Supervisión del Riesgo Operativo La experiencia de la SBS Perú

1. Supervisión del Riesgo Operativo La experiencia de la SBS Perú Jorge Dominguez Gallegos Julio 2012

2. Agenda • Principales conceptos • Marco Normativo • Diagnóstico sectorial • Gestión del riesgo operacional • Gestión de la continuidad del negocio • Gestión de la seguridad de la información • Base de datos de eventos de pérdida por riesgo operacional • Requerimiento de Capital • Métodos • Proceso de autorización ASA • Herramientas • TeamRisk • Risk Manager • IG-Rop

3. Principales conceptos y definiciones

4. Definición de Riesgo Entendiendo el riesgo como la incertidumbre de los que puede suceder (-) Menor Riesgo (+) Mayor Riesgo • ¿Dónde estaría este riesgo? • Entras corriendo a la terraza de un departamento del piso 20, que sabes que está congelada y no tiene baranda. Fuente: Presentación de ACME Consultora

5. Enfoque tradicional y moderno

6. El riesgo y el negocio financiero CARA: te pagan US$ 130 Compras una oportunidad de lanzar una moneda a US$ 100 SELLO: te pagan US$ 20 Esperanza (E) = 30 * 0.5 + -80 * 0.5 = -25 Fuente: Presentación de ACME Consultora

7. En el negocio financiero 100 90 CARA: Pagan US$ 130 (+30) Accionista gana US$ 30 10 SELLO: Pagan US$ 20 (-80) Accionista sólo pierde US$ 10 Esperanza (E) = 30 * 0.5 + -10 * 0.5 = 10 Fuente: Presentación de ACME Consultora

8. Que hay de Nuevo en la Gestión de Riesgos: Rs = F(V, A) Donde: Rs = Riesgo V = Vulnerabilidad A = Amenaza

9. Amenaza ¿Qué tan amenazada está la empresa por hechos o situaciones que le puedan producir un daño? Entendiendo los factores de riesgo se puede conocer mejor las amenazas

10. Amenaza (A) Posibilidad de que un evento se presente con una cierta intensidad, en un sitio especifico y dentro de un periodo de tiempo definido. • SE PUEDE UTILIZAR: • KRI de los factores de riesgo por línea de negocio • Valor de las pérdidas • Nro. de incidentes frecuentes por sector + +

11. Vulnerabilidad ¿Qué tan vulnerable es una empresa según sus características? B A Considerando su estructura, la empresa A es más vulnerable que la empresa B, ante el mismo evento natural (por ejemplo un terremoto) La gestión de riesgos funciona como un blindaje que hace a la empresa menos o más vulnerable ante eventos que la puedan impactar.

12. Vulnerabilidad (V) ¿Qué tan vulnerable es una empresa? La gestión de riesgos funciona como un blindaje que expone en menor medida a la empresa a posibles amenazas. + + -

13. Indicador de Riesgo (RS) El índice del riesgo operacional estaría en función de la Vulnerabilidad y Amenaza, y estas variables a su vez en 5 variables. V = F(Q1, Q2, Q3) Rs = F(V, A) A = F(Q4, Q5) InRop Q1 Q2 Q3 Q4 Q5

14. Indicador de Riesgo Operacional

15. Marco Normativo

16. Evolución de Regulación en Riesgo Operacional Modificación Norma de Capital Res. SBS N° 3127-2012 2012

17. Gestión del Riesgo Operacional (Res. 2116-2009) Procesos internos Personas Seguridad Información (Circ. G-140) Continuidad del Negocio (Circ. G-139) Tecnología Eventos Externos Patrimonio Efectivo por Riesgo Operacional Res. 2115-2009

18. Diagnóstico Sectorial

19. Gestión del riesgo operacional en los bancos del SFP Gestión del riesgo operacional, evaluada en cada empresas supervisada a través de cada uno de los 8 componentes de la gestión integral de riesgos. Componente adicional, gestión de proyectos. • “Información y comunicación”: componente más desarrollado (15 bancos en “Adecuado”) • “Establecimiento de objetivos”: componente “Adecuado” en un número importante de bancos (9); sin embargo, con número relevante de empresas (4) con este componente “Insatisfactorio” • “Ambiente interno”: componente que requiere un mayor esfuerzo por parte de los bancos. Situación a diciembre de 2010

20. Gestión de la continuidad de negocios en los bancos del SFP Situación a febrero de 2011

21. Gestión de la seguridad de la información en los bancos del SFP Situación a febrero de 2011

22. Situación de base de datos de eventos de pérdida El 89% de los bancos (16) aseguran contar con información completa y confiable con una antigüedad mayor a 2 años Cinco bancos (28%) contarían con información confiable con una antigüedad igual o mayor a 4 años. Basado en cuestionario enviado a los 18 bancos del SFP Pérdidas por Línea de Negocio Antigüedad de información recolectada

23. Requerimiento de Capital

24. Requerimiento de Capital Capital Regulatorio Capital regulatorio tiene por fin asegurar que bancos soporten importantes pérdidas sin causar una crisis bancaria que podría amenazar la integridad del sistema financiero >= 10.0% APRC + APRM + APROp Importante El APR por riesgo operacional deberá ser multiplicado por un factor según tabla • CAMBIOS PROPUESTOS A LA RES. 2115-2008 • Tope del 25% • El requerimiento patrimonial por riesgo operacional será como máximo el 25% de los requerimientos patrimoniales por riesgo de crédito y de mercado. Es decir, no tienen que reservar el capital que excede ese límite. • Nuevo Cronograma de Factor de Ajuste • En la norma anterior, a partir de julio de 2012 tenían que cambiar el factor de ajuste de 0.5 a 1. Propuesta: • De julio 2012 a junio 2013: Factor de ajuste = 0.6 • De julio 2013 a junio 2014: Factor de ajuste = 0.8 • De julio 2014 en adelante: Factor de ajuste = 1

25. ENFOQUES CAPITAL RIESGO OPERACIONAL Facilidad para Implementar Método del Indicador Básico Método Estándar y Estándar Alternativo Método Avanzado Sensibilidad al riesgo El regulador puede crear incentivos para que, con el fin que el requerimiento de capital sea más sensible al riesgo, las empresas tiendan hacia el método avanzado

26. A Octubre 2011, el patrimonio requerido por riesgo operacional supera los S/. 800 millones en el sistema financiero. El requerimiento se constituye de manera progresiva Dic. 2010 6 bancos y 1 financiera en Método Estándar Res. SBS N° 2115-2009 Requerimiento de patrimonio efectivo por riesgo operacional Dic. 2011 7 bancos y 1 financiera en Método Estándar Inicio de Vigencia de Res. 2115 Nuevo cronograma de factor de ajuste Factor de ajuste 0.4 0.4 0.5 Julio 2009 Julio 2011 Julio 2012 Julio 2010 Abril 2009

27. Autorización de Método Estándar Alternativo ACCIONES COMPLEMENTARIAS ACTIVIDADES PREVIAS PROCESO FORMAL Empresa manifiesta interés y remite autoevaluación SBS recibe solicitud de autorización Evaluaciones periódicas para evaluar situación de acciones requeridas SBS evalúa información remitida por empresa • Se realiza la evaluación: • Reuniones de trabajo • Validación en Línea de Negoc • Solicitud de información • complementaria Reunión para informar de resultados de evaluación SBS emite Resolución con resultado Empresa inicia proceso de mejora Autorizando Denegando • Empresa prepara solicitud de autorización: • Declaración de cumplimiento • Informe de Cumplimiento Indefinida Con plazo definido (Oficio con acciones Requeridas)

28. Aspectos evaluados en autorización ASA REQUISITOS PARA METODO ASA EVALUACION ADICIONAL EN CONTINUIDAD DEL NEGOCIO EVALUACION ADICIONAL EN SEGURIDAD DE LA INFORMACION

29. Herramientas de Supervisión

30. TeamRisk Objetivos de Evaluación Aspectos a Evaluar • Ambiente interno • Establecimiento de objetivos • Identificación de riesgos • Evaluación de riesgos • Tratamiento • Actividades de control • Información y comunicación • Monitoreo • Gestión de proyectos OBJETIVO 1 1. Participación del Directorio 2. Participación de la Gerencia . . . OBJETIVO 2 . . . Por cada Objetivo Se evalúa según Calidad (X) Cerca mejor práctica 1 2 Adecuado Necesita Mejora 3 Req. de Acción Supervisora = F (X, Y) Insatisfactorio 5 No se conoce 6 Importancia (Y) Conocimiento de la Empresa Poco Importante 1 Consolidando Puntuaciones Y 2 Importante Muy Importante 3 Acciones Supervisoras X (De 15.1 a 17 )

31. Formula de Puntuación Permite determinar una medida de criticidad, la que se utiliza para priorizar los proyectos necesarios para el cumplimiento de los objetivos previamente definidos. Fórmula de Puntuación Utilizada Límite Menor Límite Mayor RANGOS Enfoque Exigente Score = f (C, I) Enfoque Moderado Enfoque Flexible Bajo Medio Alto Sci Sci Ci Ii Score = (α.β) . (p. C)^ (1 / prom(α, β)) . [(1-p).I] ^ (1 / prom(α, β)) Modelo de Implementación TeamRisk (Ver Detalle) Exigente Moderado S Posibles Resultados de S Flexible C,I Bajo un Enfoque Exigente Score (C) = α (p . Ci )^ (1/α) S(C) S(I) Score(I) = β [(1-p) . Ii] ^ (1/β) C,I

32. Clasificación de empresas

33. Informe de Gestión por WEB Contenido Aplicación web utilizada desde el 2007 para el envío del informe anual de gestión de riesgo operacional. Se está realizando la actualización de la información requerida. Inicio de operación : Marzo 2012 Se comunicará en forma previa mediante un oficio

34. Líneas de negocio y tipo de producto

35. Risk Manager AUTOEVALUACION 1 Cada pregunta se asocia a uno o más aspectos a evaluar Criterio1 Criterio2 Criterio N ASPECTOS DE EVALUACION Aspecto Evaluar 1 Aspecto Evaluar 2 . . . Aspecto Evaluar N AUTOEVALUACION 2 Criterio1 Criterio2 Criterio N WORKFLOW Coordinador define acción y monitorea • Reportes de Gestión • Situación de empresa y sector • Monitoreo del Workflow Evaluador realiza acción y actualiza respuesta

36. Reportes de Gestión por Empresa

37. Proyecto: Central de eventos de pérdida: CPRO Objetivo: Obtener información para evaluar fuentes de pérdidas por riesgo operacional, mejorar las competencias de los sistemas supervisados para gestionar este riesgo y facilitar el desarrollo de modelos avanzados

38. Ejercicios sectoriales de continuidad de negocios (en estudio) Nivel de preparación de las empresas ante un evento de contingencia A nivel individual A nivel sectorial Empresas supervisadas y otros como: BCR, MEF, Telcos, otros Sólo empresas supervisadas Verificado mediante supervisión Verificado mediante ejercicios sectoriales Funciona ? Los ejercicios sectoriales son el único medio para conocer el nivel de preparación de los sistemas supervisados ante eventos de contingencia de gran impacto

39. GRACIAS