Perú - Riesgo Operativo - Superintendencia de Bancos y Seguros

Download Report

Transcript Perú - Riesgo Operativo - Superintendencia de Bancos y Seguros

Supervisión del Riesgo Operativo
La experiencia de la SBS Perú
Jorge Dominguez Gallegos
Julio 2012
Agenda
• Principales conceptos
• Marco Normativo
• Diagnóstico sectorial
–
–
–
–
Gestión del riesgo operacional
Gestión de la continuidad del negocio
Gestión de la seguridad de la información
Base de datos de eventos de pérdida por riesgo operacional
• Requerimiento de Capital
– Métodos
– Proceso de autorización ASA
• Herramientas
– Team Risk
– Risk Manager
– IG-Rop
Principales conceptos y definiciones
Definición de Riesgo
Entendiendo el riesgo como la incertidumbre de los que puede suceder
( -)
( +)
Mayor Riesgo
Menor Riesgo
¿Dónde estaría este riesgo?
1. Entras corriendo a la terraza de un departamento del piso 20, que sabes que está
congelada y no tiene baranda.
Fuente: Presentación de ACME Consultora
Enfoque tradicional y moderno
5
El riesgo y el negocio financiero
CARA: te pagan US$ 130
Compras una oportunidad de
lanzar una moneda a US$ 100
SELLO: te pagan US$ 20
Esperanza (E) =
30 * 0.5
Fuente: Presentación de ACME Consultora
+
-80 * 0.5
= -25
En el negocio financiero
CARA: Pagan US$ 130 (+30)
90
Accionista gana US$ 30
100
SELLO: Pagan US$ 20 (-80)
10
Accionista sólo pierde US$ 10
Esperanza (E) =
30 * 0.5
Fuente: Presentación de ACME Consultora
+
-10 * 0.5
= 10
Que hay de Nuevo en la Gestión de Riesgos:
Rs = F(V, A)
Donde:
Rs
V
A
= Riesgo
= Vulnerabilidad
= Amenaza
Amenaza
¿Qué tan amenazada está la empresa por hechos o situaciones que le
puedan producir un daño?
Entendiendo los factores de riesgo se puede conocer mejor las
amenazas
Amenaza (A)
Posibilidad de que un evento se presente con una cierta intensidad, en un sitio
especifico y dentro de un periodo de tiempo definido.
Frecuencia y
diversidad de
amenazas
• Mayor frecuencia mayor
amenaza
+
SE PUEDE UTILIZAR:
•
•
•
+
Magnitud de los
daños y
pérdidas
materiales
• Mayor magnitud de los
daños está asociado a una
mayor amenaza
KRI de los factores
de riesgo por línea
de negocio
Valor de las pérdidas
Nro. de incidentes
frecuentes por sector
Vulnerabilidad
¿Qué tan vulnerable es una empresa según sus características?
A
B
Considerando su estructura, la empresa A es más vulnerable que la empresa B, ante el mismo
evento natural (por ejemplo un terremoto)
La gestión de riesgos funciona como un blindaje que hace a la empresa
menos o más vulnerable ante eventos que la puedan impactar.
Vulnerabilidad (V)
Exposición
¿Qué tan vulnerable
es una empresa?
La gestión de riesgos
funciona como un
blindaje que expone en
menor medida a la
empresa a posibles
amenazas.
• Está referida a la zona
de impacto de una
amenaza.
• Una mayor exposición
está asociado a una
mayor vulnerabilidad.
+
+
Fragilidad
Resiliencia
• Está referida a las
condiciones de
desventaja o debilidad
relativa de la empresa
frente a una amenaza
• A mayor fragilidad
mayor vulnerabilidad.
• Está referida al nivel de
capacidad de
recuperación de la
empresa ante un evento
con efectos negativos.
• A mayor resiliencia
menor vulnerabilidad
Indicador de Riesgo (RS)
El índice del riesgo operacional estaría en función de la Vulnerabilidad y Amenaza, y
estas variables a su vez en 5 variables.
V = F(Q1, Q2, Q3)
A = F(Q4, Q5)
Rs = F(V, A)
InRop
Índice de Riesgo
Operacional
Riesgo
Q1
Vulnerabilidad
Q2
Evaluación de la
gestión de riesgos
de la Continuidad del
negocio
Q4
Amenaza
Q3
Evaluación
Q5
KRI
Ratio Pérdida/Req.
Patrimonial
BDEP
Valor de la pérdida
N° de Incidentes
frecuentes del sector
Indicador de Riesgo Operacional
Marco Normativo
Evolución de Regulación en Riesgo
Operacional
Modificación
Norma de Capital
Res. SBS N° 3127-2012
2012
Gestión del Riesgo Operacional (Res. 2116-2009)
Procesos
internos
Personas
Tecnología
Continuidad del
Negocio
Seguridad
Información
(Circ. G-139)
(Circ. G-140)
Eventos
Externos
Patrimonio Efectivo por Riesgo Operacional
Res. 2115-2009
Diagnóstico Sectorial
Gestión del riesgo operacional en los bancos del SFP
Componentes Evaluados
Ambiente
Interno
Estab.
Objetivos
ID.
Riesgos
Evaluación
de Riesgos
Tratamien
to
Act.
Control
Inf. Y
Com.
Monitoreo
Gestión de
Proyectos
25
20
15
N° Empresas
15
9
10
5
20
4
7
4
2
4
5
15
3
1
0
10
6
15
4
3
2
11
14
12
10
15
10
Gestión del riesgo operacional,
evaluada en cada empresas
supervisada a través de cada
uno de los 8 componentes de la
gestión integral de riesgos.
Componente adicional, gestión
de proyectos.
1
1
25
Adecuado
Necesita Mejora
Insatisfactorio
No se conoce
• “Información y comunicación”: componente más desarrollado (15 bancos en “Adecuado”)
• “Establecimiento de objetivos”: componente “Adecuado” en un número importante de bancos (9);
sin embargo, con número relevante de empresas (4) con este componente “Insatisfactorio”
•“Ambiente interno”: componente que requiere un mayor esfuerzo por parte de los bancos.
Situación a diciembre de 2010
Gestión de la continuidad de negocios en los bancos
del SFP
Políticas y organización
100%
80%
Pruebas de continuidad del
negocio
60%
Análisis de impacto y
evaluación de riesgos
40%
20%
0%
Planes de emergencia
Planes de recuperación de
servicios de T.I.
Situación a febrero de 2011
Plan de gestión de crisis
Planes de continuidad del
negocio
Nivel de Implementación
Gestión de la seguridad de la información en los bancos
del SFP
Políticas y organización
100%
Gestión de activos de
información y tecnología
80%
Seguridad de personal
60%
40%
20%
Gestión de incidentes de
seguridad
0%
Seguridad en el desarrollo
y mantenimiento de
sistemas
Seguridad lógica
Seguridad fisica y
ambiental
Seguridad de las
operaciones y
comunicaciones
Situación a febrero de 2011
Nivel de Implementación
Situación de base de datos de eventos de pérdida
Antigüedad de información recolectada
El 89% de los bancos (16) aseguran contar
con información completa y confiable con
una antigüedad mayor a 2 años
Cinco bancos (28%) contarían con
información confiable con una antigüedad
igual o mayor a 4 años.
Basado en cuestionario enviado a los 18 bancos del SFP
Pérdidas por Línea de Negocio
Requerimiento de Capital
Requerimiento de Capital
Capital Regulatorio
APRC + APRM + APROp
>= 10.0%
Capital regulatorio tiene por fin asegurar que bancos soporten
importantes pérdidas sin causar una crisis bancaria que podría
amenazar la integridad del sistema financiero
Importante
El APR por riesgo operacional deberá ser multiplicado por un factor según tabla
CAMBIOS PROPUESTOS A LA RES. 2115-2008
Periodo
Julio de 2009 - Junio de 2011
Julio de 2011 – Junio de 2012
Julio de 2012 – En adelante
Factor de ajuste
0,40
0,50
1,00
Tope del 25%
El requerimiento patrimonial por riesgo operacional será como máximo el
25% de los requerimientos patrimoniales por riesgo de crédito y de
mercado. Es decir, no tienen que reservar el capital que excede ese límite.
Nuevo Cronograma de Factor de Ajuste
En la norma anterior, a partir de julio de 2012 tenían que cambiar el factor
de ajuste de 0.5 a 1. Propuesta:
•De julio 2012 a junio 2013: Factor de ajuste = 0.6
•De julio 2013 a junio 2014: Factor de ajuste = 0.8
•De julio 2014 en adelante: Factor de ajuste = 1
ENFOQUES
CAPITAL RIESGO OPERACIONAL
Facilidad para
Implementar
Método del Indicador
Básico
Método Estándar y
Estándar Alternativo
Método Avanzado
Sensibilidad al
riesgo
El regulador puede crear incentivos para que, con el fin que el
requerimiento de capital sea más sensible al riesgo, las empresas
tiendan hacia el método avanzado
A Octubre 2011, el patrimonio requerido por riesgo
operacional supera los S/. 800 millones en el sistema
financiero. El requerimiento se constituye de manera
progresiva
Dic. 2010 6 bancos
y 1 financiera en
Método Estándar
Inicio de Vigencia
de Res. 2115
Nuevo cronograma
de factor de ajuste
0.5
Julio 2011
0.4
Julio 2010
Julio 2009
Abril 2009
0.4
Dic. 2011 7 bancos
y 1 financiera en
Método Estándar
Julio 2012
Res. SBS N° 2115-2009
Requerimiento de
patrimonio efectivo por
riesgo operacional
Factor de
ajuste
Autorización de Método Estándar Alternativo
ACTIVIDADES PREVIAS
PROCESO FORMAL
Empresa manifiesta interés y
remite autoevaluación
SBS recibe solicitud de
autorización
SBS evalúa información remitida
por empresa
Reunión para informar de
resultados de evaluación
Empresa inicia
proceso de
mejora
Empresa prepara solicitud de
autorización:
-Declaración de cumplimiento
-Informe de Cumplimiento
Se realiza la evaluación:
- Reuniones de trabajo
- Validación en Línea de Negoc
- Solicitud de información
complementaria
SBS emite Resolución con
resultado
Autorizando
Denegando
Indefinida
Con plazo definido
(Oficio con acciones Requeridas)
ACCIONES
COMPLEMENTARIAS
Evaluaciones periódicas para
evaluar situación de acciones
requeridas
Aspectos evaluados en autorización ASA
REQUISITOS PARA METODO ASA
R1: Participación activa del Directorio y la Gerencia
General.
R2: Función de gestión del riesgo operacional.
R3: Programa de capacitación profesional.
R4: Metodología para la gestión del riesgo operacional.
R5: Recursos suficientes.
R6: Reportes periódicos sobre exposición al riesgo
operacional.
R7: Procedimientos para asegurar cumplimiento.
R8: Incentivos a la apropiada gestión del riesgo
operacional.
R9: Base de datos de eventos de pérdida por riesgo
operacional.
R10: Gestión de la continuidad del negocio.
R11: Gestión de la seguridad de la información.
R12: Revisión periódica independiente por Auditoría
Interna.
R13: Revisión periódica de una Sociedad de Auditoría
Externa.
EVALUACION ADICIONAL EN
CONTINUIDAD DEL NEGOCIO
Políticas y organización para GCN
Análisis de impacto y evaluación
Plan de gestión de crisis
Planes de continuidad
Planes de emergencia
Plan de recuperación de servicios
Pruebas de continuidad del negocio
EVALUACION ADICIONAL EN SEGURIDAD
DE LA INFORMACION
Políticas y organización para GSI
Gestión de activos
Seguridad de personal
Seguridad lógica
Seguridad física y ambiental
Seguridad de operaciones y comunicación
Seguridad en el desarrollo
Gestión de incidentes.
Herramientas de Supervisión
Team Risk
Objetivos de Evaluación
1.
2.
3.
4.
5.
6.
7.
8.
9.
Aspectos a Evaluar
Ambiente interno
Establecimiento de objetivos
Identificación de riesgos
Evaluación de riesgos
Tratamiento
Actividades de control
Información y comunicación
Monitoreo
Gestión de proyectos
OBJETIVO 1
1. Participación del Directorio
2. Participación de la Gerencia
...
OBJETIVO 2
...
Por cada
Objetivo
Se
evalúa
según
Calidad (X)
Cerca mejor práctica
Adecuado
Necesita Mejora
Insatisfactorio
No se conoce
Req. de Acción Supervisora = F (X, Y)
Conocimiento de la
Empresa
Acciones Supervisoras
1
2
3
5
6
Importancia (Y)
Consolidando
Puntuaciones
Y
3 13.96
2 12.61
1 10.61
1
16.60
15.00
12.61
18.37
16.60
13.96
20.87
18.86
15.85
21.85
19.74
16.60
2
3
4
5
(De 15.1 a 17 )
Poco Importante
Importante
Muy Importante
X
1
2
3
Modelo de Implementación Team Risk
Formula de Puntuación
Permite determinar una medida de criticidad, la que se utiliza para priorizar los proyectos
necesarios para el cumplimiento de los objetivos previamente definidos.
Fórmula de Puntuación Utilizada
Límite
Menor
Límite
Mayor
RANGOS
S
Enfoque Exigente
Score = f (C, I)
Posibles Resultados de S
(Ver Detalle)
Exigente
Moderado
Flexible
Enfoque Moderado
Enfoque Flexible
Bajo
Medio
Alto
C,I
Bajo un Enfoque Exigente
Sci
Score (C) = α (p . Ci )^ (1/α)
Score = (α.β) . (p. C)^ (1 / prom(α, β)) . [(1-p).I] ^ (1 / prom(α, β))
Ci
RS(Nri),
S(C)
RS(Gi)
S(I)
Sci
αóβ=4
αóβ=3
Score(I) = β [(1-p) . Ii] ^ (1/β)
αóβ=2
Ii
C,I
Nri,G
i
Gráfico N° 2
Clasificación de empresas
Informe de Gestión por WEB
Contenido
Aplicación web utilizada desde el 2007 para el envío del
informe anual de gestión de riesgo operacional. Se está
realizando la actualización de la información requerida.
Ventajas
• Conocer la gestión del riesgo operacional que realizan las
empresas, a través de información actualizada y completa.
• Recolectar información estándar actualizada.
• Comunicar nuestras expectativas supervisoras.
• Realizar evaluaciones sectoriales
Inicio de operación : Marzo 2012
Se comunicará en forma previa mediante un oficio
33
Líneas de negocio y tipo de producto
34
Risk Manager
Cada pregunta se asocia a
uno o más aspectos a
evaluar
ASPECTOS DE
EVALUACION
AUTOEVALUACION 1
Criterio1
Criterio2
Criterio N
AUTOEVALUACION 2
Aspecto Evaluar 1
Aspecto Evaluar 2
Criterio1
Criterio2
Criterio N
.
.
.
Aspecto Evaluar N
WORKFLOW
Reportes de Gestión
•
•
35
Situación de empresa y
sector
Monitoreo del Workflow
Coordinador
define acción y
monitorea
Evaluador realiza
acción y actualiza
respuesta
Reportes de Gestión por Empresa
Proyecto: Central de eventos de pérdida: CPRO
Objetivo: Obtener información para evaluar fuentes de pérdidas por riesgo
operacional, mejorar las competencias de los sistemas supervisados para
gestionar este riesgo y facilitar el desarrollo de modelos avanzados
Ejercicios sectoriales de continuidad de negocios
(en estudio)
Nivel de preparación de las empresas
ante un evento de contingencia
A nivel individual
A nivel sectorial
Empresas
supervisadas y
otros como:
BCR, MEF,
Telcos, otros
Sólo
empresas
supervisadas
Verificado mediante
supervisión
Verificado mediante
ejercicios sectoriales
Funciona
?
Los ejercicios sectoriales son el único medio para conocer el nivel de preparación
de los sistemas supervisados ante eventos de contingencia de gran impacto
GRACIAS