lecciones de la crisis para el control interno y el

Lecciones de la Crisis para el Control Interno y el Compliance en el Mercado de Valores

7 Septiembre de 2010

El contenido y los puntos de vista expresados en esta presentación son los del presentador y no los de FINRA.

Lecciones de la Crisis © 2010 FINRA. All rights reserved.

Capacidades Mas Fuertes de Manejo de Riesgos

1

•Pershing•Service Bureau

•Link Analysis •Text Mining

•Experian•SAS Loss •Enhance Analytic Tools

A la luz de la crisis financiera y los acontecimientos recientes de fraude de alto perfil, juntas directivas, la industria y la comunidad inversora están clamando para más fuertes capacidades de manejo de riesgo:

Bien o mal, una percepción existe que los administradores de riesgos:

• Perdieron claros signos de advertencia

• Reaccionaron lentamente

• Enfocaron en las cosas incorrectas

• Emplearon métodos y técnicas que estaban fuera de contacto

• No siguieron el ritmo de la innovación

• Se centraron en cumplimiento de las normas y no en el negocio

• Perdieron oportunidades para reducir el golpe

En resumen, la opinión predominante es que nuestro actual marco de manejo de riesgo en gran medida fracaso, pero oportunidades de mejora existen

Los desafíos que enfrentan los administradores de riesgos incluyen:

• Rápido ritmo de la innovación y el cambio

• Complejidad creciente en los mercados, productos y estrategia de negocio

• Desafíos en el “skill set”

• Enfoque histórico sobre operaciones

• Evolución del marco regulatorio

• Inversiones limitadas en herramientas y tecnología

• Falta o limites de datos


Existen Debilidades

2

RiesgoDebilidades de Control – A pesar de que se ha gastado dinero considerable en el diseño de controles compensadores para tener en cuenta las infraestructuras deficientes y la integración de sistemas – en general, estos procedimientos se llevan a cabo a menudo en una moda "marque la casilla", y fácilmente se eludan los controles.

Riesgo de Detección – Limitadas e inadecuadas inversiones en tecnología de riesgo, inadecuada eficacia de los desencadenadores (triggers), y las alertas y los sistemas de flujo de trabajo que se encuentran para facilitar el examen de grandes volúmenes de datos para resaltar los riesgos. El resultado es descubrimiento limitado después de los hechos, no la detección y prevención.

Concentración de Conocimiento – Conocimientos básicos se concentran en unos pocos individuos claves que tienden a estar saturados. Pocos recursos humanos junto con insuficiente capacitación deja a las empresas vulnerables a la salida de esos recursos claves.

Seguridad de Datos – IT relacionados con los controles no han mantenido a la par con el rápido ritmo de cambio tecnológico. Existen vulnerabilidades en todos los ámbitos y datos confidenciales están en riesgo, particularmente de recursos internos.

Basado en análisis de bancos de inversión y casas de bolsa desde instituciones grandes hasta más pequeñas boutiques, surge unas temas de manejo de riesgo:


Invertir en tecnología, información y capacidades de riesgo

Desarrollo de nuevos métodos para medir y agregar riesgo

Enfocar en brechas en la gobernación

Revisar los objetivos de manejo de riesgo

Principales Tendencias de Inversión en la Industria

3

Identificar y clasificar los riesgos clave para el negocio


Marco de Manejo de Riesgos

4

Manejo eficaz de los riesgos operacionales requiere un marco de manejo de riesgos que prioriza el enfoque, asigna la rendición de cuentas y ofrece la información de riesgo adecuado a los encargados de manera oportuna.

• Identificación de Riesgos – establece un proceso para identificar y dar prioridad a los riesgos materiales y las amenazas emergentes asociadas con el negocio a un nivel de empresa.

• Estrategia de Medición de Riesgos – identifica los origines de riesgo y define los enfoques de medición cuantitativa y cualitativa adecuadas incluyendo RCSA, modelos de riesgo, etc.

• Evaluación de Requerimientos de Datos – define los datos necesarios para apoyar la estrategia de medición de riesgo, da prioridad a esas necesidades, identifica los orígenes de datos y administra los datos.

• Análisis e Informes de Riesgos – define las necesidades de análisis y reporting de riesgo y establece una plataforma de generación de informes para satisfacer esas necesidades.

• Flujo de Trabajo, Umbrales, Desencadenadores y Alertas –facilita el manejo de riesgos eficaz mediante la definición de tolerancias de riesgo y proporcionando una plataforma para evaluar cuando riesgo va más allá de que la tolerancia permite.

• Mitigación de Riesgo, Retroalimentación Sobre Modelos y Calibración – asegura que la empresa hace lo máximo posible con su inteligencia de riesgo y mejora la eficacia de sus herramientas de administración de riesgo y tecnologías.

Risk Identification and Prioritization

Risk Measurement and Controls Effectiveness Testing Strategy

Data Needs Assessment, Acquisition and Management

Risk Reporting and Analytics

Workflow, Thresholds, Triggers and Alerts

Risk Mitigation, Model Feedback and Calibration


Identificación y Priorización de Riesgos

5

Un proceso disciplinado para analizar el horizonte para identificar y dar prioridad a los riesgos existentes y las amenazas emergentes es un componente esencial de un marco de riesgo operacional.

• Riesgos evolucionan rápidamente a medida que cambian los mercados, productos, reglamentos y otros factores tanto internos como externos

• Mantenerse al día con el rápido ritmo de cambio y mantenerse al corriente de los riesgos actuales y emergentes amenazas requieren:

Un método para analizar a los mercados e identificar lo que puede salir mal.

Una manera para evaluar los riesgos potenciales y centrarse en lo que es realmente importante

• Debido a que el universo de riesgo es inmenso, y está limitada la capacidad, también necesitará:

Un proceso de dar prioridad a esas amenazas y enfoque a las amenazas de prioridad más altas

Validación periódica de las prioridades de la organización para garantizar que los recursos se están implementando para el mayor beneficio


Autoevaluación de Riesgo y Control

6

• A pesar de que la autoevaluación es una autoevaluación en lugar de una auditoria independiente, proporciona un instrumento eficaz para la administración pare reforzar los procedimientos y procesos de control.

• Forzando a los gerentes a evaluar críticamente su propia adhesión a las políticas y procedimientos de riesgo aumenta conciencia de y el cumplimiento de los controles de riesgo críticos para el negocio.

• Certificación regular aumenta la responsabilidad de la adhesión al control de riesgos y crea un clima de conocimiento de riesgos que por si puede ser un fuerte mitigante.

• La RCSA puede "medir" riesgo no cuantificable que no puede monitorear eficazmente a través de métricas e indicadores de riesgo s claves (KRIs). La RCSA, junto con un sólido programa de medición de KRI, efectivamente se redondea un perfil global de riesgos.

La autoevaluación de riesgos y controles (RCSA) puede ser un mecanismo eficaz para desarrollar un perfil de riesgo global desde una perspectiva cualitativa. Su propósito es evaluar la integridad de riesgos y controles e identificar deficiencias.


Indicadores de Riesgos Claves (KRI)

7

Contribuyen a un Perfil de Riesgo Global – KRIs proporcionan la base cuantitativa de un marco de medición de riesgos operacionales. KRIs con una fuerte correlación a un evento de riesgo adverso puede indicar cambios en la probabilidad de tener una perdida operativa.

Enfocar la Atención de la Administración – KRIs que establecen una relación causal entre la probabilidad de un evento adverso y el conductor de ese evento (por ejemplo, causa y efecto) centra la atención de la administración y de recursos.

Asignación de Capital – Medir la gravedad, la probabilidad y la volatilidad de las pérdidas operacionales puede ser un base para la asignación de capital económico. Indicadores de riesgos claves a nivel de negocio, presentan una medida imparcial y objetiva de los aumentos en la probabilidad de que las pérdidas operativas se pueden manifestar y apoya el proceso de asignación de capital.

KRIs proporcionan un mecanismo que mira hacia adelante para centrar la atención de la administración y establecer un vínculo causal entre eventos de pérdida y sus causas subyacentes.

Mean

Jan Feb Mar Apr May Jun Jul Aug

+1 Std. Dev

+2 Std. Dev

-2 Std. Dev

-1 Std. Dev

Risk Category Key Risk Indicator Status Score Trending QTD YTD Correlation Model R2

People Risk: 66% 96%

Attrition 77% 98%

Overtime 73% 70%

Average Tenure 49% 73%

Clients, Products, and BP's: 91% 35%

Concentrations 89% 38%

Portfolio Reviews 92% 42%

IT Risk: 73% 65%

Virus Infections 78% 35%

System Downtime 69% 72%

Hacker Attacks 72% 88%

IIG Risk Profile 77%

The People Risk

category “score” is

the weighted

average score of

the individual

category KRI’s

Aggregation across

discreet risk

categories is

possible because of

the standardized

scoring scale that is

applied to each KRI


Análisis de Scenario

8

Es una metodología para identificar, cuantificar y priorizar los riesgos asociados con “tailevents” donde los datos son escasos.

• Análisis que se centra en examinar la probabilidad y la gravedad de los eventos de riesgo “tail”.

• Puede aprovechar las estimaciones cualitativas del riesgo o consisten de análisis cuantitativos, tales como:

• Extreme Value Theory (EVT)

• Peak over Threshold (POT)

• Generalized Pareto Distribution (GPD)

• Requiere que los administradores de riesgos identifican el inventario potencial de eventos catastróficos y su impacto en el negocio:

• Pérdida de las operaciones de la sede

• Fracaso masivo de sistemas

• Colapso de la marca

SeveritySeverity

$ Per Incident$ Per Incident

Loss Distribution CurveLoss Distribution Curve

FrequencyFrequency

# of Incidents# of Incidents

Controllable Controllable

LossesLossesUncontrollable Uncontrollable

LossesLosses

Higher Impact, low

probability events

Excess Loss ThresholdExcess Loss Threshold

Low

High

High

SuitabilitySuitability

Unauthorized PositionsUnauthorized Positions

ChurningChurning

Front-runningFront-running

Trade BreaksTrade Breaks

Data LossData Loss

9-119-11

Virus AttackVirus Attack


Análisis e Informes de Riesgos

9

Manejo de riesgo se ve facilitada por un solido plataforma que informa a la vista de riesgo de los gerentes, valida las prioridades de la organización, proporciona información a los que toman decisiones, y proporciona retroalimentación a la organización.

Para satisfacer estas necesidades, la plataforma de presentación de informes debería:

• Apoyar el análisis de riesgo multidimensional con capacidad de detalle robusto

• Ser papel específico con respecto al contenido, el nivel de detalle, medidas y métricas

• Entregarse en una manera oportuna y automatizada

• Ser transparente para evitar dudas sobre el contenido de los informes

• Pintar un perfil de riesgo global que identifica claramente atípicos de riesgo (outliers), las concentraciones y áreas de preocupación

• Flexible y escalable lo suficiente como para crecer y adaptarse como su conocimiento de riesgo y capacidad madura.

Daily Op Risk Dashboard




Desencadenadores, Umbrales y Flujo de Trabajo

10

Unos componentes críticos de la estructura de gobernación global de riesgos son la definición y aplicación de flujo de trabajo sólida, umbrales, desencadenadores, y alertas dentro de la arquitectura de riesgo.

Actividades críticos incluyen:

• Establecer, por cada una de las estratificaciones definidos incrustado en el análisis de riesgo, donde su tolerancia al riesgo es por el factor de riesgo

• Definir cuando las migraciones en combinaciones de factores de riesgo superan su tolerancia al riesgo

• Asignar responsabilidad para cada riesgo y factor de riesgo y establecer una ruta de evaluación para cuando las tolerancias de riesgo se acerquen o se superen

• Vinculación de las exposiciones de riesgo y las deficiencias de control a planes de mitigación de riesgos y la aplicación de rendición de cuentas

• Establecimiento de desencadenadores que automáticamente hacen alertas, notificaciones, y mayor informes de riesgo cuando se superan los umbrales

Consistente, robusto, significativo, transparente y auditable.

Critical Alerts - Daily

Critical Alerts - MTD

Critical Alerts - YTD


Usos y Fuentes de Datos

11

Subyacentes a la arquitectura de riesgo, y el poder detrás del marco de manejo de riesgo, son los datos que las unidades de análisis de riesgo. Permite la acción.

Tipos de datos útiles:

• Datos de crédito, historia regulatoria, datos de referencia de productos, datos transaccionales, datos de la cartera, datos de referencia de cliente, datos del firme, datos de estrategia de inversión, etc.

Fuentes de Datos:

• Bases de datos internos

• Datos transaccionales

• Proveedores de datos externos como:

• S&P u otros bases de datos tipo “product master”

• Datos transaccionales

• Datos de los rating agencies

• Reguladores y supervisores

Internal Data External Data

Firm Name Firm CRD No Peer Group Finop District Net Capital CategoryAvg Fin Risk

18.18667

KELMOORE INVESTMENT COMPANY, INC. 22509 Retail Brokerage Peer1SF C8 95.00000

INNOVA SECURITIES, INC. 27040 Institutional Peer 9PH C 95.00000

VISION SECURITIES INC. 35001 Retail Brokerage Peer10LI C 95.00000

BROOKSHIRE SECURITIES CORPORATION 44347 Retail Brokerage PeerFLD C 95.00000

CHANNEL POINT PARTNERS 120283 Retail Brokerage Peer2LA C 95.00000

BIO-IB, INC. 120926 Investment Banking Peer10NY J 95.00000

VIANET DIRECT, INC. 124887 Institutional Peer 9PH C 95.00000

BROADWAY FINANCIAL GROUP, INC. 135113 Investment Banking Peer10NY J 95.00000

TOUCHPOINT SECURITIES CORP. 137224 Investment Banking Peer11BO C5 95.00000

EMERALD INVESTMENTS, INC. 139511 Retail Brokerage Peer10NY C 95.00000

ASCENDANT FINANCIAL PARTNERS, LLC 143326 Investment Banking Peer3DE J 95.00000

ROBERT M. CORLEY INCORPORATED 33068 Market Makers and Floor BrokersM2 I 93.79000


18.18667














18.18667














18.18667














18.18667














18.18667













Risk Governance and Control

Risk Identification &

PrioritizationRisk Policy and Procedures Reporting and Analytics

Planning, Allocation and

Execution

Data and Risk Systems

• Risk inventory that sizes

known risks and

emerging threats;

• Prioritization process

where management

establishes focus;

• Clear linkage between

prioritized risks and risk

measurement strategy;

• Ongoing validation

process re-targets focus.

• Clearly defined risk based

examination procedures

tailored to specific

business models;

• Linkage between

frequency, intensity, and

focus of exams and risk

analytics;

• Clear accountability,

ownership, and workflow

driven by risk analytics.

• Robust reporting &

analytics that enhance

historical compliance

views;

• Clear linkage between

risk & the drivers of risk;

• Outliers identified for

enhanced analytics;

• Multi-dimensional views

(product, business model,

etc.).

• Risk driven supervisory

system;

• Examination hours

allocated by risk output;

• Examination focus

targeted through risk

analytics;

• Exam content tailored

based on business

model, risk factors, &

other risk input.

Workflow, Thresholds, Triggers and Alerts

lecciones de la crisis para el control interno y el

Documents