Banco de Comercio Asesoría Externa en la … · Relación valor, incertidumbre, eventos, riesgo y oportunidad Negocio Eventos Riesgo Oportunidad Factores externos Factores internos

Banco de ComercioAsesoría Externa en la Implantacióndel Proyecto Basilea IIAbril 2009

• Gestión Integral de Riesgos

- Análisis del Plan

• Riesgo Operacional

Slide 3PricewaterhouseCoopers

Abril 2009

Evolución de la administración de riesgos

1980’s

Crédito

Gestión deRiesgos

Crediticios

Mediados -1990’s

Crédito

Mercado

Gestión deRiesgos

Financieros

Fines 1990’s+

Crédito

Mercado

Estrategia

Operación

Administraciónde RiesgosIntegrada

Administración integral del riesgo


Abril 2009

Toda entidadexiste para

generar valor parasus stakeholders

El valor es creado, destruidoo preservado por las decisiones

gerenciales desdela estrategia hasta la

operación del día a día

Objetivos organizacionales

Administrando loseventos futuros quecrean incertidumbres

Respondiendo parareducir pérdidas

inesperadas y tomaroportunidades

valor

ERM

ERM: El punto de partida es definir el marco de administracióndel riesgo...


Abril 2009

ERM: El punto de partida es definir el marco de administracióndel riesgo...

Relación valor, incertidumbre, eventos, riesgo y oportunidad

Negocio Eventos

Riesgo

Oportunidad

Factoresexternos

Factoresinternos

IncertidumbreObjetivos(creaciónde valor)

Accionistas

Stakeholders

Impacto negativosobre objetivos

Impacto positivosobre objetivos


Abril 2009

No elimina los riesgos….Permite administrarlos

Administrando loseventos futuros quecrean incertidumbres

Respondiendo parareducir pérdidas

inesperadas y tomaroportunidades

valor

ERM

ERM: El punto de partida es definir el marco de administracióndel riesgo... aparece un nuevo lenguaje para el riesgo


Abril 2009

ERM: Marco de administración del riesgo

1. CULTURA 2. GESTIÓN CUALITATIVA 3. GESTIÓN CUANTITATIVA

Concientización sobrela importancia de la

administración del riesgo

Identificación deriesgos, mapa de riesgos

y respuestas/controles

Definición de laestructura organizativa

y políticas

Desarrollo de indicadoresy auto-evaluaciones

Captura de datosy mantenimiento

Desarrollo delmodelo de

cuantificación

Cálculo del capitalcon modelosavanzados

Integración

FASES DE UN PROYECTO DE ERM

Dentro de la combinación adecuada, todos estos pasos deben sercomplementados para lograr un Marco de Gestión Integral del Riesgo ...


Abril 2009

Entendimiento y mapeo integral de todoslos riesgos de la entidad

Establecimiento de contratos de gobiernoacerca de funciones

Cumplimiento

Transformar datos de riesgos eninformación y conocimiento

Uso de la información para la tomade decisiones

Protección del negocio

u Conocer el impacto de los riesgos en lacreación de valor – Capital Económico

Generación de valor para la organización

ERM en empresas líderes: En principio existe un camino críticopara administrar el riesgo...


Abril 2009

Establish initial customerdetails (if existingcustomer, access

records) name addresscontact number unique

ID

Establish initial customerdetails (if existingcustomer, access

records) name addresscontact number unique

ID

StartStart

Establishenquirers needs

and wants.Gather anypreliminaryinformationrelevant to

enquiry

Establishenquirers needs

and wants.Gather anypreliminaryinformationrelevant to

enquiry

Existingcustomerservice

Existingcustomerservice

torelevantprocess

torelevantprocess

Determinerelevant solutions


no

Newproduct

application

Newproduct

application

Go toapplication

Go toapplication

no

Informationonly

Informationonly

Furtherrequirements

Furtherrequirements


and provideinformation


and provideinformation

yes

yes

no

yes

Stillinterested

Stillinterested

Have asolution

Productselection andcomparisons

Productselection andcomparisons

Third partyThird party

Notify nosolution

Notify nosolution

Collate datainform

marketing

Collate datainform

marketing

Recordreason why

not accepted.

Recordreason why

not accepted.

End

no

no

yes

yes

essential detailsfact find

essential detailsfact find

Procesos críticosde negocio

Datos pérdidainterna

Análisis datos pérdida

Reportes KRI

Datospérd. ext

Reportes Incidentes

Análisisescenarios

Auto-evaluaciones

Gestión Tablero de Comando

ERM en empresas líderes: Un ejemplo de la forma en queintegran todos sus esfuerzos…


Abril 2009

ERM: El punto de partida es definir el marco de administracióndel riesgo… y considerar las limitaciones actuales

Los objetivos pueden ser vistos en elcontexto de cuatro categorías

Ocho componentesinterrelacionados

Considera lasactividades de

todos los niveles dela organización

Qué

Dónde

Alineado con


Abril 2009

Análisis del Plan de Adecuación del Reglamento de la GestiónIntegral de Riesgos

PRIMERA ETAPA

Fase 1: Diagnóstico preliminarEstablecer el diagnóstico preliminar dela situación existente en el Banco.

Fase 2: Análisis del Plan deAdecuación.Identificar, evaluar y priorizar lasactividades previstas para la totaladecuación del Plan.

Fase 3: Elaboración del Plan deAdecuación de la Gestión Integral deRiesgos.

Plan de Adecuación

El Banco realizó un diagnostico de lasituación actual de la gestión de riesgos,el cual está comprendido en el “Plan deAdecuación de Gestión Integral deRiesgos”,

Se priorizaron las actividades del plan deadecuación según el criterio del personaldel equipo de GIR.

El Banco presentó el Plan de Adecuacióna la Gestión Integral de Riesgos, deacuerdo a la Resolución SBS N° 037-2008

Situación Actual

Gestión Integral de Riesgos – Análisis del Plan

Oportunidad de Mejora


Abril 2009


SEGUNDA ETAPAAdecuación a las disposiciones dela SBSFase 1: Conformación de un Comité deRiesgos.

Fase 2: Análisis y Adecuación de laestructura actual de Gestión deRiesgos.

Plan de Adecuación

Se revisó las actas de reunión del equipoGIR, donde se propone la modificación a“Comité de Riesgos”. Asimismo, el“Reglamento del Comité de Riesgos”, fueaprobado en sesión de Directorio.

El Banco cuenta con dos Divisiones deRiesgos, para la gestión de todos losriesgo que enfrenta. Asimismo, cuentacon normativas para la gestión de cadauno de los tipos de riesgos. Sin embargo,no se han designado responsables parala gestión de los riesgos de Reputación yEstratégicos. A su vez, en el Manual dePolíticas y Procedimientos dePlaneamiento Estratégico, no seespecifica el análisis de riesgosestratégicos, ni se hace referencia a lametodología utilizada para el mismo.

Situación Actual


• Revisar la estructura de la Gestión deRiesgos del banco, con la finalidad deotorgarle una independencia yautonomía sobre las diferentesunidades de negocio del banco.(MP)

• Definir los responsables de la gestiónde riesgos estratégicos yreputacionales.(CR)

• Complementar el Manual de Políticasy Procedimientos de PlaneamientoEstratégico con el análisis de riesgosestratégicos.(CR)



Abril 2009


Plan de Adecuación

El Manual de la Gestión Integral deRiesgos incluye políticas y normasgenerales, falta complementar con lafilosofía del Banco.

Se realizan evaluaciones de desempeñodel personal. Sin embargo, no incluyentemas de gestión integral de riesgos.

Situación Actual


• Debe complementarse el Manual dela Gestión Integral de Riesgos con lafilosofía de administración de riesgosdel Banco.(MP)

• Asimismo se debe difundir a todo elpersonal, dichas políticas, incluyendoroles, responsabilidades.(MP)

• Ser deben incorporar en lasevaluaciones de desempeño delpersonal, criterios que permitan incluiren dicha evaluación los aspectosasociados a la Gestión Integral deRiesgos, dependiendo del nivel ygrado de participación de lapersona.(MP)



Abril 2009


Fase 3: Modificación de las NormativasInternas, adecuados al cumplimiento delos principales componentes de la GIR.

Fase 4: Definición de procedimientos yasignación de responsabilidades parafijar los objetivos generales yespecíficos del Banco.

Plan de Adecuación

Se realizaron las modificaciones a lassiguientes normas del Banco,adecuándolas a la Resolución SBS N°037-2008:• MPP de Gestión Integral de Riesgos.• Reglamento de Comité de Riesgos.• MPP de Planeamiento Estratégico.• MPP de Adquisiciones y Contrataciones.• Incentivos para la Gestión de Riesgos.• Circular de Sistema de Denuncias.

Se definieron los responsables de lafijación de objetivos en el desarrollo delplan estratégico del Banco. Asimismo, enel Balanced Scorecard, se definen losresponsables del seguimiento de losprincipales indicadores.

Situación Actual


• El Manual de la GIR debe incluir lasreferencias a los Manuales existentespara la gestión de cada tipo deriesgo.(MP)

• Establecer un sistema de incentivosde acuerdo a las necesidades delBanco, alineado con la evaluación deldesempeño del personal.(MP)



Abril 2009


Fase 5: Diseño del plan decapacitación

Plan de Adecuación

El Banco ha desarrollado un plan decapacitación interna para el año 2009,referente a Gestión Integral de Riesgos,el cual se divide en tres niveles:Estratégico, Táctico/Funcional yOperativo. Sin embargo, no cubre todoslos aspectos considerados inicialmente,tales como:• Filosofía de la GIR.• Apetito al riesgo.• Tolerancia al riesgo.• Responsabilidades de la GIR.

Situación Actual


• Complementar los programas decapacitación con los temas referidosa GIR.(MP)

• Planificar y completar las sesiones decapacitación que han sidopostergadas y las que se encuentranprogramadas a futuro, coordinandocon los distintos involucrados tiemposy recursos para su efectivaejecución.(CR)



Abril 2009


Fase 6: Definición de cambios ynuevos procedimientos adaptados a laGIR, en el proceso de identificación deriesgos.

Fase 7: Definición de cambios ynuevos procedimientos adaptados a laGIR, en el proceso de evaluación deriesgos.

Fase 8: Definición de cambios ynuevos procedimientos adaptados a laGIR, en el proceso de tratamiento deriesgos.

Plan de Adecuación

Se ha desarrollado una metodología parala identificación de riesgos operacionales.Sin embargo, no se han desarrolladometodologías para la identificación deriesgos de reputación y estratégicos.

Se ha desarrollado la metodología deevaluación de los riesgos operacionales,considerando la criticidad bajo los nivelesde impacto y frecuencia. Sin embargo, nose ha desarrollado metodologías deevaluación para los riesgos de reputacióny estratégicos.

Aún no se ha implementado lametodología establecida en el Manual dePolíticas y Procedimientos de RiesgoOperacional.No se ha desarrollado metodologías parael tratamiento de los riesgos dereputación y estratégico.

Situación Actual


• Desarrollar un Manual de Políticas yProcedimientos de RiesgoReputacional y Estratégico.(CR)

• Establecer los niveles de apetito ytolerancia al riesgo para los riesgosde reputación, estratégicos yoperacionales.(CR)



Abril 2009


Fase 9: Definición de actividades decontrol adaptadas a las GIR.

Fase 10: Definición de actividades deInformación y Comunicación adaptadasa las GIR.

Plan de Adecuación

Aún no se han identificado los controlesexistentes de los riesgos operacionalesidentificados. No se han desarrolladopolíticas y procedimientos para el controlde los riesgos de reputación yestratégicos.

El Banco no cuenta con un sistema dealertas basado en KRI´s, que permitamonitorear los riesgos clave, así comotomar medidas correctivas.

El Banco cuenta con una base de datosde Normas en Línea, asimismo, cuentacon canales de comunicación interna yexterna. Es necesario establecer losprocedimientos que permitan laelaboración de los nuevos reportes de laGIR que deben ser presentados a la SBS,como son el informe anual y ladeclaración que tiene que realizar elDirectorio .

Situación Actual


• Definir la metodología yprocedimiento para el uso de KRI´s(Key Risk Indicators) para elmonitoreo de los riesgos más críticos,los cuales deberán complementar elTablero de Control desarrollado por elBanco.(MP)

• Incluir en la Memoria Anual delBanco, un resumen ejecutivo del nivelde adecuación a la GIR.(CR)

• Desarrollar mecanismos de Difusiónque permitan generar un mayorentendimiento y compromiso delpersonal para una adecuada gestiónintegral de riesgo.(MP)



Abril 2009


Fase 11: Definición de las Actividadesde Monitoreo.

Fase 12: Establecimiento de unsistema de incentivos.

Plan de Adecuación

El Banco tiene definidos los indicadoresde gestión para el monitoreo delcumplimiento del plan estratégico. Sedeberá considerar la implementación derevisiones independientes, además de larevisión del cumplimiento normativo, paraverificar el nivel de implementación yfuncionamiento de cada uno de los ochocomponentes que conforman el marcopara la GIR .

Se ha desarrollado una circular “sistemade incentivos de la Gestión Integral deRiesgos”, la cual establece niveles deincentivos y los criterios para el cálculo.Sin embargo, no se han obtenido losresultados esperados.

Situación Actual


• Establecer como parte de la agendadel Comité de Gerencia y ComitéEjecutivo el seguimiento a laejecución del plan de adecuación a laGestión Integral de Riesgos en elBanco. Asimismo, definir laperiodicidad de la presentación yresponsables de efectuar revisionesindependientes e informar losresultados a estos Comités.(MP)

• Establecer un sistema de incentivosde acuerdo a las necesidades delBanco.(MP)



Abril 2009


Fase 13: Normar la obligación deelaborar y presentar al Directorio, conperiodicidad anual un Plan deCapacitación para los integrantes de laDivisión de Riesgos.

Fase 14: Elaborar un procedimientopara, determinar cuales son losprocesos subcontratados por terceroscon mayor criticidad.

Fase 15: Establecimiento deprocedimientos adecuados para facilitarla oportuna denuncia e investigación deactividades ilícitas o fraudulentas.

Plan de Adecuación

Se ha elaborado un plan de capacitaciónde GIR para Directores, Coordinadores ycolaboradores, sin embargo, no se hadesarrollado un plan específico para laDivisión de Riesgos.

Se desarrolló una circular para identificarlas subcontrataciones significativas.

Se desarrolló una circular de denunciasde prácticas cuestionables, en la cual sedetalla el procedimiento para suinvestigación.

Situación Actual


• Elaborar un plan de capacitación parala División de Riesgos, según lasnecesidades identificadas por el jefede departamento.(CR)

• Definir los criterios de clasificación desubcontrataciones significativas.Asimismo, definir los responsables desu designación.(MP)

• Elaborar un procedimiento formal desubcontrataciones en el banco, elcual establezca el análisis deriesgos.(MP)

• Complementar el procedimientoestablecido para la denuncia deprácticas cuestionables paragarantizar la confidencialidad deldenunciante si así lo desea.(MP)



Abril 2009


Fase 16: Elaboración y documentaciónde plazos para la declaración decumplimiento que el Directorio.

Plan de Adecuación

Se ha establecido en el Manual deGestión Integral de Riesgos como políticala declaración de cumplimiento delDirectorio referente a GIR.

Situación Actual


• Elaborar un modelo de informe parala Declaración de cumplimiento delDirectorio referente a la GIR apresentarse a la SBS.(CR)



Abril 2009

Nivel de avance del plan de adecuación – Normativa SBS

0% 25% 50% 75% 100%

Fase 1

Fase 2

Fase 3

Fase 4

Fase 5

Fase 6

Fase 7

Fase 8

Fase 9

Fase 10

Fase 11

Fase 12

Fase 13

Fase 14

Fase 15

Fase 16


Banco de Comercio

PwC


Abril 2009

Nivel de avance del plan de adecuación – Mejores prácticas

0% 25% 50% 75% 100%

Fase 1

Fase 2

Fase 3

Fase 4

Fase 5

Fase 6

Fase 7

Fase 8

Fase 9

Fase 10

Fase 11

Fase 12

Fase 13

Fase 14

Fase 15

Fase 16


Banco de Comercio

PwC

• Gestión Integral de Riesgos

- Análisis del Plan

• Riesgo Operacional


Abril 2009

Análisis GAP

1.- Definición de Riesgo Operacional

El Banco cuenta con una definición de riesgo operacional deacuerdo con las exigencias de la Superintendencia de Banca,Seguros y Administradoras Privadas de Fondos de Pensiones(SBS).

2.- Administración de los aspectos que originan el riesgooperacional.

3.- Eventos de pérdida asociados con el riesgo operacional.El Manual de Políticas y Procedimientos de riesgooperacional, asocia los tipos de eventos al riesgo operacional,los cuales son clasificados de la siguiente manera:• Riesgos de personas/relaciones:• Riesgos de procesos:• Riesgos de sistemas:• Riesgo de evento externo/activos físicos:Asimismo considera los criterios a tomar en cuenta para lacaptura y registro de los eventos de pérdida, así como losformatos para su aplicaciónEsta asociación de los eventos con el riesgo operacional, estáalineada con lo establecido en la Resolución SBS N° 2116-2009.

Normatividad y Mejores Prácticas

Riesgo Operacional – Gestión del riesgo operacional

El Manual de Políticas y Procedimientos de RiesgoOperacional, no contiene esta definición.

El Manual de Políticas y Procedimientos de riesgo operacionaldel Banco, establece como aspectos que originan el riesgooperacional, los siguientes: procesos internos, tecnología dela información, personas, eventos externos y riesgo legal.

El Banco no cuenta con una base de eventos de pérdida deriesgos operacionales.

Los coordinadores de riesgos no utilizan las tablas de eventospara reportar los riesgos y eventos identificados. Esta tablaestará incorporada en el software que se ha adquirido.

Dentro de las presentaciones revisadas de los cursos decapacitación realizados, no se muestran las tablas declasificación de eventos.

El Banco no realiza conciliaciones sistemáticas de lainformación contable con la información de eventos depérdida.

GAP


Abril 2009

Análisis GAP

4.- Roles y Responsabilidades

a) Del DirectorioEl Manual de Políticas y Procedimientos de RiesgoOperacional, establece las funciones y responsabilidades delDirectorio. Asimismo, indica algunas funciones del Directorioaplicables a todos los riesgos que enfrenta el Banco. Entresus funciones se encuentran:

- La definición de las políticas.

- Asignación de recursos para la gestión del riesgooperacional. Para ello se cuenta con herramientas, apoyoexterno y personal asignado en el Departamento deAdministración de Riesgos.

- Establecer un sistema de incentivos que fomente laadecuada gestión del riesgo.


Aún no se han implementado en su totalidad las siguientespolíticas:

-Identificación y evaluación de riesgos en todos los procesosdel Banco.-Políticas de Monitoreo, no hay procedimiento para elseguimiento de las observaciones realizadas por riesgooperacional.-Política de control y mitigación, hasta el momento solo se hallegado a las etapas de identificación y evaluación de riesgos.

Se define incentivos para Coordinadores y colaboradores engeneral. Dado que por política no pueden otorgarse incentivoseconómicos, se otorgan reconocimientos que si bien sonaceptados no causan el efecto deseado.

GAP



Abril 2009

Análisis GAP

- Conocer los principales riesgos que afronta la entidad,estableciendo los niveles de apetito y tolerancia

- Establecer un sistema adecuado de delegación defacultades y segregación de funciones

Normatividad y Mejores PrácticasSi bien los informes al Comité de Riesgos consideranaspectos de normativa, patrimonio, riesgos identificados, noconsideran el monitoreo de los principales riesgos.

No se han definido a la fecha los niveles de apetito ytolerancia al riesgo operacional.

Se ha establecido la estructura de la División de Riesgos, lacual involucra tareas operativas.

Se han establecido coordinadores por área, pero no se halogrado aún el compromiso del personal del Banco en lagestión del riesgo operacional, no estando centralizadas lasacciones de los coordinadores por un analista de riesgooperacional.

Por otro lado, no se realizan evaluaciones de riesgos antecambios en la estructura organizacional del Banco, con lafinalidad de identificar problemas de segregación de funciones

GAP



Abril 2009

Análisis GAP

- Aseguramiento de una adecuada gestión del riesgooperacional y que los principales riesgos se encuentren bajocontrol dentro de los límites establecidos

b) De la GerenciaEn el Manual de Políticas y Procedimientos de RiesgoOperacional, se establecen las funciones y responsabilidadesde la Gerencia General y jefaturas de divisiones y oficinas delBanco. Asimismo, en el Manual de Gestión Integral deRiesgos, se establecen las funciones y responsabilidades dela Gerencia General y de los órganos de línea respecto a losdiferentes riesgos a los que está expuesto el Banco.

- La Gerencia General tiene la responsabilidad deimplementar la gestión del riesgo operacional conforme a lasdisposiciones del Directorio, lo cual está definido en el Manualde Políticas y Procedimientos de Riesgo Operacional

Normatividad y Mejores PrácticasAún no se han definido los niveles de apetito y tolerancia a losriesgos operacionales por lo que no es factible aplicar estoscriterios y hacer el monitoreo de los principales riesgosoperacionales.

No se recibe retroalimentación a los informes enviados a lasáreas involucradas con los principales riesgos y lasrecomendaciones para su mitigación.

Tampoco se realiza seguimiento a las recomendacionesincluidas en los informes de riesgos.

GAP



Abril 2009

Análisis GAP

-Los gerentes de las unidades organizativas de negocios o deapoyo tienen la responsabilidad de gestionar el riesgooperacional en su ámbito de acción, dentro de las políticas,límites y procedimientos establecidos.

c) Comité de Riesgos

El Banco establece las funciones del Comité de Riesgos enbase a la Resolución SBS N° 037-2008, dentro de su Manualde Gestión Integral de Riesgos. Asimismo, en el Manual dePolíticas y Procedimientos de Riesgo Operacional, se indicanlas funciones del Comité específicamente para este tipo deriesgo.

d) Unidad de Riesgos

Normatividad y Mejores PrácticasSe observó que no se han implantado todas las fases de lametodología de riesgo operacional en todos los procesos delBanco.

En las presentaciones realizadas en los Comités de Riesgos,se presentan los resúmenes de los informes de riesgosoperacionales presentados a las demás áreas. Sin embargo,no se toma en consideración el seguimiento a lasrecomendaciones realizadas en anteriores informes, ni a losriesgos más críticos.

En el Manual de Organización y Funciones de la División deRiesgos, se establecen las funciones de la División deRiesgos y del Departamento de Administración de Riesgos,sin embargo, este manual también deberá hacer referencia alManual de Descripción de Puestos.

Se cuenta con coordinadores de riesgo operacional en lasdiferentes áreas del Banco, sin embargo, no se han definidoslos criterios para su selección.

GAP



Abril 2009

Análisis GAP

4.5.- Funciones de la Unidad de Riesgo

- Proponer políticas para la gestión del riesgo operacional

- Participar en el diseño y permanente actualización delManual de Gestión de Riesgo Operacional. Para lo cual elDepartamento de Administración de Riesgos actualiza ladocumentación relacionada con riesgos operacionales, deacuerdo con las necesidades internas y las exigencias de laSBS.

Normatividad y Mejores PrácticasEn el Manual de Políticas y Procedimientos de RiesgoOperacional, se establece como función del Departamento deAdministración de Riesgos, elaborar y mantener las políticasde administración del riesgo operacional.

Asimismo, el manual establece que la División de Riesgos seencarga de proponer, a las instancias correspondientes, lasmedidas que permitan el control o mitigación del riesgooperacional. Sin embargo, de acuerdo con las mejoresprácticas, esta última función no corresponde a la División deRiesgos, sino a las áreas responsables de los procesos,pudiendo la División de Riesgos actuar como facilitador oasesor metodológico.

GAP



Abril 2009

Análisis GAP

- Desarrollar las metodologías para la gestión de riesgooperacional, lo cual se encuentra definido en el Manual.

- Apoyar y asistir a las demás unidades de la empresa para laaplicación de la metodología de gestión del riesgooperacional.

- Evaluación de Riesgo Operacional, de forma previa allanzamiento de nuevos productos y ante cambios importantesen el ambiente operativo e informático.


Se realizan reuniones de capacitación con los coordinadorespara explicarles la metodología desarrollada. Sin embargo,aún no se ha completado el programa anual debido aproblemas de disponibilidad del personal, así como problemaslogísticos.

Por otro lado, no se realizan reuniones de trabajo y avance dela aplicación de la metodología de gestión de riesgooperacional con los coordinadores de riesgo.

Se verificó que se cuenta con un formato para la identificaciónde riesgos, sin embargo, este formato no es devuelto alDepartamento de Administración de Riesgos con toda lainformación requerida, la cual debe ser complementada por elDepartamento de Administración de Riesgos.

A su vez, las áreas responsables del proceso o producto noparticipan en todas las etapas de la metodología.

GAP



Abril 2009

Análisis GAP

- Consolidación y desarrollo de reportes e informes sobre lagestión del riesgo operacional por proceso, o unidades denegocio y apoyo.

- Identificación de las necesidades de capacitación y difusiónpara una adecuada gestión del riesgo operacional.

Normatividad y Mejores PrácticasLa información se envía en forma de presentación para surevisión, sin embargo, debido a la cantidad de temas tratadosen el Comité de Riesgos, se propone el desarrollo de unComité de Riesgo Operacional, a un nivel ejecutivo, quereporte al Comité de Riesgos los resultados de la gestión deeste tipo de riesgos. .

No se presenta información relacionada con los riesgoscríticos y KRI´s (Key Performance Indicador) como puntosnecesarios a ser tratados en los Comités de Riesgos.

El Manual de Políticas y Procedimientos de RiesgoOperacional no establece la responsabilidad de identificaciónde necesidades de capacitación del personal.

Se verificó que el programa de capacitación aprobado para elaño 2008, se cumplió en su totalidad, sin embargo, el planelaborado para el presente año, aún no se ha ejecutadosegún su programación.

Por otro lado, se han dictado capacitaciones pero no se hanlogrado los resultados esperados de compromiso yresponsabilidad para la gestión del riesgo operacional.

GAP



Abril 2009

Análisis GAP

5.- Gestión de riesgo operacional

- Manual de Gestión de Riesgo Operacional

- Políticas de Gestión de Riesgo Operacional

- Descripción de la Metodología aplicada para la gestión deriesgo operacional.


El Banco cuenta con un Manual de Políticas y Procedimientosde Riesgo Operacional, aprobado por el Comité de Riesgos yratificado en sesión de Directorio, el cual no muestra elnúmero de Comité que aprobó dicho manual, ni el número deSesión de Directorio que lo ratificó.

Las políticas establecidas en el Manual de Políticas yProcedimientos de Riesgo Operacional son las adecuadaspara la gestión de riesgo operacional en el Banco, además seadecuan a las exigencias de la SBS, sin embargo, esnecesario difundirlas en todo el personal del Banco.

La metodología establecida en el Manual de Políticas yProcedimientos de Riesgo Operacional, no se aplica en sutotalidad, sólo se ha llegado a la etapa de evaluación deriesgos, quedando pendiente la identificación de los controlesimplantados para mitigar los riesgos, la evaluación residualconsiderando la efectividad de los controles, la definición delas medidas de mitigación y el monitoreo a los riesgosidentificados.

Se cuenta con un criterio de calificación de procesos críticos,sin embargo, no se ha desarrollado un procedimiento para suselección.

GAP



Abril 2009

Análisis GAP

- Forma y periodicidad con la que se debe informar alDirectorio y a la Gerencia General, sobre la exposición alriesgo operacional de la empresa y cada unidad de riesgo.

Normatividad y Mejores PrácticasEn la etapa de evaluación de riesgos la metodologíacontempla tres niveles de impacto y tres niveles deprobabilidad (frecuencia), los cuales no coinciden con losutilizados en la matriz de riesgos, cinco niveles de impacto ycinco de probabilidad.

En el Monitoreo de los riesgos, no se establece unametodología de seguimiento mediante el desarrollo deindicadores de riesgo, que permitan un mejor control ymonitoreo de la evolución de los riesgo más críticos en elBanco.

Si bien se presentan informes de riesgo operacional al Comitéde Riesgos, no se realiza un monitoreo de los riesgos conimpacto y probabilidad altos. Asimismo, no se cuenta con unprocedimiento formal que permita realizar un seguimiento dela implementación de las medidas de mitigación.

Las recomendaciones planteadas por el personal del área delDepartamento de Administración de Riesgos, no cuentan conla definición de responsables y fecha de implantación.

GAP



Abril 2009

Análisis GAP

6.- Metodología para la gestión del riesgo operacional

- La metodología debe ser implementada en toda la empresaen forma consistente

El Banco cuenta con normativas para la gestión de riesgooperacional, las cuales están a disposición del personalmediante la Intranet. En el Manual de Políticas yProcedimientos de Riesgo Operacional, se establece comoresponsabilidad de todo el personal la gestión de este tipo deriesgo. Asimismo, se incluye en dicho manual, la metodologíade gestión de riesgo operacional.

- La empresa debe asignar recursos suficientes para aplicarsu metodología en las principales líneas de negocio, y en losprocesos de control y de apoyo.



La matriz de riesgos operacionales no ha sido desarrolladapara la totalidad de los procesos del Banco, asimismo, nocuentan con la información de las medidas de mitigaciónimplantadas. A su vez, no se cuenta con información de losplanes de tratamiento para aquellos riesgos que requieran sermitigados, ni con la definición de responsables y fechas deimplementación, lo cual deberá ser adaptado a su vezconsiderando la funcionalidad del software adquiridorecientemente.

Se requiere un mayor grado de participación de la Direcciónen la difusión de la importancia que tiene para el Banco algestión de los riesgos, con la finalidad de crear en le personal,mayor cultura de riesgos y compromiso en la gestión deriesgos

El Banco cuenta con un Departamento de Administración deRiesgos, que dispone de analistas para los distintos tipos deriesgo. Se ha implementado la función de coordinadores deriesgos en cada una de las áreas del Banco. Por otro lado, seha adquirido un software a los fines de implantar la Gestióndel Riesgo Operacional, para el cual se deberá desarrollar unproyecto de implantación, así como una verificación de lasuficiencia de la capacitación recibida.

GAP


Abril 2009

Análisis GAP

-La aplicación de esta metodología debe estar integradadentro de los procesos de gestión de riesgos de la empresa.

-La aplicación de la metodología de gestión de riesgooperacional debe estar adecuadamente documentada.

- Deben establecerse procedimientos que permitan asegurarel cumplimiento de su metodología de gestión de riesgooperacional.

Normatividad y Mejores PrácticasLa aplicación de la metodología no se ha completado en latotalidad de los procesos en el Banco y debe reforzarse lacultura de riesgos.

La documentación que sustenta la aplicación de lametodología es insuficiente, Por ejemplo: no existe undiagrama que comprenda todos los procesos del Banco, nose dispone de documentación que sustente la identificaciónde los controles implantados para mitigar los riesgos, laevaluación del riesgo residual, estrategia de mitigaciónadoptada y los planes de tratamiento y no existedocumentación del monitoreo realizado al proceso de gestiónde riesgo operacional por el Comité de Riesgos y la Divisiónde Riesgos.

El área de Auditoría Interna, utiliza el sistema deobservaciones de auditoría (SOA) donde se emiten informes alas diferentes áreas de acuerdo al nivel de cumplimiento delos procesos.

GAP



Abril 2009

Análisis GAP

8.- Subcontratación- Las empresas deberán establecer políticas y procedimientosapropiados para evaluar, administrar y monitorear losprocesos subcontratados

9.- Colaboradores externos

- Auditoría Interna

- Auditoría externa y empresas calificadoras de riesgo


El Manual de Políticas y Procedimientos de RiesgoOperacional, establece que las jefaturas de Divisiones yOficinas del Banco, responsables de la subcontrataciónsignificativa de servicios externos

Se incluye en los contratos de subcontratación una cláusulade riesgo de subcontratación significativa, sin embargo no seobservó que se haya realizado un análisis de riesgooperacional en alguna subcontratación, especialmente paraservicios críticos.

Se verificó que se enviaron informes mediante el SOArecientemente, los cuales son recibidos por el jefe delDepartamento de Administración de Riesgos. Sin embargo,no se considera para la elaboración de su plan de auditoría lainformación contenida en las matrices de riesgos. Asimismo,no existe una retroalimentación por parte de Auditoría Internaen cuanto al resultado de sus evaluaciones de la efectividadde los controles implantados, ni un reporte de eventos depérdida por riesgo operacional de los que tomenconocimiento.

No tuvimos acceso a la carta de control interno emitida por elauditor externo, ni a los informes de calificadoras de riesgos.

GAP



Abril 2009

Análisis GAP

Método del indicador básico (MIB)

- Definición del indicador de exposición por riesgo operacional(Margen Operacional Bruto) y Cuentas del Manual deContabilidad

El Banco de Comercio, ha definido el indicador de exposiciónpor riesgo operacional, para el MIB a través del“Requerimiento Autorización Cálculo Capital Regulatorio porRiesgo Operacional

- Metodología de anualización del Margen Operacional Bruto

- Cálculo del requerimiento patrimonial


Riesgo Operacional - Requerimiento de patrimonio efectivo por riesgo operacional

Se debe modificar terminología y cuentas del Manual deContabilidad utilizadas en dicho requerimiento, para alinearsecon la Resolución SBS N°2115-2009.

El Requerimiento Autorización Cálculo Capital Regulatoriopor Riesgo Operacional”, contiene una metodología deanualización del margen operacional bruto que se encuentraen línea con el Anexo 1 de la Resolución SBS N° 2115-2009

Se dispone de un documento donde se especifica la fórmulade cálculo del requerimiento de patrimonio efectivo por riesgooperacional utilizando el MIB, siendo la misma correcta en elsentido matemático. Sin embargo, se deben tener en cuentalos cambios de nomenclatura en las variables utilizadas.

GAP


Abril 2009

Análisis GAP

- Requerimientos de información - MIB

- Procedimiento de cálculo, responsables y funciones

- Validación del Cálculo de requerimiento patrimonial


El Banco no posee, hasta el momento, un formato pararemitir la información acerca del cálculo del patrimonioefectivo por riesgo operacional a través del MIB

El Banco no dispone de un procedimiento formal que indiquecuáles son las áreas involucradas en el cálculo del patrimonioefectivo por riesgo operacional, así como una descripción delpersonal que se encuentra involucrado en dicho cálculo y lasfunciones específicas de dicho personal.

No se han definido, hasta el momento, validaciones delsistema utilizado para el cálculo del requerimiento patrimonial,ni la periodicidad de las mismas.

GAP



Abril 2009

Análisis GAP

Método Estándar Alternativo (ASA)

Requisitos Cualitativos

- Determinación de las líneas de negocio.


El cumplimiento de los requisitos cualitativos debe serconsiderado como parte fundamental para que la SBS leotorgue al Banco la facultad de utilizar el Método ASA para elcálculo del requerimiento de patrimonio efectivo por riesgooperacional. En este sentido deben cubrirse todos losaspectos mencionados previamente en cuanto a la Gestióndel Riesgo Operacional.

Se dividen las líneas de negocio en líneas de negociodistintas a banca comercial y banca minorista, y en líneas denegocio de banca comercial y banca minorista, de formacorrecta.

El Banco considera A fin de poder generar una mayorcomprensión, debería considerarse la incorporación de ladefinición de cada una de las líneas según el Artículo N° 9 dela Resolución SBS N° 2115-2009. Dichas definicionestambién deberían incorporarse en el procedimiento que sedesarrolle para el cálculo de patrimonio efectivo por el ASA.

GAP



Abril 2009

Análisis GAP

- Definición de los indicadores de exposición para líneas denegocio distintas a banca comercial y banca minorista ycuentas del Manual de Contabilidad

- Indicador de Exposición para las líneas de banca comercial ybanca minorista

- Fórmula para el cálculo del indicador de exposición para laslíneas de banca comercial y banca minorista

- Requerimiento de información - ASA

Normatividad y Mejores PrácticasEl Banco de Comercio ha definido correctamente lametodología de cálculo de los indicadores de exposición. Sinembargo, debe cambiar la denominación del indicador“Ingreso bruto anualizado” por “Margen operacionalanualizado”, según el punto a. del Artículo N° 10 de laResolución SBS N° 2115-2009. Las Cuentas Contablesutilizadas para el cálculo del requerimiento de patrimonioefectivo para estas líneas son correctas, sin embargo sedeberá considerar el cambio de Cuentas Contables paracalcular el requerimiento patrimonial a partir del 01 de enerode 2010.

Debe reemplazarse “Saldo de colocaciones y de lasinversiones”, por “Saldo de créditos e inversiones”

La fórmula de cálculo del requerimiento patrimonial por riesgooperacional para el ASA se describe correctamente en eldocumento “Requerimiento Autorización Cálculo CapitalRegulatorio por Riesgo Operacional”.

El Banco de Comercio deberá elaborar un formato de informepara remitir la información acerca del cálculo del patrimonioefectivo por riesgo operacional a través del ASA a la GerenciaGeneral y al Directorio con una frecuencia mensual.

GAP



Abril 2009

Situación Actual

0

5

10

15

20

25

Cumple Cumple

Parcialmente

No Cumple

Riesgo Operacional – Formulario de Autoevaluación para el Método ASA

* En este gráfico no han sido considerados los siguientes puntos del formulario de autoevaluación:• Gestión de Continuidad del Negocio.• Gestión de la Seguridad de la Información.

© 2009 PricewaterhouseCoopers. All rights reserved. “PricewaterhouseCoopers” refers to the networkof member firms of PricewaterhouseCoopers International Limited, each of which is a separate and independentlegal entity. *connectedthinking is a trademark of PricewaterhouseCoopers LLP (US).

Documents

Banco de Comercio Asesoría Externa en la … · Relación valor, incertidumbre, eventos, riesgo y oportunidad Negocio Eventos Riesgo Oportunidad Factores externos Factores internos