Bases datos eventos_perdida_riesgos_operacionales

1

Jordi García - Consultor

Jordi García Consultor

BASES DE DATOS DE EVENTOS

DE PÉRDIDA POR RIESGOS OPERACIONALES

Lima, 6 al 15 de Septiembre 2011

DIRIGIDO A ENTIDADES BAJO LA SUPERVISIÓN DE LA SBS DE PERÚ

TALLER

2


Las opiniones vertidas en el presente taller se realizan a título personal y no representan la opinión de la Superintendencia de Banca, Seguros y AFP del Perú, ni del Banco Interamericano de Desarrollo

Nota del Consultor

3


!! Generalidades de riesgo operacional

!! Definición de evento de riesgo operacional

!! Fronteras del riesgo operacional

!! Eventos simples y múltiples

!! Valoración de los eventos de riesgo operacional

!! Eventos temporales

!! Eventos que no generan pérdidas

!! Clases de riesgo

!! Clases de riesgo: aclaraciones

!! Líneas de negocio

!! Ejercicios prácticos

!! Preguntas y respuestas

Temas

Introducción y generalidades

4


El gobierno corporativo es el conjunto de principios y normas que regulan el diseño, integración y funcionamiento de los órganos de gobierno de la empresa, con el fin de proteger sus intereses y los de sus accionistas, monitorizando la creación de valor y el uso eficiente de los recursos

OBJETIVO ÚNICO: Crear un marco de gestión permanente que

permita controlar el Riesgo Operacional

•! Identificar •! Medir •! Valorar •! Mitigar

Gobierno Corporativo: Riesgo Operacional

5


Gestión del riesgo = Gestión de la incertidumbre

Riesgos Riesgo de Crédito

Riesgo de Mercado

Riesgo Operacional

Riesgo de Negocio

Rie

sgo

R

epu

taci

on

al

Basilea II: ”Riesgo operacional es el riesgo de pérdida resultante de una falta de adecuación o de un fallo de los procesos, el personal y los sistemas internos o bien por

acontecimientos externos. Incluye el riesgo legal pero excluye el de negocio.”

Definiciones: Riesgos del sistema financiero

Riesgo Técnico

6


Diseño del Proceso

Ejecución

Resultado

Gestión del proceso Acciones orientadas al

control del riesgo

Los procesos se cumplen según lo planeado

Proceso: Conjunto de acciones sistemáticas y repetitivas por las que unas entradas (inputs) se convierten en un producto

o servicio final (outputs)

Riesgo operacional es aquél que existe en todo proceso, y cuya consecuencia es que el resultado esperado no se produzca tal y como se había planeado, no

pudiendo atribuir la falla al riesgo de crédito, de mercado o de negocio

Definición de RO en términos de procesos

7


Definición de evento de riesgo operacional

Evento de riesgo operacional: •! Es un incidente que se presenta en un proceso y cuya consecuencia es

que el resultado final del mismo difiere de lo que se había planeado

•! Es debido a una falta de adecuación o de un fallo de los procesos, el personal y los sistemas internos o bien por acontecimientos externos

8


•! Cualquier impacto negativo registrado en cuentas de resultados o en la situación patrimonial de la Entidad, y que haya sido provocado a consecuencia de cualquier evento de riesgo operacional

•! La pérdida está constituida por un registro contable contabilizado en cuentas de

resultados, en rúbricas de gastos generales y/o cuentas patrimoniales

•! No se contempla el contenido de cuentas transitorias, cualquiera que sea su naturaleza

•! Si se podrá registrar cualquier provisión realizada sobre eventos acaecidos y no reconocidos en resultados

•! No formarán parte de la base de datos aquellos eventos que generen un

impacto positivo para la entidad (diferencias de Caja acreedoras, errores en la ejecución de operaciones de valores, etc....)


Pérdida por riesgo operacional

9


Debilidades que provocan la aparición

de factores de RO

Causas

Proceso mal diseñado

Escasa formación profesional

Toda circunstancia que puede desembocar en

un evento de RO

Riesgos

Riesgo de error en el proceso

Suceso que constituye la materialización del RO

Eventos

Error de entrada de datos

Indenmización al cliente

Impacto que produce el evento (pérdida)

Impacto


Secuencia natural de los acontecimientos

10


Eventos típicos de riesgo operacional

•! Errores operativos

•! Fraudes (interno & externo)

•! Actividad no autorizada

•! Fugas de talento

•! Incumplimiento normativo

•! Caída de sistemas

•! Fallos de programación

•! Sobrepasar atribuciones/límites

•! Accesos indebidos a sistemas

•! Daños en edificios

•! Incumplimiento de proveedores

•! Pérdidas por litigios

Eventos importantes

•! 11S

•! Barings Bank

•! La conversión del Euro en Europa

•! Gescartera

•! Allied Irish Banks

•! Madoff

•! Terremoto en Chile (2010)


11


Riesgo RESIDUAL

Riesgo INTRÍNSECO

Es el riesgo que provoca los eventos de RO

RO inherente a

cualquier proceso

CONTROLES

Actividades orientadas a la mitigación del riesgo

- =

¿Qué riesgo provoca eventos de RO?

Es medible cualitativa y cuantitativamente

Sólo es medible cualitativamente

Son medibles cuantitativamente


12


Pérdidas Directas

!! Impacto directo en utilidades

!! Costes de reparación

!! Cuentas “puras” (100% RO) !! Fraudes

!! Faltas en caja

!! Multas

!! Ocultas en otros gastos !! Consultoría de sistemas

!! Gastos legales

!! Otros gastos “correctivos”

!"#$"%&'#(')#*+#,'-.%#/.0./1("#

Causa

Evento

Impactos

Pérdida directa Pérdida

indirecta

Lucro cesante

Cómo afecta el RO a los resultados: pérdidas directas


13


Pérdidas Indirectas

!! Ineficiencias: !! Reprocesos

!! Horas extras

!! Errores en diseño de procesos

!! Otras tipologías: !! Errores en precios

!! Compensaciones

23&40#'0#)"#/.0&"51)1("(6#$'%.#3.0#('#

(17/1)#/"$&8%"#Causa

Evento

Impactos


indirecta

Lucro cesante


Cómo afecta el RO a los resultados: pérdidas indirectas

14


Lucro Cesante

!! Pérdida de negocio/clientes

!! Imposibilidad de cargar comisiones

!! Clientes insatisfechos que reducen su actividad con el Banco

!! Pérdida de personal clave

!! Eventos reputacionales

917/1)#('#1('0:;/"%#<#,'(1%#Causa

Evento

Impactos


indirecta

Lucro cesante


Cómo afecta el RO a los resultados: lucro cesante

15


R R H H

•! Falta de recursos •! Escasa formación •! Alta rotación •! Outsourcing •! Pérdidas de talento

G E S T I Ó N

P R O C E S O S

•! Controles deficientes •! Defectos en los sistemas •! Falta de segregación funcional •! Escasa seguridad informática •! Falta de planes de contingencia •! Exceso de manualidad

F A C T O R E S I N T E R N O S

F A C T O R E S E!X!T E R N O S

•! Desastres •! Fraude

Causas que producen eventos de RO


16


Gestión del Riesgo Operacional

2 maneras de gestionar el riesgo operacional

Identificando riesgos y controles antes de que sucedan los eventos (gestión proactiva)

Enfoque Cualitativo “ex-ante”

Los eventos ocurridos nos sirven de base para identificar el riesgo (gestión reactiva)

Enfoque Cuantitativo “ex-post”

Ambos modelos de gestión deben coexistir


17


Fronteras del riesgo operacional

Riesgo asociado a la insolvencia de las contrapartidas (clientes) a las que la entidad ha prestado, garantizado o vendido productos.

Riesgo de crédito =#

Riesgo de pérdidas debido a los movimientos de precios en los mercados (tasas de interés, tipos de cambio, precios de las acciones en bolsa, etc…) en las posiciones que la entidad tiene abiertas

Riesgo de mercado >#

No forman parte del riesgo operacional

Riesgo asociado a falta de liquidez que impida a la entidad atender sus necesidades de caja para hacer frente a sus obligaciones de pago

Riesgo de liquidez ?#

18


Fronteras del riesgo operacional

Riesgo de inversión o desinversión en negocios o productos, debido al entorno económico, decisiones erróneas o inadaptación a los cambios

Riesgo estratégico @#

Riesgo asociado a la marcha del negocio por caídas en la actividad, en las ventas o estrechamiento de márgenes, sin capacidad de reacción para contrarrestarlo

Riesgo de negocio A#

Riesgo asociado a la implantación de proyectos porque éstos no cumplan con las expectativas o porque se sobrepasen los presupuestos

Riesgo de proyecto B#

No forman parte del riesgo operacional

Es consecuencia de los demás riesgos. Es el riesgo asociado a un cambio en la percepción de los “stakeholders” (grupos de interés) con respecto a la Entidad, perjudicando su imagen y por consiguiente afectando a su capacidad de generar negocio

Riesgo reputacional C#

19


Eventos simples

Un evento simple es aquél que genera un solo impacto en la contabilidad.

Ejemplo: Una multa por incumplimiento normativo

Eventos múltiples

Un evento múltiple es aquél que genera varios impactos en la contabilidad.

Ejemplo: Un fraude de tarjetas de crédito que afecta a muchos clientes

Eventos simples y múltiples

Depende del número de impactos

20


Eventos monolínea

Un evento monolínea es aquél que afecta a una sola línea de negocio.

Ejemplo: Una multa por incumplimiento normativo

Eventos multilínea

Un evento multilínea es aquél que afecta a varias líneas de negocio.

Ejemplo: Un desastre en un edificio en el que están ubicadas dos líneas de negocio.


Depende del número líneas de negocio afectadas

21


Simple

Múltiple

Monolínea Multilínea

evento simple que afecta sólo a

una LdN

evento simple que afecta a varias LdNs

evento múltiple que afecta sólo a

una LdN

evento múltiple que afecta a varias LdNs

Número de líneas de negocio

Núm

ero d

e im

pac

tos


Si se combina todo…

22


•! Se realiza consolidando en un solo importe el impacto económico de los diversos tipos de pérdidas, aunque se encuentren registradas en cuentas diferentes

•! Cada evento informado integra todos los componentes de la pérdida independientemente de la cuenta donde estén registrados

•! La valoración se basa en la información contenida en los registros contables

•! Incluirá costes de oportunidad (intereses y gastos financieros), pero no el lucro cesante derivado de eventuales pérdidas de negocio

•! Cuando interviene alguna variable de mercado, (tipo de cambio, de interés, precio de activos financieros, etc.) la pérdida se calcula aplicando los precios existentes en el momento de la identificación del evento (momento en el que la operación deba ser anulada o regularizada)

Valoración de los eventos de riesgo operacional

Cuantificación

23


•! Todos los eventos se reportan en moneda local, independientemente de la divisa en que se haya registrado el evento, al tipo de cambio existente en la fecha de registro contable

•! Activo fijo e inmaterial. Con el fin de aplicar un criterio único:

•! Activos sustituidos. Se considera pérdida el precio de reposición del activo, (importe de adquisición o el valor presente de las obligaciones contraídas)

•! No se tienen en cuenta las mejoras tecnológicas que pueda incorporar el nuevo equipamiento

•! Activos no reemplazados. La pérdida se valora teniendo en cuenta el

precio de mercado del activo en el momento de producirse el evento

•! En el supuesto de que no sea conocido, la pérdida se registra considerando el valor del activo en libros

Cuantificación (2)


24


•! En determinadas circunstancias un evento de riesgo operacional puede tener un

impacto definido y cuantificable, aun cuando no se encuentre reflejado en cuentas de resultados

•! Ejemplo: Si por error se omite el cobro de comisiones y una vez descubierta la omisión no existe posibilidad práctica o legal de efectuarlo, se registrará el evento como si se tratara de una pérdida realmente contabilizada

•! Provisiones. Habitualmente el evento se registrará en el momento en que sea conocido su impacto definitivo

•! No obstante, en ocasiones, el impacto de un evento de riesgo operacional puede registrarse mediante una provisión antes de que el importe exacto de la pérdida sea definitivamente conocido

Otras pérdidas


25


•! Los costes o gastos extraordinarios soportados por la ocurrencia del evento

•! En caso de existir, simultáneamente, efectos positivos y negativos se calculará el importe neto de ambos

•! Los costes de oportunidad en términos financieros (intereses y comisiones no percibidos)

•! El evento se computa por su importe bruto sin deducir la recuperación conseguida mediante gestiones realizadas una vez reconocido el evento y/o por los seguros contratados para la mitigación

Se incluyen


26


•! Costes internos resultado de la dedicación de miembros de la plantilla a la resolución del evento así como el coste de eventuales horas extraordinarias.

•! El importe de los contratos de mantenimiento formalizados previamente para evitar o mitigar determinado tipo de eventos, así como el importe de las primas de seguro satisfechas para la cobertura de siniestros.

•! Coste de las mejoras realizadas para evitar futuros eventos de riesgo operacional.

•! Coste del asesoramiento jurídico cuando el Banco renuncia a seguir adelante con un proceso legal.

•! Errores en la contabilidad de gestión.

•! Lucro cesante asociado al evento (operaciones no materializadas o pérdidas de negocio derivadas del mismo).

Se excluyen


27


Un evento temporal es aquél que constituye una distorsión temporal de la cuenta de resultados. Cuando se soluciona el problema, la cuenta de resultados se queda como si el evento no hubiera ocurrido

•! El caso más común es cuando a un cliente se le cobra un tasa de interés mayor que la pactada en contrato. El cliente se da cuenta y reclama. El Banco realiza un ajuste a resultados para compensar al cliente.

•! Errores en la contabilidad que sobreestiman los resultados de la empresa

Excepciones: •! Hay casos donde la cuenta de resultados sí se ve afectada. Pensemos en un

caso en que la cuenta de resultados se ha visto afectada durante varios años por un error. La empresa espera una demanda de los accionistas, pues el dividendo y el precio de la acción de han visto reducidos. El coste del litigio (indemnizaciones, costes judiciales, etc…) representarían, en este caso, la valoración del evento

En general, no constituyen pérdida

Eventos temporales

28


Eventos que no generan pérdidas

Riesgo RESIDUAL

Riesgo INTRÍNSECO

El riesgo residual es nulo ya que no se ha

producido ninguna pérdida que

deba registrarse

El riesgo intrínseco produce un evento de RO

CONTROLES

Los controles funcionan correctamente y detectan el evento antes de que se

produzca el impacto

- =

•! Muchas entidades registran los eventos que no generan pérdidas en otras bases de datos (centrales o departamentales) con el fin de mejorar sus procesos de gestión

•! También constituyen una fuente de información para la elaboración de los KRI (Key Risk Indicators)

29


Clases de riesgo y líneas de negocio

Resolución SBS 2116-2009 de 2/4/09

SBS de Perú ha publicado la presente resolución que obliga las entidades reguladas (Entidades Financieras, Aseguradoras y AFP) a controlar su riesgo operacional:

•! Involucrando al Directorio •! Implicando a la Gerencia •! Establece la necesidad de un Área de Riesgo Operacional •! Con políticas y herramienta de gestión •! Estableciendo clases de riesgo y líneas de negocio •! Creación de una base de datos de eventos •! Comités de riesgos para la gestión •! Reporting básico •! Implicando a auditores internos, externos y agencias de rating

30


Clases de riesgo

31


Clases de riesgo

32


Clases de riesgo

33


Clases de riesgo

34


•! Debe existir intencionalidad y ánimo de lucro

•! Para poder calificar un evento de fraude es necesario evaluar la intencionalidad con que se han realizado las acciones que desencadenaron la pérdida, diferenciando si existe o no ánimo de lucro

•! Existe ánimo de lucro cuando la persona que comete la acción persigue un beneficio personal ilícito (obtención de provecho o enriquecimiento para sí mismo o para un tercero, en perjuicio de la entidad)

•! Si ha existido intención de provocar un daño sin ánimo de lucro el evento se clasificará en Daños en Activos Físicos o en Seguridad de los Sistemas

...y para que se clasifique como Fraude interno

•! Colaboración o participación interna. Se precisa el concurso de una persona vinculada con la entidad

Clases de riesgo: aclaraciones

Fraudes

35


•! Existe Fraude Interno, Robo y Fraude si se cumplen las siguientes condiciones: intencionalidad, existencia de ánimo de lucro e intervención de una persona vinculada a la entidad

•! La diferenciación entre Robo y Fraude y Actividad no autorizada, se realizará atendiendo al rango de la norma incumplida (si se incumple un a Ley estatal será Fraude, si se incumple una norma interna, entonces será Actividad no Autorizada

•! Un evento que reúna las tres condiciones exigidas se clasificará como “Fraude Interno. Robo y Fraude” si la acción puede ser tipificada como delito según la legislación vigente (código penal...) y sea sancionable por los órganos jurisdiccionales.


Fraude interno

36


•! Un evento se clasifica como “Fraude Interno. Actividad no autorizada” cuando

es cometido por una persona vinculada a la entidad, con ánimo de obtener beneficio para sí mismo o para un tercero; aunque en principio no pueda asociarse directamente a una ganancia económica, y se haya originado como consecuencia del incumplimiento de la política, normas y procedimientos internos de la entidad y facultades o atribuciones otorgadas sin que la acción pueda ser calificada de delito


Actividad no autorizada

Fra

ud

e in

tern

o

37


•! Se clasifica en este grupo cualquier fraude cometido por una persona ajena a la Entidad

•! Aquellos eventos en que se demuestre la existencia de colaboración o participación de una persona vinculada a la entidad se clasificarán como Fraude Interno

•! Seguridad de los sistemas. En esta subcategoría se clasifican las pérdidas provocadas por una acción externa mediante la vulneración de la integridad de los sistemas informáticos de la entidad utilizando los sistemas de comunicación existentes o las utilidades puestas a disposición de terceros

•! Si las pérdidas se deben a la sustracción de soportes magnéticos, bases de datos, información confidencial (códigos de acceso, claves, relación de contratos, etc.) mediante algún procedimiento físico, la pérdida originada se clasificará dentro del apartado de “Fraude externo. Robo y fraude”


Robo y Fraude, Seguridad de los Sistemas

Fra

ude

ext

ern

o

38


•! Toda pérdida originada por daños sufridos en activos materiales de la entidad, se clasificará en esta categoría. Se incluirán, asimismo, los costes relacionados con eventuales pérdidas humanas causadas por desastres naturales, actos de terrorismo, etc

•! Cuando el daño se deba a un fraude externo o interno, no se clasificará en esta categoría

Daños a activos materiales


39


•! Las pérdidas causadas por fallos en los sistemas informáticos se clasificarán dentro de esta categoría

•! Se considera un “fallo en los sistemas informáticos” al deficiente funcionamiento del “hardware” o equipamiento (cualquiera que sea su ubicación) y al “software” cuyo desarrollo y mantenimiento sea competencia exclusiva de la Unidad de Sistemas de Información de la Entidad

•! En consecuencia, los errores involuntarios originados por el uso inadecuado de aplicaciones departamentales mantenidas por el usuario y otras herramientas ofimáticas puestas a su disposición, tales como hojas de cálculo, tratamientos de texto, etc. se clasificarán en la categoría “Ejecución, entrega y gestión de procesos”

•! También se incluirán en este grupo los eventos derivados de interrupciones de algún servicio (energía eléctrica, líneas de comunicaciones, -voz y datos-, etc.) que puedan desencadenar fallos en los sistemas


Interrupción del negocio y fallos en los sistemas

40


En esta categoría se incluyen todas las pérdidas relacionadas con la gestión de Recursos Humanos:

•! Despidos improcedentes (que no respondan a decisiones estratégicas o de negocio)

•! Costes relacionados con eventuales demandas por incumplimientos de acuerdos laborales, de políticas de selección y contratación, prácticas discriminatorias, etc.

•! Multas e indemnizaciones satisfechas como consecuencia del incumplimiento de la normativa laboral y de las condiciones de Seguridad e Higiene en el trabajo, etc.

Relaciones laborales y seguridad en el puesto de trabajo


41


Se incluyen en esta categoría las pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores

•! En consecuencia, se encuadrará dentro de este grupo toda pérdida originada por un evento en el que concurran las siguientes condiciones:

•! La pérdida haya sido provocada por acción u omisión en la ejecución de operaciones, errores involuntarios cometidos en la operativa y gestión de procesos

•! Que la transacción origen de la pérdida no se encuentre vinculada al proceso de comercialización de productos o servicios


Ejecución, entrega y gestión de procesos

42


•! Este subgrupo recogerá todos los eventos que no tengan cabida en el resto de los

apartados de esta categoría. Es decir la asignación se realizará por exclusión

•! En particular, se incluirán todos los eventos que supongan una pérdida directa para la entidad, como consecuencia de:

•! errores en la introducción y mantenimiento de datos

•! ejecución deficiente de procedimientos de control

•! comunicaciones realizadas a otras contrapartidas y corresponsales

•! en general, cualquier fallo en el funcionamiento de los procesos habituales de la entidad no contemplados en las siguientes subcategorías


Recepción, ejecución y mantenimiento de operaciones

Eje

cuci

ón, entr

ega y

gest

ión d

e p

roce

sos

43


En este apartado se incluirá cualquier pérdida ocasionada por errores involuntarios en el suministro de información obligatoria (en contenidos y plazos de entrega) que deba remitirse a:

•! clientes

•! inversores

•! organismos e instituciones, etc.

cualquiera que sea el medio por el que se cursen, excepto la transmisión mediante sistemas telemáticos, en cuyo caso, la pérdida se clasificará como “Incidencias en el negocio y fallos en los sistemas”

Seguimiento y presentación de informes


Eje

cuci

ón, entr

ega y

gest

ión d

e p

roce

sos

44


Se incluirán las pérdidas ocasionadas por:

•! Errores cometidos en el proceso de formalización de cualquier tipo de contratos (activos, pasivos o de servicios) que ocasionen la pérdida o defectos de forma en los mismos (de clientes, proveedores, contrapartidas, etc.), o por no haberse formalizado ningún documento

•! Deficiencias en la documentación y justificación de toda clase de operaciones que afecte a la fuerza ejecutiva del contrato o suponga el deterioro de la posición mantenida por la entidad en su defensa jurídica


Aceptación de clientes y documentación

Eje

cuci

ón, entr

ega y

gest

ión d

e p

roce

sos

45


•! Se recogen en esta subcategoría las pérdidas provocadas por la errónea ejecución o negligente tratamiento de instrucciones y órdenes impartidas por clientes, ocasionados por el uso indebido de la cuenta del cliente, la ejecución errónea de cualquier tipo de instrucciones, la demora en su tramitación, etc.

•! Cuando el quebranto sea consecuencia de fallos en los procesos internos,

normalmente tendrán repercusión sobre un amplio colectivo de clientes. En este caso el evento se clasificará en la subcategoría “Recepción, ejecución y mantenimiento de operaciones”

•! Si el control y ejecución de estas instrucciones reside en los sistemas de información de la entidad, la pérdida provocada por un defecto en su funcionamiento se clasificará como “Interrupción de negocio y Fallos en los Sistemas”

Gestión de cuentas de clientes


Eje

cuci

ón, entr

ega y

gest

ión d

e p

roce

sos

46


Se incluyen en este capítulo las pérdidas causadas por:

•! El incumplimiento involuntario de obligaciones contractuales de la entidad con otras contrapartidas (no clientes)

•! Las pérdidas ocasionadas a consecuencia de diferencias resueltas por acuerdo directo entre partes o conciliación alcanzada mediante la intervención de un tercero para dirimir una controversia

Contrapartes comerciales


Eje

cuci

ón, entr

ega y

gest

ión d

e p

roce

sos

47


Con frecuencia, la realización de una parte de los procesos de la Entidad se subcontratan con empresas de servicios •! En este grupo se clasificarán, exclusivamente, los eventos que ocasionen

pérdidas derivadas de litigios mantenidos con proveedores y distribuidores en general

•! Cualquier interrupción o deficiencia en la actividad de un proveedor que tenga consecuencias negativas en la calidad de los servicios prestados o afecte al correcto funcionamiento de los procesos de la entidad se clasificará en la subcategoría “Recepción, ejecución y mantenimiento de operaciones” o en cualquier otra categoría que pudiera corresponder en aplicación de los criterios de clasificación descritos


Distribuidores y proveedores

Eje

cuci

ón, entr

ega y

gest

ión d

e p

roce

sos

48


En este grupo se integran “las pérdidas derivadas del incumplimiento involuntario o negligente de una obligación profesional frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación) o de la naturaleza o diseño de un producto” Esta categoría es complementaria de la anterior. En general, recogerá todas las pérdidas originadas por multas, sanciones, indemnizaciones y gastos ocasionados por:

•! Litigios por infracciones de la normativa vigente y del marco jurídico existente

•! Reclamaciones de clientes que hayan sufrido un quebranto económico o se consideren perjudicados por la acción u omisión de la entidad en la comercialización de productos o servicios

Clientes productos y prácticas empresariales


49


•! En este apartado se integrarán los eventos que no pueden ser clasificados en el resto de los grupos de esta categoría

•! En particular, se incluirán todos los eventos generados por reclamaciones de clientes en relación con el proceso de comercialización de productos o servicios

Clie

nte

s pro

duct

os

y prá

ctic

as

em

pre

sariale

s Adecuación, divulgación de información y confianza


50


Pertenecen a este grupo todas las pérdidas (multas, sanciones, indemnizaciones y gastos) originadas por infracciones de la regulación vigente

En particular, se incluirán dentro de este grupo los eventos relacionados con:

•! Prácticas ajenas a la competencia leal

•! Utilización de información privilegiada en beneficio de la entidad

•! Comisión de actividades ilícitas en relación con el blanqueo de dinero, evasión de capitales, etc.

También se incluirán dentro de esta subcategoría la pérdidas originadas por la utilización de una política de ventas agresiva

Clie

nte

s pro

duct

os

y prá

ctic

as

em

pre

sariale

s

Prácticas empresariales o de mercado improcedentes


51


Las pérdidas ocasionadas por sanciones y penalizaciones a consecuencia de:

•! La comercialización de productos sin la preceptiva autorización

•! Reclamaciones de clientes perjudicados por la utilización de modelos de valoración erróneos, sistemas de análisis de riesgo defectuosos, etc.

Clie

nte

s pro

duct

os

y prá

ctic

as

em

pre

sariale

s


Productos defectuosos

52


Formarán parte de este grupo todos los eventos cuyas pérdidas han sido ocasionadas por reclamaciones de clientes que consideran se ha hecho un uso inadecuado de los poderes otorgados a la entidad en:

•! La gestión discrecional de patrimonios

•! El cumplimiento de las restricciones o límites impuestos en la gestión fiduciaria

•! La investigación previa necesaria para la realización de inversiones

Clie

nte

s pro

duct

os

y prá

ctic

as

em

pre

sariale

s


Selección, patrocinio y riesgos

53


•! Dentro de este apartado se clasificará cualquier indemnización satisfecha a clientes como resultado de pérdidas provocadas por recomendaciones erróneas y asesoramientos deficientes

•! En particular, se incluirán en este apartado las pérdidas originadas por la actividad de asesoramiento prestada en los segmentos de negocio de Banca Privada y Banca de Inversiones, así como otras pérdidas originadas por reclamaciones de clientes perjudicados por las recomendaciones realizadas por la entidad en servicios tales como la tramitación de testamentarías, asesoramiento fiscal, etc...

Clie

nte

s pro

duct

os

y prá

ctic

as

em

pre

sariale

s


Actividades de asesoramiento

54


Clasificado

Evento y/o

Pérdida

Es un tipo de evento/ pérdida

de Basilea

Si

NOQué causó la

Pérdida/Evento

La respuesta debe permitir la

clasificación

Si

No pregunte¿Por qué?

Clasificado

Evento y/o

Pérdida

Es un tipo de evento/ pérdida

de Basilea

Si

NOQué causó la

Pérdida/Evento

La respuesta debe permitir la

clasificación

Si

No pregunte¿Por qué?


Algoritmo de clasificación de eventos

55


Basel L1 Basel L2 ORX L1 ORX L2 Internal Fraud

Theft and Fraud Unauthorized Activity

Internal Fraud

Internal Theft and Fraud (General) Unauthorized Activity

Internal Systems Security (for profit) External Fraud Theft and Fraud ext.

Systems Security External Fraud External Theft and Fraud (General) External Systems Security (for profit)

Malicious Damage Wilful Damage Terrorism[1]

Syst. Security External – Wilful damage[2]

Syst. Security Internal – Wilful Damage[3] Employee Practices and Workplace Safety Employee Relations

Safe Environment Diversity and Discrimination

Employee Practices and Workplace Safety Employee Relations

Safe Workplace Environment Employment Diversity and Discrimination

Clients, Products and Business Practices Suitability, Disclosure and Fiduciary

Improper Business or Market Practices

Product Flaws

Selection, Sponsorship and Exposure

Advisory Activities

Clients, Products and Business Practices Suitability, Disclosure and Fiduciary

Improper Business or Market Practices

Product Flaws

Selection, Sponsorship and Exposure

Advisory Activities Damage to Physical Assets Natural Disasters Disasters and Public Safety Disasters and Other Events

Accidents and Public Safety

Business Disruptions and System Failures Systems Technology and Infrastructure Failures Technology and Infrastructure Failures

Execution, Delivery and Process Management

Transaction Capture, Execution and Maintenance

Customer Intake and Documentation

Customer / Client Account Management Monitoring and Reporting

Financial Counterparty Event Vendor Event

Execution, Delivery and Process Management Transaction Capture, Execution and

Maintenance

Customer Intake and Account Management Monitoring and Reporting Errors

Las clases de RO de Basilea y la SBS son similares


56


Líneas de negocio (Empresas Sistema Financiero)

57


Líneas de negocio (Compañías de seguros)

58


Líneas de negocio (Compañías de seguros)

59


Líneas de negocio (AFP)

60


Basel Business Lines ORX Business Lines Business Unit Level 1 Level 2 Level 1 Level 2

Activity Groups

Corporate Finance

Corporate Finance Municipal/Government

Finance

Merchant Banking Advisory Services

Corporate Finance

Corporate Finance Muni cipal/Government

Finance

Advisory Services

Mergers and Acquisitions, Underwriting, Privatizations, Securitization, Research, Debt (Government and High Yield),

Equity, Syndications, IPO, Secondary Private Placements

Investment Banking

Trading & Sales

Sales

Market Making

P roprietary Positions Treasury

Trading & Sales Equities

Global Markets

Treasury/Funding Corporate Investments

Fixed Income, Equity, Foreign Exchange, Commodities, Credit,

Funding, Own Position Securities, Lending and Repos,

Brokerage, Debt, Cross –Industrial Holdings

Retail Banking Retail Lending and Deposits, Banking Services, Trusts and

Estates

Retail Banking

Card Services Merchant/Commercial/ Corporate Cards, Private Label and Reta il

Retail Banking

Retail Banking

Card Services

Private Banking

Private Banking Private Lending and Deposits, Banking Services, Trusts and Estates, Investment Advice

Commercial

Banking

Commercial Banking Commercial

Banking

Commercial Banking Project Finance, Real Estate, Export Finance, Trade Finance,

Factori ng, Leasing, Loans, Guarantees, Bills of Exchange

Payment and

Settlement

External Clients Clearing Cash Clearing

Securities Clearing

Payments and Collections, Funds Transfer, Non - securities

Clearing and Settlement, Check Processing

Custody Services Escrow, Depository Receipts, Securities Lending (Customers),

Corporate Actions; Issuer and Paying Agents, Securities

Settlement.

Corporate Trust &

Agency

Includes Prime Brokerage

Banking

Agency

Services

Cu stody

Corporate Agency

Corporate Trust

Agency Services

Custom Services Special Financial Services Performed on Agency Basis.

Discretionary Fund Management

Asset Management

Non-Discretionary Fund

Management

Asset Management

Fund Management

Pooled, Segregated, Retail, Institutional, Closed, Open

Retail Brokerage

Retail Brokerage Retail Brokerage Retail Brokerage Execution and Full Service

Other

N/A Corporate Items Corporate Items Limited category for items than can only be categorized at

corporate level, e.g., kidnapping of chairman, corporate - level

financial reporting events, etc.

Líneas de negocio

Las LdN de RO de Basilea y la SBS son similares

61


!! La Unidad de Riesgo Operacional

!! Cómo localizar los eventos de RO en mi empresa

!! Áreas informantes

!! Eventos abiertos, eventos cerrados

!! Capacitación interna para la captura

!! Experiencias de distintas entidades

!! Ejercicios prácticos


Temas

Organización para la captura de eventos

62


La mayor de parte de empresas tiene una estructura organizativa donde las diferentes Gerencias dependen de una Dirección General que a su vez depende de un Consejo de Administración (Directorio)

La Unidad de Riesgo Operacional

Gerencia General

Gerencia de Riesgos

Gerencia Ventas

Gerencia Medios

Gerencia RRHH

Una de la Gerencias es la Gerencia de Riesgos. En ocasiones el Área de Riesgos forma parte de otra Gerencia, por ejemplo, la de Ventas

63


La Gerencia de Riesgos se suele estructurar con base en los riesgos que gestiona la Entidad, que como mínimo son tres: Crédito, Mercado y Operacional


Gerencia de Riesgos

Riesgo Operacional Riesgo Mercado Riesgo Crédito

Puede haber más unidades dentro de esta Gerencia, por ejemplo, Control Interno, Metodologías (modelos de medición, scoring, ratings, etc…)

64


La Unidad de Riesgo Operacional tiene casi siempre dos subunidades, una de gestión cualitativa y otra de gestión cuantitativa


Unidad de Riesgo Operacional

Gestión cuantitativa Gestión cualitativa

65


El ciclo de gestión del Riesgo Operacional tiene 4 etapas

1 Identificar

3 Valorar

4 Controlar

2 Medir

!! Identificar es averiguar e inventariar los riesgos operacionales a los está expuesta la entidad a través de sus procesos

!! Medir es utilizar una métrica cualitativa y/o cuantitativa para dimensionar cada riesgo identificado

!! Valorar es establecer un juicio absoluto o relativo sobre la magnitud de cada riesgo

!! Controlar es poner en marcha medidas de mitigación y de seguimiento con el objetivo disminuir o anular la exposición al riesgo


66



Gestión cualitativa del RO

!! Implantación de una base de datos de factores de riesgo* operacional de las distintas unidades. Clasificación por clases de RO

!! Medición de los factores de RO con base en estimación de impacto y probabilidad/frecuencia

!! Valoración de la gravedad de los factores de riesgo a través de Comités de RO en las unidades

!! Establecimiento de planes de mitigación para los factores más graves

!! Comité de RO a nivel Banco donde se revisen los factores más importantes y se tomen decisiones de alto nivel de mitigación

DISTRIBUCIÓN POR CLASE DE RIESGO

FRAUDE EXTERNO

5%

PROCESOS46%

FRAUDE INTERNO

10%

TECNOLOGÍA16%

RR HH

8%

PRÁCTICAS

COMER.6%

EXTERNO

9%

*Un factor de riesgo es toda circunstancia que puede desembocar en un evento de RO

67


Gestión cuantitativa del RO

!! Implantación de una base de datos de pérdidas por RO. Los eventos se clasifican en por Líneas de Negocio y Clases de Riesgo

!! Disponer de una base de datos externa para completar los datos internos (opcional)

!! Las Áreas deben analizar los eventos que se registran para determinar las causas que los provocan e implantar medidas de mitigación

!! Los eventos más importantes deben tratarse en el Comité a nivel de Banco

!! En un futuro: cálculo del capital en riesgo mediante una herramienta específica

DISTRIBUCIÓN DE IMPORTES POR CLASE

PRÁCTICAS COMER.

6%

EXTERNO3%

FRAUDE INTERNO

20%

TECNOLOGÍA2%

RR HH1%

FRAUDE EXTERNO

25%

PROCESOS43%


68


Cómo localizar los eventos de RO en mi empresa

Causa

Evento

Impactos


indirecta

Lucro cesante

!! Pérdida directa: es la más fácil de localizar, salvo determinados eventos que necesitan de la colaboración de las unidades

!! Pérdida indirecta: es más difícil de localizar que la directa porque está oculta en los costos ordinarios

!! Lucro cesante: no está en la contabilidad, por tanto, no forma parte de las bases de datos de RO. Sólo podemos realizar una estimación

Dificu

ltad

crecie

nte

69



3 caminos para localizar los eventos de RO

Consiste en mapear todos los procesos de la entidad, averiguar donde se pueden producir eventos y establecer un sistema de reporting

Procesos =#

Se trata de recorrer la estructura de la empresa y cruzarla con todas las clases y subclases de riesgo y averiguar quien tiene la información

Estructura de la empresa y clases de RO >#

La contabilidad de la empresa es una buena fuente de información. Hay que averiguar cuales son las Áreas que tienen la información

Contabilidad ?#

70


Diseño Procesos

Implantación y ejecución

Resultados GESTIÓN

Acciones orientadas al control de la producción y del Riesgo Operacional

Los procesos se cumplen según lo planeado

Proceso: Conjunto de acciones sistemáticas y

repetitivas por las que unos datos iniciales (inputs) se convierten en un producto o

servicio final (outputs)


Localización a través de los procesos

71


Jerarquía de procesos

Proceso

Subproceso

Tarea/Actividad

Macroproceso Recursos Humanos

Nóminas

Pago de nóminas

Emisión de cheque, pago en efectivo, etc


72


En este punto es donde se conocen los eventos de RO

Las empresas que gestionan el RO con base en procesos, siguen un esquema parecido a este


73


A través de la estructura organizativa y de las clases de riesgo


Fraude Interno

Fraude Externo

Procesos

Prácticas Comerciales

Recursos Humanos

Tecnología

?

?

?

?

?

?

Comercial Tesorería Minorista Etc…

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

Desastres ? ? ? ?

74


A través de la estructura organizativa y de las clases de riesgo


!! En primer lugar se establece contacto con los máximos responsables de la Línea de Negocio/Soporte, ya que es esencial que la Alta Dirección esté involucrada en el proceso de gestión del Riesgo Operacional

!! Los responsables de la Línea de Negocio/Soporte designan a los interlocutores y les dan el mandato correspondiente

!! Los interlocutores y el personal de Gestión Cuantitativa de la Unidad de Riesgo Operacional recorren toda la taxonomía de RO de la Unidad e identifican las fuentes de información

75


Una vez localizadas las fuente de pérdidas, éstas deben constituirse en áreas informantes

Áreas informantes

!! La Unidad Central de Riesgo Operacional, en coordinación con las personas designadas por la Línea de Negocio/Apoyo establecen el procedimiento mediante el cual se capturan los eventos de RO

!! El procedimiento de cada LdN formará parte del Manual de Riesgo Operacional de la Entidad

!! Las áreas informantes serán distintas en función del procedimiento seguido para la identificación de los eventos de RO

76


Áreas informantes

Las empresas que se gestionan por procesos tienen un rol llamado Dueño del Proceso. Bajo su responsabilidad estaría el área informante de los eventos de RO

Procesos =#

Cada Línea de Negocio/Soporte constituye un área informante que puede estar encuadrada dentro de su Unidad de Gestión del RO

Estructura de la empresa y clases de RO >#

Las empresas con un plan contable que diferencie el Riesgo Operacional suelen utilizar las Unidades de Control del Gasto como áreas informantes de eventos de RO

Contabilidad ?#

Áreas informantes en función del modelo de gestión

77


Áreas informantes

Áreas informantes híbridas

!! Las distintas formas de identificar los eventos de RO en la empresa no son excluyentes.

!! Es totalmente factible utilizar un modelo mixto en el cual determinadas tipologías de riesgo se obtienen en los procesos que las originan, otras directamente de la contabilidad y otras en las líneas de negocio

Lo importante es que cualquiera que sea el modelo elegido, TODO evento de RO que se produzca en la empresa pueda ser capturado

78


Capacitación interna para la captura de eventos

El personal de las áreas informantes debe estar bien capacitado

!! La Unidad de Riesgo Operacional debe organizar cursos de capacitación para las personas que integran las áreas informantes

!! La formación es esencial porque de ella depende la calidad de la información que se registra en las las bases de datos de eventos de RO

!! Es conveniente realizar un plan de formación anual, o cuando se produzcan nuevas contrataciones

!! La Alta Dirección debe colaborar apoyando la celebración de los cursos de formación. RRHH colabora directamente en esta labor

79


Capacitación interna para la captura de eventos

Temario que debe cubrir el plan de formación

!! Definiciones y generalidades de Riesgo Operacional

!! Fronteras del Riesgo Operacional

!! Explicación exhaustiva de las clases de riesgo, en todos los niveles que la Entidad haya fijado en su metodología

!! Líneas de negocio/soporte

!! Valoración de eventos

!! Eventos simples, eventos múltiples

!! Eventos que impactan varias líneas de negocio/soporte

!! Eventos abiertos, eventos cerrados

!! Eventos temporales

!! Entrenamiento en el software de reporting (si la Entidad lo tiene)

!! Manejo de las provisiones por Riesgo Operacional

!! Ejemplos y ejercicios sobre casos reales

80


Experiencias de distintas entidades

Entidad A: modelo basado en procesos

Gerencia de Riesgos:

Metodología de riesgos

Unidad de Riesgo Operacional:

Áreas informantes:

Comités de RO:

Capital por RO:

No existe como tal

En el Área de Presidencia (Chairman)

En Operaciones y Sistemas (Área CEO)

Ubicadas en los procesos

En Operaciones y Sistemas

Metodologías de riesgos

•! Modelo eficaz •! Más rápido de implantar

A favor

•! Nadie tiene la visión integral de RO

•! Las LdN no se sienten implicadas en la gestión

En contra

81


Experiencias de distintas entidades

Entidad B: modelo basado en LdN

Gerencia de Riesgos:

Metodología de riesgos

Unidad de Riesgo Operacional:

Áreas informantes:

Comités de RO:

Capital por RO:

En el Área de Presidencia

En el Área de Riesgos


En las LdN y Soporte

En las LdN y Soporte


•! Riesgos tiene la visión integral de RO

•! Implicación de las LdN en la gestión

A favor

•! Más tiempo para implantar el modelo (más personas que formar, etc…)

En contra

82


Temas

Construcción de la base de datos interna de eventos de RO

!! Construcción de eventos partiendo de las pérdidas

!! Tipos de pérdida

!! Contabilización de las pérdidas

!! Definición de datos a capturar

!! Formatos de captura (campos de las BBDD)

!! Parametrización

!! Eventos múltiples

!! Sistemas de captura de eventos

!! Periodicidad de captura

!! Ubicación de las bases de datos

83


Temas

Construcción de la base de datos interna de eventos de RO

!! Umbrales de captura

!! Controles de calidad

!! Bases de datos externas

!! Comité de criterios

!!Generación de informes


84


Causa Evento Pérdida

Una pérdida por Riesgo

Operacional es un

impacto negativo en los

resultados o en el

patrimonio de la

compañía, debido a un

evento de Riesgo

Operacional

La causa es cualquier

circunstancia que pueda

generar factores de

Riesgo Operacional

Es la materialización del

Riesgo Operacional.

Un evento de Riesgo

Operacional es un suceso

que altera el curso normal

de un proceso

Construcción de los eventos partiendo de las pérdidas

85


Una base de datos de pérdidas es un conjunto

de apuntes contables

Una base datos de eventos consiste en agrupar todas las pérdidas que

constituyen un mismo evento

Pérdidas Eventos

A veces las pérdidas no son lo mismo que los eventos

P 1

P 2

P 3

P 4

P 5

P 6

P 7

P 8

P 9

Evento 1

Evento 2

Evento 3

Evento 4

Evento 5

Construcción de los eventos partiendo de las pérdidas

86


!"#$%$&'()%#*+,&'(D1'%&.3#:$.3#('#*+#3.0#E4/1),'0&'#1('0:;/"5)'3#$.%F8'#3'#G"#(';01(.#80"#/8'0&"#'3$'/H;/"##I$.%#'-JK#E%"8('36#E")&"3#'0#/"-"6#,8)&"36#'&/JJL#

-.$*/.%0&+%1.*'(!"3#$M%(1("3#('51("3#"#$%4/:/"3#('#N'0&"3#10/.%%'/&"36#"#N'/'3#%'F81'%'0#10(',01O"%#"#).3#/)1'0&'3#I$.%#'-JK#0.#'P$)1/"%#).3#%1'Q.3#('#80#$%.(8/&.#N'0(1(.6#'&/RL#

!"#$%$&($*(&+231'(S8/G.3#'N'0&.3#('#*+#/.0))'N"0#80"#$M%(1("#('#"/:N.3#I$.%#'-JK#('3"3&%'36#"//1('0&'36#%.5.36#'&/L#

4&',1'(4*.*#&5*'(D1'%&.3#'N'0&.3#('#*+#3'#%'/.Q'0#/.,.#Q"3&.3#.$'%":N.3#%'Q8)"%'3#I$.%#'-JK#G.0.%"%1.3#$.%#/.038)&"36#G.0.%"%1.3#('#"5.Q"(.36#'&/RL#

6&#71'(*.(+8*.,&'(

$*(%.7#*'1'(

T#N'/'3#).3#5"0/.3#%'/.Q'0#'N'0&.3#('#*+#(13,108U'0(.#/8'0&"3#('#10Q%'3.3#I$.%#'-JK#/8'0&"3#('#10&'%'3'3#%'/151(.36#'&/RL#

Tipos de pérdidas

Sólo una parte del RO es fácilmente identificable

87


Causa Evento Pérdida

Responsabilidad Legal

Incumplimiento regulatorio

Pérdidas o daños en activos

Indemnizaciones

Pérdidas de efectivo

Pérdidas por fraudes

Fallidos de crédito

Pérdidas en mercados

Gastos en juicios, litigios, etc...

Toda clase de sanciones y multas

En inmuebles, en equipos. Pérdida de títulos

A clientes, proveedores, empleados

Diferencia en caja y ATMs, pérdida timbres, sellos, etc

Medios de pago, robos, estafas, etc...

Fallidos de crédito debido a eventos de RO

Pérdidas en mercados debido a eventos de RO

Tipos de pérdidas

88


Tipos de pérdidas

Causa

Evento

Impactos


indirecta

Lucro cesante

!! Pérdida directa: es la más fácil de localizar, salvo determinados eventos que necesitan de la colaboración de las unidades

!! Pérdida indirecta: es más difícil de localizar que la directa porque está oculta en los costos ordinarios

!! Lucro cesante: no está en la contabilidad, por tanto, no forma parte de las bases de datos de RO. Sólo podemos realizar una estimación

Dificu

ltad

crecie

nte

89


Ciclo de vida de un evento de Riesgo Operacional

Contabilización de las pérdidas

!! Los eventos de Riesgo Operacional tienen tres fechas relevantes que los caracterizan:

!! F1 La fecha de ocurrencia

!! F2 La fecha de descubrimiento

!! F3 La fecha, o las fechas de contabilización

!! El tiempo transcurrido entre F1 y F3 puede ser muy corto

!! Sin embargo, también puede ser muy largo (varios años)

!! Depende de la naturaleza del evento

90


Casuística entre F1, F2 y F3


Siempre debe cumplirse esta condición lógica

F1<=F2<=F3

Ocurre, se descubre y contabiliza el mismo día F1=F2=F3

Ocurre y se descubre el mismo día, pero se contabiliza más adelante

F1=F2<F3

El evento ocurre, se descubre más adelante y se contabiliza el mismo día en que se descubre

F1<F2=F3

El evento ocurre, se descubre más adelante y se contabiliza todavía más tarde

F1<F2<F3

F1 Ocurrencia F2 Descubrimiento F3 Contabilización

91


Calidad del modelo de gestión


Siempre debe cumplirse esta condición lógica

F1<=F2<=F3

Los días transcurridos entre la fecha de contabilización y la fecha de descubrimiento son un indicador de calidad de las funciones de RO, Control Interno y Auditoría

F3 – F2

F1 Ocurrencia F2 Descubrimiento F3 Contabilización

Los días transcurridos entre la fecha de contabilización y la fecha de ocurrencia son otro indicador de calidad todavía mejor que el anterior de las funciones de RO, Control Interno y Auditoría

F3 – F1

92


Eventos abiertos, eventos cerrados


•! Un evento se considera abierto mientras el proceso de investigación no haya concluido, y por consiguiente, existe la posibilidad de que todavía se contabilicen más impactos

•! Un evento se considera cerrado en el momento en que se realiza la última contabilización de los impactos, y no se espera ninguno más. El proceso de investigación se da por terminado

•! Es posible que en determinadas circunstancias en un evento que se

consideró cerrado aparezcan nuevas pérdidas que deban sumarse

93


Provisiones


•! Las entidades financieras realizan provisiones en determinadas circunstancias:

•! En cumplimiento de las normas contables de su país •! Por aplicación de criterios de prudencia financiera •! Cuando la probabilidad de que la pérdida se materialice es elevada •! Cuando se trata de eventos relacionados con litigios que tardan mucho

tiempo en resolverse

•! Una gran parte de las provisiones están relacionadas con eventos de Riesgo Operacional, especialmente aquellos que derivan de litigios con clientes, empleados, proveedores o por demandas externas

•! Los criterios de prudencia aconsejan incorporar a las BBDD los montos de las provisiones realizadas por eventos de RO. Cuando el evento se concreta se cancela la provisión y se sustituye por el importe definitivo

94


4 posibles fuentes de información

Sistema de captura de eventos de RO que deben incluir como mínimo aquella información que la norma de la SBS establece para las entidades que supervisa

Eventos de RO según la Norma de la SBS =#

Además de la información mínima requerida, es importante que las entidades recojan información adicional que pueda ser útil para la gestión

Información complementaria o extendida >#

Las entidades pueden utilizar su BBDD de RO para recoger aquellos eventos que no han producido impacto en la contabilidad (near misses)

Eventos sin impacto en pérdidas ?#

Definición de datos a capturar

Aquellas entidades que estén suscritas a bases de datos externas, deben incorporar a su BBDD los eventos que reciben del Consorcio al que pertenezcan

Eventos externos @#

95


Datos mínimos según la Norma 2116-2009 de la SBS


•! Código de identificación del evento. •! Tipo de evento de pérdida (según tipos de eventos señalados en el Anexo 1). •! Línea de negocio asociada (nivel 1 y 2), según líneas señaladas en el Anexo 2 para

empresas del sistema financiero, Anexo 3 para las de seguros y Anexo 4 para las AFP •! Descripción corta del evento. •! Descripción larga del evento. •! Fecha de ocurrencia o de inicio del evento. •! Fecha de descubrimiento del evento. •! Fecha de registro contable del evento. •! Monto(s) bruto(s) de la(s) pérdida(s), moneda y tipo de cambio. •! Monto(s) recuperado(s) mediante coberturas existentes de forma previa al evento,

moneda, tipo de cambio y tipo de cobertura aplicada. •! Monto total recuperado, moneda y tipo de cambio. •! Cuenta(s) contable(s) asociadas. •! Identificación si el evento está asociado con el riesgo de crédito (para empresas del

sistema financiero) o con el riesgo de seguros (para empresas del sistema de seguros).

96


Información complementaria


La creación de una BBDD de eventos de RO tiene una doble utilidad:

•! Para el cálculo del capital en riesgo •! Para la gestión efectiva del RO

Con el fin de mejorar la gestión se puede completar la información con algunos datos que pueden ser de utilidad:

•! Proceso: si la entidad cuenta con una estructura de procesos, es interesante incluir un campo donde se refiera en que procesos se ha producido el evento

•! Producto: si el evento se produjo en un producto o servicio que la entidad comercializa, también en conveniente registrarlo

•! Causas: las causas que han provocado el evento son muy importantes para la gestión, por tanto, es bueno registrarlas (puede haber más de una)

97




Productos y servicios

Los bancos internacionales miembros de ORX han acordado una clasificación genérica de productos y servicios:

1.! Productos de capital: •!Emisión de acciones •!Emisión de bonos •!Productos estructurados •! Titulizaciones •!Colocaciones privadas •! Financiación sinidicada

2.! Servicios de finanzas corporativas: •! Fusiones y adquisiciones •!Servicios de asesoría

98


Información complementaria: productos y servicios (2)


3. Productos derivados: •! Tasa fija •!Acciones •!Commodities •! FX y money market •!Repos y préstamo de valores •! Fondos de inversión •!Derivados de tipos de interés •!Derivados de crédito •!Derivados de FX •!Derivados de acciones •!Derivados de commodities •!Otros derivados

99




4. Productos de financiación minorista: •! Tarjetas de crédito/débito •! Financiación vehículos •! Leasing de vehículos •!Préstamos para estudios •!Hipotecas •! Líneas de financiación hipotecarias (HELOC) •!Otros préstamos al consumo •!Cartas de crédito personales o garantizadas

100




5. Créditos comerciales: •!Créditos comerciales e industriales •!Créditos comerciales para mejoras de la construcción •!Crédito para financiar la adquisición y construcción de bienes

inmuebles •!Créditos para financiación de equipos y maquinaria •! Tarjetas de crédito para empleados de empresas •!Servicios de tarjetas de crédito para comercios •! Financiación de proyectos •! Trade finance •!Garantías y avales •! Financiación estructurada

101




6. Depósitos: •!Cuentas corrientes consumo •!Cuentas a plazo con preaviso de cancelación •!Cuentas corrientes de empresa •!Depósitos a plazo fijo •!Productos de inversión (planes de pensiones, etc…):

7. Pagos y cobros, gestión de caja (cash management): •!Gestión de caja minorista •!Gestión de caja empresas •!Pagos electrónicos •!Pagos manuales •!Cámara de compensación (clearing) •!Pagos y cobros (settlement) •!Servicios de mercados organizados

102




8. Administración de activos: •!Servicios de custodia •!Acciones corporativas •!Servicios fiduciarios •! Intermediación minorista •!Servicios de asesoría en general •!Gestión de carteras •!Asesoría en la gestión de carteras

9. Productos de inversión: •!Administración de fondos •!Administración de fondos tradicionales para instituciones •!Administración de fondos alternativos (hedge funds, etc…)

10. Intermediación: •!Servicios de broker (intermediación en compra-venta) •!Asesoría de intermediación

11. Productos no bancarios: (desastres, seguros, alquiler de vehículos, etc…)

103




Procesos

Los bancos internacionales miembros de ORX han acordado una clasificación genérica de procesos:

1.! Diseño y desarrollo de productos y servicios: •! Investigación y análisis de mercado •!Desarrollo de productos y servicios

2.! Marketing de productos y servicios: •! Investigación de mercado •!Publicidad •!Otros aspectos de marketing

3.! Ventas: •!Asesoría previa •!Precios y presupuestos •!Chequeo de disponibilidad/límites •! Términos del contrato

104


Información complementaria: procesos (2)


4. Mantenimiento de contrapartidas:

•!Cuentas de clientes •!Relaciones con clientes •!Procesos de due diligence •!Préstamos fallidos

5. Captura y documentación de transacciones: •!Captura de transacciones •!Confirmaciones y documentación •!Otros aspectos de marketing

105




6. Entrega de productos y servicios:

•!Recepción de órdenes de clientes •!Ejecución de órdenes de clientes •!Gestión de posiciones de tesorería •!Acciones corporativas propias •!Acciones corporativas de clientes •!Cálculo de comisiones •!Cálculo de intereses •!Gestión de colaterales •!Control del balance del banco •!Gestión de carteras de clientes •!Gestión de liquidez •!Gestión de activos de clientes (cajas de alquiler, etc…) •!Asesoría •!Estados financieros de clientes

106




7. Pagos y cobros:

•!Pagos y cobros •!Entrega libre de pago •!Pagos y cobros en efectivo

8. Contabilización de transacciones: •!Contabilización

9. Gestión de recursos humanos: •!Selección, contratación y despido •!Nóminas •!Viajes •!Otros aspectos de RRHH

107




10. Tecnología y sistemas:

•!Desarrollos y manteniendo •! Implantación •!Compras de tecnología •!Seguridad informática •! Infraestructura de la red •!Producción •!Mesa de ayuda e incidentes

11. Reporting financiero e impuestos:

•!Presupuesto •!Contabilidad •!Reporting (indicadores) •!Reporting financiero •! Impuestos

108




12. Gestión del capital y liquidez:

•!Gestión de capital y fondeo •!Gestión de inversiones corporativas

13. Gestión de proveedores y outsourcing:

•!Selección y contratación de proveedores y outsoucing •!Gestión del contrato

14. Gestión de activos e inmuebles:

•!Gestión de inmuebles •!Gestión de flotas de vehículos •!Higiene de los inmuebles •!Seguridad física •!Protección del entorno (aire, temperatura, humedad, etc…) •!Otros servicios internos

109




15. Cumplimiento legal, Gobierno y Auditoría:

•!Políticas y gobierno corporativo •!Reporting regulatorio no financiero •!Asesoría Jurídica •!Gestión de litigios •!Auditoría •!Administración de ética profesional (conflictos de interés, uso de

información provilegiada, etc…)

16. Gestión sistemas de riesgos: •!Control y supervisión de modelos y metodologías •!Seguros y recuperaciones •!Plan de continuidad de negocio

17. Sin relación con procesos: (desastres, etc…)

110




Causas

Muchos son los bancos internacionales que han desarrollado una casuística sobre las posibles causas de los eventos de riesgo. La variedad es tan compleja que de momento no se ha abordado la creación de una lista única.

Los eventos de Riesgo Operacional se deben en ocasiones a una causa única, pero también se deben a una cadena de causas. Es conveniente registrarlas todas pues será útil a la hora de establecer planes de mitigación adecuados. Entre las causas más frecuentes, podemos señalar las siguientes:

1.! Factor humano: •! Falta de capacitación •!Alta rotación •!Outsourcing •!Proceso de selección •!Política salarial y beneficios •! Fraude interno

111


Información complementaria: causas (2)


2. Factor de diseño y gestión de procesos:

•!Diseño del proceso •!Volúmenes •!Segregación funcional •!Control dual •!Manualidad •!Cuadres y arqueos •!Conciliación de cuentas •!Seguridad lógica •!Seguridad física •!Otros sistemas de control •!Contratos •!Proveedores internos •! Incidencias con clientes •!Cumplimiento normativo •!Estructuras de gestión

112


Información complementaria: causas (3)


3. Factor tecnológico:

•!Disponibilidad de aplicativos •!Plan de continuidad •!Adecuación aplicativos •!Equipamiento

4. Factor externo:

•!Plan de contingencia •!Proveedores externos •! Fraude externo

113


Eventos que no producen pérdidas


Se pueden aprovechar las BBDD de RO también para registrar eventos que afortunadamente no produzcan pérdidas para la entidad

Las entidades deben determinar que tipologías de eventos desean registrar en función de sus posibilidades de captura

•! Una vez fijadas las tipologías, la Entidad debe asegurar que se capturan todos los eventos de dicha tipología

•! Estos eventos deben reportarse de forma separada del resto y deben quedar marcados para poder diferenciarlos fácilmente

•! También es conveniente registrar el proceso, el producto y las causas que lo han generado a efectos de gestión

•! Estos eventos pueden registrarse en BBDD separadas, gestionadas por las propias unidades que los capturan

114


Eventos externos


Las entidades que forman parte de consorcios de BBDD deben registrar los eventos externos en la BBDD:

La finalidad del registro los eventos externos es múltiple:

•! Para completar los datos internos en la modelización del capital en riesgo

•! Aportando información de gran valor para la gestión, tanto a nivel global como a nivel de líneas de negocio/soporte

•! Para conocer el posicionamiento de la Entidad frente a la competencia, tanto a nivel global como a nivel de líneas de negocio/soporte

115


Formatos de captura (campos de las BBDD)

116


Eventos corporativos


Según Basilea, todos los eventos se deben asignar a una línea de negocio

Sin embargo hay eventos cuya naturaleza los hace indivisibles. Son los llamados eventos corporativos

•! Afectan a la Entidad en su conjunto

•! No son eventos de tecnología

•! Suelen estar relacionados con el Consejo de Administración, la Presidencia, el CEO o el Centro Corporativo

•! A efectos de reporting hay que establecer un criterio de reparto entre las líneas de negocio

117


Un evento múltiple es aquél que provoca más de un impacto en la contabilidad, y/o afecta a más de una Línea de Negocio/Soporte

•! El evento múltiple se da de Alta en la BBDD con una referencia específica

•! Todas las pérdidas del evento múltiple tienen su propia referencia, pero también la del evento principal

•! El evento múltiple se puede equiparar a una cuenta con sus movimientos

•! La fecha de contabilización es la de la primera partida que compone el evento

•! Los ejemplos más típicos de eventos múltiples son los de la categoría de desastres

Eventos múltiples


118


Parametrización

Ejemplos de lo que se puede parametrizar:

•! Administradores de la aplicación

•! Roles de los usuarios

•! Entidades legales

•! Unidades/Subunidades de negocio y de soporte

•! Clases de Riesgo Operacional

•! Procesos

•! Productos

•! Causas

•! Cuentas donde se registran los eventos

•! Tipos de evento

•! Clase de riesgo de Basilea

•! Líneas de negocio de Basilea

•! Los campos Si/No

•! Etc…

La parametrización garantiza la homogeneidad de la información

119


Sistemas de captura de eventos

Existen 3 formas de capturar los eventos

Captura manual Es la forma más sencilla de implantar una base de datos de pérdidas pues no requiere ningún desarrollo informático.

•!La Unidad Central diseña un formato sencillo (en Excel o Word) que se facilita a las áreas informantes •!Los integrantes de estas áreas, que han pasado lógicamente por un plan de formación, son los encargados de reportar los eventos rellenando el formulario y enviándolo a la Unidad Central por e-mail •!La Unidad Central cuando los recibe los da de alta de su aplicación (puede ser en Excel o en una BBDD creada en Access)

•! Sistema muy sencillo

•! No necesita desarrollo informático

A favor

•! Muchas inconsistencias por falta de estandarización

•! Hay que marcar nuevamente la información

•! Discrecionalidad por parte de las áreas informantes

En contra

120




Captura semiautomática La captura semiautomática es aquella en la que la Entidad dispone de una aplicación en su intranet con formatos y parametrización estandarizada:

•!La Unidad Central diseña un formato de reporting de eventos en su intranet y da acceso a las áreas informantes •!Los integrantes de estas áreas, que han pasado lógicamente por un plan de formación, son los encargados de reportar los eventos rellenando el formulario en la intranet •!La información queda registrada en la aplicación de la Unidad Central de manera automática, una vez ésta la ha validado

•! Relativamente fácil de implantar

•! Información homogénea

•! No hay doble input

A favor

•! Discrecionalidad por parte de las áreas informantes

•! Necesita más inversión que el manual

En contra

121




Captura automática La captura automática la realizan aquellas entidades que han adaptado su contabilidad a las tipologías de Riesgo Operacional:

•!La Unidad Central ha diseñado interfases que capturan los apuntes contables que afectan a las cuentas de Riesgo Operacional •!Los apuntes requieren información adicional en algunos casos (como la clase de riesgo, proceso, etc…). Estos datos son introducidos por quien contabiliza la partida •!Cuando se corre la interfase, los eventos son descargados directamente en la BBDD central •!Los eventos importantes se completan con información de gestión

•! Información homogénea

•! La BBDD son completas

•! Poca discrecionalidad por parte de las áreas informantes

A favor

•! Necesita mayor inversión

En contra

122




Muchas entidades combinan más de una forma de captura

•! La dificultad de implantar un sistema automático en todas las Áreas conduce a que muchas entidades utilicen también la captura manual en algunas de sus unidades y/o clases de riesgo

•! Cuando los eventos son escasos no resulta eficiente montar un sistema automático de captura

•! También lo utilizan aquellas entidades que están realizando la transición por etapas de un sistema de captura a otro más automatizado

123



El rol de Auditoría Interna

La Unidad de Riesgo Operacional y las áreas informantes son responsables de la calidad

de la información del sistema de captura de eventos. Ésta se basa en tres pilares:

•! Que la información sea completa (todos los eventos se capturan)

•! Que la valoración de los eventos sea correcta porque comprende tanto los

impactos directos como los indirectos

•! La clasificación de los eventos en términos de clase de riesgo y línea de negocio/

soporte es correcta

El rol de Auditoría Interna consiste en verificar, mediante muestreo en sus visitas

periódicas a las unidades, que la información cumple con los mencionados estándares de

calidad

124


Periodicidad de la captura

Depende del sistema de captura de eventos

Captura automática Las entidades que cuentan con un sistema de captura automática desde la contabilidad mediante interfases, capturan los eventos en el instante en que éstas se ejecutan. El rango va desde diario hasta mensual

Captura semiautomática

Las entidad con este sistema capturan los eventos en el momento en que las áreas informantes los dan de alta en la aplicación

Captura manual

Quienes capturan los eventos de forma manual deben definir la frecuencia de reporte a las áreas informantes. Lo normal es que sea según la ocurrencia, pero como mínimo una vez al mes

125


Ubicación de las bases de datos de pérdidas

Dependerá del tamaño de la Entidad

Sistema centralizado

•! La BBDD puede ubicarse en un servidor o en el main frame (computador central de la empresa)

•! La ubicación centralizada es una buena solución para entidades que actúan en un solo país

•! Facilidad de control de usuarios

•! Facilidad de explotación de la información

•! Facilidad de implantación

•! Garantiza homogeneidad

A favor

•! Es más lento en general

En contra

126


Ubicación de las bases de datos de pérdidas

Dependerá del tamaño de la Entidad

Sistema descentralizado

•! La ubicación descentralizada es una buena solución para entidades internacionales o con diversas marcas

•! La BBDD puede ubicarse en un servidor en cada Entidad •! Es necesario un envío (mensual, trimestral, etc…) de datos a la Central para

agregar toda la información

•! Facilidad de implantación

A favor

•! Respuesta más lenta a los requerimientos de cambios

•! Explotación más compleja

•! La homogeneización es más difícil

En contra

127


Umbrales de captura

Cuanto más bajos, mejor

Umbrales fijados por la SBS

•! La Norma 2116-2009 fija los siguientes umbrales de captura en: •! 3.000 Nuevos Soles para Banco, Aseguradoras y AFP •! 1.000 Nuevos Soles para el resto de entidades

Umbrales fijados por otros organismos

•! El BIS cita como referencia el umbral de 40.000 NS para la captura de eventos de pérdida, para bancos internacionalmente activos

•! La organización ORX establece un umbral de captura de 80.000 NS a sus miembros

128


Umbrales de captura

Consideraciones adicionales

Las Entidades deberán fijar internamente los umbrales de captura

•! Deberán cumplir el mínimo fijado por su Regulador

•! Lo ideal es que el umbral sea cero para que la Entidad pueda valorar los impactos del Riesgo Operacional en su totalidad

•! Sin embargo, esto sólo es posible con sistema de registro automáticos que se nutran de la contabilidad

•! Los umbrales muy bajos son incompatibles con la captura manual de eventos por la carga de trabajo de conllevan

•! Los umbrales pueden variar según las líneas de negocio y por clases de riesgo (en Tesorería no tiene sentido recoger eventos pequeños, sin embargo, en fraude de tarjeta de crédito es importante recoger toda la casuística)

129


Controles de calidad

La parte más importante de las BBDD

•! Como ya hemos visto anteriormente, la calidad de la base de datos es una

pieza clave para la gestión del Riesgo Operacional

•! Al igual que en riesgo en crédito, la información de las BBDD sirve para la modelización del riesgo, para el cálculo del capital en riesgo y para la gestión en general

•! Muchas entidades no contabilizan correctamente los eventos de Riesgo Operacional, quedando éstos diluidos dentro de los gastos ordinarios

•! El desconocimiento por parte de la Alta Dirección de la dimensión real de lo que representan las pérdidas por Riesgo Operacional implica que no se tomen las medidas de mitigación adecuadas

•! Esconder el Riesgo Operacional puede transformarse una bomba de relojería para la empresa

130


Controles de calidad

Cómo implementar las funciones del Control de Calidad de las BBDD

Estableciendo reglas y criterios internos para la captura de datos 1

Revisando periódicamente las entradas y documentando los eventos importantes

Agrupando las pérdidas en eventos múltiples

2

3

Eliminando eventos temporales 4

Definiendo controles que aseguren que los datos son completos 6

Eliminando eventos que no pertenecen al Riesgo Operacional 5

Realizando cuadres con la contabilidad 7

Cruzando información con Auditoría Interna 8

Revisando eventos marcados como “No Riesgo Operacional” 9

Revisando mensualmente cuentas de RO 10

131


Bases de datos externas

¿Por qué son necesarias?

Las bases de datos externas contienen eventos reales anónimos de Riesgo Operacional, debidamente clasificados que han ocurrido en otras entidades y/o en otros sectores

•! El Riesgo Operacional, si bien es muy antiguo, no ha recibido un tratamiento

como riesgo equiparable al de crédito o al de mercado hasta la primera década del presente milenio

•! Las BBDD que las entidades están registrando tienen poca profundidad, por lo que muchas celdas están poco o nada pobladas

•! Para modelizar el riesgo y calcular el capital se necesitan más datos que los que actualmente tienen las entidades

•! Las BBDD externas son el complemento perfecto a las BBDD internas

•! Además, aportan información muy valiosa para la gestión

132


En teoría, después de un cierto tiempo, las empresas deberían tener suficientes datos en cada celda*

Fraude Interno

Fraude Externo

Ejecución de procesos

Prácticas de ventas

Recursos Humanos

Tecnológico

Desastres / accidentes

Si

Si

Si

Si

Si

Si

Si

Comercial Tesorería Minorista Etc..

No

No

Si

Si

No

Si

No

No

No

Si

Si

No

?

No

Pero, de hecho...


*Matemáticamente, se necesitan más 30 eventos por celta para poder modelizar el Riesgo Operacional

133


Muchos bancos participan en BBDD externas de diversa índole: ¿Qué opciones tenemos?

1 Construir nuestra propia BdD externa

Recoger datos de las noticias de prensa. Clasificar y comprobar

2 Comprar una BdD

Algunas compañías ofrecen BdD públicas de RO

3 Consorcio de BdD

Existen Consorcios de datos de RO (ORX, GOLD, etc…)


134


¿Cuál es la mejor opción para mi empresa?

Construir nuestra propia BdD

Lleva bastante tiempo y la BBDD no es completa 1

Comprar una BdD Es costoso y la BBDD no es completa 2

Consorcio de BdD No es tan caro y la calidad de los datos es mucho mejor (completos y controlados)

3


135


ORX es el Consorcio más importante el mundo en la actualidad

•! ORX es una organización sin ánimo de lucro, cuyos dueños son sus miembros

•! Objetivo: compartir trimestralmente eventos de Riesgo Operacional mayores de 20.000!, de forma anónima:

•! Aplicable a Basilea II AMA (enfoque LDA)

•! Benchmarking

•! Grupos de Trabajo: Criterios, Análisis de Datos, Software

•! Plataforma de discusión y desarrollo de mejores prácticas

•! Influir en la industria de la banca y en los Reguladores

•! Entorno seguro para transmisión y proceso de datos

•! ORX tiene su sede en Zürich (Suiza)

•! El software de ORX (Open Pages) permite un alto nivel de personalización


136



Las entidades financieras del mundo tienen grandes diferencias en tamaño y líneas de negocio:

•! Las diferencias de tamaño en los negocios también repercuten en diferencias de

tamaño en los eventos de Riesgo Operacional que sufren las entidades

•! A efectos de modelización, los órdenes de magnitud y la tipología de los eventos de unas y otras entidades sobreestiman el capital por Riesgo Operacional de manera considerable

•! Una alternativa a este proceso es la construcción de bases de datos locales, a nivel nacional, donde participen empresas cuya dimensión y tipología de riesgo sea equiparable

•! ORX ha abierto esta vía en España donde varios bancos participan en un intercambio “a medida” con umbral de 3.000 ! en lugar de 20.000 !. También en Canada se lleva a cabo una iniciativa similar

137


Miembros de ORX: 57 de 18 países

FirstRand {South Africa}!

Grupo Santander {Spain}!

HSBC Holdings plc {UK}!

ING Group {Netherlands}!

Intesa SanPaolo {Italy}!

JPMorgan Chase & Co. {USA}!

Lloyds Banking Group {UK}!

Morgan Stanley {USA}!

National Australia Bank {Australia}!

Nedbank Group {South Africa}!

Nordea Bank AB (publ) {Sweden}!

Northern Trust Company {USA}!

Novacaixagalicia {Spain}!

PNC Bank {USA}!

Rabobank Nederland {Netherlands}!

RBC Financial Group {Canada}!

RBI (Raiffeisen Bank International AG) {Austria}!

Royal Bank of Scotland Group {UK}!

SEB (Skandinaviska Enskilda Banken) {Sweden}!

Soci!t! G!n!rale {France} !

Standard Bank Group {South Africa}!

Standard Chartered Bank {Singapore}!

State Street Corporation {USA}!

TD Bank"Group (TDBG) {Canada}!

The Bank of Nova Scotia {Canada} !

US Bancorp" {USA}!

Wells Fargo & Co" {USA}!

WestLB AG {Germany}!

Westpac Banking Corporation {Australia}!

ABN AMRO {Netherlands}!

Ally Financial, Inc {USA}!

Banco Bradesco S/A {Brazil}!

Banco de Sabadell S/A {Spain}!

Banco do Brasil S/A {Brazil}!

Banco Pastor {Spain} !

Banco Popular {Spain}!

BPN (Banco Portugu"s de Neg#cios) {Portugal}!

Banesto {Spain} !

Bank Austria - Member of UniCredit Group {Austria} !

Bank of America {USA}!

Bank of Ireland Group {Ireland}!

Barclays Bank {UK}!

BBVA (Banco Bilbao Vizcaya Argentaria) {Spain} !

BMO Financial Group {Canada}!

BNP Paribas {France}!

BNY Mellon {USA}!

Cajamar {Spain}!

Capital One {USA} !

CatalunyaCaixa {Spain}!

CBA (Commonwealth Bank of Australia) {Australia}!

Commerzbank AG {Germany}!

Credit Agricole SA {France}!

Deutsche Bank AG {Germany}!

Deutsche Postbank AG {Germany}!

DnB NOR Bank ASA {Norway}!

Erste Group Bank AG {Austria}!

Euroclear SA/NV {Belgium}!

138


•! Los miembros de ORX reportan la información con el siguiente formato:

•! Se reportan eventos por encina de 20.000!:

•! Members required to report Gross Income per Business Line

ORX: Requerimientos de datos

•! Reference ID number (Member generated)

•! Business Line (Level 2) Code

•! Event Category (Level 2) Code

•! Country (ISO Code)

•! Date of Occurrence

•! Date of Discovery

•! Date of recognition

•! Credit-related

•! Gross Loss Amount

•! Direct Recovery

•! Indirect Recovery

•! Related event Ref ID

•! Product

•! Process

139


Comité de criterios

Las actividades y tareas de captura de eventos de Riesgo Operacional generan muchas dudas en cuanto a la interpretación de las reglas. Las buenas prácticas de gestión del RO nos dicen que los Comités de Criterios son una buena solución a este problema

•! Los Comités de Criterios son una especie de Help Desk que resuelven las

dudas y crean “jurisprudencia”

•! Formados por expertos de la Unidad de RO y coordinados por la persona encargada de la función de Control de Calidad

•! Las dudas que van surgiendo se registran y se tratan en el seno del Comité, que se reúne periódicamente.

•! Sus conclusiones forman parte del Manual de RO de la Entidad y se incluyen en los programas de formación

Los Comités de Criterios añaden valor a las BBDD

140


Las Líneas de Negocio/Soporte tienen en las BBDD una información muy valiosa para la gestión. Por un lado, la información interna les da pistas acerca de lo que está pasando en su línea de negocio, y por otro, la información sobre bases externas (si se dispone de ellas) aporta información sobre riesgos materializados en otras entidades, que serán motivo de análisis.

Ejemplos de informes:

•! Informe de pérdidas por clases de riesgo y/o líneas de producción/soporte

•!Evolución de las pérdidas (diarias, mensuales, anuales, etc…)

•! Informe sobre eventos más importantes

•! Informe sobre bases de datos externas

•! Informes comparativos de datos internos vs externos (benchmarking)

•!Etc…

Para las líneas de negocio

Generación de informes

141


Los informes de uso interno se confeccionan para reportar a la Alta Dirección y a efectos de control para la Unidad Central de Riesgo Operacional:

Ejemplos de informes:

•! Informe de pérdidas por clases de riesgo y/o líneas de producción/soporte

•!Evolución de las pérdidas (diarias, mensuales, anuales, etc…)

•! Informe sobre eventos más importantes

•! Informe sobre bases de datos externas

•! Informes de pérdidas sin factores de riesgo identificados

•! Informes de pérdidas para los Reguladores

•! Informe de pérdidas a reportar a las bases de datos externas

•! Informe de eventos que afectan a varias líneas negocio

•! Informe de eventos múltiples

•! Informe de pérdidas provisionadas

Para uso interno

Generación de informes

142


Temas

Utilidad de las BBDD de RO

•! Valor agregado de las BBDD en la gestión empresarial

•! Cálculo del capital en riesgo mediante BBDD

•! Aspectos relevantes de las mejores prácticas

•! Preguntas y respuestas

143


Valor agregado de las BBDD en la gestión empresarial

Ayer veíamos que la gestión del RO se puede hacer de dos formas:

-! Cualitativa

-! Cuantitativa

Las BBDD aportan la información necesaria para realizar una

gestión cuantitativa, como se hace en riesgo crédito:

•! Aportando aspectos necesarios para la gestión de procesos

en las líneas de negocio/soporte

•! Aportando datos para el cálculo de capital en riesgo

Las BBDD en la gestión del RO

144



Las BBDD aportan información muy valiosa para la gestión:

•! Especialmente para los eventos de bajo impacto y alta frecuencia (Ej.: Fraude

tarjeta de crédito)

•! El ser humano aprende por sus experiencias. Es más fácil conocer la exposición al

Riesgo Operacional por los eventos ocurridos que por factores cualitativos que aun

no se han manifestado en forma de eventos

•! Los eventos manifiestan la existencia de un factor de Riesgo Operacional que en

algunas ocasiones era desconocido por la Entidad

•! Las BBDD son útiles en la medida en que las Entidades se preguntan que lagunas

en la gestión hay detrás de los eventos que ocurren

•! Las BBDD externas o los grandes eventos de dominio público deben ser

analizados: “¿Le puede ocurrir a mi empresa también?”

Las BBDD son una pieza clave en la gestión del RO

145



Algunos eventos ocurridos en el sector financiero han servido para que muchas Entidades

se planteen su forma de hacer o controlar los negocios

Repasemos algunos eventos significativos que han influido en la gestión del RO:

•! El 11 de Septiembre supuso un replanteamiento de los planes de continuidad y

contingencia para muchas empresas

•! El fraude de Madoff replanteó el negocio de los hedge funds y su forma de

controlarlos en muchas empresas

•! El evento de la Sociéte Générale provocado por Jérôme Kerviel hizo que muchos

bancos revisaran sus mecanismos de gestión

Es muy conveniente analizar los eventos que ocurren a los demás para ver en que medida

nuestra Entidad también está expuesta a esos riesgos

Los eventos de otras Entidades nos sirven para evaluar nuestro RO

146



Algunas Entidades financieras calculan periódicamente su capital económico, es decir, el

capital necesario para hacer frente al riesgo, con un margen de confianza muy alto (99,9%)

En cualquier caso todas calculan su capital Regulatorio; el que viene marcado por las

reglas del Supervisor del país en que nos encontremos

Todas las Entidades comparan su Capital Regulatorio y su Capital Económico (las que lo

calculan) contra sus Recursos Propios, que obviamente deben ser más elevados

En el caso del Riesgo Operacional, las BBDD permiten calcular el Capital Económico

debido a esta clase de riesgo

Con la BBDD se puede calcular el CaR

147



Basilea II permite calcular el CaR por RO de varias formas, en función de la madurez del

sistema de gestión que la Entidad ha implantado:

•! Método Básico: 15% sobre el “Gross Margin” de la Entidad

•! Método Estándar: se calcula sobre el “Gross Margin” de cada línea de negocio,

entre el 12% y el 18%

•! Método Estándar Alternativo: permite aplicar a las Bancas Comercial y Minorista el

cálculo del 0,035 de sus saldos de créditos. El resto de las líneas se calculan como

en el Estándar

•! Método AMA (Avanzado): el que salga por el modelo matemático de distribuciones

de pérdidas (LDA)

Por el momento son pocos los Reguladores que permiten el uso del modelo AMA.

Conforme se vayan perfeccionando los sistemas de gestión y remita la crisis de crédito

internacional, se permitirá que el capital se calcule con este modelo

Ventajas del CaR por RO

148



Solvencia II también permite el uso de modelos internos, siempre que los apruebe el Regulador local y para ello es necesario utilizar BBDD internas y externas

Establece dos medidas de Capital:

•! MCR (Minimum Capital Requirement) que establece cada Regulador mediante una fórmula (en USA 2% de las primas, en Alemania 1,5%)

•! SCR (Solvency Capital Requirement) es el capital en riesgo (técnico, crédito, mercado y operacional) a un año vista calculado con un nivel de confianza del 99,5%, es decir que la probabilidad de quiebra es de 1 vez cada 200 años

A diferencia de Basilea II, Solvencia II es mucho más abierto en cuanto al cálculo del capital regulatorio. Marca las pautas a seguir por los Reguladores pero no establece fórmulas comunes como hace Basilea II

Los Reguladores han utilizado los resultados de los diferentes QIZ (5 en total) para ajustar los requerimientos mínimos de capital en sus respectivos países

Ventajas del CaR por RO

149


External data

Control environment Scenario analysis

Internal data

1

2

3

4

9(::))(%.,*#.&(

((!!""#$%&'(%)#

#

;(::))(*<,*#.&='(

(((!!""#'*&'(%)+#

(

>(?'+*.&#%1'(

###!!""#'+,'%)($-+#

#

@(61.,#15(?.3%#1./*.,(

###"$.'('%&'+#/'&-0-1-23)+#

####0'#/'0$,$4%(

Cálculo del capital por RO

Componentes del modelo AMA

150


Para cada línea de negocio, o celda

Distribución Frecuencias

Distribución Severidades

Simulación MonteCarlo

Capital en

Riesgo

Ajuste Cualitativo

BBDD interna Peso 50%

Externa Peso 25%

BD Combinada

+

Escenarios Peso 25%

Motor de cálculo

Cálculo del capital por RO

151


Gobierno corporativo y ámbito de aplicación del modelo

Estructura de gestión – Unidades implicadas 1

Estructura de Comités

Perímetro de aplicación del modelo

2

4

Implicación de la Alta Dirección 3

Aspectos relevantes de las mejores prácticas

152


COMITÉ DE DIRECCIÓN / CONSEJO DE ADMINISTRACIÓN

Área de Riesgos

Unidad Central de Riesgo Operacional

Áreas de Negocio/Soporte

Gestor de Riesgo Operacional

Gestor de Procesos y Actividades

Dependencia funcional

Es fundamental que exista un esquema de gestión aprobado por la Alta Dirección, conocido

por toda la Organización y con roles definidos. En las áreas de negocio y soporte, los roles

pueden ser a tiempo parcial, si bien deben figurar como parte de los objetivos individuales


153


Alta Dirección - Consejo de Administración (AD)

Aprueba el modelo de gestión de Riesgo Operacional Promueve el uso del modelo en la Organización Aprueba los planes de mitigación de alto nivel Autoriza los recursos humanos y tecnológicos

Alta Dirección

Unidad Central de Riesgo Operacional (UCRO)

Desarrolla el modelo de gestión de RO Implanta las herramientas de gestión Centraliza toda la información Realiza el seguimiento del RO Elabora y distribuye los informes

Unidad Central de Riesgo

Operacional


154


Gestor de Riesgo Operacional (GRO)

Ubicado su línea de negocio/soporte Coordina el inventario de RO Coordina proceso de captura

Secretario del Comité de RO Coordina los planes de mitigación Realiza el seguimiento

Gestor de Riesgo

Operacional

Gestor de Procesos y Actividades (GPA)

Elabora mapas de procesos Identifica el RO en sus procesos Actualiza inventario de RO Participa en el proceso de cuantificación Elabora planes de mitigación

Gestor de Procesos y Actividades


155


Gestión cualitativa

Cobertura: unidades intervinientes

Procesos incluidos en cada ejercicio

Criterios de valoración de factores riesgo

Comparativas entre unidades/países

Grandes riesgos corporativos

Factores de riesgo identificados completos

Reporting (a la Alta Dirección y a las unidades)

1

2

4

5

3

6

7


156


Diseño de la aplicación (campos, umbrales, etc…)

Cuadres con la contabilidad

Provisiones incluidas en la base de datos

Análisis de la evolución de datos. Pruebas comparativas

Reporting (a la Alta Dirección y a las unidades)

Análisis de grandes partidas marcadas como no RO

1

2

4

5

3

6

Gestión cuantitativa


157


Fundamentos matemáticos del modelo

Descripción matemática del modelo LDA y unidades de cálculo

Conciliación Áreas de Negocio con las de Basilea

Método de inclusión de bases de datos externas

Método de inclusión de escenarios

Revisión del ajuste cualitativo

Criterios de selección de distribuciones

Distribución por las líneas de negocio

1

2

4

5

3

6

7


158


Test de uso del modelo en las unidades: Comités de RO

Constitución de los Comités de RO y su periodicidad 1

Análisis de los factores de riesgo prioritarios

Análisis de eventos importantes del periodo

2

4

Cruce de información (BBDD vs Factores de Riesgo) 5

Análisis de indicadores fuera de rango o con alertas 6

Planes de mitigación: implantación, responsables y seguimientos 3

Nuevos riesgos 7

Planes de continuidad de negocio 8


159


Construyendo entre todos

Fin del Taller

Muchas gracias por vuestra atención

Bases datos eventos_perdida_riesgos_operacionales

Economy & Finance

Transcript of Bases datos eventos_perdida_riesgos_operacionales