Upload
superbancosec
View
516
Download
1
Embed Size (px)
DESCRIPTION
Seminario Internacional "Gestión Integral de Riesgos"
Citation preview
Supervisión del Riesgo OperativoLa experiencia de la SBS Perú
Julio 2012
Jorge Dominguez Gallegos
Agenda• Principales conceptos• Marco Normativo• Diagnóstico sectorial
– Gestión del riesgo operacional– Gestión de la continuidad del negocio– Gestión de la seguridad de la información– Base de datos de eventos de pérdida por riesgo operacional
• Requerimiento de Capital– Métodos– Proceso de autorización ASA
• Herramientas– Team Risk– Risk Manager– IG-Rop
Principales conceptos y definiciones
Definición de Riesgo
Entendiendo el riesgo como la incertidumbre de los que puede suceder
(-)Menor Riesgo
¿Dónde estaría este riesgo?
1. Entras corriendo a la terraza de un departamento del piso 20, que sabes que está congelada y no tiene baranda.
(+)Mayor Riesgo
Fuente: Presentación de ACME Consultora
5
Enfoque tradicional y moderno
El riesgo y el negocio financiero
Compras una oportunidad de lanzar una moneda a US$ 100
CARA: te pagan US$ 130
SELLO: te pagan US$ 20
Esperanza (E) = 30 * 0.5 + -80 * 0.5 = -25
Fuente: Presentación de ACME Consultora
Esperanza (E) = 30 * 0.5 + -10 * 0.5 = 10
En el negocio financiero
100
90
10
CARA: Pagan US$ 130 (+30)
SELLO: Pagan US$ 20 (-80)
Accionista gana US$ 30
Accionista sólo pierde US$ 10
Fuente: Presentación de ACME Consultora
Que hay de Nuevo en la Gestión de Riesgos:
Rs = F(V, A)Donde:
Rs = RiesgoV = VulnerabilidadA = Amenaza
Amenaza¿Qué tan amenazada está la empresa por hechos o situaciones que le puedan producir un daño?Entendiendo los factores de riesgo se puede conocer mejor las amenazas
Amenaza (A)
Frecuencia y diversidad de
amenazas
• Mayor frecuencia mayor amenaza
Magnitud de los daños y pérdidas materiales
• Mayor magnitud de los daños está asociado a una mayor amenaza
SE PUEDE UTILIZAR:
• KRI de los factores de riesgo por línea de negocio
• Valor de las pérdidas• Nro. de incidentes
frecuentes por sector
Posibilidad de que un evento se presente con una cierta intensidad, en un sitio especifico y dentro de un periodo de tiempo definido.
+
+
¿Qué tan vulnerable es una empresa según sus características?
A B
Considerando su estructura, la empresa A es más vulnerable que la empresa B, ante el mismo evento natural (por ejemplo un terremoto)
La gestión de riesgos funciona como un blindaje que hace a la empresa menos o más vulnerable ante eventos que la puedan impactar.
Vulnerabilidad
Exposición
• Está referida a la zona de impacto de una amenaza.
• Una mayor exposición está asociado a una mayor vulnerabilidad.
Fragilidad
• Está referida a las condiciones de desventaja o debilidad relativa de la empresa frente a una amenaza
• A mayor fragilidad mayor vulnerabilidad.
Resiliencia
• Está referida al nivel de capacidad de recuperación de la empresa ante un evento con efectos negativos.
• A mayor resiliencia menor vulnerabilidad
¿Qué tan vulnerable es una empresa?
La gestión de riesgos funciona como un blindaje que expone en menor medida a la empresa a posibles amenazas.
+
+-
Vulnerabilidad (V)
Rs = F(V, A)
Amenaza
Vulnerabilidad
Riesgo Índice de Riesgo Operacional
Evaluación de la gestión de riesgos
KRI
Evaluación de la Continuidad del
negocio
BDEP Valor de la pérdidaN° de Incidentes frecuentes del sector
Ratio Pérdida/Req. Patrimonial
Indicador de Riesgo (RS)El índice del riesgo operacional estaría en función de la Vulnerabilidad y Amenaza, y estas variables a su vez en 5 variables.
V = F(Q1, Q2, Q3) A = F(Q4, Q5)
Q1 Q3Q2
Q4 Q5
InRop
Indicador de Riesgo Operacional
Marco Normativo
Evolución de Regulación en Riesgo Operacional
2012
Modificación Norma de CapitalRes. SBS N° 3127-2012
Tecnología
Procesos internos
Personas
EventosExternos
Continuidad del Negocio
(Circ. G-139)
Seguridad Información
(Circ. G-140)
Gestión del Riesgo Operacional (Res. 2116-2009)
Patrimonio Efectivo por Riesgo Operacional Res. 2115-2009
Diagnóstico Sectorial
Gestión del riesgo operacional en los bancos del SFP
Gestión del riesgo operacional, evaluada en cada empresas supervisada a través de cada uno de los 8 componentes de la gestión integral de riesgos. Componente adicional, gestión de proyectos.
• “Información y comunicación”: componente más desarrollado (15 bancos en “Adecuado”)
• “Establecimiento de objetivos”: componente “Adecuado” en un número importante de bancos (9); sin embargo, con número relevante de empresas (4) con este componente “Insatisfactorio”
•“Ambiente interno”: componente que requiere un mayor esfuerzo por parte de los bancos.
Situación a diciembre de 2010
1
96 3 4
7
15
24
15
4
1114
12 10
2
15
3
1
4
1
10
25
20
15
10
5
0
5
10
15
20
25
Adecuado Necesita Mejora Insatisfactorio No se conoce
Componentes Evaluados
AmbienteInterno
Estab.Objetivos
ID.Riesgos
Evaluación de Riesgos
Tratamiento
Act. Control
Inf. Y Com.
MonitoreoGestión de Proyectos
N°E
mpre
sas
Gestión de la continuidad de negocios en los bancos del SFP
Políticas y organización
Análisis de impacto y evaluación de riesgos
Plan de gestión de crisis
Planes de continuidad del negocioPlanes de recuperación de servicios de T.I.
Planes de emergencia
Pruebas de continuidad del negocio
0%
20%
40%
60%
80%
100%
Nivel de ImplementaciónSituación a febrero de 2011
Políticas y organización
Seguridad de personal
Seguridad lógica
Seguridad fisica y ambiental
Seguridad de las operaciones y comunicaciones
Seguridad en el desarrollo y mantenimiento de sistemas
Gestión de incidentes de seguridad
Gestión de activos de información y tecnología
0%
20%
40%
60%
80%
100%
Nivel de Implementación
Gestión de la seguridad de la información en los bancos del SFP
Situación a febrero de 2011
Situación de base de datos de eventos de pérdida
Basado en cuestionario enviado a los 18 bancos del SFP
Antigüedad de información recolectada
El 89% de los bancos (16) aseguran contar con información completa y confiable con una antigüedad mayor a 2 años
Cinco bancos (28%) contarían con información confiable con una antigüedad igual o mayor a 4 años.
Pérdidas por Línea de Negocio
Requerimiento de Capital
Requerimiento de Capital
>=10.0%Capital Regulatorio
APRC + APRM + APROp
Capital regulatorio tiene por fin asegurar que bancos soporten importantes pérdidas sin causar una crisis bancaria que podría amenazar la integridad del sistema financiero
ImportanteEl APR por riesgo operacional deberá ser multiplicado por un factor según tabla
Periodo Factor de ajusteJulio de 2009 - Junio de 2011 0,40Julio de 2011 – Junio de 2012 0,50Julio de 2012 – En adelante 1,00
CAMBIOS PROPUESTOS A LA RES. 2115-2008
Tope del 25%El requerimiento patrimonial por riesgo operacional será como máximo el 25% de los requerimientos patrimoniales por riesgo de crédito y de mercado. Es decir, no tienen que reservar el capital que excede ese límite.
Nuevo Cronograma de Factor de AjusteEn la norma anterior, a partir de julio de 2012 tenían que cambiar el factor de ajuste de 0.5 a 1. Propuesta:
•De julio 2012 a junio 2013: Factor de ajuste = 0.6•De julio 2013 a junio 2014: Factor de ajuste = 0.8•De julio 2014 en adelante: Factor de ajuste = 1
Sensibilidad al riesgo
Facilidad para Implementar
Método del Indicador Básico
Método Estándar y Estándar Alternativo
Método Avanzado
El regulador puede crear incentivos para que, con el fin que el requerimiento de capital sea más sensible al riesgo, las empresas tiendan hacia el método avanzado
ENFOQUESCAPITAL RIESGO OPERACIONAL
A Octubre 2011, el patrimonio requerido por riesgo operacional supera los S/. 800 millones en el sistema financiero. El requerimiento se constituye de manera
progresiva
Res. SBS N° 2115-2009 Requerimiento de patrimonio efectivo por riesgo operacional
Inicio de Vigencia de Res. 2115
Dic. 2010 6 bancos y 1 financiera enMétodo Estándar
Dic. 2011 7 bancos y 1 financiera enMétodo Estándar
Julio
200
9
Julio
201
0
Abril
200
9
Julio
201
1
Julio
201
2
0.4 0.4 0.5
Nuevo cronograma de factor de ajuste
Factor de ajuste
Empresa manifiesta interés y remite autoevaluación
Empresa prepara solicitud de autorización: -Declaración de cumplimiento-Informe de Cumplimiento
ACTIVIDADES PREVIAS PROCESO FORMAL
SBS evalúa información remitida por empresa
Reunión para informar de resultados de evaluación
Empresa inicia proceso de
mejora
SBS recibe solicitud de autorización
Se realiza la evaluación:- Reuniones de trabajo- Validación en Línea de Negoc- Solicitud de información complementaria
SBS emite Resolución con resultado
Autorizando Denegando
Indefinida
Con plazo definido(Oficio con acciones Requeridas)
ACCIONES COMPLEMENTARIAS
Evaluaciones periódicas para evaluar situación de acciones
requeridas
Autorización de Método Estándar Alternativo
REQUISITOS PARA METODO ASA
R1: Participación activa del Directorio y la Gerencia General.R2: Función de gestión del riesgo operacional.R3: Programa de capacitación profesional.R4: Metodología para la gestión del riesgo operacional.R5: Recursos suficientes.R6: Reportes periódicos sobre exposición al riesgo operacional.R7: Procedimientos para asegurar cumplimiento.R8: Incentivos a la apropiada gestión del riesgo operacional.R9: Base de datos de eventos de pérdida por riesgo operacional.R10: Gestión de la continuidad del negocio.R11: Gestión de la seguridad de la información.R12: Revisión periódica independiente por Auditoría Interna.R13: Revisión periódica de una Sociedad de Auditoría Externa.
EVALUACION ADICIONAL EN CONTINUIDAD DEL NEGOCIO
EVALUACION ADICIONAL EN SEGURIDAD DE LA INFORMACION
Políticas y organización para GCN
Análisis de impacto y evaluación
Plan de gestión de crisis
Planes de continuidad
Planes de emergencia
Plan de recuperación de servicios
Pruebas de continuidad del negocio
Políticas y organización para GSI
Gestión de activos
Seguridad de personal
Seguridad lógica
Seguridad física y ambiental
Seguridad de operaciones y comunicación
Seguridad en el desarrollo
Gestión de incidentes.
Aspectos evaluados en autorización ASA
Herramientas de Supervisión
Objetivos de EvaluaciónAspectos a Evaluar
1. Ambiente interno2. Establecimiento de objetivos3. Identificación de riesgos4. Evaluación de riesgos5. Tratamiento6. Actividades de control7. Información y comunicación8. Monitoreo9. Gestión de proyectos
Se evalúa según
Calidad (X)Cerca mejor práctica 1Adecuado 2Necesita Mejora 3Insatisfactorio 5No se conoce 6
Importancia (Y)Poco Importante 1ImportanteMuy Importante
23
Req. de Acción Supervisora = F (X, Y)
3 13.96 16.60 18.37 20.87 21.85 2 12.61 15.00 16.60 18.86 19.74 1 10.61 12.61 13.96 15.85 16.60
1 2 3 4 5 X
Y
(De 15.1 a 17 )
Consolidando Puntuaciones
Conocimiento de la Empresa
Por cada Objetivo
OBJETIVO 11. Participación del Directorio2. Participación de la Gerencia...OBJETIVO 2...
Acciones Supervisoras
Team Risk
Formula de PuntuaciónPermite determinar una medida de criticidad, la que se utiliza para priorizar los proyectos necesarios para el cumplimiento de los objetivos previamente definidos.
Sci
Ci
Enfoque Exigente
Enfoque Moderado
Enfoque Flexible
RANGOS
LímiteMayor
LímiteMenor
Bajo Medio Alto
Posibles Resultados de S
Sci
Ii
Score (C) = α (p . Ci )^ (1/α)
Score(I) = β [(1-p) . Ii] ^ (1/β)
Bajo un Enfoque Exigente
Score = (α.β) . (p. C)^ (1 / prom(α, β)) . [(1-p).I] ^ (1 / prom(α, β))
Nri,Gi
Gráfico N° 2
α ó β = 4
α ó β = 3
α ó β = 2
RS(Nri),
RS(Gi)
Fórmula de Puntuación Utilizada
Score = f (C, I)
(Ver Detalle)
Flexible
SExigente Moderado
C,I
C,I
S(C)S(I)
Modelo de Implementación Team Risk
Clasificación de empresas
33
Aplicación web utilizada desde el 2007 para el envío del
informe anual de gestión de riesgo operacional. Se está
realizando la actualización de la información requerida.
• Conocer la gestión del riesgo operacional que realizan las empresas, a través de información actualizada y completa.
• Recolectar información estándar actualizada.
• Comunicar nuestras expectativas supervisoras.
• Realizar evaluaciones sectoriales
Ventajas
Contenido
Inicio de operación : Marzo 2012Se comunicará en forma previa mediante un oficio
Informe de Gestión por WEB
34
Líneas de negocio y tipo de producto
35
ASPECTOS DE EVALUACION
Aspecto Evaluar 1Aspecto Evaluar 2
.
.
.Aspecto Evaluar N
AUTOEVALUACION 1Cada pregunta se asocia a uno o más aspectos a evaluar
Criterio1Criterio2Criterio N
AUTOEVALUACION 2
Criterio1Criterio2Criterio N
WORKFLOW
Evaluador realiza acción y actualiza
respuesta
Coordinador define acción y
monitorea Reportes de Gestión
• Situación de empresa y sector
• Monitoreo del Workflow
Risk Manager
Reportes de Gestión por Empresa
Objetivo: Obtener información para evaluar fuentes de pérdidas por riesgo operacional, mejorar las competencias de los sistemas supervisados para gestionar este riesgo y facilitar el desarrollo de modelos avanzados
Proyecto: Central de eventos de pérdida: CPRO
Funciona
Nivel de preparación de las empresasante un evento de contingencia
A nivel individual A nivel sectorial
Sólo empresassupervisadas
Empresassupervisadas y otros como: BCR, MEF, Telcos, otros
Verificado mediante supervisión
Verificado medianteejercicios sectoriales
Los ejercicios sectoriales son el único medio para conocer el nivel de preparaciónde los sistemas supervisados ante eventos de contingencia de gran impacto
?
Ejercicios sectoriales de continuidad de negocios (en estudio)
GRACIAS