Eco. Eva García Fabre, Intendenta Nacional del Sector Financiero Público de l...
Expositor Jorge Dominguez-Perú
1. Supervisión del Riesgo Operativo
La experiencia de la SBS Perú
Jorge Dominguez Gallegos
Julio 2012
2. Agenda
• Principales conceptos
• Marco Normativo
• Diagnóstico sectorial
– Gestión del riesgo operacional
– Gestión de la continuidad del negocio
– Gestión de la seguridad de la información
– Base de datos de eventos de pérdida por riesgo operacional
• Requerimiento de Capital
– Métodos
– Proceso de autorización ASA
• Herramientas
– Team Risk
– Risk Manager
– IG-Rop
4. Definición de Riesgo
Entendiendo el riesgo como la incertidumbre de los que puede suceder
( +)
( -) Mayor Riesgo
Menor Riesgo
¿Dónde estaría este riesgo?
1. Entras corriendo a la terraza de un departamento del piso 20, que sabes que está
congelada y no tiene baranda.
Fuente: Presentación de ACME Consultora
6. El riesgo y el negocio financiero
CARA: te pagan US$ 130
Compras una oportunidad de
lanzar una moneda a US$ 100
SELLO: te pagan US$ 20
Esperanza (E) = 30 * 0.5 + -80 * 0.5 = -25
Fuente: Presentación de ACME Consultora
7. En el negocio financiero
90 CARA: Pagan US$ 130 (+30)
100 Accionista gana US$ 30
10 SELLO: Pagan US$ 20 (-80)
Accionista sólo pierde US$ 10
Esperanza (E) = 30 * 0.5 + -10 * 0.5 = 10
Fuente: Presentación de ACME Consultora
8. Que hay de Nuevo en la Gestión de Riesgos:
Rs = F(V, A)
Donde:
Rs = Riesgo
V = Vulnerabilidad
A = Amenaza
9. Amenaza
¿Qué tan amenazada está la empresa por hechos o situaciones que le
puedan producir un daño?
Entendiendo los factores de riesgo se puede conocer mejor las
amenazas
10. Amenaza (A)
Posibilidad de que un evento se presente con una cierta intensidad, en un sitio
especifico y dentro de un periodo de tiempo definido.
Frecuencia y • Mayor frecuencia mayor
diversidad de
amenazas amenaza SE PUEDE UTILIZAR:
+ • KRI de los factores
de riesgo por línea
de negocio
• Valor de las pérdidas
• Nro. de incidentes
frecuentes por sector
+ Magnitud de los
daños y • Mayor magnitud de los
pérdidas daños está asociado a una
materiales mayor amenaza
11. Vulnerabilidad
¿Qué tan vulnerable es una empresa según sus características?
A B
Considerando su estructura, la empresa A es más vulnerable que la empresa B, ante el mismo
evento natural (por ejemplo un terremoto)
La gestión de riesgos funciona como un blindaje que hace a la empresa
menos o más vulnerable ante eventos que la puedan impactar.
12. Vulnerabilidad (V)
• Está referida a la zona
de impacto de una
amenaza.
Exposición • Una mayor exposición
está asociado a una
¿Qué tan vulnerable mayor vulnerabilidad.
es una empresa?
+ • Está referida a las
condiciones de
La gestión de riesgos desventaja o debilidad
funciona como un Fragilidad relativa de la empresa
blindaje que expone en + frente a una amenaza
• A mayor fragilidad
menor medida a la mayor vulnerabilidad.
empresa a posibles -
amenazas. • Está referida al nivel de
capacidad de
recuperación de la
Resiliencia empresa ante un evento
con efectos negativos.
• A mayor resiliencia
menor vulnerabilidad
13. Indicador de Riesgo (RS)
El índice del riesgo operacional estaría en función de la Vulnerabilidad y Amenaza, y
estas variables a su vez en 5 variables.
V = F(Q1, Q2, Q3)
Rs = F(V, A) A = F(Q4, Q5)
InRop
Índice de Riesgo
Riesgo Operacional
Q1 Q2 Evaluación Q3
Evaluación de la Ratio Pérdida/Req.
Vulnerabilidad gestión de riesgos de la Continuidad del Patrimonial
negocio
Q4 Q5 BDEP
Amenaza KRI Valor de la pérdida
N° de Incidentes
frecuentes del sector
19. Gestión del riesgo operacional en los bancos del SFP
Componentes Evaluados
Ambiente Estab. ID. Evaluación Tratamien Act. Inf. Y Gestión de
Monitoreo
Interno Objetivos Riesgos de Riesgos to Control Com. Proyectos
25 Gestión del riesgo
20 operacional, evaluada en cada
15
15 empresas supervisada a través
9
10
6 7 de cada uno de los 8
N° Empresas
3 4 4
5
1 2 componentes de la gestión
0
4 2
3 integral de riesgos.
5
11 10
Componente adicional, gestión
10 12 10
15 4 14 15 de proyectos.
15
1
1
20
25
Adecuado Necesita Mejora Insatisfactorio No se conoce
• “Información y comunicación”: componente más desarrollado (15 bancos en “Adecuado”)
• “Establecimiento de objetivos”: componente “Adecuado” en un número importante de bancos (9);
sin embargo, con número relevante de empresas (4) con este componente “Insatisfactorio”
•“Ambiente interno”: componente que requiere un mayor esfuerzo por parte de los bancos.
Situación a diciembre de 2010
20. Gestión de la continuidad de negocios en los bancos
del SFP
Políticas y organización
100%
80%
Pruebas de continuidad del Análisis de impacto y
negocio 60% evaluación de riesgos
40%
20%
0%
Planes de emergencia Plan de gestión de crisis
Planes de recuperación de Planes de continuidad del
servicios de T.I. negocio
Nivel de Implementación
Situación a febrero de 2011
21. Gestión de la seguridad de la información en los bancos
del SFP
Políticas y organización
100%
Gestión de activos de 80%
Seguridad de personal
información y tecnología
60%
40%
20%
Gestión de incidentes de
0% Seguridad lógica
seguridad
Seguridad en el desarrollo
Seguridad fisica y
y mantenimiento de
ambiental
sistemas
Seguridad de las
operaciones y
comunicaciones
Situación a febrero de 2011 Nivel de Implementación
22. Situación de base de datos de eventos de pérdida
Antigüedad de información recolectada
El 89% de los bancos (16) aseguran contar
con información completa y confiable con
una antigüedad mayor a 2 años
Cinco bancos (28%) contarían con
información confiable con una antigüedad
igual o mayor a 4 años.
Basado en cuestionario enviado a los 18 bancos del SFP
Pérdidas por Línea de Negocio
24. Requerimiento de Capital
Capital Regulatorio Capital regulatorio tiene por fin asegurar que bancos soporten
>= 10.0% importantes pérdidas sin causar una crisis bancaria que podría
amenazar la integridad del sistema financiero
APRC + APRM + APROp
Importante
El APR por riesgo operacional deberá ser multiplicado por un factor según tabla
CAMBIOS PROPUESTOS A LA RES. 2115-2008
Periodo Factor de ajuste Tope del 25%
Julio de 2009 - Junio de 2011 0,40 El requerimiento patrimonial por riesgo operacional será como máximo el
25% de los requerimientos patrimoniales por riesgo de crédito y de
Julio de 2011 – Junio de 2012 0,50 mercado. Es decir, no tienen que reservar el capital que excede ese límite.
Julio de 2012 – En adelante 1,00
Nuevo Cronograma de Factor de Ajuste
En la norma anterior, a partir de julio de 2012 tenían que cambiar el factor
de ajuste de 0.5 a 1. Propuesta:
•De julio 2012 a junio 2013: Factor de ajuste = 0.6
•De julio 2013 a junio 2014: Factor de ajuste = 0.8
•De julio 2014 en adelante: Factor de ajuste = 1
25. ENFOQUES
CAPITAL RIESGO OPERACIONAL
Facilidad para
Implementar
Método del Indicador
Básico
Método Estándar y
Estándar Alternativo
Método Avanzado
Sensibilidad al
riesgo
El regulador puede crear incentivos para que, con el fin que el
requerimiento de capital sea más sensible al riesgo, las empresas
tiendan hacia el método avanzado
26. A Octubre 2011, el patrimonio requerido por riesgo
operacional supera los S/. 800 millones en el sistema
financiero. El requerimiento se constituye de manera
progresiva
Res. SBS N° 2115-2009 Dic. 2010 6 bancos
Requerimiento de y 1 financiera en Dic. 2011 7 bancos
patrimonio efectivo por Método Estándar y 1 financiera en
riesgo operacional Método Estándar
Inicio de Vigencia Nuevo cronograma
de Res. 2115 de factor de ajuste
0.4 0.4 0.5 Factor de
ajuste
Abril 2009
Julio 2009
Julio 2010
Julio 2011
Julio 2012
27. Autorización de Método Estándar Alternativo
ACCIONES
ACTIVIDADES PREVIAS PROCESO FORMAL
COMPLEMENTARIAS
Empresa manifiesta interés y SBS recibe solicitud de Evaluaciones periódicas para
remite autoevaluación autorización evaluar situación de acciones
requeridas
SBS evalúa información remitida Se realiza la evaluación:
por empresa - Reuniones de trabajo
- Validación en Línea de Negoc
- Solicitud de información
complementaria
Reunión para informar de
resultados de evaluación
SBS emite Resolución con
resultado
Empresa inicia
proceso de
mejora Autorizando Denegando
Empresa prepara solicitud de Indefinida
autorización:
-Declaración de cumplimiento Con plazo definido
-Informe de Cumplimiento (Oficio con acciones Requeridas)
28. Aspectos evaluados en autorización ASA
EVALUACION ADICIONAL EN
REQUISITOS PARA METODO ASA
CONTINUIDAD DEL NEGOCIO
R1: Participación activa del Directorio y la Gerencia Políticas y organización para GCN
General. Análisis de impacto y evaluación
R2: Función de gestión del riesgo operacional. Plan de gestión de crisis
R3: Programa de capacitación profesional. Planes de continuidad
R4: Metodología para la gestión del riesgo operacional. Planes de emergencia
R5: Recursos suficientes. Plan de recuperación de servicios
R6: Reportes periódicos sobre exposición al riesgo Pruebas de continuidad del negocio
operacional.
EVALUACION ADICIONAL EN SEGURIDAD
R7: Procedimientos para asegurar cumplimiento.
DE LA INFORMACION
R8: Incentivos a la apropiada gestión del riesgo
operacional. Políticas y organización para GSI
R9: Base de datos de eventos de pérdida por riesgo Gestión de activos
operacional. Seguridad de personal
R10: Gestión de la continuidad del negocio. Seguridad lógica
R11: Gestión de la seguridad de la información. Seguridad física y ambiental
R12: Revisión periódica independiente por Auditoría
Seguridad de operaciones y comunicación
Interna.
R13: Revisión periódica de una Sociedad de Auditoría Seguridad en el desarrollo
Externa. Gestión de incidentes.
30. Team Risk
Objetivos de Evaluación
1. Ambiente interno
Aspectos a Evaluar
2. Establecimiento de objetivos OBJETIVO 1
3. Identificación de riesgos 1. Participación del Directorio
4.
5.
Evaluación de riesgos
Tratamiento
.
2. Participación de la Gerencia
.
.
6. Actividades de control Por cada
7. Información y comunicación
8. Monitoreo
Objetivo .
OBJETIVO 2
.
.
9. Gestión de proyectos
Se
evalúa
según
Calidad (X)
Cerca mejor práctica 1
Adecuado 2
Necesita Mejora 3
Req. de Acción Supervisora = F (X, Y) Insatisfactorio 5
No se conoce 6
Conocimiento de la Importancia (Y)
Empresa Consolidando Y Poco Importante 1
Puntuaciones 3 13.96 16.60 18.37 20.87 21.85 Importante 2
2 12.61 15.00 16.60 18.86 19.74 Muy Importante 3
Acciones Supervisoras 1 10.61 12.61 13.96 15.85 16.60
1 2 3 4 5 X
(De 15.1 a 17 )
31. Modelo de Implementación Team Risk
Formula de Puntuación
Permite determinar una medida de criticidad, la que se utiliza para priorizar los proyectos
necesarios para el cumplimiento de los objetivos previamente definidos.
Fórmula de Puntuación Utilizada (Ver Detalle)
Límite Límite
Menor Mayor
RANGOS Exigente
Enfoque Exigente S Moderado
Score = f (C, I) Posibles Resultados de S Enfoque Moderado Flexible
Enfoque Flexible
Bajo Medio Alto
C,I
Bajo un Enfoque Exigente
Sci
Score (C) = α (p . Ci )^ (1/α) Score = (α.β) . (p. C)^ (1 / prom(α, β)) . [(1-p).I] ^ (1 / prom(α, β))
Ci RS(Nri),
S(C)
RS(Gi)
S(I)
αóβ=4
Sci
αóβ=3
Score(I) = β [(1-p) . Ii] ^ (1/β) αóβ=2
Ii
C,I
Nri,Gi
Gráfico N° 2
33. Informe de Gestión por WEB
Contenido Aplicación web utilizada desde el 2007 para el envío del
informe anual de gestión de riesgo operacional. Se está
realizando la actualización de la información requerida.
Ventajas
• Conocer la gestión del riesgo operacional que realizan las
empresas, a través de información actualizada y completa.
• Recolectar información estándar actualizada.
• Comunicar nuestras expectativas supervisoras.
• Realizar evaluaciones sectoriales
Inicio de operación : Marzo 2012
Se comunicará en forma previa mediante un oficio
33
35. Risk Manager
Cada pregunta se asocia a AUTOEVALUACION 1
uno o más aspectos a Criterio1
ASPECTOS DE evaluar Criterio2
EVALUACION Criterio N
AUTOEVALUACION 2
Aspecto Evaluar 1
Aspecto Evaluar 2 Criterio1
. Criterio2
. Criterio N
.
Aspecto Evaluar N
WORKFLOW
Coordinador
define acción y
Reportes de Gestión monitorea
• Situación de empresa y
Evaluador realiza
sector
• Monitoreo del Workflow acción y actualiza
respuesta
35
37. Proyecto: Central de eventos de pérdida: CPRO
Objetivo: Obtener información para evaluar fuentes de pérdidas por riesgo
operacional, mejorar las competencias de los sistemas supervisados para
gestionar este riesgo y facilitar el desarrollo de modelos avanzados
38. Ejercicios sectoriales de continuidad de negocios
(en estudio)
Nivel de preparación de las empresas
ante un evento de contingencia
A nivel individual A nivel sectorial
Empresas
Sólo supervisadas y
empresas otros como:
supervisadas BCR, MEF, Telcos
, otros
Verificado mediante Verificado mediante
supervisión ejercicios sectoriales
Funciona ?
Los ejercicios sectoriales son el único medio para conocer el nivel de preparación
de los sistemas supervisados ante eventos de contingencia de gran impacto