Este documento presenta un taller sobre bases de datos de eventos de pérdida por riesgos operacionales dirigido a entidades bajo la supervisión de la SBS de Perú. El taller cubre temas como generalidades de riesgo operacional, definición de eventos de riesgo operacional, fronteras del riesgo operacional, valoración de eventos, clases de riesgo y ejercicios prácticos. El objetivo es crear un marco de gestión que permita controlar el riesgo operacional identificando, midiendo, valorando y mitigando
Sistema de Control Interno aplicaciones en nuestra legislacion
Bases de datos de eventos de pérdida por riesgos operacionales
1. 1
Jordi García - Consultor
Jordi García
Consultor
BASES DE DATOS DE EVENTOS
DE
PÉRDIDA POR RIESGOS OPERACIONALES
Lima, 6 al 15 de Septiembre 2011
DIRIGIDO A ENTIDADES BAJO LA
SUPERVISIÓN DE LA SBS DE PERÚ
TALLER
2. 2
Jordi García - Consultor
Las opiniones vertidas en el presente taller se
realizan a título personal y no representan la opinión
de la Superintendencia de Banca, Seguros y AFP del
Perú, ni del Banco Interamericano de Desarrollo
Nota del Consultor
3. 3
Jordi García - Consultor
!! Generalidades de riesgo operacional
!! Definición de evento de riesgo operacional
!! Fronteras del riesgo operacional
!! Eventos simples y múltiples
!! Valoración de los eventos de riesgo operacional
!! Eventos temporales
!! Eventos que no generan pérdidas
!! Clases de riesgo
!! Clases de riesgo: aclaraciones
!! Líneas de negocio
!! Ejercicios prácticos
!! Preguntas y respuestas
Temas
Introducción y generalidades
4. 4
Jordi García - Consultor
El gobierno corporativo es el conjunto de principios y normas que regulan
el diseño, integración y funcionamiento de los órganos de gobierno de la
empresa, con el fin de proteger sus intereses y los de sus accionistas,
monitorizando la creación de valor y el uso eficiente de los recursos
OBJETIVO ÚNICO:
Crear un marco de gestión permanente que
permita controlar el Riesgo Operacional
•!Identificar
•!Medir
•!Valorar
•!Mitigar
Gobierno Corporativo: Riesgo Operacional
5. 5
Jordi García - Consultor
Gestión del riesgo = Gestión de la incertidumbre
Riesgos Riesgo de Crédito
Riesgo de Mercado
Riesgo Operacional
Riesgo de Negocio
Riesgo
Reputacional
Basilea II: ”Riesgo operacional es el riesgo de pérdida resultante de una falta de
adecuación o de un fallo de los procesos, el personal y los sistemas internos o bien por
acontecimientos externos. Incluye el riesgo legal pero excluye el de negocio.”
Definiciones: Riesgos del sistema financiero
Riesgo Técnico
6. 6
Jordi García - Consultor
Diseño del
Proceso
Ejecución
Resultado
Gestión del proceso
Acciones orientadas al
control del riesgo
Los procesos se cumplen
según lo planeado
Proceso:
Conjunto de acciones sistemáticas y
repetitivas por las que unas entradas
(inputs) se convierten en un producto
o servicio final (outputs)
Riesgo operacional es aquél que existe en todo proceso, y cuya consecuencia
es que el resultado esperado no se produzca tal y como se había planeado, no
pudiendo atribuir la falla al riesgo de crédito, de mercado o de negocio
Definición de RO en términos de procesos
7. 7
Jordi García - Consultor
Definición de evento de riesgo operacional
Evento de riesgo operacional:
•! Es un incidente que se presenta en un proceso y cuya consecuencia es
que el resultado final del mismo difiere de lo que se había planeado
•! Es debido a una falta de adecuación o de un fallo de los procesos, el
personal y los sistemas internos o bien por acontecimientos externos
8. 8
Jordi García - Consultor
•! Cualquier impacto negativo registrado en cuentas de resultados o en la
situación patrimonial de la Entidad, y que haya sido provocado a consecuencia
de cualquier evento de riesgo operacional
•! La pérdida está constituida por un registro contable contabilizado en cuentas de
resultados, en rúbricas de gastos generales y/o cuentas patrimoniales
•! No se contempla el contenido de cuentas transitorias, cualquiera que sea su
naturaleza
•! Si se podrá registrar cualquier provisión realizada sobre eventos acaecidos y no
reconocidos en resultados
•! No formarán parte de la base de datos aquellos eventos que generen un
impacto positivo para la entidad (diferencias de Caja acreedoras, errores en la
ejecución de operaciones de valores, etc....)
Definición de evento de riesgo operacional
Pérdida por riesgo operacional
9. 9
Jordi García - Consultor
Debilidades que
provocan la aparición
de factores de RO
Causas
Proceso mal
diseñado
Escasa formación
profesional
Toda circunstancia que
puede desembocar en
un evento de RO
Riesgos
Riesgo de error
en el proceso
Suceso que constituye
la materialización del RO
Eventos
Error de entrada
de datos
Indenmización
al cliente
Impacto que produce
el evento (pérdida)
Impacto
Definición de evento de riesgo operacional
Secuencia natural de los acontecimientos
10. 10
Jordi García - Consultor
Eventos típicos de riesgo operacional
•! Errores operativos
•! Fraudes (interno & externo)
•! Actividad no autorizada
•! Fugas de talento
•! Incumplimiento normativo
•! Caída de sistemas
•! Fallos de programación
•! Sobrepasar atribuciones/límites
•! Accesos indebidos a sistemas
•! Daños en edificios
•! Incumplimiento de proveedores
•! Pérdidas por litigios
Eventos importantes
•! 11S
•! Barings Bank
•! La conversión del Euro en Europa
•! Gescartera
•! Allied Irish Banks
•! Madoff
•! Terremoto en Chile (2010)
Definición de evento de riesgo operacional
11. 11
Jordi García - Consultor
Riesgo
RESIDUAL
Riesgo
INTRÍNSECO
Es el riesgo que provoca
los eventos de RO
RO inherente a
cualquier proceso
CONTROLES
Actividades orientadas a
la mitigación del riesgo
- =
¿Qué riesgo provoca eventos de RO?
Es medible cualitativa
y cuantitativamente
Sólo es medible
cualitativamente
Son medibles
cuantitativamente
Definición de evento de riesgo operacional
12. 12
Jordi García - Consultor
Pérdidas Directas
!! Impacto directo en utilidades
!! Costes de reparación
!! Cuentas “puras” (100% RO)
!! Fraudes
!! Faltas en caja
!! Multas
!! Ocultas en otros gastos
!! Consultoría de sistemas
!! Gastos legales
!! Otros gastos “correctivos”
!"#$"%&'#(')#*+#,'-.%#/.0./1("#
Causa
Evento
Impactos
Pérdida
directa Pérdida
indirecta
Lucro
cesante
Cómo afecta el RO a los resultados: pérdidas directas
Definición de evento de riesgo operacional
13. 13
Jordi García - Consultor
Pérdidas Indirectas
!! Ineficiencias:
!! Reprocesos
!! Horas extras
!! Errores en diseño de procesos
!! Otras tipologías:
!! Errores en precios
!! Compensaciones
23&40#'0#)"#/.0&"51)1("(6#$'%.#3.0#('#
(17/1)#/"$&8%"#Causa
Evento
Impactos
Pérdida
directa Pérdida
indirecta
Lucro
cesante
Definición de evento de riesgo operacional
Cómo afecta el RO a los resultados: pérdidas indirectas
14. 14
Jordi García - Consultor
Lucro Cesante
!! Pérdida de negocio/clientes
!! Imposibilidad de cargar comisiones
!! Clientes insatisfechos que reducen
su actividad con el Banco
!! Pérdida de personal clave
!! Eventos reputacionales
917/1)#('#1('0:;/"%#<#,'(1%#Causa
Evento
Impactos
Pérdida
directa Pérdida
indirecta
Lucro
cesante
Definición de evento de riesgo operacional
Cómo afecta el RO a los resultados: lucro cesante
15. 15
Jordi García - Consultor
R
R
H
H
•!Falta de recursos
•!Escasa formación
•!Alta rotación
•!Outsourcing
•!Pérdidas de talento
G
E
S
T
I
Ó
N
P
R
O
C
E
S
O
S
•!Controles deficientes
•!Defectos en los sistemas
•!Falta de segregación funcional
•!Escasa seguridad informática
•!Falta de planes de contingencia
•!Exceso de manualidad
F
A
C
T
O
R
E
S
I
N
T
E
R
N
O
S
F
A
C
T
O
R
E
S
E!
X!
T
E
R
N
O
S
•!Desastres
•!Fraude
Causas que producen eventos de RO
Definición de evento de riesgo operacional
16. 16
Jordi García - Consultor
Gestión del Riesgo Operacional
2 maneras de gestionar el riesgo operacional
Identificando riesgos y controles antes
de que sucedan los eventos (gestión
proactiva)
Enfoque Cualitativo
“ex-ante”
Los eventos ocurridos nos sirven de
base para identificar el riesgo (gestión
reactiva)
Enfoque Cuantitativo
“ex-post”
Ambos modelos de gestión deben coexistir
Definición de evento de riesgo operacional
17. 17
Jordi García - Consultor
Fronteras del riesgo operacional
Riesgo asociado a la insolvencia de las contrapartidas
(clientes) a las que la entidad ha prestado, garantizado o
vendido productos.
Riesgo de crédito=#
Riesgo de pérdidas debido a los movimientos de precios en
los mercados (tasas de interés, tipos de cambio, precios de
las acciones en bolsa, etc…) en las posiciones que la
entidad tiene abiertas
Riesgo de mercado>#
No forman parte del riesgo operacional
Riesgo asociado a falta de liquidez que impida a la entidad
atender sus necesidades de caja para hacer frente a sus
obligaciones de pago
Riesgo de liquidez?#
18. 18
Jordi García - Consultor
Fronteras del riesgo operacional
Riesgo de inversión o desinversión en negocios o
productos, debido al entorno económico, decisiones
erróneas o inadaptación a los cambios
Riesgo estratégico@#
Riesgo asociado a la marcha del negocio por caídas en la
actividad, en las ventas o estrechamiento de márgenes, sin
capacidad de reacción para contrarrestarlo
Riesgo de negocioA#
Riesgo asociado a la implantación de proyectos porque
éstos no cumplan con las expectativas o porque se
sobrepasen los presupuestos
Riesgo de proyectoB#
No forman parte del riesgo operacional
Es consecuencia de los demás riesgos. Es el riesgo
asociado a un cambio en la percepción de los
“stakeholders” (grupos de interés) con respecto a la
Entidad, perjudicando su imagen y por consiguiente
afectando a su capacidad de generar negocio
Riesgo reputacionalC#
19. 19
Jordi García - Consultor
Eventos
simples
Un evento simple es aquél que genera un solo
impacto en la contabilidad.
Ejemplo: Una multa por incumplimiento normativo
Eventos
múltiples
Un evento múltiple es aquél que genera varios
impactos en la contabilidad.
Ejemplo: Un fraude de tarjetas de crédito que afecta
a muchos clientes
Eventos simples y múltiples
Depende del número de impactos
20. 20
Jordi García - Consultor
Eventos
monolínea
Un evento monolínea es aquél que afecta a una sola
línea de negocio.
Ejemplo: Una multa por incumplimiento normativo
Eventos
multilínea
Un evento multilínea es aquél que afecta a varias
líneas de negocio.
Ejemplo: Un desastre en un edificio en el que están
ubicadas dos líneas de negocio.
Eventos simples y múltiples
Depende del número líneas de negocio afectadas
21. 21
Jordi García - Consultor
Simple
Múltiple
Monolínea Multilínea
evento simple que
afecta sólo a
una LdN
evento simple
que afecta a
varias LdNs
evento múltiple
que afecta sólo a
una LdN
evento múltiple
que afecta a
varias LdNs
Número de líneas de negocio
Númerodeimpactos
Eventos simples y múltiples
Si se combina todo…
22. 22
Jordi García - Consultor
•! Se realiza consolidando en un solo importe el impacto económico de los
diversos tipos de pérdidas, aunque se encuentren registradas en cuentas
diferentes
•! Cada evento informado integra todos los componentes de la pérdida
independientemente de la cuenta donde estén registrados
•! La valoración se basa en la información contenida en los registros contables
•! Incluirá costes de oportunidad (intereses y gastos financieros), pero no el lucro
cesante derivado de eventuales pérdidas de negocio
•! Cuando interviene alguna variable de mercado, (tipo de cambio, de interés,
precio de activos financieros, etc.) la pérdida se calcula aplicando los precios
existentes en el momento de la identificación del evento (momento en el que la
operación deba ser anulada o regularizada)
Valoración de los eventos de riesgo operacional
Cuantificación
23. 23
Jordi García - Consultor
•! Todos los eventos se reportan en moneda local, independientemente de la
divisa en que se haya registrado el evento, al tipo de cambio existente en la
fecha de registro contable
•! Activo fijo e inmaterial. Con el fin de aplicar un criterio único:
•! Activos sustituidos. Se considera pérdida el precio de reposición del activo,
(importe de adquisición o el valor presente de las obligaciones contraídas)
•! No se tienen en cuenta las mejoras tecnológicas que pueda incorporar el
nuevo equipamiento
•! Activos no reemplazados. La pérdida se valora teniendo en cuenta el
precio de mercado del activo en el momento de producirse el evento
•! En el supuesto de que no sea conocido, la pérdida se registra
considerando el valor del activo en libros
Cuantificación (2)
Valoración de los eventos de riesgo operacional
24. 24
Jordi García - Consultor
•! En determinadas circunstancias un evento de riesgo operacional puede tener un
impacto definido y cuantificable, aun cuando no se encuentre reflejado en
cuentas de resultados
•! Ejemplo: Si por error se omite el cobro de comisiones y una vez descubierta
la omisión no existe posibilidad práctica o legal de efectuarlo, se registrará
el evento como si se tratara de una pérdida realmente contabilizada
•! Provisiones. Habitualmente el evento se registrará en el momento en que sea
conocido su impacto definitivo
•! No obstante, en ocasiones, el impacto de un evento de riesgo operacional puede
registrarse mediante una provisión antes de que el importe exacto de la pérdida
sea definitivamente conocido
Otras pérdidas
Valoración de los eventos de riesgo operacional
25. 25
Jordi García - Consultor
•! Los costes o gastos extraordinarios soportados por la ocurrencia del evento
•! En caso de existir, simultáneamente, efectos positivos y negativos se calculará
el importe neto de ambos
•! Los costes de oportunidad en términos financieros (intereses y comisiones no
percibidos)
•! El evento se computa por su importe bruto sin deducir la recuperación
conseguida mediante gestiones realizadas una vez reconocido el evento y/o por
los seguros contratados para la mitigación
Se incluyen
Valoración de los eventos de riesgo operacional
26. 26
Jordi García - Consultor
•! Costes internos resultado de la dedicación de miembros de la plantilla a la
resolución del evento así como el coste de eventuales horas extraordinarias.
•! El importe de los contratos de mantenimiento formalizados previamente para
evitar o mitigar determinado tipo de eventos, así como el importe de las primas de
seguro satisfechas para la cobertura de siniestros.
•! Coste de las mejoras realizadas para evitar futuros eventos de riesgo
operacional.
•! Coste del asesoramiento jurídico cuando el Banco renuncia a seguir adelante con
un proceso legal.
•! Errores en la contabilidad de gestión.
•! Lucro cesante asociado al evento (operaciones no materializadas o pérdidas de
negocio derivadas del mismo).
Se excluyen
Valoración de los eventos de riesgo operacional
27. 27
Jordi García - Consultor
Un evento temporal es aquél que constituye una distorsión temporal de la cuenta de
resultados. Cuando se soluciona el problema, la cuenta de resultados se queda
como si el evento no hubiera ocurrido
•! El caso más común es cuando a un cliente se le cobra un tasa de interés mayor
que la pactada en contrato. El cliente se da cuenta y reclama. El Banco realiza un
ajuste a resultados para compensar al cliente.
•! Errores en la contabilidad que sobreestiman los resultados de la empresa
Excepciones:
•! Hay casos donde la cuenta de resultados sí se ve afectada. Pensemos en un
caso en que la cuenta de resultados se ha visto afectada durante varios años por
un error. La empresa espera una demanda de los accionistas, pues el dividendo y
el precio de la acción de han visto reducidos. El coste del litigio (indemnizaciones,
costes judiciales, etc…) representarían, en este caso, la valoración del evento
En general, no constituyen pérdida
Eventos temporales
28. 28
Jordi García - Consultor
Eventos que no generan pérdidas
Riesgo
RESIDUAL
Riesgo
INTRÍNSECO
El riesgo residual es
nulo ya que no se ha
producido ninguna
pérdida que
deba registrarse
El riesgo intrínseco produce
un evento de RO
CONTROLES
Los controles funcionan
correctamente y detectan
el evento antes de que se
produzca el impacto
- =
•! Muchas entidades registran los eventos que no generan pérdidas en otras
bases de datos (centrales o departamentales) con el fin de mejorar sus
procesos de gestión
•! También constituyen una fuente de información para la elaboración de los KRI
(Key Risk Indicators)
29. 29
Jordi García - Consultor
Clases de riesgo y líneas de negocio
Resolución SBS 2116-2009 de 2/4/09
SBS de Perú ha publicado la presente resolución que obliga las entidades
reguladas (Entidades Financieras, Aseguradoras y AFP) a controlar su riesgo
operacional:
•! Involucrando al Directorio
•! Implicando a la Gerencia
•! Establece la necesidad de un Área de Riesgo Operacional
•! Con políticas y herramienta de gestión
•! Estableciendo clases de riesgo y líneas de negocio
•! Creación de una base de datos de eventos
•! Comités de riesgos para la gestión
•! Reporting básico
•! Implicando a auditores internos, externos y agencias de rating
34. 34
Jordi García - Consultor
•! Debe existir intencionalidad y ánimo de lucro
•! Para poder calificar un evento de fraude es necesario evaluar la intencionalidad
con que se han realizado las acciones que desencadenaron la pérdida,
diferenciando si existe o no ánimo de lucro
•! Existe ánimo de lucro cuando la persona que comete la acción persigue un
beneficio personal ilícito (obtención de provecho o enriquecimiento para sí
mismo o para un tercero, en perjuicio de la entidad)
•! Si ha existido intención de provocar un daño sin ánimo de lucro el evento se
clasificará en Daños en Activos Físicos o en Seguridad de los Sistemas
...y para que se clasifique como Fraude interno
•! Colaboración o participación interna. Se precisa el concurso de una persona
vinculada con la entidad
Clases de riesgo: aclaraciones
Fraudes
35. 35
Jordi García - Consultor
•! Existe Fraude Interno, Robo y Fraude si se cumplen las siguientes condiciones:
intencionalidad, existencia de ánimo de lucro e intervención de una persona
vinculada a la entidad
•! La diferenciación entre Robo y Fraude y Actividad no autorizada, se realizará
atendiendo al rango de la norma incumplida (si se incumple un a Ley estatal
será Fraude, si se incumple una norma interna, entonces será Actividad no
Autorizada
•! Un evento que reúna las tres condiciones exigidas se clasificará como “Fraude
Interno. Robo y Fraude” si la acción puede ser tipificada como delito según la
legislación vigente (código penal...) y sea sancionable por los órganos
jurisdiccionales.
Clases de riesgo: aclaraciones
Fraude interno
36. 36
Jordi García - Consultor
•! Un evento se clasifica como “Fraude Interno. Actividad no autorizada” cuando
es cometido por una persona vinculada a la entidad, con ánimo de obtener
beneficio para sí mismo o para un tercero; aunque en principio no pueda
asociarse directamente a una ganancia económica, y se haya originado como
consecuencia del incumplimiento de la política, normas y procedimientos
internos de la entidad y facultades o atribuciones otorgadas sin que la acción
pueda ser calificada de delito
Clases de riesgo: aclaraciones
Actividad no autorizada
Fraudeinterno
37. 37
Jordi García - Consultor
•! Se clasifica en este grupo cualquier fraude cometido por una persona ajena a la
Entidad
•! Aquellos eventos en que se demuestre la existencia de colaboración o
participación de una persona vinculada a la entidad se clasificarán como Fraude
Interno
•! Seguridad de los sistemas. En esta subcategoría se clasifican las pérdidas
provocadas por una acción externa mediante la vulneración de la integridad de
los sistemas informáticos de la entidad utilizando los sistemas de comunicación
existentes o las utilidades puestas a disposición de terceros
•! Si las pérdidas se deben a la sustracción de soportes magnéticos, bases de
datos, información confidencial (códigos de acceso, claves, relación de
contratos, etc.) mediante algún procedimiento físico, la pérdida originada se
clasificará dentro del apartado de “Fraude externo. Robo y fraude”
Clases de riesgo: aclaraciones
Robo y Fraude, Seguridad de los Sistemas
Fraudeexterno
38. 38
Jordi García - Consultor
•! Toda pérdida originada por daños sufridos en activos materiales de la entidad,
se clasificará en esta categoría. Se incluirán, asimismo, los costes relacionados
con eventuales pérdidas humanas causadas por desastres naturales, actos de
terrorismo, etc
•! Cuando el daño se deba a un fraude externo o interno, no se clasificará en esta
categoría
Daños a activos materiales
Clases de riesgo: aclaraciones
39. 39
Jordi García - Consultor
•! Las pérdidas causadas por fallos en los sistemas informáticos se clasificarán dentro
de esta categoría
•! Se considera un “fallo en los sistemas informáticos” al deficiente funcionamiento del
“hardware” o equipamiento (cualquiera que sea su ubicación) y al “software” cuyo
desarrollo y mantenimiento sea competencia exclusiva de la Unidad de Sistemas de
Información de la Entidad
•! En consecuencia, los errores involuntarios originados por el uso inadecuado de
aplicaciones departamentales mantenidas por el usuario y otras herramientas
ofimáticas puestas a su disposición, tales como hojas de cálculo, tratamientos de
texto, etc. se clasificarán en la categoría “Ejecución, entrega y gestión de procesos”
•! También se incluirán en este grupo los eventos derivados de interrupciones de
algún servicio (energía eléctrica, líneas de comunicaciones, -voz y datos-, etc.) que
puedan desencadenar fallos en los sistemas
Clases de riesgo: aclaraciones
Interrupción del negocio y fallos en los sistemas
40. 40
Jordi García - Consultor
En esta categoría se incluyen todas las pérdidas relacionadas con la gestión de
Recursos Humanos:
•! Despidos improcedentes (que no respondan a decisiones estratégicas o
de negocio)
•! Costes relacionados con eventuales demandas por incumplimientos de
acuerdos laborales, de políticas de selección y contratación, prácticas
discriminatorias, etc.
•! Multas e indemnizaciones satisfechas como consecuencia del
incumplimiento de la normativa laboral y de las condiciones de
Seguridad e Higiene en el trabajo, etc.
Relaciones laborales y seguridad en el puesto de trabajo
Clases de riesgo: aclaraciones
41. 41
Jordi García - Consultor
Se incluyen en esta categoría las pérdidas derivadas de errores en el procesamiento de
operaciones o en la gestión de procesos, así como de relaciones con contrapartes
comerciales y proveedores
•! En consecuencia, se encuadrará dentro de este grupo toda pérdida originada por un
evento en el que concurran las siguientes condiciones:
•! La pérdida haya sido provocada por acción u omisión en la ejecución de
operaciones, errores involuntarios cometidos en la operativa y gestión de
procesos
•! Que la transacción origen de la pérdida no se encuentre vinculada al proceso de
comercialización de productos o servicios
Clases de riesgo: aclaraciones
Ejecución, entrega y gestión de procesos
42. 42
Jordi García - Consultor
•! Este subgrupo recogerá todos los eventos que no tengan cabida en el resto de los
apartados de esta categoría. Es decir la asignación se realizará por exclusión
•! En particular, se incluirán todos los eventos que supongan una pérdida directa
para la entidad, como consecuencia de:
•! errores en la introducción y mantenimiento de datos
•! ejecución deficiente de procedimientos de control
•! comunicaciones realizadas a otras contrapartidas y corresponsales
•! en general, cualquier fallo en el funcionamiento de los procesos
habituales de la entidad no contemplados en las siguientes subcategorías
Clases de riesgo: aclaraciones
Recepción, ejecución y mantenimiento de operaciones
Ejecución,entregaygestióndeprocesos
43. 43
Jordi García - Consultor
En este apartado se incluirá cualquier pérdida ocasionada por errores
involuntarios en el suministro de información obligatoria (en contenidos y plazos
de entrega) que deba remitirse a:
•! clientes
•! inversores
•! organismos e instituciones, etc.
cualquiera que sea el medio por el que se cursen, excepto la transmisión
mediante sistemas telemáticos, en cuyo caso, la pérdida se clasificará como
“Incidencias en el negocio y fallos en los sistemas”
Seguimiento y presentación de informes
Clases de riesgo: aclaraciones
Ejecución,entregaygestióndeprocesos
44. 44
Jordi García - Consultor
Se incluirán las pérdidas ocasionadas por:
•! Errores cometidos en el proceso de formalización de cualquier tipo de
contratos (activos, pasivos o de servicios) que ocasionen la pérdida o
defectos de forma en los mismos (de clientes, proveedores,
contrapartidas, etc.), o por no haberse formalizado ningún documento
•! Deficiencias en la documentación y justificación de toda clase de
operaciones que afecte a la fuerza ejecutiva del contrato o suponga el
deterioro de la posición mantenida por la entidad en su defensa jurídica
Clases de riesgo: aclaraciones
Aceptación de clientes y documentación
Ejecución,entregaygestióndeprocesos
45. 45
Jordi García - Consultor
•! Se recogen en esta subcategoría las pérdidas provocadas por la errónea
ejecución o negligente tratamiento de instrucciones y órdenes impartidas por
clientes, ocasionados por el uso indebido de la cuenta del cliente, la ejecución
errónea de cualquier tipo de instrucciones, la demora en su tramitación, etc.
•! Cuando el quebranto sea consecuencia de fallos en los procesos internos,
normalmente tendrán repercusión sobre un amplio colectivo de clientes. En este
caso el evento se clasificará en la subcategoría “Recepción, ejecución y
mantenimiento de operaciones”
•! Si el control y ejecución de estas instrucciones reside en los sistemas de
información de la entidad, la pérdida provocada por un defecto en su
funcionamiento se clasificará como “Interrupción de negocio y Fallos en los
Sistemas”
Gestión de cuentas de clientes
Clases de riesgo: aclaraciones
Ejecución,entregaygestióndeprocesos
46. 46
Jordi García - Consultor
Se incluyen en este capítulo las pérdidas causadas por:
•! El incumplimiento involuntario de obligaciones contractuales de la
entidad con otras contrapartidas (no clientes)
•! Las pérdidas ocasionadas a consecuencia de diferencias resueltas por
acuerdo directo entre partes o conciliación alcanzada mediante la
intervención de un tercero para dirimir una controversia
Contrapartes comerciales
Clases de riesgo: aclaraciones
Ejecución,entregaygestióndeprocesos
47. 47
Jordi García - Consultor
Con frecuencia, la realización de una parte de los procesos de la Entidad se
subcontratan con empresas de servicios
•! En este grupo se clasificarán, exclusivamente, los eventos que ocasionen
pérdidas derivadas de litigios mantenidos con proveedores y distribuidores en
general
•! Cualquier interrupción o deficiencia en la actividad de un proveedor que tenga
consecuencias negativas en la calidad de los servicios prestados o afecte al
correcto funcionamiento de los procesos de la entidad se clasificará en la
subcategoría “Recepción, ejecución y mantenimiento de operaciones” o en
cualquier otra categoría que pudiera corresponder en aplicación de los criterios
de clasificación descritos
Clases de riesgo: aclaraciones
Distribuidores y proveedores
Ejecución,entregaygestióndeprocesos
48. 48
Jordi García - Consultor
En este grupo se integran “las pérdidas derivadas del incumplimiento involuntario o
negligente de una obligación profesional frente a clientes concretos (incluidos requisitos
fiduciarios y de adecuación) o de la naturaleza o diseño de un producto”
Esta categoría es complementaria de la anterior. En general, recogerá todas las pérdidas
originadas por multas, sanciones, indemnizaciones y gastos ocasionados por:
•! Litigios por infracciones de la normativa vigente y del marco jurídico existente
•! Reclamaciones de clientes que hayan sufrido un quebranto económico o se
consideren perjudicados por la acción u omisión de la entidad en la
comercialización de productos o servicios
Clientes productos y prácticas empresariales
Clases de riesgo: aclaraciones
49. 49
Jordi García - Consultor
•! En este apartado se integrarán los eventos que no pueden ser clasificados
en el resto de los grupos de esta categoría
•! En particular, se incluirán todos los eventos generados por reclamaciones
de clientes en relación con el proceso de comercialización de productos o
servicios
Clientesproductosyprácticasempresariales
Adecuación, divulgación de información y confianza
Clases de riesgo: aclaraciones
50. 50
Jordi García - Consultor
Pertenecen a este grupo todas las pérdidas (multas, sanciones,
indemnizaciones y gastos) originadas por infracciones de la regulación vigente
En particular, se incluirán dentro de este grupo los eventos relacionados con:
•! Prácticas ajenas a la competencia leal
•! Utilización de información privilegiada en beneficio de la entidad
•! Comisión de actividades ilícitas en relación con el blanqueo de dinero,
evasión de capitales, etc.
También se incluirán dentro de esta subcategoría la pérdidas originadas por la
utilización de una política de ventas agresiva
Clientesproductosyprácticasempresariales
Prácticas empresariales o de mercado improcedentes
Clases de riesgo: aclaraciones
51. 51
Jordi García - Consultor
Las pérdidas ocasionadas por sanciones y penalizaciones a consecuencia de:
•! La comercialización de productos sin la preceptiva autorización
•! Reclamaciones de clientes perjudicados por la utilización de modelos
de valoración erróneos, sistemas de análisis de riesgo defectuosos,
etc.
Clientesproductosyprácticasempresariales
Clases de riesgo: aclaraciones
Productos defectuosos
52. 52
Jordi García - Consultor
Formarán parte de este grupo todos los eventos cuyas pérdidas han sido
ocasionadas por reclamaciones de clientes que consideran se ha hecho un
uso inadecuado de los poderes otorgados a la entidad en:
•! La gestión discrecional de patrimonios
•! El cumplimiento de las restricciones o límites impuestos en la gestión
fiduciaria
•! La investigación previa necesaria para la realización de inversiones
Clientesproductosyprácticasempresariales
Clases de riesgo: aclaraciones
Selección, patrocinio y riesgos
53. 53
Jordi García - Consultor
•! Dentro de este apartado se clasificará cualquier indemnización satisfecha a
clientes como resultado de pérdidas provocadas por recomendaciones
erróneas y asesoramientos deficientes
•! En particular, se incluirán en este apartado las pérdidas originadas por la
actividad de asesoramiento prestada en los segmentos de negocio de Banca
Privada y Banca de Inversiones, así como otras pérdidas originadas por
reclamaciones de clientes perjudicados por las recomendaciones realizadas
por la entidad en servicios tales como la tramitación de testamentarías,
asesoramiento fiscal, etc...
Clientesproductosyprácticasempresariales
Clases de riesgo: aclaraciones
Actividades de asesoramiento
54. 54
Jordi García - Consultor
Clasificado
Evento
y/o
Pérdida
Es un tipo de
evento/ pérdida
de Basilea
Si
NO
Qué causó la
Pérdida/Evento
La respuesta debe
permitir la
clasificación
Si
No
pregunte
¿Por qué?
Clasificado
Evento
y/o
Pérdida
Es un tipo de
evento/ pérdida
de Basilea
Si
NO
Qué causó la
Pérdida/Evento
La respuesta debe
permitir la
clasificación
Si
No
pregunte
¿Por qué?
Clases de riesgo: aclaraciones
Algoritmo de clasificación de eventos
55. 55
Jordi García - Consultor
Basel L1 Basel L2 ORX L1 ORX L2
Internal Fraud Theft and Fraud
Unauthorized Activity
Internal Fraud Internal Theft and Fraud (General)
Unauthorized Activity
Internal Systems Security (for profit)
External Fraud Theft and Fraud ext.
Systems Security
External Fraud External Theft and Fraud (General)
External Systems Security (for profit)
Malicious Damage Wilful Damage
Terrorism[1]
Syst. Security External – Wilful damage[2]
Syst. Security Internal – Wilful Damage[3]
Employee Practices and Workplace
Safety
Employee Relations
Safe Environment
Diversity and Discrimination
Employee Practices and Workplace Safety Employee Relations
Safe Workplace Environment
Employment Diversity and Discrimination
Clients, Products and Business Practices Suitability, Disclosure and Fiduciary
Improper Business or Market Practices
Product Flaws
Selection, Sponsorship and Exposure
Advisory Activities
Clients, Products and Business Practices Suitability, Disclosure and Fiduciary
Improper Business or Market Practices
Product Flaws
Selection, Sponsorship and Exposure
Advisory Activities
Damage to Physical Assets Natural Disasters Disasters and Public Safety Disasters and Other Events
Accidents and Public Safety
Business Disruptions and System Failures Systems Technology and Infrastructure Failures Technology and Infrastructure Failures
Execution, Delivery and Process
Management
Transaction Capture, Execution and
Maintenance
Customer Intake and Documentation
Customer / Client Account Management
Monitoring and Reporting
Financial Counterparty Event
Vendor Event
Execution, Delivery and Process
Management
Transaction Capture, Execution and
Maintenance
Customer Intake and Account Management
Monitoring and Reporting Errors
Las clases de RO de Basilea y la SBS son similares
Clases de riesgo: aclaraciones
56. 56
Jordi García - Consultor
Líneas de negocio (Empresas Sistema Financiero)
57. 57
Jordi García - Consultor
Líneas de negocio (Compañías de seguros)
58. 58
Jordi García - Consultor
Líneas de negocio (Compañías de seguros)
60. 60
Jordi García - Consultor
Basel Business Lines ORX Business LinesBusiness
Unit Level 1 Level 2 Level 1 Level 2
Activity Groups
Corporate
Finance
Corporate Finance
Municipal/Government
Finance
MerchantBanking
Advisory Services
Corporate
Finance
Corporate Finance
Muni cipal/Government
Finance
Advisory Services
Mergers and Acquisitions, Underwriting, Privatizations,
Securitization, Research, Debt(Government andHigh Yield),
Equity,Syndications, IPO, Secondary PrivatePlacements
Investment
Banking
Trading& Sales Sales
Market Making
P roprietary Positions
Treasury
Trading& Sales Equities
GlobalMarkets
Treasury/Funding
Corporate Investments
FixedIncome, Equity, ForeignExchange, Commodities, Credit,
Funding,OwnPositionSecurities, Lending andRepos,
Brokerage,Debt,Cross –Industrial Holdings
Retail Banking Retail Lending andDeposits, BankingServices,Trusts and
Estates
Retail Banking
Card Services Merchant/Commercial/ CorporateCards, Private Label andReta il
Retail Banking Retail Banking
Card Services
PrivateBanking
PrivateBanking Private Lending andDeposits,BankingServices,Trusts and
Estates, InvestmentAdvice
Commercial
Banking
CommercialBanking Commercial
Banking
CommercialBanking ProjectFinance,RealEstate,Export Finance, TradeFinance,
Factori ng, Leasing, Loans,Guarantees, Bills of Exchange
Payment and
Settlement
ExternalClients Clearing CashClearing
Securities Clearing
Payments andCollections,Funds Transfer,Non - securities
Clearing andSettlement,Check Processing
Custody Services Escrow,Depository Receipts, Securities Lending(Customers),
Corporate Actions; Issuer andPaying Agents, Securities
Settlement.
CorporateTrust &
Agency
Includes PrimeBrokerage
Banking
Agency
Services
Cu stody
Corporate Agency
CorporateTrust
Agency Services
Custom Services SpecialFinancialServices Performed on Agency Basis.
Discretionary Fund
Management
Asset
Management
Non-Discretionary Fund
Management
Asset
Management
Fund Management Pooled, Segregated,Retail,Institutional,Closed,Open
Retail
Brokerage
Retail Brokerage Retail Brokerage Retail Brokerage Execution and Full Service
Other
N/A Corporate Items Corporate Items Limitedcategory for items thancan only becategorized at
corporatelevel, e.g., kidnapping of chairman,corporate - level
financialreporting events, etc.
Líneas de negocio
Las LdN de RO de Basilea y la SBS son similares
61. 61
Jordi García - Consultor
!! La Unidad de Riesgo Operacional
!! Cómo localizar los eventos de RO en mi empresa
!! Áreas informantes
!! Eventos abiertos, eventos cerrados
!! Capacitación interna para la captura
!! Experiencias de distintas entidades
!! Ejercicios prácticos
!! Preguntas y respuestas
Temas
Organización para la captura de eventos
62. 62
Jordi García - Consultor
La mayor de parte de empresas tiene una estructura organizativa donde las
diferentes Gerencias dependen de una Dirección General que a su vez depende
de un Consejo de Administración (Directorio)
La Unidad de Riesgo Operacional
Gerencia
General
Gerencia
de Riesgos
Gerencia
Ventas
Gerencia
Medios
Gerencia
RRHH
Una de la Gerencias es la Gerencia de Riesgos. En ocasiones el Área de Riesgos
forma parte de otra Gerencia, por ejemplo, la de Ventas
63. 63
Jordi García - Consultor
La Gerencia de Riesgos se suele estructurar con base en los riesgos que
gestiona la Entidad, que como mínimo son tres: Crédito, Mercado y Operacional
La Unidad de Riesgo Operacional
Gerencia de
Riesgos
Riesgo
Operacional
Riesgo MercadoRiesgo Crédito
Puede haber más unidades dentro de esta Gerencia, por ejemplo, Control Interno,
Metodologías (modelos de medición, scoring, ratings, etc…)
64. 64
Jordi García - Consultor
La Unidad de Riesgo Operacional tiene casi siempre dos subunidades, una de
gestión cualitativa y otra de gestión cuantitativa
La Unidad de Riesgo Operacional
Unidad de Riesgo
Operacional
Gestión cuantitativaGestión cualitativa
65. 65
Jordi García - Consultor
El ciclo de gestión del Riesgo Operacional tiene 4 etapas
1
Identificar
3
Valorar
4
Controlar
2
Medir
!! Identificar es averiguar e inventariar los riesgos
operacionales a los está expuesta la entidad a
través de sus procesos
!! Medir es utilizar una métrica cualitativa y/o
cuantitativa para dimensionar cada riesgo
identificado
!! Valorar es establecer un juicio absoluto o
relativo sobre la magnitud de cada riesgo
!! Controlar es poner en marcha medidas de
mitigación y de seguimiento con el objetivo
disminuir o anular la exposición al riesgo
La Unidad de Riesgo Operacional
66. 66
Jordi García - Consultor
La Unidad de Riesgo Operacional
Gestión cualitativa del RO
!! Implantación de una base de datos de factores de
riesgo* operacional de las distintas unidades.
Clasificación por clases de RO
!! Medición de los factores de RO con base en
estimación de impacto y probabilidad/frecuencia
!! Valoración de la gravedad de los factores de riesgo
a través de Comités de RO en las unidades
!! Establecimiento de planes de mitigación para los
factores más graves
!! Comité de RO a nivel Banco donde se revisen los
factores más importantes y se tomen decisiones de
alto nivel de mitigación
DISTRIBUCIÓN POR CLASE DE RIESGO
FRAUDE
EXTERNO
5%
PROCESOS
46%
FRAUDE
INTERNO
10%
TECNOLOGÍA
16%
RR HH
8%
PRÁCTICAS
COMER.
6%
EXTERNO
9%
*Un factor de riesgo es toda circunstancia que
puede desembocar en un evento de RO
67. 67
Jordi García - Consultor
Gestión cuantitativa del RO
!! Implantación de una base de datos de pérdidas por
RO. Los eventos se clasifican en por Líneas de
Negocio y Clases de Riesgo
!! Disponer de una base de datos externa para
completar los datos internos (opcional)
!! Las Áreas deben analizar los eventos que se
registran para determinar las causas que los
provocan e implantar medidas de mitigación
!! Los eventos más importantes deben tratarse en el
Comité a nivel de Banco
!! En un futuro: cálculo del capital en riesgo mediante
una herramienta específica
DISTRIBUCIÓN DE IMPORTES POR CLASE
PRÁCTICAS
COMER.
6%
EXTERNO
3%
FRAUDE
INTERNO
20%
TECNOLOGÍA
2%
RR HH
1%
FRAUDE
EXTERNO
25%
PROCESOS
43%
La Unidad de Riesgo Operacional
68. 68
Jordi García - Consultor
Cómo localizar los eventos de RO en mi empresa
Causa
Evento
Impactos
Pérdida
directa Pérdida
indirecta
Lucro
cesante
!! Pérdida directa: es la más fácil de
localizar, salvo determinados eventos
que necesitan de la colaboración de
las unidades
!! Pérdida indirecta: es más difícil de
localizar que la directa porque está
oculta en los costos ordinarios
!! Lucro cesante: no está en la
contabilidad, por tanto, no forma parte
de las bases de datos de RO. Sólo
podemos realizar una estimación
Dificultadcreciente
69. 69
Jordi García - Consultor
Cómo localizar los eventos de RO en mi empresa
3 caminos para localizar los eventos de RO
Consiste en mapear todos los procesos de la entidad,
averiguar donde se pueden producir eventos y establecer
un sistema de reporting
Procesos=#
Se trata de recorrer la estructura de la empresa y cruzarla
con todas las clases y subclases de riesgo y averiguar
quien tiene la información
Estructura de la empresa
y clases de RO>#
La contabilidad de la empresa es una buena fuente de
información. Hay que averiguar cuales son las Áreas que
tienen la información
Contabilidad?#
70. 70
Jordi García - Consultor
Diseño
Procesos
Implantación y
ejecución
Resultados
GESTIÓN
Acciones orientadas al
control de la producción y
del Riesgo Operacional
Los procesos se cumplen
según lo planeado
Proceso:
Conjunto de acciones sistemáticas y
repetitivas por las que unos datos iniciales
(inputs) se convierten en un producto o
servicio final (outputs)
Cómo localizar los eventos de RO en mi empresa
Localización a través de los procesos
71. 71
Jordi García - Consultor
Jerarquía de procesos
Proceso
Subproceso
Tarea/Actividad
Macroproceso Recursos Humanos
Nóminas
Pago de nóminas
Emisión de cheque, pago en efectivo, etc
Cómo localizar los eventos de RO en mi empresa
72. 72
Jordi García - Consultor
En este punto es donde se
conocen los eventos de RO
Las empresas que gestionan el RO con base en procesos,
siguen un esquema parecido a este
Cómo localizar los eventos de RO en mi empresa
73. 73
Jordi García - Consultor
A través de la estructura organizativa y de las clases de riesgo
Cómo localizar los eventos de RO en mi empresa
Fraude Interno
Fraude Externo
Procesos
Prácticas Comerciales
Recursos Humanos
Tecnología
?
?
?
?
?
?
Comercial TesoreríaMinorista Etc…
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
Desastres ? ? ? ?
74. 74
Jordi García - Consultor
A través de la estructura organizativa y de las clases de riesgo
Cómo localizar los eventos de RO en mi empresa
!! En primer lugar se establece contacto con los máximos responsables de la Línea
de Negocio/Soporte, ya que es esencial que la Alta Dirección esté involucrada en
el proceso de gestión del Riesgo Operacional
!! Los responsables de la Línea de Negocio/Soporte designan a los interlocutores y
les dan el mandato correspondiente
!! Los interlocutores y el personal de Gestión Cuantitativa de la Unidad de Riesgo
Operacional recorren toda la taxonomía de RO de la Unidad e identifican las
fuentes de información
75. 75
Jordi García - Consultor
Una vez localizadas las fuente de pérdidas,
éstas deben constituirse en áreas informantes
Áreas informantes
!! La Unidad Central de Riesgo Operacional, en coordinación con las personas
designadas por la Línea de Negocio/Apoyo establecen el procedimiento mediante
el cual se capturan los eventos de RO
!! El procedimiento de cada LdN formará parte del Manual de Riesgo Operacional de
la Entidad
!! Las áreas informantes serán distintas en función del procedimiento seguido para la
identificación de los eventos de RO
76. 76
Jordi García - Consultor
Áreas informantes
Las empresas que se gestionan por procesos tienen un rol
llamado Dueño del Proceso. Bajo su responsabilidad
estaría el área informante de los eventos de RO
Procesos=#
Cada Línea de Negocio/Soporte constituye un área
informante que puede estar encuadrada dentro de su
Unidad de Gestión del RO
Estructura de la empresa
y clases de RO>#
Las empresas con un plan contable que diferencie el
Riesgo Operacional suelen utilizar las Unidades de Control
del Gasto como áreas informantes de eventos de RO
Contabilidad?#
Áreas informantes en función del modelo de gestión
77. 77
Jordi García - Consultor
Áreas informantes
Áreas informantes híbridas
!! Las distintas formas de identificar los eventos de RO en la empresa no son
excluyentes.
!! Es totalmente factible utilizar un modelo mixto en el cual determinadas
tipologías de riesgo se obtienen en los procesos que las originan, otras
directamente de la contabilidad y otras en las líneas de negocio
Lo importante es que cualquiera que sea el modelo elegido, TODO
evento de RO que se produzca en la empresa pueda ser capturado
78. 78
Jordi García - Consultor
Capacitación interna para la captura de eventos
El personal de las áreas informantes debe estar bien capacitado
!! La Unidad de Riesgo Operacional debe organizar cursos de capacitación para las
personas que integran las áreas informantes
!! La formación es esencial porque de ella depende la calidad de la información que
se registra en las las bases de datos de eventos de RO
!! Es conveniente realizar un plan de formación anual, o cuando se produzcan
nuevas contrataciones
!! La Alta Dirección debe colaborar apoyando la celebración de los cursos de
formación. RRHH colabora directamente en esta labor
79. 79
Jordi García - Consultor
Capacitación interna para la captura de eventos
Temario que debe cubrir el plan de formación
!! Definiciones y generalidades de Riesgo Operacional
!! Fronteras del Riesgo Operacional
!! Explicación exhaustiva de las clases de riesgo, en todos los niveles que la Entidad
haya fijado en su metodología
!! Líneas de negocio/soporte
!! Valoración de eventos
!! Eventos simples, eventos múltiples
!! Eventos que impactan varias líneas de negocio/soporte
!! Eventos abiertos, eventos cerrados
!! Eventos temporales
!! Entrenamiento en el software de reporting (si la Entidad lo tiene)
!! Manejo de las provisiones por Riesgo Operacional
!! Ejemplos y ejercicios sobre casos reales
80. 80
Jordi García - Consultor
Experiencias de distintas entidades
Entidad A: modelo basado en procesos
Gerencia de Riesgos:
Metodología de riesgos
Unidad de Riesgo Operacional:
Áreas informantes:
Comités de RO:
Capital por RO:
No existe como tal
En el Área de Presidencia (Chairman)
En Operaciones y Sistemas (Área CEO)
Ubicadas en los procesos
En Operaciones y Sistemas
Metodologías de riesgos
•! Modelo eficaz
•! Más rápido de implantar
A favor
•! Nadie tiene la visión
integral de RO
•! Las LdN no se sienten
implicadas en la gestión
En contra
81. 81
Jordi García - Consultor
Experiencias de distintas entidades
Entidad B: modelo basado en LdN
Gerencia de Riesgos:
Metodología de riesgos
Unidad de Riesgo Operacional:
Áreas informantes:
Comités de RO:
Capital por RO:
En el Área de Presidencia
En el Área de Riesgos
En el Área de Riesgos
En las LdN y Soporte
En las LdN y Soporte
En el Área de Riesgos
•! Riesgos tiene la visión
integral de RO
•! Implicación de las LdN en
la gestión
A favor
•! Más tiempo para implantar el
modelo (más personas que
formar, etc…)
En contra
82. 82
Jordi García - Consultor
Temas
Construcción de la base de datos interna de eventos de RO
!! Construcción de eventos partiendo de las pérdidas
!! Tipos de pérdida
!! Contabilización de las pérdidas
!! Definición de datos a capturar
!! Formatos de captura (campos de las BBDD)
!! Parametrización
!! Eventos múltiples
!! Sistemas de captura de eventos
!! Periodicidad de captura
!! Ubicación de las bases de datos
83. 83
Jordi García - Consultor
Temas
Construcción de la base de datos interna de eventos de RO
!! Umbrales de captura
!! Controles de calidad
!! Bases de datos externas
!! Comité de criterios
!! Generación de informes
!! Preguntas y respuestas
84. 84
Jordi García - Consultor
Causa Evento Pérdida
Una pérdida por Riesgo
Operacional es un
impacto negativo en los
resultados o en el
patrimonio de la
compañía, debido a un
evento de Riesgo
Operacional
La causa es cualquier
circunstancia que pueda
generar factores de
Riesgo Operacional
Es la materialización del
Riesgo Operacional.
Un evento de Riesgo
Operacional es un suceso
que altera el curso normal
de un proceso
Construcción de los eventos partiendo de las pérdidas
85. 85
Jordi García - Consultor
Una base de datos de
pérdidas es un conjunto
de apuntes contables
Una base datos de eventos consiste
en agrupar todas las pérdidas que
constituyen un mismo evento
Pérdidas Eventos
A veces las pérdidas no son lo mismo que los eventos
P 1
P 2
P 3
P 4
P 5
P 6
P 7
P 8
P 9
Evento 1
Evento 2
Evento 3
Evento 4
Evento 5
Construcción de los eventos partiendo de las pérdidas
86. 86
Jordi García - Consultor
!"#$%$&'()%#*+,&'(
D1'%&.3#:$.3#('#*+#3.0#E4/1),'0&'#1('0:;/"5)'3#$.%F8'#3'#
G"#(';01(.#80"#/8'0&"#'3$'/H;/"#
#I$.%#'-JK#E%"8('36#E")&"3#'0#/"-"6#,8)&"36#'&/JJL#
-.$*/.%0&+%1.*'(
!"3#$M%(1("3#('51("3#"#$%4/:/"3#('#N'0&"3#10/.%%'/&"36#"#
N'/'3#%'F81'%'0#10(',01O"%#"#).3#/)1'0&'3#I$.%#'-JK#0.#
'P$)1/"%#).3#%1'Q.3#('#80#$%.(8/&.#N'0(1(.6#'&/RL#
!"#$%$&($*(&+231'(
S8/G.3#'N'0&.3#('#*+#/.0))'N"0#80"#$M%(1("#('#"/:N.3#
I$.%#'-JK#('3"3&%'36#"//1('0&'36#%.5.36#'&/L#
4&',1'(4*.*#&5*'(
D1'%&.3#'N'0&.3#('#*+#3'#%'/.Q'0#/.,.#Q"3&.3#.$'%":N.3#
%'Q8)"%'3#I$.%#'-JK#G.0.%"%1.3#$.%#/.038)&"36#G.0.%"%1.3#('#
"5.Q"(.36#'&/RL#
6G'(*.(+8*.,&'(
$*(%.7#*'1'(
T#N'/'3#).3#5"0/.3#%'/.Q'0#'N'0&.3#('#*+#(13,108U'0(.#
/8'0&"3#('#10Q%'3.3#I$.%#'-JK#/8'0&"3#('#10&'%'3'3#%'/151(.36#
'&/RL#
Tipos de pérdidas
Sólo una parte del RO es fácilmente identificable
87. 87
Jordi García - Consultor
CausaEventoPérdida
Responsabilidad Legal
Incumplimiento regulatorio
Pérdidas o daños en activos
Indemnizaciones
Pérdidas de efectivo
Pérdidas por fraudes
Fallidos de crédito
Pérdidas en mercados
Gastos en juicios, litigios, etc...
Toda clase de sanciones y multas
En inmuebles, en equipos. Pérdida de títulos
A clientes, proveedores, empleados
Diferencia en caja y ATMs, pérdida timbres, sellos, etc
Medios de pago, robos, estafas, etc...
Fallidos de crédito debido a eventos de RO
Pérdidas en mercados debido a eventos de RO
Tipos de pérdidas
88. 88
Jordi García - Consultor
Tipos de pérdidas
Causa
Evento
Impactos
Pérdida
directa Pérdida
indirecta
Lucro
cesante
!! Pérdida directa: es la más fácil de
localizar, salvo determinados eventos
que necesitan de la colaboración de
las unidades
!! Pérdida indirecta: es más difícil de
localizar que la directa porque está
oculta en los costos ordinarios
!! Lucro cesante: no está en la
contabilidad, por tanto, no forma parte
de las bases de datos de RO. Sólo
podemos realizar una estimación
Dificultadcreciente
89. 89
Jordi García - Consultor
Ciclo de vida de un evento de Riesgo Operacional
Contabilización de las pérdidas
!! Los eventos de Riesgo Operacional tienen tres fechas relevantes que los
caracterizan:
!! F1 La fecha de ocurrencia
!! F2 La fecha de descubrimiento
!! F3 La fecha, o las fechas de contabilización
!! El tiempo transcurrido entre F1 y F3 puede ser muy corto
!! Sin embargo, también puede ser muy largo (varios años)
!! Depende de la naturaleza del evento
90. 90
Jordi García - Consultor
Casuística entre F1, F2 y F3
Contabilización de las pérdidas
Siempre debe cumplirse esta condición lógicaF1<=F2<=F3
Ocurre, se descubre y contabiliza el mismo díaF1=F2=F3
Ocurre y se descubre el mismo día, pero se contabiliza más
adelante
F1=F2<F3
El evento ocurre, se descubre más adelante y se contabiliza el
mismo día en que se descubre
F1<F2=F3
El evento ocurre, se descubre más adelante y se contabiliza
todavía más tarde
F1<F2<F3
F1 Ocurrencia
F2 Descubrimiento
F3 Contabilización
91. 91
Jordi García - Consultor
Calidad del modelo de gestión
Contabilización de las pérdidas
Siempre debe cumplirse esta condición lógicaF1<=F2<=F3
Los días transcurridos entre la fecha de contabilización y la fecha
de descubrimiento son un indicador de calidad de las funciones
de RO, Control Interno y Auditoría
F3 – F2
F1 Ocurrencia
F2 Descubrimiento
F3 Contabilización
Los días transcurridos entre la fecha de contabilización y la fecha
de ocurrencia son otro indicador de calidad todavía mejor que el
anterior de las funciones de RO, Control Interno y Auditoría
F3 – F1
92. 92
Jordi García - Consultor
Eventos abiertos, eventos cerrados
Contabilización de las pérdidas
•! Un evento se considera abierto mientras el proceso de investigación no
haya concluido, y por consiguiente, existe la posibilidad de que todavía
se contabilicen más impactos
•! Un evento se considera cerrado en el momento en que se realiza la
última contabilización de los impactos, y no se espera ninguno más. El
proceso de investigación se da por terminado
•! Es posible que en determinadas circunstancias en un evento que se
consideró cerrado aparezcan nuevas pérdidas que deban sumarse
93. 93
Jordi García - Consultor
Provisiones
Contabilización de las pérdidas
•! Las entidades financieras realizan provisiones en determinadas
circunstancias:
•! En cumplimiento de las normas contables de su país
•! Por aplicación de criterios de prudencia financiera
•! Cuando la probabilidad de que la pérdida se materialice es elevada
•! Cuando se trata de eventos relacionados con litigios que tardan mucho
tiempo en resolverse
•! Una gran parte de las provisiones están relacionadas con eventos de Riesgo
Operacional, especialmente aquellos que derivan de litigios con clientes,
empleados, proveedores o por demandas externas
•! Los criterios de prudencia aconsejan incorporar a las BBDD los montos de
las provisiones realizadas por eventos de RO. Cuando el evento se concreta
se cancela la provisión y se sustituye por el importe definitivo
94. 94
Jordi García - Consultor
4 posibles fuentes de información
Sistema de captura de eventos de RO que deben incluir
como mínimo aquella información que la norma de la SBS
establece para las entidades que supervisa
Eventos de RO según
la Norma de la SBS=#
Además de la información mínima requerida, es importante
que las entidades recojan información adicional que pueda
ser útil para la gestión
Información complemen-
taria o extendida>#
Las entidades pueden utilizar su BBDD de RO para recoger
aquellos eventos que no han producido impacto en la
contabilidad (near misses)
Eventos sin impacto
en pérdidas?#
Definición de datos a capturar
Aquellas entidades que estén suscritas a bases de datos
externas, deben incorporar a su BBDD los eventos que
reciben del Consorcio al que pertenezcan
Eventos externos@#
95. 95
Jordi García - Consultor
Datos mínimos según la Norma 2116-2009 de la SBS
Definición de datos a capturar
•! Código de identificación del evento.
•! Tipo de evento de pérdida (según tipos de eventos señalados en el Anexo 1).
•! Línea de negocio asociada (nivel 1 y 2), según líneas señaladas en el Anexo 2 para
empresas del sistema financiero, Anexo 3 para las de seguros y Anexo 4 para las AFP
•! Descripción corta del evento.
•! Descripción larga del evento.
•! Fecha de ocurrencia o de inicio del evento.
•! Fecha de descubrimiento del evento.
•! Fecha de registro contable del evento.
•! Monto(s) bruto(s) de la(s) pérdida(s), moneda y tipo de cambio.
•! Monto(s) recuperado(s) mediante coberturas existentes de forma previa al evento,
moneda, tipo de cambio y tipo de cobertura aplicada.
•! Monto total recuperado, moneda y tipo de cambio.
•! Cuenta(s) contable(s) asociadas.
•! Identificación si el evento está asociado con el riesgo de crédito (para empresas del
sistema financiero) o con el riesgo de seguros (para empresas del sistema de
seguros).
96. 96
Jordi García - Consultor
Información complementaria
Definición de datos a capturar
La creación de una BBDD de eventos de RO tiene una doble utilidad:
•! Para el cálculo del capital en riesgo
•! Para la gestión efectiva del RO
Con el fin de mejorar la gestión se puede completar la información con algunos
datos que pueden ser de utilidad:
•! Proceso: si la entidad cuenta con una estructura de procesos, es
interesante incluir un campo donde se refiera en que procesos se ha
producido el evento
•! Producto: si el evento se produjo en un producto o servicio que la entidad
comercializa, también en conveniente registrarlo
•! Causas: las causas que han provocado el evento son muy importantes
para la gestión, por tanto, es bueno registrarlas (puede haber más de una)
97. 97
Jordi García - Consultor
Información complementaria
Definición de datos a capturar
Productos y servicios
Los bancos internacionales miembros de ORX han acordado una clasificación
genérica de productos y servicios:
1.! Productos de capital:
•! Emisión de acciones
•! Emisión de bonos
•! Productos estructurados
•! Titulizaciones
•! Colocaciones privadas
•! Financiación sinidicada
2.! Servicios de finanzas corporativas:
•! Fusiones y adquisiciones
•! Servicios de asesoría
98. 98
Jordi García - Consultor
Información complementaria: productos y servicios (2)
Definición de datos a capturar
3. Productos derivados:
•! Tasa fija
•! Acciones
•! Commodities
•! FX y money market
•! Repos y préstamo de valores
•! Fondos de inversión
•! Derivados de tipos de interés
•! Derivados de crédito
•! Derivados de FX
•! Derivados de acciones
•! Derivados de commodities
•! Otros derivados
99. 99
Jordi García - Consultor
Información complementaria: productos y servicios (3)
Definición de datos a capturar
4. Productos de financiación minorista:
•! Tarjetas de crédito/débito
•! Financiación vehículos
•! Leasing de vehículos
•! Préstamos para estudios
•! Hipotecas
•! Líneas de financiación hipotecarias (HELOC)
•! Otros préstamos al consumo
•! Cartas de crédito personales o garantizadas
100. 100
Jordi García - Consultor
Información complementaria: productos y servicios (4)
Definición de datos a capturar
5. Créditos comerciales:
•! Créditos comerciales e industriales
•! Créditos comerciales para mejoras de la construcción
•! Crédito para financiar la adquisición y construcción de bienes
inmuebles
•! Créditos para financiación de equipos y maquinaria
•! Tarjetas de crédito para empleados de empresas
•! Servicios de tarjetas de crédito para comercios
•! Financiación de proyectos
•! Trade finance
•! Garantías y avales
•! Financiación estructurada
101. 101
Jordi García - Consultor
Información complementaria: productos y servicios (5)
Definición de datos a capturar
6. Depósitos:
•! Cuentas corrientes consumo
•! Cuentas a plazo con preaviso de cancelación
•! Cuentas corrientes de empresa
•! Depósitos a plazo fijo
•! Productos de inversión (planes de pensiones, etc…):
7. Pagos y cobros, gestión de caja (cash management):
•! Gestión de caja minorista
•! Gestión de caja empresas
•! Pagos electrónicos
•! Pagos manuales
•! Cámara de compensación (clearing)
•! Pagos y cobros (settlement)
•! Servicios de mercados organizados
102. 102
Jordi García - Consultor
Información complementaria: productos y servicios (6)
Definición de datos a capturar
8. Administración de activos:
•! Servicios de custodia
•! Acciones corporativas
•! Servicios fiduciarios
•! Intermediación minorista
•! Servicios de asesoría en general
•! Gestión de carteras
•! Asesoría en la gestión de carteras
9. Productos de inversión:
•! Administración de fondos
•! Administración de fondos tradicionales para instituciones
•! Administración de fondos alternativos (hedge funds, etc…)
10. Intermediación:
•! Servicios de broker (intermediación en compra-venta)
•! Asesoría de intermediación
11. Productos no bancarios: (desastres, seguros, alquiler de vehículos, etc…)
103. 103
Jordi García - Consultor
Información complementaria
Definición de datos a capturar
Procesos
Los bancos internacionales miembros de ORX han acordado una clasificación
genérica de procesos:
1.! Diseño y desarrollo de productos y servicios:
•! Investigación y análisis de mercado
•! Desarrollo de productos y servicios
2.! Marketing de productos y servicios:
•! Investigación de mercado
•! Publicidad
•! Otros aspectos de marketing
3.! Ventas:
•! Asesoría previa
•! Precios y presupuestos
•! Chequeo de disponibilidad/límites
•! Términos del contrato
104. 104
Jordi García - Consultor
Información complementaria: procesos (2)
Definición de datos a capturar
4. Mantenimiento de contrapartidas:
•! Cuentas de clientes
•! Relaciones con clientes
•! Procesos de due diligence
•! Préstamos fallidos
5. Captura y documentación de transacciones:
•! Captura de transacciones
•! Confirmaciones y documentación
•! Otros aspectos de marketing
105. 105
Jordi García - Consultor
Información complementaria: procesos (3)
Definición de datos a capturar
6. Entrega de productos y servicios:
•! Recepción de órdenes de clientes
•! Ejecución de órdenes de clientes
•! Gestión de posiciones de tesorería
•! Acciones corporativas propias
•! Acciones corporativas de clientes
•! Cálculo de comisiones
•! Cálculo de intereses
•! Gestión de colaterales
•! Control del balance del banco
•! Gestión de carteras de clientes
•! Gestión de liquidez
•! Gestión de activos de clientes (cajas de alquiler, etc…)
•! Asesoría
•! Estados financieros de clientes
106. 106
Jordi García - Consultor
Información complementaria: procesos (4)
Definición de datos a capturar
7. Pagos y cobros:
•! Pagos y cobros
•! Entrega libre de pago
•! Pagos y cobros en efectivo
8. Contabilización de transacciones:
•! Contabilización
9. Gestión de recursos humanos:
•! Selección, contratación y despido
•! Nóminas
•! Viajes
•! Otros aspectos de RRHH
107. 107
Jordi García - Consultor
Información complementaria: procesos (5)
Definición de datos a capturar
10. Tecnología y sistemas:
•! Desarrollos y manteniendo
•! Implantación
•! Compras de tecnología
•! Seguridad informática
•! Infraestructura de la red
•! Producción
•! Mesa de ayuda e incidentes
11. Reporting financiero e impuestos:
•! Presupuesto
•! Contabilidad
•! Reporting (indicadores)
•! Reporting financiero
•! Impuestos
108. 108
Jordi García - Consultor
Información complementaria: procesos (6)
Definición de datos a capturar
12. Gestión del capital y liquidez:
•! Gestión de capital y fondeo
•! Gestión de inversiones corporativas
13. Gestión de proveedores y outsourcing:
•! Selección y contratación de proveedores y outsoucing
•! Gestión del contrato
14. Gestión de activos e inmuebles:
•! Gestión de inmuebles
•! Gestión de flotas de vehículos
•! Higiene de los inmuebles
•! Seguridad física
•! Protección del entorno (aire, temperatura, humedad, etc…)
•! Otros servicios internos
109. 109
Jordi García - Consultor
Información complementaria: procesos (7)
Definición de datos a capturar
15. Cumplimiento legal, Gobierno y Auditoría:
•! Políticas y gobierno corporativo
•! Reporting regulatorio no financiero
•! Asesoría Jurídica
•! Gestión de litigios
•! Auditoría
•! Administración de ética profesional (conflictos de interés, uso de
información provilegiada, etc…)
16. Gestión sistemas de riesgos:
•! Control y supervisión de modelos y metodologías
•! Seguros y recuperaciones
•! Plan de continuidad de negocio
17. Sin relación con procesos: (desastres, etc…)
110. 110
Jordi García - Consultor
Información complementaria
Definición de datos a capturar
Causas
Muchos son los bancos internacionales que han desarrollado una casuística
sobre las posibles causas de los eventos de riesgo. La variedad es tan
compleja que de momento no se ha abordado la creación de una lista única.
Los eventos de Riesgo Operacional se deben en ocasiones a una causa única,
pero también se deben a una cadena de causas. Es conveniente registrarlas
todas pues será útil a la hora de establecer planes de mitigación adecuados.
Entre las causas más frecuentes, podemos señalar las siguientes:
1.! Factor humano:
•! Falta de capacitación
•! Alta rotación
•! Outsourcing
•! Proceso de selección
•! Política salarial y beneficios
•! Fraude interno
111. 111
Jordi García - Consultor
Información complementaria: causas (2)
Definición de datos a capturar
2. Factor de diseño y gestión de procesos:
•! Diseño del proceso
•! Volúmenes
•! Segregación funcional
•! Control dual
•! Manualidad
•! Cuadres y arqueos
•! Conciliación de cuentas
•! Seguridad lógica
•! Seguridad física
•! Otros sistemas de control
•! Contratos
•! Proveedores internos
•! Incidencias con clientes
•! Cumplimiento normativo
•! Estructuras de gestión
112. 112
Jordi García - Consultor
Información complementaria: causas (3)
Definición de datos a capturar
3. Factor tecnológico:
•! Disponibilidad de aplicativos
•! Plan de continuidad
•! Adecuación aplicativos
•! Equipamiento
4. Factor externo:
•! Plan de contingencia
•! Proveedores externos
•! Fraude externo
113. 113
Jordi García - Consultor
Eventos que no producen pérdidas
Definición de datos a capturar
Se pueden aprovechar las BBDD de RO también para registrar eventos que
afortunadamente no produzcan pérdidas para la entidad
Las entidades deben determinar que tipologías de eventos desean registrar en
función de sus posibilidades de captura
•! Una vez fijadas las tipologías, la Entidad debe asegurar que se capturan
todos los eventos de dicha tipología
•! Estos eventos deben reportarse de forma separada del resto y deben
quedar marcados para poder diferenciarlos fácilmente
•! También es conveniente registrar el proceso, el producto y las causas que
lo han generado a efectos de gestión
•! Estos eventos pueden registrarse en BBDD separadas, gestionadas por las
propias unidades que los capturan
114. 114
Jordi García - Consultor
Eventos externos
Definición de datos a capturar
Las entidades que forman parte de consorcios de BBDD deben registrar los
eventos externos en la BBDD:
La finalidad del registro los eventos externos es múltiple:
•! Para completar los datos internos en la modelización del capital en
riesgo
•! Aportando información de gran valor para la gestión, tanto a nivel global
como a nivel de líneas de negocio/soporte
•! Para conocer el posicionamiento de la Entidad frente a la competencia,
tanto a nivel global como a nivel de líneas de negocio/soporte
116. 116
Jordi García - Consultor
Eventos corporativos
Definición de datos a capturar
Según Basilea, todos los eventos se deben asignar a una línea de negocio
Sin embargo hay eventos cuya naturaleza los hace indivisibles. Son los llamados
eventos corporativos
•! Afectan a la Entidad en su conjunto
•! No son eventos de tecnología
•! Suelen estar relacionados con el Consejo de Administración, la Presidencia,
el CEO o el Centro Corporativo
•! A efectos de reporting hay que establecer un criterio de reparto entre las
líneas de negocio
117. 117
Jordi García - Consultor
Un evento múltiple es aquél que provoca más de un impacto en la
contabilidad, y/o afecta a más de una Línea de Negocio/Soporte
•! El evento múltiple se da de Alta en la BBDD con una referencia específica
•! Todas las pérdidas del evento múltiple tienen su propia referencia, pero
también la del evento principal
•! El evento múltiple se puede equiparar a una cuenta con sus movimientos
•! La fecha de contabilización es la de la primera partida que compone el
evento
•! Los ejemplos más típicos de eventos múltiples son los de la categoría de
desastres
Eventos múltiples
Definición de datos a capturar
118. 118
Jordi García - Consultor
Parametrización
Ejemplos de lo que se puede parametrizar:
•! Administradores de la aplicación
•! Roles de los usuarios
•! Entidades legales
•! Unidades/Subunidades de negocio y de soporte
•! Clases de Riesgo Operacional
•! Procesos
•! Productos
•! Causas
•! Cuentas donde se registran los eventos
•! Tipos de evento
•! Clase de riesgo de Basilea
•! Líneas de negocio de Basilea
•! Los campos Si/No
•! Etc…
La parametrización garantiza la homogeneidad de la información
119. 119
Jordi García - Consultor
Sistemas de captura de eventos
Existen 3 formas de capturar los eventos
Captura manual
Es la forma más sencilla de implantar una base de datos de pérdidas pues no requiere
ningún desarrollo informático.
•!La Unidad Central diseña un formato sencillo (en Excel o Word) que se facilita a las
áreas informantes
•!Los integrantes de estas áreas, que han pasado lógicamente por un plan de
formación, son los encargados de reportar los eventos rellenando el formulario y
enviándolo a la Unidad Central por e-mail
•!La Unidad Central cuando los recibe los da de alta de su aplicación (puede ser en
Excel o en una BBDD creada en Access)
•! Sistema muy sencillo
•! No necesita desarrollo
informático
A favor
•! Muchas inconsistencias por falta
de estandarización
•! Hay que marcar nuevamente la
información
•! Discrecionalidad por parte de las
áreas informantes
En contra
120. 120
Jordi García - Consultor
Sistemas de captura de eventos
Existen 3 formas de capturar los eventos
Captura semiautomática
La captura semiautomática es aquella en la que la Entidad dispone de una aplicación en
su intranet con formatos y parametrización estandarizada:
•!La Unidad Central diseña un formato de reporting de eventos en su intranet y da
acceso a las áreas informantes
•!Los integrantes de estas áreas, que han pasado lógicamente por un plan de
formación, son los encargados de reportar los eventos rellenando el formulario en
la intranet
•!La información queda registrada en la aplicación de la Unidad Central de manera
automática, una vez ésta la ha validado
•! Relativamente fácil de
implantar
•! Información homogénea
•! No hay doble input
A favor
•! Discrecionalidad por parte de
las áreas informantes
•! Necesita más inversión que el
manual
En contra
121. 121
Jordi García - Consultor
Sistemas de captura de eventos
Existen 3 formas de capturar los eventos
Captura automática
La captura automática la realizan aquellas entidades que han adaptado su contabilidad a
las tipologías de Riesgo Operacional:
•!La Unidad Central ha diseñado interfases que capturan los apuntes contables que
afectan a las cuentas de Riesgo Operacional
•!Los apuntes requieren información adicional en algunos casos (como la clase de
riesgo, proceso, etc…). Estos datos son introducidos por quien contabiliza la
partida
•!Cuando se corre la interfase, los eventos son descargados directamente en la
BBDD central
•!Los eventos importantes se completan con información de gestión
•! Información homogénea
•! La BBDD son completas
•! Poca discrecionalidad por parte
de las áreas informantes
A favor
•! Necesita mayor inversión
En contra
122. 122
Jordi García - Consultor
Sistemas de captura de eventos
Existen 3 formas de capturar los eventos
Muchas entidades combinan más de una forma de captura
•! La dificultad de implantar un sistema automático en todas las Áreas conduce a que
muchas entidades utilicen también la captura manual en algunas de sus unidades
y/o clases de riesgo
•! Cuando los eventos son escasos no resulta eficiente montar un sistema
automático de captura
•! También lo utilizan aquellas entidades que están realizando la transición por
etapas de un sistema de captura a otro más automatizado
123. 123
Jordi García - Consultor
Sistemas de captura de eventos
El rol de Auditoría Interna
La Unidad de Riesgo Operacional y las áreas informantes son responsables de la calidad
de la información del sistema de captura de eventos. Ésta se basa en tres pilares:
•! Que la información sea completa (todos los eventos se capturan)
•! Que la valoración de los eventos sea correcta porque comprende tanto los
impactos directos como los indirectos
•! La clasificación de los eventos en términos de clase de riesgo y línea de negocio/
soporte es correcta
El rol de Auditoría Interna consiste en verificar, mediante muestreo en sus visitas
periódicas a las unidades, que la información cumple con los mencionados estándares de
calidad
124. 124
Jordi García - Consultor
Periodicidad de la captura
Depende del sistema de captura de eventos
Captura automática
Las entidades que cuentan con un sistema de captura automática desde la contabilidad
mediante interfases, capturan los eventos en el instante en que éstas se ejecutan. El
rango va desde diario hasta mensual
Captura semiautomática
Las entidad con este sistema capturan los eventos en el momento en que las áreas
informantes los dan de alta en la aplicación
Captura manual
Quienes capturan los eventos de forma manual deben definir la frecuencia de reporte a
las áreas informantes. Lo normal es que sea según la ocurrencia, pero como mínimo
una vez al mes
125. 125
Jordi García - Consultor
Ubicación de las bases de datos de pérdidas
Dependerá del tamaño de la Entidad
Sistema centralizado
•! La BBDD puede ubicarse en un servidor o en el main frame (computador central
de la empresa)
•! La ubicación centralizada es una buena solución para entidades que actúan en
un solo país
•! Facilidad de control de
usuarios
•! Facilidad de explotación
de la información
•! Facilidad de implantación
•! Garantiza homogeneidad
A favor
•! Es más lento en general
En contra
126. 126
Jordi García - Consultor
Ubicación de las bases de datos de pérdidas
Dependerá del tamaño de la Entidad
Sistema descentralizado
•! La ubicación descentralizada es una buena solución para entidades
internacionales o con diversas marcas
•! La BBDD puede ubicarse en un servidor en cada Entidad
•! Es necesario un envío (mensual, trimestral, etc…) de datos a la Central para
agregar toda la información
•! Facilidad de implantación
A favor
•! Respuesta más lenta a los
requerimientos de cambios
•! Explotación más compleja
•! La homogeneización es más
difícil
En contra
127. 127
Jordi García - Consultor
Umbrales de captura
Cuanto más bajos, mejor
Umbrales fijados por la SBS
•! La Norma 2116-2009 fija los siguientes umbrales de captura en:
•! 3.000 Nuevos Soles para Banco, Aseguradoras y AFP
•! 1.000 Nuevos Soles para el resto de entidades
Umbrales fijados por otros organismos
•! El BIS cita como referencia el umbral de 40.000 NS para la captura de eventos
de pérdida, para bancos internacionalmente activos
•! La organización ORX establece un umbral de captura de 80.000 NS a sus
miembros
128. 128
Jordi García - Consultor
Umbrales de captura
Consideraciones adicionales
Las Entidades deberán fijar internamente los umbrales de captura
•! Deberán cumplir el mínimo fijado por su Regulador
•! Lo ideal es que el umbral sea cero para que la Entidad pueda valorar los
impactos del Riesgo Operacional en su totalidad
•! Sin embargo, esto sólo es posible con sistema de registro automáticos que se
nutran de la contabilidad
•! Los umbrales muy bajos son incompatibles con la captura manual de eventos
por la carga de trabajo de conllevan
•! Los umbrales pueden variar según las líneas de negocio y por clases de riesgo
(en Tesorería no tiene sentido recoger eventos pequeños, sin embargo, en
fraude de tarjeta de crédito es importante recoger toda la casuística)
129. 129
Jordi García - Consultor
Controles de calidad
La parte más importante de las BBDD
•! Como ya hemos visto anteriormente, la calidad de la base de datos es una
pieza clave para la gestión del Riesgo Operacional
•! Al igual que en riesgo en crédito, la información de las BBDD sirve para la
modelización del riesgo, para el cálculo del capital en riesgo y para la gestión
en general
•! Muchas entidades no contabilizan correctamente los eventos de Riesgo
Operacional, quedando éstos diluidos dentro de los gastos ordinarios
•! El desconocimiento por parte de la Alta Dirección de la dimensión real de lo que
representan las pérdidas por Riesgo Operacional implica que no se tomen las
medidas de mitigación adecuadas
•! Esconder el Riesgo Operacional puede transformarse una bomba de relojería
para la empresa
130. 130
Jordi García - Consultor
Controles de calidad
Cómo implementar las funciones del Control de Calidad de las BBDD
Estableciendo reglas y criterios internos para la captura de datos1
Revisando periódicamente las entradas y documentando los eventos importantes
Agrupando las pérdidas en eventos múltiples
2
3
Eliminando eventos temporales4
Definiendo controles que aseguren que los datos son completos6
Eliminando eventos que no pertenecen al Riesgo Operacional5
Realizando cuadres con la contabilidad7
Cruzando información con Auditoría Interna8
Revisando eventos marcados como “No Riesgo Operacional”9
Revisando mensualmente cuentas de RO10
131. 131
Jordi García - Consultor
Bases de datos externas
¿Por qué son necesarias?
Las bases de datos externas contienen eventos reales anónimos de Riesgo
Operacional, debidamente clasificados que han ocurrido en otras entidades y/o
en otros sectores
•! El Riesgo Operacional, si bien es muy antiguo, no ha recibido un tratamiento
como riesgo equiparable al de crédito o al de mercado hasta la primera década
del presente milenio
•! Las BBDD que las entidades están registrando tienen poca profundidad, por lo
que muchas celdas están poco o nada pobladas
•! Para modelizar el riesgo y calcular el capital se necesitan más datos que los que
actualmente tienen las entidades
•! Las BBDD externas son el complemento perfecto a las BBDD internas
•! Además, aportan información muy valiosa para la gestión
132. 132
Jordi García - Consultor
En teoría, después de un cierto tiempo, las empresas
deberían tener suficientes datos en cada celda*
Fraude Interno
Fraude Externo
Ejecución de procesos
Prácticas de ventas
Recursos Humanos
Tecnológico
Desastres / accidentes
Si
Si
Si
Si
Si
Si
Si
Comercial TesoreríaMinorista Etc..
No
No
Si
Si
No
Si
No
No
No
Si
Si
No
?
No
Pero, de hecho...
Bases de datos externas
*Matemáticamente, se necesitan más 30 eventos por celta para poder modelizar el Riesgo Operacional
133. 133
Jordi García - Consultor
Muchos bancos participan en BBDD externas
de diversa índole: ¿Qué opciones tenemos?
1 Construir nuestra
propia BdD externa
Recoger datos de las noticias de prensa.
Clasificar y comprobar
2
Comprar una BdD
Algunas compañías ofrecen BdD
públicas de RO
3
Consorcio de BdD
Existen Consorcios de datos de RO
(ORX, GOLD, etc…)
Bases de datos externas
134. 134
Jordi García - Consultor
¿Cuál es la mejor opción para mi empresa?
Construir nuestra
propia BdD
Lleva bastante tiempo y la BBDD no es completa1
Comprar una BdD Es costoso y la BBDD no es completa2
Consorcio de BdD
No es tan caro y la calidad de los datos es mucho
mejor (completos y controlados)
3
Bases de datos externas
135. 135
Jordi García - Consultor
ORX es el Consorcio más importante el mundo en la actualidad
•! ORX es una organización sin ánimo de lucro, cuyos dueños
son sus miembros
•! Objetivo: compartir trimestralmente eventos de Riesgo
Operacional mayores de 20.000!, de forma anónima:
•! Aplicable a Basilea II AMA (enfoque LDA)
•! Benchmarking
•! Grupos de Trabajo: Criterios, Análisis de Datos,
Software
•! Plataforma de discusión y desarrollo de mejores
prácticas
•! Influir en la industria de la banca y en los Reguladores
•! Entorno seguro para transmisión y proceso de datos
•! ORX tiene su sede en Zürich (Suiza)
•! El software de ORX (Open Pages) permite un alto nivel de
personalización
Bases de datos externas
136. 136
Jordi García - Consultor
Bases de datos externas
Las entidades financieras del mundo tienen grandes diferencias en tamaño y líneas de
negocio:
•! Las diferencias de tamaño en los negocios también repercuten en diferencias de
tamaño en los eventos de Riesgo Operacional que sufren las entidades
•! A efectos de modelización, los órdenes de magnitud y la tipología de los eventos
de unas y otras entidades sobreestiman el capital por Riesgo Operacional de
manera considerable
•! Una alternativa a este proceso es la construcción de bases de datos locales, a
nivel nacional, donde participen empresas cuya dimensión y tipología de riesgo
sea equiparable
•! ORX ha abierto esta vía en España donde varios bancos participan en un
intercambio “a medida” con umbral de 3.000 ! en lugar de 20.000 !. También en
Canada se lleva a cabo una iniciativa similar
137. 137
Jordi García - Consultor
Page 137
Miembros de ORX: 57 de 18 países
FirstRand {South Africa}!
Grupo Santander {Spain}!
HSBC Holdings plc {UK}!
ING Group {Netherlands}!
Intesa SanPaolo {Italy}!
JPMorgan Chase & Co. {USA}!
Lloyds Banking Group {UK}!
Morgan Stanley {USA}!
National Australia Bank {Australia}!
Nedbank Group {South Africa}!
Nordea Bank AB (publ) {Sweden}!
Northern Trust Company {USA}!
Novacaixagalicia {Spain}!
PNC Bank {USA}!
Rabobank Nederland {Netherlands}!
RBC Financial Group {Canada}!
RBI (Raiffeisen Bank International AG) {Austria}!
Royal Bank of Scotland Group {UK}!
SEB (Skandinaviska Enskilda Banken) {Sweden}!
Soci!t! G!n!rale {France}!
Standard Bank Group {South Africa}!
Standard Chartered Bank {Singapore}!
State Street Corporation {USA}!
TD Bank"Group (TDBG) {Canada}!
The Bank of Nova Scotia {Canada}!
US Bancorp" {USA}!
Wells Fargo & Co" {USA}!
WestLB AG {Germany}!
Westpac Banking Corporation {Australia}!
ABN AMRO {Netherlands}!
Ally Financial, Inc {USA}!
Banco Bradesco S/A {Brazil}!
Banco de Sabadell S/A {Spain}!
Banco do Brasil S/A {Brazil}!
Banco Pastor {Spain}!
Banco Popular {Spain}!
BPN (Banco Portugu"s de Neg#cios) {Portugal}!
Banesto {Spain}!
Bank Austria - Member of UniCredit Group {Austria}!
Bank of America {USA}!
Bank of Ireland Group {Ireland}!
Barclays Bank {UK}!
BBVA (Banco Bilbao Vizcaya Argentaria) {Spain}!
BMO Financial Group {Canada}!
BNP Paribas {France}!
BNY Mellon {USA}!
Cajamar {Spain}!
Capital One {USA}!
CatalunyaCaixa {Spain}!
CBA (Commonwealth Bank of Australia) {Australia}!
Commerzbank AG {Germany}!
Credit Agricole SA {France}!
Deutsche Bank AG {Germany}!
Deutsche Postbank AG {Germany}!
DnB NOR Bank ASA {Norway}!
Erste Group Bank AG {Austria}!
Euroclear SA/NV {Belgium}!
138. 138
Jordi García - Consultor
Page 138
•! Los miembros de ORX reportan la información con el siguiente formato:
•! Se reportan eventos por encina de 20.000!:
•! Members required to report Gross Income per Business Line
ORX: Requerimientos de datos
•! Reference ID number (Member generated)
•! Business Line (Level 2) Code
•! Event Category (Level 2) Code
•! Country (ISO Code)
•! Date of Occurrence
•! Date of Discovery
•! Date of recognition
•! Credit-related
•! Gross Loss Amount
•! Direct Recovery
•! Indirect Recovery
•! Related event Ref ID
•! Product
•! Process
139. 139
Jordi García - Consultor
Comité de criterios
Las actividades y tareas de captura de eventos de Riesgo Operacional generan
muchas dudas en cuanto a la interpretación de las reglas. Las buenas prácticas de
gestión del RO nos dicen que los Comités de Criterios son una buena solución a este
problema
•! Los Comités de Criterios son una especie de Help Desk que resuelven las
dudas y crean “jurisprudencia”
•! Formados por expertos de la Unidad de RO y coordinados por la persona
encargada de la función de Control de Calidad
•! Las dudas que van surgiendo se registran y se tratan en el seno del Comité, que
se reúne periódicamente.
•! Sus conclusiones forman parte del Manual de RO de la Entidad y se incluyen en
los programas de formación
Los Comités de Criterios añaden valor a las BBDD
140. 140
Jordi García - Consultor
Las Líneas de Negocio/Soporte tienen en las BBDD una información muy valiosa
para la gestión. Por un lado, la información interna les da pistas acerca de lo que
está pasando en su línea de negocio, y por otro, la información sobre bases externas
(si se dispone de ellas) aporta información sobre riesgos materializados en otras
entidades, que serán motivo de análisis.
Ejemplos de informes:
•! Informe de pérdidas por clases de riesgo y/o líneas de producción/soporte
•! Evolución de las pérdidas (diarias, mensuales, anuales, etc…)
•! Informe sobre eventos más importantes
•! Informe sobre bases de datos externas
•! Informes comparativos de datos internos vs externos (benchmarking)
•! Etc…
Para las líneas de negocio
Generación de informes
141. 141
Jordi García - Consultor
Los informes de uso interno se confeccionan para reportar a la Alta Dirección y a
efectos de control para la Unidad Central de Riesgo Operacional:
Ejemplos de informes:
•! Informe de pérdidas por clases de riesgo y/o líneas de producción/soporte
•! Evolución de las pérdidas (diarias, mensuales, anuales, etc…)
•! Informe sobre eventos más importantes
•! Informe sobre bases de datos externas
•! Informes de pérdidas sin factores de riesgo identificados
•! Informes de pérdidas para los Reguladores
•! Informe de pérdidas a reportar a las bases de datos externas
•! Informe de eventos que afectan a varias líneas negocio
•! Informe de eventos múltiples
•! Informe de pérdidas provisionadas
Para uso interno
Generación de informes
142. 142
Jordi García - Consultor
Temas
Utilidad de las BBDD de RO
•! Valor agregado de las BBDD en la gestión empresarial
•! Cálculo del capital en riesgo mediante BBDD
•! Aspectos relevantes de las mejores prácticas
•! Preguntas y respuestas
143. 143
Jordi García - Consultor
Valor agregado de las BBDD en la gestión empresarial
Ayer veíamos que la gestión del RO se puede hacer de dos formas:
-! Cualitativa
-! Cuantitativa
Las BBDD aportan la información necesaria para realizar una
gestión cuantitativa, como se hace en riesgo crédito:
•! Aportando aspectos necesarios para la gestión de procesos
en las líneas de negocio/soporte
•! Aportando datos para el cálculo de capital en riesgo
Las BBDD en la gestión del RO
144. 144
Jordi García - Consultor
Valor agregado de las BBDD en la gestión empresarial
Las BBDD aportan información muy valiosa para la gestión:
•! Especialmente para los eventos de bajo impacto y alta frecuencia (Ej.: Fraude
tarjeta de crédito)
•! El ser humano aprende por sus experiencias. Es más fácil conocer la exposición al
Riesgo Operacional por los eventos ocurridos que por factores cualitativos que aun
no se han manifestado en forma de eventos
•! Los eventos manifiestan la existencia de un factor de Riesgo Operacional que en
algunas ocasiones era desconocido por la Entidad
•! Las BBDD son útiles en la medida en que las Entidades se preguntan que lagunas
en la gestión hay detrás de los eventos que ocurren
•! Las BBDD externas o los grandes eventos de dominio público deben ser
analizados: “¿Le puede ocurrir a mi empresa también?”
Las BBDD son una pieza clave en la gestión del RO
145. 145
Jordi García - Consultor
Valor agregado de las BBDD en la gestión empresarial
Algunos eventos ocurridos en el sector financiero han servido para que muchas Entidades
se planteen su forma de hacer o controlar los negocios
Repasemos algunos eventos significativos que han influido en la gestión del RO:
•! El 11 de Septiembre supuso un replanteamiento de los planes de continuidad y
contingencia para muchas empresas
•! El fraude de Madoff replanteó el negocio de los hedge funds y su forma de
controlarlos en muchas empresas
•! El evento de la Sociéte Générale provocado por Jérôme Kerviel hizo que muchos
bancos revisaran sus mecanismos de gestión
Es muy conveniente analizar los eventos que ocurren a los demás para ver en que medida
nuestra Entidad también está expuesta a esos riesgos
Los eventos de otras Entidades nos sirven para evaluar nuestro RO
146. 146
Jordi García - Consultor
Valor agregado de las BBDD en la gestión empresarial
Algunas Entidades financieras calculan periódicamente su capital económico, es decir, el
capital necesario para hacer frente al riesgo, con un margen de confianza muy alto (99,9%)
En cualquier caso todas calculan su capital Regulatorio; el que viene marcado por las
reglas del Supervisor del país en que nos encontremos
Todas las Entidades comparan su Capital Regulatorio y su Capital Económico (las que lo
calculan) contra sus Recursos Propios, que obviamente deben ser más elevados
En el caso del Riesgo Operacional, las BBDD permiten calcular el Capital Económico
debido a esta clase de riesgo
Con la BBDD se puede calcular el CaR
147. 147
Jordi García - Consultor
Valor agregado de las BBDD en la gestión empresarial
Basilea II permite calcular el CaR por RO de varias formas, en función de la madurez del
sistema de gestión que la Entidad ha implantado:
•! Método Básico: 15% sobre el “Gross Margin” de la Entidad
•! Método Estándar: se calcula sobre el “Gross Margin” de cada línea de negocio,
entre el 12% y el 18%
•! Método Estándar Alternativo: permite aplicar a las Bancas Comercial y Minorista el
cálculo del 0,035 de sus saldos de créditos. El resto de las líneas se calculan como
en el Estándar
•! Método AMA (Avanzado): el que salga por el modelo matemático de distribuciones
de pérdidas (LDA)
Por el momento son pocos los Reguladores que permiten el uso del modelo AMA.
Conforme se vayan perfeccionando los sistemas de gestión y remita la crisis de crédito
internacional, se permitirá que el capital se calcule con este modelo
Ventajas del CaR por RO
148. 148
Jordi García - Consultor
Valor agregado de las BBDD en la gestión empresarial
Solvencia II también permite el uso de modelos internos, siempre que los apruebe el
Regulador local y para ello es necesario utilizar BBDD internas y externas
Establece dos medidas de Capital:
•! MCR (Minimum Capital Requirement) que establece cada Regulador mediante una
fórmula (en USA 2% de las primas, en Alemania 1,5%)
•! SCR (Solvency Capital Requirement) es el capital en riesgo (técnico, crédito, mercado
y operacional) a un año vista calculado con un nivel de confianza del 99,5%, es decir
que la probabilidad de quiebra es de 1 vez cada 200 años
A diferencia de Basilea II, Solvencia II es mucho más abierto en cuanto al cálculo del capital
regulatorio. Marca las pautas a seguir por los Reguladores pero no establece fórmulas
comunes como hace Basilea II
Los Reguladores han utilizado los resultados de los diferentes QIZ (5 en total) para ajustar
los requerimientos mínimos de capital en sus respectivos países
Ventajas del CaR por RO
149. 149
Jordi García - Consultor
External data
Control environment
Scenario analysis
Internal data1
2
3
4
9(::))(%.,*#.&(
((!!""#$%&'(%)#
#
;(::))(*<,*#.&='(
(((!!""#'*&'(%)+#
(
>(?'+*.&#%1'(
###!!""#'+,'%)($-+#
#
@(61.,#15(?.3%#1./*.,(
###"$.'('%&'+#/'&-0-1-23)+#
####0'#/'0$,$4%(
Cálculo del capital por RO
Componentes del modelo AMA
150. 150
Jordi García - Consultor
Para cada línea de negocio, o celda
Distribución
Frecuencias
Distribución
Severidades
Simulación
MonteCarlo
Capital
en
Riesgo
Ajuste
Cualitativo
BBDD interna
Peso 50%
Externa
Peso 25%
BD
Combinada
+
Escenarios
Peso 25%
Motor de
cálculo
Cálculo del capital por RO
151. 151
Jordi García - Consultor
Gobierno corporativo y ámbito de aplicación del modelo
Estructura de gestión – Unidades implicadas1
Estructura de Comités
Perímetro de aplicación del modelo
2
4
Implicación de la Alta Dirección3
Aspectos relevantes de las mejores prácticas
152. 152
Jordi García - Consultor
COMITÉ DE DIRECCIÓN / CONSEJO DE ADMINISTRACIÓN
Área de Riesgos
Unidad Central de
Riesgo Operacional
Áreas de Negocio/Soporte
Gestor de
Riesgo Operacional
Gestor de
Procesos y Actividades
Dependencia funcional
Es fundamental que exista un esquema de gestión aprobado por la Alta Dirección, conocido
por toda la Organización y con roles definidos. En las áreas de negocio y soporte, los roles
pueden ser a tiempo parcial, si bien deben figurar como parte de los objetivos individuales
Aspectos relevantes de las mejores prácticas
153. 153
Jordi García - Consultor
Alta Dirección - Consejo de Administración (AD)
Aprueba el modelo de gestión de Riesgo Operacional
Promueve el uso del modelo en la Organización
Aprueba los planes de mitigación de alto nivel
Autoriza los recursos humanos y tecnológicos
Alta
Dirección
Unidad Central de Riesgo Operacional (UCRO)
Desarrolla el modelo de gestión de RO
Implanta las herramientas de gestión
Centraliza toda la información
Realiza el seguimiento del RO
Elabora y distribuye los informes
Unidad Central
de Riesgo
Operacional
Aspectos relevantes de las mejores prácticas
154. 154
Jordi García - Consultor
Gestor de Riesgo Operacional (GRO)
Ubicado su línea de negocio/soporte
Coordina el inventario de RO
Coordina proceso de captura
Secretario del Comité de RO
Coordina los planes de mitigación
Realiza el seguimiento
Gestor de
Riesgo
Operacional
Gestor de Procesos y Actividades (GPA)
Elabora mapas de procesos
Identifica el RO en sus procesos
Actualiza inventario de RO
Participa en el proceso de cuantificación
Elabora planes de mitigación
Gestor de
Procesos y
Actividades
Aspectos relevantes de las mejores prácticas
155. 155
Jordi García - Consultor
Gestión cualitativa
Cobertura: unidades intervinientes
Procesos incluidos en cada ejercicio
Criterios de valoración de factores riesgo
Comparativas entre unidades/países
Grandes riesgos corporativos
Factores de riesgo identificados completos
Reporting (a la Alta Dirección y a las unidades)
1
2
4
5
3
6
7
Aspectos relevantes de las mejores prácticas
156. 156
Jordi García - Consultor
Diseño de la aplicación (campos, umbrales, etc…)
Cuadres con la contabilidad
Provisiones incluidas en la base de datos
Análisis de la evolución de datos. Pruebas comparativas
Reporting (a la Alta Dirección y a las unidades)
Análisis de grandes partidas marcadas como no RO
1
2
4
5
3
6
Gestión cuantitativa
Aspectos relevantes de las mejores prácticas
157. 157
Jordi García - Consultor
Fundamentos matemáticos del modelo
Descripción matemática del modelo LDA y unidades de cálculo
Conciliación Áreas de Negocio con las de Basilea
Método de inclusión de bases de datos externas
Método de inclusión de escenarios
Revisión del ajuste cualitativo
Criterios de selección de distribuciones
Distribución por las líneas de negocio
1
2
4
5
3
6
7
Aspectos relevantes de las mejores prácticas
158. 158
Jordi García - Consultor
Test de uso del modelo en las unidades: Comités de RO
Constitución de los Comités de RO y su periodicidad1
Análisis de los factores de riesgo prioritarios
Análisis de eventos importantes del periodo
2
4
Cruce de información (BBDD vs Factores de Riesgo)5
Análisis de indicadores fuera de rango o con alertas6
Planes de mitigación: implantación, responsables y seguimientos3
Nuevos riesgos7
Planes de continuidad de negocio8
Aspectos relevantes de las mejores prácticas
159. 159
Jordi García - Consultor
Construyendo entre todos
Fin del Taller
Muchas gracias por
vuestra atención