Bases Datos Eventos Perdida Riesgos Operacionales PDF

1
TALLER
BASES DE DATOS DE EVENTOS

DE
PÉRDIDA POR RIESGOS OPERACIONALES
Jordi García
Consultor
DIRIGIDO A ENTIDADES BAJO LA
SUPERVISIÓN DE LA SBS DE PERÚ Lima, 6 al 15 de Septiembre 2011
Jordi García - Consultor

2
Nota del Consultor
Las opiniones vertidas en el presente taller se

realizan a título personal y no representan la opinión
de la Superintendencia de Banca, Seguros y AFP del
Perú, ni del Banco Interamericano de Desarrollo

3
Introducción y generalidades
Temas
!! Generalidades de riesgo operacional
!! Definición de evento de riesgo operacional
!! Fronteras del riesgo operacional
!! Eventos simples y múltiples
!! Valoración de los eventos de riesgo operacional
!! Eventos temporales
!! Eventos que no generan pérdidas
!! Clases de riesgo
!! Clases de riesgo: aclaraciones
!! Líneas de negocio
!! Ejercicios prácticos
!! Preguntas y respuestas

4
Gobierno Corporativo: Riesgo Operacional
El gobierno corporativo es el conjunto de principios y normas que regulan

el diseño, integración y funcionamiento de los órganos de gobierno de la
empresa, con el fin de proteger sus intereses y los de sus accionistas,
monitorizando la creación de valor y el uso eficiente de los recursos
OBJETIVO ÚNICO:
Crear un marco de gestión permanente que
permita controlar el Riesgo Operacional
•! Identificar
•! Medir
•! Valorar
•! Mitigar
5
Definiciones: Riesgos del sistema financiero
Gestión del riesgo = Gestión de la incertidumbre
Riesgo de Negocio
Riesgo Técnico
Reputacional
Riesgo
Riesgos Riesgo de Crédito
Riesgo de Mercado
Riesgo Operacional
Basilea II: ”Riesgo operacional es el riesgo de pérdida resultante de una falta de

adecuación o de un fallo de los procesos, el personal y los sistemas internos o bien por
acontecimientos externos. Incluye el riesgo legal pero excluye el de negocio.”

6
Definición de RO en términos de procesos
Diseño del
Proceso:
Conjunto de acciones sistemáticas y
Proceso
repetitivas por las que unas entradas
(inputs) se convierten en un producto
o servicio final (outputs)
Ejecución
Gestión del proceso Los procesos se cumplen

Resultado Acciones orientadas al según lo planeado
control del riesgo
Riesgo operacional es aquél que existe en todo proceso, y cuya consecuencia

es que el resultado esperado no se produzca tal y como se había planeado, no
pudiendo atribuir la falla al riesgo de crédito, de mercado o de negocio

7
Definición de evento de riesgo operacional
Evento de riesgo operacional:
•! Es un incidente que se presenta en un proceso y cuya consecuencia es

que el resultado final del mismo difiere de lo que se había planeado
•! Es debido a una falta de adecuación o de un fallo de los procesos, el

personal y los sistemas internos o bien por acontecimientos externos

8
Pérdida por riesgo operacional
•! Cualquier impacto negativo registrado en cuentas de resultados o en la

situación patrimonial de la Entidad, y que haya sido provocado a consecuencia
de cualquier evento de riesgo operacional
•! La pérdida está constituida por un registro contable contabilizado en cuentas de

resultados, en rúbricas de gastos generales y/o cuentas patrimoniales
•! No se contempla el contenido de cuentas transitorias, cualquiera que sea su

naturaleza
•! Si se podrá registrar cualquier provisión realizada sobre eventos acaecidos y no

reconocidos en resultados
•! No formarán parte de la base de datos aquellos eventos que generen un

impacto positivo para la entidad (diferencias de Caja acreedoras, errores en la
ejecución de operaciones de valores, etc....)

9
Secuencia natural de los acontecimientos
Causas Riesgos Eventos Impacto
Debilidades que Toda circunstancia que

provocan la aparición Suceso que constituye Impacto que produce
puede desembocar en
de factores de RO la materialización del RO el evento (pérdida)
un evento de RO
Proceso mal
diseñado Riesgo de error Error de entrada Indenmización
en el proceso de datos al cliente
Escasa formación
profesional

10
Eventos típicos de riesgo operacional

•! Errores operativos
•! Fraudes (interno & externo)
•! Actividad no autorizada
•! Fugas de talento
•! Incumplimiento normativo
•! Caída de sistemas Eventos importantes
•! Fallos de programación •! 11S
•! Sobrepasar atribuciones/límites •! Barings Bank
•! Accesos indebidos a sistemas •! La conversión del Euro en Europa
•! Daños en edificios •! Gescartera
•! Incumplimiento de proveedores •! Allied Irish Banks
•! Pérdidas por litigios •! Madoff
•! Terremoto en Chile (2010)

11
¿Qué riesgo provoca eventos de RO?
Riesgo
INTRÍNSECO - CONTROLES
= Riesgo
RESIDUAL
RO inherente a Actividades orientadas a Es el riesgo que provoca

cualquier proceso la mitigación del riesgo los eventos de RO
Sólo es medible Son medibles Es medible cualitativa

cualitativamente cuantitativamente y cuantitativamente

12
Cómo afecta el RO a los resultados: pérdidas directas
!"#$"%&'#(')#*+#,'-.%#/.0./1("#
Causa
Pérdidas Directas
Evento !! Impacto directo en utilidades

!! Costes de reparación
!! Cuentas “puras” (100% RO)
Impactos !! Fraudes
!! Faltas en caja
!! Multas
Pérdida Lucro
cesante !! Ocultas en otros gastos
directa Pérdida
indirecta
!! Consultoría de sistemas
!! Gastos legales
!! Otros gastos “correctivos”

13
Cómo afecta el RO a los resultados: pérdidas indirectas
23&40#'0#)"#/.0&"51)1("(6#$'%.#3.0#('#
Causa
(17/1)#/"$&8%"#
Pérdidas Indirectas
Evento
!! Ineficiencias:
!! Reprocesos
!! Horas extras
Impactos
!! Errores en diseño de procesos
Pérdida Lucro !! Otras tipologías:

directa cesante !! Errores en precios
Pérdida
indirecta !! Compensaciones

14
Cómo afecta el RO a los resultados: lucro cesante
Causa 917/1)#('#1('0:;/"%#<#,'(1%#
Lucro Cesante
Evento
!! Pérdida de negocio/clientes
!! Imposibilidad de cargar comisiones
Impactos !! Clientes insatisfechos que reducen
su actividad con el Banco
Pérdida Lucro !! Pérdida de personal clave

directa Pérdida
cesante !! Eventos reputacionales
indirecta

15
Causas que producen eventos de RO
F F
A A
C R •! Falta de recursos
•! Escasa formación C
T R
•! Alta rotación T
O H •! Outsourcing O
H
R •! Pérdidas de talento R
E E
S S
•! Desastres
•! Fraude
I P E!
N G
R •! Controles deficientes X!
E
T O •! Defectos en los sistemas T
S
E C •! Falta de segregación funcional E
T
R E •! Escasa seguridad informática R
I
N S •! Falta de planes de contingencia N
Ó •! Exceso de manualidad
O O O
N
S S S

16
Gestión del Riesgo Operacional
2 maneras de gestionar el riesgo operacional
Enfoque Cualitativo Enfoque Cuantitativo

“ex-ante” “ex-post”
Identificando riesgos y controles antes Los eventos ocurridos nos sirven de

de que sucedan los eventos (gestión base para identificar el riesgo (gestión
proactiva) reactiva)
Ambos modelos de gestión deben coexistir

17
Fronteras del riesgo operacional
No forman parte del riesgo operacional
Riesgo asociado a la insolvencia de las contrapartidas

=# Riesgo de crédito (clientes) a las que la entidad ha prestado, garantizado o
vendido productos.
Riesgo de pérdidas debido a los movimientos de precios en

los mercados (tasas de interés, tipos de cambio, precios de
># Riesgo de mercado
las acciones en bolsa, etc…) en las posiciones que la
entidad tiene abiertas
Riesgo asociado a falta de liquidez que impida a la entidad

?# Riesgo de liquidez atender sus necesidades de caja para hacer frente a sus
obligaciones de pago

18
Fronteras del riesgo operacional
No forman parte del riesgo operacional
Riesgo de inversión o desinversión en negocios o

@# Riesgo estratégico productos, debido al entorno económico, decisiones
erróneas o inadaptación a los cambios
Riesgo asociado a la marcha del negocio por caídas en la

A# Riesgo de negocio actividad, en las ventas o estrechamiento de márgenes, sin
capacidad de reacción para contrarrestarlo
Riesgo asociado a la implantación de proyectos porque

B# Riesgo de proyecto éstos no cumplan con las expectativas o porque se
sobrepasen los presupuestos
Es consecuencia de los demás riesgos. Es el riesgo

asociado a un cambio en la percepción de los
C# Riesgo reputacional “stakeholders” (grupos de interés) con respecto a la
Entidad, perjudicando su imagen y por consiguiente
afectando a su capacidad de generar negocio

19
Eventos simples y múltiples
Depende del número de impactos
Un evento simple es aquél que genera un solo

Eventos impacto en la contabilidad.
simples Ejemplo: Una multa por incumplimiento normativo
Un evento múltiple es aquél que genera varios

Eventos impactos en la contabilidad.
múltiples Ejemplo: Un fraude de tarjetas de crédito que afecta
a muchos clientes

20
Depende del número líneas de negocio afectadas
Un evento monolínea es aquél que afecta a una sola

Eventos línea de negocio.
monolínea Ejemplo: Una multa por incumplimiento normativo
Un evento multilínea es aquél que afecta a varias

Eventos líneas de negocio.
multilínea Ejemplo: Un desastre en un edificio en el que están
ubicadas dos líneas de negocio.

21
Si se combina todo…
Número de impactos
evento múltiple evento múltiple
Múltiple que afecta sólo a que afecta a
una LdN varias LdNs
evento simple que evento simple

Simple afecta sólo a que afecta a
una LdN varias LdNs
Número de líneas de negocio
Monolínea Multilínea

22
Valoración de los eventos de riesgo operacional
Cuantificación
•! Se realiza consolidando en un solo importe el impacto económico de los

diversos tipos de pérdidas, aunque se encuentren registradas en cuentas
diferentes
•! Cada evento informado integra todos los componentes de la pérdida

independientemente de la cuenta donde estén registrados
•! La valoración se basa en la información contenida en los registros contables
•! Incluirá costes de oportunidad (intereses y gastos financieros), pero no el lucro

cesante derivado de eventuales pérdidas de negocio
•! Cuando interviene alguna variable de mercado, (tipo de cambio, de interés,

precio de activos financieros, etc.) la pérdida se calcula aplicando los precios
existentes en el momento de la identificación del evento (momento en el que la
operación deba ser anulada o regularizada)

23
Cuantificación (2)
•! Todos los eventos se reportan en moneda local, independientemente de la

divisa en que se haya registrado el evento, al tipo de cambio existente en la
fecha de registro contable
•! Activo fijo e inmaterial. Con el fin de aplicar un criterio único:
•! Activos sustituidos. Se considera pérdida el precio de reposición del activo,

(importe de adquisición o el valor presente de las obligaciones contraídas)
•! No se tienen en cuenta las mejoras tecnológicas que pueda incorporar el

nuevo equipamiento
•! Activos no reemplazados. La pérdida se valora teniendo en cuenta el

precio de mercado del activo en el momento de producirse el evento
•! En el supuesto de que no sea conocido, la pérdida se registra

considerando el valor del activo en libros

24
Otras pérdidas
•! En determinadas circunstancias un evento de riesgo operacional puede tener un

impacto definido y cuantificable, aun cuando no se encuentre reflejado en
cuentas de resultados
•! Ejemplo: Si por error se omite el cobro de comisiones y una vez descubierta

la omisión no existe posibilidad práctica o legal de efectuarlo, se registrará
el evento como si se tratara de una pérdida realmente contabilizada
•! Provisiones. Habitualmente el evento se registrará en el momento en que sea

conocido su impacto definitivo
•! No obstante, en ocasiones, el impacto de un evento de riesgo operacional puede

registrarse mediante una provisión antes de que el importe exacto de la pérdida
sea definitivamente conocido

25
Se incluyen
•! Los costes o gastos extraordinarios soportados por la ocurrencia del evento
•! En caso de existir, simultáneamente, efectos positivos y negativos se calculará

el importe neto de ambos
•! Los costes de oportunidad en términos financieros (intereses y comisiones no

percibidos)
•! El evento se computa por su importe bruto sin deducir la recuperación

conseguida mediante gestiones realizadas una vez reconocido el evento y/o por
los seguros contratados para la mitigación

26
Se excluyen
•! Costes internos resultado de la dedicación de miembros de la plantilla a la

resolución del evento así como el coste de eventuales horas extraordinarias.
•! El importe de los contratos de mantenimiento formalizados previamente para

evitar o mitigar determinado tipo de eventos, así como el importe de las primas de
seguro satisfechas para la cobertura de siniestros.
•! Coste de las mejoras realizadas para evitar futuros eventos de riesgo

operacional.
•! Coste del asesoramiento jurídico cuando el Banco renuncia a seguir adelante con
un proceso legal.
•! Errores en la contabilidad de gestión.
•! Lucro cesante asociado al evento (operaciones no materializadas o pérdidas de

negocio derivadas del mismo).

27
Eventos temporales
En general, no constituyen pérdida
Un evento temporal es aquél que constituye una distorsión temporal de la cuenta de

resultados. Cuando se soluciona el problema, la cuenta de resultados se queda
como si el evento no hubiera ocurrido
•! El caso más común es cuando a un cliente se le cobra un tasa de interés mayor

que la pactada en contrato. El cliente se da cuenta y reclama. El Banco realiza un
ajuste a resultados para compensar al cliente.
•! Errores en la contabilidad que sobreestiman los resultados de la empresa
Excepciones:
•! Hay casos donde la cuenta de resultados sí se ve afectada. Pensemos en un

caso en que la cuenta de resultados se ha visto afectada durante varios años por
un error. La empresa espera una demanda de los accionistas, pues el dividendo y
el precio de la acción de han visto reducidos. El coste del litigio (indemnizaciones,
costes judiciales, etc…) representarían, en este caso, la valoración del evento

28
Eventos que no generan pérdidas
Riesgo
INTRÍNSECO - CONTROLES
= Riesgo
RESIDUAL
El riesgo residual es
Los controles funcionan nulo ya que no se ha
El riesgo intrínseco produce correctamente y detectan
producido ninguna
un evento de RO el evento antes de que se
pérdida que
produzca el impacto
deba registrarse
•! Muchas entidades registran los eventos que no generan pérdidas en otras

bases de datos (centrales o departamentales) con el fin de mejorar sus
procesos de gestión
•! También constituyen una fuente de información para la elaboración de los KRI

(Key Risk Indicators)

29
Clases de riesgo y líneas de negocio
Resolución SBS 2116-2009 de 2/4/09
SBS de Perú ha publicado la presente resolución que obliga las entidades

reguladas (Entidades Financieras, Aseguradoras y AFP) a controlar su riesgo
operacional:
•! Involucrando al Directorio
•! Implicando a la Gerencia
•! Establece la necesidad de un Área de Riesgo Operacional
•! Con políticas y herramienta de gestión
•! Estableciendo clases de riesgo y líneas de negocio
•! Creación de una base de datos de eventos
•! Comités de riesgos para la gestión
•! Reporting básico
•! Implicando a auditores internos, externos y agencias de rating

30
Clases de riesgo

31
Clases de riesgo

32
Clases de riesgo

33
Clases de riesgo

34
Clases de riesgo: aclaraciones
Fraudes
•! Debe existir intencionalidad y ánimo de lucro
•! Para poder calificar un evento de fraude es necesario evaluar la intencionalidad

con que se han realizado las acciones que desencadenaron la pérdida,
diferenciando si existe o no ánimo de lucro
•! Existe ánimo de lucro cuando la persona que comete la acción persigue un

beneficio personal ilícito (obtención de provecho o enriquecimiento para sí
mismo o para un tercero, en perjuicio de la entidad)
•! Si ha existido intención de provocar un daño sin ánimo de lucro el evento se

clasificará en Daños en Activos Físicos o en Seguridad de los Sistemas
...y para que se clasifique como Fraude interno
•! Colaboración o participación interna. Se precisa el concurso de una persona

vinculada con la entidad

35
Fraude interno
•! Existe Fraude Interno, Robo y Fraude si se cumplen las siguientes condiciones:

intencionalidad, existencia de ánimo de lucro e intervención de una persona
vinculada a la entidad
•! La diferenciación entre Robo y Fraude y Actividad no autorizada, se realizará

atendiendo al rango de la norma incumplida (si se incumple un a Ley estatal
será Fraude, si se incumple una norma interna, entonces será Actividad no
Autorizada
•! Un evento que reúna las tres condiciones exigidas se clasificará como “Fraude
Interno. Robo y Fraude” si la acción puede ser tipificada como delito según la
legislación vigente (código penal...) y sea sancionable por los órganos
jurisdiccionales.

36
Actividad no autorizada
•! Un evento se clasifica como “Fraude Interno. Actividad no autorizada” cuando

es cometido por una persona vinculada a la entidad, con ánimo de obtener
beneficio para sí mismo o para un tercero; aunque en principio no pueda
Fraude interno
asociarse directamente a una ganancia económica, y se haya originado como

consecuencia del incumplimiento de la política, normas y procedimientos
internos de la entidad y facultades o atribuciones otorgadas sin que la acción
pueda ser calificada de delito

37
Robo y Fraude, Seguridad de los Sistemas
•! Se clasifica en este grupo cualquier fraude cometido por una persona ajena a la
Entidad
•! Aquellos eventos en que se demuestre la existencia de colaboración o

participación de una persona vinculada a la entidad se clasificarán como Fraude
Interno
Fraude externo
•! Seguridad de los sistemas. En esta subcategoría se clasifican las pérdidas

provocadas por una acción externa mediante la vulneración de la integridad de
los sistemas informáticos de la entidad utilizando los sistemas de comunicación
existentes o las utilidades puestas a disposición de terceros
•! Si las pérdidas se deben a la sustracción de soportes magnéticos, bases de

datos, información confidencial (códigos de acceso, claves, relación de
contratos, etc.) mediante algún procedimiento físico, la pérdida originada se
clasificará dentro del apartado de “Fraude externo. Robo y fraude”

38
Daños a activos materiales
•! Toda pérdida originada por daños sufridos en activos materiales de la entidad,

se clasificará en esta categoría. Se incluirán, asimismo, los costes relacionados
con eventuales pérdidas humanas causadas por desastres naturales, actos de
terrorismo, etc
•! Cuando el daño se deba a un fraude externo o interno, no se clasificará en esta

categoría

39
Interrupción del negocio y fallos en los sistemas
•! Las pérdidas causadas por fallos en los sistemas informáticos se clasificarán dentro
de esta categoría
•! Se considera un “fallo en los sistemas informáticos” al deficiente funcionamiento del

“hardware” o equipamiento (cualquiera que sea su ubicación) y al “software” cuyo
desarrollo y mantenimiento sea competencia exclusiva de la Unidad de Sistemas de
Información de la Entidad
•! En consecuencia, los errores involuntarios originados por el uso inadecuado de

aplicaciones departamentales mantenidas por el usuario y otras herramientas
ofimáticas puestas a su disposición, tales como hojas de cálculo, tratamientos de
texto, etc. se clasificarán en la categoría “Ejecución, entrega y gestión de procesos”
•! También se incluirán en este grupo los eventos derivados de interrupciones de

algún servicio (energía eléctrica, líneas de comunicaciones, -voz y datos-, etc.) que
puedan desencadenar fallos en los sistemas

40
Relaciones laborales y seguridad en el puesto de trabajo
En esta categoría se incluyen todas las pérdidas relacionadas con la gestión de

Recursos Humanos:
•! Despidos improcedentes (que no respondan a decisiones estratégicas o

de negocio)
•! Costes relacionados con eventuales demandas por incumplimientos de

acuerdos laborales, de políticas de selección y contratación, prácticas
discriminatorias, etc.
•! Multas e indemnizaciones satisfechas como consecuencia del

incumplimiento de la normativa laboral y de las condiciones de
Seguridad e Higiene en el trabajo, etc.

41
Ejecución, entrega y gestión de procesos
Se incluyen en esta categoría las pérdidas derivadas de errores en el procesamiento de

operaciones o en la gestión de procesos, así como de relaciones con contrapartes
comerciales y proveedores
•! En consecuencia, se encuadrará dentro de este grupo toda pérdida originada por un

evento en el que concurran las siguientes condiciones:
•! La pérdida haya sido provocada por acción u omisión en la ejecución de

operaciones, errores involuntarios cometidos en la operativa y gestión de
procesos
•! Que la transacción origen de la pérdida no se encuentre vinculada al proceso de
comercialización de productos o servicios

42
Recepción, ejecución y mantenimiento de operaciones

•! Este subgrupo recogerá todos los eventos que no tengan cabida en el resto de los
apartados de esta categoría. Es decir la asignación se realizará por exclusión
•! En particular, se incluirán todos los eventos que supongan una pérdida directa
para la entidad, como consecuencia de:
•! errores en la introducción y mantenimiento de datos

•! ejecución deficiente de procedimientos de control
•! comunicaciones realizadas a otras contrapartidas y corresponsales
•! en general, cualquier fallo en el funcionamiento de los procesos
habituales de la entidad no contemplados en las siguientes subcategorías

43
Seguimiento y presentación de informes

En este apartado se incluirá cualquier pérdida ocasionada por errores

involuntarios en el suministro de información obligatoria (en contenidos y plazos
de entrega) que deba remitirse a:
•! clientes
•! inversores
•! organismos e instituciones, etc.
cualquiera que sea el medio por el que se cursen, excepto la transmisión

mediante sistemas telemáticos, en cuyo caso, la pérdida se clasificará como
“Incidencias en el negocio y fallos en los sistemas”

44
Aceptación de clientes y documentación

Se incluirán las pérdidas ocasionadas por:
•! Errores cometidos en el proceso de formalización de cualquier tipo de

contratos (activos, pasivos o de servicios) que ocasionen la pérdida o
defectos de forma en los mismos (de clientes, proveedores,
contrapartidas, etc.), o por no haberse formalizado ningún documento
•! Deficiencias en la documentación y justificación de toda clase de

operaciones que afecte a la fuerza ejecutiva del contrato o suponga el
deterioro de la posición mantenida por la entidad en su defensa jurídica

45
Gestión de cuentas de clientes

•! Se recogen en esta subcategoría las pérdidas provocadas por la errónea

ejecución o negligente tratamiento de instrucciones y órdenes impartidas por
clientes, ocasionados por el uso indebido de la cuenta del cliente, la ejecución
errónea de cualquier tipo de instrucciones, la demora en su tramitación, etc.
•! Cuando el quebranto sea consecuencia de fallos en los procesos internos,

normalmente tendrán repercusión sobre un amplio colectivo de clientes. En este
caso el evento se clasificará en la subcategoría “Recepción, ejecución y
mantenimiento de operaciones”
•! Si el control y ejecución de estas instrucciones reside en los sistemas de

información de la entidad, la pérdida provocada por un defecto en su
funcionamiento se clasificará como “Interrupción de negocio y Fallos en los
Sistemas”

46
Contrapartes comerciales
Se incluyen en este capítulo las pérdidas causadas por:
•! El incumplimiento involuntario de obligaciones contractuales de la

entidad con otras contrapartidas (no clientes)
•! Las pérdidas ocasionadas a consecuencia de diferencias resueltas por

acuerdo directo entre partes o conciliación alcanzada mediante la
intervención de un tercero para dirimir una controversia

47
Distribuidores y proveedores
Con frecuencia, la realización de una parte de los procesos de la Entidad se

subcontratan con empresas de servicios
•! En este grupo se clasificarán, exclusivamente, los eventos que ocasionen

pérdidas derivadas de litigios mantenidos con proveedores y distribuidores en
general
•! Cualquier interrupción o deficiencia en la actividad de un proveedor que tenga

consecuencias negativas en la calidad de los servicios prestados o afecte al
correcto funcionamiento de los procesos de la entidad se clasificará en la
subcategoría “Recepción, ejecución y mantenimiento de operaciones” o en
cualquier otra categoría que pudiera corresponder en aplicación de los criterios
de clasificación descritos

48
Clientes productos y prácticas empresariales
En este grupo se integran “las pérdidas derivadas del incumplimiento involuntario o

negligente de una obligación profesional frente a clientes concretos (incluidos requisitos
fiduciarios y de adecuación) o de la naturaleza o diseño de un producto”
Esta categoría es complementaria de la anterior. En general, recogerá todas las pérdidas

originadas por multas, sanciones, indemnizaciones y gastos ocasionados por:
•! Litigios por infracciones de la normativa vigente y del marco jurídico existente
•! Reclamaciones de clientes que hayan sufrido un quebranto económico o se

consideren perjudicados por la acción u omisión de la entidad en la
comercialización de productos o servicios

49
Adecuación, divulgación de información y confianza

•! En este apartado se integrarán los eventos que no pueden ser clasificados

en el resto de los grupos de esta categoría
•! En particular, se incluirán todos los eventos generados por reclamaciones

de clientes en relación con el proceso de comercialización de productos o
servicios

50
Prácticas empresariales o de mercado improcedentes

Pertenecen a este grupo todas las pérdidas (multas, sanciones,

indemnizaciones y gastos) originadas por infracciones de la regulación vigente
En particular, se incluirán dentro de este grupo los eventos relacionados con:
•! Prácticas ajenas a la competencia leal

•! Utilización de información privilegiada en beneficio de la entidad
•! Comisión de actividades ilícitas en relación con el blanqueo de dinero,
evasión de capitales, etc.
También se incluirán dentro de esta subcategoría la pérdidas originadas por la

utilización de una política de ventas agresiva

51
Productos defectuosos
Las pérdidas ocasionadas por sanciones y penalizaciones a consecuencia de:
•! La comercialización de productos sin la preceptiva autorización
•! Reclamaciones de clientes perjudicados por la utilización de modelos

de valoración erróneos, sistemas de análisis de riesgo defectuosos,
etc.

52
Selección, patrocinio y riesgos

Formarán parte de este grupo todos los eventos cuyas pérdidas han sido
ocasionadas por reclamaciones de clientes que consideran se ha hecho un
uso inadecuado de los poderes otorgados a la entidad en:
•! La gestión discrecional de patrimonios
•! El cumplimiento de las restricciones o límites impuestos en la gestión

fiduciaria
•! La investigación previa necesaria para la realización de inversiones

53
Actividades de asesoramiento
•! Dentro de este apartado se clasificará cualquier indemnización satisfecha a

clientes como resultado de pérdidas provocadas por recomendaciones
erróneas y asesoramientos deficientes
•! En particular, se incluirán en este apartado las pérdidas originadas por la

actividad de asesoramiento prestada en los segmentos de negocio de Banca
Privada y Banca de Inversiones, así como otras pérdidas originadas por
reclamaciones de clientes perjudicados por las recomendaciones realizadas
por la entidad en servicios tales como la tramitación de testamentarías,
asesoramiento fiscal, etc...

54
Algoritmo de clasificación de eventos
Evento
y/o
Pérdida
No
pregunte
¿Por qué?
Qué causó la
Es un tipo de NO
Pérdida/Evento
evento/ pérdida
de Basilea
La respuesta debe
permitir la
Si clasificación
Si
Clasificado

55
Las clases de RO de Basilea y la SBS son similares
Basel L1 Basel L2 ORX L1 ORX L2
Internal Fraud Theft and Fraud Internal Fraud Internal Theft and Fraud (General)
Unauthorized Activity Unauthorized Activity
Internal Systems Security (for profit)
External Fraud Theft and Fraud ext. External Fraud External Theft and Fraud (General)
Systems Security External Systems Security (for profit)
Malicious Damage Wilful Damage

Terrorism[1]
Syst. Security External – Wilful damage[2]
Syst. Security Internal – Wilful Damage[3]
Employee Practices and Workplace Employee Relations Employee Practices and Workplace Safety Employee Relations
Safety Safe Environment Safe Workplace Environment
Diversity and Discrimination Employment Diversity and Discrimination
Clients, Products and Business Practices Suitability, Disclosure and Fiduciary Clients, Products and Business Practices Suitability, Disclosure and Fiduciary
Improper Business or Market Practices Improper Business or Market Practices
Product Flaws Product Flaws
Selection, Sponsorship and Exposure Selection, Sponsorship and Exposure
Advisory Activities Advisory Activities
Damage to Physical Assets Natural Disasters Disasters and Public Safety Disasters and Other Events
Accidents and Public Safety
Business Disruptions and System Failures Systems Technology and Infrastructure Failures Technology and Infrastructure Failures
Execution, Delivery and Process Transaction Capture, Execution and Execution, Delivery and Process Transaction Capture, Execution and
Management Maintenance Management Maintenance
Customer Intake and Documentation Customer Intake and Account Management
Customer / Client Account Management Monitoring and Reporting Errors
Monitoring and Reporting
Financial Counterparty Event
Vendor Event

56
Líneas de negocio (Empresas Sistema Financiero)

57
Líneas de negocio (Compañías de seguros)

58
Líneas de negocio (Compañías de seguros)

59
Líneas de negocio (AFP)

60
Líneas de negocio
Las LdN de RO de Basilea y la SBS son similares

Business Basel Business Lines ORX Business Lines Activity Groups
Unit Level 1 Level 2 Level 1 Level 2
Investment C orporate C orporate Finance C orporate C orporate Finance Mergers and Acquisitions, Underwriting, Privatizations,
Banking Finance Municipal/Government Finance Muni cipal/Government Securitization, R esearch, D ebt (Government and High Yield),
Finance Finance Equity, Syndications, IPO, Secondary Private Placements
Merchant Banking Advisory Services
Advisory Services
Trading & Sales Sales Trading & Sales Equities Fixed Income, Equity, Foreign Exchange, C ommodities, Credit,
Market Making Global Markets Funding, Own Position Securities, Lending and R epos,
P roprietary Positions Treasury/Funding Brokerage, D ebt, Cross – Industrial H oldings
Treasury C orporate Investments
Banking R etail Banking R etail Banking R etail Banking R etail Banking R etail Lending and D eposits, Banking Services, Trusts and
C ard Services Estates
Private Banking C ard Services Merchant/C ommercial/ C orporate C ards, Private Label and R eta il
Private Banking Private Lending and D eposits, Banking Services, Trusts and
Estates, Investment Advice
C ommercial C ommercial Banking C ommercial C ommercial Banking Project Finance, R eal Estate, Export Finance, Trade Finance,
Banking Banking Factori ng, Leasing, Loans, Guarantees, Bills of Exchange
Payment and External Clients Clearing C ash C learing Payments and C ollections, Funds Transfer, N on - securities
Settlement Securities Clearing Clearing and Settlement, C heck Processing
Agency Cu stody Agency Services Custody Services Escrow, D epository R eceipts, Securities Lending (C ustomers),
Services C orporate Agency C orporate Actions; Issuer and Paying Agents, Securities
C orporate Trust Settlement.
C orporate Trust & Includes Prime Brokerage

Agency
Custom Services Special Financial Services Performed on Agency Basis.
Other Asset Discretionary Fund Asset Fund Management Pooled, Segregated, R etail, Institutional, Closed, Open
Management Management Management
N on -D iscretionary Fund
Management
R etail R etail Brokerage R etail Brokerage R etail Brokerage Execution and Full Service
Brokerage
N/A C orporate Items C orporate Items Limited category for items than can only be categorized at
corporate level, e.g., kidnapping of chairman, corporate - level
financial reporting events, etc.

61
Organización para la captura de eventos
Temas
!! La Unidad de Riesgo Operacional

!! Cómo localizar los eventos de RO en mi empresa
!! Áreas informantes
!! Eventos abiertos, eventos cerrados
!! Capacitación interna para la captura
!! Experiencias de distintas entidades
!! Ejercicios prácticos

62
La Unidad de Riesgo Operacional
La mayor de parte de empresas tiene una estructura organizativa donde las

diferentes Gerencias dependen de una Dirección General que a su vez depende
de un Consejo de Administración (Directorio)
Gerencia
General
Gerencia Gerencia Gerencia Gerencia

RRHH Medios Ventas de Riesgos
Una de la Gerencias es la Gerencia de Riesgos. En ocasiones el Área de Riesgos

forma parte de otra Gerencia, por ejemplo, la de Ventas

63
La Gerencia de Riesgos se suele estructurar con base en los riesgos que

gestiona la Entidad, que como mínimo son tres: Crédito, Mercado y Operacional
Gerencia de
Riesgos
Riesgo
Riesgo Crédito Riesgo Mercado
Operacional
Puede haber más unidades dentro de esta Gerencia, por ejemplo, Control Interno,
Metodologías (modelos de medición, scoring, ratings, etc…)

64
La Unidad de Riesgo Operacional tiene casi siempre dos subunidades, una de

gestión cualitativa y otra de gestión cuantitativa
Unidad de Riesgo
Operacional
Gestión cualitativa Gestión cuantitativa

65
El ciclo de gestión del Riesgo Operacional tiene 4 etapas
!! Identificar es averiguar e inventariar los riesgos

operacionales a los está expuesta la entidad a
1 través de sus procesos
Identificar
!! Medir es utilizar una métrica cualitativa y/o

4 2
Controlar Medir cuantitativa para dimensionar cada riesgo
identificado
3
Valorar
!! Valorar es establecer un juicio absoluto o
relativo sobre la magnitud de cada riesgo
!! Controlar es poner en marcha medidas de

mitigación y de seguimiento con el objetivo
disminuir o anular la exposición al riesgo

66
Gestión cualitativa del RO

!! Implantación de una base de datos de factores de
riesgo* operacional de las distintas unidades.
Clasificación por clases de RO
DISTRIBUCIÓN POR CLASE DE RIESGO
PRÁCTICAS
!! Medición de los factores de RO con base en
EXTERN O
COMER.
6% 9% estimación de impacto y probabilidad/frecuencia
PROCESO S
46%
RR HH
8%
!! Valoración de la gravedad de los factores de riesgo
TECNO LOGÍA a través de Comités de RO en las unidades
16%
FRAUDE
FRAU DE EXTERNO
INTERNO 5%
10%
!! Establecimiento de planes de mitigación para los
factores más graves
!! Comité de RO a nivel Banco donde se revisen los

factores más importantes y se tomen decisiones de
alto nivel de mitigación
*Un factor de riesgo es toda circunstancia que

puede desembocar en un evento de RO Jordi García - Consultor
67
Gestión cuantitativa del RO
!! Implantación de una base de datos de pérdidas por

RO. Los eventos se clasifican en por Líneas de
Negocio y Clases de Riesgo
DISTRIBUCIÓN DE IMPORTES POR CLASE

!! Disponer de una base de datos externa para
RR HH
1%
PRÁCTICAS
COMER.
EXTERNO
3%
completar los datos internos (opcional)
6%
PROCESOS
43%
TECNOLOGÍA
2% !! Las Áreas deben analizar los eventos que se
registran para determinar las causas que los
FRAUDE provocan e implantar medidas de mitigación
INTERNO
20%
FRAUDE
EXTERNO
25% !! Los eventos más importantes deben tratarse en el
Comité a nivel de Banco
!! En un futuro: cálculo del capital en riesgo mediante

una herramienta específica

68
Cómo localizar los eventos de RO en mi empresa
Causa !! Pérdida directa: es la más fácil de

localizar, salvo determinados eventos
que necesitan de la colaboración de
Dificultad creciente
las unidades
Evento
!! Pérdida indirecta: es más difícil de

localizar que la directa porque está
Impactos
oculta en los costos ordinarios
Lucro !! Lucro cesante: no está en la

Pérdida
cesante
directa Pérdida contabilidad, por tanto, no forma parte
indirecta de las bases de datos de RO. Sólo
podemos realizar una estimación

69
3 caminos para localizar los eventos de RO
Consiste en mapear todos los procesos de la entidad,

=# Procesos averiguar donde se pueden producir eventos y establecer
un sistema de reporting
Se trata de recorrer la estructura de la empresa y cruzarla

Estructura de la empresa
># y clases de RO
con todas las clases y subclases de riesgo y averiguar
quien tiene la información
La contabilidad de la empresa es una buena fuente de

?# Contabilidad información. Hay que averiguar cuales son las Áreas que
tienen la información

70
Localización a través de los procesos
Diseño Proceso:
Procesos Conjunto de acciones sistemáticas y
repetitivas por las que unos datos iniciales
(inputs) se convierten en un producto o
servicio final (outputs)
Implantación y
ejecución
GESTIÓN
Resultados Acciones orientadas al Los procesos se cumplen
control de la producción y según lo planeado
del Riesgo Operacional

71
Jerarquía de procesos
Macroproceso Recursos Humanos
Proceso Nóminas
Subproceso Pago de nóminas
Tarea/Actividad Emisión de cheque, pago en efectivo, etc

72
Las empresas que gestionan el RO con base en procesos,

siguen un esquema parecido a este
En este punto es donde se

conocen los eventos de RO

73
A través de la estructura organizativa y de las clases de riesgo
Minorista Comercial Tesorería Etc…
Fraude Interno ? ? ? ?
Fraude Externo ? ? ? ?
Procesos ? ? ? ?
Prácticas Comerciales ? ? ? ?
Recursos Humanos ? ? ? ?
Tecnología ? ? ? ?
Desastres ? ? ? ?

74
A través de la estructura organizativa y de las clases de riesgo
!! En primer lugar se establece contacto con los máximos responsables de la Línea

de Negocio/Soporte, ya que es esencial que la Alta Dirección esté involucrada en
el proceso de gestión del Riesgo Operacional
!! Los responsables de la Línea de Negocio/Soporte designan a los interlocutores y

les dan el mandato correspondiente
!! Los interlocutores y el personal de Gestión Cuantitativa de la Unidad de Riesgo

Operacional recorren toda la taxonomía de RO de la Unidad e identifican las
fuentes de información

75
Áreas informantes
Una vez localizadas las fuente de pérdidas,

éstas deben constituirse en áreas informantes
!! La Unidad Central de Riesgo Operacional, en coordinación con las personas

designadas por la Línea de Negocio/Apoyo establecen el procedimiento mediante
el cual se capturan los eventos de RO
!! El procedimiento de cada LdN formará parte del Manual de Riesgo Operacional de

la Entidad
!! Las áreas informantes serán distintas en función del procedimiento seguido para la
identificación de los eventos de RO

76
Áreas informantes
Áreas informantes en función del modelo de gestión
Las empresas que se gestionan por procesos tienen un rol

=# Procesos llamado Dueño del Proceso. Bajo su responsabilidad
estaría el área informante de los eventos de RO
Cada Línea de Negocio/Soporte constituye un área

Estructura de la empresa
># y clases de RO
informante que puede estar encuadrada dentro de su
Unidad de Gestión del RO
Las empresas con un plan contable que diferencie el

?# Contabilidad Riesgo Operacional suelen utilizar las Unidades de Control
del Gasto como áreas informantes de eventos de RO

77
Áreas informantes
Áreas informantes híbridas
!! Las distintas formas de identificar los eventos de RO en la empresa no son

excluyentes.
!! Es totalmente factible utilizar un modelo mixto en el cual determinadas

tipologías de riesgo se obtienen en los procesos que las originan, otras
directamente de la contabilidad y otras en las líneas de negocio
Lo importante es que cualquiera que sea el modelo elegido, TODO

evento de RO que se produzca en la empresa pueda ser capturado

78
Capacitación interna para la captura de eventos
El personal de las áreas informantes debe estar bien capacitado
!! La Unidad de Riesgo Operacional debe organizar cursos de capacitación para las

personas que integran las áreas informantes
!! La formación es esencial porque de ella depende la calidad de la información que

se registra en las las bases de datos de eventos de RO
!! Es conveniente realizar un plan de formación anual, o cuando se produzcan

nuevas contrataciones
!! La Alta Dirección debe colaborar apoyando la celebración de los cursos de

formación. RRHH colabora directamente en esta labor

79
Capacitación interna para la captura de eventos
Temario que debe cubrir el plan de formación
!! Definiciones y generalidades de Riesgo Operacional

!! Fronteras del Riesgo Operacional
!! Explicación exhaustiva de las clases de riesgo, en todos los niveles que la Entidad
haya fijado en su metodología
!! Líneas de negocio/soporte
!! Valoración de eventos
!! Eventos simples, eventos múltiples
!! Eventos que impactan varias líneas de negocio/soporte
!! Eventos abiertos, eventos cerrados
!! Eventos temporales
!! Entrenamiento en el software de reporting (si la Entidad lo tiene)
!! Manejo de las provisiones por Riesgo Operacional
!! Ejemplos y ejercicios sobre casos reales

80
Experiencias de distintas entidades
Entidad A: modelo basado en procesos
Gerencia de Riesgos: No existe como tal

Metodología de riesgos En el Área de Presidencia (Chairman)
Unidad de Riesgo Operacional: En Operaciones y Sistemas (Área CEO)
Áreas informantes: Ubicadas en los procesos
Comités de RO: En Operaciones y Sistemas
Capital por RO: Metodologías de riesgos
A favor En contra
•! Nadie tiene la visión
•! Modelo eficaz integral de RO
•! Más rápido de implantar •! Las LdN no se sienten
implicadas en la gestión

81
Experiencias de distintas entidades
Entidad B: modelo basado en LdN
Gerencia de Riesgos: En el Área de Presidencia

Metodología de riesgos En el Área de Riesgos
Unidad de Riesgo Operacional: En el Área de Riesgos
Áreas informantes: En las LdN y Soporte
Comités de RO: En las LdN y Soporte
Capital por RO: En el Área de Riesgos
A favor En contra
•! Riesgos tiene la visión
integral de RO •! Más tiempo para implantar el
modelo (más personas que
•! Implicación de las LdN en formar, etc…)
la gestión

82
Construcción de la base de datos interna de eventos de RO
Temas
!! Construcción de eventos partiendo de las pérdidas
!! Tipos de pérdida
!! Contabilización de las pérdidas
!! Definición de datos a capturar
!! Formatos de captura (campos de las BBDD)
!! Parametrización
!! Eventos múltiples
!! Sistemas de captura de eventos
!! Periodicidad de captura
!! Ubicación de las bases de datos

83
Construcción de la base de datos interna de eventos de RO
Temas
!! Umbrales de captura
!! Controles de calidad
!! Bases de datos externas
!! Comité de criterios
!! Generación de informes

84
Construcción de los eventos partiendo de las pérdidas
Causa Evento Pérdida
Una pérdida por Riesgo

Es la materialización del Operacional es un
La causa es cualquier Riesgo Operacional. impacto negativo en los
circunstancia que pueda Un evento de Riesgo resultados o en el
generar factores de Operacional es un suceso patrimonio de la
Riesgo Operacional que altera el curso normal compañía, debido a un
de un proceso evento de Riesgo
Operacional

85
Construcción de los eventos partiendo de las pérdidas
A veces las pérdidas no son lo mismo que los eventos
Pérdidas Eventos
Una base de datos de

pérdidas es un conjunto Una base datos de eventos consiste
de apuntes contables en agrupar todas las pérdidas que
constituyen un mismo evento
P1 Evento 1
P2 Evento 2
P3 Evento 3
P4
P5 Evento 4
P 6
P7
Evento 5
P8
P9 Jordi García - Consultor
86
Tipos de pérdidas
Sólo una parte del RO es fácilmente identificable
D1'%&.3#:$.3#('#*+#3.0#E4/1),'0&'#1('0:;/"5)'3#$.%F8'#3'#
!"#$%$&'()%#*+,&'( G"#(';01(.#80"#/8'0&"#'3$'/H;/"#
#I$.%#'-JK#E%"8('36#E")&"3#'0#/"-"6#,8)&"36#'&/JJL#
!"3#$M%(1("3#('51("3#"#$%4/:/"3#('#N'0&"3#10/.%%'/&"36#"#
-.$*/.%0&+%1.*'( N'/'3#%'F81'%'0#10(',01O"%#"#).3#/)1'0&'3#I$.%#'-JK#0.#
'P$)1/"%#).3#%1'Q.3#('#80#$%.(8/&.#N'0(1(.6#'&/RL#
S8/G.3#'N'0&.3#('#*+#/.0))'N"0#80"#$M%(1("#('#"/:N.3#
!"#$%$&($*(&+231'( I$.%#'-JK#('3"3&%'36#"//1('0&'36#%.5.36#'&/L#
D1'%&.3#'N'0&.3#('#*+#3'#%'/.Q'0#/.,.#Q"3&.3#.$'%":N.3#
4&',1'(4*.*#&5*'( %'Q8)"%'3#I$.%#'-JK#G.0.%"%1.3#$.%#/.038)&"36#G.0.%"%1.3#('#
"5.Q"(.36#'&/RL#
6&#71'(*.(+8*.,&'( T#N'/'3#).3#5"0/.3#%'/.Q'0#'N'0&.3#('#*+#(13,108U'0(.#
/8'0&"3#('#10Q%'3.3#I$.%#'-JK#/8'0&"3#('#10&'%'3'3#%'/151(.36#
$*(%.7#*'1'( '&/RL#

87
Tipos de pérdidas
Pérdida Evento Causa
Responsabilidad Legal Gastos en juicios, litigios, etc...
Incumplimiento regulatorio Toda clase de sanciones y multas
Pérdidas o daños en activos En inmuebles, en equipos. Pérdida de títulos
Indemnizaciones A clientes, proveedores, empleados
Pérdidas de efectivo Diferencia en caja y ATMs, pérdida timbres, sellos, etc
Pérdidas por fraudes Medios de pago, robos, estafas, etc...
Fallidos de crédito Fallidos de crédito debido a eventos de RO
Pérdidas en mercados Pérdidas en mercados debido a eventos de RO

88
Tipos de pérdidas
Causa !! Pérdida directa: es la más fácil de

localizar, salvo determinados eventos
que necesitan de la colaboración de
Dificultad creciente
las unidades
Evento
!! Pérdida indirecta: es más difícil de

localizar que la directa porque está
Impactos
oculta en los costos ordinarios
Lucro !! Lucro cesante: no está en la

Pérdida
cesante
directa Pérdida contabilidad, por tanto, no forma parte
indirecta de las bases de datos de RO. Sólo
podemos realizar una estimación

89
Contabilización de las pérdidas
Ciclo de vida de un evento de Riesgo Operacional
!! Los eventos de Riesgo Operacional tienen tres fechas relevantes que los
caracterizan:
!! F1 La fecha de ocurrencia
!! F2 La fecha de descubrimiento
!! F3 La fecha, o las fechas de contabilización
!! El tiempo transcurrido entre F1 y F3 puede ser muy corto
!! Sin embargo, también puede ser muy largo (varios años)
!! Depende de la naturaleza del evento

90
F1 Ocurrencia
Casuística entre F1, F2 y F3 F2 Descubrimiento
F3 Contabilización
F1<=F2<=F3 Siempre debe cumplirse esta condición lógica
F1=F2=F3 Ocurre, se descubre y contabiliza el mismo día
Ocurre y se descubre el mismo día, pero se contabiliza más

F1=F2<F3 adelante
El evento ocurre, se descubre más adelante y se contabiliza el

F1<F2=F3
mismo día en que se descubre
El evento ocurre, se descubre más adelante y se contabiliza

F1<F2<F3
todavía más tarde

91
F1 Ocurrencia
Calidad del modelo de gestión F2 Descubrimiento
F3 Contabilización
F1<=F2<=F3 Siempre debe cumplirse esta condición lógica
Los días transcurridos entre la fecha de contabilización y la fecha

F3 – F2 de descubrimiento son un indicador de calidad de las funciones
de RO, Control Interno y Auditoría
Los días transcurridos entre la fecha de contabilización y la fecha

F3 – F1 de ocurrencia son otro indicador de calidad todavía mejor que el
anterior de las funciones de RO, Control Interno y Auditoría

92
Eventos abiertos, eventos cerrados
•! Un evento se considera abierto mientras el proceso de investigación no

haya concluido, y por consiguiente, existe la posibilidad de que todavía
se contabilicen más impactos
•! Un evento se considera cerrado en el momento en que se realiza la

última contabilización de los impactos, y no se espera ninguno más. El
proceso de investigación se da por terminado
•! Es posible que en determinadas circunstancias en un evento que se

consideró cerrado aparezcan nuevas pérdidas que deban sumarse

93
Provisiones
•! Las entidades financieras realizan provisiones en determinadas

circunstancias:
•! En cumplimiento de las normas contables de su país

•! Por aplicación de criterios de prudencia financiera
•! Cuando la probabilidad de que la pérdida se materialice es elevada
•! Cuando se trata de eventos relacionados con litigios que tardan mucho
tiempo en resolverse
•! Una gran parte de las provisiones están relacionadas con eventos de Riesgo
Operacional, especialmente aquellos que derivan de litigios con clientes,
empleados, proveedores o por demandas externas
•! Los criterios de prudencia aconsejan incorporar a las BBDD los montos de

las provisiones realizadas por eventos de RO. Cuando el evento se concreta
se cancela la provisión y se sustituye por el importe definitivo

94
Definición de datos a capturar
4 posibles fuentes de información
Sistema de captura de eventos de RO que deben incluir

Eventos de RO según
=# la Norma de la SBS
como mínimo aquella información que la norma de la SBS
establece para las entidades que supervisa
Además de la información mínima requerida, es importante

Información complemen-
># taria o extendida
que las entidades recojan información adicional que pueda
ser útil para la gestión
Las entidades pueden utilizar su BBDD de RO para recoger

Eventos sin impacto
?# en pérdidas
aquellos eventos que no han producido impacto en la
contabilidad (near misses)
Aquellas entidades que estén suscritas a bases de datos

@# Eventos externos externas, deben incorporar a su BBDD los eventos que
reciben del Consorcio al que pertenezcan

95
Datos mínimos según la Norma 2116-2009 de la SBS
•! Código de identificación del evento.

•! Tipo de evento de pérdida (según tipos de eventos señalados en el Anexo 1).
•! Línea de negocio asociada (nivel 1 y 2), según líneas señaladas en el Anexo 2 para
empresas del sistema financiero, Anexo 3 para las de seguros y Anexo 4 para las AFP
•! Descripción corta del evento.
•! Descripción larga del evento.
•! Fecha de ocurrencia o de inicio del evento.
•! Fecha de descubrimiento del evento.
•! Fecha de registro contable del evento.
•! Monto(s) bruto(s) de la(s) pérdida(s), moneda y tipo de cambio.
•! Monto(s) recuperado(s) mediante coberturas existentes de forma previa al evento,
moneda, tipo de cambio y tipo de cobertura aplicada.
•! Monto total recuperado, moneda y tipo de cambio.
•! Cuenta(s) contable(s) asociadas.
•! Identificación si el evento está asociado con el riesgo de crédito (para empresas del
sistema financiero) o con el riesgo de seguros (para empresas del sistema de
seguros).

96
Información complementaria
La creación de una BBDD de eventos de RO tiene una doble utilidad:
•! Para el cálculo del capital en riesgo

•! Para la gestión efectiva del RO
Con el fin de mejorar la gestión se puede completar la información con algunos

datos que pueden ser de utilidad:
•! Proceso: si la entidad cuenta con una estructura de procesos, es

interesante incluir un campo donde se refiera en que procesos se ha
producido el evento
•! Producto: si el evento se produjo en un producto o servicio que la entidad

comercializa, también en conveniente registrarlo
•! Causas: las causas que han provocado el evento son muy importantes
para la gestión, por tanto, es bueno registrarlas (puede haber más de una)

97
Productos y servicios
Los bancos internacionales miembros de ORX han acordado una clasificación

genérica de productos y servicios:
1.! Productos de capital:

•! Emisión de acciones
•! Emisión de bonos
•! Productos estructurados
•! Titulizaciones
•! Colocaciones privadas
•! Financiación sinidicada
2.! Servicios de finanzas corporativas:

•! Fusiones y adquisiciones
•! Servicios de asesoría

98
Información complementaria: productos y servicios (2)
3. Productos derivados:
•! Tasa fija
•! Acciones
•! Commodities
•! FX y money market
•! Repos y préstamo de valores
•! Fondos de inversión
•! Derivados de tipos de interés
•! Derivados de crédito
•! Derivados de FX
•! Derivados de acciones
•! Derivados de commodities
•! Otros derivados

99
4. Productos de financiación minorista:

•! Tarjetas de crédito/débito
•! Financiación vehículos
•! Leasing de vehículos
•! Préstamos para estudios
•! Hipotecas
•! Líneas de financiación hipotecarias (HELOC)
•! Otros préstamos al consumo
•! Cartas de crédito personales o garantizadas

100
5. Créditos comerciales:
•! Créditos comerciales e industriales
•! Créditos comerciales para mejoras de la construcción
•! Crédito para financiar la adquisición y construcción de bienes
inmuebles
•! Créditos para financiación de equipos y maquinaria
•! Tarjetas de crédito para empleados de empresas
•! Servicios de tarjetas de crédito para comercios
•! Financiación de proyectos
•! Trade finance
•! Garantías y avales
•! Financiación estructurada

101
6. Depósitos:
•! Cuentas corrientes consumo
•! Cuentas a plazo con preaviso de cancelación
•! Cuentas corrientes de empresa
•! Depósitos a plazo fijo
•! Productos de inversión (planes de pensiones, etc…):
7. Pagos y cobros, gestión de caja (cash management):

•! Gestión de caja minorista
•! Gestión de caja empresas
•! Pagos electrónicos
•! Pagos manuales
•! Cámara de compensación (clearing)
•! Pagos y cobros (settlement)
•! Servicios de mercados organizados

102

8. Administración de activos:
•! Servicios de custodia
•! Acciones corporativas
•! Servicios fiduciarios
•! Intermediación minorista
•! Servicios de asesoría en general
•! Gestión de carteras
•! Asesoría en la gestión de carteras
9. Productos de inversión:
•! Administración de fondos
•! Administración de fondos tradicionales para instituciones
•! Administración de fondos alternativos (hedge funds, etc…)
10. Intermediación:
•! Servicios de broker (intermediación en compra-venta)
•! Asesoría de intermediación
11. Productos no bancarios: (desastres, seguros, alquiler de vehículos, etc…)

103
Procesos
Los bancos internacionales miembros de ORX han acordado una clasificación

genérica de procesos:
1.! Diseño y desarrollo de productos y servicios:

•! Investigación y análisis de mercado
•! Desarrollo de productos y servicios
2.! Marketing de productos y servicios:

•! Investigación de mercado
•! Publicidad
•! Otros aspectos de marketing
3.! Ventas:
•! Asesoría previa
•! Precios y presupuestos
•! Chequeo de disponibilidad/límites
•! Términos del contrato Jordi García - Consultor
104
Información complementaria: procesos (2)
4. Mantenimiento de contrapartidas:
•! Cuentas de clientes
•! Relaciones con clientes
•! Procesos de due diligence
•! Préstamos fallidos
5. Captura y documentación de transacciones:

•! Captura de transacciones
•! Confirmaciones y documentación
•! Otros aspectos de marketing

105
6. Entrega de productos y servicios:

•! Recepción de órdenes de clientes
•! Ejecución de órdenes de clientes
•! Gestión de posiciones de tesorería
•! Acciones corporativas propias
•! Acciones corporativas de clientes
•! Cálculo de comisiones
•! Cálculo de intereses
•! Gestión de colaterales
•! Control del balance del banco
•! Gestión de carteras de clientes
•! Gestión de liquidez
•! Gestión de activos de clientes (cajas de alquiler, etc…)
•! Asesoría
•! Estados financieros de clientes

106
7. Pagos y cobros:
•! Pagos y cobros
•! Entrega libre de pago
•! Pagos y cobros en efectivo
8. Contabilización de transacciones:
•! Contabilización
9. Gestión de recursos humanos:

•! Selección, contratación y despido
•! Nóminas
•! Viajes
•! Otros aspectos de RRHH

107
10. Tecnología y sistemas:

•! Desarrollos y manteniendo
•! Implantación
•! Compras de tecnología
•! Seguridad informática
•! Infraestructura de la red
•! Producción
•! Mesa de ayuda e incidentes
11. Reporting financiero e impuestos:

•! Presupuesto
•! Contabilidad
•! Reporting (indicadores)
•! Reporting financiero
•! Impuestos

108
12. Gestión del capital y liquidez:

•! Gestión de capital y fondeo
•! Gestión de inversiones corporativas
13. Gestión de proveedores y outsourcing:

•! Selección y contratación de proveedores y outsoucing
•! Gestión del contrato
14. Gestión de activos e inmuebles:

•! Gestión de inmuebles
•! Gestión de flotas de vehículos
•! Higiene de los inmuebles
•! Seguridad física
•! Protección del entorno (aire, temperatura, humedad, etc…)
•! Otros servicios internos

109
15. Cumplimiento legal, Gobierno y Auditoría:

•! Políticas y gobierno corporativo
•! Reporting regulatorio no financiero
•! Asesoría Jurídica
•! Gestión de litigios
•! Auditoría
•! Administración de ética profesional (conflictos de interés, uso de
información provilegiada, etc…)
16. Gestión sistemas de riesgos:

•! Control y supervisión de modelos y metodologías
•! Seguros y recuperaciones
•! Plan de continuidad de negocio
17. Sin relación con procesos: (desastres, etc…)

110
Causas
Muchos son los bancos internacionales que han desarrollado una casuística
sobre las posibles causas de los eventos de riesgo. La variedad es tan
compleja que de momento no se ha abordado la creación de una lista única.
Los eventos de Riesgo Operacional se deben en ocasiones a una causa única,

pero también se deben a una cadena de causas. Es conveniente registrarlas
todas pues será útil a la hora de establecer planes de mitigación adecuados.
Entre las causas más frecuentes, podemos señalar las siguientes:
1.! Factor humano:

•! Falta de capacitación
•! Alta rotación
•! Outsourcing
•! Proceso de selección
•! Política salarial y beneficios
•! Fraude interno
111
Información complementaria: causas (2)
2. Factor de diseño y gestión de procesos:

•! Diseño del proceso
•! Volúmenes
•! Segregación funcional
•! Control dual
•! Manualidad
•! Cuadres y arqueos
•! Conciliación de cuentas
•! Seguridad lógica
•! Seguridad física
•! Otros sistemas de control
•! Contratos
•! Proveedores internos
•! Incidencias con clientes
•! Cumplimiento normativo
•! Estructuras de gestión

112
Información complementaria: causas (3)
3. Factor tecnológico:
•! Disponibilidad de aplicativos
•! Plan de continuidad
•! Adecuación aplicativos
•! Equipamiento
4. Factor externo:
•! Plan de contingencia
•! Proveedores externos
•! Fraude externo

113
Eventos que no producen pérdidas
Se pueden aprovechar las BBDD de RO también para registrar eventos que

afortunadamente no produzcan pérdidas para la entidad
Las entidades deben determinar que tipologías de eventos desean registrar en

función de sus posibilidades de captura
•! Una vez fijadas las tipologías, la Entidad debe asegurar que se capturan
todos los eventos de dicha tipología
•! Estos eventos deben reportarse de forma separada del resto y deben

quedar marcados para poder diferenciarlos fácilmente
•! También es conveniente registrar el proceso, el producto y las causas que

lo han generado a efectos de gestión
•! Estos eventos pueden registrarse en BBDD separadas, gestionadas por las

propias unidades que los capturan

114
Eventos externos
Las entidades que forman parte de consorcios de BBDD deben registrar los
eventos externos en la BBDD:
La finalidad del registro los eventos externos es múltiple:
•! Para completar los datos internos en la modelización del capital en

riesgo
•! Aportando información de gran valor para la gestión, tanto a nivel global

como a nivel de líneas de negocio/soporte
•! Para conocer el posicionamiento de la Entidad frente a la competencia,

tanto a nivel global como a nivel de líneas de negocio/soporte

115
Formatos de captura (campos de las BBDD)

116
Eventos corporativos
Según Basilea, todos los eventos se deben asignar a una línea de negocio
Sin embargo hay eventos cuya naturaleza los hace indivisibles. Son los llamados
eventos corporativos
•! Afectan a la Entidad en su conjunto
•! No son eventos de tecnología
•! Suelen estar relacionados con el Consejo de Administración, la Presidencia,

el CEO o el Centro Corporativo
•! A efectos de reporting hay que establecer un criterio de reparto entre las

líneas de negocio

117
Eventos múltiples
Un evento múltiple es aquél que provoca más de un impacto en la

contabilidad, y/o afecta a más de una Línea de Negocio/Soporte
•! El evento múltiple se da de Alta en la BBDD con una referencia específica

•! Todas las pérdidas del evento múltiple tienen su propia referencia, pero
también la del evento principal
•! El evento múltiple se puede equiparar a una cuenta con sus movimientos
•! La fecha de contabilización es la de la primera partida que compone el
evento
•! Los ejemplos más típicos de eventos múltiples son los de la categoría de
desastres

118
Parametrización
La parametrización garantiza la homogeneidad de la información
Ejemplos de lo que se puede parametrizar:

•! Administradores de la aplicación
•! Roles de los usuarios
•! Entidades legales
•! Unidades/Subunidades de negocio y de soporte
•! Clases de Riesgo Operacional
•! Procesos
•! Productos
•! Causas
•! Cuentas donde se registran los eventos
•! Tipos de evento
•! Clase de riesgo de Basilea
•! Líneas de negocio de Basilea
•! Los campos Si/No
•! Etc…

119
Sistemas de captura de eventos
Existen 3 formas de capturar los eventos
Captura manual
Es la forma más sencilla de implantar una base de datos de pérdidas pues no requiere
ningún desarrollo informático.
•!La Unidad Central diseña un formato sencillo (en Excel o Word) que se facilita a las
áreas informantes
•!Los integrantes de estas áreas, que han pasado lógicamente por un plan de
formación, son los encargados de reportar los eventos rellenando el formulario y
enviándolo a la Unidad Central por e-mail
•!La Unidad Central cuando los recibe los da de alta de su aplicación (puede ser en
Excel o en una BBDD creada en Access)
A favor En contra
•! Muchas inconsistencias por falta
de estandarización
•! Sistema muy sencillo
•! Hay que marcar nuevamente la
•! No necesita desarrollo información
informático
•! Discrecionalidad por parte de las
áreas informantes

120

Captura semiautomática
La captura semiautomática es aquella en la que la Entidad dispone de una aplicación en

su intranet con formatos y parametrización estandarizada:
•!La Unidad Central diseña un formato de reporting de eventos en su intranet y da
acceso a las áreas informantes
•!Los integrantes de estas áreas, que han pasado lógicamente por un plan de
formación, son los encargados de reportar los eventos rellenando el formulario en
la intranet
•!La información queda registrada en la aplicación de la Unidad Central de manera
automática, una vez ésta la ha validado
A favor En contra
•! Discrecionalidad por parte de
•! Relativamente fácil de las áreas informantes
implantar
•! Necesita más inversión que el
•! Información homogénea
manual
•! No hay doble input

121

Captura automática
La captura automática la realizan aquellas entidades que han adaptado su contabilidad a

las tipologías de Riesgo Operacional:
•!La Unidad Central ha diseñado interfases que capturan los apuntes contables que
afectan a las cuentas de Riesgo Operacional
•!Los apuntes requieren información adicional en algunos casos (como la clase de
riesgo, proceso, etc…). Estos datos son introducidos por quien contabiliza la
partida
•!Cuando se corre la interfase, los eventos son descargados directamente en la
BBDD central
•!Los eventos importantes se completan con información de gestión
A favor En contra
•! Información homogénea
•! La BBDD son completas
•! Necesita mayor inversión
•! Poca discrecionalidad por parte
de las áreas informantes

122
Muchas entidades combinan más de una forma de captura
•! La dificultad de implantar un sistema automático en todas las Áreas conduce a que

muchas entidades utilicen también la captura manual en algunas de sus unidades
y/o clases de riesgo
•! Cuando los eventos son escasos no resulta eficiente montar un sistema
automático de captura
•! También lo utilizan aquellas entidades que están realizando la transición por
etapas de un sistema de captura a otro más automatizado

123
El rol de Auditoría Interna
La Unidad de Riesgo Operacional y las áreas informantes son responsables de la calidad

de la información del sistema de captura de eventos. Ésta se basa en tres pilares:
•! Que la información sea completa (todos los eventos se capturan)

•! Que la valoración de los eventos sea correcta porque comprende tanto los
impactos directos como los indirectos
•! La clasificación de los eventos en términos de clase de riesgo y línea de negocio/
soporte es correcta
El rol de Auditoría Interna consiste en verificar, mediante muestreo en sus visitas

periódicas a las unidades, que la información cumple con los mencionados estándares de
calidad

124
Periodicidad de la captura
Depende del sistema de captura de eventos
Captura automática
Las entidades que cuentan con un sistema de captura automática desde la contabilidad
mediante interfases, capturan los eventos en el instante en que éstas se ejecutan. El
rango va desde diario hasta mensual
Captura semiautomática
Las entidad con este sistema capturan los eventos en el momento en que las áreas
informantes los dan de alta en la aplicación
Captura manual
Quienes capturan los eventos de forma manual deben definir la frecuencia de reporte a
las áreas informantes. Lo normal es que sea según la ocurrencia, pero como mínimo
una vez al mes

125
Ubicación de las bases de datos de pérdidas
Dependerá del tamaño de la Entidad
Sistema centralizado
•! La BBDD puede ubicarse en un servidor o en el main frame (computador central

de la empresa)
•! La ubicación centralizada es una buena solución para entidades que actúan en
un solo país
A favor En contra
•! Facilidad de control de
usuarios
•! Facilidad de explotación
de la información •! Es más lento en general
•! Facilidad de implantación
•! Garantiza homogeneidad

126
Ubicación de las bases de datos de pérdidas
Dependerá del tamaño de la Entidad
Sistema descentralizado
•! La ubicación descentralizada es una buena solución para entidades

internacionales o con diversas marcas
•! La BBDD puede ubicarse en un servidor en cada Entidad
•! Es necesario un envío (mensual, trimestral, etc…) de datos a la Central para
agregar toda la información
A favor En contra
•! Respuesta más lenta a los

requerimientos de cambios
•! Facilidad de implantación •! Explotación más compleja
•! La homogeneización es más
difícil

127
Umbrales de captura
Cuanto más bajos, mejor
Umbrales fijados por la SBS
•! La Norma 2116-2009 fija los siguientes umbrales de captura en:

•! 3.000 Nuevos Soles para Banco, Aseguradoras y AFP
•! 1.000 Nuevos Soles para el resto de entidades
Umbrales fijados por otros organismos
•! El BIS cita como referencia el umbral de 40.000 NS para la captura de eventos

de pérdida, para bancos internacionalmente activos
•! La organización ORX establece un umbral de captura de 80.000 NS a sus

miembros

128
Umbrales de captura
Consideraciones adicionales
Las Entidades deberán fijar internamente los umbrales de captura
•! Deberán cumplir el mínimo fijado por su Regulador
•! Lo ideal es que el umbral sea cero para que la Entidad pueda valorar los
impactos del Riesgo Operacional en su totalidad
•! Sin embargo, esto sólo es posible con sistema de registro automáticos que se
nutran de la contabilidad
•! Los umbrales muy bajos son incompatibles con la captura manual de eventos
por la carga de trabajo de conllevan
•! Los umbrales pueden variar según las líneas de negocio y por clases de riesgo
(en Tesorería no tiene sentido recoger eventos pequeños, sin embargo, en
fraude de tarjeta de crédito es importante recoger toda la casuística)

129
Controles de calidad
La parte más importante de las BBDD
•! Como ya hemos visto anteriormente, la calidad de la base de datos es una

pieza clave para la gestión del Riesgo Operacional
•! Al igual que en riesgo en crédito, la información de las BBDD sirve para la

modelización del riesgo, para el cálculo del capital en riesgo y para la gestión
en general
•! Muchas entidades no contabilizan correctamente los eventos de Riesgo

Operacional, quedando éstos diluidos dentro de los gastos ordinarios
•! El desconocimiento por parte de la Alta Dirección de la dimensión real de lo que

representan las pérdidas por Riesgo Operacional implica que no se tomen las
medidas de mitigación adecuadas
•! Esconder el Riesgo Operacional puede transformarse una bomba de relojería

para la empresa

130
Controles de calidad
Cómo implementar las funciones del Control de Calidad de las BBDD
1 Estableciendo reglas y criterios internos para la captura de datos
2 Revisando periódicamente las entradas y documentando los eventos importantes
3 Agrupando las pérdidas en eventos múltiples
4 Eliminando eventos temporales
5 Eliminando eventos que no pertenecen al Riesgo Operacional
6 Definiendo controles que aseguren que los datos son completos
7 Realizando cuadres con la contabilidad
8 Cruzando información con Auditoría Interna
9 Revisando eventos marcados como “No Riesgo Operacional”
10 Revisando mensualmente cuentas de RO

131
Bases de datos externas
¿Por qué son necesarias?
Las bases de datos externas contienen eventos reales anónimos de Riesgo

Operacional, debidamente clasificados que han ocurrido en otras entidades y/o
en otros sectores
•! El Riesgo Operacional, si bien es muy antiguo, no ha recibido un tratamiento

como riesgo equiparable al de crédito o al de mercado hasta la primera década
del presente milenio
•! Las BBDD que las entidades están registrando tienen poca profundidad, por lo
que muchas celdas están poco o nada pobladas
•! Para modelizar el riesgo y calcular el capital se necesitan más datos que los que
actualmente tienen las entidades
•! Las BBDD externas son el complemento perfecto a las BBDD internas
•! Además, aportan información muy valiosa para la gestión

132
En teoría, después de un cierto tiempo, las empresas

deberían tener suficientes datos en cada celda*
Pero, de hecho... Minorista Comercial Tesorería Etc..
Fraude Interno Si No No
Fraude Externo Si No No
Ejecución de procesos Si Si Si
Prácticas de ventas Si Si Si
Recursos Humanos Si No No
Tecnológico Si Si ?
Desastres / accidentes Si No No
*Matemáticamente, se necesitan más 30 eventos por celta para poder modelizar el Riesgo Operacional

133
Muchos bancos participan en BBDD externas

de diversa índole: ¿Qué opciones tenemos?
1 Construir nuestra Recoger datos de las noticias de prensa.

propia BdD externa Clasificar y comprobar
2 Algunas compañías ofrecen BdD

Comprar una BdD
públicas de RO
3 Existen Consorcios de datos de RO

Consorcio de BdD
(ORX, GOLD, etc…)

134
¿Cuál es la mejor opción para mi empresa?
1 Construir nuestra
Lleva bastante tiempo y la BBDD no es completa
propia BdD
2 Comprar una BdD Es costoso y la BBDD no es completa
3 Consorcio de BdD
No es tan caro y la calidad de los datos es mucho
mejor (completos y controlados)

135
ORX es el Consorcio más importante el mundo en la actualidad
•! ORX es una organización sin ánimo de lucro, cuyos dueños

son sus miembros
•! Objetivo: compartir trimestralmente eventos de Riesgo
Operacional mayores de 20.000!, de forma anónima:
•! Aplicable a Basilea II AMA (enfoque LDA)
•! Benchmarking
•! Grupos de Trabajo: Criterios, Análisis de Datos,
Software
•! Plataforma de discusión y desarrollo de mejores
prácticas
•! Influir en la industria de la banca y en los Reguladores
•! Entorno seguro para transmisión y proceso de datos
•! ORX tiene su sede en Zürich (Suiza)
•! El software de ORX (Open Pages) permite un alto nivel de
personalización

136
Las entidades financieras del mundo tienen grandes diferencias en tamaño y líneas de
negocio:
•! Las diferencias de tamaño en los negocios también repercuten en diferencias de

tamaño en los eventos de Riesgo Operacional que sufren las entidades
•! A efectos de modelización, los órdenes de magnitud y la tipología de los eventos

de unas y otras entidades sobreestiman el capital por Riesgo Operacional de
manera considerable
•! Una alternativa a este proceso es la construcción de bases de datos locales, a

nivel nacional, donde participen empresas cuya dimensión y tipología de riesgo
sea equiparable
•! ORX ha abierto esta vía en España donde varios bancos participan en un

intercambio “a medida” con umbral de 3.000 ! en lugar de 20.000 !. También en
Canada se lleva a cabo una iniciativa similar

137
Miembros de ORX: 57 de 18 países
ABN AMRO {Netherlands}! FirstRand {South Africa}!

Ally Financial, Inc {USA}! Grupo Santander {Spain}!
Banco Bradesco S/A {Brazil}! HSBC Holdings plc {UK}!
Banco de Sabadell S/A {Spain}! ING Group {Netherlands}!
Banco do Brasil S/A {Brazil}! Intesa SanPaolo {Italy}!
Banco Pastor {Spain}! JPMorgan Chase & Co. {USA}!
Banco Popular {Spain}! Lloyds Banking Group {UK}!
BPN (Banco Portugu"s de Neg#cios) {Portugal}! Morgan Stanley {USA}!
Banesto {Spain}! National Australia Bank {Australia}!
Bank Austria - Member of UniCredit Group {Austria}! Nedbank Group {South Africa}!
Bank of America {USA}! Nordea Bank AB (publ) {Sweden}!
Bank of Ireland Group {Ireland}! Northern Trust Company {USA}!
Barclays Bank {UK}! Novacaixagalicia {Spain}!
BBVA (Banco Bilbao Vizcaya Argentaria) {Spain}! PNC Bank {USA}!
BMO Financial Group {Canada}! Rabobank Nederland {Netherlands}!
BNP Paribas {France}! RBC Financial Group {Canada}!
BNY Mellon {USA}! RBI (Raiffeisen Bank International AG) {Austria}!
Cajamar {Spain}! Royal Bank of Scotland Group {UK}!
Capital One {USA}! SEB (Skandinaviska Enskilda Banken) {Sweden}!
CatalunyaCaixa {Spain}! Soci!t! G!n!rale {France}!
CBA (Commonwealth Bank of Australia) {Australia}! Standard Bank Group {South Africa}!
Commerzbank AG {Germany}! Standard Chartered Bank {Singapore}!
Credit Agricole SA {France}! State Street Corporation {USA}!
Deutsche Bank AG {Germany}! TD Bank"Group (TDBG) {Canada}!
Deutsche Postbank AG {Germany}! The Bank of Nova Scotia {Canada}!
DnB NOR Bank ASA {Norway}! US Bancorp" {USA}!
Erste Group Bank AG {Austria}! Wells Fargo & Co" {USA}!
Euroclear SA/NV {Belgium}! WestLB AG {Germany}!
Westpac Banking Corporation {Australia}!

Page 137
138
ORX: Requerimientos de datos
•! Los miembros de ORX reportan la información con el siguiente formato:
•! Se reportan eventos por encina de 20.000!:
•! Reference ID number (Member generated) •! Credit-related

•! Business Line (Level 2) Code •! Gross Loss Amount
•! Event Category (Level 2) Code •! Direct Recovery
•! Country (ISO Code) •! Indirect Recovery
•! Date of Occurrence •! Related event Ref ID
•! Date of Discovery •! Product
•! Date of recognition •! Process
•! Members required to report Gross Income per Business Line

Page 138
139
Comité de criterios
Los Comités de Criterios añaden valor a las BBDD
Las actividades y tareas de captura de eventos de Riesgo Operacional generan

muchas dudas en cuanto a la interpretación de las reglas. Las buenas prácticas de
gestión del RO nos dicen que los Comités de Criterios son una buena solución a este
problema
•! Los Comités de Criterios son una especie de Help Desk que resuelven las
dudas y crean “jurisprudencia”
•! Formados por expertos de la Unidad de RO y coordinados por la persona

encargada de la función de Control de Calidad
•! Las dudas que van surgiendo se registran y se tratan en el seno del Comité, que
se reúne periódicamente.
•! Sus conclusiones forman parte del Manual de RO de la Entidad y se incluyen en

los programas de formación

140
Generación de informes
Para las líneas de negocio
Las Líneas de Negocio/Soporte tienen en las BBDD una información muy valiosa
para la gestión. Por un lado, la información interna les da pistas acerca de lo que
está pasando en su línea de negocio, y por otro, la información sobre bases externas
(si se dispone de ellas) aporta información sobre riesgos materializados en otras
entidades, que serán motivo de análisis.
Ejemplos de informes:
•! Informe de pérdidas por clases de riesgo y/o líneas de producción/soporte

•! Evolución de las pérdidas (diarias, mensuales, anuales, etc…)
•! Informe sobre eventos más importantes
•! Informe sobre bases de datos externas
•! Informes comparativos de datos internos vs externos (benchmarking)
•! Etc…

141
Generación de informes
Para uso interno
Los informes de uso interno se confeccionan para reportar a la Alta Dirección y a

efectos de control para la Unidad Central de Riesgo Operacional:
Ejemplos de informes:
•! Informe de pérdidas por clases de riesgo y/o líneas de producción/soporte
•! Evolución de las pérdidas (diarias, mensuales, anuales, etc…)
•! Informe sobre eventos más importantes
•! Informe sobre bases de datos externas
•! Informes de pérdidas sin factores de riesgo identificados
•! Informes de pérdidas para los Reguladores
•! Informe de pérdidas a reportar a las bases de datos externas
•! Informe de eventos que afectan a varias líneas negocio
•! Informe de eventos múltiples
•! Informe de pérdidas provisionadas

142
Utilidad de las BBDD de RO
Temas
•! Valor agregado de las BBDD en la gestión empresarial
•! Cálculo del capital en riesgo mediante BBDD
•! Aspectos relevantes de las mejores prácticas
•! Preguntas y respuestas

143
Valor agregado de las BBDD en la gestión empresarial
Las BBDD en la gestión del RO
Ayer veíamos que la gestión del RO se puede hacer de dos formas:

-! Cualitativa
-! Cuantitativa
Las BBDD aportan la información necesaria para realizar una

gestión cuantitativa, como se hace en riesgo crédito:
•! Aportando aspectos necesarios para la gestión de procesos

en las líneas de negocio/soporte
•! Aportando datos para el cálculo de capital en riesgo

144
Las BBDD son una pieza clave en la gestión del RO
Las BBDD aportan información muy valiosa para la gestión:
•! Especialmente para los eventos de bajo impacto y alta frecuencia (Ej.: Fraude
tarjeta de crédito)
•! El ser humano aprende por sus experiencias. Es más fácil conocer la exposición al
Riesgo Operacional por los eventos ocurridos que por factores cualitativos que aun
no se han manifestado en forma de eventos
•! Los eventos manifiestan la existencia de un factor de Riesgo Operacional que en
algunas ocasiones era desconocido por la Entidad
•! Las BBDD son útiles en la medida en que las Entidades se preguntan que lagunas
en la gestión hay detrás de los eventos que ocurren
•! Las BBDD externas o los grandes eventos de dominio público deben ser
analizados: “¿Le puede ocurrir a mi empresa también?”

145
Los eventos de otras Entidades nos sirven para evaluar nuestro RO
Algunos eventos ocurridos en el sector financiero han servido para que muchas Entidades
se planteen su forma de hacer o controlar los negocios
Repasemos algunos eventos significativos que han influido en la gestión del RO:
•! El 11 de Septiembre supuso un replanteamiento de los planes de continuidad y

contingencia para muchas empresas
•! El fraude de Madoff replanteó el negocio de los hedge funds y su forma de
controlarlos en muchas empresas
•! El evento de la Sociéte Générale provocado por Jérôme Kerviel hizo que muchos
bancos revisaran sus mecanismos de gestión
Es muy conveniente analizar los eventos que ocurren a los demás para ver en que medida
nuestra Entidad también está expuesta a esos riesgos

146
Con la BBDD se puede calcular el CaR
Algunas Entidades financieras calculan periódicamente su capital económico, es decir, el

capital necesario para hacer frente al riesgo, con un margen de confianza muy alto (99,9%)
En cualquier caso todas calculan su capital Regulatorio; el que viene marcado por las
reglas del Supervisor del país en que nos encontremos
Todas las Entidades comparan su Capital Regulatorio y su Capital Económico (las que lo
calculan) contra sus Recursos Propios, que obviamente deben ser más elevados
En el caso del Riesgo Operacional, las BBDD permiten calcular el Capital Económico
debido a esta clase de riesgo

147
Ventajas del CaR por RO
Basilea II permite calcular el CaR por RO de varias formas, en función de la madurez del
sistema de gestión que la Entidad ha implantado:
•! Método Básico: 15% sobre el “Gross Margin” de la Entidad

•! Método Estándar: se calcula sobre el “Gross Margin” de cada línea de negocio,
entre el 12% y el 18%
•! Método Estándar Alternativo: permite aplicar a las Bancas Comercial y Minorista el
cálculo del 0,035 de sus saldos de créditos. El resto de las líneas se calculan como
en el Estándar
•! Método AMA (Avanzado): el que salga por el modelo matemático de distribuciones
de pérdidas (LDA)
Por el momento son pocos los Reguladores que permiten el uso del modelo AMA.
Conforme se vayan perfeccionando los sistemas de gestión y remita la crisis de crédito
internacional, se permitirá que el capital se calcule con este modelo
148
Ventajas del CaR por RO
Solvencia II también permite el uso de modelos internos, siempre que los apruebe el
Regulador local y para ello es necesario utilizar BBDD internas y externas
Establece dos medidas de Capital:
•! MCR (Minimum Capital Requirement) que establece cada Regulador mediante una
fórmula (en USA 2% de las primas, en Alemania 1,5%)
•! SCR (Solvency Capital Requirement) es el capital en riesgo (técnico, crédito, mercado
y operacional) a un año vista calculado con un nivel de confianza del 99,5%, es decir
que la probabilidad de quiebra es de 1 vez cada 200 años
A diferencia de Basilea II, Solvencia II es mucho más abierto en cuanto al cálculo del capital
regulatorio. Marca las pautas a seguir por los Reguladores pero no establece fórmulas
comunes como hace Basilea II
Los Reguladores han utilizado los resultados de los diferentes QIZ (5 en total) para ajustar
los requerimientos mínimos de capital en sus respectivos países

149
Cálculo del capital por RO
Componentes del modelo AMA

9(::))(%.,*#.&( 2
((!!""#$%&'(%)#
#
External data
;(::))(*<,*#.&='(
1 Internal data
(((!!""#'*&'(%)+#
(
>(?'+*.&#%1'( Scenario analysis
Control environment
###!!""#'+,'%)($-+#
# 4
@(61.,#15(?.3%#1./*.,(
###"$.'('%&'+#/'&-0-1-23)+#
####0'#/'0$,$4%(
3
150
Cálculo del capital por RO
Para cada línea de negocio, o celda
Distribución
Frecuencias
BBDD interna
Peso 50%
Capital
BD
Simulación en
Externa Combinada MonteCarlo Riesgo
Peso 25%
+
Escenarios
Peso 25%
Distribución
Motor de
Severidades Ajuste
cálculo
Cualitativo

151
Aspectos relevantes de las mejores prácticas
Gobierno corporativo y ámbito de aplicación del modelo
1 Estructura de gestión – Unidades implicadas
2 Estructura de Comités
3 Implicación de la Alta Dirección
4 Perímetro de aplicación del modelo

152
Es fundamental que exista un esquema de gestión aprobado por la Alta Dirección, conocido
por toda la Organización y con roles definidos. En las áreas de negocio y soporte, los roles
pueden ser a tiempo parcial, si bien deben figurar como parte de los objetivos individuales
COMITÉ DE DIRECCIÓN / CONSEJO DE ADMINISTRACIÓN
Área de Riesgos Áreas de Negocio/Soporte
Unidad Central de Gestor de

Dependencia funcional
Riesgo Operacional Riesgo Operacional
Gestor de
Procesos y Actividades

153
Alta Dirección - Consejo de Administración (AD)

Alta Aprueba el modelo de gestión de Riesgo Operacional
Promueve el uso del modelo en la Organización
Dirección Aprueba los planes de mitigación de alto nivel
Autoriza los recursos humanos y tecnológicos
Unidad Central de Riesgo Operacional (UCRO)

Unidad Central Desarrolla el modelo de gestión de RO
de Riesgo Implanta las herramientas de gestión
Centraliza toda la información
Operacional Realiza el seguimiento del RO
Elabora y distribuye los informes

154
Gestor de Riesgo Operacional (GRO)

Gestor de Ubicado su línea de negocio/soporte
Coordina el inventario de RO
Riesgo Coordina proceso de captura
Operacional Secretario del Comité de RO
Coordina los planes de mitigación
Realiza el seguimiento
Gestor de Procesos y Actividades (GPA)

Gestor de Elabora mapas de procesos
Identifica el RO en sus procesos
Procesos y Actualiza inventario de RO
Actividades Participa en el proceso de cuantificación
Elabora planes de mitigación

155
Gestión cualitativa
1 Cobertura: unidades intervinientes
2 Procesos incluidos en cada ejercicio
3 Factores de riesgo identificados completos
4 Criterios de valoración de factores riesgo
5 Comparativas entre unidades/países
6 Grandes riesgos corporativos
7 Reporting (a la Alta Dirección y a las unidades)

156
Gestión cuantitativa
1 Diseño de la aplicación (campos, umbrales, etc…)
2 Cuadres con la contabilidad
3 Análisis de grandes partidas marcadas como no RO
4 Provisiones incluidas en la base de datos
5 Análisis de la evolución de datos. Pruebas comparativas
6 Reporting (a la Alta Dirección y a las unidades)

157
Fundamentos matemáticos del modelo
1 Descripción matemática del modelo LDA y unidades de cálculo
2 Conciliación Áreas de Negocio con las de Basilea
3 Criterios de selección de distribuciones
4 Método de inclusión de bases de datos externas
5 Método de inclusión de escenarios
6 Revisión del ajuste cualitativo
7 Distribución por las líneas de negocio

158
Test de uso del modelo en las unidades: Comités de RO
1 Constitución de los Comités de RO y su periodicidad
2 Análisis de los factores de riesgo prioritarios
3 Planes de mitigación: implantación, responsables y seguimientos
4 Análisis de eventos importantes del periodo
5 Cruce de información (BBDD vs Factores de Riesgo)
6 Análisis de indicadores fuera de rango o con alertas
7 Nuevos riesgos
8 Planes de continuidad de negocio

159
Fin del Taller
Muchas gracias por

vuestra atención
Construyendo entre todos

Bases Datos Eventos Perdida Riesgos Operacionales PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Bases Datos Eventos Perdida Riesgos Operacionales PDF

Cargado por

Copyright:

Formatos disponibles

1

BASES DE DATOS DE EVENTOS

Jordi García - Consultor

Nota del Consultor

Las opiniones vertidas en el presente taller se

Jordi García - Consultor

Jordi García - Consultor

Gobierno Corporativo: Riesgo Operacional

El gobierno corporativo es el conjunto de principios y normas que regulan

Definiciones: Riesgos del sistema financiero

Gestión del riesgo = Gestión de la incertidumbre

Basilea II: ”Riesgo operacional es el riesgo de pérdida resultante de una falta de

Jordi García - Consultor

Definición de RO en términos de procesos

Gestión del proceso Los procesos se cumplen

Riesgo operacional es aquél que existe en todo proceso, y cuya consecuencia

Jordi García - Consultor

Definición de evento de riesgo operacional

Evento de riesgo operacional:

•! Es un incidente que se presenta en un proceso y cuya consecuencia es

•! Es debido a una falta de adecuación o de un fallo de los procesos, el

Jordi García - Consultor

Definición de evento de riesgo operacional

Pérdida por riesgo operacional

•! Cualquier impacto negativo registrado en cuentas de resultados o en la

•! La pérdida está constituida por un registro contable contabilizado en cuentas de

•! No se contempla el contenido de cuentas transitorias, cualquiera que sea su

•! Si se podrá registrar cualquier provisión realizada sobre eventos acaecidos y no

•! No formarán parte de la base de datos aquellos eventos que generen un

Jordi García - Consultor

Definición de evento de riesgo operacional

Secuencia natural de los acontecimientos

Causas Riesgos Eventos Impacto

Debilidades que Toda circunstancia que

Jordi García - Consultor

Definición de evento de riesgo operacional

Eventos típicos de riesgo operacional

Jordi García - Consultor

Definición de evento de riesgo operacional

¿Qué riesgo provoca eventos de RO?

RO inherente a Actividades orientadas a Es el riesgo que provoca

Sólo es medible Son medibles Es medible cualitativa

Jordi García - Consultor

Definición de evento de riesgo operacional

Cómo afecta el RO a los resultados: pérdidas directas

Evento !! Impacto directo en utilidades

Jordi García - Consultor

Definición de evento de riesgo operacional

Cómo afecta el RO a los resultados: pérdidas indirectas

Pérdida Lucro !! Otras tipologías:

Jordi García - Consultor

Definición de evento de riesgo operacional

Cómo afecta el RO a los resultados: lucro cesante

Pérdida Lucro !! Pérdida de personal clave

Jordi García - Consultor

Definición de evento de riesgo operacional

Causas que producen eventos de RO

Jordi García - Consultor

Definición de evento de riesgo operacional

Gestión del Riesgo Operacional

2 maneras de gestionar el riesgo operacional

Enfoque Cualitativo Enfoque Cuantitativo

Identificando riesgos y controles antes Los eventos ocurridos nos sirven de