Bases datos eventos_perdida_riesgos_operacionales

1,890 views

Published on

Published in: Economy & Finance
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,890
On SlideShare
0
From Embeds
0
Number of Embeds
7
Actions
Shares
0
Downloads
55
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Bases datos eventos_perdida_riesgos_operacionales

  1. 1. 1Jordi García - ConsultorJordi GarcíaConsultorBASES DE DATOS DE EVENTOSDEPÉRDIDA POR RIESGOS OPERACIONALESLima, 6 al 15 de Septiembre 2011DIRIGIDO A ENTIDADES BAJO LASUPERVISIÓN DE LA SBS DE PERÚTALLER
  2. 2. 2Jordi García - ConsultorLas opiniones vertidas en el presente taller serealizan a título personal y no representan la opiniónde la Superintendencia de Banca, Seguros y AFP delPerú, ni del Banco Interamericano de DesarrolloNota del Consultor
  3. 3. 3Jordi García - Consultor!! Generalidades de riesgo operacional!! Definición de evento de riesgo operacional!! Fronteras del riesgo operacional!! Eventos simples y múltiples!! Valoración de los eventos de riesgo operacional!! Eventos temporales!! Eventos que no generan pérdidas!! Clases de riesgo!! Clases de riesgo: aclaraciones!! Líneas de negocio!! Ejercicios prácticos!! Preguntas y respuestasTemasIntroducción y generalidades
  4. 4. 4Jordi García - ConsultorEl gobierno corporativo es el conjunto de principios y normas que regulanel diseño, integración y funcionamiento de los órganos de gobierno de laempresa, con el fin de proteger sus intereses y los de sus accionistas,monitorizando la creación de valor y el uso eficiente de los recursosOBJETIVO ÚNICO:Crear un marco de gestión permanente quepermita controlar el Riesgo Operacional•!Identificar•!Medir•!Valorar•!MitigarGobierno Corporativo: Riesgo Operacional
  5. 5. 5Jordi García - ConsultorGestión del riesgo = Gestión de la incertidumbreRiesgos Riesgo de CréditoRiesgo de MercadoRiesgo OperacionalRiesgo de NegocioRiesgoReputacionalBasilea II: ”Riesgo operacional es el riesgo de pérdida resultante de una falta deadecuación o de un fallo de los procesos, el personal y los sistemas internos o bien poracontecimientos externos. Incluye el riesgo legal pero excluye el de negocio.”Definiciones: Riesgos del sistema financieroRiesgo Técnico
  6. 6. 6Jordi García - ConsultorDiseño delProcesoEjecuciónResultadoGestión del procesoAcciones orientadas alcontrol del riesgoLos procesos se cumplensegún lo planeadoProceso:Conjunto de acciones sistemáticas yrepetitivas por las que unas entradas(inputs) se convierten en un productoo servicio final (outputs)Riesgo operacional es aquél que existe en todo proceso, y cuya consecuenciaes que el resultado esperado no se produzca tal y como se había planeado, nopudiendo atribuir la falla al riesgo de crédito, de mercado o de negocioDefinición de RO en términos de procesos
  7. 7. 7Jordi García - ConsultorDefinición de evento de riesgo operacionalEvento de riesgo operacional:•! Es un incidente que se presenta en un proceso y cuya consecuencia esque el resultado final del mismo difiere de lo que se había planeado•! Es debido a una falta de adecuación o de un fallo de los procesos, elpersonal y los sistemas internos o bien por acontecimientos externos
  8. 8. 8Jordi García - Consultor•! Cualquier impacto negativo registrado en cuentas de resultados o en lasituación patrimonial de la Entidad, y que haya sido provocado a consecuenciade cualquier evento de riesgo operacional•! La pérdida está constituida por un registro contable contabilizado en cuentas deresultados, en rúbricas de gastos generales y/o cuentas patrimoniales•! No se contempla el contenido de cuentas transitorias, cualquiera que sea sunaturaleza•! Si se podrá registrar cualquier provisión realizada sobre eventos acaecidos y noreconocidos en resultados•! No formarán parte de la base de datos aquellos eventos que generen unimpacto positivo para la entidad (diferencias de Caja acreedoras, errores en laejecución de operaciones de valores, etc....)Definición de evento de riesgo operacionalPérdida por riesgo operacional
  9. 9. 9Jordi García - ConsultorDebilidades queprovocan la apariciónde factores de ROCausasProceso maldiseñadoEscasa formaciónprofesionalToda circunstancia quepuede desembocar enun evento de RORiesgosRiesgo de erroren el procesoSuceso que constituyela materialización del ROEventosError de entradade datosIndenmizaciónal clienteImpacto que produceel evento (pérdida)ImpactoDefinición de evento de riesgo operacionalSecuencia natural de los acontecimientos
  10. 10. 10Jordi García - ConsultorEventos típicos de riesgo operacional•! Errores operativos•! Fraudes (interno & externo)•! Actividad no autorizada•! Fugas de talento•! Incumplimiento normativo•! Caída de sistemas•! Fallos de programación•! Sobrepasar atribuciones/límites•! Accesos indebidos a sistemas•! Daños en edificios•! Incumplimiento de proveedores•! Pérdidas por litigiosEventos importantes•! 11S•! Barings Bank•! La conversión del Euro en Europa•! Gescartera•! Allied Irish Banks•! Madoff•! Terremoto en Chile (2010)Definición de evento de riesgo operacional
  11. 11. 11Jordi García - ConsultorRiesgoRESIDUALRiesgoINTRÍNSECOEs el riesgo que provocalos eventos de RORO inherente acualquier procesoCONTROLESActividades orientadas ala mitigación del riesgo- =¿Qué riesgo provoca eventos de RO?Es medible cualitativay cuantitativamenteSólo es mediblecualitativamenteSon mediblescuantitativamenteDefinición de evento de riesgo operacional
  12. 12. 12Jordi García - ConsultorPérdidas Directas!! Impacto directo en utilidades!! Costes de reparación!! Cuentas “puras” (100% RO)!! Fraudes!! Faltas en caja!! Multas!! Ocultas en otros gastos!! Consultoría de sistemas!! Gastos legales!! Otros gastos “correctivos”!"#$"%&#()#*+#,-.%#/.0./1("#CausaEventoImpactosPérdidadirecta PérdidaindirectaLucrocesanteCómo afecta el RO a los resultados: pérdidas directasDefinición de evento de riesgo operacional
  13. 13. 13Jordi García - ConsultorPérdidas Indirectas!! Ineficiencias:!! Reprocesos!! Horas extras!! Errores en diseño de procesos!! Otras tipologías:!! Errores en precios!! Compensaciones23&40#0#)"#/.0&"51)1("(6#$%.#3.0#(#(17/1)#/"$&8%"#CausaEventoImpactosPérdidadirecta PérdidaindirectaLucrocesanteDefinición de evento de riesgo operacionalCómo afecta el RO a los resultados: pérdidas indirectas
  14. 14. 14Jordi García - ConsultorLucro Cesante!! Pérdida de negocio/clientes!! Imposibilidad de cargar comisiones!! Clientes insatisfechos que reducensu actividad con el Banco!! Pérdida de personal clave!! Eventos reputacionales917/1)#(#1(0:;/"%#<#,(1%#CausaEventoImpactosPérdidadirecta PérdidaindirectaLucrocesanteDefinición de evento de riesgo operacionalCómo afecta el RO a los resultados: lucro cesante
  15. 15. 15Jordi García - ConsultorRRHH•!Falta de recursos•!Escasa formación•!Alta rotación•!Outsourcing•!Pérdidas de talentoGESTIÓNPROCESOS•!Controles deficientes•!Defectos en los sistemas•!Falta de segregación funcional•!Escasa seguridad informática•!Falta de planes de contingencia•!Exceso de manualidadFACTORESINTERNOSFACTORESE!X!TERNOS•!Desastres•!FraudeCausas que producen eventos de RODefinición de evento de riesgo operacional
  16. 16. 16Jordi García - ConsultorGestión del Riesgo Operacional2 maneras de gestionar el riesgo operacionalIdentificando riesgos y controles antesde que sucedan los eventos (gestiónproactiva)Enfoque Cualitativo“ex-ante”Los eventos ocurridos nos sirven debase para identificar el riesgo (gestiónreactiva)Enfoque Cuantitativo“ex-post”Ambos modelos de gestión deben coexistirDefinición de evento de riesgo operacional
  17. 17. 17Jordi García - ConsultorFronteras del riesgo operacionalRiesgo asociado a la insolvencia de las contrapartidas(clientes) a las que la entidad ha prestado, garantizado ovendido productos.Riesgo de crédito=#Riesgo de pérdidas debido a los movimientos de precios enlos mercados (tasas de interés, tipos de cambio, precios delas acciones en bolsa, etc…) en las posiciones que laentidad tiene abiertasRiesgo de mercado>#No forman parte del riesgo operacionalRiesgo asociado a falta de liquidez que impida a la entidadatender sus necesidades de caja para hacer frente a susobligaciones de pagoRiesgo de liquidez?#
  18. 18. 18Jordi García - ConsultorFronteras del riesgo operacionalRiesgo de inversión o desinversión en negocios oproductos, debido al entorno económico, decisioneserróneas o inadaptación a los cambiosRiesgo estratégico@#Riesgo asociado a la marcha del negocio por caídas en laactividad, en las ventas o estrechamiento de márgenes, sincapacidad de reacción para contrarrestarloRiesgo de negocioA#Riesgo asociado a la implantación de proyectos porqueéstos no cumplan con las expectativas o porque sesobrepasen los presupuestosRiesgo de proyectoB#No forman parte del riesgo operacionalEs consecuencia de los demás riesgos. Es el riesgoasociado a un cambio en la percepción de los“stakeholders” (grupos de interés) con respecto a laEntidad, perjudicando su imagen y por consiguienteafectando a su capacidad de generar negocioRiesgo reputacionalC#
  19. 19. 19Jordi García - ConsultorEventossimplesUn evento simple es aquél que genera un soloimpacto en la contabilidad.Ejemplo: Una multa por incumplimiento normativoEventosmúltiplesUn evento múltiple es aquél que genera variosimpactos en la contabilidad.Ejemplo: Un fraude de tarjetas de crédito que afectaa muchos clientesEventos simples y múltiplesDepende del número de impactos
  20. 20. 20Jordi García - ConsultorEventosmonolíneaUn evento monolínea es aquél que afecta a una solalínea de negocio.Ejemplo: Una multa por incumplimiento normativoEventosmultilíneaUn evento multilínea es aquél que afecta a variaslíneas de negocio.Ejemplo: Un desastre en un edificio en el que estánubicadas dos líneas de negocio.Eventos simples y múltiplesDepende del número líneas de negocio afectadas
  21. 21. 21Jordi García - ConsultorSimpleMúltipleMonolínea Multilíneaevento simple queafecta sólo auna LdNevento simpleque afecta avarias LdNsevento múltipleque afecta sólo auna LdNevento múltipleque afecta avarias LdNsNúmero de líneas de negocioNúmerodeimpactosEventos simples y múltiplesSi se combina todo…
  22. 22. 22Jordi García - Consultor•! Se realiza consolidando en un solo importe el impacto económico de losdiversos tipos de pérdidas, aunque se encuentren registradas en cuentasdiferentes•! Cada evento informado integra todos los componentes de la pérdidaindependientemente de la cuenta donde estén registrados•! La valoración se basa en la información contenida en los registros contables•! Incluirá costes de oportunidad (intereses y gastos financieros), pero no el lucrocesante derivado de eventuales pérdidas de negocio•! Cuando interviene alguna variable de mercado, (tipo de cambio, de interés,precio de activos financieros, etc.) la pérdida se calcula aplicando los preciosexistentes en el momento de la identificación del evento (momento en el que laoperación deba ser anulada o regularizada)Valoración de los eventos de riesgo operacionalCuantificación
  23. 23. 23Jordi García - Consultor•! Todos los eventos se reportan en moneda local, independientemente de ladivisa en que se haya registrado el evento, al tipo de cambio existente en lafecha de registro contable•! Activo fijo e inmaterial. Con el fin de aplicar un criterio único:•! Activos sustituidos. Se considera pérdida el precio de reposición del activo,(importe de adquisición o el valor presente de las obligaciones contraídas)•! No se tienen en cuenta las mejoras tecnológicas que pueda incorporar elnuevo equipamiento•! Activos no reemplazados. La pérdida se valora teniendo en cuenta elprecio de mercado del activo en el momento de producirse el evento•! En el supuesto de que no sea conocido, la pérdida se registraconsiderando el valor del activo en librosCuantificación (2)Valoración de los eventos de riesgo operacional
  24. 24. 24Jordi García - Consultor•! En determinadas circunstancias un evento de riesgo operacional puede tener unimpacto definido y cuantificable, aun cuando no se encuentre reflejado encuentas de resultados•! Ejemplo: Si por error se omite el cobro de comisiones y una vez descubiertala omisión no existe posibilidad práctica o legal de efectuarlo, se registraráel evento como si se tratara de una pérdida realmente contabilizada•! Provisiones. Habitualmente el evento se registrará en el momento en que seaconocido su impacto definitivo•! No obstante, en ocasiones, el impacto de un evento de riesgo operacional puederegistrarse mediante una provisión antes de que el importe exacto de la pérdidasea definitivamente conocidoOtras pérdidasValoración de los eventos de riesgo operacional
  25. 25. 25Jordi García - Consultor•! Los costes o gastos extraordinarios soportados por la ocurrencia del evento•! En caso de existir, simultáneamente, efectos positivos y negativos se calcularáel importe neto de ambos•! Los costes de oportunidad en términos financieros (intereses y comisiones nopercibidos)•! El evento se computa por su importe bruto sin deducir la recuperaciónconseguida mediante gestiones realizadas una vez reconocido el evento y/o porlos seguros contratados para la mitigaciónSe incluyenValoración de los eventos de riesgo operacional
  26. 26. 26Jordi García - Consultor•! Costes internos resultado de la dedicación de miembros de la plantilla a laresolución del evento así como el coste de eventuales horas extraordinarias.•! El importe de los contratos de mantenimiento formalizados previamente paraevitar o mitigar determinado tipo de eventos, así como el importe de las primas deseguro satisfechas para la cobertura de siniestros.•! Coste de las mejoras realizadas para evitar futuros eventos de riesgooperacional.•! Coste del asesoramiento jurídico cuando el Banco renuncia a seguir adelante conun proceso legal.•! Errores en la contabilidad de gestión.•! Lucro cesante asociado al evento (operaciones no materializadas o pérdidas denegocio derivadas del mismo).Se excluyenValoración de los eventos de riesgo operacional
  27. 27. 27Jordi García - ConsultorUn evento temporal es aquél que constituye una distorsión temporal de la cuenta deresultados. Cuando se soluciona el problema, la cuenta de resultados se quedacomo si el evento no hubiera ocurrido•! El caso más común es cuando a un cliente se le cobra un tasa de interés mayorque la pactada en contrato. El cliente se da cuenta y reclama. El Banco realiza unajuste a resultados para compensar al cliente.•! Errores en la contabilidad que sobreestiman los resultados de la empresaExcepciones:•! Hay casos donde la cuenta de resultados sí se ve afectada. Pensemos en uncaso en que la cuenta de resultados se ha visto afectada durante varios años porun error. La empresa espera una demanda de los accionistas, pues el dividendo yel precio de la acción de han visto reducidos. El coste del litigio (indemnizaciones,costes judiciales, etc…) representarían, en este caso, la valoración del eventoEn general, no constituyen pérdidaEventos temporales
  28. 28. 28Jordi García - ConsultorEventos que no generan pérdidasRiesgoRESIDUALRiesgoINTRÍNSECOEl riesgo residual esnulo ya que no se haproducido ningunapérdida quedeba registrarseEl riesgo intrínseco produceun evento de ROCONTROLESLos controles funcionancorrectamente y detectanel evento antes de que seproduzca el impacto- =•! Muchas entidades registran los eventos que no generan pérdidas en otrasbases de datos (centrales o departamentales) con el fin de mejorar susprocesos de gestión•! También constituyen una fuente de información para la elaboración de los KRI(Key Risk Indicators)
  29. 29. 29Jordi García - ConsultorClases de riesgo y líneas de negocioResolución SBS 2116-2009 de 2/4/09SBS de Perú ha publicado la presente resolución que obliga las entidadesreguladas (Entidades Financieras, Aseguradoras y AFP) a controlar su riesgooperacional:•! Involucrando al Directorio•! Implicando a la Gerencia•! Establece la necesidad de un Área de Riesgo Operacional•! Con políticas y herramienta de gestión•! Estableciendo clases de riesgo y líneas de negocio•! Creación de una base de datos de eventos•! Comités de riesgos para la gestión•! Reporting básico•! Implicando a auditores internos, externos y agencias de rating
  30. 30. 30Jordi García - ConsultorClases de riesgo
  31. 31. 31Jordi García - ConsultorClases de riesgo
  32. 32. 32Jordi García - ConsultorClases de riesgo
  33. 33. 33Jordi García - ConsultorClases de riesgo
  34. 34. 34Jordi García - Consultor•! Debe existir intencionalidad y ánimo de lucro•! Para poder calificar un evento de fraude es necesario evaluar la intencionalidadcon que se han realizado las acciones que desencadenaron la pérdida,diferenciando si existe o no ánimo de lucro•! Existe ánimo de lucro cuando la persona que comete la acción persigue unbeneficio personal ilícito (obtención de provecho o enriquecimiento para símismo o para un tercero, en perjuicio de la entidad)•! Si ha existido intención de provocar un daño sin ánimo de lucro el evento seclasificará en Daños en Activos Físicos o en Seguridad de los Sistemas...y para que se clasifique como Fraude interno•! Colaboración o participación interna. Se precisa el concurso de una personavinculada con la entidadClases de riesgo: aclaracionesFraudes
  35. 35. 35Jordi García - Consultor•! Existe Fraude Interno, Robo y Fraude si se cumplen las siguientes condiciones:intencionalidad, existencia de ánimo de lucro e intervención de una personavinculada a la entidad•! La diferenciación entre Robo y Fraude y Actividad no autorizada, se realizaráatendiendo al rango de la norma incumplida (si se incumple un a Ley estatalserá Fraude, si se incumple una norma interna, entonces será Actividad noAutorizada•! Un evento que reúna las tres condiciones exigidas se clasificará como “FraudeInterno. Robo y Fraude” si la acción puede ser tipificada como delito según lalegislación vigente (código penal...) y sea sancionable por los órganosjurisdiccionales.Clases de riesgo: aclaracionesFraude interno
  36. 36. 36Jordi García - Consultor•! Un evento se clasifica como “Fraude Interno. Actividad no autorizada” cuandoes cometido por una persona vinculada a la entidad, con ánimo de obtenerbeneficio para sí mismo o para un tercero; aunque en principio no puedaasociarse directamente a una ganancia económica, y se haya originado comoconsecuencia del incumplimiento de la política, normas y procedimientosinternos de la entidad y facultades o atribuciones otorgadas sin que la acciónpueda ser calificada de delitoClases de riesgo: aclaracionesActividad no autorizadaFraudeinterno
  37. 37. 37Jordi García - Consultor•! Se clasifica en este grupo cualquier fraude cometido por una persona ajena a laEntidad•! Aquellos eventos en que se demuestre la existencia de colaboración oparticipación de una persona vinculada a la entidad se clasificarán como FraudeInterno•! Seguridad de los sistemas. En esta subcategoría se clasifican las pérdidasprovocadas por una acción externa mediante la vulneración de la integridad delos sistemas informáticos de la entidad utilizando los sistemas de comunicaciónexistentes o las utilidades puestas a disposición de terceros•! Si las pérdidas se deben a la sustracción de soportes magnéticos, bases dedatos, información confidencial (códigos de acceso, claves, relación decontratos, etc.) mediante algún procedimiento físico, la pérdida originada seclasificará dentro del apartado de “Fraude externo. Robo y fraude”Clases de riesgo: aclaracionesRobo y Fraude, Seguridad de los SistemasFraudeexterno
  38. 38. 38Jordi García - Consultor•! Toda pérdida originada por daños sufridos en activos materiales de la entidad,se clasificará en esta categoría. Se incluirán, asimismo, los costes relacionadoscon eventuales pérdidas humanas causadas por desastres naturales, actos deterrorismo, etc•! Cuando el daño se deba a un fraude externo o interno, no se clasificará en estacategoríaDaños a activos materialesClases de riesgo: aclaraciones
  39. 39. 39Jordi García - Consultor•! Las pérdidas causadas por fallos en los sistemas informáticos se clasificarán dentrode esta categoría•! Se considera un “fallo en los sistemas informáticos” al deficiente funcionamiento del“hardware” o equipamiento (cualquiera que sea su ubicación) y al “software” cuyodesarrollo y mantenimiento sea competencia exclusiva de la Unidad de Sistemas deInformación de la Entidad•! En consecuencia, los errores involuntarios originados por el uso inadecuado deaplicaciones departamentales mantenidas por el usuario y otras herramientasofimáticas puestas a su disposición, tales como hojas de cálculo, tratamientos detexto, etc. se clasificarán en la categoría “Ejecución, entrega y gestión de procesos”•! También se incluirán en este grupo los eventos derivados de interrupciones dealgún servicio (energía eléctrica, líneas de comunicaciones, -voz y datos-, etc.) quepuedan desencadenar fallos en los sistemasClases de riesgo: aclaracionesInterrupción del negocio y fallos en los sistemas
  40. 40. 40Jordi García - ConsultorEn esta categoría se incluyen todas las pérdidas relacionadas con la gestión deRecursos Humanos:•! Despidos improcedentes (que no respondan a decisiones estratégicas ode negocio)•! Costes relacionados con eventuales demandas por incumplimientos deacuerdos laborales, de políticas de selección y contratación, prácticasdiscriminatorias, etc.•! Multas e indemnizaciones satisfechas como consecuencia delincumplimiento de la normativa laboral y de las condiciones deSeguridad e Higiene en el trabajo, etc.Relaciones laborales y seguridad en el puesto de trabajoClases de riesgo: aclaraciones
  41. 41. 41Jordi García - ConsultorSe incluyen en esta categoría las pérdidas derivadas de errores en el procesamiento deoperaciones o en la gestión de procesos, así como de relaciones con contrapartescomerciales y proveedores•! En consecuencia, se encuadrará dentro de este grupo toda pérdida originada por unevento en el que concurran las siguientes condiciones:•! La pérdida haya sido provocada por acción u omisión en la ejecución deoperaciones, errores involuntarios cometidos en la operativa y gestión deprocesos•! Que la transacción origen de la pérdida no se encuentre vinculada al proceso decomercialización de productos o serviciosClases de riesgo: aclaracionesEjecución, entrega y gestión de procesos
  42. 42. 42Jordi García - Consultor•! Este subgrupo recogerá todos los eventos que no tengan cabida en el resto de losapartados de esta categoría. Es decir la asignación se realizará por exclusión•! En particular, se incluirán todos los eventos que supongan una pérdida directapara la entidad, como consecuencia de:•! errores en la introducción y mantenimiento de datos•! ejecución deficiente de procedimientos de control•! comunicaciones realizadas a otras contrapartidas y corresponsales•! en general, cualquier fallo en el funcionamiento de los procesoshabituales de la entidad no contemplados en las siguientes subcategoríasClases de riesgo: aclaracionesRecepción, ejecución y mantenimiento de operacionesEjecución,entregaygestióndeprocesos
  43. 43. 43Jordi García - ConsultorEn este apartado se incluirá cualquier pérdida ocasionada por erroresinvoluntarios en el suministro de información obligatoria (en contenidos y plazosde entrega) que deba remitirse a:•! clientes•! inversores•! organismos e instituciones, etc.cualquiera que sea el medio por el que se cursen, excepto la transmisiónmediante sistemas telemáticos, en cuyo caso, la pérdida se clasificará como“Incidencias en el negocio y fallos en los sistemas”Seguimiento y presentación de informesClases de riesgo: aclaracionesEjecución,entregaygestióndeprocesos
  44. 44. 44Jordi García - ConsultorSe incluirán las pérdidas ocasionadas por:•! Errores cometidos en el proceso de formalización de cualquier tipo decontratos (activos, pasivos o de servicios) que ocasionen la pérdida odefectos de forma en los mismos (de clientes, proveedores,contrapartidas, etc.), o por no haberse formalizado ningún documento•! Deficiencias en la documentación y justificación de toda clase deoperaciones que afecte a la fuerza ejecutiva del contrato o suponga eldeterioro de la posición mantenida por la entidad en su defensa jurídicaClases de riesgo: aclaracionesAceptación de clientes y documentaciónEjecución,entregaygestióndeprocesos
  45. 45. 45Jordi García - Consultor•! Se recogen en esta subcategoría las pérdidas provocadas por la erróneaejecución o negligente tratamiento de instrucciones y órdenes impartidas porclientes, ocasionados por el uso indebido de la cuenta del cliente, la ejecuciónerrónea de cualquier tipo de instrucciones, la demora en su tramitación, etc.•! Cuando el quebranto sea consecuencia de fallos en los procesos internos,normalmente tendrán repercusión sobre un amplio colectivo de clientes. En estecaso el evento se clasificará en la subcategoría “Recepción, ejecución ymantenimiento de operaciones”•! Si el control y ejecución de estas instrucciones reside en los sistemas deinformación de la entidad, la pérdida provocada por un defecto en sufuncionamiento se clasificará como “Interrupción de negocio y Fallos en losSistemas”Gestión de cuentas de clientesClases de riesgo: aclaracionesEjecución,entregaygestióndeprocesos
  46. 46. 46Jordi García - ConsultorSe incluyen en este capítulo las pérdidas causadas por:•! El incumplimiento involuntario de obligaciones contractuales de laentidad con otras contrapartidas (no clientes)•! Las pérdidas ocasionadas a consecuencia de diferencias resueltas poracuerdo directo entre partes o conciliación alcanzada mediante laintervención de un tercero para dirimir una controversiaContrapartes comercialesClases de riesgo: aclaracionesEjecución,entregaygestióndeprocesos
  47. 47. 47Jordi García - ConsultorCon frecuencia, la realización de una parte de los procesos de la Entidad sesubcontratan con empresas de servicios•! En este grupo se clasificarán, exclusivamente, los eventos que ocasionenpérdidas derivadas de litigios mantenidos con proveedores y distribuidores engeneral•! Cualquier interrupción o deficiencia en la actividad de un proveedor que tengaconsecuencias negativas en la calidad de los servicios prestados o afecte alcorrecto funcionamiento de los procesos de la entidad se clasificará en lasubcategoría “Recepción, ejecución y mantenimiento de operaciones” o encualquier otra categoría que pudiera corresponder en aplicación de los criteriosde clasificación descritosClases de riesgo: aclaracionesDistribuidores y proveedoresEjecución,entregaygestióndeprocesos
  48. 48. 48Jordi García - ConsultorEn este grupo se integran “las pérdidas derivadas del incumplimiento involuntario onegligente de una obligación profesional frente a clientes concretos (incluidos requisitosfiduciarios y de adecuación) o de la naturaleza o diseño de un producto”Esta categoría es complementaria de la anterior. En general, recogerá todas las pérdidasoriginadas por multas, sanciones, indemnizaciones y gastos ocasionados por:•! Litigios por infracciones de la normativa vigente y del marco jurídico existente•! Reclamaciones de clientes que hayan sufrido un quebranto económico o seconsideren perjudicados por la acción u omisión de la entidad en lacomercialización de productos o serviciosClientes productos y prácticas empresarialesClases de riesgo: aclaraciones
  49. 49. 49Jordi García - Consultor•! En este apartado se integrarán los eventos que no pueden ser clasificadosen el resto de los grupos de esta categoría•! En particular, se incluirán todos los eventos generados por reclamacionesde clientes en relación con el proceso de comercialización de productos oserviciosClientesproductosyprácticasempresarialesAdecuación, divulgación de información y confianzaClases de riesgo: aclaraciones
  50. 50. 50Jordi García - ConsultorPertenecen a este grupo todas las pérdidas (multas, sanciones,indemnizaciones y gastos) originadas por infracciones de la regulación vigenteEn particular, se incluirán dentro de este grupo los eventos relacionados con:•! Prácticas ajenas a la competencia leal•! Utilización de información privilegiada en beneficio de la entidad•! Comisión de actividades ilícitas en relación con el blanqueo de dinero,evasión de capitales, etc.También se incluirán dentro de esta subcategoría la pérdidas originadas por lautilización de una política de ventas agresivaClientesproductosyprácticasempresarialesPrácticas empresariales o de mercado improcedentesClases de riesgo: aclaraciones
  51. 51. 51Jordi García - ConsultorLas pérdidas ocasionadas por sanciones y penalizaciones a consecuencia de:•! La comercialización de productos sin la preceptiva autorización•! Reclamaciones de clientes perjudicados por la utilización de modelosde valoración erróneos, sistemas de análisis de riesgo defectuosos,etc.ClientesproductosyprácticasempresarialesClases de riesgo: aclaracionesProductos defectuosos
  52. 52. 52Jordi García - ConsultorFormarán parte de este grupo todos los eventos cuyas pérdidas han sidoocasionadas por reclamaciones de clientes que consideran se ha hecho unuso inadecuado de los poderes otorgados a la entidad en:•! La gestión discrecional de patrimonios•! El cumplimiento de las restricciones o límites impuestos en la gestiónfiduciaria•! La investigación previa necesaria para la realización de inversionesClientesproductosyprácticasempresarialesClases de riesgo: aclaracionesSelección, patrocinio y riesgos
  53. 53. 53Jordi García - Consultor•! Dentro de este apartado se clasificará cualquier indemnización satisfecha aclientes como resultado de pérdidas provocadas por recomendacioneserróneas y asesoramientos deficientes•! En particular, se incluirán en este apartado las pérdidas originadas por laactividad de asesoramiento prestada en los segmentos de negocio de BancaPrivada y Banca de Inversiones, así como otras pérdidas originadas porreclamaciones de clientes perjudicados por las recomendaciones realizadaspor la entidad en servicios tales como la tramitación de testamentarías,asesoramiento fiscal, etc...ClientesproductosyprácticasempresarialesClases de riesgo: aclaracionesActividades de asesoramiento
  54. 54. 54Jordi García - ConsultorClasificadoEventoy/oPérdidaEs un tipo deevento/ pérdidade BasileaSiNOQué causó laPérdida/EventoLa respuesta debepermitir laclasificaciónSiNopregunte¿Por qué?ClasificadoEventoy/oPérdidaEs un tipo deevento/ pérdidade BasileaSiNOQué causó laPérdida/EventoLa respuesta debepermitir laclasificaciónSiNopregunte¿Por qué?Clases de riesgo: aclaracionesAlgoritmo de clasificación de eventos
  55. 55. 55Jordi García - ConsultorBasel L1 Basel L2 ORX L1 ORX L2Internal Fraud Theft and FraudUnauthorized ActivityInternal Fraud Internal Theft and Fraud (General)Unauthorized ActivityInternal Systems Security (for profit)External Fraud Theft and Fraud ext.Systems SecurityExternal Fraud External Theft and Fraud (General)External Systems Security (for profit)Malicious Damage Wilful DamageTerrorism[1]Syst. Security External – Wilful damage[2]Syst. Security Internal – Wilful Damage[3]Employee Practices and WorkplaceSafetyEmployee RelationsSafe EnvironmentDiversity and DiscriminationEmployee Practices and Workplace Safety Employee RelationsSafe Workplace EnvironmentEmployment Diversity and DiscriminationClients, Products and Business Practices Suitability, Disclosure and FiduciaryImproper Business or Market PracticesProduct FlawsSelection, Sponsorship and ExposureAdvisory ActivitiesClients, Products and Business Practices Suitability, Disclosure and FiduciaryImproper Business or Market PracticesProduct FlawsSelection, Sponsorship and ExposureAdvisory ActivitiesDamage to Physical Assets Natural Disasters Disasters and Public Safety Disasters and Other EventsAccidents and Public SafetyBusiness Disruptions and System Failures Systems Technology and Infrastructure Failures Technology and Infrastructure FailuresExecution, Delivery and ProcessManagementTransaction Capture, Execution andMaintenanceCustomer Intake and DocumentationCustomer / Client Account ManagementMonitoring and ReportingFinancial Counterparty EventVendor EventExecution, Delivery and ProcessManagementTransaction Capture, Execution andMaintenanceCustomer Intake and Account ManagementMonitoring and Reporting ErrorsLas clases de RO de Basilea y la SBS son similaresClases de riesgo: aclaraciones
  56. 56. 56Jordi García - ConsultorLíneas de negocio (Empresas Sistema Financiero)
  57. 57. 57Jordi García - ConsultorLíneas de negocio (Compañías de seguros)
  58. 58. 58Jordi García - ConsultorLíneas de negocio (Compañías de seguros)
  59. 59. 59Jordi García - ConsultorLíneas de negocio (AFP)
  60. 60. 60Jordi García - ConsultorBasel Business Lines ORX Business LinesBusinessUnit Level 1 Level 2 Level 1 Level 2Activity GroupsCorporateFinanceCorporate FinanceMunicipal/GovernmentFinanceMerchantBankingAdvisory ServicesCorporateFinanceCorporate FinanceMuni cipal/GovernmentFinanceAdvisory ServicesMergers and Acquisitions, Underwriting, Privatizations,Securitization, Research, Debt(Government andHigh Yield),Equity,Syndications, IPO, Secondary PrivatePlacementsInvestmentBankingTrading& Sales SalesMarket MakingP roprietary PositionsTreasuryTrading& Sales EquitiesGlobalMarketsTreasury/FundingCorporate InvestmentsFixedIncome, Equity, ForeignExchange, Commodities, Credit,Funding,OwnPositionSecurities, Lending andRepos,Brokerage,Debt,Cross –Industrial HoldingsRetail Banking Retail Lending andDeposits, BankingServices,Trusts andEstatesRetail BankingCard Services Merchant/Commercial/ CorporateCards, Private Label andReta ilRetail Banking Retail BankingCard ServicesPrivateBankingPrivateBanking Private Lending andDeposits,BankingServices,Trusts andEstates, InvestmentAdviceCommercialBankingCommercialBanking CommercialBankingCommercialBanking ProjectFinance,RealEstate,Export Finance, TradeFinance,Factori ng, Leasing, Loans,Guarantees, Bills of ExchangePayment andSettlementExternalClients Clearing CashClearingSecurities ClearingPayments andCollections,Funds Transfer,Non - securitiesClearing andSettlement,Check ProcessingCustody Services Escrow,Depository Receipts, Securities Lending(Customers),Corporate Actions; Issuer andPaying Agents, SecuritiesSettlement.CorporateTrust &AgencyIncludes PrimeBrokerageBankingAgencyServicesCu stodyCorporate AgencyCorporateTrustAgency ServicesCustom Services SpecialFinancialServices Performed on Agency Basis.Discretionary FundManagementAssetManagementNon-Discretionary FundManagementAssetManagementFund Management Pooled, Segregated,Retail,Institutional,Closed,OpenRetailBrokerageRetail Brokerage Retail Brokerage Retail Brokerage Execution and Full ServiceOtherN/A Corporate Items Corporate Items Limitedcategory for items thancan only becategorized atcorporatelevel, e.g., kidnapping of chairman,corporate - levelfinancialreporting events, etc.Líneas de negocioLas LdN de RO de Basilea y la SBS son similares
  61. 61. 61Jordi García - Consultor!! La Unidad de Riesgo Operacional!! Cómo localizar los eventos de RO en mi empresa!! Áreas informantes!! Eventos abiertos, eventos cerrados!! Capacitación interna para la captura!! Experiencias de distintas entidades!! Ejercicios prácticos!! Preguntas y respuestasTemasOrganización para la captura de eventos
  62. 62. 62Jordi García - ConsultorLa mayor de parte de empresas tiene una estructura organizativa donde lasdiferentes Gerencias dependen de una Dirección General que a su vez dependede un Consejo de Administración (Directorio)La Unidad de Riesgo OperacionalGerenciaGeneralGerenciade RiesgosGerenciaVentasGerenciaMediosGerenciaRRHHUna de la Gerencias es la Gerencia de Riesgos. En ocasiones el Área de Riesgosforma parte de otra Gerencia, por ejemplo, la de Ventas
  63. 63. 63Jordi García - ConsultorLa Gerencia de Riesgos se suele estructurar con base en los riesgos quegestiona la Entidad, que como mínimo son tres: Crédito, Mercado y OperacionalLa Unidad de Riesgo OperacionalGerencia deRiesgosRiesgoOperacionalRiesgo MercadoRiesgo CréditoPuede haber más unidades dentro de esta Gerencia, por ejemplo, Control Interno,Metodologías (modelos de medición, scoring, ratings, etc…)
  64. 64. 64Jordi García - ConsultorLa Unidad de Riesgo Operacional tiene casi siempre dos subunidades, una degestión cualitativa y otra de gestión cuantitativaLa Unidad de Riesgo OperacionalUnidad de RiesgoOperacionalGestión cuantitativaGestión cualitativa
  65. 65. 65Jordi García - ConsultorEl ciclo de gestión del Riesgo Operacional tiene 4 etapas1Identificar3Valorar4Controlar2Medir!! Identificar es averiguar e inventariar los riesgosoperacionales a los está expuesta la entidad através de sus procesos!! Medir es utilizar una métrica cualitativa y/ocuantitativa para dimensionar cada riesgoidentificado!! Valorar es establecer un juicio absoluto orelativo sobre la magnitud de cada riesgo!! Controlar es poner en marcha medidas demitigación y de seguimiento con el objetivodisminuir o anular la exposición al riesgoLa Unidad de Riesgo Operacional
  66. 66. 66Jordi García - ConsultorLa Unidad de Riesgo OperacionalGestión cualitativa del RO!! Implantación de una base de datos de factores deriesgo* operacional de las distintas unidades.Clasificación por clases de RO!! Medición de los factores de RO con base enestimación de impacto y probabilidad/frecuencia!! Valoración de la gravedad de los factores de riesgoa través de Comités de RO en las unidades!! Establecimiento de planes de mitigación para losfactores más graves!! Comité de RO a nivel Banco donde se revisen losfactores más importantes y se tomen decisiones dealto nivel de mitigaciónDISTRIBUCIÓN POR CLASE DE RIESGOFRAUDEEXTERNO5%PROCESOS46%FRAUDEINTERNO10%TECNOLOGÍA16%RR HH8%PRÁCTICASCOMER.6%EXTERNO9%*Un factor de riesgo es toda circunstancia quepuede desembocar en un evento de RO
  67. 67. 67Jordi García - ConsultorGestión cuantitativa del RO!! Implantación de una base de datos de pérdidas porRO. Los eventos se clasifican en por Líneas deNegocio y Clases de Riesgo!! Disponer de una base de datos externa paracompletar los datos internos (opcional)!! Las Áreas deben analizar los eventos que seregistran para determinar las causas que losprovocan e implantar medidas de mitigación!! Los eventos más importantes deben tratarse en elComité a nivel de Banco!! En un futuro: cálculo del capital en riesgo medianteuna herramienta específicaDISTRIBUCIÓN DE IMPORTES POR CLASEPRÁCTICASCOMER.6%EXTERNO3%FRAUDEINTERNO20%TECNOLOGÍA2%RR HH1%FRAUDEEXTERNO25%PROCESOS43%La Unidad de Riesgo Operacional
  68. 68. 68Jordi García - ConsultorCómo localizar los eventos de RO en mi empresaCausaEventoImpactosPérdidadirecta PérdidaindirectaLucrocesante!! Pérdida directa: es la más fácil delocalizar, salvo determinados eventosque necesitan de la colaboración delas unidades!! Pérdida indirecta: es más difícil delocalizar que la directa porque estáoculta en los costos ordinarios!! Lucro cesante: no está en lacontabilidad, por tanto, no forma partede las bases de datos de RO. Sólopodemos realizar una estimaciónDificultadcreciente
  69. 69. 69Jordi García - ConsultorCómo localizar los eventos de RO en mi empresa3 caminos para localizar los eventos de ROConsiste en mapear todos los procesos de la entidad,averiguar donde se pueden producir eventos y establecerun sistema de reportingProcesos=#Se trata de recorrer la estructura de la empresa y cruzarlacon todas las clases y subclases de riesgo y averiguarquien tiene la informaciónEstructura de la empresay clases de RO>#La contabilidad de la empresa es una buena fuente deinformación. Hay que averiguar cuales son las Áreas quetienen la informaciónContabilidad?#
  70. 70. 70Jordi García - ConsultorDiseñoProcesosImplantación yejecuciónResultadosGESTIÓNAcciones orientadas alcontrol de la producción ydel Riesgo OperacionalLos procesos se cumplensegún lo planeadoProceso:Conjunto de acciones sistemáticas yrepetitivas por las que unos datos iniciales(inputs) se convierten en un producto oservicio final (outputs)Cómo localizar los eventos de RO en mi empresaLocalización a través de los procesos
  71. 71. 71Jordi García - ConsultorJerarquía de procesosProcesoSubprocesoTarea/ActividadMacroproceso Recursos HumanosNóminasPago de nóminasEmisión de cheque, pago en efectivo, etcCómo localizar los eventos de RO en mi empresa
  72. 72. 72Jordi García - ConsultorEn este punto es donde seconocen los eventos de ROLas empresas que gestionan el RO con base en procesos,siguen un esquema parecido a esteCómo localizar los eventos de RO en mi empresa
  73. 73. 73Jordi García - ConsultorA través de la estructura organizativa y de las clases de riesgoCómo localizar los eventos de RO en mi empresaFraude InternoFraude ExternoProcesosPrácticas ComercialesRecursos HumanosTecnología??????Comercial TesoreríaMinorista Etc…??????????????????Desastres ? ? ? ?
  74. 74. 74Jordi García - ConsultorA través de la estructura organizativa y de las clases de riesgoCómo localizar los eventos de RO en mi empresa!! En primer lugar se establece contacto con los máximos responsables de la Líneade Negocio/Soporte, ya que es esencial que la Alta Dirección esté involucrada enel proceso de gestión del Riesgo Operacional!! Los responsables de la Línea de Negocio/Soporte designan a los interlocutores yles dan el mandato correspondiente!! Los interlocutores y el personal de Gestión Cuantitativa de la Unidad de RiesgoOperacional recorren toda la taxonomía de RO de la Unidad e identifican lasfuentes de información
  75. 75. 75Jordi García - ConsultorUna vez localizadas las fuente de pérdidas,éstas deben constituirse en áreas informantesÁreas informantes!! La Unidad Central de Riesgo Operacional, en coordinación con las personasdesignadas por la Línea de Negocio/Apoyo establecen el procedimiento medianteel cual se capturan los eventos de RO!! El procedimiento de cada LdN formará parte del Manual de Riesgo Operacional dela Entidad!! Las áreas informantes serán distintas en función del procedimiento seguido para laidentificación de los eventos de RO
  76. 76. 76Jordi García - ConsultorÁreas informantesLas empresas que se gestionan por procesos tienen un rolllamado Dueño del Proceso. Bajo su responsabilidadestaría el área informante de los eventos de ROProcesos=#Cada Línea de Negocio/Soporte constituye un áreainformante que puede estar encuadrada dentro de suUnidad de Gestión del ROEstructura de la empresay clases de RO>#Las empresas con un plan contable que diferencie elRiesgo Operacional suelen utilizar las Unidades de Controldel Gasto como áreas informantes de eventos de ROContabilidad?#Áreas informantes en función del modelo de gestión
  77. 77. 77Jordi García - ConsultorÁreas informantesÁreas informantes híbridas!! Las distintas formas de identificar los eventos de RO en la empresa no sonexcluyentes.!! Es totalmente factible utilizar un modelo mixto en el cual determinadastipologías de riesgo se obtienen en los procesos que las originan, otrasdirectamente de la contabilidad y otras en las líneas de negocioLo importante es que cualquiera que sea el modelo elegido, TODOevento de RO que se produzca en la empresa pueda ser capturado
  78. 78. 78Jordi García - ConsultorCapacitación interna para la captura de eventosEl personal de las áreas informantes debe estar bien capacitado!! La Unidad de Riesgo Operacional debe organizar cursos de capacitación para laspersonas que integran las áreas informantes!! La formación es esencial porque de ella depende la calidad de la información quese registra en las las bases de datos de eventos de RO!! Es conveniente realizar un plan de formación anual, o cuando se produzcannuevas contrataciones!! La Alta Dirección debe colaborar apoyando la celebración de los cursos deformación. RRHH colabora directamente en esta labor
  79. 79. 79Jordi García - ConsultorCapacitación interna para la captura de eventosTemario que debe cubrir el plan de formación!! Definiciones y generalidades de Riesgo Operacional!! Fronteras del Riesgo Operacional!! Explicación exhaustiva de las clases de riesgo, en todos los niveles que la Entidadhaya fijado en su metodología!! Líneas de negocio/soporte!! Valoración de eventos!! Eventos simples, eventos múltiples!! Eventos que impactan varias líneas de negocio/soporte!! Eventos abiertos, eventos cerrados!! Eventos temporales!! Entrenamiento en el software de reporting (si la Entidad lo tiene)!! Manejo de las provisiones por Riesgo Operacional!! Ejemplos y ejercicios sobre casos reales
  80. 80. 80Jordi García - ConsultorExperiencias de distintas entidadesEntidad A: modelo basado en procesosGerencia de Riesgos:Metodología de riesgosUnidad de Riesgo Operacional:Áreas informantes:Comités de RO:Capital por RO:No existe como talEn el Área de Presidencia (Chairman)En Operaciones y Sistemas (Área CEO)Ubicadas en los procesosEn Operaciones y SistemasMetodologías de riesgos•! Modelo eficaz•! Más rápido de implantarA favor•! Nadie tiene la visiónintegral de RO•! Las LdN no se sientenimplicadas en la gestiónEn contra
  81. 81. 81Jordi García - ConsultorExperiencias de distintas entidadesEntidad B: modelo basado en LdNGerencia de Riesgos:Metodología de riesgosUnidad de Riesgo Operacional:Áreas informantes:Comités de RO:Capital por RO:En el Área de PresidenciaEn el Área de RiesgosEn el Área de RiesgosEn las LdN y SoporteEn las LdN y SoporteEn el Área de Riesgos•! Riesgos tiene la visiónintegral de RO•! Implicación de las LdN enla gestiónA favor•! Más tiempo para implantar elmodelo (más personas queformar, etc…)En contra
  82. 82. 82Jordi García - ConsultorTemasConstrucción de la base de datos interna de eventos de RO!! Construcción de eventos partiendo de las pérdidas!! Tipos de pérdida!! Contabilización de las pérdidas!! Definición de datos a capturar!! Formatos de captura (campos de las BBDD)!! Parametrización!! Eventos múltiples!! Sistemas de captura de eventos!! Periodicidad de captura!! Ubicación de las bases de datos
  83. 83. 83Jordi García - ConsultorTemasConstrucción de la base de datos interna de eventos de RO!! Umbrales de captura!! Controles de calidad!! Bases de datos externas!! Comité de criterios!! Generación de informes!! Preguntas y respuestas
  84. 84. 84Jordi García - ConsultorCausa Evento PérdidaUna pérdida por RiesgoOperacional es unimpacto negativo en losresultados o en elpatrimonio de lacompañía, debido a unevento de RiesgoOperacionalLa causa es cualquiercircunstancia que puedagenerar factores deRiesgo OperacionalEs la materialización delRiesgo Operacional.Un evento de RiesgoOperacional es un sucesoque altera el curso normalde un procesoConstrucción de los eventos partiendo de las pérdidas
  85. 85. 85Jordi García - ConsultorUna base de datos depérdidas es un conjuntode apuntes contablesUna base datos de eventos consisteen agrupar todas las pérdidas queconstituyen un mismo eventoPérdidas EventosA veces las pérdidas no son lo mismo que los eventosP 1P 2P 3P 4P 5P 6P 7P 8P 9Evento 1Evento 2Evento 3Evento 4Evento 5Construcción de los eventos partiendo de las pérdidas
  86. 86. 86Jordi García - Consultor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ipos de pérdidasSólo una parte del RO es fácilmente identificable
  87. 87. 87Jordi García - ConsultorCausaEventoPérdidaResponsabilidad LegalIncumplimiento regulatorioPérdidas o daños en activosIndemnizacionesPérdidas de efectivoPérdidas por fraudesFallidos de créditoPérdidas en mercadosGastos en juicios, litigios, etc...Toda clase de sanciones y multasEn inmuebles, en equipos. Pérdida de títulosA clientes, proveedores, empleadosDiferencia en caja y ATMs, pérdida timbres, sellos, etcMedios de pago, robos, estafas, etc...Fallidos de crédito debido a eventos de ROPérdidas en mercados debido a eventos de ROTipos de pérdidas
  88. 88. 88Jordi García - ConsultorTipos de pérdidasCausaEventoImpactosPérdidadirecta PérdidaindirectaLucrocesante!! Pérdida directa: es la más fácil delocalizar, salvo determinados eventosque necesitan de la colaboración delas unidades!! Pérdida indirecta: es más difícil delocalizar que la directa porque estáoculta en los costos ordinarios!! Lucro cesante: no está en lacontabilidad, por tanto, no forma partede las bases de datos de RO. Sólopodemos realizar una estimaciónDificultadcreciente
  89. 89. 89Jordi García - ConsultorCiclo de vida de un evento de Riesgo OperacionalContabilización de las pérdidas!! Los eventos de Riesgo Operacional tienen tres fechas relevantes que loscaracterizan:!! F1 La fecha de ocurrencia!! F2 La fecha de descubrimiento!! F3 La fecha, o las fechas de contabilización!! El tiempo transcurrido entre F1 y F3 puede ser muy corto!! Sin embargo, también puede ser muy largo (varios años)!! Depende de la naturaleza del evento
  90. 90. 90Jordi García - ConsultorCasuística entre F1, F2 y F3Contabilización de las pérdidasSiempre debe cumplirse esta condición lógicaF1<=F2<=F3Ocurre, se descubre y contabiliza el mismo díaF1=F2=F3Ocurre y se descubre el mismo día, pero se contabiliza másadelanteF1=F2<F3El evento ocurre, se descubre más adelante y se contabiliza elmismo día en que se descubreF1<F2=F3El evento ocurre, se descubre más adelante y se contabilizatodavía más tardeF1<F2<F3F1 OcurrenciaF2 DescubrimientoF3 Contabilización
  91. 91. 91Jordi García - ConsultorCalidad del modelo de gestiónContabilización de las pérdidasSiempre debe cumplirse esta condición lógicaF1<=F2<=F3Los días transcurridos entre la fecha de contabilización y la fechade descubrimiento son un indicador de calidad de las funcionesde RO, Control Interno y AuditoríaF3 – F2F1 OcurrenciaF2 DescubrimientoF3 ContabilizaciónLos días transcurridos entre la fecha de contabilización y la fechade ocurrencia son otro indicador de calidad todavía mejor que elanterior de las funciones de RO, Control Interno y AuditoríaF3 – F1
  92. 92. 92Jordi García - ConsultorEventos abiertos, eventos cerradosContabilización de las pérdidas•! Un evento se considera abierto mientras el proceso de investigación nohaya concluido, y por consiguiente, existe la posibilidad de que todavíase contabilicen más impactos•! Un evento se considera cerrado en el momento en que se realiza laúltima contabilización de los impactos, y no se espera ninguno más. Elproceso de investigación se da por terminado•! Es posible que en determinadas circunstancias en un evento que seconsideró cerrado aparezcan nuevas pérdidas que deban sumarse
  93. 93. 93Jordi García - ConsultorProvisionesContabilización de las pérdidas•! Las entidades financieras realizan provisiones en determinadascircunstancias:•! En cumplimiento de las normas contables de su país•! Por aplicación de criterios de prudencia financiera•! Cuando la probabilidad de que la pérdida se materialice es elevada•! Cuando se trata de eventos relacionados con litigios que tardan muchotiempo en resolverse•! Una gran parte de las provisiones están relacionadas con eventos de RiesgoOperacional, especialmente aquellos que derivan de litigios con clientes,empleados, proveedores o por demandas externas•! Los criterios de prudencia aconsejan incorporar a las BBDD los montos delas provisiones realizadas por eventos de RO. Cuando el evento se concretase cancela la provisión y se sustituye por el importe definitivo
  94. 94. 94Jordi García - Consultor4 posibles fuentes de informaciónSistema de captura de eventos de RO que deben incluircomo mínimo aquella información que la norma de la SBSestablece para las entidades que supervisaEventos de RO segúnla Norma de la SBS=#Además de la información mínima requerida, es importanteque las entidades recojan información adicional que puedaser útil para la gestiónInformación complemen-taria o extendida>#Las entidades pueden utilizar su BBDD de RO para recogeraquellos eventos que no han producido impacto en lacontabilidad (near misses)Eventos sin impactoen pérdidas?#Definición de datos a capturarAquellas entidades que estén suscritas a bases de datosexternas, deben incorporar a su BBDD los eventos quereciben del Consorcio al que pertenezcanEventos externos@#
  95. 95. 95Jordi García - ConsultorDatos mínimos según la Norma 2116-2009 de la SBSDefinición de datos a capturar•! Código de identificación del evento.•! Tipo de evento de pérdida (según tipos de eventos señalados en el Anexo 1).•! Línea de negocio asociada (nivel 1 y 2), según líneas señaladas en el Anexo 2 paraempresas del sistema financiero, Anexo 3 para las de seguros y Anexo 4 para las AFP•! Descripción corta del evento.•! Descripción larga del evento.•! Fecha de ocurrencia o de inicio del evento.•! Fecha de descubrimiento del evento.•! Fecha de registro contable del evento.•! Monto(s) bruto(s) de la(s) pérdida(s), moneda y tipo de cambio.•! Monto(s) recuperado(s) mediante coberturas existentes de forma previa al evento,moneda, tipo de cambio y tipo de cobertura aplicada.•! Monto total recuperado, moneda y tipo de cambio.•! Cuenta(s) contable(s) asociadas.•! Identificación si el evento está asociado con el riesgo de crédito (para empresas delsistema financiero) o con el riesgo de seguros (para empresas del sistema deseguros).
  96. 96. 96Jordi García - ConsultorInformación complementariaDefinición de datos a capturarLa creación de una BBDD de eventos de RO tiene una doble utilidad:•! Para el cálculo del capital en riesgo•! Para la gestión efectiva del ROCon el fin de mejorar la gestión se puede completar la información con algunosdatos que pueden ser de utilidad:•! Proceso: si la entidad cuenta con una estructura de procesos, esinteresante incluir un campo donde se refiera en que procesos se haproducido el evento•! Producto: si el evento se produjo en un producto o servicio que la entidadcomercializa, también en conveniente registrarlo•! Causas: las causas que han provocado el evento son muy importantespara la gestión, por tanto, es bueno registrarlas (puede haber más de una)
  97. 97. 97Jordi García - ConsultorInformación complementariaDefinición de datos a capturarProductos y serviciosLos bancos internacionales miembros de ORX han acordado una clasificacióngenérica de productos y servicios:1.! Productos de capital:•! Emisión de acciones•! Emisión de bonos•! Productos estructurados•! Titulizaciones•! Colocaciones privadas•! Financiación sinidicada2.! Servicios de finanzas corporativas:•! Fusiones y adquisiciones•! Servicios de asesoría
  98. 98. 98Jordi García - ConsultorInformación complementaria: productos y servicios (2)Definición de datos a capturar3. Productos derivados:•! Tasa fija•! Acciones•! Commodities•! FX y money market•! Repos y préstamo de valores•! Fondos de inversión•! Derivados de tipos de interés•! Derivados de crédito•! Derivados de FX•! Derivados de acciones•! Derivados de commodities•! Otros derivados
  99. 99. 99Jordi García - ConsultorInformación complementaria: productos y servicios (3)Definición de datos a capturar4. Productos de financiación minorista:•! Tarjetas de crédito/débito•! Financiación vehículos•! Leasing de vehículos•! Préstamos para estudios•! Hipotecas•! Líneas de financiación hipotecarias (HELOC)•! Otros préstamos al consumo•! Cartas de crédito personales o garantizadas
  100. 100. 100Jordi García - ConsultorInformación complementaria: productos y servicios (4)Definición de datos a capturar5. Créditos comerciales:•! Créditos comerciales e industriales•! Créditos comerciales para mejoras de la construcción•! Crédito para financiar la adquisición y construcción de bienesinmuebles•! Créditos para financiación de equipos y maquinaria•! Tarjetas de crédito para empleados de empresas•! Servicios de tarjetas de crédito para comercios•! Financiación de proyectos•! Trade finance•! Garantías y avales•! Financiación estructurada
  101. 101. 101Jordi García - ConsultorInformación complementaria: productos y servicios (5)Definición de datos a capturar6. Depósitos:•! Cuentas corrientes consumo•! Cuentas a plazo con preaviso de cancelación•! Cuentas corrientes de empresa•! Depósitos a plazo fijo•! Productos de inversión (planes de pensiones, etc…):7. Pagos y cobros, gestión de caja (cash management):•! Gestión de caja minorista•! Gestión de caja empresas•! Pagos electrónicos•! Pagos manuales•! Cámara de compensación (clearing)•! Pagos y cobros (settlement)•! Servicios de mercados organizados
  102. 102. 102Jordi García - ConsultorInformación complementaria: productos y servicios (6)Definición de datos a capturar8. Administración de activos:•! Servicios de custodia•! Acciones corporativas•! Servicios fiduciarios•! Intermediación minorista•! Servicios de asesoría en general•! Gestión de carteras•! Asesoría en la gestión de carteras9. Productos de inversión:•! Administración de fondos•! Administración de fondos tradicionales para instituciones•! Administración de fondos alternativos (hedge funds, etc…)10. Intermediación:•! Servicios de broker (intermediación en compra-venta)•! Asesoría de intermediación11. Productos no bancarios: (desastres, seguros, alquiler de vehículos, etc…)
  103. 103. 103Jordi García - ConsultorInformación complementariaDefinición de datos a capturarProcesosLos bancos internacionales miembros de ORX han acordado una clasificacióngenérica de procesos:1.! Diseño y desarrollo de productos y servicios:•! Investigación y análisis de mercado•! Desarrollo de productos y servicios2.! Marketing de productos y servicios:•! Investigación de mercado•! Publicidad•! Otros aspectos de marketing3.! Ventas:•! Asesoría previa•! Precios y presupuestos•! Chequeo de disponibilidad/límites•! Términos del contrato
  104. 104. 104Jordi García - ConsultorInformación complementaria: procesos (2)Definición de datos a capturar4. Mantenimiento de contrapartidas:•! Cuentas de clientes•! Relaciones con clientes•! Procesos de due diligence•! Préstamos fallidos5. Captura y documentación de transacciones:•! Captura de transacciones•! Confirmaciones y documentación•! Otros aspectos de marketing
  105. 105. 105Jordi García - ConsultorInformación complementaria: procesos (3)Definición de datos a capturar6. Entrega de productos y servicios:•! Recepción de órdenes de clientes•! Ejecución de órdenes de clientes•! Gestión de posiciones de tesorería•! Acciones corporativas propias•! Acciones corporativas de clientes•! Cálculo de comisiones•! Cálculo de intereses•! Gestión de colaterales•! Control del balance del banco•! Gestión de carteras de clientes•! Gestión de liquidez•! Gestión de activos de clientes (cajas de alquiler, etc…)•! Asesoría•! Estados financieros de clientes
  106. 106. 106Jordi García - ConsultorInformación complementaria: procesos (4)Definición de datos a capturar7. Pagos y cobros:•! Pagos y cobros•! Entrega libre de pago•! Pagos y cobros en efectivo8. Contabilización de transacciones:•! Contabilización9. Gestión de recursos humanos:•! Selección, contratación y despido•! Nóminas•! Viajes•! Otros aspectos de RRHH
  107. 107. 107Jordi García - ConsultorInformación complementaria: procesos (5)Definición de datos a capturar10. Tecnología y sistemas:•! Desarrollos y manteniendo•! Implantación•! Compras de tecnología•! Seguridad informática•! Infraestructura de la red•! Producción•! Mesa de ayuda e incidentes11. Reporting financiero e impuestos:•! Presupuesto•! Contabilidad•! Reporting (indicadores)•! Reporting financiero•! Impuestos
  108. 108. 108Jordi García - ConsultorInformación complementaria: procesos (6)Definición de datos a capturar12. Gestión del capital y liquidez:•! Gestión de capital y fondeo•! Gestión de inversiones corporativas13. Gestión de proveedores y outsourcing:•! Selección y contratación de proveedores y outsoucing•! Gestión del contrato14. Gestión de activos e inmuebles:•! Gestión de inmuebles•! Gestión de flotas de vehículos•! Higiene de los inmuebles•! Seguridad física•! Protección del entorno (aire, temperatura, humedad, etc…)•! Otros servicios internos
  109. 109. 109Jordi García - ConsultorInformación complementaria: procesos (7)Definición de datos a capturar15. Cumplimiento legal, Gobierno y Auditoría:•! Políticas y gobierno corporativo•! Reporting regulatorio no financiero•! Asesoría Jurídica•! Gestión de litigios•! Auditoría•! Administración de ética profesional (conflictos de interés, uso deinformación provilegiada, etc…)16. Gestión sistemas de riesgos:•! Control y supervisión de modelos y metodologías•! Seguros y recuperaciones•! Plan de continuidad de negocio17. Sin relación con procesos: (desastres, etc…)
  110. 110. 110Jordi García - ConsultorInformación complementariaDefinición de datos a capturarCausasMuchos son los bancos internacionales que han desarrollado una casuísticasobre las posibles causas de los eventos de riesgo. La variedad es tancompleja que de momento no se ha abordado la creación de una lista única.Los eventos de Riesgo Operacional se deben en ocasiones a una causa única,pero también se deben a una cadena de causas. Es conveniente registrarlastodas pues será útil a la hora de establecer planes de mitigación adecuados.Entre las causas más frecuentes, podemos señalar las siguientes:1.! Factor humano:•! Falta de capacitación•! Alta rotación•! Outsourcing•! Proceso de selección•! Política salarial y beneficios•! Fraude interno
  111. 111. 111Jordi García - ConsultorInformación complementaria: causas (2)Definición de datos a capturar2. Factor de diseño y gestión de procesos:•! Diseño del proceso•! Volúmenes•! Segregación funcional•! Control dual•! Manualidad•! Cuadres y arqueos•! Conciliación de cuentas•! Seguridad lógica•! Seguridad física•! Otros sistemas de control•! Contratos•! Proveedores internos•! Incidencias con clientes•! Cumplimiento normativo•! Estructuras de gestión
  112. 112. 112Jordi García - ConsultorInformación complementaria: causas (3)Definición de datos a capturar3. Factor tecnológico:•! Disponibilidad de aplicativos•! Plan de continuidad•! Adecuación aplicativos•! Equipamiento4. Factor externo:•! Plan de contingencia•! Proveedores externos•! Fraude externo
  113. 113. 113Jordi García - ConsultorEventos que no producen pérdidasDefinición de datos a capturarSe pueden aprovechar las BBDD de RO también para registrar eventos queafortunadamente no produzcan pérdidas para la entidadLas entidades deben determinar que tipologías de eventos desean registrar enfunción de sus posibilidades de captura•! Una vez fijadas las tipologías, la Entidad debe asegurar que se capturantodos los eventos de dicha tipología•! Estos eventos deben reportarse de forma separada del resto y debenquedar marcados para poder diferenciarlos fácilmente•! También es conveniente registrar el proceso, el producto y las causas quelo han generado a efectos de gestión•! Estos eventos pueden registrarse en BBDD separadas, gestionadas por laspropias unidades que los capturan
  114. 114. 114Jordi García - ConsultorEventos externosDefinición de datos a capturarLas entidades que forman parte de consorcios de BBDD deben registrar loseventos externos en la BBDD:La finalidad del registro los eventos externos es múltiple:•! Para completar los datos internos en la modelización del capital enriesgo•! Aportando información de gran valor para la gestión, tanto a nivel globalcomo a nivel de líneas de negocio/soporte•! Para conocer el posicionamiento de la Entidad frente a la competencia,tanto a nivel global como a nivel de líneas de negocio/soporte
  115. 115. 115Jordi García - ConsultorFormatos de captura (campos de las BBDD)
  116. 116. 116Jordi García - ConsultorEventos corporativosDefinición de datos a capturarSegún Basilea, todos los eventos se deben asignar a una línea de negocioSin embargo hay eventos cuya naturaleza los hace indivisibles. Son los llamadoseventos corporativos•! Afectan a la Entidad en su conjunto•! No son eventos de tecnología•! Suelen estar relacionados con el Consejo de Administración, la Presidencia,el CEO o el Centro Corporativo•! A efectos de reporting hay que establecer un criterio de reparto entre laslíneas de negocio
  117. 117. 117Jordi García - ConsultorUn evento múltiple es aquél que provoca más de un impacto en lacontabilidad, y/o afecta a más de una Línea de Negocio/Soporte•! El evento múltiple se da de Alta en la BBDD con una referencia específica•! Todas las pérdidas del evento múltiple tienen su propia referencia, perotambién la del evento principal•! El evento múltiple se puede equiparar a una cuenta con sus movimientos•! La fecha de contabilización es la de la primera partida que compone elevento•! Los ejemplos más típicos de eventos múltiples son los de la categoría dedesastresEventos múltiplesDefinición de datos a capturar
  118. 118. 118Jordi García - ConsultorParametrizaciónEjemplos de lo que se puede parametrizar:•! Administradores de la aplicación•! Roles de los usuarios•! Entidades legales•! Unidades/Subunidades de negocio y de soporte•! Clases de Riesgo Operacional•! Procesos•! Productos•! Causas•! Cuentas donde se registran los eventos•! Tipos de evento•! Clase de riesgo de Basilea•! Líneas de negocio de Basilea•! Los campos Si/No•! Etc…La parametrización garantiza la homogeneidad de la información
  119. 119. 119Jordi García - ConsultorSistemas de captura de eventosExisten 3 formas de capturar los eventosCaptura manualEs la forma más sencilla de implantar una base de datos de pérdidas pues no requiereningún desarrollo informático.•!La Unidad Central diseña un formato sencillo (en Excel o Word) que se facilita a lasáreas informantes•!Los integrantes de estas áreas, que han pasado lógicamente por un plan deformación, son los encargados de reportar los eventos rellenando el formulario yenviándolo a la Unidad Central por e-mail•!La Unidad Central cuando los recibe los da de alta de su aplicación (puede ser enExcel o en una BBDD creada en Access)•! Sistema muy sencillo•! No necesita desarrolloinformáticoA favor•! Muchas inconsistencias por faltade estandarización•! Hay que marcar nuevamente lainformación•! Discrecionalidad por parte de lasáreas informantesEn contra
  120. 120. 120Jordi García - ConsultorSistemas de captura de eventosExisten 3 formas de capturar los eventosCaptura semiautomáticaLa captura semiautomática es aquella en la que la Entidad dispone de una aplicación ensu intranet con formatos y parametrización estandarizada:•!La Unidad Central diseña un formato de reporting de eventos en su intranet y daacceso a las áreas informantes•!Los integrantes de estas áreas, que han pasado lógicamente por un plan deformación, son los encargados de reportar los eventos rellenando el formulario enla intranet•!La información queda registrada en la aplicación de la Unidad Central de maneraautomática, una vez ésta la ha validado•! Relativamente fácil deimplantar•! Información homogénea•! No hay doble inputA favor•! Discrecionalidad por parte delas áreas informantes•! Necesita más inversión que elmanualEn contra
  121. 121. 121Jordi García - ConsultorSistemas de captura de eventosExisten 3 formas de capturar los eventosCaptura automáticaLa captura automática la realizan aquellas entidades que han adaptado su contabilidad alas tipologías de Riesgo Operacional:•!La Unidad Central ha diseñado interfases que capturan los apuntes contables queafectan a las cuentas de Riesgo Operacional•!Los apuntes requieren información adicional en algunos casos (como la clase deriesgo, proceso, etc…). Estos datos son introducidos por quien contabiliza lapartida•!Cuando se corre la interfase, los eventos son descargados directamente en laBBDD central•!Los eventos importantes se completan con información de gestión•! Información homogénea•! La BBDD son completas•! Poca discrecionalidad por partede las áreas informantesA favor•! Necesita mayor inversiónEn contra
  122. 122. 122Jordi García - ConsultorSistemas de captura de eventosExisten 3 formas de capturar los eventosMuchas entidades combinan más de una forma de captura•! La dificultad de implantar un sistema automático en todas las Áreas conduce a quemuchas entidades utilicen también la captura manual en algunas de sus unidadesy/o clases de riesgo•! Cuando los eventos son escasos no resulta eficiente montar un sistemaautomático de captura•! También lo utilizan aquellas entidades que están realizando la transición poretapas de un sistema de captura a otro más automatizado
  123. 123. 123Jordi García - ConsultorSistemas de captura de eventosEl rol de Auditoría InternaLa Unidad de Riesgo Operacional y las áreas informantes son responsables de la calidadde la información del sistema de captura de eventos. Ésta se basa en tres pilares:•! Que la información sea completa (todos los eventos se capturan)•! Que la valoración de los eventos sea correcta porque comprende tanto losimpactos directos como los indirectos•! La clasificación de los eventos en términos de clase de riesgo y línea de negocio/soporte es correctaEl rol de Auditoría Interna consiste en verificar, mediante muestreo en sus visitasperiódicas a las unidades, que la información cumple con los mencionados estándares decalidad
  124. 124. 124Jordi García - ConsultorPeriodicidad de la capturaDepende del sistema de captura de eventosCaptura automáticaLas entidades que cuentan con un sistema de captura automática desde la contabilidadmediante interfases, capturan los eventos en el instante en que éstas se ejecutan. Elrango va desde diario hasta mensualCaptura semiautomáticaLas entidad con este sistema capturan los eventos en el momento en que las áreasinformantes los dan de alta en la aplicaciónCaptura manualQuienes capturan los eventos de forma manual deben definir la frecuencia de reporte alas áreas informantes. Lo normal es que sea según la ocurrencia, pero como mínimouna vez al mes
  125. 125. 125Jordi García - ConsultorUbicación de las bases de datos de pérdidasDependerá del tamaño de la EntidadSistema centralizado•! La BBDD puede ubicarse en un servidor o en el main frame (computador centralde la empresa)•! La ubicación centralizada es una buena solución para entidades que actúan enun solo país•! Facilidad de control deusuarios•! Facilidad de explotaciónde la información•! Facilidad de implantación•! Garantiza homogeneidadA favor•! Es más lento en generalEn contra
  126. 126. 126Jordi García - ConsultorUbicación de las bases de datos de pérdidasDependerá del tamaño de la EntidadSistema descentralizado•! La ubicación descentralizada es una buena solución para entidadesinternacionales o con diversas marcas•! La BBDD puede ubicarse en un servidor en cada Entidad•! Es necesario un envío (mensual, trimestral, etc…) de datos a la Central paraagregar toda la información•! Facilidad de implantaciónA favor•! Respuesta más lenta a losrequerimientos de cambios•! Explotación más compleja•! La homogeneización es másdifícilEn contra
  127. 127. 127Jordi García - ConsultorUmbrales de capturaCuanto más bajos, mejorUmbrales fijados por la SBS•! La Norma 2116-2009 fija los siguientes umbrales de captura en:•! 3.000 Nuevos Soles para Banco, Aseguradoras y AFP•! 1.000 Nuevos Soles para el resto de entidadesUmbrales fijados por otros organismos•! El BIS cita como referencia el umbral de 40.000 NS para la captura de eventosde pérdida, para bancos internacionalmente activos•! La organización ORX establece un umbral de captura de 80.000 NS a susmiembros
  128. 128. 128Jordi García - ConsultorUmbrales de capturaConsideraciones adicionalesLas Entidades deberán fijar internamente los umbrales de captura•! Deberán cumplir el mínimo fijado por su Regulador•! Lo ideal es que el umbral sea cero para que la Entidad pueda valorar losimpactos del Riesgo Operacional en su totalidad•! Sin embargo, esto sólo es posible con sistema de registro automáticos que senutran de la contabilidad•! Los umbrales muy bajos son incompatibles con la captura manual de eventospor la carga de trabajo de conllevan•! Los umbrales pueden variar según las líneas de negocio y por clases de riesgo(en Tesorería no tiene sentido recoger eventos pequeños, sin embargo, enfraude de tarjeta de crédito es importante recoger toda la casuística)
  129. 129. 129Jordi García - ConsultorControles de calidadLa parte más importante de las BBDD•! Como ya hemos visto anteriormente, la calidad de la base de datos es unapieza clave para la gestión del Riesgo Operacional•! Al igual que en riesgo en crédito, la información de las BBDD sirve para lamodelización del riesgo, para el cálculo del capital en riesgo y para la gestiónen general•! Muchas entidades no contabilizan correctamente los eventos de RiesgoOperacional, quedando éstos diluidos dentro de los gastos ordinarios•! El desconocimiento por parte de la Alta Dirección de la dimensión real de lo querepresentan las pérdidas por Riesgo Operacional implica que no se tomen lasmedidas de mitigación adecuadas•! Esconder el Riesgo Operacional puede transformarse una bomba de relojeríapara la empresa
  130. 130. 130Jordi García - ConsultorControles de calidadCómo implementar las funciones del Control de Calidad de las BBDDEstableciendo reglas y criterios internos para la captura de datos1Revisando periódicamente las entradas y documentando los eventos importantesAgrupando las pérdidas en eventos múltiples23Eliminando eventos temporales4Definiendo controles que aseguren que los datos son completos6Eliminando eventos que no pertenecen al Riesgo Operacional5Realizando cuadres con la contabilidad7Cruzando información con Auditoría Interna8Revisando eventos marcados como “No Riesgo Operacional”9Revisando mensualmente cuentas de RO10
  131. 131. 131Jordi García - ConsultorBases de datos externas¿Por qué son necesarias?Las bases de datos externas contienen eventos reales anónimos de RiesgoOperacional, debidamente clasificados que han ocurrido en otras entidades y/oen otros sectores•! El Riesgo Operacional, si bien es muy antiguo, no ha recibido un tratamientocomo riesgo equiparable al de crédito o al de mercado hasta la primera décadadel presente milenio•! Las BBDD que las entidades están registrando tienen poca profundidad, por loque muchas celdas están poco o nada pobladas•! Para modelizar el riesgo y calcular el capital se necesitan más datos que los queactualmente tienen las entidades•! Las BBDD externas son el complemento perfecto a las BBDD internas•! Además, aportan información muy valiosa para la gestión
  132. 132. 132Jordi García - ConsultorEn teoría, después de un cierto tiempo, las empresasdeberían tener suficientes datos en cada celda*Fraude InternoFraude ExternoEjecución de procesosPrácticas de ventasRecursos HumanosTecnológicoDesastres / accidentesSiSiSiSiSiSiSiComercial TesoreríaMinorista Etc..NoNoSiSiNoSiNoNoNoSiSiNo?NoPero, de hecho...Bases de datos externas*Matemáticamente, se necesitan más 30 eventos por celta para poder modelizar el Riesgo Operacional
  133. 133. 133Jordi García - ConsultorMuchos bancos participan en BBDD externasde diversa índole: ¿Qué opciones tenemos?1 Construir nuestrapropia BdD externaRecoger datos de las noticias de prensa.Clasificar y comprobar2Comprar una BdDAlgunas compañías ofrecen BdDpúblicas de RO3Consorcio de BdDExisten Consorcios de datos de RO(ORX, GOLD, etc…)Bases de datos externas
  134. 134. 134Jordi García - Consultor¿Cuál es la mejor opción para mi empresa?Construir nuestrapropia BdDLleva bastante tiempo y la BBDD no es completa1Comprar una BdD Es costoso y la BBDD no es completa2Consorcio de BdDNo es tan caro y la calidad de los datos es muchomejor (completos y controlados)3Bases de datos externas
  135. 135. 135Jordi García - ConsultorORX es el Consorcio más importante el mundo en la actualidad•! ORX es una organización sin ánimo de lucro, cuyos dueñosson sus miembros•! Objetivo: compartir trimestralmente eventos de RiesgoOperacional mayores de 20.000!, de forma anónima:•! Aplicable a Basilea II AMA (enfoque LDA)•! Benchmarking•! Grupos de Trabajo: Criterios, Análisis de Datos,Software•! Plataforma de discusión y desarrollo de mejoresprácticas•! Influir en la industria de la banca y en los Reguladores•! Entorno seguro para transmisión y proceso de datos•! ORX tiene su sede en Zürich (Suiza)•! El software de ORX (Open Pages) permite un alto nivel depersonalizaciónBases de datos externas
  136. 136. 136Jordi García - ConsultorBases de datos externasLas entidades financieras del mundo tienen grandes diferencias en tamaño y líneas denegocio:•! Las diferencias de tamaño en los negocios también repercuten en diferencias detamaño en los eventos de Riesgo Operacional que sufren las entidades•! A efectos de modelización, los órdenes de magnitud y la tipología de los eventosde unas y otras entidades sobreestiman el capital por Riesgo Operacional demanera considerable•! Una alternativa a este proceso es la construcción de bases de datos locales, anivel nacional, donde participen empresas cuya dimensión y tipología de riesgosea equiparable•! ORX ha abierto esta vía en España donde varios bancos participan en unintercambio “a medida” con umbral de 3.000 ! en lugar de 20.000 !. También enCanada se lleva a cabo una iniciativa similar
  137. 137. 137Jordi García - ConsultorPage 137Miembros de ORX: 57 de 18 paísesFirstRand {South Africa}!Grupo Santander {Spain}!HSBC Holdings plc {UK}!ING Group {Netherlands}!Intesa SanPaolo {Italy}!JPMorgan Chase & Co. {USA}!Lloyds Banking Group {UK}!Morgan Stanley {USA}!National Australia Bank {Australia}!Nedbank Group {South Africa}!Nordea Bank AB (publ) {Sweden}!Northern Trust Company {USA}!Novacaixagalicia {Spain}!PNC Bank {USA}!Rabobank Nederland {Netherlands}!RBC Financial Group {Canada}!RBI (Raiffeisen Bank International AG) {Austria}!Royal Bank of Scotland Group {UK}!SEB (Skandinaviska Enskilda Banken) {Sweden}!Soci!t! G!n!rale {France}!Standard Bank Group {South Africa}!Standard Chartered Bank {Singapore}!State Street Corporation {USA}!TD Bank"Group (TDBG) {Canada}!The Bank of Nova Scotia {Canada}!US Bancorp" {USA}!Wells Fargo & Co" {USA}!WestLB AG {Germany}!Westpac Banking Corporation {Australia}!ABN AMRO {Netherlands}!Ally Financial, Inc {USA}!Banco Bradesco S/A {Brazil}!Banco de Sabadell S/A {Spain}!Banco do Brasil S/A {Brazil}!Banco Pastor {Spain}!Banco Popular {Spain}!BPN (Banco Portugu"s de Neg#cios) {Portugal}!Banesto {Spain}!Bank Austria - Member of UniCredit Group {Austria}!Bank of America {USA}!Bank of Ireland Group {Ireland}!Barclays Bank {UK}!BBVA (Banco Bilbao Vizcaya Argentaria) {Spain}!BMO Financial Group {Canada}!BNP Paribas {France}!BNY Mellon {USA}!Cajamar {Spain}!Capital One {USA}!CatalunyaCaixa {Spain}!CBA (Commonwealth Bank of Australia) {Australia}!Commerzbank AG {Germany}!Credit Agricole SA {France}!Deutsche Bank AG {Germany}!Deutsche Postbank AG {Germany}!DnB NOR Bank ASA {Norway}!Erste Group Bank AG {Austria}!Euroclear SA/NV {Belgium}!
  138. 138. 138Jordi García - ConsultorPage 138•! Los miembros de ORX reportan la información con el siguiente formato:•! Se reportan eventos por encina de 20.000!:•! Members required to report Gross Income per Business LineORX: Requerimientos de datos•! Reference ID number (Member generated)•! Business Line (Level 2) Code•! Event Category (Level 2) Code•! Country (ISO Code)•! Date of Occurrence•! Date of Discovery•! Date of recognition•! Credit-related•! Gross Loss Amount•! Direct Recovery•! Indirect Recovery•! Related event Ref ID•! Product•! Process
  139. 139. 139Jordi García - ConsultorComité de criteriosLas actividades y tareas de captura de eventos de Riesgo Operacional generanmuchas dudas en cuanto a la interpretación de las reglas. Las buenas prácticas degestión del RO nos dicen que los Comités de Criterios son una buena solución a esteproblema•! Los Comités de Criterios son una especie de Help Desk que resuelven lasdudas y crean “jurisprudencia”•! Formados por expertos de la Unidad de RO y coordinados por la personaencargada de la función de Control de Calidad•! Las dudas que van surgiendo se registran y se tratan en el seno del Comité, quese reúne periódicamente.•! Sus conclusiones forman parte del Manual de RO de la Entidad y se incluyen enlos programas de formaciónLos Comités de Criterios añaden valor a las BBDD
  140. 140. 140Jordi García - ConsultorLas Líneas de Negocio/Soporte tienen en las BBDD una información muy valiosapara la gestión. Por un lado, la información interna les da pistas acerca de lo queestá pasando en su línea de negocio, y por otro, la información sobre bases externas(si se dispone de ellas) aporta información sobre riesgos materializados en otrasentidades, que serán motivo de análisis.Ejemplos de informes:•! Informe de pérdidas por clases de riesgo y/o líneas de producción/soporte•! Evolución de las pérdidas (diarias, mensuales, anuales, etc…)•! Informe sobre eventos más importantes•! Informe sobre bases de datos externas•! Informes comparativos de datos internos vs externos (benchmarking)•! Etc…Para las líneas de negocioGeneración de informes
  141. 141. 141Jordi García - ConsultorLos informes de uso interno se confeccionan para reportar a la Alta Dirección y aefectos de control para la Unidad Central de Riesgo Operacional:Ejemplos de informes:•! Informe de pérdidas por clases de riesgo y/o líneas de producción/soporte•! Evolución de las pérdidas (diarias, mensuales, anuales, etc…)•! Informe sobre eventos más importantes•! Informe sobre bases de datos externas•! Informes de pérdidas sin factores de riesgo identificados•! Informes de pérdidas para los Reguladores•! Informe de pérdidas a reportar a las bases de datos externas•! Informe de eventos que afectan a varias líneas negocio•! Informe de eventos múltiples•! Informe de pérdidas provisionadasPara uso internoGeneración de informes
  142. 142. 142Jordi García - ConsultorTemasUtilidad de las BBDD de RO•! Valor agregado de las BBDD en la gestión empresarial•! Cálculo del capital en riesgo mediante BBDD•! Aspectos relevantes de las mejores prácticas•! Preguntas y respuestas
  143. 143. 143Jordi García - ConsultorValor agregado de las BBDD en la gestión empresarialAyer veíamos que la gestión del RO se puede hacer de dos formas:-! Cualitativa-! CuantitativaLas BBDD aportan la información necesaria para realizar unagestión cuantitativa, como se hace en riesgo crédito:•! Aportando aspectos necesarios para la gestión de procesosen las líneas de negocio/soporte•! Aportando datos para el cálculo de capital en riesgoLas BBDD en la gestión del RO
  144. 144. 144Jordi García - ConsultorValor agregado de las BBDD en la gestión empresarialLas BBDD aportan información muy valiosa para la gestión:•! Especialmente para los eventos de bajo impacto y alta frecuencia (Ej.: Fraudetarjeta de crédito)•! El ser humano aprende por sus experiencias. Es más fácil conocer la exposición alRiesgo Operacional por los eventos ocurridos que por factores cualitativos que aunno se han manifestado en forma de eventos•! Los eventos manifiestan la existencia de un factor de Riesgo Operacional que enalgunas ocasiones era desconocido por la Entidad•! Las BBDD son útiles en la medida en que las Entidades se preguntan que lagunasen la gestión hay detrás de los eventos que ocurren•! Las BBDD externas o los grandes eventos de dominio público deben seranalizados: “¿Le puede ocurrir a mi empresa también?”Las BBDD son una pieza clave en la gestión del RO
  145. 145. 145Jordi García - ConsultorValor agregado de las BBDD en la gestión empresarialAlgunos eventos ocurridos en el sector financiero han servido para que muchas Entidadesse planteen su forma de hacer o controlar los negociosRepasemos algunos eventos significativos que han influido en la gestión del RO:•! El 11 de Septiembre supuso un replanteamiento de los planes de continuidad ycontingencia para muchas empresas•! El fraude de Madoff replanteó el negocio de los hedge funds y su forma decontrolarlos en muchas empresas•! El evento de la Sociéte Générale provocado por Jérôme Kerviel hizo que muchosbancos revisaran sus mecanismos de gestiónEs muy conveniente analizar los eventos que ocurren a los demás para ver en que medidanuestra Entidad también está expuesta a esos riesgosLos eventos de otras Entidades nos sirven para evaluar nuestro RO
  146. 146. 146Jordi García - ConsultorValor agregado de las BBDD en la gestión empresarialAlgunas Entidades financieras calculan periódicamente su capital económico, es decir, elcapital necesario para hacer frente al riesgo, con un margen de confianza muy alto (99,9%)En cualquier caso todas calculan su capital Regulatorio; el que viene marcado por lasreglas del Supervisor del país en que nos encontremosTodas las Entidades comparan su Capital Regulatorio y su Capital Económico (las que localculan) contra sus Recursos Propios, que obviamente deben ser más elevadosEn el caso del Riesgo Operacional, las BBDD permiten calcular el Capital Económicodebido a esta clase de riesgoCon la BBDD se puede calcular el CaR
  147. 147. 147Jordi García - ConsultorValor agregado de las BBDD en la gestión empresarialBasilea II permite calcular el CaR por RO de varias formas, en función de la madurez delsistema de gestión que la Entidad ha implantado:•! Método Básico: 15% sobre el “Gross Margin” de la Entidad•! Método Estándar: se calcula sobre el “Gross Margin” de cada línea de negocio,entre el 12% y el 18%•! Método Estándar Alternativo: permite aplicar a las Bancas Comercial y Minorista elcálculo del 0,035 de sus saldos de créditos. El resto de las líneas se calculan comoen el Estándar•! Método AMA (Avanzado): el que salga por el modelo matemático de distribucionesde pérdidas (LDA)Por el momento son pocos los Reguladores que permiten el uso del modelo AMA.Conforme se vayan perfeccionando los sistemas de gestión y remita la crisis de créditointernacional, se permitirá que el capital se calcule con este modeloVentajas del CaR por RO
  148. 148. 148Jordi García - ConsultorValor agregado de las BBDD en la gestión empresarialSolvencia II también permite el uso de modelos internos, siempre que los apruebe elRegulador local y para ello es necesario utilizar BBDD internas y externasEstablece dos medidas de Capital:•! MCR (Minimum Capital Requirement) que establece cada Regulador mediante unafórmula (en USA 2% de las primas, en Alemania 1,5%)•! SCR (Solvency Capital Requirement) es el capital en riesgo (técnico, crédito, mercadoy operacional) a un año vista calculado con un nivel de confianza del 99,5%, es decirque la probabilidad de quiebra es de 1 vez cada 200 añosA diferencia de Basilea II, Solvencia II es mucho más abierto en cuanto al cálculo del capitalregulatorio. Marca las pautas a seguir por los Reguladores pero no establece fórmulascomunes como hace Basilea IILos Reguladores han utilizado los resultados de los diferentes QIZ (5 en total) para ajustarlos requerimientos mínimos de capital en sus respectivos paísesVentajas del CaR por RO
  149. 149. 149Jordi García - ConsultorExternal dataControl environmentScenario analysisInternal data12349(::))(%.,*#.&(((!!""#$%&(%)##;(::))(*<,*#.&=((((!!""#*&(%)+#(>(?+*.&#%1(###!!""#+,%)($-+##@(61.,#15(?.3%#1./*.,(###"$.(%&+#/&-0-1-23)+#####0#/0$,$4%(Cálculo del capital por ROComponentes del modelo AMA
  150. 150. 150Jordi García - ConsultorPara cada línea de negocio, o celdaDistribuciónFrecuenciasDistribuciónSeveridadesSimulaciónMonteCarloCapitalenRiesgoAjusteCualitativoBBDD internaPeso 50%ExternaPeso 25%BDCombinada+EscenariosPeso 25%Motor decálculoCálculo del capital por RO
  151. 151. 151Jordi García - ConsultorGobierno corporativo y ámbito de aplicación del modeloEstructura de gestión – Unidades implicadas1Estructura de ComitésPerímetro de aplicación del modelo24Implicación de la Alta Dirección3Aspectos relevantes de las mejores prácticas
  152. 152. 152Jordi García - ConsultorCOMITÉ DE DIRECCIÓN / CONSEJO DE ADMINISTRACIÓNÁrea de RiesgosUnidad Central deRiesgo OperacionalÁreas de Negocio/SoporteGestor deRiesgo OperacionalGestor deProcesos y ActividadesDependencia funcionalEs fundamental que exista un esquema de gestión aprobado por la Alta Dirección, conocidopor toda la Organización y con roles definidos. En las áreas de negocio y soporte, los rolespueden ser a tiempo parcial, si bien deben figurar como parte de los objetivos individualesAspectos relevantes de las mejores prácticas
  153. 153. 153Jordi García - ConsultorAlta Dirección - Consejo de Administración (AD)Aprueba el modelo de gestión de Riesgo OperacionalPromueve el uso del modelo en la OrganizaciónAprueba los planes de mitigación de alto nivelAutoriza los recursos humanos y tecnológicosAltaDirecciónUnidad Central de Riesgo Operacional (UCRO)Desarrolla el modelo de gestión de ROImplanta las herramientas de gestiónCentraliza toda la informaciónRealiza el seguimiento del ROElabora y distribuye los informesUnidad Centralde RiesgoOperacionalAspectos relevantes de las mejores prácticas
  154. 154. 154Jordi García - ConsultorGestor de Riesgo Operacional (GRO)Ubicado su línea de negocio/soporteCoordina el inventario de ROCoordina proceso de capturaSecretario del Comité de ROCoordina los planes de mitigaciónRealiza el seguimientoGestor deRiesgoOperacionalGestor de Procesos y Actividades (GPA)Elabora mapas de procesosIdentifica el RO en sus procesosActualiza inventario de ROParticipa en el proceso de cuantificaciónElabora planes de mitigaciónGestor deProcesos yActividadesAspectos relevantes de las mejores prácticas
  155. 155. 155Jordi García - ConsultorGestión cualitativaCobertura: unidades intervinientesProcesos incluidos en cada ejercicioCriterios de valoración de factores riesgoComparativas entre unidades/paísesGrandes riesgos corporativosFactores de riesgo identificados completosReporting (a la Alta Dirección y a las unidades)1245367Aspectos relevantes de las mejores prácticas

×