Riesgo Operacional
RIESGO OPERATIVO Método indicador básico Método estándar Método avanzado Contenido RIESGO OPERACIONAL...................
Views 219 Downloads 32 File size 653KB
Recommend stories
- Author / Uploaded
- Melizita Martinez
Citation preview
RIESGO OPERATIVO Método indicador básico Método estándar Método avanzado Contenido RIESGO OPERACIONAL.................................................................................... 4 RIESGO........................................................................................................ 4 RIESGO OPERACIONAL................................................................................ 5 Definición................................................................................................. 5 Definición Según Basilea II.......................................................................5 RIESGO OPERACIONAL EN BASILEA II..........................................................5 Método del Indicador Básico....................................................................6 Método Estándar...................................................................................... 6 Método de Medición Avanzada (AMA)......................................................7 Criterios de Admisión............................................................................... 8 Criterios cualitativos................................................................................ 8 Criterios cuantitativos (solidez AMA)........................................................8 GESTIÓN DEL RIESGO DEL MERCADO............................................................9 GESTIÓN DE RIESGO OPERACIONAL SEGÚN EL BBVA................................12 Marco de gestión del riesgo operacional................................................12 Marco de gestión del riesgo operacional: Estructura organizativa............15 a)
IDENTIFICACIÓN.................................................................................. 16
PERFIL DE RIESGO..................................................................................... 16 Estructura organizacional......................................................................16 Actividades que realiza..........................................................................17 Sistemas utilizados................................................................................ 17 Relación con externos............................................................................ 17 Normas y regulaciones...........................................................................17 Relación con otros riesgos.....................................................................17 AUTOEVALUACIÓN DE RIESGOS OPERACIONALES.....................................18 EVENTOS TÍPICOS DE RIESGO OPERACIONAL............................................18 1
CLASES O CATEGORÍAS DE RIESGO OPERATIVO........................................19 Fraude Interno........................................................................................ 19 Fraude Externo....................................................................................... 19 Fallas tecnológicas................................................................................. 19 Ejecución y gestión de procesos............................................................20 Relaciones laborales y seguridad en el puesto de trabajo.....................20 Daños a activos materiales....................................................................20 Clientes, productos y prácticas empresariales.......................................20 b) MEDICIÓN........................................................................................... 22 Pérdida por riesgo operacional...............................................................22 c)
SEGUIMIENTO Y CONTROL..................................................................23
TRATAMIENTO DE LOS RIESGOS OPERACIONALES.....................................24 CASOS....................................................................................................... 30 Caso – Allied Irish Bank8 El Allied Irish Bank (AIB).................................30 CONCLUSIONES............................................................................................ 33 RECOMENDACIONES..................................................................................... 34 BIBLIOGRAFIA............................................................................................... 35
2
RIESGO OPERACIONAL
RIESGO Los riesgos son parte de las actividades diarias de las personas ya sea en forma individual o conjunta. La humanidad, desde su existencia y a lo largo de la historia, ha convivido y afrontado una serie de riesgos, algunos con consecuencias funestas o sin ellas, frecuentes o no frecuentes. De forma análoga, la actividad empresarial, entre ellas la de las Instituciones Financieras, está expuesta a riesgos, por lo tanto, sus decisiones deben considerar los posibles riesgos a los que están expuestas así como la manera de tratarlos. Riesgo se define como “la posibilidad de que un evento ocurra y afecte adversamente el logro de los objetivos”. Como resultado de una serie de eventos que afectaron la permanencia de grandes empresas a partir de la década de los ‘80s, entre ellas varias instituciones financieras, es que la gestión del riesgo operacional tomó relevancia.
RIESGO OPERACIONAL
3
Definición Es aquel que puede provocar pérdidas debido a errores humanos, procesos internos inadecuados o defectuosos, fallos en los sistemas y como consecuencia de acontecimientos externos. Como el tecnológico, el de fraude, el de ejecución y procesos, o los desastres
naturales,
esta
pluralidad
de
factores,
potencialmente
desencadenantes, pueden desencadenar pérdidas operacionales dentro de una entidad financiera por falta de educación o de un fallo de los procesos.
Definición Según Basilea II
RIESGO OPERACIONAL EN BASILEA II El Nuevo Acuerdo de Capital (Basilea II) contempla tres métodos para establecer los requerimientos de capital por riesgo operacional u operativo (RO), en orden creciente de sofisticación y sensibilidad al riesgo: el método del indicador básico, el método estándar y los métodos de medición avanzada. El Comité de Basilea establece que las entidades de intermediación financiera (EIF) puedan emplear cada método individualmente o una combinación de cualquiera de ellos para sus distintas actividades.
4
No obstante, para utilizar los métodos estándar y de medición avanzados, deben obtener autorización del supervisor, a partir del cumplimiento de criterios generales, cualitativos y cuantitativos.
Método del Indicador Básico En el método del indicador básico el requerimiento de capital es equivalente a un porcentaje (15%) del promedio de los tres últimos años de ingreso bruto anual positivo, excluyendo los años en que el ingreso anual haya sido negativo o igual a cero.
Método Estándar En el método estándar las actividades de las EIF se dividen en ocho líneas de negocio. El requerimiento de capital de cada línea se calcula multiplicando el ingreso bruto anual por un factor, cuyos valores sugeridos por el Comité de Basilea son:
Los ingresos brutos negativos de cualquier línea de negocio pueden ser compensados por los ingresos brutos positivos de las otras líneas de negocio. La exigencia total de capital es igual al promedio de tres años de la suma
5
simple de los requerimientos de capital en cada una de las líneas de negocio de cada año. Opcionalmente, existe un método estándar alternativo, en el que los ingresos brutos de banca comercial y banca minorista se sustituyen por un 3.5% del total de préstamos y anticipos de cada una de estas líneas.
Método de Medición Avanzada (AMA) El requerimiento de capital en el método AMA es igual a la exposición al riesgo generada por el modelo interno de la EIF para el cálculo del RO. La utilización del AMA está sujeta a la aprobación del supervisor, a partir del cumplimiento de criterios de admisión.
Criterios de Admisión Para poder utilizar el Método Estándar y el Método AMA, las EIF deben demostrar al supervisor que cumplen con:
Criterios generales: referidos a poseer un sistema de gestión de RO conceptualmente sólido y contar con recursos para aplicar las metodologías de gestión de riesgo en las principales líneas de negocio y en los ámbitos de control y auditoria interna.
Adicionalmente, asegurar que el Directorio u órgano equivalente y la Alta Gerencia de la EIF participen en la vigilancia del marco de gestión del RO.
El Método AMA, exige además que las EIF satisfagan un conjunto de criterios cualitativos y cuantitativos:
6
Criterios cualitativos. o Contar con una unidad de gestión de RO.I o Integrar el sistema de medición interna del RO en los procesos habituales de gestión de riesgos de la EIF. o Informar periódicamente al Directorio y Alta Gerencia acerca de las exposiciones al RO e historial de pérdidas a este riesgo. o Documentar el sistema de gestión de RO y v) realizar revisiones periódicas del proceso de gestión y sistemas de medición del RO.
Criterios cuantitativos (solidez AMA). El Comité de Basilea no especifica supuestos sobre las distribuciones de probabilidad, pero establece que el procedimiento para desarrollar el modelo de RO debe ser riguroso –considerando datos externos, datos internos y análisis de escenarios– y debe demostrar que se identifican los eventos de pérdidas ubicados en las colas de la distribución de probabilidad. Estos modelos deberían basarse en cinco años de información histórica, no obstante cuando se utilizan por primera vez, pueden basarse sólo en tres años, tiempo que incluye un año de funcionamiento en paralelo.
GESTIÓN DEL RIESGO DEL MERCADO
La implementación de una Gestión de Riesgo Operacional integrada permitirá a la Institución Financiera (IF) controlar a un nivel razonable los riesgos operacionales, monitorearlos y estar adecuadamente preparados para los cambios del negocio y el entorno, con una visión de las situaciones que puede incrementar su exposición. La IF necesita diseñar e implementar un modelo o metodología de gestión de riesgo operacional bajo un enfoque de gestión integral de riesgos COSO ERM (COSO ERM: Committee of Sponsoring Organizations - Enterprise 7
Risk Management (Comité de Organizaciones Patrocinadoras de la Comisión Treadway – Gestión de Riesgos Empresariales), por cumplimiento regulatorio, caso contrario puede ser objeto de sanciones y/o multas. Permitirá a la IF, reducir las pérdidas por riesgo operacional, por la implementación de acciones correctivas y preventivas, además de lecciones aprendidas. La IF logrará obtener la autorización de la Superintendencia de Banca, Seguros y AFP´s (SBS) para la aplicación del método estándar alternativo, que permite asignar menor capital por la ley de implementación del Nuevo Acuerdo de Capital Basilea, es decir, ahorro de capital, que puede ser destinado a una mayor inversión en el negocio u otras actividades de inversión rentables, por lo cual existe también un costo de oportunidad asociado al uso del capital. Problemática relacionada a la gestión del riesgo operacional, la Institución Financiera presenta la siguiente problemática:
Carencia de personal especializado en gestión de riesgo operacional. En general en el mercado peruano, las IF han considerado dentro de su gestión al riesgo operacional a partir de la regulación publicada el 2002, y con mayor énfasis durante los últimos tres años.
El personal responsable de gestionar los riesgos incluyendo Directores y Alta Gerencia, tienen conocimientos y experiencia de la gestión de riesgos tradicional, y no del enfoque de gestión integral de riesgos.
La Alta Dirección y la Gerencia no están involucradas directamente con los riesgos operacionales o situaciones que los incrementan, no hay una cultura del riesgo.
Se valora más lograr objetivos de volumen de negocio a costos posiblemente más altos que los que se podría lograr considerando los riesgos asociados a las operaciones. Las pérdidas pueden ser mayores. 8
Mayor y más compleja regulación exige mayor conocimiento y adiestramiento del personal responsable de la gestión de riesgos, directores y alta gerencia, para lograr el objetivo de cumplimiento regulatorio, debe ser parte de la estrategia de la IF.
La gestión del capital (patrimonio) se ve impactada por los requerimientos del Nuevo Acuerdo de Capital Basilea 2, incluyendo variables no consideradas en el planeamiento del capital de la IF.
Gestión centralizada de riesgos, se tienen roles definidos claramente para el área de Riesgos, pero no para las Gerencias y niveles medio y operativo. Se tiene el paradigma de que el área de Riesgos es responsable de gestionar y mantener niveles bajos del riesgo, si ocurren pérdidas, “se cree” que es por la “mala gestión del área de Riesgos”.
Metodología de gestión de riesgo operacional adoptada y escrita pero con bajo nivel de dinamismo (“no viva”).
Carencia de una herramienta adecuada para soportar la gestión del riesgo operacional de acuerdo al tamaño de las operaciones de la IF.
Conforme al alcance definido en la sección correspondiente, para el desarrollo del Capítulo III, se tomará la información disponible de la IF y lo desarrollado para implementar la gestión de riesgo operacional bajo enfoque COSO ERM.
En las secciones de identificación, autoevaluación y tratamiento de riesgos, se muestra un riesgo típico del proceso de evaluación de créditos, seleccionado por los siguientes criterios: Proceso clave dentro del macroproceso de créditos, porque una buena evaluación asegura una alta probabilidad de retorno y una relación sana con el cliente. Se realiza previo al desembolso, por lo que se debe tener controles altamente efectivos.
9
Define el volumen de operaciones crediticias para los procesos posteriores como son el desembolso y seguimiento de cartera, por lo que puede hacer más efectivo el seguimiento en función de la calidad de cartera. Requiere
tecnología
permanentemente
crediticia
actualizada
que
debe
conforme
a
ser las
estrategias del negocio basadas en riesgo.
GESTIÓN DE RIESGO OPERACIONAL SEGÚN EL BBVA
10
Marco de gestión del riesgo operacional
El marco de gestión del riesgo operacional definido para el Grupo BBVA incluye una estructura de governance basada en tres líneas de defensa, con delimitación clara de las responsabilidades; en unas políticas y procedimientos comunes a todo el Grupo; en unos sistemas para identificar, medir, monitorear, controlar y mitigar los riesgos y pérdidas operacionales; y en unas herramientas y metodologías para la cuantificación del riesgo operacional en términos de capital.
Marco de gestión del riesgo operacional: Tres línea de
defensa
11
La gestión del riesgo operacional en BBVA se diseña y coordina desde la unidad de Gestión Corporativa de Riesgo Operacional (GCRO), perteneciente a GRM, y desde las unidades de Gestión de Riesgo Operacional (GRO), que se ubican en los departamentos de Riesgos de los diferentes países y áreas de negocio.
Las áreas de negocio o de soporte tienen, a su vez, gestores de riesgo operacional que dependen funcionalmente de las anteriores, y que son los encargados de implantar el modelo en el día a día de las áreas. De esta forma, el Grupo dispone de una visión a pie de proceso, que es donde se identifican y priorizan los riesgos y toman las decisiones de mitigación, y que por agregación permite tener una visión macro a diferentes niveles.
Cada área de negocio o de soporte dispone de uno o más comités GRO que se reúnen trimestralmente. En dichos comités se analiza la información proporcionada por las herramientas y se toman las decisiones de mitigación oportunas. Por encima de los comités GRO se encuentra el Comité GRO País, en el que se tratan los riesgos de mayor calado y sus correspondientes planes de mitigación, así como los riesgos que afectan transversalmente a diversas áreas.
Como órgano de máximo nivel en la matriz, existe el Comité Global de Corporate Assurance (CGCA), que efectúa un seguimiento general de los principales riesgos operacionales del Grupo. Adicionalmente, está el Consejo de Administración que en el ejercicio de sus competencias establece la política de control y gestión de riesgos y efectúa el seguimiento periódico de los sistemas internos de información y control.
12
13
Marco de gestión del riesgo operacional: Estructura organizativa
BBVA está trabajando en la mejora del modelo de gestión del riesgo operacional en dos líneas:
Incorporando a unidades especialistas de control para obtener una visión más independiente y experta y para unificar el governance de las funciones de control del Grupo.
Reforzando los escenarios de riesgo operacional, con una base de escenarios
actualizable
cada
año,
para
los
que
se
construyen dossiers exhaustivos de cuantificación bajo entornos diferentes, con la colaboración de expertos independientes y especialistas.
14
La gestión del riesgo operacional en el Grupo se construye a partir de las palancas de valor que genera el modelo avanzado o AMA (advanced measurement approach), y que son las siguientes:
La gestión activa del riesgo operacional y su integración en la toma de decisiones del día a día supone:
El conocimiento de las pérdidas reales asociadas a este riesgo (base de datos SIRO).
La identificación, priorización y gestión de riesgos potenciales y reales.
La existencia de indicadores que permiten analizar la evolución del riesgo operacional en el tiempo, definir señales de alerta y verificar la efectividad de los controles asociados a los riesgos.
Todo lo anterior contribuye a un modelo anticipatorio que permite la toma de decisiones de control y de negocio, así como priorizar los esfuerzos de mitigación en los riesgos relevantes para reducir la exposición del Grupo a eventos extremos.
Mejora el entorno de control y refuerza la cultura corporativa.
15
Genera un impacto reputacional positivo.
a) IDENTIFICACIÓN Identificación de Riesgos Operacionales
PERFIL DE RIESGO Estructura organizacional 1. Nombre del área 2. Responsable 3. Organigrama 4. Roles principales
Actividades que realiza 1. Nombre del proceso / actividad 2. Entradas (actividades relacionadas, áreas que envían documentos e información) 3. Salidas (actividades relacionadas, áreas que reciben documentos e información) 4. Productos relacionados
Sistemas
utilizados
(aplicaciones,
telecomunicaciones) 1. Sistemas internos 2. Sistemas externos
16
bases
de
datos,
Relación con externos 1. Clientes externos 2. Supervisores / Reguladores 3. Proveedores / Subcontratación 4. Alianzas / Socios estratégicos
Normas y regulaciones 1. Normatividad interna 2. Regulación / ley aplicable
Relación con otros riesgos 1. Riesgo de Crédito 2. Riesgos de Mercado 3. Riesgo de Reputación 4. Otros
AUTOEVALUACIÓN DE RIESGOS OPERACIONALES Una vez identificados los riesgos, el siguiente paso es evaluarlos. Para esto, se debe contar con información referente a ellos, como por ejemplo, eventos de pérdida ocurridos en la organización, o en el sector donde opera; factores que pueden incrementar su ocurrencia o daño potencial; el conocimiento de la actividad, proceso, proyecto o producto donde puede ocurrir el riesgo, así como del funcionamiento de sus controles y su efectividad.
EVENTOS TÍPICOS DE RIESGO OPERACIONAL
Errores operativos Fraudes (interno & externo) Actividad no autorizada 17
Fugas de talento Incumplimiento normativo Caída de sistemas Fallos de programación Sobrepasar atribuciones/límites Accesos indebidos a sistemas Daños en edificios Incumplimiento de proveedores Pérdidas por litigios
CLASES O CATEGORÍAS DE RIESGO OPERATIVO Todos los eventos de Riesgo Operacional, deben tener asignada una clase o categoría de riesgo dependiendo de la causa que originó el evento; las pérdidas registradas pueden ser agrupadas atendiendo a sus causas últimas. Para ello, se utilizan una serie de categorías elementales que suministran una visión sintética de la distribución del riesgo global existente en la compañía. Las clases o categorías más usuales definidas son las siguientes:
Fraude Interno Pérdidas derivadas de algún tipo de actuación de empleados o terceros vinculados contractualmente a la compañía, encaminada a defraudar, apropiarse de bienes indebidamente o incumplir regulaciones, leyes o políticas empresariales. Esta categoría incluye eventos como: fraudes, robos (con participación de personal de la empresa), sobornos, entre otros.
Fraude Externo Pérdidas derivadas de algún tipo de actuación realizadas por personas ajenas a la compañía que buscan defraudar, apropiarse de bienes
18
indebidamente o desatender la legislación. Esta categoría incluye eventos como: robos, falsificación, ataques informáticos, entre otros.
Fallas tecnológicas Pérdidas o interrupciones derivadas de fallos en los sistemas de cómputo, comunicaciones, hardware o software de la compañía. Entre los casos más comunes están las caídas del sistema por tiempos prolongados, daños en líneas telefónicas, perdida de información electrónica, virus informáticos que afecten el sistema, etc.
Ejecución y gestión de procesos Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores. Esta categoría incluye eventos asociados con: captura de transacciones, ejecución y mantenimiento, monitoreo y reporte, entrada y documentación de clientes, gestión de cuentas de clientes, contrapartes de negocio.
Relaciones laborales y seguridad en el puesto de trabajo Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, sobre higiene o seguridad en el trabajo, sobre el pago de reclamaciones por daños personales, o sobre casos relacionados con discriminación en el trabajo.
Daños a activos materiales Pérdidas derivadas de daños o perjuicios a activos físicos como consecuencia de desastres naturales u otros eventos de fuentes externas. Ej: Incendios, terremotos, actos terroristas, falta de mantenimiento de activos, etc.
19
Clientes, productos y prácticas empresariales Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación profesional frente a clientes o de la naturaleza o diseño de un producto. EJ: Competencia desleal, falsos beneficios en productos, perjuicios a clientes, etc.
20
21
b) MEDICIÓN Pérdida por riesgo operacional Cualquier impacto negativo registrado en cuentas de resultados o en la situación patrimonial de la Entidad, y que haya sido provocado a consecuencia de cualquier evento de riesgo operacional. La pérdida está constituida por un registro contable contabilizado en cuentas de resultados, en rúbricas de gastos generales y/o cuentas patrimoniales. No se contempla el contenido de cuentas transitorias, cualquiera que sea su naturaleza. Si se podrá registrar cualquier provisión realizada sobre eventos acaecidos y no reconocidos en resultados. No formarán parte de la base de datos aquellos eventos que generen un impacto positivo para la entidad (diferencias de Caja acreedoras, errores en la ejecución de operaciones de valores, etc.
c) SEGUIMIENTO Y CONTROL
22
TRATAMIENTO DE LOS RIESGOS OPERACIONALES
23
En esta sección se describe la aplicación de los componentes “Respuesta al riesgo”. Una vez elegida la respuesta considerando la efectividad en el control del riesgo y el costo beneficio de la misma, puede requerir una o más “Actividades de control” (segunda parte de este componente), ya sea para mejorar los controles existentes, agregar nuevos, o reemplazarlos por otros más efectivos. En la IF, se aplicó lo siguiente: 1. Se seleccionó los riesgos residuales que Resultaron en los niveles extremo o alto, para decidir la respuesta al riesgo según COSO ERM: • Reducir impacto, o nivel de daño. • Reducir probabilidad, o nivel de ocurrencia. • Compartir o transferir, a un tercero. • Aceptar. • Evitar. En los casos en que se decidió por reducir o compartir, se documentó un Plan de Acción para mitigar el riesgo, que incluyó el tratamiento elegido, las acciones a realizar, responsables y fechas en que deben ser culminadas. El cumplimiento de estas acciones debe ser monitoreado por el área de Riesgos. Una vez culminada la matriz de riesgos y controles con la evaluación y los Planes de Acción respectivos, se comunicó al área de Auditoría Interna para su revisión. Estos controles deben ser incluidos como parte de las pruebas de auditoría según las actividades de su plan anual. Luego de realizar la prueba, Auditoría debe documentar el nivel de efectividad de operación, de la siguiente manera: si es efectivo, se asigna “EFE” (color verde); se es parcialmente efectivo, se asigna “PEF” (color amarillo); o, si no es efectivo, se le asigna “NEF” (color rojo). Esto ayuda a 70 confirmar o poner a prueba la efectividad de los controles así como la forma en que lo vienen aplicando, y de ser necesario, permite realizar ajustes a la evaluación. 24
Monitoreo de la gestión de riesgo operacional El monitoreo es el último componente del COSO ERM, siendo fundamental para vigilar los avances en la gestión del riesgo operacional y lograr una toma de decisiones oportuna sobre los niveles de riesgo, para cada uno de los componentes descritos y en su conjunto. Existe un monitoreo que se da en el día a día dentro del curso normal de las actividades del negocio, y otro que se da mediante evaluaciones separadas o específicas, para obtener un entendimiento más preciso 75 sobre las deficiencias o puntos de mejora, que una vez superados o implementados, permiten el logro de los objetivos de la organización. Según lo indicado, en la IF se implementaron las siguientes acciones de monitoreo. 1. Control de cada Gerencia, a través de las evaluaciones basadas en objetivos de desempeño, y supervisión de las actividades desarrolladas por el personal operativo, considerando el cumplimiento de los procedimientos que están enfocados en la mitigación de los riesgos asociados. De esta supervisión, la gerencia identifica y reporta las situaciones que incrementan la exposición a los riesgos (“issues”), a través de reportes de indicadores clave de riesgos (“key risk indicators”), riesgos potenciales, reportes de eventos de pérdida, cambios en la organización, los procesos o sistemas, así como cambios en las leyes o regulaciones que impacten en la operativa de la IF. Estas actividades complementan las evaluaciones de riesgos. 2. Evaluaciones del área de Riesgos, que con la información brindada por las gerencias, analiza, prepara y presenta reportes gerenciales al Comité de Riesgo Operacional, Comité de Riesgos, Comité de Auditoría, Directorio. Estos reportes, incluyen: los Top Risks, reportes de eventos de pérdida, y el 76 seguimiento a los planes de acción.
25
Son compartidos por medio del Comité de Riesgo Operacional con las áreas de Legal, Cumplimiento, Seguridad de Información, Continuidad de Negocios, Seguridad y Prevención de Fraudes, Operaciones, Contabilidad, Recursos Humanos, para obtener su retroalimentación por su conocimiento y manejo de los riesgos relacionados. 3. Informes de Auditoría Interna, resultado de las evaluaciones, que incluyen observaciones y recomendaciones sobre la gestión de las áreas enfocadas en riesgos. Dentro de estos informes, se incluye el reporte de deficiencias encontradas u oportunidades de mejora, que una vez revisados con cada gerencia, son reportados a la Gerencia General, y seguidos por el Comité de Auditoría. Además, la gestión de riesgo operacional es auditada como mínimo una vez al año. 4. Informes de Auditoría Externa, que incluye una revisión sobre el cumplimiento de las normas de gestión de riesgo operacional. Adicionalmente, si la SBS ha autorizado a la IF a utilizar el método estándar alternativo para el cálculo de capital regulatorio por riesgo operacional, se requiere una revisión independiente respecto del cumplimiento de los criterios señalados por la SBS, al menos cada tres años. 5. Informes de Consultorías, resultado de trabajos especializados ya sea para implementar o actualizar metodologías, procedimientos, sistemas o entrenamiento para mejorar la gestión del riesgo operacional, en los que se obtiene opinión de un tercero sobre alcances específicos relacionados a la gestión de riesgos. 6. Informe de Visita Anual de la SBS, en el cual se muestran las debilidades encontradas en la gestión de riesgos, que deben ser subsanadas a criterio del regulador, y que son seguidas también por Auditoría Interna y el Comité de Auditoría.
26
Regulación de la SBS sobre riesgo operacional Dentro del marco del COSO ERM y el NAC B2 La SBS ha publicado las siguientes normas referentes a la gestión integral de riesgos y gestión de riesgo operacional: • Resolución SBS Nº 37-2008 “Reglamento para la Gestión Integral de Riesgos”, que toma como marco de referencia al estándar internacional de gestión de riesgos COSO ERM, e incluye lo siguiente: Definición de gestión integral de riesgos (GIR), además de las categorías de objetivos. Componentes de la gestión integral de riesgos. Tipos de riesgos, considerando los riesgos de crédito, estratégico, de liquidez, de mercado, operacional, de seguro, y de reputación, indicando que es una lista no limitativa. Prácticas cuestionables, referido a que se debe contar con sistemas internos apropiados para resolver los casos de actividades ilícitas o fraudes. Relación entre la GIR y el Control Interno, indicando que la GIR incluye al control interno con un alcance más amplio enfocado en el riesgo. Además, indica que el objetivo de confiabilidad de la información se refiere a toda la información y no solamente a los estados financieros. Responsabilidades del Directorio, Gerencia General, Gerencias, Unidad de Riesgos y Jefe de Riesgos. Criterios que debe cumplir el perfil del Jefe de Riesgos. Establecimiento del Comité de Riesgos y Comité de Auditoría, indicando los requisitos mínimos para su conformación así como sus funciones. Subcontratación, indicando la responsabilidad de las empresas supervisadas de los servicios subcontratados; además, introduce el concepto de subcontratación significativa indicando que para éstas, se debe realizar un análisis formal de riesgos el cual debe ser puesto en conocimiento del Directorio para aprobación. Rol de Auditoría Interna y Auditoría Externa.
27
Revelación de las principales características de la gestión integral de riesgos en la Memoria Anual. • Resolución SBS Nº 2116-2009 “Reglamento para la Gestión del Riesgo Operacional”, que reemplaza a la Resolución SBS Nº 006- 2002 “Reglamento para la administración de riesgos de operación”, e incluye lo siguiente: Definición de riesgo operacional. Factores que originan el riesgo operacional: o procesos internos, personal, tecnología de información, y eventos externos. o Eventos de pérdida por riesgo operacional, conforme a Basilea 2. o Responsabilidades del Directorio, Gerencia, Comité de Riesgos, Unidad de Riesgos. o Aspectos mínimos del Manual de gestión del riesgo operacional. o Metodología para la gestión del riesgo operacional enmarcada dentro de los componentes de la gestión integral de riesgos, así como sus criterios de cumplimiento. o Base de datos de eventos de pérdida y sus criterios de cumplimiento. o Sistema de gestión de la continuidad del negocio y un sistema de gestión de la seguridad de la información, indicando que se debe cumplir con lo establecido en las normas específicas correspondientes. o Políticas y procedimientos para gestionar los riesgos operacionales asociados a la subcontratación, así como su alcance mínimo. Para mayor detalle sobre estos temas, puede consultar la Circular SBS G-139-2009 “Reglamento para la Gestión de Continuidad del Negocio”, y la Circular SBS G-140-2009 “Reglamento para la Gestión de la Seguridad de la Información”, las cuales no forman parte del alcance del presente documento. o Informe anual de gestión de riesgo operacional para la SBS según disposiciones establecidas para el contenido mínimo y forma de envío. o Roles de Auditoría Interna, Auditoría Externa, y de las Empresas Clasificadoras de Riesgos. o Presentación de las características principales de la gestión del riesgo operacional en la Memoria Anual.
28
• Resolución SBS Nº 2115-2009 “Reglamento para el requerimiento de patrimonio efectivo por riesgo operacional”, que incluye lo siguiente: Destinar patrimonio efectivo (capital regulatorio) por riesgo operacional aplicando uno de los siguientes métodos: método del indicador básico, método estándar alternativo, o método avanzado. La utilización de los dos últimos requiere pasar un proceso de autorización establecido por la SBS. Requisitos para solicitar autorización para la utilización del método estándar alternativo o un método avanzado. Método del indicador básico o Método estándar alternativo. Para poder establecer estas reglas, previamente se modificó la Ley de Bancos en Junio 2008 incluyendo la implementación del NAC. Esta resolución está basada en el NAC. Sobre esto puede consultar la columna de “Información General” del Portal del Supervisado en 25 En el capítulo 4 se describe la aplicación del método estándar alternativo, así como su impacto en el requerimiento de patrimonio efectivo por riesgo operacional. Métodos avanzados, que incluye los requisitos mínimos cualitativos y cuantitativos para utilizarlo. Para comprender cómo es que se enmarca la regulación peruana dentro de lo establecido por el Comité de Basilea, se ha preparado la siguiente tabla que muestra la relación entre los principios para las buenas prácticas de gestión del riesgo operacional y la regulación de la SBS.
CASOS Caso – Allied Irish Bank8 El Allied Irish Bank (AIB) En su momento el segundo banco más grande de Irlanda, reveló en 2002 que se encontraba investigando un aparente caso de fraude cambiario en su sucursal de Baltimore, Estados Unidos llamada Allfirst. El fraude fue perpetrado por el operador John Rusnak. El Consejo de Administración contrató a un consultor independiente con el fin de que generara un reporte identificando el posible fraude. El reporte Ludwig concluyó 29
que John Rusnak sistemáticamente falsificó registros bancarios y documentos y había evadido los débiles controles existentes en la tesorería de Allfirst y de la matriz. Rusnak registró opciones no existentes que tenían ganancias ficticias con el fin de ocultar las pérdidas que tuvo en 1997. Aparentemente estas pérdidas se debieron a las posiciones que tomó en los futuros del yen japonés. En 1999, tuvo un periodo de ganancias usando opciones “reales” que dejaron grandes márgenes de ganancia y que le permitieron eliminar algunas opciones falsas. El Banco local del mundo Gaceta de Basilea II Basilea II 2008 HSBC México 7 Para evadir los supuestos controles y registros sobre sus actividades, Rusnak usó ingeniosas maneras para registrar las opciones falsas en los libros y de esta forma explotar las debilidades existentes en los controles. La técnica que usó fue registrar al mismo tiempo dos opciones falsas pretendiendo que las transacciones envueltas no se netearán. La primera opción obtenía un margen amplio y la segunda perdía el mismo margen, sin embargo lo que variaba era el vencimiento, la primera vencía el mismo día y la segunda vencía semanas más tarde. Allfirst no preparaba reportes de opciones a un día y nadie ponía atención en esto. El resultado fue que los activos falsos fueron creados en los libros y Allfirst no tuvo que pagar por ellos. Estas ganancias compensaban algunas posiciones que había perdido Rusnak en el mercado cambiario. Nadie se dio cuenta de que las opciones a un día con amplios márgenes no eran ejercidas por ninguna contraparte. Adicionalmente, Rusnak tomó ventaja de problemas de proceso de las áreas de apoyo, en donde consistentemente obtenía confirmación de las transacciones. Hasta 1998 sus transacciones falsas eran validadas con las confirmaciones, sin embargo al parecer Rusnak persuadió a las áreas de apoyo para que las opciones pares no fueran confirmadas ya que no representaban una transferencia de efectivo. De esta forma, cuando alguna opción falsa expiraba, esta se convertía en una nueva opción falsa.
30
Otro aspecto adicional del fraude de Rusnak, fue su habilidad para manipular los resultados usados para monitorear sus transacciones. Sus opciones falsas cubrían sus posiciones reales, reduciendo de esta forma su valor-en-riesgo (VaR)9. El reporte Ludwig encontró también que él interfería directamente con los parámetros usados en el cálculo del VaR usados por Allfirst. Se suponía que el VaR se calculaba de forma independiente, sin embargo los encargados del cálculo confiaban en la información tomada directamente de la computadora de Rusnak, dándole a él la oportunidad de manipular y reducir su VaR. Se estima que AIB/Allfirst tuvo una pérdida total por $691 millones de dólares. Allfirst Bank de Baltimore fue vendido en 1993 a Manufacturers and Traders Trust Company (M&T Bank). La solvencia del banco no se vio en peligro de forma inmediata como consecuencia del “descubrimiento”, ya que el banco absorbió la pérdida cubriéndola con las utilidades del año anterior, representando alrededor del 60% del total de 2001. Esto redujo su capital. Ningún alto funcionario fue forzado a renunciar, sin embargo el escándalo deterioró fuertemente la reputación del banco y de algunos de sus directores. Definición: Es la máxima pérdida posible de un portafolio o activo financiero bajo un horizonte de tiempo y un nivel de confianza. Glosario de Términos de Riesgo. Las lecciones aprendidas son: - Falta de claridad en las líneas de reporte, inadecuada supervisión, de los empleados y falta de controles por parte de la matriz. Es necesaria una estructura sólida de administración de riesgos. La relación entre la matriz y las subsidiarias debe ser clara. Enérgicos controles a las áreas de apoyo son esenciales para evitar omisiones o complacencias a saltarse procedimientos.
31
CONCLUSIONES
Para establecer, mantener y desarrollar una gestión de riesgo operacional bajo COSO ERM es necesario que la Dirección y Alta Gerencia estén involucrados y comprometidos con roles claramente asignados y con una filosofía de riesgo evidenciada a través de su aplicación en la estructura organizacional y procesos de la IF. • El riesgo operacional es un riesgo que está presente en todas las actividades de la IF, en mayor o menor nivel, dependiendo de la efectividad de los controles implementados y de las estrategias que se elijan para gestionarlo. Los Gerentes de cada área son responsables de mantenerlos en los niveles aceptables según el apetito y tolerancia definidos. • La gestión de riesgo operacional bajo COSO ERM agrega valor a la organización en la medida en que contribuye al cumplimiento de los objetivos, provee conocimiento de la ocurrencia de posibles eventos y su mitigación, mejora la eficiencia, asegura que los productos y servicios se brinden 90 dentro 32
del apetito de riesgo aceptado con mayor posibilidad de éxito, y refuerza la reputación de la IF con los stakeholders. • El modelo de gestión de riesgo operacional dentro de un enfoque integrado de gestión de riesgos permite a la IF obtener un ahorro en la asignación de capital regulatorio por riesgo operacional, con la posibilidad de desarrollar métodos avanzados que muestren un nivel de riesgo más real y poder establecer su propio modelo de capital económico. • Para el caso de la IF en estudio, la aplicación del método estándar alternativo le permitirá asignar menor capital que el del método básico, habiendo logrando un ahorro a Enero 2010 de S/ 2,395 miles (dos millones tres cientos noventa y cinco mil nuevos soles), lo que permite aceptar mayor riesgo de crédito y/o de mercado, al realizar una mayor inversión en productos o servicios financieros. Este ahorro variará en función del crecimiento y los cambios en el portafolio, que tenga a futuro. RECOMENDACIONES
• Para la correcta implementación del modelo se debe realizar un diagnóstico organizacional basado en riesgos, y definir un plan por etapas que incluya capacitación y concientización, así como 91 una clara definición de los roles y responsabilidades en todos los niveles de la organización. • Dentro de la estructura organizacional se debe contar con una red de Gestores de Riesgo, lo cuales son designados por los Gerentes por su conocimiento, experiencia, liderazgo y capacidad analítica para integrar los conceptos del modelo a las actividades cotidianas. • Implementar un software de gestión de riesgo operacional que permita soportar el modelo desarrollado. • Realizar una mejora continua en el flujo de información y utilizar términos de “uso común” equivalentes a los manejados en la gestión de riesgo operacional y gestión integral de riesgos. • Efectuar análisis de las bases de datos de 33
pérdidas para familiarizarse con los eventos ocurridos y observar su severidad y frecuencia, con la finalidad de que, luego de haber pasado por un periodo entre mediano a largo plazo, evaluar el costo beneficio de aplicar métodos cuantitativos que complementen el modelo expuesto, y permitan a la IF implementar un modelo de capital económico con medidas más sensibles al riesgo.
BIBLIOGRAFIA
http://www.uprh.edu/wlopez/MODULOS%20AVANZADOS/Gerencia%20de %20Riesgos%20en%20los%20Proyectos/Tres%20Casos%20de %20Riesgo.pdf http://www.sbs.gob.pe/repositorioaps/0/0/jer/pres_doc_basilea/Bases_Dat os_Eventos_Perdida_Riesgos_Operacionales%20.pdf http://www.sbs.gob.pe/repositorioaps/0/0/jer/DT_DOCUMENTOSDTRABAJ O/SBS-DT-04-2006.pdf http://www.riesgooperacional.com/docs/21%20%20estfin0807.pdf http://www.riesgooperacional.com/docs/22%20%20gacetabasilea-II-no6riesgo-operacional.pdf https://www.sbif.cl/sbifweb/internet/archivos/publicacion_8511.pdf
34
ANEXOS
Riesgos Financieros
GREGORIO BELAUNDE
El “Miedo a Decirlo”, Fuente de Riesgo Operacional
03/11/2013
06:46
Hace pocos días nos llegó la noticia de que la página web que debía facilitar la entrada en aplicación de la gran reforma promovida por el Presidente Obama de los EE.UU. para extender los seguros de salud, estaba experimentando fallas graves que le han brindado a esta reforma un mal comienzo. Estos problemas tomarán tiempo para ser resueltos y el daño de un lanzamiento más lento, así como el daño reputacional y el de debilitamiento del Gobierno, ya está hecho. Algo llamó mucho la atención: enterarse de que se habían efectuado pruebas que mostraban que “el sistema no estaba listo”, y que ni el Presidente ni la Secretaria (Ministra) de la Salud lo sabían. Recordemos que el riesgo operacional, en su definición más conocida, incluye a las“fallas del personal”, como factor de ocurrencia de eventos disruptivos o de pérdidas. Aquí la falla consistió en no hacer llegar a los niveles apropiados la información necesaria para que éstos tomaran decisiones debidamente informadas frente a lo que podía salir mal. Es obvio que lo que sucedió es que, al tener la Reforma una fecha de lanzamiento que en medio de la hostilidad absoluta de la Oposición y de su amenaza constante de dejarla sin fondos, aparecía como muy difícil de cambiar, nadie se atrevió a hacerle saber a la Ministra que “había un problema” con el flamante sistema. Cabe preguntarse hasta qué nivel jerárquico llegó el conocimiento de que el sistema no estaba listo. Este evento me recordó lo sucedido con uno de los mejores aeropuertos del Mundo en su inauguración, el Aeropuerto Internacional de Hong Kong, conocido también como Chek Lap Kok. Se debía inaugurar a inicios de Julio de 1998, habiendo fijado las autoridades Chinas y las de la “región administrativa especial” que fuera en el primer aniversario de la retrocesión de Hong Kong a China, por el inmenso significado histórico de dicho evento. Fue una pesadilla operativa desde el primer vuelo comercial. Muchos aún recuerdan a las pantallas de anuncios de vuelos que no funcionaban (fue la imagen que más marcó al público), lo que también afectaba a muchos baños, escaleras mecánicas, sistemas de reparto de equipajes, etc. Y el pandemonio en la zona de carga, que
35
provocó la pérdida de gran cantidad de mercancía perecible, y obligó a reabrir temporalmente el antiguo aeropuerto de Kai Tak. Tomó casi 6 meses terminar de estabilizar las operaciones del aeropuerto. Me tocó llegar para varios años de estadía con mi familia, 2 meses después de la inauguración, en un aeropuerto que todavía estaba algo desordenado, pero que ya iba felizmente camino a ser la maravilla estética y organizacional que muchos conocen (difícil olvidar a esa inmensa “catedral” de vidrio y metal y al ultra-eficiente tren que lo liga al centro financiero). Las investigaciones conducidas por las autoridades revelaron que en realidad muchos, en diferentes niveles, sabían que el aeropuerto no iba a estar completamente listo para la fecha prevista. Cada uno, para la parte que correspondía, sabía, pero no se lo decía a su superior, y si lo alertaba, era éste último el que no avisaba a su superior. Fue un “miedo a decirlo” generalizado que impidió a los máximos niveles saber cuál era la situación real. En niveles intermedios, algunos sabían algo, pero de manera muy fragmentada y que no les pareció grave. Ello impidió tomar las medidas apropiadas. La función de alerta temprana es imprescindible cuando se tiene que lidiar con fechas-objetivo imperativas. El conocido temor de ser el mensajero que será ejecutado por haber traído una “mala noticia”, que muchas veces puede ser simplemente un inconveniente que de ser alertado a tiempo, puede ser tratado y solucionado a tiempo, o por lo menos permitir una reducción muy significativa del impacto negativo. Este tipo de situaciones es mucho más frecuente de lo que se cree: Por ejemplo, incluyendo situaciones de interacción con el riesgo crediticio, . no alertar a tiempo de un problema con un cliente principal o proyecto grande, cualquiera que sea el momento (al comienzo o después), que va a deteriorar su calidad crediticia; ¡a veces sucede hasta con pequeñas exposiciones! . no alertar de que la situación general del riesgo crediticio puede empeorar rápidamente; eso es algo que se ve siempre al inicio de grandes crisis sistémicas, las voces aisladas de los que alertan son acalladas o tomadas con escepticismo a pesar de la evidencia histórica . no expresar sus puntos de vista, que contradicen la opinión dominante, sobre la evolución futura del riesgo de un país, o sobre la de un sector económico . no expresar sus dudas o inquietudes sobre un aspecto particular de un proyecto, que puede parecer menor, pero que puede resultar siendo clave para su éxito o fracaso . no decirle al superior que se puede estar equivocando en un punto de vista por desconocimiento (es normal que no sea especialista en todo), o en una decisión clave, y no proponerle alternativas, por más audaces e iconoclastas que parezcan . no alertar de que algo que la Alta Gerencia o Dirección piensa va a salir bien en cierto plazo, también puede descarrilarse seriamente o atrasarse . “esconder bajo la alfombra” resultados de estudios o informes, o incidentes operativos que revelen que se tiene numerosos equipos que reemplazar (lo que supone gastar en ello), o que se está en una edificación insegura. En general, los que no quieren alertar rezan o “cruzan los dedos” para que no pase nada o tratan de auto-convencerse de que no va a pasar nada o de que las cosas van a mejorar pronto o de que el riesgo es poco significativo. Es mucho más cómodo que “dar una mala noticia” o que contradecir y proponer algo diferente. A veces es peor: saben, pero les aterra decir lo que saben, y “esperan que otro lo diga”. Y están los que saben, “se protegen” en su
36
exclusivo provecho personal, por ejemplo cambiando de trabajo a tiempo, sin avisar a los demás y menos aún a sus superiores. Y están los inescrupulosos motivados a la par por la sed o el vértigo del poder o por la angurria, el afán de lucro rápido, la idea de “ganarse alguito” en poder o en riqueza de paso, pensando que las consecuencias serán para otros (miedo combinado con maquiavelismo…). Los resultados pueden ser gravísimos, tales como: . lanzamientos de grandes proyectos o de reformas que fracasan, como ya hemos visto; a veces un proyecto puede terminar siendo un gran “elefante blanco” . pérdidas crediticias enormes que se hubieran podido evitar, con medidas ex ante o con medidas rápidas en inicio de crisis, como ventas de exposiciones a precios todavía aceptables . pérdidas enormes y/o paralización de actividades claves para una empresa o para un país, por fallas de equipos o de sistemas, con el consiguiente problema reputacional o consecuencias peores . pérdidas de vidas humanas, a veces a gran escala, que eran tan, pero tan evitables; como pasó en el caso del edificio Rana Plaza en Bangla-Desh. Los bancos están llenos de historias de gente que “quiso alertar”, pero la alerta no llegó hasta el más alto nivel, porque fue detenida a cierto nivel; o tal vez llegó al nivel debido pero demasiado aislada para ser tomada en serio. Muchas empresas del sector no financiero también, incluso en casos muy sonados como Enron. Ahora bien, traten de imaginarse eso al nivel de un país: ¿cuántas veces en la historia un gobernante y/o sus ministros no pudieron decidir bien, porque nadie quiso decirles lo que hubieran debido saber? El problema es que las consecuencias en general no se limitan al gobernante y a los miembros de su gobierno: afectan al país entero o por lo menos a una gran parte de su población. Y ello se puede ver incluso a nivel internacional: recomendaría la lectura del informe de la “Oficina de evaluación independiente” del Fondo Monetario Internacional (Enero 2011) sobre cómo, entre otras cosas, no lograron darse cuenta a tiempo de lo que sucedía en el sistema financiero europeo. Mencionan al “groupthink” (pensamiento de grupo) que impide que muchos expresen otros puntos de vista. En realidad es “riesgo operacional organizacional” (sobre el cual ya escribí un post el 13 de Julio de este año) en todo su esplendor. Conclusión: Nunca se debe desalentar a los que alertan, aunque a veces puedan no tener razón, porque permiten tomar decisiones más informadas y abrirse más opciones, e incluso aprovechar oportunidades de nuevos negocios o de mejoras sustanciales (no olvidar que riesgo es también oportunidad). Además, permiten tomar a tiempo medidas de reducción del riesgo. Lo que está en juego muchas veces es el destino de una empresa, o de mucha gente, o de un país, o de muchos países, o hasta de la economía mundial.
37
38