Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TALLER
Jordi García
Consultor
DIRIGIDO A ENTIDADES BAJO LA
SUPERVISIÓN DE LA SBS DE PERÚ Lima, 6 al 15 de Septiembre 2011
Introducción y generalidades
Temas
!! Generalidades de riesgo operacional
!! Definición de evento de riesgo operacional
!! Fronteras del riesgo operacional
!! Eventos simples y múltiples
!! Valoración de los eventos de riesgo operacional
!! Eventos temporales
!! Eventos que no generan pérdidas
!! Clases de riesgo
!! Clases de riesgo: aclaraciones
!! Líneas de negocio
!! Ejercicios prácticos
!! Preguntas y respuestas
OBJETIVO ÚNICO:
Crear un marco de gestión permanente que
permita controlar el Riesgo Operacional
•! Identificar
•! Medir
•! Valorar
•! Mitigar
Jordi García - Consultor
5
Riesgo de Negocio
Riesgo Técnico
Reputacional
Riesgo
Riesgos Riesgo de Crédito
Riesgo de Mercado
Riesgo Operacional
Diseño del
Proceso:
Conjunto de acciones sistemáticas y
Proceso
repetitivas por las que unas entradas
(inputs) se convierten en un producto
o servicio final (outputs)
Ejecución
Proceso mal
diseñado Riesgo de error Error de entrada Indenmización
en el proceso de datos al cliente
Escasa formación
profesional
Riesgo
INTRÍNSECO - CONTROLES
= Riesgo
RESIDUAL
!"#$"%&'#(')#*+#,'-.%#/.0./1("#
Causa
Pérdidas Directas
23&40#'0#)"#/.0&"51)1("(6#$'%.#3.0#('#
Causa
(17/1)#/"$&8%"#
Pérdidas Indirectas
Evento
!! Ineficiencias:
!! Reprocesos
!! Horas extras
Impactos
!! Errores en diseño de procesos
Causa 917/1)#('#1('0:;/"%#<#,'(1%#
Lucro Cesante
Evento
!! Pérdida de negocio/clientes
!! Imposibilidad de cargar comisiones
Impactos !! Clientes insatisfechos que reducen
su actividad con el Banco
F F
A A
C R •! Falta de recursos
•! Escasa formación C
T R
•! Alta rotación T
O H •! Outsourcing O
H
R •! Pérdidas de talento R
E E
S S
•! Desastres
•! Fraude
I P E!
N G
R •! Controles deficientes X!
E
T O •! Defectos en los sistemas T
S
E C •! Falta de segregación funcional E
T
R E •! Escasa seguridad informática R
I
N S •! Falta de planes de contingencia N
Ó •! Exceso de manualidad
O O O
N
S S S
Si se combina todo…
Número de impactos
evento múltiple evento múltiple
Múltiple que afecta sólo a que afecta a
una LdN varias LdNs
Monolínea Multilínea
Cuantificación
Cuantificación (2)
Otras pérdidas
Se incluyen
Se excluyen
•! Coste del asesoramiento jurídico cuando el Banco renuncia a seguir adelante con
un proceso legal.
Eventos temporales
Excepciones:
Riesgo
INTRÍNSECO - CONTROLES
= Riesgo
RESIDUAL
El riesgo residual es
Los controles funcionan nulo ya que no se ha
El riesgo intrínseco produce correctamente y detectan
producido ninguna
un evento de RO el evento antes de que se
pérdida que
produzca el impacto
deba registrarse
•! Involucrando al Directorio
•! Implicando a la Gerencia
•! Establece la necesidad de un Área de Riesgo Operacional
•! Con políticas y herramienta de gestión
•! Estableciendo clases de riesgo y líneas de negocio
•! Creación de una base de datos de eventos
•! Comités de riesgos para la gestión
•! Reporting básico
•! Implicando a auditores internos, externos y agencias de rating
Clases de riesgo
Clases de riesgo
Clases de riesgo
Clases de riesgo
Fraudes
Fraude interno
•! Un evento que reúna las tres condiciones exigidas se clasificará como “Fraude
Interno. Robo y Fraude” si la acción puede ser tipificada como delito según la
legislación vigente (código penal...) y sea sancionable por los órganos
jurisdiccionales.
Actividad no autorizada
•! Se clasifica en este grupo cualquier fraude cometido por una persona ajena a la
Entidad
•! Las pérdidas causadas por fallos en los sistemas informáticos se clasificarán dentro
de esta categoría
•! Este subgrupo recogerá todos los eventos que no tengan cabida en el resto de los
apartados de esta categoría. Es decir la asignación se realizará por exclusión
•! En particular, se incluirán todos los eventos que supongan una pérdida directa
para la entidad, como consecuencia de:
•! clientes
•! inversores
•! organismos e instituciones, etc.
Contrapartes comerciales
Ejecución, entrega y gestión de procesos
Distribuidores y proveedores
Ejecución, entrega y gestión de procesos
Productos defectuosos
Clientes productos y prácticas empresariales
Formarán parte de este grupo todos los eventos cuyas pérdidas han sido
ocasionadas por reclamaciones de clientes que consideran se ha hecho un
uso inadecuado de los poderes otorgados a la entidad en:
Actividades de asesoramiento
Clientes productos y prácticas empresariales
Evento
y/o
Pérdida
No
pregunte
¿Por qué?
Qué causó la
Es un tipo de NO
Pérdida/Evento
evento/ pérdida
de Basilea
La respuesta debe
permitir la
Si clasificación
Si
Clasificado
Internal Fraud Theft and Fraud Internal Fraud Internal Theft and Fraud (General)
Unauthorized Activity Unauthorized Activity
Internal Systems Security (for profit)
External Fraud Theft and Fraud ext. External Fraud External Theft and Fraud (General)
Systems Security External Systems Security (for profit)
Employee Practices and Workplace Employee Relations Employee Practices and Workplace Safety Employee Relations
Safety Safe Environment Safe Workplace Environment
Diversity and Discrimination Employment Diversity and Discrimination
Clients, Products and Business Practices Suitability, Disclosure and Fiduciary Clients, Products and Business Practices Suitability, Disclosure and Fiduciary
Improper Business or Market Practices Improper Business or Market Practices
Product Flaws Product Flaws
Selection, Sponsorship and Exposure Selection, Sponsorship and Exposure
Advisory Activities Advisory Activities
Damage to Physical Assets Natural Disasters Disasters and Public Safety Disasters and Other Events
Accidents and Public Safety
Business Disruptions and System Failures Systems Technology and Infrastructure Failures Technology and Infrastructure Failures
Execution, Delivery and Process Transaction Capture, Execution and Execution, Delivery and Process Transaction Capture, Execution and
Management Maintenance Management Maintenance
Customer Intake and Documentation Customer Intake and Account Management
Customer / Client Account Management Monitoring and Reporting Errors
Monitoring and Reporting
Financial Counterparty Event
Vendor Event
Líneas de negocio
Temas
Gerencia
General
Gerencia de
Riesgos
Riesgo
Riesgo Crédito Riesgo Mercado
Operacional
Puede haber más unidades dentro de esta Gerencia, por ejemplo, Control Interno,
Metodologías (modelos de medición, scoring, ratings, etc…)
Unidad de Riesgo
Operacional
PRÁCTICAS
!! Medición de los factores de RO con base en
EXTERN O
COMER.
6% 9% estimación de impacto y probabilidad/frecuencia
PROCESO S
46%
RR HH
8%
!! Valoración de la gravedad de los factores de riesgo
TECNO LOGÍA a través de Comités de RO en las unidades
16%
FRAUDE
FRAU DE EXTERNO
INTERNO 5%
10%
!! Establecimiento de planes de mitigación para los
factores más graves
Dificultad creciente
las unidades
Evento
Diseño Proceso:
Procesos Conjunto de acciones sistemáticas y
repetitivas por las que unos datos iniciales
(inputs) se convierten en un producto o
servicio final (outputs)
Implantación y
ejecución
GESTIÓN
Resultados Acciones orientadas al Los procesos se cumplen
control de la producción y según lo planeado
del Riesgo Operacional
Jerarquía de procesos
Proceso Nóminas
Fraude Interno ? ? ? ?
Fraude Externo ? ? ? ?
Procesos ? ? ? ?
Prácticas Comerciales ? ? ? ?
Recursos Humanos ? ? ? ?
Tecnología ? ? ? ?
Desastres ? ? ? ?
Áreas informantes
!! Las áreas informantes serán distintas en función del procedimiento seguido para la
identificación de los eventos de RO
Áreas informantes
Áreas informantes
A favor En contra
•! Nadie tiene la visión
•! Modelo eficaz integral de RO
•! Más rápido de implantar •! Las LdN no se sienten
implicadas en la gestión
A favor En contra
•! Riesgos tiene la visión
integral de RO •! Más tiempo para implantar el
modelo (más personas que
•! Implicación de las LdN en formar, etc…)
la gestión
Temas
!! Construcción de eventos partiendo de las pérdidas
!! Tipos de pérdida
!! Contabilización de las pérdidas
!! Definición de datos a capturar
!! Formatos de captura (campos de las BBDD)
!! Parametrización
!! Eventos múltiples
!! Sistemas de captura de eventos
!! Periodicidad de captura
!! Ubicación de las bases de datos
Temas
!! Umbrales de captura
!! Controles de calidad
!! Bases de datos externas
!! Comité de criterios
!! Generación de informes
!! Preguntas y respuestas
Pérdidas Eventos
P1 Evento 1
P2 Evento 2
P3 Evento 3
P4
P5 Evento 4
P 6
P7
Evento 5
P8
P9 Jordi García - Consultor
86
Tipos de pérdidas
D1'%&.3#:$.3#('#*+#3.0#E4/1),'0&'#1('0:;/"5)'3#$.%F8'#3'#
!"#$%$&'()%#*+,&'( G"#(';01(.#80"#/8'0&"#'3$'/H;/"#
#I$.%#'-JK#E%"8('36#E")&"3#'0#/"-"6#,8)&"36#'&/JJL#
!"3#$M%(1("3#('51("3#"#$%4/:/"3#('#N'0&"3#10/.%%'/&"36#"#
-.$*/.%0&+%1.*'( N'/'3#%'F81'%'0#10(',01O"%#"#).3#/)1'0&'3#I$.%#'-JK#0.#
'P$)1/"%#).3#%1'Q.3#('#80#$%.(8/&.#N'0(1(.6#'&/RL#
S8/G.3#'N'0&.3#('#*+#/.0))'N"0#80"#$M%(1("#('#"/:N.3#
!"#$%$&($*(&+231'( I$.%#'-JK#('3"3&%'36#"//1('0&'36#%.5.36#'&/L#
D1'%&.3#'N'0&.3#('#*+#3'#%'/.Q'0#/.,.#Q"3&.3#.$'%":N.3#
4&',1'(4*.*#&5*'( %'Q8)"%'3#I$.%#'-JK#G.0.%"%1.3#$.%#/.038)&"36#G.0.%"%1.3#('#
"5.Q"(.36#'&/RL#
6G'(*.(+8*.,&'( T#N'/'3#).3#5"0/.3#%'/.Q'0#'N'0&.3#('#*+#(13,108U'0(.#
/8'0&"3#('#10Q%'3.3#I$.%#'-JK#/8'0&"3#('#10&'%'3'3#%'/151(.36#
$*(%.7#*'1'( '&/RL#
Tipos de pérdidas
Tipos de pérdidas
Dificultad creciente
las unidades
Evento
!! Los eventos de Riesgo Operacional tienen tres fechas relevantes que los
caracterizan:
!! F1 La fecha de ocurrencia
!! F2 La fecha de descubrimiento
!! F3 La fecha, o las fechas de contabilización
F1 Ocurrencia
Casuística entre F1, F2 y F3 F2 Descubrimiento
F3 Contabilización
F1 Ocurrencia
Calidad del modelo de gestión F2 Descubrimiento
F3 Contabilización
Provisiones
•! Una gran parte de las provisiones están relacionadas con eventos de Riesgo
Operacional, especialmente aquellos que derivan de litigios con clientes,
empleados, proveedores o por demandas externas
Información complementaria
•! Causas: las causas que han provocado el evento son muy importantes
para la gestión, por tanto, es bueno registrarlas (puede haber más de una)
Información complementaria
Productos y servicios
3. Productos derivados:
•! Tasa fija
•! Acciones
•! Commodities
•! FX y money market
•! Repos y préstamo de valores
•! Fondos de inversión
•! Derivados de tipos de interés
•! Derivados de crédito
•! Derivados de FX
•! Derivados de acciones
•! Derivados de commodities
•! Otros derivados
5. Créditos comerciales:
•! Créditos comerciales e industriales
•! Créditos comerciales para mejoras de la construcción
•! Crédito para financiar la adquisición y construcción de bienes
inmuebles
•! Créditos para financiación de equipos y maquinaria
•! Tarjetas de crédito para empleados de empresas
•! Servicios de tarjetas de crédito para comercios
•! Financiación de proyectos
•! Trade finance
•! Garantías y avales
•! Financiación estructurada
6. Depósitos:
•! Cuentas corrientes consumo
•! Cuentas a plazo con preaviso de cancelación
•! Cuentas corrientes de empresa
•! Depósitos a plazo fijo
•! Productos de inversión (planes de pensiones, etc…):
10. Intermediación:
•! Servicios de broker (intermediación en compra-venta)
•! Asesoría de intermediación
Información complementaria
Procesos
3.! Ventas:
•! Asesoría previa
•! Precios y presupuestos
•! Chequeo de disponibilidad/límites
•! Términos del contrato Jordi García - Consultor
104
4. Mantenimiento de contrapartidas:
•! Cuentas de clientes
•! Relaciones con clientes
•! Procesos de due diligence
•! Préstamos fallidos
7. Pagos y cobros:
•! Pagos y cobros
•! Entrega libre de pago
•! Pagos y cobros en efectivo
8. Contabilización de transacciones:
•! Contabilización
Información complementaria
Causas
Muchos son los bancos internacionales que han desarrollado una casuística
sobre las posibles causas de los eventos de riesgo. La variedad es tan
compleja que de momento no se ha abordado la creación de una lista única.
3. Factor tecnológico:
•! Disponibilidad de aplicativos
•! Plan de continuidad
•! Adecuación aplicativos
•! Equipamiento
4. Factor externo:
•! Plan de contingencia
•! Proveedores externos
•! Fraude externo
•! Una vez fijadas las tipologías, la Entidad debe asegurar que se capturan
todos los eventos de dicha tipología
Eventos externos
Las entidades que forman parte de consorcios de BBDD deben registrar los
eventos externos en la BBDD:
Eventos corporativos
Según Basilea, todos los eventos se deben asignar a una línea de negocio
Sin embargo hay eventos cuya naturaleza los hace indivisibles. Son los llamados
eventos corporativos
Eventos múltiples
Parametrización
Captura manual
Es la forma más sencilla de implantar una base de datos de pérdidas pues no requiere
ningún desarrollo informático.
•!La Unidad Central diseña un formato sencillo (en Excel o Word) que se facilita a las
áreas informantes
•!Los integrantes de estas áreas, que han pasado lógicamente por un plan de
formación, son los encargados de reportar los eventos rellenando el formulario y
enviándolo a la Unidad Central por e-mail
•!La Unidad Central cuando los recibe los da de alta de su aplicación (puede ser en
Excel o en una BBDD creada en Access)
A favor En contra
•! Muchas inconsistencias por falta
de estandarización
•! Sistema muy sencillo
•! Hay que marcar nuevamente la
•! No necesita desarrollo información
informático
•! Discrecionalidad por parte de las
áreas informantes
A favor En contra
•! Discrecionalidad por parte de
•! Relativamente fácil de las áreas informantes
implantar
•! Necesita más inversión que el
•! Información homogénea
manual
•! No hay doble input
•! Información homogénea
•! La BBDD son completas
•! Necesita mayor inversión
•! Poca discrecionalidad por parte
de las áreas informantes
Periodicidad de la captura
Captura automática
Las entidades que cuentan con un sistema de captura automática desde la contabilidad
mediante interfases, capturan los eventos en el instante en que éstas se ejecutan. El
rango va desde diario hasta mensual
Captura semiautomática
Las entidad con este sistema capturan los eventos en el momento en que las áreas
informantes los dan de alta en la aplicación
Captura manual
Quienes capturan los eventos de forma manual deben definir la frecuencia de reporte a
las áreas informantes. Lo normal es que sea según la ocurrencia, pero como mínimo
una vez al mes
Sistema centralizado
A favor En contra
•! Facilidad de control de
usuarios
•! Facilidad de explotación
de la información •! Es más lento en general
•! Facilidad de implantación
•! Garantiza homogeneidad
Sistema descentralizado
A favor En contra
Umbrales de captura
Umbrales de captura
Consideraciones adicionales
•! Lo ideal es que el umbral sea cero para que la Entidad pueda valorar los
impactos del Riesgo Operacional en su totalidad
•! Sin embargo, esto sólo es posible con sistema de registro automáticos que se
nutran de la contabilidad
•! Los umbrales muy bajos son incompatibles con la captura manual de eventos
por la carga de trabajo de conllevan
•! Los umbrales pueden variar según las líneas de negocio y por clases de riesgo
(en Tesorería no tiene sentido recoger eventos pequeños, sin embargo, en
fraude de tarjeta de crédito es importante recoger toda la casuística)
Controles de calidad
Controles de calidad
•! Las BBDD que las entidades están registrando tienen poca profundidad, por lo
que muchas celdas están poco o nada pobladas
•! Para modelizar el riesgo y calcular el capital se necesitan más datos que los que
actualmente tienen las entidades
Fraude Interno Si No No
Fraude Externo Si No No
Ejecución de procesos Si Si Si
Prácticas de ventas Si Si Si
Recursos Humanos Si No No
Tecnológico Si Si ?
Desastres / accidentes Si No No
*Matemáticamente, se necesitan más 30 eventos por celta para poder modelizar el Riesgo Operacional
1 Construir nuestra
Lleva bastante tiempo y la BBDD no es completa
propia BdD
3 Consorcio de BdD
No es tan caro y la calidad de los datos es mucho
mejor (completos y controlados)
Las entidades financieras del mundo tienen grandes diferencias en tamaño y líneas de
negocio:
Comité de criterios
•! Los Comités de Criterios son una especie de Help Desk que resuelven las
dudas y crean “jurisprudencia”
•! Las dudas que van surgiendo se registran y se tratan en el seno del Comité, que
se reúne periódicamente.
Generación de informes
Las Líneas de Negocio/Soporte tienen en las BBDD una información muy valiosa
para la gestión. Por un lado, la información interna les da pistas acerca de lo que
está pasando en su línea de negocio, y por otro, la información sobre bases externas
(si se dispone de ellas) aporta información sobre riesgos materializados en otras
entidades, que serán motivo de análisis.
Ejemplos de informes:
Generación de informes
Ejemplos de informes:
•! Informe de pérdidas por clases de riesgo y/o líneas de producción/soporte
•! Evolución de las pérdidas (diarias, mensuales, anuales, etc…)
•! Informe sobre eventos más importantes
•! Informe sobre bases de datos externas
•! Informes de pérdidas sin factores de riesgo identificados
•! Informes de pérdidas para los Reguladores
•! Informe de pérdidas a reportar a las bases de datos externas
•! Informe de eventos que afectan a varias líneas negocio
•! Informe de eventos múltiples
•! Informe de pérdidas provisionadas
Temas
•! Preguntas y respuestas
•! Especialmente para los eventos de bajo impacto y alta frecuencia (Ej.: Fraude
tarjeta de crédito)
•! El ser humano aprende por sus experiencias. Es más fácil conocer la exposición al
Riesgo Operacional por los eventos ocurridos que por factores cualitativos que aun
no se han manifestado en forma de eventos
•! Los eventos manifiestan la existencia de un factor de Riesgo Operacional que en
algunas ocasiones era desconocido por la Entidad
•! Las BBDD son útiles en la medida en que las Entidades se preguntan que lagunas
en la gestión hay detrás de los eventos que ocurren
•! Las BBDD externas o los grandes eventos de dominio público deben ser
analizados: “¿Le puede ocurrir a mi empresa también?”
Algunos eventos ocurridos en el sector financiero han servido para que muchas Entidades
se planteen su forma de hacer o controlar los negocios
Repasemos algunos eventos significativos que han influido en la gestión del RO:
Es muy conveniente analizar los eventos que ocurren a los demás para ver en que medida
nuestra Entidad también está expuesta a esos riesgos
En cualquier caso todas calculan su capital Regulatorio; el que viene marcado por las
reglas del Supervisor del país en que nos encontremos
Todas las Entidades comparan su Capital Regulatorio y su Capital Económico (las que lo
calculan) contra sus Recursos Propios, que obviamente deben ser más elevados
En el caso del Riesgo Operacional, las BBDD permiten calcular el Capital Económico
debido a esta clase de riesgo
Basilea II permite calcular el CaR por RO de varias formas, en función de la madurez del
sistema de gestión que la Entidad ha implantado:
Por el momento son pocos los Reguladores que permiten el uso del modelo AMA.
Conforme se vayan perfeccionando los sistemas de gestión y remita la crisis de crédito
internacional, se permitirá que el capital se calcule con este modelo
Jordi García - Consultor
148
Solvencia II también permite el uso de modelos internos, siempre que los apruebe el
Regulador local y para ello es necesario utilizar BBDD internas y externas
•! MCR (Minimum Capital Requirement) que establece cada Regulador mediante una
fórmula (en USA 2% de las primas, en Alemania 1,5%)
•! SCR (Solvency Capital Requirement) es el capital en riesgo (técnico, crédito, mercado
y operacional) a un año vista calculado con un nivel de confianza del 99,5%, es decir
que la probabilidad de quiebra es de 1 vez cada 200 años
A diferencia de Basilea II, Solvencia II es mucho más abierto en cuanto al cálculo del capital
regulatorio. Marca las pautas a seguir por los Reguladores pero no establece fórmulas
comunes como hace Basilea II
Los Reguladores han utilizado los resultados de los diferentes QIZ (5 en total) para ajustar
los requerimientos mínimos de capital en sus respectivos países
#
External data
;(::))(*<,*#.&='(
1 Internal data
(((!!""#'*&'(%)+#
(
>(?'+*.&#%1'( Scenario analysis
Control environment
###!!""#'+,'%)($-+#
# 4
@(61.,#15(?.3%#1./*.,(
###"$.'('%&'+#/'&-0-1-23)+#
####0'#/'0$,$4%(
3
Jordi García - Consultor
150
Distribución
Frecuencias
BBDD interna
Peso 50%
Capital
BD
Simulación en
Externa Combinada MonteCarlo Riesgo
Peso 25%
+
Escenarios
Peso 25%
Distribución
Motor de
Severidades Ajuste
cálculo
Cualitativo
2 Estructura de Comités
Es fundamental que exista un esquema de gestión aprobado por la Alta Dirección, conocido
por toda la Organización y con roles definidos. En las áreas de negocio y soporte, los roles
pueden ser a tiempo parcial, si bien deben figurar como parte de los objetivos individuales
Gestor de
Procesos y Actividades
Gestión cualitativa
Gestión cuantitativa
7 Nuevos riesgos