Download - Supervisión del Riesgo Operativo La experiencia de la SBS Perú Julio 2012 Jorge Dominguez Gallegos
Supervisión del Riesgo OperativoLa experiencia de la SBS Perú
Julio 2012Julio 2012Jorge Dominguez GallegosJorge Dominguez Gallegos
Agenda• Principales conceptos• Marco Normativo• Diagnóstico sectorial
– Gestión del riesgo operacional– Gestión de la continuidad del negocio– Gestión de la seguridad de la información– Base de datos de eventos de pérdida por riesgo operacional
• Requerimiento de Capital– Métodos– Proceso de autorización ASA
• Herramientas– Team Risk– Risk Manager– IG-Rop
Principales conceptos y definiciones
Definición de Riesgo
Entendiendo el riesgo como la incertidumbre de los que puede suceder
(-)Menor Riesgo
¿Dónde estaría este riesgo?
1.Entras corriendo a la terraza de un departamento del piso 20, que sabes que está congelada y no tiene baranda.
(+)Mayor Riesgo
Fuente: Presentación de ACME Consultora
5
Enfoque tradicional y moderno
El riesgo y el negocio financiero
Compras una oportunidad de lanzar una moneda a US$ 100
CARA: te pagan US$ 130
SELLO: te pagan US$ 20
Esperanza (E) = 30 * 0.5 + -80 * 0.5 = -25
Fuente: Presentación de ACME Consultora
Esperanza (E) = 30 * 0.5 + -10 * 0.5 = 10
En el negocio financiero
100
90
10
CARA: Pagan US$ 130 (+30)
SELLO: Pagan US$ 20 (-80)
Accionista gana US$ 30
Accionista sólo pierde US$ 10
Fuente: Presentación de ACME Consultora
Que hay de Nuevo en la Gestión de Riesgos:
Rs = F(V, A)Donde:
Rs = RiesgoV = VulnerabilidadA = Amenaza
Amenaza¿Qué tan amenazada está la empresa por hechos o situaciones que le puedan producir un daño?Entendiendo los factores de riesgo se puede conocer mejor las amenazas
Amenaza (A)
SE PUEDE UTILIZAR:
•KRI de los factores de riesgo por línea de negocio•Valor de las pérdidas•Nro. de incidentes frecuentes por sector
Posibilidad de que un evento se presente con una cierta intensidad, en un sitio especifico y dentro de un periodo de tiempo definido.
+
+
¿Qué tan vulnerable es una empresa según sus características?
A B
Considerando su estructura, la empresa A es más vulnerable que la empresa B, ante el mismo evento natural (por ejemplo un terremoto)
La gestión de riesgos funciona como un blindaje que hace a la empresa menos o más vulnerable ante eventos que la puedan impactar.
Vulnerabilidad
¿Qué tan vulnerable es una empresa?
La gestión de riesgos funciona como un blindaje que expone en menor medida a la empresa a posibles amenazas.
+
+-
Vulnerabilidad (V)
Rs = F(V, A)
Indicador de Riesgo (RS)El índice del riesgo operacional estaría en función de la Vulnerabilidad y Amenaza, y estas variables a su vez en 5 variables.
V = F(Q1, Q2, Q3) A = F(Q4, Q5)
Q1 Q3Q2
Q4 Q5
InRop
Indicador de Riesgo Operacional
Marco Normativo
Evolución de Regulación en Riesgo Operacional
2012
Modificación Norma de CapitalRes. SBS N° 3127-2012
Tecnología
Procesos internos
Personas
EventosExternos
Continuidad del Negocio
(Circ. G-139)
Seguridad Información
(Circ. G-140)
Gestión del Riesgo Operacional (Res. 2116-2009)
Patrimonio Efectivo por Riesgo Operacional Res. 2115-2009
Diagnóstico Sectorial
Gestión del riesgo operacional en los bancos del SFP
Gestión del riesgo operacional, evaluada en cada empresas supervisada a través de cada uno de los 8 componentes de la gestión integral de riesgos. Componente adicional, gestión de proyectos.
• “Información y comunicación”: componente más desarrollado (15 bancos en “Adecuado”)
• “Establecimiento de objetivos”: componente “Adecuado” en un número importante de bancos (9); sin embargo, con número relevante de empresas (4) con este componente “Insatisfactorio”
•“Ambiente interno”: componente que requiere un mayor esfuerzo por parte de los bancos.
Situación a diciembre de 2010
1
96 3 4
7
15
24
15
4
1114
12 10
2
15
3
1
4
1
10
25
20
15
10
5
0
5
10
15
20
25
Adecuado Necesita Mejora Insatisfactorio No se conoce
Componentes Evaluados
AmbienteInterno
Estab.Objetivos
ID.Riesgos
Evaluación de Riesgos
Tratamiento
Act. Control
Inf. Y Com.
MonitoreoGestión de Proyectos
N°E
mpre
sas
Gestión de la continuidad de negocios en los bancos del SFP
Situación a febrero de 2011
Gestión de la seguridad de la información en los bancos del SFP
Situación a febrero de 2011
Situación de base de datos de eventos de pérdida
Basado en cuestionario enviado a los 18 bancos del SFP
Antigüedad de información recolectada
El 89% de los bancos (16) aseguran contar con información completa y confiable con una antigüedad mayor a 2 años
Cinco bancos (28%) contarían con información confiable con una antigüedad igual o mayor a 4 años.
Pérdidas por Línea de Negocio
Requerimiento de Capital
Requerimiento de Capital
>=10.0%Capital Regulatorio
APRC + APRM + APROp
Capital regulatorio tiene por fin asegurar que bancos soporten importantes pérdidas sin causar una crisis bancaria que podría amenazar la integridad del sistema financiero
ImportanteEl APR por riesgo operacional deberá ser multiplicado por un factor según tabla
Periodo Factor de ajusteJulio de 2009 - Junio de 2011 0,40Julio de 2011 – Junio de 2012 0,50Julio de 2012 – En adelante 1,00
CAMBIOS PROPUESTOS A LA RES. 2115-2008
Tope del 25%El requerimiento patrimonial por riesgo operacional será como máximo el 25% de los requerimientos patrimoniales por riesgo de crédito y de mercado. Es decir, no tienen que reservar el capital que excede ese límite.
Nuevo Cronograma de Factor de AjusteEn la norma anterior, a partir de julio de 2012 tenían que cambiar el factor de ajuste de 0.5 a 1. Propuesta:
•De julio 2012 a junio 2013: Factor de ajuste = 0.6•De julio 2013 a junio 2014: Factor de ajuste = 0.8•De julio 2014 en adelante: Factor de ajuste = 1
Sensibilidad al riesgo
Facilidad para Implementar
Método del Indicador Básico
Método Estándar y Estándar Alternativo
Método Avanzado
El regulador puede crear incentivos para que, con el fin que el requerimiento de capital sea más sensible al riesgo, las empresas tiendan hacia el método avanzado
ENFOQUESCAPITAL RIESGO OPERACIONAL
A Octubre 2011, el patrimonio requerido por riesgo operacional supera los S/. 800 millones en el sistema financiero. El requerimiento se constituye de manera
progresiva
Res. SBS N° 2115-2009 Requerimiento de patrimonio efectivo por riesgo operacional
Inicio de Vigencia de Res. 2115
Dic. 2010 6 bancos y 1 financiera enMétodo Estándar
Dic. 2011 7 bancos y 1 financiera enMétodo Estándar
Julio
200
9
Julio
201
0
Abril
200
9
Julio
201
1
Julio
201
2
0.4 0.4 0.5
Nuevo cronograma de factor de ajuste
Factor de ajuste
Empresa manifiesta interés y remite autoevaluación
Empresa prepara solicitud de autorización: -Declaración de cumplimiento-Informe de Cumplimiento
ACTIVIDADES PREVIASACTIVIDADES PREVIAS PROCESO FORMALPROCESO FORMAL
SBS evalúa información remitida por empresa
Reunión para informar de resultados de evaluación
Empresa inicia proceso de
mejora
SBS recibe solicitud de autorización
Se realiza la evaluación:- Reuniones de trabajo- Validación en Línea de Negoc- Solicitud de información complementaria
SBS emite Resolución con resultado
Autorizando Denegando
Indefinida
Con plazo definido(Oficio con acciones Requeridas)
ACCIONES COMPLEMENTARIAS
ACCIONES COMPLEMENTARIAS
Evaluaciones periódicas para evaluar situación de acciones
requeridas
Autorización de Método Estándar Alternativo
REQUISITOS PARA METODO ASAREQUISITOS PARA METODO ASA
R1: Participación activa del Directorio y la Gerencia General.R2: Función de gestión del riesgo operacional.R3: Programa de capacitación profesional.R4: Metodología para la gestión del riesgo operacional.R5: Recursos suficientes.R6: Reportes periódicos sobre exposición al riesgo operacional.R7: Procedimientos para asegurar cumplimiento.R8: Incentivos a la apropiada gestión del riesgo operacional.R9: Base de datos de eventos de pérdida por riesgo operacional.R10: Gestión de la continuidad del negocio.R11: Gestión de la seguridad de la información.R12: Revisión periódica independiente por Auditoría Interna.R13: Revisión periódica de una Sociedad de Auditoría Externa.
EVALUACION ADICIONAL EN CONTINUIDAD DEL NEGOCIO
EVALUACION ADICIONAL EN CONTINUIDAD DEL NEGOCIO
EVALUACION ADICIONAL EN SEGURIDAD DE LA INFORMACION
EVALUACION ADICIONAL EN SEGURIDAD DE LA INFORMACION
Políticas y organización para GCN
Análisis de impacto y evaluación
Plan de gestión de crisis
Planes de continuidad
Planes de emergencia
Plan de recuperación de servicios
Pruebas de continuidad del negocio
Políticas y organización para GSI
Gestión de activos
Seguridad de personal
Seguridad lógica
Seguridad física y ambiental
Seguridad de operaciones y comunicación
Seguridad en el desarrollo
Gestión de incidentes.
Aspectos evaluados en autorización ASA
Herramientas de Supervisión
Objetivos de EvaluaciónAspectos a Evaluar
1. Ambiente interno2. Establecimiento de objetivos3. Identificación de riesgos4. Evaluación de riesgos5. Tratamiento6. Actividades de control7. Información y comunicación8. Monitoreo9. Gestión de proyectos
Se evalúa según
Calidad (X)Cerca mejor práctica 1Adecuado 2Necesita Mejora 3Insatisfactorio 5No se conoce 6
Importancia (Y)Poco Importante 1ImportanteMuy Importante
23
Req. de Acción Supervisora = F (X, Y)
3 13.96 16.60 18.37 20.87 21.85 2 12.61 15.00 16.60 18.86 19.74 1 10.61 12.61 13.96 15.85 16.60
1 2 3 4 5 X
Y
(De 15.1 a 17 )
Consolidando Puntuaciones
Conocimiento de la Empresa
Por cada Objetivo
OBJETIVO 11. Participación del Directorio2. Participación de la Gerencia...OBJETIVO 2...
Acciones Supervisoras
Team Risk
Formula de PuntuaciónPermite determinar una medida de criticidad, la que se utiliza para priorizar los proyectos necesarios para el cumplimiento de los objetivos previamente definidos.
Sci
Ci
Enfoque Exigente
Enfoque Moderado
Enfoque Flexible
RANGOS
LímiteMayor
LímiteMenor
Bajo Medio Alto
Posibles Resultados de S
Sci
Ii
Score (C) = α (p . Ci )^ (1/α)
Score(I) = β [(1-p) . Ii] ^ (1/β)
Bajo un Enfoque Exigente
Score = (α.β) . (p. C)^ (1 / prom(α, β)) . [(1-p).I] ^ (1 / prom(α, β))
Nri,Gi
Gráfico N° 2
α ó β = 4
α ó β = 3
α ó β = 2
RS(Nri),
RS(Gi)
Fórmula de Puntuación Utilizada
Score = f (C, I)
(Ver Detalle)
Flexible
SExigente Moderado
C,I
C,I
S(C)S(I)
Modelo de Implementación Team Risk
Clasificación de empresas
33
Aplicación web utilizada desde el 2007 para el envío del
informe anual de gestión de riesgo operacional. Se está
realizando la actualización de la información requerida.
Contenido
Inicio de operación : Marzo 2012Se comunicará en forma previa mediante un oficio
Informe de Gestión por WEB
34
Líneas de negocio y tipo de producto
35
ASPECTOS DE EVALUACION
Aspecto Evaluar 1Aspecto Evaluar 2
.
.
.Aspecto Evaluar N
AUTOEVALUACION 1Cada pregunta se asocia a uno o más aspectos a evaluar
Criterio1Criterio2Criterio N
AUTOEVALUACION 2
Criterio1Criterio2Criterio N
WORKFLOW
Evaluador realiza acción y actualiza
respuesta
Coordinador define acción y
monitorea Reportes de Gestión
•Situación de empresa y sector•Monitoreo del Workflow
Risk Manager
Reportes de Gestión por Empresa
Objetivo: Obtener información para evaluar fuentes de pérdidas por riesgo operacional, mejorar las competencias de los sistemas supervisados para gestionar este riesgo y facilitar el desarrollo de modelos avanzados
Proyecto: Central de eventos de pérdida: CPRO
FuncionaFuncionaFuncionaFunciona
Nivel de preparación de las empresasNivel de preparación de las empresasante un evento de contingenciaante un evento de contingencia
Nivel de preparación de las empresasNivel de preparación de las empresasante un evento de contingenciaante un evento de contingencia
A nivel individualA nivel individualA nivel individualA nivel individual A nivel sectorialA nivel sectorialA nivel sectorialA nivel sectorial
Sólo empresassupervisadas
Empresassupervisadas y otros como: BCR, MEF, Telcos, otros
Verificado mediante supervisión
Verificado medianteejercicios sectoriales
Los ejercicios sectoriales son el único medio para conocer el nivel de preparaciónLos ejercicios sectoriales son el único medio para conocer el nivel de preparaciónde los sistemas supervisados ante eventos de contingencia de gran impactode los sistemas supervisados ante eventos de contingencia de gran impacto
????
Ejercicios sectoriales de continuidad de negocios (en estudio)
GRACIAS