Upload
vuongtu
View
218
Download
0
Embed Size (px)
Citation preview
Slide 3PricewaterhouseCoopers
Abril 2009
Evolución de la administración de riesgos
1980’s
Crédito
Gestión deRiesgos
Crediticios
Mediados -1990’s
Crédito
Mercado
Gestión deRiesgos
Financieros
Fines 1990’s+
Crédito
Mercado
Estrategia
Operación
Administraciónde RiesgosIntegrada
Administración integral del riesgo
Slide 4PricewaterhouseCoopers
Abril 2009
Toda entidadexiste para
generar valor parasus stakeholders
El valor es creado, destruidoo preservado por las decisiones
gerenciales desdela estrategia hasta la
operación del día a día
Objetivos organizacionales
Administrando loseventos futuros quecrean incertidumbres
Respondiendo parareducir pérdidas
inesperadas y tomaroportunidades
valor
ERM
ERM: El punto de partida es definir el marco de administracióndel riesgo...
Slide 5PricewaterhouseCoopers
Abril 2009
ERM: El punto de partida es definir el marco de administracióndel riesgo...
Relación valor, incertidumbre, eventos, riesgo y oportunidad
Negocio Eventos
Riesgo
Oportunidad
Factoresexternos
Factoresinternos
IncertidumbreObjetivos(creaciónde valor)
Accionistas
Stakeholders
Impacto negativosobre objetivos
Impacto positivosobre objetivos
Slide 6PricewaterhouseCoopers
Abril 2009
No elimina los riesgos….Permite administrarlos
Administrando loseventos futuros quecrean incertidumbres
Respondiendo parareducir pérdidas
inesperadas y tomaroportunidades
valor
ERM
ERM: El punto de partida es definir el marco de administracióndel riesgo... aparece un nuevo lenguaje para el riesgo
Slide 7PricewaterhouseCoopers
Abril 2009
ERM: Marco de administración del riesgo
1. CULTURA 2. GESTIÓN CUALITATIVA 3. GESTIÓN CUANTITATIVA
Concientización sobrela importancia de la
administración del riesgo
Identificación deriesgos, mapa de riesgos
y respuestas/controles
Definición de laestructura organizativa
y políticas
Desarrollo de indicadoresy auto-evaluaciones
Captura de datosy mantenimiento
Desarrollo delmodelo de
cuantificación
Cálculo del capitalcon modelosavanzados
Integración
FASES DE UN PROYECTO DE ERM
Dentro de la combinación adecuada, todos estos pasos deben sercomplementados para lograr un Marco de Gestión Integral del Riesgo ...
Slide 8PricewaterhouseCoopers
Abril 2009
Entendimiento y mapeo integral de todoslos riesgos de la entidad
Establecimiento de contratos de gobiernoacerca de funciones
Cumplimiento
Transformar datos de riesgos eninformación y conocimiento
Uso de la información para la tomade decisiones
Protección del negocio
u Conocer el impacto de los riesgos en lacreación de valor – Capital Económico
Generación de valor para la organización
ERM en empresas líderes: En principio existe un camino críticopara administrar el riesgo...
Slide 9PricewaterhouseCoopers
Abril 2009
Establish initial customerdetails (if existingcustomer, access
records) name addresscontact number unique
ID
Establish initial customerdetails (if existingcustomer, access
records) name addresscontact number unique
ID
StartStart
Establishenquirers needs
and wants.Gather anypreliminaryinformationrelevant to
enquiry
Establishenquirers needs
and wants.Gather anypreliminaryinformationrelevant to
enquiry
Existingcustomerservice
Existingcustomerservice
torelevantprocess
torelevantprocess
Determinerelevant solutions
Determinerelevant solutions
no
Newproduct
application
Newproduct
application
Go toapplication
Go toapplication
no
Informationonly
Informationonly
Furtherrequirements
Furtherrequirements
Determinerelevant solutions
and provideinformation
Determinerelevant solutions
and provideinformation
yes
yes
no
yes
Stillinterested
Stillinterested
Have asolution
Productselection andcomparisons
Productselection andcomparisons
Third partyThird party
Notify nosolution
Notify nosolution
Collate datainform
marketing
Collate datainform
marketing
Recordreason why
not accepted.
Recordreason why
not accepted.
End
no
no
yes
yes
essential detailsfact find
essential detailsfact find
Procesos críticosde negocio
Datos pérdidainterna
Análisis datos pérdida
Reportes KRI
Datospérd. ext
Reportes Incidentes
Análisisescenarios
Auto-evaluaciones
Gestión Tablero de Comando
ERM en empresas líderes: Un ejemplo de la forma en queintegran todos sus esfuerzos…
Slide 10PricewaterhouseCoopers
Abril 2009
ERM: El punto de partida es definir el marco de administracióndel riesgo… y considerar las limitaciones actuales
Los objetivos pueden ser vistos en elcontexto de cuatro categorías
Ocho componentesinterrelacionados
Considera lasactividades de
todos los niveles dela organización
Qué
Dónde
Alineado con
Slide 11PricewaterhouseCoopers
Abril 2009
Análisis del Plan de Adecuación del Reglamento de la GestiónIntegral de Riesgos
PRIMERA ETAPA
Fase 1: Diagnóstico preliminarEstablecer el diagnóstico preliminar dela situación existente en el Banco.
Fase 2: Análisis del Plan deAdecuación.Identificar, evaluar y priorizar lasactividades previstas para la totaladecuación del Plan.
Fase 3: Elaboración del Plan deAdecuación de la Gestión Integral deRiesgos.
Plan de Adecuación
El Banco realizó un diagnostico de lasituación actual de la gestión de riesgos,el cual está comprendido en el “Plan deAdecuación de Gestión Integral deRiesgos”,
Se priorizaron las actividades del plan deadecuación según el criterio del personaldel equipo de GIR.
El Banco presentó el Plan de Adecuacióna la Gestión Integral de Riesgos, deacuerdo a la Resolución SBS N° 037-2008
Situación Actual
Gestión Integral de Riesgos – Análisis del Plan
Oportunidad de Mejora
Slide 12PricewaterhouseCoopers
Abril 2009
Análisis del Plan de Adecuación del Reglamento de la GestiónIntegral de Riesgos
SEGUNDA ETAPAAdecuación a las disposiciones dela SBSFase 1: Conformación de un Comité deRiesgos.
Fase 2: Análisis y Adecuación de laestructura actual de Gestión deRiesgos.
Plan de Adecuación
Se revisó las actas de reunión del equipoGIR, donde se propone la modificación a“Comité de Riesgos”. Asimismo, el“Reglamento del Comité de Riesgos”, fueaprobado en sesión de Directorio.
El Banco cuenta con dos Divisiones deRiesgos, para la gestión de todos losriesgo que enfrenta. Asimismo, cuentacon normativas para la gestión de cadauno de los tipos de riesgos. Sin embargo,no se han designado responsables parala gestión de los riesgos de Reputación yEstratégicos. A su vez, en el Manual dePolíticas y Procedimientos dePlaneamiento Estratégico, no seespecifica el análisis de riesgosestratégicos, ni se hace referencia a lametodología utilizada para el mismo.
Situación Actual
Gestión Integral de Riesgos – Análisis del Plan
• Revisar la estructura de la Gestión deRiesgos del banco, con la finalidad deotorgarle una independencia yautonomía sobre las diferentesunidades de negocio del banco.(MP)
• Definir los responsables de la gestiónde riesgos estratégicos yreputacionales.(CR)
• Complementar el Manual de Políticasy Procedimientos de PlaneamientoEstratégico con el análisis de riesgosestratégicos.(CR)
Oportunidad de Mejora
Slide 13PricewaterhouseCoopers
Abril 2009
Análisis del Plan de Adecuación del Reglamento de la GestiónIntegral de Riesgos
Plan de Adecuación
El Manual de la Gestión Integral deRiesgos incluye políticas y normasgenerales, falta complementar con lafilosofía del Banco.
Se realizan evaluaciones de desempeñodel personal. Sin embargo, no incluyentemas de gestión integral de riesgos.
Situación Actual
Gestión Integral de Riesgos – Análisis del Plan
• Debe complementarse el Manual dela Gestión Integral de Riesgos con lafilosofía de administración de riesgosdel Banco.(MP)
• Asimismo se debe difundir a todo elpersonal, dichas políticas, incluyendoroles, responsabilidades.(MP)
• Ser deben incorporar en lasevaluaciones de desempeño delpersonal, criterios que permitan incluiren dicha evaluación los aspectosasociados a la Gestión Integral deRiesgos, dependiendo del nivel ygrado de participación de lapersona.(MP)
Oportunidad de Mejora
Slide 14PricewaterhouseCoopers
Abril 2009
Análisis del Plan de Adecuación del Reglamento de la GestiónIntegral de Riesgos
Fase 3: Modificación de las NormativasInternas, adecuados al cumplimiento delos principales componentes de la GIR.
Fase 4: Definición de procedimientos yasignación de responsabilidades parafijar los objetivos generales yespecíficos del Banco.
Plan de Adecuación
Se realizaron las modificaciones a lassiguientes normas del Banco,adecuándolas a la Resolución SBS N°037-2008:• MPP de Gestión Integral de Riesgos.• Reglamento de Comité de Riesgos.• MPP de Planeamiento Estratégico.• MPP de Adquisiciones y Contrataciones.• Incentivos para la Gestión de Riesgos.• Circular de Sistema de Denuncias.
Se definieron los responsables de lafijación de objetivos en el desarrollo delplan estratégico del Banco. Asimismo, enel Balanced Scorecard, se definen losresponsables del seguimiento de losprincipales indicadores.
Situación Actual
Gestión Integral de Riesgos – Análisis del Plan
• El Manual de la GIR debe incluir lasreferencias a los Manuales existentespara la gestión de cada tipo deriesgo.(MP)
• Establecer un sistema de incentivosde acuerdo a las necesidades delBanco, alineado con la evaluación deldesempeño del personal.(MP)
Oportunidad de Mejora
Slide 15PricewaterhouseCoopers
Abril 2009
Análisis del Plan de Adecuación del Reglamento de la GestiónIntegral de Riesgos
Fase 5: Diseño del plan decapacitación
Plan de Adecuación
El Banco ha desarrollado un plan decapacitación interna para el año 2009,referente a Gestión Integral de Riesgos,el cual se divide en tres niveles:Estratégico, Táctico/Funcional yOperativo. Sin embargo, no cubre todoslos aspectos considerados inicialmente,tales como:• Filosofía de la GIR.• Apetito al riesgo.• Tolerancia al riesgo.• Responsabilidades de la GIR.
Situación Actual
Gestión Integral de Riesgos – Análisis del Plan
• Complementar los programas decapacitación con los temas referidosa GIR.(MP)
• Planificar y completar las sesiones decapacitación que han sidopostergadas y las que se encuentranprogramadas a futuro, coordinandocon los distintos involucrados tiemposy recursos para su efectivaejecución.(CR)
Oportunidad de Mejora
Slide 16PricewaterhouseCoopers
Abril 2009
Análisis del Plan de Adecuación del Reglamento de la GestiónIntegral de Riesgos
Fase 6: Definición de cambios ynuevos procedimientos adaptados a laGIR, en el proceso de identificación deriesgos.
Fase 7: Definición de cambios ynuevos procedimientos adaptados a laGIR, en el proceso de evaluación deriesgos.
Fase 8: Definición de cambios ynuevos procedimientos adaptados a laGIR, en el proceso de tratamiento deriesgos.
Plan de Adecuación
Se ha desarrollado una metodología parala identificación de riesgos operacionales.Sin embargo, no se han desarrolladometodologías para la identificación deriesgos de reputación y estratégicos.
Se ha desarrollado la metodología deevaluación de los riesgos operacionales,considerando la criticidad bajo los nivelesde impacto y frecuencia. Sin embargo, nose ha desarrollado metodologías deevaluación para los riesgos de reputacióny estratégicos.
Aún no se ha implementado lametodología establecida en el Manual dePolíticas y Procedimientos de RiesgoOperacional.No se ha desarrollado metodologías parael tratamiento de los riesgos dereputación y estratégico.
Situación Actual
Gestión Integral de Riesgos – Análisis del Plan
• Desarrollar un Manual de Políticas yProcedimientos de RiesgoReputacional y Estratégico.(CR)
• Establecer los niveles de apetito ytolerancia al riesgo para los riesgosde reputación, estratégicos yoperacionales.(CR)
Oportunidad de Mejora
Slide 17PricewaterhouseCoopers
Abril 2009
Análisis del Plan de Adecuación del Reglamento de la GestiónIntegral de Riesgos
Fase 9: Definición de actividades decontrol adaptadas a las GIR.
Fase 10: Definición de actividades deInformación y Comunicación adaptadasa las GIR.
Plan de Adecuación
Aún no se han identificado los controlesexistentes de los riesgos operacionalesidentificados. No se han desarrolladopolíticas y procedimientos para el controlde los riesgos de reputación yestratégicos.
El Banco no cuenta con un sistema dealertas basado en KRI´s, que permitamonitorear los riesgos clave, así comotomar medidas correctivas.
El Banco cuenta con una base de datosde Normas en Línea, asimismo, cuentacon canales de comunicación interna yexterna. Es necesario establecer losprocedimientos que permitan laelaboración de los nuevos reportes de laGIR que deben ser presentados a la SBS,como son el informe anual y ladeclaración que tiene que realizar elDirectorio .
Situación Actual
Gestión Integral de Riesgos – Análisis del Plan
• Definir la metodología yprocedimiento para el uso de KRI´s(Key Risk Indicators) para elmonitoreo de los riesgos más críticos,los cuales deberán complementar elTablero de Control desarrollado por elBanco.(MP)
• Incluir en la Memoria Anual delBanco, un resumen ejecutivo del nivelde adecuación a la GIR.(CR)
• Desarrollar mecanismos de Difusiónque permitan generar un mayorentendimiento y compromiso delpersonal para una adecuada gestiónintegral de riesgo.(MP)
Oportunidad de Mejora
Slide 18PricewaterhouseCoopers
Abril 2009
Análisis del Plan de Adecuación del Reglamento de la GestiónIntegral de Riesgos
Fase 11: Definición de las Actividadesde Monitoreo.
Fase 12: Establecimiento de unsistema de incentivos.
Plan de Adecuación
El Banco tiene definidos los indicadoresde gestión para el monitoreo delcumplimiento del plan estratégico. Sedeberá considerar la implementación derevisiones independientes, además de larevisión del cumplimiento normativo, paraverificar el nivel de implementación yfuncionamiento de cada uno de los ochocomponentes que conforman el marcopara la GIR .
Se ha desarrollado una circular “sistemade incentivos de la Gestión Integral deRiesgos”, la cual establece niveles deincentivos y los criterios para el cálculo.Sin embargo, no se han obtenido losresultados esperados.
Situación Actual
Gestión Integral de Riesgos – Análisis del Plan
• Establecer como parte de la agendadel Comité de Gerencia y ComitéEjecutivo el seguimiento a laejecución del plan de adecuación a laGestión Integral de Riesgos en elBanco. Asimismo, definir laperiodicidad de la presentación yresponsables de efectuar revisionesindependientes e informar losresultados a estos Comités.(MP)
• Establecer un sistema de incentivosde acuerdo a las necesidades delBanco.(MP)
Oportunidad de Mejora
Slide 19PricewaterhouseCoopers
Abril 2009
Análisis del Plan de Adecuación del Reglamento de la GestiónIntegral de Riesgos
Fase 13: Normar la obligación deelaborar y presentar al Directorio, conperiodicidad anual un Plan deCapacitación para los integrantes de laDivisión de Riesgos.
Fase 14: Elaborar un procedimientopara, determinar cuales son losprocesos subcontratados por terceroscon mayor criticidad.
Fase 15: Establecimiento deprocedimientos adecuados para facilitarla oportuna denuncia e investigación deactividades ilícitas o fraudulentas.
Plan de Adecuación
Se ha elaborado un plan de capacitaciónde GIR para Directores, Coordinadores ycolaboradores, sin embargo, no se hadesarrollado un plan específico para laDivisión de Riesgos.
Se desarrolló una circular para identificarlas subcontrataciones significativas.
Se desarrolló una circular de denunciasde prácticas cuestionables, en la cual sedetalla el procedimiento para suinvestigación.
Situación Actual
Gestión Integral de Riesgos – Análisis del Plan
• Elaborar un plan de capacitación parala División de Riesgos, según lasnecesidades identificadas por el jefede departamento.(CR)
• Definir los criterios de clasificación desubcontrataciones significativas.Asimismo, definir los responsables desu designación.(MP)
• Elaborar un procedimiento formal desubcontrataciones en el banco, elcual establezca el análisis deriesgos.(MP)
• Complementar el procedimientoestablecido para la denuncia deprácticas cuestionables paragarantizar la confidencialidad deldenunciante si así lo desea.(MP)
Oportunidad de Mejora
Slide 20PricewaterhouseCoopers
Abril 2009
Análisis del Plan de Adecuación del Reglamento de la GestiónIntegral de Riesgos
Fase 16: Elaboración y documentaciónde plazos para la declaración decumplimiento que el Directorio.
Plan de Adecuación
Se ha establecido en el Manual deGestión Integral de Riesgos como políticala declaración de cumplimiento delDirectorio referente a GIR.
Situación Actual
Gestión Integral de Riesgos – Análisis del Plan
• Elaborar un modelo de informe parala Declaración de cumplimiento delDirectorio referente a la GIR apresentarse a la SBS.(CR)
Oportunidad de Mejora
Slide 21PricewaterhouseCoopers
Abril 2009
Nivel de avance del plan de adecuación – Normativa SBS
0% 25% 50% 75% 100%
Fase 1
Fase 2
Fase 3
Fase 4
Fase 5
Fase 6
Fase 7
Fase 8
Fase 9
Fase 10
Fase 11
Fase 12
Fase 13
Fase 14
Fase 15
Fase 16
Gestión Integral de Riesgos – Análisis del Plan
Banco de Comercio
PwC
Slide 22PricewaterhouseCoopers
Abril 2009
Nivel de avance del plan de adecuación – Mejores prácticas
0% 25% 50% 75% 100%
Fase 1
Fase 2
Fase 3
Fase 4
Fase 5
Fase 6
Fase 7
Fase 8
Fase 9
Fase 10
Fase 11
Fase 12
Fase 13
Fase 14
Fase 15
Fase 16
Gestión Integral de Riesgos – Análisis del Plan
Banco de Comercio
PwC
Slide 24PricewaterhouseCoopers
Abril 2009
Análisis GAP
1.- Definición de Riesgo Operacional
El Banco cuenta con una definición de riesgo operacional deacuerdo con las exigencias de la Superintendencia de Banca,Seguros y Administradoras Privadas de Fondos de Pensiones(SBS).
2.- Administración de los aspectos que originan el riesgooperacional.
3.- Eventos de pérdida asociados con el riesgo operacional.El Manual de Políticas y Procedimientos de riesgooperacional, asocia los tipos de eventos al riesgo operacional,los cuales son clasificados de la siguiente manera:• Riesgos de personas/relaciones:• Riesgos de procesos:• Riesgos de sistemas:• Riesgo de evento externo/activos físicos:Asimismo considera los criterios a tomar en cuenta para lacaptura y registro de los eventos de pérdida, así como losformatos para su aplicaciónEsta asociación de los eventos con el riesgo operacional, estáalineada con lo establecido en la Resolución SBS N° 2116-2009.
Normatividad y Mejores Prácticas
Riesgo Operacional – Gestión del riesgo operacional
El Manual de Políticas y Procedimientos de RiesgoOperacional, no contiene esta definición.
El Manual de Políticas y Procedimientos de riesgo operacionaldel Banco, establece como aspectos que originan el riesgooperacional, los siguientes: procesos internos, tecnología dela información, personas, eventos externos y riesgo legal.
El Banco no cuenta con una base de eventos de pérdida deriesgos operacionales.
Los coordinadores de riesgos no utilizan las tablas de eventospara reportar los riesgos y eventos identificados. Esta tablaestará incorporada en el software que se ha adquirido.
Dentro de las presentaciones revisadas de los cursos decapacitación realizados, no se muestran las tablas declasificación de eventos.
El Banco no realiza conciliaciones sistemáticas de lainformación contable con la información de eventos depérdida.
GAP
Slide 25PricewaterhouseCoopers
Abril 2009
Análisis GAP
4.- Roles y Responsabilidades
a) Del DirectorioEl Manual de Políticas y Procedimientos de RiesgoOperacional, establece las funciones y responsabilidades delDirectorio. Asimismo, indica algunas funciones del Directorioaplicables a todos los riesgos que enfrenta el Banco. Entresus funciones se encuentran:
- La definición de las políticas.
- Asignación de recursos para la gestión del riesgooperacional. Para ello se cuenta con herramientas, apoyoexterno y personal asignado en el Departamento deAdministración de Riesgos.
- Establecer un sistema de incentivos que fomente laadecuada gestión del riesgo.
Normatividad y Mejores Prácticas
Aún no se han implementado en su totalidad las siguientespolíticas:
-Identificación y evaluación de riesgos en todos los procesosdel Banco.-Políticas de Monitoreo, no hay procedimiento para elseguimiento de las observaciones realizadas por riesgooperacional.-Política de control y mitigación, hasta el momento solo se hallegado a las etapas de identificación y evaluación de riesgos.
Se define incentivos para Coordinadores y colaboradores engeneral. Dado que por política no pueden otorgarse incentivoseconómicos, se otorgan reconocimientos que si bien sonaceptados no causan el efecto deseado.
GAP
Riesgo Operacional – Gestión del riesgo operacional
Slide 26PricewaterhouseCoopers
Abril 2009
Análisis GAP
- Conocer los principales riesgos que afronta la entidad,estableciendo los niveles de apetito y tolerancia
- Establecer un sistema adecuado de delegación defacultades y segregación de funciones
Normatividad y Mejores PrácticasSi bien los informes al Comité de Riesgos consideranaspectos de normativa, patrimonio, riesgos identificados, noconsideran el monitoreo de los principales riesgos.
No se han definido a la fecha los niveles de apetito ytolerancia al riesgo operacional.
Se ha establecido la estructura de la División de Riesgos, lacual involucra tareas operativas.
Se han establecido coordinadores por área, pero no se halogrado aún el compromiso del personal del Banco en lagestión del riesgo operacional, no estando centralizadas lasacciones de los coordinadores por un analista de riesgooperacional.
Por otro lado, no se realizan evaluaciones de riesgos antecambios en la estructura organizacional del Banco, con lafinalidad de identificar problemas de segregación de funciones
GAP
Riesgo Operacional – Gestión del riesgo operacional
Slide 27PricewaterhouseCoopers
Abril 2009
Análisis GAP
- Aseguramiento de una adecuada gestión del riesgooperacional y que los principales riesgos se encuentren bajocontrol dentro de los límites establecidos
b) De la GerenciaEn el Manual de Políticas y Procedimientos de RiesgoOperacional, se establecen las funciones y responsabilidadesde la Gerencia General y jefaturas de divisiones y oficinas delBanco. Asimismo, en el Manual de Gestión Integral deRiesgos, se establecen las funciones y responsabilidades dela Gerencia General y de los órganos de línea respecto a losdiferentes riesgos a los que está expuesto el Banco.
- La Gerencia General tiene la responsabilidad deimplementar la gestión del riesgo operacional conforme a lasdisposiciones del Directorio, lo cual está definido en el Manualde Políticas y Procedimientos de Riesgo Operacional
Normatividad y Mejores PrácticasAún no se han definido los niveles de apetito y tolerancia a losriesgos operacionales por lo que no es factible aplicar estoscriterios y hacer el monitoreo de los principales riesgosoperacionales.
No se recibe retroalimentación a los informes enviados a lasáreas involucradas con los principales riesgos y lasrecomendaciones para su mitigación.
Tampoco se realiza seguimiento a las recomendacionesincluidas en los informes de riesgos.
GAP
Riesgo Operacional – Gestión del riesgo operacional
Slide 28PricewaterhouseCoopers
Abril 2009
Análisis GAP
-Los gerentes de las unidades organizativas de negocios o deapoyo tienen la responsabilidad de gestionar el riesgooperacional en su ámbito de acción, dentro de las políticas,límites y procedimientos establecidos.
c) Comité de Riesgos
El Banco establece las funciones del Comité de Riesgos enbase a la Resolución SBS N° 037-2008, dentro de su Manualde Gestión Integral de Riesgos. Asimismo, en el Manual dePolíticas y Procedimientos de Riesgo Operacional, se indicanlas funciones del Comité específicamente para este tipo deriesgo.
d) Unidad de Riesgos
Normatividad y Mejores PrácticasSe observó que no se han implantado todas las fases de lametodología de riesgo operacional en todos los procesos delBanco.
En las presentaciones realizadas en los Comités de Riesgos,se presentan los resúmenes de los informes de riesgosoperacionales presentados a las demás áreas. Sin embargo,no se toma en consideración el seguimiento a lasrecomendaciones realizadas en anteriores informes, ni a losriesgos más críticos.
En el Manual de Organización y Funciones de la División deRiesgos, se establecen las funciones de la División deRiesgos y del Departamento de Administración de Riesgos,sin embargo, este manual también deberá hacer referencia alManual de Descripción de Puestos.
Se cuenta con coordinadores de riesgo operacional en lasdiferentes áreas del Banco, sin embargo, no se han definidoslos criterios para su selección.
GAP
Riesgo Operacional – Gestión del riesgo operacional
Slide 29PricewaterhouseCoopers
Abril 2009
Análisis GAP
4.5.- Funciones de la Unidad de Riesgo
- Proponer políticas para la gestión del riesgo operacional
- Participar en el diseño y permanente actualización delManual de Gestión de Riesgo Operacional. Para lo cual elDepartamento de Administración de Riesgos actualiza ladocumentación relacionada con riesgos operacionales, deacuerdo con las necesidades internas y las exigencias de laSBS.
Normatividad y Mejores PrácticasEn el Manual de Políticas y Procedimientos de RiesgoOperacional, se establece como función del Departamento deAdministración de Riesgos, elaborar y mantener las políticasde administración del riesgo operacional.
Asimismo, el manual establece que la División de Riesgos seencarga de proponer, a las instancias correspondientes, lasmedidas que permitan el control o mitigación del riesgooperacional. Sin embargo, de acuerdo con las mejoresprácticas, esta última función no corresponde a la División deRiesgos, sino a las áreas responsables de los procesos,pudiendo la División de Riesgos actuar como facilitador oasesor metodológico.
GAP
Riesgo Operacional – Gestión del riesgo operacional
Slide 30PricewaterhouseCoopers
Abril 2009
Análisis GAP
- Desarrollar las metodologías para la gestión de riesgooperacional, lo cual se encuentra definido en el Manual.
- Apoyar y asistir a las demás unidades de la empresa para laaplicación de la metodología de gestión del riesgooperacional.
- Evaluación de Riesgo Operacional, de forma previa allanzamiento de nuevos productos y ante cambios importantesen el ambiente operativo e informático.
Normatividad y Mejores Prácticas
Se realizan reuniones de capacitación con los coordinadorespara explicarles la metodología desarrollada. Sin embargo,aún no se ha completado el programa anual debido aproblemas de disponibilidad del personal, así como problemaslogísticos.
Por otro lado, no se realizan reuniones de trabajo y avance dela aplicación de la metodología de gestión de riesgooperacional con los coordinadores de riesgo.
Se verificó que se cuenta con un formato para la identificaciónde riesgos, sin embargo, este formato no es devuelto alDepartamento de Administración de Riesgos con toda lainformación requerida, la cual debe ser complementada por elDepartamento de Administración de Riesgos.
A su vez, las áreas responsables del proceso o producto noparticipan en todas las etapas de la metodología.
GAP
Riesgo Operacional – Gestión del riesgo operacional
Slide 31PricewaterhouseCoopers
Abril 2009
Análisis GAP
- Consolidación y desarrollo de reportes e informes sobre lagestión del riesgo operacional por proceso, o unidades denegocio y apoyo.
- Identificación de las necesidades de capacitación y difusiónpara una adecuada gestión del riesgo operacional.
Normatividad y Mejores PrácticasLa información se envía en forma de presentación para surevisión, sin embargo, debido a la cantidad de temas tratadosen el Comité de Riesgos, se propone el desarrollo de unComité de Riesgo Operacional, a un nivel ejecutivo, quereporte al Comité de Riesgos los resultados de la gestión deeste tipo de riesgos. .
No se presenta información relacionada con los riesgoscríticos y KRI´s (Key Performance Indicador) como puntosnecesarios a ser tratados en los Comités de Riesgos.
El Manual de Políticas y Procedimientos de RiesgoOperacional no establece la responsabilidad de identificaciónde necesidades de capacitación del personal.
Se verificó que el programa de capacitación aprobado para elaño 2008, se cumplió en su totalidad, sin embargo, el planelaborado para el presente año, aún no se ha ejecutadosegún su programación.
Por otro lado, se han dictado capacitaciones pero no se hanlogrado los resultados esperados de compromiso yresponsabilidad para la gestión del riesgo operacional.
GAP
Riesgo Operacional – Gestión del riesgo operacional
Slide 32PricewaterhouseCoopers
Abril 2009
Análisis GAP
5.- Gestión de riesgo operacional
- Manual de Gestión de Riesgo Operacional
- Políticas de Gestión de Riesgo Operacional
- Descripción de la Metodología aplicada para la gestión deriesgo operacional.
Normatividad y Mejores Prácticas
El Banco cuenta con un Manual de Políticas y Procedimientosde Riesgo Operacional, aprobado por el Comité de Riesgos yratificado en sesión de Directorio, el cual no muestra elnúmero de Comité que aprobó dicho manual, ni el número deSesión de Directorio que lo ratificó.
Las políticas establecidas en el Manual de Políticas yProcedimientos de Riesgo Operacional son las adecuadaspara la gestión de riesgo operacional en el Banco, además seadecuan a las exigencias de la SBS, sin embargo, esnecesario difundirlas en todo el personal del Banco.
La metodología establecida en el Manual de Políticas yProcedimientos de Riesgo Operacional, no se aplica en sutotalidad, sólo se ha llegado a la etapa de evaluación deriesgos, quedando pendiente la identificación de los controlesimplantados para mitigar los riesgos, la evaluación residualconsiderando la efectividad de los controles, la definición delas medidas de mitigación y el monitoreo a los riesgosidentificados.
Se cuenta con un criterio de calificación de procesos críticos,sin embargo, no se ha desarrollado un procedimiento para suselección.
GAP
Riesgo Operacional – Gestión del riesgo operacional
Slide 33PricewaterhouseCoopers
Abril 2009
Análisis GAP
- Forma y periodicidad con la que se debe informar alDirectorio y a la Gerencia General, sobre la exposición alriesgo operacional de la empresa y cada unidad de riesgo.
Normatividad y Mejores PrácticasEn la etapa de evaluación de riesgos la metodologíacontempla tres niveles de impacto y tres niveles deprobabilidad (frecuencia), los cuales no coinciden con losutilizados en la matriz de riesgos, cinco niveles de impacto ycinco de probabilidad.
En el Monitoreo de los riesgos, no se establece unametodología de seguimiento mediante el desarrollo deindicadores de riesgo, que permitan un mejor control ymonitoreo de la evolución de los riesgo más críticos en elBanco.
Si bien se presentan informes de riesgo operacional al Comitéde Riesgos, no se realiza un monitoreo de los riesgos conimpacto y probabilidad altos. Asimismo, no se cuenta con unprocedimiento formal que permita realizar un seguimiento dela implementación de las medidas de mitigación.
Las recomendaciones planteadas por el personal del área delDepartamento de Administración de Riesgos, no cuentan conla definición de responsables y fecha de implantación.
GAP
Riesgo Operacional – Gestión del riesgo operacional
Slide 34PricewaterhouseCoopers
Abril 2009
Análisis GAP
6.- Metodología para la gestión del riesgo operacional
- La metodología debe ser implementada en toda la empresaen forma consistente
El Banco cuenta con normativas para la gestión de riesgooperacional, las cuales están a disposición del personalmediante la Intranet. En el Manual de Políticas yProcedimientos de Riesgo Operacional, se establece comoresponsabilidad de todo el personal la gestión de este tipo deriesgo. Asimismo, se incluye en dicho manual, la metodologíade gestión de riesgo operacional.
- La empresa debe asignar recursos suficientes para aplicarsu metodología en las principales líneas de negocio, y en losprocesos de control y de apoyo.
Normatividad y Mejores Prácticas
Riesgo Operacional – Gestión del riesgo operacional
La matriz de riesgos operacionales no ha sido desarrolladapara la totalidad de los procesos del Banco, asimismo, nocuentan con la información de las medidas de mitigaciónimplantadas. A su vez, no se cuenta con información de losplanes de tratamiento para aquellos riesgos que requieran sermitigados, ni con la definición de responsables y fechas deimplementación, lo cual deberá ser adaptado a su vezconsiderando la funcionalidad del software adquiridorecientemente.
Se requiere un mayor grado de participación de la Direcciónen la difusión de la importancia que tiene para el Banco algestión de los riesgos, con la finalidad de crear en le personal,mayor cultura de riesgos y compromiso en la gestión deriesgos
El Banco cuenta con un Departamento de Administración deRiesgos, que dispone de analistas para los distintos tipos deriesgo. Se ha implementado la función de coordinadores deriesgos en cada una de las áreas del Banco. Por otro lado, seha adquirido un software a los fines de implantar la Gestióndel Riesgo Operacional, para el cual se deberá desarrollar unproyecto de implantación, así como una verificación de lasuficiencia de la capacitación recibida.
GAP
Slide 35PricewaterhouseCoopers
Abril 2009
Análisis GAP
-La aplicación de esta metodología debe estar integradadentro de los procesos de gestión de riesgos de la empresa.
-La aplicación de la metodología de gestión de riesgooperacional debe estar adecuadamente documentada.
- Deben establecerse procedimientos que permitan asegurarel cumplimiento de su metodología de gestión de riesgooperacional.
Normatividad y Mejores PrácticasLa aplicación de la metodología no se ha completado en latotalidad de los procesos en el Banco y debe reforzarse lacultura de riesgos.
La documentación que sustenta la aplicación de lametodología es insuficiente, Por ejemplo: no existe undiagrama que comprenda todos los procesos del Banco, nose dispone de documentación que sustente la identificaciónde los controles implantados para mitigar los riesgos, laevaluación del riesgo residual, estrategia de mitigaciónadoptada y los planes de tratamiento y no existedocumentación del monitoreo realizado al proceso de gestiónde riesgo operacional por el Comité de Riesgos y la Divisiónde Riesgos.
El área de Auditoría Interna, utiliza el sistema deobservaciones de auditoría (SOA) donde se emiten informes alas diferentes áreas de acuerdo al nivel de cumplimiento delos procesos.
GAP
Riesgo Operacional – Gestión del riesgo operacional
Slide 36PricewaterhouseCoopers
Abril 2009
Análisis GAP
8.- Subcontratación- Las empresas deberán establecer políticas y procedimientosapropiados para evaluar, administrar y monitorear losprocesos subcontratados
9.- Colaboradores externos
- Auditoría Interna
- Auditoría externa y empresas calificadoras de riesgo
Normatividad y Mejores Prácticas
El Manual de Políticas y Procedimientos de RiesgoOperacional, establece que las jefaturas de Divisiones yOficinas del Banco, responsables de la subcontrataciónsignificativa de servicios externos
Se incluye en los contratos de subcontratación una cláusulade riesgo de subcontratación significativa, sin embargo no seobservó que se haya realizado un análisis de riesgooperacional en alguna subcontratación, especialmente paraservicios críticos.
Se verificó que se enviaron informes mediante el SOArecientemente, los cuales son recibidos por el jefe delDepartamento de Administración de Riesgos. Sin embargo,no se considera para la elaboración de su plan de auditoría lainformación contenida en las matrices de riesgos. Asimismo,no existe una retroalimentación por parte de Auditoría Internaen cuanto al resultado de sus evaluaciones de la efectividadde los controles implantados, ni un reporte de eventos depérdida por riesgo operacional de los que tomenconocimiento.
No tuvimos acceso a la carta de control interno emitida por elauditor externo, ni a los informes de calificadoras de riesgos.
GAP
Riesgo Operacional – Gestión del riesgo operacional
Slide 37PricewaterhouseCoopers
Abril 2009
Análisis GAP
Método del indicador básico (MIB)
- Definición del indicador de exposición por riesgo operacional(Margen Operacional Bruto) y Cuentas del Manual deContabilidad
El Banco de Comercio, ha definido el indicador de exposiciónpor riesgo operacional, para el MIB a través del“Requerimiento Autorización Cálculo Capital Regulatorio porRiesgo Operacional
- Metodología de anualización del Margen Operacional Bruto
- Cálculo del requerimiento patrimonial
Normatividad y Mejores Prácticas
Riesgo Operacional - Requerimiento de patrimonio efectivo por riesgo operacional
Se debe modificar terminología y cuentas del Manual deContabilidad utilizadas en dicho requerimiento, para alinearsecon la Resolución SBS N°2115-2009.
El Requerimiento Autorización Cálculo Capital Regulatoriopor Riesgo Operacional”, contiene una metodología deanualización del margen operacional bruto que se encuentraen línea con el Anexo 1 de la Resolución SBS N° 2115-2009
Se dispone de un documento donde se especifica la fórmulade cálculo del requerimiento de patrimonio efectivo por riesgooperacional utilizando el MIB, siendo la misma correcta en elsentido matemático. Sin embargo, se deben tener en cuentalos cambios de nomenclatura en las variables utilizadas.
GAP
Slide 38PricewaterhouseCoopers
Abril 2009
Análisis GAP
- Requerimientos de información - MIB
- Procedimiento de cálculo, responsables y funciones
- Validación del Cálculo de requerimiento patrimonial
Normatividad y Mejores Prácticas
El Banco no posee, hasta el momento, un formato pararemitir la información acerca del cálculo del patrimonioefectivo por riesgo operacional a través del MIB
El Banco no dispone de un procedimiento formal que indiquecuáles son las áreas involucradas en el cálculo del patrimonioefectivo por riesgo operacional, así como una descripción delpersonal que se encuentra involucrado en dicho cálculo y lasfunciones específicas de dicho personal.
No se han definido, hasta el momento, validaciones delsistema utilizado para el cálculo del requerimiento patrimonial,ni la periodicidad de las mismas.
GAP
Riesgo Operacional - Requerimiento de patrimonio efectivo por riesgo operacional
Slide 39PricewaterhouseCoopers
Abril 2009
Análisis GAP
Método Estándar Alternativo (ASA)
Requisitos Cualitativos
- Determinación de las líneas de negocio.
Normatividad y Mejores Prácticas
El cumplimiento de los requisitos cualitativos debe serconsiderado como parte fundamental para que la SBS leotorgue al Banco la facultad de utilizar el Método ASA para elcálculo del requerimiento de patrimonio efectivo por riesgooperacional. En este sentido deben cubrirse todos losaspectos mencionados previamente en cuanto a la Gestióndel Riesgo Operacional.
Se dividen las líneas de negocio en líneas de negociodistintas a banca comercial y banca minorista, y en líneas denegocio de banca comercial y banca minorista, de formacorrecta.
El Banco considera A fin de poder generar una mayorcomprensión, debería considerarse la incorporación de ladefinición de cada una de las líneas según el Artículo N° 9 dela Resolución SBS N° 2115-2009. Dichas definicionestambién deberían incorporarse en el procedimiento que sedesarrolle para el cálculo de patrimonio efectivo por el ASA.
GAP
Riesgo Operacional - Requerimiento de patrimonio efectivo por riesgo operacional
Slide 40PricewaterhouseCoopers
Abril 2009
Análisis GAP
- Definición de los indicadores de exposición para líneas denegocio distintas a banca comercial y banca minorista ycuentas del Manual de Contabilidad
- Indicador de Exposición para las líneas de banca comercial ybanca minorista
- Fórmula para el cálculo del indicador de exposición para laslíneas de banca comercial y banca minorista
- Requerimiento de información - ASA
Normatividad y Mejores PrácticasEl Banco de Comercio ha definido correctamente lametodología de cálculo de los indicadores de exposición. Sinembargo, debe cambiar la denominación del indicador“Ingreso bruto anualizado” por “Margen operacionalanualizado”, según el punto a. del Artículo N° 10 de laResolución SBS N° 2115-2009. Las Cuentas Contablesutilizadas para el cálculo del requerimiento de patrimonioefectivo para estas líneas son correctas, sin embargo sedeberá considerar el cambio de Cuentas Contables paracalcular el requerimiento patrimonial a partir del 01 de enerode 2010.
Debe reemplazarse “Saldo de colocaciones y de lasinversiones”, por “Saldo de créditos e inversiones”
La fórmula de cálculo del requerimiento patrimonial por riesgooperacional para el ASA se describe correctamente en eldocumento “Requerimiento Autorización Cálculo CapitalRegulatorio por Riesgo Operacional”.
El Banco de Comercio deberá elaborar un formato de informepara remitir la información acerca del cálculo del patrimonioefectivo por riesgo operacional a través del ASA a la GerenciaGeneral y al Directorio con una frecuencia mensual.
GAP
Riesgo Operacional - Requerimiento de patrimonio efectivo por riesgo operacional
Slide 41PricewaterhouseCoopers
Abril 2009
Situación Actual
0
5
10
15
20
25
Cumple Cumple
Parcialmente
No Cumple
Riesgo Operacional – Formulario de Autoevaluación para el Método ASA
* En este gráfico no han sido considerados los siguientes puntos del formulario de autoevaluación:• Gestión de Continuidad del Negocio.• Gestión de la Seguridad de la Información.