Story Transcript
10° CONGRESO INTERNACIONAL DE TECNOLOGIA PARA EL NEGOCIO FINANCIERO
Junio 2010 1
IMPLE IMPL EMENTACION DE UN SISTEMA DE GESTIÓN DE RIESGO OPERACIONAL
2
Riesgo Operativo - agenda 1. 2. 3. 4. 5. 6. 7. 8.
Introducción. Basilea II/BCRA. Políticas. Estructuras. Sistemas Administracion del RO Capacitaciones RO Sistema RO en BP Proximos pasos. Integración riesgo de TI. 3
BCRA- Basilea II • En Diciembre de 2006 el BCRA da a conocer una “hoja de ruta” para implementar gradualmente Basilea II. • Implementación completa a partir de enero de 2010 2010..
4
BCRA- Basilea II - (cont.) Riesgo operacional: • Exigencia de Capital : “el BCRA considera conveniente seguir analizando entre las alternativas disponibles para su medición en orden a identificar la que mejor se aplica al sistema financiero local”. • no obstante lo cual, propiciará la adopción de buenas prácticas en materia de administración de este riesgo.” 5
BCRA- hoja de ruta Basilea II (cont) Avances hoja de ruta: • Adopción de “buenas prácticas”. • Normativa de Riesgo Operacional: – “A” 4793 (abril 2008) – “A” 4904 (enero 2009) y complementarias.
6
BCRA – Riesgo Operacional Com. “A” 4793 (abril 2008): • “Las Entidades Financieras deberán implementar un sistema para gestionar el riesgo operacional ….” • “….como una disciplina integral y separada de los restantes riesgos……” • “…el cual deberá ser proporcional a las dimensiones de la Entidad y a la complejidad de sus operatorias”. 7
Com “A” 4793 – Riesgo Operacional • Definición: Riesgo de pérdida resultante de la inadecuación o fallas de los procesos internos, de la actuación del personal y o de los sistemas internos o bien aquellas que sean producto de eventos externos. Esta definición incluye el riesgo legal pero excluye el riesgo estratégico y reputacional.
8
Comunicación “A” 4793 • Detalla los eventos de pérdidas y líneas de negocio. • Enumera las responsabilidades del Directorio y la alta gerencia de las entidades. • Elementos que deben contener las políticas sobre la materia. • Define en forma general las etapas de un proceso de gestión de riesgo operacional (identificación y evaluación, seguimiento y control/mitigación del riesgo operacional).
9
Eventos de Riesgos Operacional Fraude interno Fraude Externo Externo Prácticas laborales inadecuadas Práct. Inad. con clientes, productos y servicios Daño a los Activos Físicos Fallas en los sistemas Fallas en los procesos 10
Com “A” 4793 – Cronograma • Desde el 14.4.08 al 31.7.08: aprobación por parte del Directorio de los lineamientos generales (políticas y estrategias). • Desde el 1.8.08 hasta el 31.12.08: claramente definidas y documentadas las procesos, procedimientos y estructuras • Implementación plena plena:: – 31.8.09 - Procesos críticos – 31.12.09 - Procesos no críticos.
11
Comunicación “A” 4904 y complement. Base de datos de pérdidas operativas • obligatoria a partir del 1.01.10, a informar al BCRA a partir del 30.4.10 • Se debe informar: – Carácter del evento. • • • • • •
Pérdidas ocurridas individuales. Pérdidas ocurridas repetitivas. Pérdidas previsionadas contablemente. Recuperos. Desafectación de previsiones. Cuasi-pérdidas en los casos que corresponda.
– Descripción de la perdida: tipo de riesgo – Fechas 12
Riesgo Operativo - agenda 1. 2. 3. 4. 5. 6. 7. 8.
Introducción. Basilea II/BCRA. Políticas. Estructuras. Sistemas Administracion del RO Capacitaciones RO Sistema RO en BP Proximos pasos. Integración riesgo de TI. 13
Riesgo Operacional-Polìtica Cómo empezamos? En junio/08, el Directorio creó un grupo de trabajo multidisplinario integrado por representantes de auditoría, sistemas, organización y procesos, riesgo operacional, régimen informativo y contabilidad.
14
Premisas Básicas • Rol de la Unidad de riesgo operacional: análisis/ asistencia para confeccionar autoevaluaciones. • No “compiladores de datos”. No a la utilización de planillas de cálculo. • Automatizar la captura de pérdidas. • Facilitar la tarea de autoevaluación de riesgos. • Necesidad de contar con un sistema para administrar las autoevaluaciones de riesgo y base de datos. • Modelo propio. 15
Riesgo Operacional - Política • Aprobada por el Directorio el 31.7.08. • Aspectos comprendidos – Principales definiciones. (RO, fuentes de RO, Eventos) – Roles y Responsabilidades • Directorio • Comité de Riesgo Operacional. Define integrantes. • Gerencia de RO. • Gerencias o areas responsables de la gestión del riesgo.
16
Riesgo Operacional – Política (cont.) • Metodología para identificar/ evaluar/monitorear y mitigar el RO. • Niveles de tolerancia al riesgo. • Herramientas a utilizar. – Mapa de procesos/subprocesos – Matrices de riesgos y controles. – Indicadores de riesgo
• Planes de acción. • Base de datos de pérdidas. 17
Riesgo Operativo - agenda 1. 2. 3. 4. 5. 6. 7. 8.
Introducción. Basilea II/BCRA. Políticas. Estructuras. Sistemas Administracion del RO Capacitaciones RO Sistema RO en BP Proximos pasos. Integración riesgo de TI. 18
Riesgo Operacional – Estructura •
Creación de la Gerencia de Gestión del RO y CN (01/07/08).
•
Unidad de Riesgo Operacional : 5 personas (octubre/noviembre 08).
• Creación del 04/12/08.
Comité
de
RO-
19
Riesgo Operativo - agenda 1. 2. 3. 4. 5. 6. 7. 8.
Introducción. Basilea II/BCRA. Políticas. Estructuras. Sistemas Administracion del RO Capacitaciones RO Sistema RO en BP Proximos pasos. Integración riesgo de TI. 20
Riesgo Operacional - Sistemas – En sept/08 se adquirió un sistema a la firma Cor Consulting que se desarrolló en conjunto. – Modulos: • • • • •
Mapas de procesos/subprocesos y actividades Autoevaluaciones de riesgos y mitigantes/ planes de acción indicadores de riesgo. Registro de Eventos de pérdidas. Reportes
21
Riesgo Operativo - agenda 1. 2. 3. 4. 5. 6. 7. 8.
Introducción. Basilea II/BCRA. Políticas. Estructuras. Sistemas Administracion del RO Capacitaciones RO Sistema RO en BP Proximos pasos. Integración riesgo de TI. 22
Riesgo Operacional - Administración Por que es necesario administrar el RO ?
Eventos de baja frecuencia y alto impacto juegan un rol importante.
Riesgo Operacional - Administración
Identificar Autoevaluaciones de riesgo
Medir Recolección De Pérdidas
Mitigar
Monitorear
Planes de Acción
Indicadores
24
RO - Identificación y análisis Los riesgos operacionales está están asociados a la ejecucióón de los procesos del Banco: ejecuci
• Metodología – Mapa de procesos- subprocesos y actividades – Definición de responsables: “referentes de RO” – Autoevaluación de riesgos y controles. • Resultado Mapa de Riesgos y Exposiciones al Riesgo.
25
Mapa de procesos/subprocesos/actividades Cómo se armó? • Se tomó en cuenta la documentación de los procesos (normativa interna, relevamientos de auditoría interna) o bien se realizaron relevamientos específicos. • En Banco Patagonia el mapa lo armó RO y tenemos: – 57 procesos – + de 500 subprocesos – + de 4.000 actividades 26
Mapa de procesos Cantidad 57
% 100%
Críticos
35
61%
No críticos
22
39%
Total de procesos
27
Mapa de procesos - Ejemplo Proceso Caja de ahorro
Subproceso Apertura de cuentas
Actividades • Integración de formularios • Recepción y análisis de la documentación • Alta de la persona y cliente en el sistema.
Depósitos
28
Autoevaluaciones de riesgo Siguiente paso: identificación del riesgo • Para poder identificar los mitigantes que pueden minimizar o evitar la ocurrencia de esos riesgos. • Para poder identificar los controles apropiados o puntos en que es necesario incrementar los controles. 29
Autoevaluación – identificación del riesgo
Qué puede pasar? Dónde? Cuándo?
Para cada actividad se determinan el o los riesgos
30
Autoevaluación – Ejemplos Proceso Caja de ahorro Proceso: Subproceso: Apertura de cuenta Subproceso Actividades
Riesgos
Analisis de la documentación recibida del cliente
• Documentación falsa. • Documentación incompleta
Alta de persona y cliente en el sistema
• Errores en el ingreso de datos al sistema 31
Autoevaluación – análisis del riesgo Frecuencia estimada
Probabilidad
o conocida de ocurrencia del riesgo.
Resultado que el
Impacto
riesgo podría ocasionar
32
Análisis de riesgo – Medidas de probabilidad Nivel
Denominacion
descripción
100%
Casi certeza (5)
Ocurre muchas veces al año
75%
Probable (4)
1vez cada 3-12 meses
50%
Posible (3)
1 vez cada 1-2 años
25%
Improbable (2)
1 vez cada 2-5 años
10%
Raro (1)
1 vez cada 5 o + años
33
Analisis de riesgo – Medidas de impacto Nivel 1
Denominacion Insignificante
descripción
2
Bajo
Perdida financiera media ($10.000-$30.000)
3
Moderado
Perdida financiera alta ($30.000$100.000)
4
Alto
Perdida financiera mayor($100.000-300.000)
5
Critico
Enorme Perdida financiera (+ de$300.000)
Baja pérdida financiera (Menos de $10.000)
34
Evaluación del riesgo Se combinan las mediciones de probabilidad e impacto y se determina el “riesgo inherente”: E
Riesgo Extremo
A
Riesgo Alto
M
Riesgo Moderado
B
Riesgo Bajo 35
Determinación del Riesgo Inherente IMPACTO
Probabilidad Casi certeza
5
Probable
4
Posible
3
Improbable
2
Raro
1
1
2
3
4
5
36
Determinación del riesgo residual •
•
Por cada riesgo determinado se identifican y evaluan los controles (escala de 1 a 5). Se describen y se analizan si son eficientes y si en la práctica se aplican. Riesgo residual = Riesgo inherente – controles 37
Determinación del Riesgo Residual P R O B A B I L I D A D
RI
RR
IMPACTO 38
Nivel de tolerancia al riesgo - mitigación Riesgo Bajo
Aceptación del riesgo
Riesgo Moderado
Requiere plan de acción
Riesgo alto
Requiere plan de acciónprioridad alta Indicador de riesgo
Riesgo Extremo
Requiere plan de acción – máxima prioridad Indicador de riesgo 39
Plan de acción •
Medida correctiva para aquellas actividades cuyo riesgo residual exceda los niveles de tolerancia admitidos.
•
Descripción de las acciones a tomar (nuevos procedimientos, sistemas, nuevos controles, etc), fechas de implementación.
•
Resultados esperados (disminución del riesgo estimada).
40
Determinación del Riesgo Residual
con plan de acción P R O B A B I L I D A D
RI
RR
RRN/CP IMPACTO 41
Riesgo Operacional - Administración
Identificar Autoevaluaciones de riesgo
Medir Recolección De Pérdidas
Mitigar Planes de Acción
Monitorear
Indicadores
42
Medición – Base de datos de pérdidas •
Objetivos: ü Entender el riesgo operacional sobre la base de la experiencia. ü Facilitar el establecimiento de medidas correctivas. ü Información de gestión para el Directorio y las áreas. ü Constituir la base para la estimación del capital por riesgo operacional (Métodos avanzados de Basilea II).
43
Medición del RO en Banco Patagonia •
Procedimiento para la registración de pérdidas operacionales (con vigencia a partir del 1.1.09) ü Captura automática de pérdidas. • Según apertura de cuentas por tipo de evento. ü Captura manual: • Solo para las pérdidas que no se capturen en forma automática o no identificadas con anterioridad.
44
Mapa de riesgos por línea de negocio LINEA DE NEGOCIOS TIPO DE EVENTO
ADM DE ACTIVOS
BANCA COMERCIAL
BANCA MINORISTA
FINAN. CORP.
INTER. MIN.
NEG.Y VTAS
PAGO Y LIQUID
SERV DE AGENCIA
TOTAL
FRAUDE INTERNO FRAUDE EXTERNO
-
-
-
-
-
-
-
-
0,00 0,00
RELACIONES LABORALES Y SEGURIDAD EN EL PUESTO DE TRABAJO
-
-
-
-
-
-
-
-
0,00
PRACTICAS CON LOS CLIENTES, PRODUCTOS Y SERVICIOS
-
-
-
-
-
-
-
-
0,00
DAÑOS A ACTIVOS FISICOS
-
-
-
-
-
-
-
-
0,00
INCIDENCIAS EN EL NEGOCIO Y FALLAS TECNOLOGICAS
-
-
-
-
-
-
-
-
0,00
EJECUCION, GESTION Y FINALIZACION DE PROCESOS
-
-
-
-
-
-
-
-
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
TOTAL
45
Riesgo Operativo - agenda 1. Introducción. Basilea II/BCRA. 2. Políticas. 3. Estructuras. 4. Sistemas 5. Administracion del RO 6. Capacitaciones RO 7. Sistema RO en BP 8. Proximos pasos. Integración riesgo de TI.
46
Riesgo Operativo - capacitación Responsables designados autoevaluación de riesgo
Riesgo Operacional
RO Responsable / “Dueño”
Rechazos
RO Supervisor / Responsable
RO Referente Autoevaluación Plan de Acción Indicador de Riesgo
Capacitación Supervisores –Aspectos a considerar • Perdidas ocurridas. Historia. • Nuevos productos o procesos, nuevos riesgos. • Aspectos relevados por la auditoría/BCRA. • En las tareas manuales siempre hay riesgos. • Conocimiento de casos de otras entidades del sistema financiero. • Opinión de expertos, estimaciones.
Riesgo Operativo - agenda 1. Introducción. Basilea II/BCRA. 2. Políticas. 3. Estructuras. 4. Sistemas 5. Administracion del RO 6. Capacitaciones RO 7. Sistema RO en BP 8. Proximos pasos. Integración riesgo de TI.
49
Riesgo Operacional - sistema 1° PASO : Revisar Mapa PROCESOS – SUBPROCESOS – ACTIVIDADES
PROCESO Depósitos – Cuentas Corrientes
SUBPROCESO Cierre de Cuenta Corriente
Analizar y considerar modificaciones Actividades
El Referente de Riesgo Operacional recibe el mail informando que posee un Subproceso disponible para realizar la Autoevaluación. Ingresa al Sistema a través de la solapa Análisis de Riesgos / Autoevaluación y visualiza los Procesos asignados. Selecciona el período en el cual va a trabajar (Año 2010) y luego el Proceso a analizar. En nuestro ejemplo: Depósitos – Cuenta Corriente.
Selección del Subproceso Cierre de Cuenta Corriente
Dentro del Subproceso se encuentran las actividades que lo conforman. Se debe ingresar a cada una de las actividades para evaluarlas.
Riesgo Operacional - sistema 2° PASO: AUTOEVALUACION
Actividad
Riesgo Asociado
Riesgo Inherente
Control / Mitigante / Seguro
- Probabilidad - Impacto
Riesgo Residual
Moderado a Extremo
Plan de Acción Nuevo Control / Mitigante
Alto a Extremo
Indicador de Riesgo
Riesgo Residual Nuevo
Pantalla de definición de los riesgos asociados a la actividad.
Determinación del riesgo (Tabla Nivel I, II y III) y descripción adicional.
Evaluación del riesgo inherente Probabilidad: se considera que, ante la ausencia de controles, podrían producirse muchos casos al año. Impacto: se considera que la pérdida financiera provocada podría ser alta.
De la evaluación del riesgo y sus controles surge el Riesgo Residual, el cual es Extremo. Dicha condición requiere la creación de un Plan de Acción y de un Indicador de Riesgo.
En la opción de Nuevos Controles se pueden ingresar modificaciones sobre los controles vigentes y, a su vez, proponer la creación de nuevos controles que mitiguen el riesgo. Estas propuestas se materializarán luego en la definición detallada del Plan de Acción. En este caso, se dio de baja el control manual existente y se propuso un nuevo control automatizado, el cual se consideró Optimo.
El nuevo control redujo el Riesgo Residual a Moderado. A la espera de la implementación del Plan de Acción se seguirá evaluando con el Indicador de Riesgo.
Riesgo Operacional - sistema
3er. Paso: Plan de Acción
Riesgo Operacional - sistema
4to. Paso: Indicadores de Riesgo
Tratamiento a aplicar sobre el Indicador de Riesgo.
Se determinó un indicador que muestra la relación entre los cierres de Cuenta Corriente con servicios Datanet vigente respecto del total de cierres de cuentas corrientes del mes. Este indicador es de frecuencia mensual siendo la responsabilidad del Referente la actualización del valor de las variables.
Riesgo Operativo - agenda 1. Introducción. Basilea II/BCRA. 2. Políticas. 3. Estructuras. 4. Sistemas 5. Administracion del RO 6. Capacitaciones RO 7. Sistema RO en BP 8. Proximos pasos. Integración riesgo de TI.
70
Metodologia - Analisis de riesgo de los Activos informáticos Actividades del negocio Activos
Procesos criticos y no criticos Arboles de dependencias
Amenazas Salvaguardas Riesgo Residual 71
Integración riesgo de TI con riesgo operacional
Procesos criticos y no críticos Valor Asignado (máximo de subprocesos)
CANTIDADDEPROCESOS
23 19
12 9
1: 7 días
2: 1 día
3: 6 horas
CRITICIDAD
4: 3 / 5 horas
Integración riesgo de TI con RO • • • •
Indentificación de activos Inventario Dependencias y vinculación con procesos. Clasificación de activos. Analisis y evaluación de riesgos.
SISTEMA PILAR (Metodologia Magerit)
Dependencias entre activos/procesos
Proceso A
Proceso B
Proceso C
Activo A
Activo B
Activo I
Activo D
Activo C
Activo F
Activo C
Activo E
Activo G
Activo J
Dependencias entre activos/procesos
Determinación del del riesgo (Magerit) Determinación riesgo (Magerit)
Clasificación de activos Los activos interesan por su valor en todas sus dimensiones (confidencialidad /integridad y disponibilidad) La clasificación se hereda del activo superior a los inferiores según el grado de dependencia. Proceso Caja de ahorro Activos
Disponibili dad
Integridad
Confidencia lidad
Activo A
4
3
4
Activo B
4
3
4
Activo C
4
2
3
Activo D
4
3
3
Activo E
3
2
4
Resultados de la clasificación de activos • Sistemas y Tecnología: analisis de gap entre nivel de disponibilidad requerida y real. Planes de acción. Analisis de costos. • Seguridad Informática: Análisis de gap entre nivel de confidencialidad e integridad requeridos y reales. Planes de Acción. Análisis de costos.
Determinación del riesgo Metodologia – calculos grado de dependencia • grado(A ? C) = Si { grado(A ? Bi) × grado(Bi ? C) } • a + b = 1 - (1 - a) × (1 - b) Riesgo Repercutido
Riesgo Acumulado
Gestión del riesgo Uso
Riesgo Único por Proceso Riesgo Repercutido
4 Ver como la TI afecta la operación del negocio.
Área 4 Riesgo operacional.
Análisis de Riesgo
Riesgo por Activo Riesgo Acumulado
4 Ver como el riesgo afecta a cada activo de TI.
4 El área de sistemas del Banco. 4 Seguridad
Beneficio
4 Encontrar la variable TI en la valoración del riesgo operacional.
4 Gestionar el riesgo. 4 Plan de continuidad del negocio. 4 Gestión de la Seguridad.
Integración riesgo TI con RO Situación Actual • Implementación en curso del Sistema “Pilar” (sigue la metodología Magerit) y cumple con los requerimientos de la politica del Banco de riesgo de TI. • Se elaborarán unicamente las interfases con el sistema de Riesgo Operacional para el componente de TI (riesgo repercutido residual).
Muchas gracias!
Junio 2010 82