Upload
dangkhanh
View
227
Download
0
Embed Size (px)
Citation preview
© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Arturo E. Carvajal O.Administración de Riesgo Financiero – FRMDirectorJulio 2009
Enfoque de Implementación de la Administración de Riesgo Operacional
2© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Contexto de Riesgo Operacional • Introducción• Qué desean los Bancos de Riesgo Operacional • Fundamentos de Riesgo Operacional • Factores críticos de éxitos• Riesgo operacional en el contexto internacional• Alineación de regulación con el desempeño del negocio
Gestión de Riesgo Operacional• Enfoque de Riesgo Operacional • Integración con la gestión diaria del negocio• Pasos de la implementación del enfoque de riesgo operacional
– Cultura al riesgo– Estrategia al riesgo– Estructura organizacional– Reportes– Identificación, evaluación, opciones de tratamiento al riesgo– Captura de datos y mantenimiento– Modelo de requerimiento de capital– Tecnología de la información
Agenda
3© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
"…con toda mi experiencia, nunca he visto un accidente de ninguna clase que merezca mencionarse. Ni siquiera he visto un
sólo barco con problemas en alta mar… Nunca he visto un hundimiento ni estuve en ninguna situación que me amenace de
ningún tipo…" Edward J. Smith, Capitán del TITANIC, entrevistado por la prensa
de Nueva York, 1907
“La recuperación de la rentabilidad ha resultado asombrosa, lo que llevó a Barings a la conclusión
de que en realidad no era tremendamentedifícil ganar dinero en el negocio de los valores”
Peter Baring, presidente de Barings a Brian Quinn,Director del Banco de Inglaterra a cargo de la Supervisión de Bancos.
13 de septiembre de 1993
Contexto de Riesgo Operacional - Introducción
4© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Grandes operaciones de trading en los mercados con quiebre de sus propios límites como operador de los mercados de derivados.
Creación de falsos clientes y eliminación de las alertas en los sistemas de control usando sus conocimientos de los sistemas cuando trabajaba en el middle office.
Ingresó posiciones de coberturas ficticias para disfrazar las operaciones de trade.
Utilizó passwords de otros miembros del staff para acceder a los sistemas.
El fraude salió a la luz cuando el área de riesgos detectóun cliente no identificado. Esta situación se detectó dado que el operador olvidó invalidar el sistema de alerta para ese cliente.
Contexto de Riesgo Operacional - IntroducciónCaso de Riesgo Operacional = Société GénéralePérdida Operacional por USD 7,39 BillionFebrero 2008
Jerome Kiervel – Junior Trader
Daniel Bouton - Chairman
5© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Interrogantes a responder ?• Tenemos conciencia de nuestros riesgos?
• Tenemos apropiados procesos y controles?
• Tenemos estrategias de mitigación del riesgo?
• Estamos trabajando en un Plan de Continuidad de Negocio (BCP) ante un evento de desastre?
• Es nuestra infraestructura de tecnología segura?
• La estrategia de seguridad soporta nuestro crecimiento?
• Nuestro banco y las agencias están cumpliendo con nuestras reglas y regulaciones?
• Estamos manejando nuestra imagen?
• Está siendo efectiva nuestra función de Auditoría Interna?
• Estamos intentando de aprender acerca de las regulaciones y tendencias relacionadas con Basilea II?
Contexto de Riesgo Operacional - Introducción
6© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Cualquier iniciativa de administración de riesgo operacional debe balancear el costo de los negocios y los beneficios que se deben derivar de tal iniciativa. Creación de Valor ……….
Identificación de Riesgos y categorización
Entendimiento de los Riesgos
Priorización
Base de Datos de Eventos
Desarrollo de consenso y definiciones de eventos
Registro de eventos
Análisis de tendencias
Inherent
Risk
Riesgo Retorno
MitigantesRiesgo
ResidualIngreso
Bruto
Costo de
los controles Retorno
Neto
Acción de la Administración
Rechazar
Reducir
Aceptar
Traspasar
Análisis de Pérdidas Esperadas
Derivación de pérdidas estimadas
Afinación con KRI
Análisis de Pérdidas Inesperadas
Derivación de pérdidas inesperadas de la estimación de pérdidas esperadas
Centro de Costo
Mejora en el proceso de medición de costos
Análisis de costo de control
Evaluación de los costos de control versus el valor del control
Eventos de Pérdidas
Frecuencia
Severidad
Pérdida Esperada
Pérdida Inesperada
Seguros
Seguros
Controles
Cobertura
Riesgo Inherente
Auto-evaluación de Controles
Mejora en la calidad de los controles
Evaluar eficiencia y efectividad de los mitigantes
Indicadores de Riesgos (KRI)
Definición de indicadores
Mejora en el proceso de integración
Análisis de tendencias
Contexto de Riesgo Operacional - Introducción
7© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Qué desean los Bancos de Riesgo Operacional ?
• Incrementar el valor del accionista …
• Reducir las pérdidas operacionales …
• Mejora constante de los procesos …
• Mejor preparados para eventos catastróficos …
• Implementación de sistemas de alertas tempranas …
• Disminuir el cargo por capital regulatorio …
• Asegurarse de un buen nivel de rating mediante la
demostración de una administración de riesgo
operacional sólida …
Contexto de Riesgo Operacional
8© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Fundamentos de Riesgo OperacionalEl riesgo operacional de acuerdo al marco de Basilea II se define: “El riesgo de pérdida debido a la inadecuación o a fallos de los procesos, el personal y los sistemas internos o bien a causa de acontecimientos externos”. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y el de reputación.”
El riesgo operacional cubre dos aspectos clave:
• La integridad de los procesos de negocios; y
• La habilidad de mantener el “delivery”.
Sus objetivos se basan en identificar los riesgos, monitorear que los mismos se mitigan a niveles aceptables y cuantificar su consumo de capital.
Por lo tanto sus responsabilidades no incluyen la reingeniería de procesos u optimización, ni la auditoría de los mismos.
Procesos
Personas
Sistemas
Eventosexternos
Contexto de Riesgo Operacional
9© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
El documento está estructurado en diez principios agrupados por áreas
I. Desarrollo de un ambiente de Administración de Riesgo adecuado.
II. Identificación, Evaluación, Monitoreo y Mitigación/Control de los riesgos
III. Rol de la Entidad Reguladora
IV. Rol de Divulgación
Fundamentos de Riesgo OperacionalBasilea II emitió un documento con los principios de Administración y Supervisión de Riesgo Operacional para: Identificar, Evaluar, Monitorear, Mitigar y Controlar el Riesgo.
Contexto de Riesgo Operacional
10© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
ESTRATEGIA DE RIESGOS
Información Tecnológica
ESTRUCTURA ORGANIZACIONAL
Datos de Pérdidas
Modelamiento de Capital
Evaluación de Riesgos
Indicadores claves de Riesgo
(KRI)
Bases
Mitigación
Definiciones, procesos
y estructuras
R E P O R T ES
Contexto de Riesgo Operacional
Fundamentos de Riesgo Operacional – Estructura de Riesgo Operacional
11© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Fundamentos de Riesgo Operacional - Marco de Riesgo Operacional
Objetivos Estratégicos
Estrategia CorporativaMisión y Filosofía Operacional Objetivos EstratégicosAlineación al Plan de NegociosApetito al RiesgoRecursos Financieros
Process and systemsProcesos y Sistemas
Entrenamiento y Competencia
xxx xx xx xx
xxx xx xx xx
xxx xx xx xx
xxx xx xx xx
xxx xx xx xx
Administración de la Información
Financieroxxx
Clientesxxx
Personasxxx
Procesosxxx
Ene Feb etc.
Estructura Organizacional
Gerencia
A B C
D E
Reportes
EstratégicoObjetivoFinancieroMercadoProcesos
Ene Feb etc.
Efectivo Gobierno Corporativo y
Administración de Riesgo Integrada
Evaluación de Riesgo
Contexto de Riesgo Operacional
12© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Fundamentos de Riesgo OperacionalIdentificar, Medir y Administrar el Riesgo Operacional …
Identificar y Medir
Mitigar y Manejar
Contingencia
• Qué puede ser el evento ?
• Cuál es su frecuencia ? (PROBABILIDAD)
• En cuánto nos afectará ?
• Acciones de mitigación para reducir
• Acciones de mitigación para reducir
• Acciones de Contingencia
(INCIDENTE)
(IMPACTO)
(PROBABILIDAD)
(IMPACTO)
Contexto de Riesgo Operacional
13© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Contexto de Riesgo Operacional
Fundamentos de Riesgo OperacionalProceso de Evaluación de Riesgos y Controles
Prue
bas/S
oftw
are
Controles clavespor producto
Riesgos clavespor producto
Dueños Controles/Procesos
CSA CheckList
Matriz de Riesgo
Matriz de Control
AuditoríaInterna
Riesgo Operacional
de A
udito
ría
Diseño y ejecución adecuada y efectiva
Monitoreo
Procedimientos Po
lítica
s
14© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Factores Críticos de Éxitos 1. Ser lo más simple posible
2. Soporte claro desde arriba hacia abajo
3. Establecer un lenguaje común
4. Operar con el concepto de dueño de riesgo.
5. Convencimiento del nivel gerencial del esquema de Administración de Riesgo Operacional
6. Creación de cultura que permita la identificación, reportes y corrección de aspectos de Riesgo Operacional.
7. Mantener una visión de Administración de Riesgo Operacional
8. Establecer Roles en la Administración de Riesgo Operacional
9. Establecer un proceso uniforme de Administración de Riesgo Operacional
10. Establecer un proceso de reportes de Riesgo Operacional
Contexto de Riesgo Operacional
15© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Factores Críticos de Éxitos 11. Iniciar el proceso de riesgo operacional con un proyecto piloto12. Establecer la figura de coordinador de Riesgo Operacional
13. Establecer propios perfiles de riesgos en las áreas del Negocio
14. Consenso de todas las partes de los riesgos expuestos
15. Establecer medidas de riesgos e indicadores de alertas tempranas
16. Involucramiento del organismo regulador (establecer la oportunidad)
17. Aseguramiento de los recursos humanos y materiales alocados para el proceso de Riesgo Operacional
18. Generación incremental del grado de concientización de riesgo operacional en la organización
19. Resolver la problemática de administración de bases de datos
20. Identificar e implementar herramientas
21. … y no olvidar los requerimientos para el cálculo de capital por riesgo operacional
Contexto de Riesgo Operacional
16© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
[%]
Areas definidas por KPMG: Américas = Canadá, Estados Unidos y Latino América; ASPAC = Asia Pacífico; EMA = Europa, Europa del Este y África
Riesgo Operacional en el Contexto Internacional
Contexto de Riesgo Operacional
5 312
3428 29
38
42
4349 47
27
58
18 23
3
20 21
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Americas ASPAC EMA Worldwide Centroamérica
Enfoque de MediciónAvanzada (AMA)
Enfoque Estándar
Enfoque Indicador Básico
Sin definir
17© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Contexto de Riesgo Operacional
Evaluación de Riesgos
Implementación para el manejo de requerimiento de regulación
Estructura de riesgo operacional potenciada para propósito de negocio
Monitoreo
Metodologías, herramientas, recursos IT y estructura organizacional
Componentes Principales
Responsabilidad de Directores Ejecutivos
Estrategia de Negocio y Estrategia de Riesgo
Capacidad – Asumir riesgos
Administración Global del Banco
Perfil de Riesgo
Map
a de
Riesg
o
Pérdida de datos, KRI, Auto-evaluación y cuantificación
Perfil de riesgo actual
Alternativa de decisiones (negocios,
administración de riesgo)
Validación de alternativas
(riesgo, retorno, costos)
Escoger alternativa
Identificación/Evaluación Reportes Administración Dinámica
Y
X
Z
W
ESTRATEGIA DE RIESGOS
Información Tecnológica
ESTRUCTURA ORGANIZACIONAL
Datos de Pérdidas
Modelamiento de Capital
Evaluación de Riesgos
Indicadores claves de Riesgo
(KRI)
Bases
Mitigación
Definiciones, procesos
y estructuras
R E P O R T ES
Alineación Regulación con Desempeño del Negocio
18© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Enfoque de Riesgo Operacional
Gestión de Riesgo Operacional
Hoy en día los líderes responsables del proceso de gobierno de un banco deben establecer una estrategia de cómo implementar y ejecutar su administración de riesgo operacional.
Por ello, una efectiva administración de riesgo operacional no puede ser iniciada sin la presencia de un líder que armonice el proceso de implementación y sin el apoyo de la alta administración
Como así también, las distintas líneas de negocios deben comprender y apreciar los beneficios que se presentarán a nivel de la cultura y de la forma de administrar los riesgos operacionales en los procesos de negocios del Banco.
19© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Gestión de Riesgo OperacionalEnfoque de Riesgo Operacional - Integración con la gestión diaria del negocio a través de un proceso de madurez …
EVALUACION DINAMICA/PREDICTIVA
• Correlación entre clases /tipos de riesgos y eventos
• Modelos predictivos
EVALUACION Y MEDICION• Análisis estadístico• Modelaje /Simulación• Administración por procesos• Benchmarking
MONITOREO/ MEDICION• Bases de datos eventos• Priorización riesgos• Reportes formales• Indicadores de riesgos• Sistemas detección automática
IDENTIFICACION / EVALUACION• Auditoría y revisión financiera
tradicional• Uso de métodos cualitativos AD HOC
• Reactivo, centradoen recuperación y protección
• No sistemático en UN• Captura fragmentada de• datos
ESTANDARIZADO• Formalizado en UNE.j. definiciones, datos, reportes, gestión• Mejora continua enevaluación monitoreo
CONSOLIDADO INTEGRADO• Medición consistente• riesgo en procesos en UN • Relación entre KRI yacciones de remediación• Cargas de capital• Involucramiento alta
gerencia
• Integración otros riesgos• Manejo activo seguros y derivados
• Foco en maximizaciónganancias
• Sinergias entre UN
Integración con la gestión diaria del negocio
Impa
cto
en la
Ges
tión
EvitarErrores/ Fallas
Basilea/ Solvency IIBIA, Estándares
Estructura de AtenciónAl Riesgo
Basilea IIAMA
Gestión y ConsistenciaDinámica
Creación de ValorGestión Basada en Riesgo
SOX
20© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Gestión de Riesgo Operacional
Enfoque de Riesgo Operacional Paso ACultura al Riesgo Operacional
Objetivo:Asegurar que todos los niveles del Banco estén conscientes de la importancia y la necesidad de la administración del riesgo operacional como forma de garantizar el logro de los objetivos del Banco.
Enfoque: La toma de conciencia es un componente clave para identificar y tomar las acciones adecuadas para mitigar el riesgo operacional. Un entrenamiento continuo a través de talleres y sesiones de trabajo al personal, más la adecuada divulgación de las amenazas a las que están expuestos los procesos de negocios, son componentes esenciales de las medidas de mitigación de los riesgos.
Es responsabilidad de los niveles directivos y coordinadores de riesgo operacional, el concientizar y proporcionar entrenamiento al personal a su cargo para crear las competencias necesarias para la administración del riesgo operacional, contando siempre con el apoyo del área de Riesgo Operacional.
21© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Gestión de Riesgo Operacional
Enfoque de Riesgo Operacional Paso BEstrategia al Riesgo
Objetivo: Contar con una definición de una estrategia al riesgo operacional en alineación a la estrategia de riesgo corporativo del Banco para ser utilizado como marco de acción en las definiciones de tolerancia o grado de apetito al riesgo, políticas y procesos de la administración del riesgo operacional del día a día.
Enfoque:La estrategia de riesgo operacional comprende tanto una visión de arriba hacia abajo para los procesos de requerimientos de capital como de abajo hacia arriba para los procesos de identificación, evaluación, administración, reportes y seguimientos de los riesgos operacionales.
En este contexto, cada área del Banco basa sus decisiones de negocios en el día a día en la información de riesgos operacionales expuestas y en las consideraciones de requerimientos de capital.
22© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Lecciones Aprendidas sobre :Lecciones Aprendidas sobre :Estrategia de Riesgo OperacionalEstrategia de Riesgo Operacional
•El prerrequisito de éxito es establecer objetivos realistas con claros beneficios económicos
•Lograr el apoyo de la Junta Directiva y Alta Gerencia.
Establecer objetivos realistas y ganar el apoyo de la Junta Directiva y Alta Gerencia.
Gestión de Riesgo Operacional
23© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Gestión de Riesgo Operacional
Enfoque de Riesgo Operacional Paso CEstructura Organizacional
Objetivo: Definición formal de la estructura organizacional de riesgo operacional con participación integral en toda la organización.
Enfoque:Diseño de la estructura de riesgo operacional incorporando:
• Políticas• Marco de acción• Dependencias jerárquicas• Asignación de roles y responsabilidades centralizados en el área de riesgos y
descentralizados a las distintas áreas del Banco• Líneas de reportes • Procesos de gestión de riesgo operacional• Manual de riesgo operacional
24© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Equipo Gerencial
Junta Directiva
Áreas de Soporte
Línea de Negocios
1
Actividades
Primera Línea de Defensa Función de Riesgos
Roles y Responsabilidades
Segunda Línea de Defensa
Tercera Línea de Defensa Línea de
Negocios 2
Línea de Negocios
3
Auditoría Interna
Auditores Internos
Áreas Especializadas
LegalCumplimiento
Seguridadetc
Gestión de Riesgo Operacional
Roles en la Administración de Riesgo Operacional - Diagrama de Tres Líneas de Defensa
25© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Roles en la Administración de Riesgo Operacional: Modelo Sugerido por las Entidades Líderes
Modelo de Riesgo Operacional (Roles y Responsabilidades)
Equipo de Negocios
Alta Administración
REGULADORES
Comité de Riesgo Operacional
Área de Riesgo Operacional
Riesgo Operacional, etc.
Departamentos de Soportes
Comité de Auditoría
Centralizado
Validación y Aseguramiento
Independendiente de todos los otros Componentes
Auditores Externos
Responsables Primarios/Descentralizados
Negocios 1 Negocios 2 Auditoría Interna
Gestión de Riesgo Operacional
Áreas Especializadas
LegalCumplimientoSeguridadetc
Áreas Especializadas
26© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Lecciones Aprendidas sobre :Lecciones Aprendidas sobre :Estructura OrganizacionalEstructura Organizacional
•Con la definición de roles y responsabilidades se establecen claras comunicaciones y cooperaciones entre las distintas áreas de la organización.
•En particular, es crucial la interrelación con Auditoría Interna, Seguridad Informática, Continuidad de Negocio y Administración de Calidad.
•Es crítico para el éxito del esfuerzo de riesgo operacional.
Definir roles y responsabilidades a lo largo de toda la organización.
Gestión de Riesgo Operacional
27© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Gestión de Riesgo Operacional
Enfoque de Riesgo Operacional Paso DReportes
Objetivo: La administración del riesgo operacional es un proceso continuo. Los directivos deben asegurarse que los planes de acción con las medidas de mitigación definidos, sean implementados en los tiempos establecidos y una vez implantadas, se revise continuamente el estado de los riesgos operacionales identificados.
Enfoque:Para un adecuado monitoreo y reporte del riesgo operacional, es necesario establecer un proceso de auto-evaluación y esquema de reportes, para ello las áreas de negocios a través de coordinadores y el área de Riesgo Operacional elaborarán:
Reportes de Exposiciones de Riesgos OperacionalesPlan de Mejora de Exposición al Riesgo Reporte de Indicadores de Exposición al RiesgoReporte de Incidencias de Eventos y Pérdidas Operacionales
28© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Lecciones Aprendidas sobre :Lecciones Aprendidas sobre :ReportesReportes
• Informar los riesgos relevantes depende fundamentalmente de una adecuada estructura de comunicaciones e incentivos como asítambién el apoyo del personal calificado de las distintas áreas de negocios y soporte especializado tanto en la generación de información como en el uso de los reportes en el proceso de toma de decisiones del día a día.
Asegurar que los reportes generen valor agregado a la organización.
Gestión de Riesgo Operacional
29© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Gestión de Riesgo Operacional
Enfoque de Riesgo Operacional Paso EConstrucción de las Bases Identificación, Evaluación, Opciones de Tratamiento a los Riesgos
Objetivo: Evaluar el grado de alineamiento de los objetivos de negocios, riesgos y controles,mediante la identificación y medición de los riesgos, evaluación de la efectividad de los controles y plan de opciones de tratamiento a los riesgos.
Enfoque:La evaluación de los riesgos operacionales está basada en la identificación de las amenazas a los que están expuestos los procesos de negocios, determinación del impacto y frecuencia de estas amenazas y la subsecuente evaluación de los controles implantados para mitigar los riesgos por medio de los mapas e indicadores de riesgos. Asimismo, considera la identificación del rango de opciones para tratar los riesgos y evaluar esas opciones delineando planes para el tratamiento de los mismos.
30© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Gestión Riesgo Operacional – Metodología (Paso E)
Metodología de evaluación de los riesgos operacionales.
Identificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Seguimiento y Control
31© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
ANALISIS IMPLEMENTACIONENTRADA REPORTE
Implementación del Plan
AceptarRiesgo
Residual ?
Preparar Plan
Recomendar Estrategia de Tratamiento
Seleccionar Estrategia de Tratamiento
Preparar Plan de Tratamiento
Retener Parte
Transferir Parte SI No
9. Tratamiento del Riesgo
AceptarTransferir
Parcial/ TotalReducir Impacto
Reducir Probabilidad
Considerar Factibilidad Costo versus Beneficios
Identificar Opciones de Tratamiento
EvaluarOpciones de Tratamiento
AceptarTransferir
Parcial/ TotalReducir Impacto
Reducir Probabilidad
ALINEACIÓNCONTROL
SI
No
6. Identificar y Analizar Controles
7. Nivel de Criticidad del Control
8. Efectividad del Control
Aceptamos el Riesgo ?
RIESGORIESGO
Qué es la respuesta al riesgo?Cómo enfrentamos el riesgo ?
2. Identificar Riesgos
Determinar ProbabilidadDeterminar Impacto
3. Analizar Riesgos
4. Medir Riesgos
Definir/Afinar Apetito al RiesgoComparación de Indicadores de Riesgo y el Perfil de Riesgo
5. Ranking de Riesgos
Mon
itore
o y
Rev
isió
n
OBJETIVOS
Objetivos de NegociosFactores Críticos de ExitosProductosCultura al Riesgo de la Adm.
1. Establecer Contexto
Base de Datos de Pérdidas
Adm. de Riesgos
Apetito al Riesgo
Junta Directiva/Comité Riesgo
Operacional
Incidentes
IncidentesExternos
Workshops de Riesgo *
Reportes de Riesgos
Metodología de Evaluación de los Riesgos Operacionales
Gestión Riesgo Operacional – Metodología (Paso E)
32© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Identificación de Riesgos
Una vez identificados los procesos, áreas afectadas (personas) y los sistemas y controles asociados a dichos procesos es necesario identificar los riesgos existentes a partir de la elaboración de un mapa de riesgos.
Como primer paso para la elaboración del mapa de riesgos es necesario identificar los riesgos a la vista de los procesos y su clasificación asociados a los objetivos del negocio y productos y/o servicios del Banco.
Para tal efecto, existe una estructura de documentación que se expone en la página siguiente, que recoge toda la información relativa al tipo de riesgo, en donde se especifica:
– Objetivo de negocio
– Línea de Negocio
– Productos/Servicios
– Factores críticos de éxitos
– Clasificación de riesgos
– Riesgos afectados
– Respuesta al riesgo
Identificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Gestión Riesgo Operacional – Metodología (Paso E)
33© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Identificación de Riesgos
Identificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Ejemplo
Ilustrativo
Gestión Riesgo Operacional – Metodología (Paso E)
34© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Identificación de Riesgos
Identificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Ejemplo
Ilustrativo
Gestión Riesgo Operacional – Metodología (Paso E)
35© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Metodología Cualitativa. Proceso de Auto-evaluación
Una vez identificados los riesgos se debe cuantificar el impacto. El impacto de los eventos de riesgo operacional se cuantifican mediante dos parámetros:
• Severidad
• Frecuencia
La cuantificación de estos parámetros se lleva a cabo en base a la experiencia histórica. En la metodología cualitativa la experiencia histórica se basa en el conocimiento de las personasmás familiarizadas con el tipo de procesos donde se han identificado los riesgos que se quieren cuantificar.
Normalmente este tipo de práctica se lleva a cabo a través de talleres de trabajo de auto-evaluación para analizar cada uno de los riesgos identificados.
A partir de ello, se elaborará una matriz de impacto/probabilidad que nos permita obtener una visión global del nivel de vulnerabilidad de las áreas y procesos; y priorizar las opciones oportunas para corregir, controlar y mitigar dichas vulnerabilidades.
A continuación, se expone una estructura de documentación de auto-evaluación:
Identificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Gestión Riesgo Operacional – Metodología (Paso E)
36© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Metodología Cualitativa. Proceso de Auto-evaluaciónIdentificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Ejemplo
Ilustrativo
Gestión Riesgo Operacional – Metodología (Paso E)
37© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Metodología Cualitativa. Proceso de Auto-evaluación - Análisis y Gestión de Controles
Teniendo definido el nivel de exposición al riesgo inherente por cada tipo de riesgo, se realizará un análisis de controles existentes, analizando la efectividad de los actuales y proponiendo mejoras sobre los mismos o controles adicionales.
Para cada uno de estos controles se asignará un nivel de mitigación que permita tener una orientación en relación a la idoneidad del control, ese nivel de mitigación se comparará con el costo que supone: tanto desde el punto de vista económico como cualitativo.
Por tanto cada control irá caracterizado por dos aspectos que miden su eficiencia:
• Mitigación= cobertura de riesgos-costo operativo– Con la mitigación se trata de medir si cuesta más realizar el control que el riesgo que
mitiga, lo cual implicaría no implementar dicho control.• Calidad= Impacto en el plazo del proceso
– En la calidad intentamos medir como afecta este control a la calidad de servicio percibida por el cliente, ya sea por la tardanza en el tiempo de respuesta, la petición de información sensible,….
Lo ideal sería implementar controles con un nivel de calidad alto y un nivel de mitigación alto (importante ahorro y bajo costo operativo).
Identificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Gestión Riesgo Operacional – Metodología (Paso E)
38© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Metodología Cualitativa. Proceso de Auto-evaluación - Análisis y Gestión de Controles
Identificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Análisis Procesos /Mapa de Riesgos
Frec
uenc
ia
Severidad
P/R1P/R2
P/R3
P/R4
P/R5
P/Rn
Matriz Impacto/Probabilidad Frec
uanc
ia
Severidad
P/R2
P/R4
Efectividad Controles
P/R2
P/R4
Gestión Riesgo Operacional – Metodología (Paso E)
39© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Identificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Ejemplo
Ilustrativo
Metodología Cualitativa. Proceso de Auto-evaluación - Análisis y Gestión de Controles
Gestión Riesgo Operacional – Metodología (Paso E)
40© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Identificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Ejemplo
Ilustrativo
Metodología Cualitativa. Proceso de Auto-evaluación - Análisis y Gestión de Controles
Gestión Riesgo Operacional – Metodología (Paso E)
41© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Metodología Cualitativa. Indicadores de Riesgos (KRI)
Una vez evaluado el manejo de los riesgos, es importante disponer de indicadores (más conocidos como KRI, Key Risk Indicator) que nos permitan realizar una gestión preventiva de los mismos.
A continuación se describen las principales características que deben tener los Indicadores:
• Los Indicadores Claves de Riesgo Operacional son variables caracterizadas por tener una correlación positiva con una determinada exposición al riesgo operacional. Los indicadores clave de gestión de riesgo operacional deben funcionar como un sistema de alerta frente a pérdidas.
• Para ello deben ser cuantificables, y debe estar demostrada una relación positiva entre su incremento y el aumento de la exposición al riesgo operacional de la Entidad. Se deberáestablecer una unidad métrica apropiada a los indicadores bien en términos absolutos o relativos.
• Una vez definida la unidad con la que se medirá el indicador se podrá establecer un umbral de puntuación, por encima del cual saltará una alerta, que permita a la Entidad tomar las acciones correctivas necesarias para regularizar su situación.
Identificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Gestión Riesgo Operacional – Metodología (Paso E)
42© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Metodología Cualitativa. Indicadores de Riesgos (KRI)
MétricaIndicadores
10%
15%
t
Umbrales
Alarmas
Identificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Gestión Riesgo Operacional – Metodología (Paso E)
43© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Metodología Cualitativa. Indicadores de Riesgos (KRI) Identificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Ejemplo
Ilustrativo
Gestión Riesgo Operacional – Metodología (Paso E)
44© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Estrategias de Mitigación
Transferenciae.j. Asegurar
Reducción & Prevención
Plan Continuidad del Negocio (BCP)
Control & Capital
Metodología Cualitativa. Proceso de Auto-evaluación - Análisis y Gestión de Controles – Estrategia de Mitigación
Identificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Pérdida CatastróficaPerdida Esperada Pérdida Inesperada
Prob
abili
dad
de la
Pér
dida
Impacto de la Pérdida
Riesgo Inherente
Riesgo Residual
Gestión Riesgo Operacional – Metodología (Paso E)
45© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Identificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Metodología Cualitativa. Análisis y Gestión de Controles – Estrategia de Mitigación
Ejemplo
Ilustrativo
Gestión Riesgo Operacional – Metodología (Paso E)
46© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Identificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Metodología Cualitativa. Análisis y Gestión de Controles – Estrategia de Mitigación
Ejemplo
Ilustrativo
Gestión Riesgo Operacional – Metodología (Paso E)
47© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Metodología Cuantitativa
La Metodología Cuantitativa para abordar un proyecto de Riesgo Operacional se basa en los siguientes aspectos:
- Asignación de tipos de riesgo de pérdida (personas, procesos, y sistemas) a cada una de las áreas funcionales de la Entidad: Para cada uno de los riesgos que se quiere medir, identificar y vigilar se debe clasificar las pérdidas.
- Captura de datos internos de pérdida: La información sobre las pérdidas por riesgo operacional experimentadas por cada Entidad es básica par ligar las estimaciones de riesgo del banco a su historial de pérdidas efectivas.
- Utilización de bases de datos externas de pérdidas por riesgo operacional: La principal carencia en la construcción de un modelo interno de gestión del riesgo operacional es la escasez de datos en aquellos eventos con un alto impacto. Para completar las bases de datos internas, se debe complementar la información de pérdidas con información externa proporcionada por otras Entidades o consorcios.
- Análisis de escenarios y stress test: Un análisis de escenarios particularmente importante es el “Stress-Test” o realización de pruebas de estrés en donde se valida la bondad del modelo sometiéndolo a cambios significativos de sus variables
- Factores de mitigación del riesgo operacional: Las Entidades pueden utilizar elementos de cobertura que les permita reducir la exposición al riesgo operacional.
- El método propuesto para abordar la medición cuantitativa de pérdidas por Riesgo Operacional es el Método de Distribución de Pérdidas o “Loss Distribution Approach” (LDA).
Identificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Gestión Riesgo Operacional – Metodología (Paso E)
48© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Método Loss Distribution Approach
Externaldata
Operational event loss Database
Internaldata
Métodos
Estadísticos
BL & Risk7 ×8 Matrix
… … … …
… …
Risk1
Risk2
Risk3
… …
BL1
BL2
Monte
Carlo
Simulation
Loss Severity Distribution
Frequency Distribution
Monte
Carlo
Simulation
Loss Severity Distribution
Frequency Distribution
Loss Severity Distribution
Frequency Distribution
MontecarloSimulación
Loss Severity Distribution
Frequency Distribution
Identificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Gestión Riesgo Operacional – Metodología (Paso E)
49© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Pérdida CatastróficaPerdida Esperada Pérdida Inesperada
Prob
abili
dad
de la
Pér
dida
Impacto de la Pérdida
Distribución de pérdidas de la Organización
Riesgo Residual
Pérdida anual agregada ($)
99.9% percentil
Método Loss Distribution Approach
Gestión Riesgo Operacional – Metodología (Paso E)
50© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Como resultado se obtiene una distribución de pérdidas por cada unidad de negocio / tipo de riesgo, los cuales pueden agregarse.
Método Loss Distribution Approach
Distribution for Pérdida por Riesgo Operaciona Banca Inv...
Valu
es in
10
-9
Values in Millions
0.000
0.500
1.000
1.500
2.000
2.500
3.000
3.500
LDA!X7: Mean=2049940
LDA!W7: Mean=2116578
0 60 120 1800 60 120 180
99.89% .1% 0 71.8271
0 60 120 180
LDA!X7: Mean=2049940
LDA!W7: Mean=2116578
Banca Corporativa
Banca Inversión
Gestión Riesgo Operacional – Metodología (Paso E)
51© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Metodología Mixta. Integración Cuantitativa - Cualitativa
Actualmente se está produciendo una importante convergencia entre ambos métodos, método de distribución de pérdidas - LDA (Cuantitativo) y método de indicadores y evaluación de riesgo para la generación de escenarios internos (Cualitativo), de forma que en la práctica, las Entidades están empezando a utilizar una integración entre ambas metodologías, método mixto.
La práctica más común entre las Entidades en la aplicación del método mixto sigue los siguiente pasos:
- Análisis cualitativo, se obtiene un valor en riesgo basado en análisis de escenarios internos a partir de los mapas de riesgos elaborados, indicadores, evaluación y juicio experto que se servirá de referencia y/o validación a la información obtenida del método cuantitativo.
- Análisis cuantitativo para la obtención mediante una función de distribución de pérdidas una cifra de capital por riesgo operacional por el enfoque LDA.
La medición del Riesgo Operacional requerirá en un futuro de un enfoque integrado, en que los resultados obtenidos del proceso cualitativo se utilicen para la estimación cuantitativa de las pérdidas.
Identificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Gestión Riesgo Operacional – Metodología (Paso E)
52© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Metodología Análisis InternosLa metodología de análisis internos es un enfoque de evaluación de escenarios cuyo centro es el cálculo de capital requerido y la administración de riesgo operacional.Los pasos a seguir son:
Generación de escenarios: • Asegurarse de la apropiada definición, consistencia,
relevancia e integridad de los escenarios Evaluación de escenarios:• Evaluar escenarios en la organización considerando
información histórica, indicadores de riesgos, cobertura de seguros, calidad de los factores de riesgos involucrados, control interno y experiencia en la industria
• Utilización de los resultados del proceso de auto-evaluación
• Utilización del juicio experto• Formulación de potenciales frecuencias y severidades Calidad de los datos• Validación del proceso de evaluación de escenarios a
través de una instancia independiente (Comité de Riesgo Operacional)
• Revisión por parte de Auditoría Interna
Identificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Gestión Riesgo Operacional – Metodología (Paso E)
53© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Metodología Análisis Internos
Determinación de parámetros
• Formulación de parámetros en función a la distribución de probabilidad elegida basada en las pruebas de mejor distribución que se ajusta al escenario interno.
Modelación y simulación• Aplicación de simulación Montecarlo para cada escenario
interno• Validación de la consistencia de los resultados de las
simulaciones
Generación de salidas para cada escenario interno• Generación de una distribución de pérdida potencial para
cada escenario interno • Determinación del capital potencial necesario por riesgo
operacional para cada escenario interno y a nivel organizacional
Validación de los supuestos de generación de escenarios internos • Alineación de las bases de generación de escenarios
internos versus el comportamiento del análisis de las causas y efectos de los eventos reales de pérdidas operacionales.
Identificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Gestión Riesgo Operacional – Metodología (Paso E)
54© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
0.0% 99.9% 0.1%
-6.0 64.0
-20 0 20 40 60 80 100
Values in Thousands
0
1
2
3
4
5
6
Val
ues
x 10
^-5
Severidad de la Pérdida Fraude Interno (X)
Severidad de la Pérdida Fraude Interno (X)
Minimum -5802.3765Maximum 99270.3335Mean 11561.5669Std Dev 9930.4642Values 8000
Metodología Análisis Internos Identificación Procesos
Identificación Riesgos
Metodología Cualitativa
Metodología Cuantitativa
MetodologíaMixta Reporting
Cuantificación del Riesgo
Ejemplo
Ilustrativo
V a lor e n Rie s go de Aná lis is Inte rnos
-
20 ,000
40 ,000
60 ,000
80 ,000
100 ,000
120 ,000
V a lue a t Ris k 9 9 .9% ($ )
Es c enar io A
Es c enar io B
Cap ita lRequer id o
Gestión Riesgo Operacional – Metodología (Paso E)
55© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Lecciones Aprendidas sobre :Lecciones Aprendidas sobre :AutoAuto-- EvaluaciEvaluacióón n
•Para alcanzar resultados de alta calidad se logran después de varios procesos iterativos de auto evaluaciones, sin embargo, demasiados frecuentes o muy estandarizados pueden perder valor.
•La organización debe tomar las iniciativas necesarias para evitar el comportamiento humano de subestimar la severidad y la frecuenciade los eventos de riesgos en el proceso de auto evaluación.
Conducir un proceso de auto evaluación de riesgos basado en el perfil de riesgos, cambios de riesgos en las áreas y otros factores externos según sea la dinámica del negocio .
Gestión Riesgo Operacional – Metodología (Paso E)
56© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Lecciones Aprendidas sobre :Lecciones Aprendidas sobre :Indicadores de Riesgos (Indicadores de Riesgos (KRIsKRIs))
•Definir KRIs los más simple posible•Establecer límites en la definición de KRIs•La aplicación de los KRIs en términos de su frecuencia debe ser
compatible con las medidas de mitigación de riesgos.
Evaluar periódicamente el valor de los KRIs.
Gestión Riesgo Operacional – Metodología (Paso E)
57© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Lecciones Aprendidas sobre :Lecciones Aprendidas sobre :Opciones de Tratamiento al RiesgoOpciones de Tratamiento al Riesgo
•Es fundamental la participación de los distintos entes involucrados para la toma de decisiones de las distintas opciones de tratamiento al riesgo para lograr un balance entre lo definido en la estrategia de riesgos versus la situación actual.
Coordinación de los recursos involucrados mediante el comitéde riesgo operacional.
Gestión Riesgo Operacional – Metodología (Paso E)
58© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Enfoque de Riesgo Operacional Paso EConstrucción de las BasesCaptura de Datos y Mantenimiento
Objetivo: Definición de las variables de eventos de riesgo operacional para el diseño de la base de datos y definición de los procesos de captura y mantenimiento de datos de pérdidas operacionales. Enfoque:• Integración a la administración de riesgo operacional el proceso de identificación y
recolección de pérdidas de acuerdo a las directrices del marco de Basilea II. • Identificación de los potenciales eventos de pérdidas operacionales internos del Banco
como fuente primaria para el diseño de la base de datos.• Análisis de potenciales eventos de pérdidas operacionales a los que el Banco puede estar
expuesto en forma significativa pero de carácter infrecuente para la evaluación de recolección de datos de fuentes externas.
• Diseño e implementación de la base de datos entre Riesgo Operacional, Procesos y Tecnología.
• Trabajo en equipo entre los coordinadores y riesgo operacional a partir del Reporte de Incidencias de Eventos y Pérdidas Operacionales para la captura y mantenimiento de datos.
Gestión Riesgo Operacional
59© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Lecciones Aprendidas sobre :Lecciones Aprendidas sobre :Bases de Datos de Eventos de PBases de Datos de Eventos de Péérdidasrdidas
•Aprender de los eventos de pérdidas.•Analizar cada evento de perdida desde la perspectiva:
Causa – Evento - Efecto•El registro de eventos es esencial en el desarrollo del método de
cuantificación.
Diseñar e implantar un proceso de registro de eventos de pérdidas lo antes posible
Gestión Riesgo Operacional
60© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Enfoque de Riesgo Operacional Paso EConstrucción de las BasesModelos de Medición de Riesgos OperacionalesModelos de Requerimientos de Capital
Objetivo: Contar con los propios modelos cuantitativos internos para otorgar alta flexibilidad en la gestión de diversificación, correlación y mitigación de los riesgos operacionales.
Enfoque:•Definición de los datos de entrada (internos, externos, escenarios, ambiente de negocios,
factores de control, estrategias de seguros). •Diseñar los modelos matemáticos y estadísticos internos con sus respectivos supuestos. •Estrategia de pruebas y validación de supuestos de los modelos de cuantificación. •Definición de escenarios internos sobre base cualitativa. •Medición de pérdida esperada e inesperada sobre base cualitativa. •Alineación de pérdida esperada e inesperada versus datos de pérdidas de eventos
operacionales históricos.•Medición de requerimientos de capital por línea de negocio e institución.
Gestión Riesgo Operacional
61© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Lecciones Aprendidas sobre :Lecciones Aprendidas sobre :Requerimientos de CapitalRequerimientos de Capital
•La cuantificación del capital necesario por riesgo operacional requiere que la información disponible sea de suficiente calidad y con adecuada historia para otorgar valor en sus resultados.
•La calidad de la información es crítica
Los requerimientos de capital basado en sus propios modelos se sustentan en una estructura de administración de riesgo operacional madura.
Gestión Riesgo Operacional
62© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Enfoque de Riesgo Operacional Paso EConstrucción de las BasesTecnología de la Información
Objetivo: Contar con una apropiada tecnología de la información es la base fundamental y facilita la administración de riesgo operacional en toda la organización
Enfoque:• Identificación de todos los requerimientos y especificaciones funcionales del sistema de
administración de riesgo operacional para el desarrollo interno y/o selección de vendedores de soluciones.
• Identificación de los actuales procesos de negocios automatizados del Banco para anexar y/o alinear los procesos de riesgos operacionales.
•Consideración de cómo identificar, registrar, actualizar y almacenar la información mediante la tecnología de la información.
•Automatización del proceso de riesgo operacional para la emisión de reportes internos y externos, almacenamiento de datos, indicadores de riesgos, alertas tempranas, modelos de cuantificación y requerimientos de capital.
Gestión Riesgo Operacional
63© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Lecciones Aprendidas sobre :Lecciones Aprendidas sobre :TecnologTecnologíía de la Informacia de la Informacióón (IT)n (IT)
•Ganar experiencia para la clara identificación de todos los requerimientos y especificaciones funcionales del sistema de administración de riesgo operacional para el desarrollo interno y/o selección de vendedores de soluciones.
Utilizar a IT como una herramienta y no como una unidad resolución de problemas.
Gestión Riesgo Operacional
64© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Enfoque de Riesgo Operacional – En resumen …Fase 1 Fase 2 Fase 3
A D M I N I S T R A C I Ó N D E L P R O Y E C T O
EVALUAR Y PLANIFICAR DISEÑO E IMPLEMENTACIÓN
Gap
Ana
lysi
s
Enfo
que
de
Impl
emen
taci
ón
Pilo
to y
Rev
isió
n
Estrategia de Riesgos
Base de eventos de pérdidas
Evaluación
Mitigación
Indicadores: Key Risk Indicators (KRI)
Diseño de reportes
Cálculo del capital
Tecnología de la información
Ges
tión
cotid
iana
del
R
iesg
o O
pera
cion
al
Fase 4PRUEBAS PILOTO Y
REVISIÓNMONITOREO
YCONTROL
Estructura Organizacional
Definición de tipos y categorías
Rol
l-Out
Pla
n
Plan
mae
stro
de
Impl
emen
taci
ón
Gestión Riesgo Operacional
65© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Frec
uenc
ia
Procesamiento cheques
Fraude Credit Card
Reclamos clientes
Entrada virus Ataque seguridades
FraudeInternet
No autorizaciones trading
Incumplimientoregulatorio
MergersErrormodelos
LitigiosFallasenergía
Documentacióncréditos
Rotaciónpersonal
IT migracionesconversiones
Operaciones tesorería
TerrorismoDesastres naturales
Reportes financierosFraude corporativo
ImpactoP.E
P. I P. C
Mejoras eficienciaUso de tecnologíaEn presupuesto
ControlableEstimableCapital
BCPSegurosNo estimada estadísticamente
En resumen tenemos identificados los riesgos …
Gestión Riesgo Operacional
66© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
En resumen tenemos una metodología integral de gestión …
AnAnáálisislisis
Procesos. ControlesAutoevaluación Indicadores. Alertas
autorizacionesBest practices &
standardsEventos de pérdidas &
cercanos
Mejoras Operacionales Estrategias de mitigacióntransferencia Mejores Controles
GestiGestióón de Capitaln de Capital
• Simulaciones y modelación• Indicadores de tendencias• Correlaciones de eventos de
pérdida y autoevaluación• Análisis causal
• Auditoría• Equilibrio controles/operación• Políticas controles, estructura,
organización
• Menores pérdidas operacionales• Mayor eficiencia• Benchmarking
Como se hace Que tan bien se hacen Que pérdidas se encontraronQue se puede aprender
• Ajuste capital• Reportes financieros y regulatorios
Comprensión
Información
Datos
Gestión
Reporte
Gestión Riesgo Operacional
67© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Impacto0%
10%15%20%25%30%35%
ProcesosGente
ExternosSistemas
Causas del Riesgo
1. Governace/Estructuras
2. Programas de Mitigación de Riesgos
3. Herramientas y Mecanismos
4. Cuantificación
Carlo
Aseguramiento Goblal del programa
Administración para la continuidad del negocio
Frecuencia del Evento
Definición de Políticas para Riesgo Operacional y Gobernabilidad
Controles Internos
Frecuencia Alta – Bajo
ImpactoFrecuencia Baja – Alto
ImpactoCatastrófico
Pérdidas Esperadas
Pérdidas No esperadas
Auto-evaluación de los controles (CSA)
Administración del riesgo asociado al evento y reportes
Key Risk Indicator (KRIs)
Análisis de Riesgo y Reportes
Nuevos productos/p.ej. Servicios de procesos
Proceso Mapeo
PE - Provisión ASIGNACIÓN DE CAPITAL
En resumen tenemos una estructura de riesgo operacional …
Gestión Riesgo Operacional
68© 2009 KPMG, una sociedad civil panameña y firma de la red de firmas miembro independientes de KPMG afiliadas a KPMG Internacional, una cooperativa suiza. Derechos reservados. Impreso en Panamá
Gracias por su Atención
Arturo E. CarvajalDirector
Financial Risk ManagementKPMG
La información aquí contenida es de carácter general y no va dirigida a facilitar los datos o circunstancias concretas de personas o entidades. Si bien procuramos que la información que ofrecemos sea exacta y actual, no podemos garantizar que siga siéndolo en el
futuro o en el momento en que se tenga acceso a la misma. Por tal motivo, cualquier iniciativa que pueda tomarse utilizando tal información como referencia, debe ir precedida de una exhaustiva verificación de su realidad y exactitud, así como del pertinente
asesoramiento profesional.