Supervisión del Riesgo Operativo

La experiencia de la SBS Perú

Jorge Dominguez Gallegos

Julio 2012
 Agenda
• Principales conceptos
• Marco Normativo
• Diagnóstico sectorial
– Gestión del riesgo operacional
– Gestión de la continuidad del negocio
– Gestión de la seguridad de la información
– Base de datos de eventos de pérdida por riesgo operacional

• Requerimiento de Capital
– Métodos
– Proceso de autorización ASA

• Herramientas
– Team Risk
– Risk Manager
– IG-Rop
Principales conceptos y definiciones
 Definición de Riesgo
Entendiendo el riesgo como la incertidumbre de los que puede suceder

( +)
( -) Mayor Riesgo
Menor Riesgo

¿Dónde estaría este riesgo?

1. Entras corriendo a la terraza de un departamento del piso 20, que sabes que está
congelada y no tiene baranda.

Fuente: Presentación de ACME Consultora

Enfoque tradicional y moderno

5
 El riesgo y el negocio financiero

CARA: te pagan US$ 130

Compras una oportunidad de
lanzar una moneda a US$ 100
SELLO: te pagan US$ 20

Esperanza (E) = 30 * 0.5 + -80 * 0.5 = -25

Fuente: Presentación de ACME Consultora

En el negocio financiero

90 CARA: Pagan US$ 130 (+30)

100 Accionista gana US$ 30
10 SELLO: Pagan US$ 20 (-80)
Accionista sólo pierde US$ 10

Esperanza (E) = 30 * 0.5 + -10 * 0.5 = 10

Fuente: Presentación de ACME Consultora

Que hay de Nuevo en la Gestión de Riesgos:

Rs = F(V, A)
Donde:

Rs = Riesgo
V = Vulnerabilidad
A = Amenaza
Amenaza
¿Qué tan amenazada está la empresa por hechos o situaciones que le
puedan producir un daño?
Entendiendo los factores de riesgo se puede conocer mejor las
amenazas
Amenaza (A)
Posibilidad de que un evento se presente con una cierta intensidad, en un sitio
especifico y dentro de un periodo de tiempo definido.

Frecuencia y • Mayor frecuencia mayor

diversidad de
amenazas amenaza SE PUEDE UTILIZAR:

+ • KRI de los factores

de riesgo por línea
de negocio
• Valor de las pérdidas
• Nro. de incidentes
frecuentes por sector
+ Magnitud de los
daños y • Mayor magnitud de los
pérdidas daños está asociado a una
materiales mayor amenaza
Vulnerabilidad
¿Qué tan vulnerable es una empresa según sus características?

A B

Considerando su estructura, la empresa A es más vulnerable que la empresa B, ante el mismo

evento natural (por ejemplo un terremoto)

La gestión de riesgos funciona como un blindaje que hace a la empresa

menos o más vulnerable ante eventos que la puedan impactar.
Vulnerabilidad (V)
¿Qué tan vulnerable
es una empresa?
+ • Está referida a las
La gestión de riesgos
funciona como un
blindaje que expone en
menor medida a la
empresa a posibles -
amenazas.
• Está referida a la zona
de impacto de una
amenaza.
Exposición • Una mayor exposición
está asociado a una
mayor vulnerabilidad.
condiciones de
desventaja o debilidad
Fragilidad relativa de la empresa
+ frente a una amenaza
• A mayor fragilidad
mayor vulnerabilidad.
• Está referida al nivel de
capacidad de
recuperación de la
Resiliencia empresa ante un evento
con efectos negativos.
• A mayor resiliencia
menor vulnerabilidad
Indicador de Riesgo (RS)
El índice del riesgo operacional estaría en función de la Vulnerabilidad y Amenaza, y
estas variables a su vez en 5 variables.

V = F(Q1, Q2, Q3)

Rs = F(V, A) A = F(Q4, Q5)
InRop

Índice de Riesgo
Riesgo Operacional

Q1 Q2 Evaluación Q3
Evaluación de la Ratio Pérdida/Req.
Vulnerabilidad gestión de riesgos de la Continuidad del Patrimonial
negocio

Q4 Q5 BDEP
Amenaza KRI Valor de la pérdida
N° de Incidentes
frecuentes del sector
Indicador de Riesgo Operacional
Marco Normativo
Evolución de Regulación en Riesgo
Operacional
Modificación
Norma de Capital
Res. SBS N° 3127-2012

2012
Gestión del Riesgo Operacional (Res. 2116-2009)

Procesos
internos

Personas
Continuidad del Seguridad
Negocio Información
Tecnología (Circ. G-139) (Circ. G-140)

Eventos
Externos

Patrimonio Efectivo por Riesgo Operacional

Res. 2115-2009
Diagnóstico Sectorial
 Gestión del riesgo operacional en los bancos del SFP
Componentes Evaluados
Ambiente Estab. ID. Evaluación Tratamien Act. Inf. Y Gestión de
Monitoreo
Interno Objetivos Riesgos de Riesgos to Control Com. Proyectos

25 Gestión del riesgo operacional,

20 evaluada en cada empresas
15
15 supervisada a través de cada
9
10
6 7 uno de los 8 componentes de la
N° Empresas

3 4 4
5
1 2 gestión integral de riesgos.
0
4 2
3 Componente adicional, gestión
5
11 10
de proyectos.
10 12 10
15 4 14 15
15
1
1
20

25

Adecuado Necesita Mejora Insatisfactorio No se conoce

• “Información y comunicación”: componente más desarrollado (15 bancos en “Adecuado”)

• “Establecimiento de objetivos”: componente “Adecuado” en un número importante de bancos (9);
sin embargo, con número relevante de empresas (4) con este componente “Insatisfactorio”
•“Ambiente interno”: componente que requiere un mayor esfuerzo por parte de los bancos.

Situación a diciembre de 2010

 Gestión de la continuidad de negocios en los bancos
del SFP
Políticas y organización
100%

80%
Pruebas de continuidad del Análisis de impacto y
negocio 60% evaluación de riesgos

40%

20%

0%

Planes de emergencia Plan de gestión de crisis

Planes de recuperación de Planes de continuidad del

servicios de T.I. negocio

Nivel de Implementación
Situación a febrero de 2011
 Gestión de la seguridad de la información en los bancos
del SFP

Políticas y organización
100%

Gestión de activos de 80%

Seguridad de personal
información y tecnología
60%

40%

20%
Gestión de incidentes de
0% Seguridad lógica
seguridad

Seguridad en el desarrollo
Seguridad fisica y
y mantenimiento de
ambiental
sistemas

Seguridad de las
operaciones y
comunicaciones

Situación a febrero de 2011 Nivel de Implementación

 Situación de base de datos de eventos de pérdida
Antigüedad de información recolectada

El 89% de los bancos (16) aseguran contar

con información completa y confiable con
una antigüedad mayor a 2 años

Cinco bancos (28%) contarían con

información confiable con una antigüedad
igual o mayor a 4 años.

Basado en cuestionario enviado a los 18 bancos del SFP

Pérdidas por Línea de Negocio
Requerimiento de Capital
 Requerimiento de Capital
Capital Regulatorio Capital regulatorio tiene por fin asegurar que bancos soporten
>= 10.0% importantes pérdidas sin causar una crisis bancaria que podría
amenazar la integridad del sistema financiero
APRC + APRM + APROp

Importante
El APR por riesgo operacional deberá ser multiplicado por un factor según tabla

CAMBIOS PROPUESTOS A LA RES. 2115-2008

Periodo Factor de ajuste Tope del 25%

Julio de 2009 - Junio de 2011
Julio de 2011 – Junio de 2012
Julio de 2012 – En adelante
0,40 El requerimiento patrimonial por riesgo operacional será como máximo el
25% de los requerimientos patrimoniales por riesgo de crédito y de
0,50 mercado. Es decir, no tienen que reservar el capital que excede ese límite.
1,00
Nuevo Cronograma de Factor de Ajuste
En la norma anterior, a partir de julio de 2012 tenían que cambiar el factor
de ajuste de 0.5 a 1. Propuesta:

•De julio 2012 a junio 2013: Factor de ajuste = 0.6

•De julio 2013 a junio 2014: Factor de ajuste = 0.8
•De julio 2014 en adelante: Factor de ajuste = 1
ENFOQUES
CAPITAL RIESGO OPERACIONAL
Facilidad para
Implementar

Método del Indicador

Básico

Método Estándar y
Estándar Alternativo

Método Avanzado

Sensibilidad al
riesgo

El regulador puede crear incentivos para que, con el fin que el

requerimiento de capital sea más sensible al riesgo, las empresas
tiendan hacia el método avanzado
 A Octubre 2011, el patrimonio requerido por riesgo
operacional supera los S/. 800 millones en el sistema
financiero. El requerimiento se constituye de manera
progresiva

Res. SBS N° 2115-2009 Dic. 2010 6 bancos

Requerimiento de y 1 financiera en Dic. 2011 7 bancos
patrimonio efectivo por Método Estándar y 1 financiera en
riesgo operacional Método Estándar

Inicio de Vigencia Nuevo cronograma

de Res. 2115 de factor de ajuste

0.4 0.4 0.5 Factor de

ajuste
Abril 2009

Julio 2009

Julio 2012
Julio 2010

Julio 2011
Autorización de Método Estándar Alternativo
ACCIONES
ACTIVIDADES PREVIAS PROCESO FORMAL
COMPLEMENTARIAS

Empresa manifiesta interés y SBS recibe solicitud de Evaluaciones periódicas para

remite autoevaluación autorización evaluar situación de acciones
requeridas

SBS evalúa información remitida Se realiza la evaluación:

por empresa - Reuniones de trabajo
- Validación en Línea de Negoc
- Solicitud de información
complementaria
Reunión para informar de
resultados de evaluación
SBS emite Resolución con
resultado
Empresa inicia
proceso de
mejora Autorizando Denegando

Empresa prepara solicitud de Indefinida

autorización:
-Declaración de cumplimiento Con plazo definido
-Informe de Cumplimiento (Oficio con acciones Requeridas)
Aspectos evaluados en autorización ASA
EVALUACION ADICIONAL EN
REQUISITOS PARA METODO ASA
CONTINUIDAD DEL NEGOCIO

R1: Participación activa del Directorio y la Gerencia Políticas y organización para GCN
General. Análisis de impacto y evaluación
R2: Función de gestión del riesgo operacional. Plan de gestión de crisis
R3: Programa de capacitación profesional. Planes de continuidad
R4: Metodología para la gestión del riesgo operacional. Planes de emergencia
R5: Recursos suficientes. Plan de recuperación de servicios
R6: Reportes periódicos sobre exposición al riesgo Pruebas de continuidad del negocio
operacional.
EVALUACION ADICIONAL EN SEGURIDAD
R7: Procedimientos para asegurar cumplimiento.
DE LA INFORMACION
R8: Incentivos a la apropiada gestión del riesgo
operacional. Políticas y organización para GSI
R9: Base de datos de eventos de pérdida por riesgo Gestión de activos
operacional. Seguridad de personal
R10: Gestión de la continuidad del negocio. Seguridad lógica
R11: Gestión de la seguridad de la información. Seguridad física y ambiental
R12: Revisión periódica independiente por Auditoría
Seguridad de operaciones y comunicación
Interna.
R13: Revisión periódica de una Sociedad de Auditoría Seguridad en el desarrollo
Externa. Gestión de incidentes.
Herramientas de Supervisión
 Team Risk
Objetivos de Evaluación
1. Ambiente interno
Aspectos a Evaluar
2. Establecimiento de objetivos OBJETIVO 1
3. Identificación de riesgos 1. Participación del Directorio
4.
5.
Evaluación de riesgos
Tratamiento
...
2. Participación de la Gerencia

6. Actividades de control Por cada

7. Información y comunicación
8. Monitoreo
Objetivo ...
OBJETIVO 2

9. Gestión de proyectos

Se
evalúa
según

Calidad (X)
Cerca mejor práctica 1
Adecuado 2
Necesita Mejora 3
Req. de Acción Supervisora = F (X, Y) Insatisfactorio 5
No se conoce 6

Conocimiento de la Importancia (Y)

Empresa Consolidando Y Poco Importante 1
Puntuaciones 3 13.96 16.60 18.37 20.87 21.85 Importante 2
2 12.61 15.00 16.60 18.86 19.74 Muy Importante 3
Acciones Supervisoras 1 10.61 12.61 13.96 15.85 16.60
1 2 3 4 5 X

(De 15.1 a 17 )
Modelo de Implementación Team Risk
Formula de Puntuación
Permite determinar una medida de criticidad, la que se utiliza para priorizar los proyectos
necesarios para el cumplimiento de los objetivos previamente definidos.

Fórmula de Puntuación Utilizada (Ver Detalle)

Límite Límite
Menor Mayor
RANGOS Exigente
Enfoque Exigente S Moderado

Score = f (C, I) Posibles Resultados de S Enfoque Moderado Flexible

Enfoque Flexible

Bajo Medio Alto

C,I

Bajo un Enfoque Exigente

Sci
Score (C) = α (p . Ci )^ (1/α) Score = (α.β) . (p. C)^ (1 / prom(α, β)) . [(1-p).I] ^ (1 / prom(α, β))

Ci RS(Nri),
S(C)
RS(Gi)
S(I)
αóβ=4
Sci
αóβ=3
Score(I) = β [(1-p) . Ii] ^ (1/β) αóβ=2

Ii
C,I
Nri,G i

Gráfico N° 2
Clasificación de empresas
Informe de Gestión por WEB

Contenido Aplicación web utilizada desde el 2007 para el envío del

informe anual de gestión de riesgo operacional. Se está
realizando la actualización de la información requerida.
Ventajas

• Conocer la gestión del riesgo operacional que realizan las

empresas, a través de información actualizada y completa.

• Recolectar información estándar actualizada.

• Comunicar nuestras expectativas supervisoras.

• Realizar evaluaciones sectoriales

Inicio de operación : Marzo 2012

Se comunicará en forma previa mediante un oficio
33
Líneas de negocio y tipo de producto

34
Risk Manager

Cada pregunta se asocia a AUTOEVALUACION 1

uno o más aspectos a Criterio1
ASPECTOS DE evaluar Criterio2
EVALUACION Criterio N
AUTOEVALUACION 2
Aspecto Evaluar 1
Aspecto Evaluar 2 Criterio1
. Criterio2
. Criterio N
.
Aspecto Evaluar N
WORKFLOW
Coordinador
define acción y
Reportes de Gestión monitorea

• Situación de empresa y
Evaluador realiza
sector
• Monitoreo del Workflow acción y actualiza
respuesta

35
Reportes de Gestión por Empresa
Proyecto: Central de eventos de pérdida: CPRO
Objetivo: Obtener información para evaluar fuentes de pérdidas por riesgo
operacional, mejorar las competencias de los sistemas supervisados para
gestionar este riesgo y facilitar el desarrollo de modelos avanzados
 Ejercicios sectoriales de continuidad de negocios
(en estudio)
Nivel de preparación de las empresas
ante un evento de contingencia

A nivel individual A nivel sectorial

Empresas
Sólo supervisadas y
empresas otros como:
supervisadas BCR, MEF,
Telcos, otros

Verificado mediante Verificado mediante

supervisión ejercicios sectoriales

Funciona ?
Los ejercicios sectoriales son el único medio para conocer el nivel de preparación
de los sistemas supervisados ante eventos de contingencia de gran impacto
GRACIAS