• Author / Uploaded
• jack23.92

Citation preview

“Riesgo Operativo”

2015

RIESGO OPERATIVO

Página 1

Índice INTRODUCCION…………………….………………………………………….………………… 3 1. DEFINICIÓN ………………………………………………………………………………………. 4 2. COMPONENTES DE RIESGO OPERATIVO …………………………………………………. 4 2.1. PROCESO………………….………………………………………………………..……….. 4 2.2. PERSONAS …………………………………………………………………….……………. 4 2.3. TECNOLOGIA DE INFORMACION………………………….….………………………… 5 2.4. EVENTOS EXTERNOS…………………………………………….……………………….. 5 2.5. EVENTOS DE PERDIDA ………………………………...………………………………… 5 3. CATEGORIZACIÓN DE EVENTOS DE PÉRDIDA POR RIESGO OPERATIVO……..….. 6 3.1. FRAUDE INTERNO ………………………………………………………………………… 6 3.2. FRAUDE EXTERNO ………………………….…………………………………………….. 6 3.3. RELACIONES LABORALES Y SEGURIDAD EN EL PUESTO DE TRABAJO............ 6 3.4. CLIENTES, PRODUCTOS Y PRACTICAS EMPRESARIALES …………….…………. 6 3.5. DAÑOS A ACTIVOS MATERIALES ……………………………….……………………… 6 3.6. INTERRUPCION DEL NEGOCIO Y FALLOS EN LOS SISTEMAS…….……….…….. 6 3.7. EJECUCON, ENTREGA Y GESTION DE PROCESOS ……….………..……………… 7 4. ADMINISTRACION DEL RIESGO OPERATIVO …………………………………….……… 7 4.1. IDENTIFICACION …………………………………………………………………………… 7 4.2. EVALUACION ………………………………………………………………….……………. 7 4.3. MEDICION………………………………………………………...………………………….. 8 4.4. MONITOREO……………………………………………..….……………………...……….. 8 4.5. CONTROL……….………………………………………………..………………………….. 8 4.6. REPORTE…………………………………………………………...……………………….. 8 5. OBJETIVOS DE LA ADMINISTRACON DEL RIESGO OPERATIVO …………………..… 9 6. MARCO NORMATIVO…………….……….…………………………………………………….. 9 6.1. CONSIDERACIONES PREVIAS A LA IMPLEMENTACIÓN DE BASILEA II…………. 9 6.1.1. METODO DE INDICADOR BASICO …………………………………………..… 10 6.1.2. METODO ESTANDAR………………………………………………………….….. 11 6.1.3. METODOS DE MEDICION AVANZADAS ………………………………………. 11 7. METODOLOGIA PARA LA ADMINISTRACON DE RIESGO OPERATIVO ……….…… 12 7.1. EL ESTANDAR AUSTRALIANO………………………………………………………….. 12 7.1.1. ETAPAS DEL ESTANDAR AUSTRALIANO…………………………………….. 12 8. METODOLOGIA PARA LA MEDICION DEL RIESGO OPERATIVO…………...….…….. 13 9. CONCLUSIONES ………………………………………………………………………………. 15 10. REFERENCIAS …….…………………………………………………………………………… 15

Introducción

El desarrollo y consolidación de instituciones financieras cada vez más grandes y sofisticadas ha sido impulsada principalmente por la desregulación financiera y la globalización. Estas instituciones realizan actividades en múltiples mercados y han desarrollado perfiles de riesgo cada vez más complejos. Debido a esto, la administración del riesgo operacional representa hoy uno de los grandes desafíos a los que se enfrentan los bancos.

RIESGO OPERATIVO

Página 2

Asimismo, el concepto de riesgo operacional ha adquirido una creciente importancia en la comunidad financiera internacional debido al colapso de ciertas instituciones, financieras y no financieras, debido en parte a problemas de tipo operacional. Esto no significa que en general las instituciones financieras en general no prevengan, gestionen o implementen programas para disminuir los potenciales problemas de tipo operacional. Ciertas instituciones y organismos internacionales han buscado lograr con diversas iniciativas que las instituciones consoliden los eventos de pérdida por riesgo operacional y que se le considere a este último como una categoría especial de riesgo. Evolución del Riesgo Operativo y las Actividades Bancarias La desregulación y globalización de los servicios financieros, junto con la creciente sofisticación de la tecnología financiera están haciendo las actividades bancarias, y en consecuencia, sus perfiles de riesgo, cada vez más complejos. Adicionalmente a los riesgos de crédito, de tasa de interés y de mercado, el riesgo operacional puede ser sustantivo y las tendencias de pérdidas parecen indicar que se está incrementando. Como resultado, una sólida gestión del riesgo operativo es cada vez más importante para bancos y supervisores, con riesgos operativos emergiendo en un número de áreas críticas, tales como las siguientes:  Mayor uso de tecnología automatizada ( riesgos derivados de la automatización de procesos manuales, errores de procesamiento y riesgos de fallas en los sistemas)  Proliferación de productos nuevos y altamente complejos  Crecimiento de transacciones bancarias electrónicas y aplicaciones de negocios relacionadas  Adquisiciones de gran escala, fusiones y consolidaciones  Desarrollo y uso de técnicas de mitigación de riesgos ( garantías, seguros, derivados de crédito, arreglos de neteo y titularizaciones)  Integración global de servicios financieros (riesgos de transacciones de pago procesadas en múltiples monedas, crecientes transacciones comerciales, etc.).

RIESGO OPERATIVO

Página 3

1. DEFINICIÓN Se entiende por riesgo operativo a la posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas en los procesos internos, en la tecnología de información, en las personas o por ocurrencia de eventos externos adversos. El Comité de Basilea define al riesgo operacional como al riesgo de pérdidas resultantes de la falta de adecuación o fallas en los procesos internos, de la actuación del personal o de los sistemas o bien aquellas que sean producto de eventos externos. En una visión simplificada, es el riesgo que incurre un banco por su operatoria, que no está ya clasificado como riesgo de crédito o de mercado o los otros ya tradicionales, y que ha cobrado gran notoriedad dada la mayor participación de operatorias tercerizadas, sistemas tecnológicos complejos, productos derivados y estructurados, y una mayor diversidad de negocios financieros. 2. COMPONENTES DE RIESGO OPERATIVO 2.1. Procesos Asociado con un diseño inapropiado, una ejecución inadecuada o la inexistencia de los procesos, políticas y/o procedimientos en el negocio. Esto puede traer como consecuencia el desarrollo deficiente de las operaciones y servicios o la suspensión de los mismos. Se considerarán entre otros:       

Riesgos asociados a las fallas de modelos utilizados Errores en las transacciones Evaluación inadecuada de contratos Errores en información contable, liquidación o pago Insuficiencia de recursos para el volumen de operaciones Inadecuada documentación de transacciones Incumplimiento de plazos y costos planeados.

2.2. Personas Relacionados a las personas de la empresa. Se consideran como tales los siguientes casos  La inadecuada capacitación de! personal  Negligencia  Error humano (intencional o casual)

RIESGO OPERATIVO

Página 4

 Sabotaje / Fraude / Robo  Apropiación o inadecuado uso de información sensible  Lavado de dinero y similares Por ejemplo en Créditos o Débil seguimiento al cliente y de su negocio o Debilidades en el análisis comercial del cliente o Desconocimiento del Reglamento de o Evaluación inadecuada de la capacidad de pago del cliente 2.3. Tecnología De Información Derivados del uso inadecuado o de las fallas en los sistemas informáticos y tecnologías relacionadas a ellos que pueden afectar el desarrollo de las operaciones y servicios y que pueden afectar la confidencialidad, integridad y disponibilidad de la información.  Fallas en la seguridad y continuidad operativa de los sistemas informáticos  Errores en el desarrollo e implementación de sistemas  Compatibilidad e integración de sistemas  Problemas de calidad de la información  Inadecuada inversión en tecnología 2.4. Eventos Externos Posibilidad de pérdidas derivadas de la ocurrencia de eventos ajenos al control de la empresa que pueden alterar el desarrollo de sus actividades, afectando a los procesos internos, personas y tecnología de información. Entre otros factores, se podrán tomar en consideración los riesgos que implican las contingencias legales, las fallas en los servicios públicos, la ocurrencia de desastres naturales, atentados y actos delictivos, así como las fallas en servicios críticos provistos por terceros. Otros riesgos asociados con eventos externos incluyen: el rápido paso de cambio en las leyes, regulaciones o guías, así como el riesgo político o del país. 2.5. Eventos De Perdida Los eventos que pueden producir perdidas se materializan por: fraude interno, relaciones y seguridad laboral, clientes, productos y prácticas comerciales; daños o perdidas de activos, interrupción del negocio y sistemas; ejecución, entrega y gestión de procesos. Estas pérdidas pueden ser directas, indirectas o por lucro cesante

RIESGO OPERATIVO

Página 5

3. CATEGORIZACIÓN DE EVENTOS DE PÉRDIDA POR RIESGO OPERATIVO En coordinación con el sector financiero, el Comité de Basilea ha identificado los siguientes tipos de eventos que pueden resultar en pérdidas sustanciales por riesgo operativo: 3.1. Fraude Interno Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o incumplir regulaciones, leyes o políticas empresariales en las que se encuentra implicada, al menos, una parte interna a la empresa; no se consideran los eventos asociados con discriminación en el trabajo. Esta categoría incluye eventos como: fraudes, robos (con participación de personal de la empresa), sobornos, entre otros. 3.2. Fraude Externo Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o soslayar la legislación, por parte un tercero. Esta categoría incluye eventos como: robos, falsificación, ataques informáticos, entre otros. 3.3. Relaciones laborales y seguridad en el puesto de trabajo Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, sobre higiene o seguridad en el trabajo, sobre el pago de reclamaciones por daños personales, o sobre casos relacionados con discriminación en el trabajo. 3.4. Clientes, productos y prácticas empresariales Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación profesional frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un producto. 3.5. Daños a activos materiales Pérdidas derivadas de daños o perjuicios a activos físicos como consecuencia de desastres naturales u otros eventos de fuentes externas. 3.6. Interrupción del negocio y fallos en los sistemas

RIESGO OPERATIVO

Página 6

Pérdidas derivadas de incidencias o interrupciones en el negocio y de fallas en los sistemas. 3.7. Ejecución, entrega y gestión de procesos Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores. Esta categoría incluye eventos asociados con: captura de transacciones, ejecución y mantenimiento, monitoreo y reporte, entrada y documentación de clientes, gestión de cuentas de clientes, contrapartes de negocio, vendedores y proveedores. 4. ADMINSTRACION DEL RIESGO OPERATIVO Como principio general, las entidades financieras deben contar con una estrategia aprobada por el Directorio estableciendo principios para la identificación, medición, control, monitoreo y mitigación del riesgo operativo. Las estrategias y políticas deberían ser implementadas por la Función de Gestión de Riesgo, responsable de identificar y gestionar todos los riesgos. La Función de Gestión de Riesgo puede incluir sub-unidades especializadas por riesgos específicos. Las entidades financieras deberían desarrollar su propio enfoque y metodología para la gestión de riesgos, de acuerdo con su objeto social, tamaño, naturaleza y complejidad de operaciones y otras características. La implementación del sistema de gestión de riesgo operativo debería considerar todas las etapas de gestión de riesgo, incluyendo la identificación, evaluación, medición, monitoreo y control. 4.1. Identificación La identificación efectiva del riesgo considera tanto los factores internos como externos que podrían afectar adversamente el logro de los objetivos institucionales. 4.2. Evaluación Para todos los riesgos operativos materiales que han sido identificados, la entidad debería decidir si usa procedimientos apropiados de control y/o mitigación de los riesgos o asumirlos. Para aquellos riesgos que no pueden ser controlados, el banco debería decidir si los acepta, reduce el nivel de actividad del negocio expuesta o se retira de esta actividad completamente. Todos los riesgos materiales deberían ser evaluados por probabilidad de ocurrencia e impacto a la medición de la vulnerabilidad de la entidad a este riesgo. Los riesgos pueden ser aceptados, mitigados o evitados de una manera

RIESGO OPERATIVO

Página 7

consistente con la estrategia y el apetito al riesgo institucional. Cuando sea posible, la entidad debería usar controles internos apropiados u otras estrategias de mitigación, como los seguros. 4.3. Medición Las entidades financieras deberían estimar el riesgo inherente en todas sus actividades, productos, áreas particulares o conjuntos de actividades o portafolios, usando técnicas cualitativas basadas en análisis expertos, técnicas cuantitativas que estiman el potencial de pérdidas operativas a un nivel de confianza dado o una combinación de ambos. 4.4. Monitoreo Un proceso efectivo de monitoreo es esencial para una gestión adecuada del riesgo operativo. Un monitoreo regular de las actividades puede ofrecer la ventaja de detectar rápidamente y corregir deficiencias en las políticas, procesos y procedimientos de gestión del riesgo operativo. El monitoreo regular también fomenta la identificación temprana de cambios materiales en el perfil de riesgo, así como la aparición de nuevos riesgos. El alcance de las actividades de monitoreo incluye todos los aspectos de la gestión del riesgo operativo en un ciclo de vida consistente con la naturaleza de sus riesgos y el volumen, tamaño y complejidad de las operaciones. 4.5. Control Después de identificar y medir los riesgos a los que está expuesta, la entidad financiera debería concentrarse en la calidad de la estructura de control interno. El control del riesgo operativo puede ser conducido como una parte integral de las operaciones o a través de evaluaciones periódicas separadas, o ambos. Todas las deficiencias o desviaciones deben ser reportadas a la gerencia. 4.6. Reporte Debe existir un reporte regular de la información pertinente a la alta gerencia, al directorio, al personal y a partes externas interesadas, como clientes, proveedores, reguladores y accionistas. El reporte puede incluir información interna y externa, así como información financiera y operativa.

RIESGO OPERATIVO

Página 8

5. OBJETIVOS DE LA ADMINISTRACON DEL RIESGO OPERATIVO Al igual que en otros tipos de riesgo, la administración del riesgo operativo busca incrementar el valor de la empresa a través de los siguientes objetivos:  Fortalecimiento de la seguridad y solidez de la empresa asegurando su continuidad operativa y sus resultados.  Gestión activa del riesgo y reducción del impacto de los eventos de riesgo operativo (RO), con una filosofía preventiva y de eficiencia.  Reducción del capital regulatorio (Basilea II).  Protección de los intereses del público, accionistas y relacionados.  Favorecimiento de la mejora continua de los procesos, alineándolos con las estrategias, tecnología, recursos materiales y humanos.

6. MARCO NORMATIVO Nuestra normativa, alineada a las recomendaciones de Basilea II, contempla tres métodos para calcular requerimientos de capital: o

o

El método del indicador básico y el método estándar se logran con la comparación entre los ingresos brutos anuales medios y los coeficientes de exigencia de capital establecidos por el regulador. Los métodos de medición avanzada (AMA) desarrollan modelos estadísticos de medición interna. Se identifican eventos situados en las "colas" de la distribución de probabilidad, generadores de pérdidas graves, estableciendo medidas de riesgo con un horizonte temporal de un año y un intervalo de confianza del 99,9%.

La entidad deberá también estimar de forma razonable las pérdidas inesperadas, combinando cuatro elementos fundamentales:    

Datos relevantes de pérdidas tanto internos como externos. Análisis de escenarios. Entorno de negocio. Factores de control interno que sean específicos a cada entidad.

6.1. Consideraciones previas a la implementación de Basilea II Solo un grupo reducido de países en la Región han emitido instrucciones específicas a las instituciones supervisadas, requiriendo la implementación de sanas prácticas de gestión del riesgo operativo, incluyendo el alcance de la

RIESGO OPERATIVO

Página 9

aplicación, métodos disponibles y plazos de implementación. A continuación se presenta una breve descripción de la experiencia práctica en Perú: Perú La Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones (SBS) ha conformado un Comité Especial para el estudio de la adecuación e implementación del Nuevo Acuerdo de Capital (NAC). El Comité cuenta con varios grupos de trabajo que evalúan aspectos específicos sobre el Nuevo Acuerdo. Se está trabajando simultáneamente en todos los aspectos del Nuevo Acuerdo de Capital que deben ser considerados, a fin de asegurar consistencia una vez que se den pasos prácticos para la implementación efectiva del nuevo Marco. Actualmente, se encuentra en revisión el proyecto de norma sobre el requerimiento patrimonial por riesgo de operación, el mismo que establece como métodos de cálculo, los siguientes: 6.1.1.

Método del indicador básico.

Para el caso del método del indicador básico, el cálculo de la exigencia de capital se basa en una proporción fijada por Basilea (factor alfa = 15%) del promedio de los últimos tres años de los ingresos brutos anuales positivos (lo que permite estimar el volumen de operaciones). KBIA = [Σ(GI1…n x α)]/n Dónde: KBIA = la exigencia de capital en el Método del Indicador Básico GI = ingresos brutos anuales medios, cuando sean positivos, de los tres últimos años N = número de años (entre los tres últimos) en los que los ingresos brutos fueron positivos El cálculo se realiza multiplicando un factor α = 15% por promedio de los tres últimos años de los ingresos netos anuales positivos de la Institución. El cálculo tendrá un piso de 5% y un techo de 15% del promedio de los últimos 36 meses de los requerimientos de capital por riesgo de crédito y de mercado. El BIA entra en vigor a partir del 1º de enero de 2008 y se deberá constituir al 100% en un plazo de tres años.

RIESGO OPERATIVO

Página 10

6.1.2. Método estándar Bajo la metodología estándar, las actividades de los bancos se dividen en líneas de negocio. Se calculan los ingresos brutos de cada línea de negocio y a cada uno de estos se los multiplica por un factor (beta) que estima la exposición que tiene cada línea de negocio y permite calcular la provisión de capital para cada línea de negocio (finanzas corporativas: 18%; negociación y ventas: 18%; banca minorista: 12%, banca comercial: 12%; pagos y liquidación: 18%; servicios de agencia: 15%; administración de activos: 12%; intermediación minorista: 12%). Al final el requerimiento total de capital es la suma de los requerimientos de cada línea. Se clasifican los activos en ocho líneas de negocio y se les asigna un factor β que puede ser del 12%, 15% ó 18%. Cada factor se multiplica al promedio de los tres últimos años de los ingresos netos positivos; en caso de que el ingreso neto total sea negativo en algún año, entonces se sustituye el valor de ese año por cero.

6.1.3. Métodos de medición avanzados Finalmente, con el enfoque de medición avanzado (EMA), a través de mecanismos que utilizan en especial la estimación de funciones de distribución de probabilidad, se logra una medición del capital requerido mucho más ajustado a la situación particular de cada entidad. Método de Medición Avanzado (AMA) En el AMA, los requerimientos de capital son determinados por el sistema de medición de riesgo operacional interno de la Institución. Para poder utilizar este método se requiere de autorización del regulador local, misma que dependerá del cumplimiento de los siguientes requisitos: 

La Administración debe estar fuertemente involucrada con el marco de administración de riesgo operacional.



Se debe contar con un sistema de administración de riesgo operacional íntegro.



Se debe contar con recursos suficientes en el uso del enfoque en las líneas de negocio más importantes así como en las áreas de control y auditoria.

RIESGO OPERATIVO

Página 11

7. METODOLOGIA PARA LA ADMINISTRACON DE RIESGO OPERATIVO Para la identificación, medición, control, monitoreo y mitigación del riesgo operativo se requiere una metodología, buscando una mayor comprensión y capacidad para gestionar los riesgos. 7.1. EL ESTÁNDAR AUSTRALIANO Es una metodología para la gestión de riesgos, adoptada por la junta de estándares de Australia y Nueva Zelanda (1999), que se ha vuelto popular por su sencillez y adaptabilidad a distintos tipos de organización en cualquier sector industrial o económico. Proporciona un método para gestionar el riesgo operacional estableciendo estándares y técnicas que deben aplicarse y cumplirse alineados a las necesidades de la organización (objetivos, productos y procesos). La implementación de un sistema de gestión debe verse como una inversión y no como un gasto al permitir proteger o brindar un mayor valor a los accionistas. El Estándar Australiano proporciona lineamientos generales, por lo que puede ser adaptado a los requerimientos de cualquier organización en particular. 7.1.1 Etapas del estándar australiano

7.2. 7.3.

N

Establecer el contexto del negocio

RIESGO OPERATIVO

Página 12

Implica hacer un levantamiento del negocio y de su entorno. Busca obtener un conocimiento adecuado de lo que hace la organización y cómo lo hace. Identifica todos los procesos del negocio, así como activos involucrados y que podrían estar expuestos a riesgos. Determina el alcance del sistema señalando los procesos clave del negocio y sus interacciones. Establece los criterios sobre cuya base se evaluarán los riesgos. Identificar riesgos Precisa cuáles son las amenazas internas o externas a los procesos o activos de la organización. Analizar riesgos Define las vulnerabilidades de activos y de procesos y controles existentes. Evaluar riesgos Especifica el nivel de probabilidad de ocurrencia de cada riesgo y el impacto que podría producir en la organización. Ello permite la priorización de los riesgos. La combinación de probabilidad e impacto determinará la severidad o daño potencial. El riesgo-control reduce la probabilidad, el impacto y la severidad. Tratar riesgos Acepta, evita, transfiere, mitiga. Lo cual implica el tipo de controles que se adoptarán o implementarán.

8. METODOLOGÍAS PARA LA MEDICIÓN DEL RIESGO OPERATIVO Las fuentes de información disponibles son muy importantes a la hora de determinar el tipo de metodologías que se pueden utilizar para la medición del riesgo operativo. El comité de Basilea reconoce dos grandes categorías para estas metodologías: los enfoques descendentes y los enfoques ascendentes. Las metodologías descendentes tienden a centrarse en medidas más amplias de riesgo operativo con el objetivo de estimar la provisión que la entidad debe realizar, mientras que las metodologías ascendentes producen medidas más precisas del nivel de exposición al riesgo. Estas últimas tienen en cuenta la exposición al riesgo operativo de las diferentes líneas de negocio de la institución, para luego calcular el nivel de exposición de toda la institución.

RIESGO OPERATIVO

Página 13

Actualmente, la mayoría de las instituciones financieras importantes están empezando a utilizar metodologías ascendentes para la identificación y cuantificación del Riesgo Operativo.

Este tipo de metodologías se basan principalmente en dos tipos de modelos cuantitativos: modelos estadísticos y modelos causales. Los primeros se basan en información histórica sobre la frecuencia y el monto de los eventos de pérdida, mientras que los modelos causales, adicionalmente a la información histórica, tienen en cuenta el juicio de expertos.

9. CONCLUSIONES

RIESGO OPERATIVO

Página 14

En los últimos años se ha visto cómo la preocupación por el riesgo operacional, que hasta hace poco tiempo era considerado un riesgo secundario, ha ido creciendo progresivamente. Por una parte, los analistas perciben que la exposición a este riesgo se ha intensificado a medida que las empresas han ido evolucionando (factores decisivos en esta tendencia han sido la mejora de las tecnologías, el desarrollo de nuevas técnicas y la creciente globalización) y por otra parte, las empresas se han visto cada vez más interesadas en la medición de este riesgo; motivadas por la necesidad de políticas más amplias que generen regulación eficaz, modelos racionales de control y supervisión que garanticen su confianza y su seguridad. 10. REFERENCIAS Comité de Basilea de Supervisión Bancaria: Sanas Prácticas para la Gestión y supervisión del Riesgo Operativo, febrero 2003 Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros, Ley 26702. Perú, Febrero 2004. Riesgo operativo caja Piura (http://www.slideshare.net/rcallirgosb/riesgos-operacionales). Riesgo operacional sbs (http://www.sbs.gob.pe/0/modulos/JER/JER_Interna.aspx?PFL=0&JER=1099) Riesgo operacional (http://www.riesgooperacional.com)

RIESGO OPERATIVO

Página 15