Exposición al RiesgoReporte de Incidencias de Eventos y Pérdidas Operacionales


Lecciones Aprendidas sobre :Lecciones Aprendidas sobre :ReportesReportes

• Informar los riesgos relevantes depende fundamentalmente de una adecuada estructura de comunicaciones e incentivos como asítambién el apoyo del personal calificado de las distintas áreas de negocios y soporte especializado tanto en la generación de información como en el uso de los reportes en el proceso de toma de decisiones del día a día.

Asegurar que los reportes generen valor agregado a la organización.




Enfoque de Riesgo Operacional Paso EConstrucción de las Bases Identificación, Evaluación, Opciones de Tratamiento a los Riesgos

Objetivo: Evaluar el grado de alineamiento de los objetivos de negocios, riesgos y controles,mediante la identificación y medición de los riesgos, evaluación de la efectividad de los controles y plan de opciones de tratamiento a los riesgos.

Enfoque:La evaluación de los riesgos operacionales está basada en la identificación de las amenazas a los que están expuestos los procesos de negocios, determinación del impacto y frecuencia de estas amenazas y la subsecuente evaluación de los controles implantados para mitigar los riesgos por medio de los mapas e indicadores de riesgos. Asimismo, considera la identificación del rango de opciones para tratar los riesgos y evaluar esas opciones delineando planes para el tratamiento de los mismos.


Gestión Riesgo Operacional – Metodología (Paso E)

Metodología de evaluación de los riesgos operacionales.

Identificación Procesos

Identificación Riesgos

Metodología Cualitativa

Metodología Cuantitativa

MetodologíaMixta Reporting

Cuantificación del Riesgo

Seguimiento y Control


ANALISIS IMPLEMENTACIONENTRADA REPORTE

Implementación del Plan

AceptarRiesgo

Residual ?

Preparar Plan

Recomendar Estrategia de Tratamiento

Seleccionar Estrategia de Tratamiento

Preparar Plan de Tratamiento

Retener Parte

Transferir Parte SI No

9. Tratamiento del Riesgo

AceptarTransferir

Parcial/ TotalReducir Impacto

Reducir Probabilidad

Considerar Factibilidad Costo versus Beneficios

Identificar Opciones de Tratamiento

EvaluarOpciones de Tratamiento

AceptarTransferir

Parcial/ TotalReducir Impacto

Reducir Probabilidad

ALINEACIÓNCONTROL

SI

No

6. Identificar y Analizar Controles

7. Nivel de Criticidad del Control

8. Efectividad del Control

Aceptamos el Riesgo ?

RIESGORIESGO

Qué es la respuesta al riesgo?Cómo enfrentamos el riesgo ?

2. Identificar Riesgos

Determinar ProbabilidadDeterminar Impacto

3. Analizar Riesgos

4. Medir Riesgos

Definir/Afinar Apetito al RiesgoComparación de Indicadores de Riesgo y el Perfil de Riesgo

5. Ranking de Riesgos

Mon

itore

o y

Rev

isió

n

OBJETIVOS

Objetivos de NegociosFactores Críticos de ExitosProductosCultura al Riesgo de la Adm.

1. Establecer Contexto

Base de Datos de Pérdidas

Adm. de Riesgos

Apetito al Riesgo

Junta Directiva/Comité Riesgo

Operacional

Incidentes

IncidentesExternos

Workshops de Riesgo *

Reportes de Riesgos

Metodología de Evaluación de los Riesgos Operacionales



Identificación de Riesgos

Una vez identificados los procesos, áreas afectadas (personas) y los sistemas y controles asociados a dichos procesos es necesario identificar los riesgos existentes a partir de la elaboración de un mapa de riesgos.

Como primer paso para la elaboración del mapa de riesgos es necesario identificar los riesgos a la vista de los procesos y su clasificación asociados a los objetivos del negocio y productos y/o servicios del Banco.

Para tal efecto, existe una estructura de documentación que se expone en la página siguiente, que recoge toda la información relativa al tipo de riesgo, en donde se especifica:

– Objetivo de negocio

– Línea de Negocio

– Productos/Servicios

– Factores críticos de éxitos

– Clasificación de riesgos

– Riesgos afectados

– Respuesta al riesgo
















Ejemplo

Ilustrativo



Metodología Cualitativa. Proceso de Auto-evaluación

Una vez identificados los riesgos se debe cuantificar el impacto. El impacto de los eventos de riesgo operacional se cuantifican mediante dos parámetros:

• Severidad

• Frecuencia

La cuantificación de estos parámetros se lleva a cabo en base a la experiencia histórica. En la metodología cualitativa la experiencia histórica se basa en el conocimiento de las personasmás familiarizadas con el tipo de procesos donde se han identificado los riesgos que se quieren cuantificar.

Normalmente este tipo de práctica se lleva a cabo a través de talleres de trabajo de auto-evaluación para analizar cada uno de los riesgos identificados.

A partir de ello, se elaborará una matriz de impacto/probabilidad que nos permita obtener una visión global del nivel de vulnerabilidad de las áreas y procesos; y priorizar las opciones oportunas para corregir, controlar y mitigar dichas vulnerabilidades.

A continuación, se expone una estructura de documentación de auto-evaluación:









Metodología Cualitativa. Proceso de Auto-evaluaciónIdentificación Procesos






Ejemplo

Ilustrativo



Metodología Cualitativa. Proceso de Auto-evaluación - Análisis y Gestión de Controles

Teniendo definido el nivel de exposición al riesgo inherente por cada tipo de riesgo, se realizará un análisis de controles existentes, analizando la efectividad de los actuales y proponiendo mejoras sobre los mismos o controles adicionales.

Para cada uno de estos controles se asignará un nivel de mitigación que permita tener una orientación en relación a la idoneidad del control, ese nivel de mitigación se comparará con el costo que supone: tanto desde el punto de vista económico como cualitativo.

Por tanto cada control irá caracterizado por dos aspectos que miden su eficiencia:

• Mitigación= cobertura de riesgos-costo operativo– Con la mitigación se trata de medir si cuesta más realizar el control que el riesgo que

mitiga, lo cual implicaría no implementar dicho control.• Calidad= Impacto en el plazo del proceso

– En la calidad intentamos medir como afecta este control a la calidad de servicio percibida por el cliente, ya sea por la tardanza en el tiempo de respuesta, la petición de información sensible,….

Lo ideal sería implementar controles con un nivel de calidad alto y un nivel de mitigación alto (importante ahorro y bajo costo operativo).
















Análisis Procesos /Mapa de Riesgos

Frec

uenc

ia

Severidad

P/R1P/R2

P/R3

P/R4

P/R5

P/Rn

Matriz Impacto/Probabilidad Frec

uanc

ia

Severidad

P/R2

P/R4

Efectividad Controles

P/R2

P/R4









Ejemplo

Ilustrativo




Metodología Cualitativa. Indicadores de Riesgos (KRI)

Una vez evaluado el manejo de los riesgos, es importante disponer de indicadores (más conocidos como KRI, Key Risk Indicator) que nos permitan realizar una gestión preventiva de los mismos.

A continuación se describen las principales características que deben tener los Indicadores:

• Los Indicadores Claves de Riesgo Operacional son variables caracterizadas por tener una correlación positiva con una determinada exposición al riesgo operacional. Los indicadores clave de gestión de riesgo operacional deben funcionar como un sistema de alerta frente a pérdidas.

• Para ello deben ser cuantificables, y debe estar demostrada una relación positiva entre su incremento y el aumento de la exposición al riesgo operacional de la Entidad. Se deberáestablecer una unidad métrica apropiada a los indicadores bien en términos absolutos o relativos.

• Una vez definida la unidad con la que se medirá el indicador se podrá establecer un umbral de puntuación, por encima del cual saltará una alerta, que permita a la Entidad tomar las acciones correctivas necesarias para regularizar su situación.









Metodología Cualitativa. Indicadores de Riesgos (KRI)

MétricaIndicadores

10%

15%

t

Umbrales

Alarmas









Metodología Cualitativa. Indicadores de Riesgos (KRI) Identificación Procesos






Ejemplo

Ilustrativo



Estrategias de Mitigación

Transferenciae.j. Asegurar

Reducción & Prevención

Plan Continuidad del Negocio (BCP)

Control & Capital

Metodología Cualitativa. Proceso de Auto-evaluación - Análisis y Gestión de Controles – Estrategia de Mitigación







Pérdida CatastróficaPerdida Esperada Pérdida Inesperada

Prob

abili

dad

de la

Pér

dida

Impacto de la Pérdida

Riesgo Inherente

Riesgo Residual









Metodología Cualitativa. Análisis y Gestión de Controles – Estrategia de Mitigación

Ejemplo

Ilustrativo




La Metodología Cuantitativa para abordar un proyecto de Riesgo Operacional se basa en los siguientes aspectos:

- Asignación de tipos de riesgo de pérdida (personas, procesos, y sistemas) a cada una de las áreas funcionales de la Entidad: Para cada uno de los riesgos que se quiere medir, identificar y vigilar se debe clasificar las pérdidas.

- Captura de datos internos de pérdida: La información sobre las pérdidas por riesgo operacional experimentadas por cada Entidad es básica par ligar las estimaciones de riesgo del banco a su historial de pérdidas efectivas.

- Utilización de bases de datos externas de pérdidas por riesgo operacional: La principal carencia en la construcción de un modelo interno de gestión del riesgo operacional es la escasez de datos en aquellos eventos con un alto impacto. Para completar las bases de datos internas, se debe complementar la información de pérdidas con información externa proporcionada por otras Entidades o consorcios.

- Análisis de escenarios y stress test: Un análisis de escenarios particularmente importante es el “Stress-Test” o realización de pruebas de estrés en donde se valida la bondad del modelo sometiéndolo a cambios significativos de sus variables

- Factores de mitigación del riesgo operacional: Las Entidades pueden utilizar elementos de cobertura que les permita reducir la exposición al riesgo operacional.

- El método propuesto para abordar la medición cuantitativa de pérdidas por Riesgo Operacional es el Método de Distribución de Pérdidas o “Loss Distribution Approach” (LDA).









Método Loss Distribution Approach

Externaldata

Operational event loss Database

Internaldata

Métodos

Estadísticos

BL & Risk7 ×8 Matrix

… … … …

… …

Risk1

Risk2

Risk3

… …

BL1

BL2

Monte

Carlo

Simulation

Loss Severity Distribution

Frequency Distribution

Monte

Carlo

Simulation





MontecarloSimulación











Pérdida CatastróficaPerdida Esperada Pérdida Inesperada

Prob

abili

dad

de la

Pér

dida

Impacto de la Pérdida

Distribución de pérdidas de la Organización

Riesgo Residual

Pérdida anual agregada ($)

99.9% percentil




Como resultado se obtiene una distribución de pérdidas por cada unidad de negocio / tipo de riesgo, los cuales pueden agregarse.


Distribution for Pérdida por Riesgo Operaciona Banca Inv...

Valu

es in

10

-9

Values in Millions

0.000

0.500

1.000

1.500

2.000

2.500

3.000

3.500

LDA!X7: Mean=2049940

LDA!W7: Mean=2116578

0 60 120 1800 60 120 180

99.89% .1% 0 71.8271

0 60 120 180

LDA!X7: Mean=2049940

LDA!W7: Mean=2116578

Banca Corporativa

Banca Inversión



Metodología Mixta. Integración Cuantitativa - Cualitativa

Actualmente se está produciendo una importante convergencia entre ambos métodos, método de distribución de pérdidas - LDA (Cuantitativo) y método de indicadores y evaluación de riesgo para la generación de escenarios internos (Cualitativo), de forma que en la práctica, las Entidades están empezando a utilizar una integración entre ambas metodologías, método mixto.

La práctica más común entre las Entidades en la aplicación del método mixto sigue los siguiente pasos:

- Análisis cualitativo, se obtiene un valor en riesgo basado en análisis de escenarios internos a partir de los mapas de riesgos elaborados, indicadores, evaluación y juicio experto que se servirá de referencia y/o validación a la información obtenida del método cuantitativo.

- Análisis cuantitativo para la obtención mediante una función de distribución de pérdidas una cifra de capital por riesgo operacional por el enfoque LDA.

La medición del Riesgo Operacional requerirá en un futuro de un enfoque integrado, en que los resultados obtenidos del proceso cualitativo se utilicen para la estimación cuantitativa de las pérdidas.









Metodología Análisis InternosLa metodología de análisis internos es un enfoque de evaluación de escenarios cuyo centro es el cálculo de capital requerido y la administración de riesgo operacional.Los pasos a seguir son:

Generación de escenarios: • Asegurarse de la apropiada definición, consistencia,

relevancia e integridad de los escenarios Evaluación de escenarios:• Evaluar escenarios en la organización considerando

información histórica, indicadores de riesgos, cobertura de seguros, calidad de los factores de riesgos involucrados, control interno y experiencia en la industria

• Utilización de los resultados del proceso de auto-evaluación

• Utilización del juicio experto• Formulación de potenciales frecuencias y severidades Calidad de los datos• Validación del proceso de evaluación de escenarios a

través de una instancia independiente (Comité de Riesgo Operacional)

• Revisión por parte de Auditoría Interna









Metodología Análisis Internos

Determinación de parámetros

• Formulación de parámetros en función a la distribución de probabilidad elegida basada en las pruebas de mejor distribución que se ajusta al escenario interno.

Modelación y simulación• Aplicación de simulación Montecarlo para cada escenario

interno• Validación de la consistencia de los resultados de las

simulaciones

Generación de salidas para cada escenario interno• Generación de una distribución de pérdida potencial para

cada escenario interno • Determinación del capital potencial necesario por riesgo

operacional para cada escenario interno y a nivel organizacional

Validación de los supuestos de generación de escenarios internos • Alineación de las bases de generación de escenarios

internos versus el comportamiento del análisis de las causas y efectos de los eventos reales de pérdidas operacionales.









0.0% 99.9% 0.1%

-6.0 64.0

-20 0 20 40 60 80 100

Values in Thousands

0

1

2

3

4

5

6

Val

ues

x 10

^-5

Severidad de la Pérdida Fraude Interno (X)

Severidad de la Pérdida Fraude Interno (X)

Minimum -5802.3765Maximum 99270.3335Mean 11561.5669Std Dev 9930.4642Values 8000

Metodología Análisis Internos Identificación Procesos






Ejemplo

Ilustrativo

V a lor e n Rie s go de Aná lis is Inte rnos

-

20 ,000

40 ,000

60 ,000

80 ,000

100 ,000

120 ,000

V a lue a t Ris k 9 9 .9% ($ )

Es c enar io A

Es c enar io B

Cap ita lRequer id o



Lecciones Aprendidas sobre :Lecciones Aprendidas sobre :AutoAuto-- EvaluaciEvaluacióón n

•Para alcanzar resultados de alta calidad se logran después de varios procesos iterativos de auto evaluaciones, sin embargo, demasiados frecuentes o muy estandarizados pueden perder valor.

•La organización debe tomar las iniciativas necesarias para evitar el comportamiento humano de subestimar la severidad y la frecuenciade los eventos de riesgos en el proceso de auto evaluación.

Conducir un proceso de auto evaluación de riesgos basado en el perfil de riesgos, cambios de riesgos en las áreas y otros factores externos según sea la dinámica del negocio .



Lecciones Aprendidas sobre :Lecciones Aprendidas sobre :Indicadores de Riesgos (Indicadores de Riesgos (KRIsKRIs))

•Definir KRIs los más simple posible•Establecer límites en la definición de KRIs•La aplicación de los KRIs en términos de su frecuencia debe ser

compatible con las medidas de mitigación de riesgos.

Evaluar periódicamente el valor de los KRIs.



Lecciones Aprendidas sobre :Lecciones Aprendidas sobre :Opciones de Tratamiento al RiesgoOpciones de Tratamiento al Riesgo

•Es fundamental la participación de los distintos entes involucrados para la toma de decisiones de las distintas opciones de tratamiento al riesgo para lograr un balance entre lo definido en la estrategia de riesgos versus la situación actual.

Coordinación de los recursos involucrados mediante el comitéde riesgo operacional.



Enfoque de Riesgo Operacional Paso EConstrucción de las BasesCaptura de Datos y Mantenimiento

Objetivo: Definición de las variables de eventos de riesgo operacional para el diseño de la base de datos y definición de los procesos de captura y mantenimiento de datos de pérdidas operacionales. Enfoque:• Integración a la administración de riesgo operacional el proceso de identificación y

recolección de pérdidas de acuerdo a las directrices del marco de Basilea II. • Identificación de los potenciales eventos de pérdidas operacionales internos del Banco

como fuente primaria para el diseño de la base de datos.• Análisis de potenciales eventos de pérdidas operacionales a los que el Banco puede estar

expuesto en forma significativa pero de carácter infrecuente para la evaluación de recolección de datos de fuentes externas.

• Diseño e implementación de la base de datos entre Riesgo Operacional, Procesos y Tecnología.

• Trabajo en equipo entre los coordinadores y riesgo operacional a partir del Reporte de Incidencias de Eventos y Pérdidas Operacionales para la captura y mantenimiento de datos.

Gestión Riesgo Operacional


Lecciones Aprendidas sobre :Lecciones Aprendidas sobre :Bases de Datos de Eventos de PBases de Datos de Eventos de Péérdidasrdidas

•Aprender de los eventos de pérdidas.•Analizar cada evento de perdida desde la perspectiva:

Causa – Evento - Efecto•El registro de eventos es esencial en el desarrollo del método de

cuantificación.

Diseñar e implantar un proceso de registro de eventos de pérdidas lo antes posible



Enfoque de Riesgo Operacional Paso EConstrucción de las BasesModelos de Medición de Riesgos OperacionalesModelos de Requerimientos de Capital

Objetivo: Contar con los propios modelos cuantitativos internos para otorgar alta flexibilidad en la gestión de diversificación, correlación y mitigación de los riesgos operacionales.

Enfoque:•Definición de los datos de entrada (internos, externos, escenarios, ambiente de negocios,

factores de control, estrategias de seguros). •Diseñar los modelos matemáticos y estadísticos internos con sus respectivos supuestos. •Estrategia de pruebas y validación de supuestos de los modelos de cuantificación. •Definición de escenarios internos sobre base cualitativa. •Medición de pérdida esperada e inesperada sobre base cualitativa. •Alineación de pérdida esperada e inesperada versus datos de pérdidas de eventos

operacionales históricos.•Medición de requerimientos de capital por línea de negocio e institución.



Lecciones Aprendidas sobre :Lecciones Aprendidas sobre :Requerimientos de CapitalRequerimientos de Capital

•La cuantificación del capital necesario por riesgo operacional requiere que la información disponible sea de suficiente calidad y con adecuada historia para otorgar valor en sus resultados.

•La calidad de la información es crítica

Los requerimientos de capital basado en sus propios modelos se sustentan en una estructura de administración de riesgo operacional madura.



Enfoque de Riesgo Operacional Paso EConstrucción de las BasesTecnología de la Información

Objetivo: Contar con una apropiada tecnología de la información es la base fundamental y facilita la administración de riesgo operacional en toda la organización

Enfoque:• Identificación de todos los requerimientos y especificaciones funcionales del sistema de

administración de riesgo operacional para el desarrollo interno y/o selección de vendedores de soluciones.

• Identificación de los actuales procesos de negocios automatizados del Banco para anexar y/o alinear los procesos de riesgos operacionales.

•Consideración de cómo identificar, registrar, actualizar y almacenar la información mediante la tecnología de la información.

•Automatización del proceso de riesgo operacional para la emisión de reportes internos y externos, almacenamiento de datos, indicadores de riesgos, alertas tempranas, modelos de cuantificación y requerimientos de capital.



Lecciones Aprendidas sobre :Lecciones Aprendidas sobre :TecnologTecnologíía de la Informacia de la Informacióón (IT)n (IT)

•Ganar experiencia para la clara identificación de todos los requerimientos y especificaciones funcionales del sistema de administración de riesgo operacional para el desarrollo interno y/o selección de vendedores de soluciones.

Utilizar a IT como una herramienta y no como una unidad resolución de problemas.



Enfoque de Riesgo Operacional – En resumen …Fase 1 Fase 2 Fase 3

A D M I N I S T R A C I Ó N D E L P R O Y E C T O

EVALUAR Y PLANIFICAR DISEÑO E IMPLEMENTACIÓN

Gap

Ana

lysi

s

Enfo

que

de

Impl

emen

taci

ón

Pilo

to y

Rev

isió

n

Estrategia de Riesgos

Base de eventos de pérdidas

Evaluación

Mitigación

Indicadores: Key Risk Indicators (KRI)

Diseño de reportes

Cálculo del capital

Tecnología de la información

Ges

tión

cotid

iana

del

R

iesg

o O

pera

cion

al

Fase 4PRUEBAS PILOTO Y

REVISIÓNMONITOREO

YCONTROL

Estructura Organizacional

Definición de tipos y categorías

Rol

l-Out

Pla

n

Plan

mae

stro

de

Impl

emen

taci

ón



Frec

uenc

ia

Procesamiento cheques

Fraude Credit Card

Reclamos clientes

Entrada virus Ataque seguridades

FraudeInternet

No autorizaciones trading

Incumplimientoregulatorio

MergersErrormodelos

LitigiosFallasenergía

Documentacióncréditos

Rotaciónpersonal

IT migracionesconversiones

Operaciones tesorería

TerrorismoDesastres naturales

Reportes financierosFraude corporativo

ImpactoP.E

P. I P. C

Mejoras eficienciaUso de tecnologíaEn presupuesto

ControlableEstimableCapital

BCPSegurosNo estimada estadísticamente

En resumen tenemos identificados los riesgos …



En resumen tenemos una metodología integral de gestión …

AnAnáálisislisis

Procesos. ControlesAutoevaluación Indicadores. Alertas

autorizacionesBest practices &

standardsEventos de pérdidas &

cercanos

Mejoras Operacionales Estrategias de mitigacióntransferencia Mejores Controles

GestiGestióón de Capitaln de Capital

• Simulaciones y modelación• Indicadores de tendencias• Correlaciones de eventos de

pérdida y autoevaluación• Análisis causal

• Auditoría• Equilibrio controles/operación• Políticas controles, estructura,

organización

• Menores pérdidas operacionales• Mayor eficiencia• Benchmarking

Como se hace Que tan bien se hacen Que pérdidas se encontraronQue se puede aprender

• Ajuste capital• Reportes financieros y regulatorios

Comprensión

Información

Datos

Gestión

Reporte



Impacto0%

10%15%20%25%30%35%

ProcesosGente

ExternosSistemas

Causas del Riesgo

1. Governace/Estructuras

2. Programas de Mitigación de Riesgos

3. Herramientas y Mecanismos

4. Cuantificación

Carlo

Aseguramiento Goblal del programa

Administración para la continuidad del negocio

Frecuencia del Evento

Definición de Políticas para Riesgo Operacional y Gobernabilidad

Controles Internos

Frecuencia Alta – Bajo

ImpactoFrecuencia Baja – Alto

ImpactoCatastrófico

Pérdidas Esperadas

Pérdidas No esperadas

Auto-evaluación de los controles (CSA)

Administración del riesgo asociado al evento y reportes

Key Risk Indicator (KRIs)

Análisis de Riesgo y Reportes

Nuevos productos/p.ej. Servicios de procesos

Proceso Mapeo

PE - Provisión ASIGNACIÓN DE CAPITAL

En resumen tenemos una estructura de riesgo operacional …



Gracias por su Atención

Arturo E. CarvajalDirector

Financial Risk ManagementKPMG

[email protected]

La información aquí contenida es de carácter general y no va dirigida a facilitar los datos o circunstancias concretas de personas o entidades. Si bien procuramos que la información que ofrecemos sea exacta y actual, no podemos garantizar que siga siéndolo en el

futuro o en el momento en que se tenga acceso a la misma. Por tal motivo, cualquier iniciativa que pueda tomarse utilizando tal información como referencia, debe ir precedida de una exhaustiva verificación de su realidad y exactitud, así como del pertinente

asesoramiento profesional.

Enfoque de Implementación de la Administración de Riesgo Operacional · 2012-07-10 · •...

Documents

Transcript of Enfoque de Implementación de la Administración de Riesgo Operacional · 2012-07-10 · •...