Riesgo Operativo
Francisco Javier Ruiz García , CIA, CCSA
AMIS (Convención Nacional de Aseguradores)
10 de Junio de 2008 (Mexico, DF)
El riesgo Operativo – Convención AMISPage 2
Índice
► Solvencia II► Gestión de Riesgos y Control Interno► El Riesgo Operativo► Integración y convergencia de riesgos
El riesgo Operativo – Convención AMISPage 3
Índice
► Solvencia II► Gestión de Riesgos y Control Interno► El Riesgo Operativo► Integración y convergencia de riesgos
El riesgo Operativo – Convención AMISPage 4
1. A nivel regulatorio se apuesta por un cambio importante en la normativa de determinación de del capital del Sector Asegurador, a través de la incorporación de Solvencia II.
2. Por otro lado, las tendencias de la industria muestran la necesidad de nuevos modelos de gestión de riesgos, capital y rentabilidad de los negocios.
1. INICIATIVAS REGULATORIASSolvencia II
Contabilidad
Valor de Mercado
Gestión de Riesgos
Supervisión
Transparencia
2. TENDENCIAS DE LA INDUSTRIA
Volatilidad de los Mercados
Importancia del Riesgo
Organización Riesgos
Modelos internos de Medición
Optimización de Capital
RAROC y SVA
NUEVO MODELO DE GESTIÓN
Solvencia II
El riesgo Operativo – Convención AMISPage 5
Solvencia II
Capital y SolvenciaSolvencia II
Basilea IIFSA (UK)
NAICIAISIAAOCC
ConglomeradosContabilidad
IAS
Principles on Capital Adequacy and Solvency
Nuevo Acuerdo de Basilea (BIS II)
International Accounting Standards
Normativo
Consultivo
The Integrated Prudential
SourceBook
Report of Solvency
Insurance Handbook
Solvency II
RBC System
Directiva de Conglomerados
Directiva de Conglomerados
Capital y Solvencia• Solvencia II• Basilea II• FSA (UK)• NAIC• IAIS• IAA• OCC• ConglomeradosContabilidad
• IAS
Sector asegurador
Europa EEUU
Banca
Europa EEUU
El riesgo Operativo – Convención AMISPage 6
Solvencia II
Solvencia II
Clasificación de riesgos Gobierno Corporativo Transparencia
- Requerimientos de Capital parasolvencia (SCR)
-Requerimientos de Capital Mínimo (MCR)
- Control Interno & Gestión deriesgos
- Proceso de Supervisión
- Transparencia
- Desglose
Pilar 3Información a Supervisor y
desglose
Pilar 2Actividades de Supervisión
Pilar 1Requerimientos de capital
Gestión global y unificada de
riesgos
El riesgo Operativo – Convención AMISPage 7
PROVISIONESNO VIDA
Planes de armonización de metodologías de determinación de provisiones para siniestros pendientes con posibilidades de establecimiento de un benchmarkProvisiones de estabilización que cubren volatilidad de los ingresos se integrarán en niveles de solvencia
VIDAPlanes de armonización de metodologías de determinación de provisiones matemáticas
Consistencia con IAS en determinación del tipo de descuento con posibilidades de incluir una provisión de resistencia en función de gestión de ALMConvergencia de prácticas en el uso de tablas de mortalidad
INVERSIONESRevisión de los principios establecidos de diversificación y spreadNo requerimientos de capital en función de resultados de ALMReglas de valoración en función de principios IAS
CAPITALNivel mínimo de solvencia
Uso de normas de fondo de garantía y margen de solvencia con algunas modificaciones
Nivel de alertaNivel objetivo de solvencia
Uso de modelos estándares o internoConvergencia con Banca
PROVISIONESNO VIDA
Planes de armonización de metodologías de determinación de provisiones para siniestros pendientes con posibilidades de establecimiento de un benchmarkProvisiones de estabilización que cubren volatilidad de los ingresos se integrarán en niveles de solvencia
VIDAPlanes de armonización de metodologías de determinación de provisiones matemáticas
Consistencia con IAS en determinación del tipo de descuento con posibilidades de incluir una provisión de resistencia en función de gestión de ALMConvergencia de prácticas en el uso de tablas de mortalidad
INVERSIONESRevisión de los principios establecidos de diversificación y spreadNo requerimientos de capital en función de resultados de ALMReglas de valoración en función de principios IAS
CAPITALNivel mínimo de solvencia
Uso de normas de fondo de garantía y margen de solvencia con algunas modificaciones
Nivel de alertaNivel objetivo de solvencia
Uso de modelos estándares o internoConvergencia con Banca
Solvencia II
Requisitos Pilar 1
El riesgo Operativo – Convención AMISPage 8
Solvencia II
PRINCIPIOS DE CONTROL INTERNO y GESTIÓN DE RIESGOSCONTROL INTERNO
Identificación y Comunicación de la estrategia y valoresDefinición de estructura de responsabilidadesEl gobierno corporativo debe garantizar una estructura de controles adecuada así como el seguimiento de la misma
GESTIÓN DE RIESGOSPolíticas de suscripción y principiosSeparación de gestión de siniestros y negocio de suscripciónControles en procesos de gestión de siniestrosPolítica de inversiones (estrategia de inversión, niveles y límites de riesgo, derivados, liquidez, plan de contingencia de mercado, etc.)Modelos de ALM y documentación del procesoPrograma de reasegurosControles internos para riesgos operacionales y riesgos de externos de mercado
HERRAMIENTAS DE SUPERVISIÓNMarco común de supervisión del gobierno corporativoMarco común de recolección de estadísticas del sector, indicadores de alerta y stress testingMarco común de inspecciones, validación de modelos internosPosibilidad de revisar niveles de capital
PRINCIPIOS DE CONTROL INTERNO y GESTIÓN DE RIESGOSCONTROL INTERNO
Identificación y Comunicación de la estrategia y valoresDefinición de estructura de responsabilidadesEl gobierno corporativo debe garantizar una estructura de controles adecuada así como el seguimiento de la misma
GESTIÓN DE RIESGOSPolíticas de suscripción y principiosSeparación de gestión de siniestros y negocio de suscripciónControles en procesos de gestión de siniestrosPolítica de inversiones (estrategia de inversión, niveles y límites de riesgo, derivados, liquidez, plan de contingencia de mercado, etc.)Modelos de ALM y documentación del procesoPrograma de reasegurosControles internos para riesgos operacionales y riesgos de externos de mercado
HERRAMIENTAS DE SUPERVISIÓNMarco común de supervisión del gobierno corporativoMarco común de recolección de estadísticas del sector, indicadores de alerta y stress testingMarco común de inspecciones, validación de modelos internosPosibilidad de revisar niveles de capital
Requisitos Pilar 2
El riesgo Operativo – Convención AMISPage 9
Índice
► Solvencia II► Gestión de Riesgos y Control Interno► El Riesgo Operativo► Integración y convergencia de riesgos
El riesgo Operativo – Convención AMISPage 10
Gestión de Riesgos y Control Interno► Existe un conjunto de factores que fomentan la implantación de
modelos de gestión integral de riesgos en las entidades aseguradoras:
► Riesgo de mercado y liquidez► Tendencia bajista de los mercados► Alta volatilidad de los mercados► Problemas de liquidez de aseguradoras
► Riesgo de Crédito► Defaults en bonos corporativos► Empeoramiento de solvencia de entidades aseguradoras
► Riesgo de Seguros► Presiones competitivas y pricing► Opciones implícitas y garantías de productos de inversión► Creciente riesgo de catástrofes y terrorismo
► Riesgo Operacional► Multas por administración de fondos de pensiones► Prácticas comerciales► Medición del riesgo operacional
El riesgo Operativo – Convención AMISPage 11
► Algunos ejemplos:
- Riesgo de Mercado y liquidez - Riesgo de Crédito
Gestión de Riesgos y Control Interno
Caída del 55% en 2002Alta exposición en renta variable
Caída del 60% en 2002Alta exposición en bonos corporativosPérdidas de $200 Mill en WorldComVenta de € 3.5 Mill de Autocartera
- Riesgo de Seguros - Riesgo OperacionalCaída del 50% en 2002Caída de resultados del 91% en primer semestre Inundaciones recientes
Caída del 70% en 2003Multa FSA de €2,2 Mill por irregularidades en gestión de pensiones Plan de Ampliación de € 2.5 Mill
El riesgo Operativo – Convención AMISPage 12
Gestión de riesgos y Control Interno
COSO ICOSO I COSO IICOSO II
VALORACION DEL RIESGORESPUESTA AL RIESGO
ACTIVIDADES DE CONTROL
Compli
ance
Opera
tions
Finan
cial
Repo
rting
FUNCTIONS
BUS
UNITS
Control Environment
Risk Assessment
Control Activities
Information and Communications
Monitoring
Compli
ance
Opera
tions
Finan
cial
Repo
rting
FUNCTIONS
BUS
UNITS
Control Environment
Risk Assessment
Control Activities
Information and Communications
Monitoring
Internal Control - Integrated Framework Enterprise Risk Management - Integrated Framework
El riesgo Operativo – Convención AMISPage 13
Gestión de riesgos y Control Interno
► La estructura de buen gobierno corporativo, especifica la distribución de derechos y responsabilidades y delimita los procedimientos para la toma de decisiones sobre aspectos corporativos; los principales órganos sobre los que se sitúa una adecuada estructura de gestión son:► Consejo de Administración► Directivos► Accionistas
► El compromiso con las practicas de Buen Gobierno afecta a todos los organos de decisión de una Entidad.
► Un estilo de dirección ético, con practicas responsables y transparentes para garantizar que los empleados desarrollen susfunciones conforme a los intereses de la organización y de acuerdo con las directrices establecidas por la Dirección.
El riesgo Operativo – Convención AMISPage 14
Gobierno CorporativoGobierno CorporativoAlta DirecciónAlta Dirección(Responsable)
Comportamiento ético y
responsabilidad corporativa
Comportamiento ético y
responsabilidad corporativa
Sistemas de Control Interno y Gestión de
Riesgos
Sistemas de Control Interno y Gestión de
Riesgos
Transparenciay fiabilidad de la
Información financiera
Transparenciay fiabilidad de la
Información financiera
Gestión de riesgos y Control Interno
El riesgo Operativo – Convención AMISPage 15
Gestión de riesgos y Control Interno
EYRiskUniverseTM
Estrategia
Financiero
Operaciones
NormativaGobierno
Corporativo
Planificación y Asignación de Recursos
Proyectos e Iniciativas
Dinámicas de Mercado
Contabilidad y Reporting
Liquidez y Crédito
MercadosEstructura del Capital
Fiscalidad
Trading
Cadena de Suministro
Tecnologías de la
Información
Recursos Humanos
Activos Fijos
Códigos Éticos y de Conducta
LegislaciónRegulaciones
Fusiones, Adquisiciones y Desinversiones
Comunicación y Relación con los
Inversores
Distribución
Marketing y Ventas
Amenazas y Ataques
El riesgo Operativo – Convención AMISPage 16
Índice
► Solvencia II► Gestión de Riesgos y Control Interno► El Riesgo Operativo► Integración y convergencia de riesgos
El riesgo Operativo – Convención AMISPage 17
El Riesgo Operativo
►Definición RO“Pérdidas como consecuencia de inadecuados procesos internos, personal, sistemas o factores externos”.
► Incluye riesgo legal, pero excluye el riesgo estratégico.►Tipos de evento RO
► Fraude interno.► Fraude externo.► Prácticas de empleo y seguridad en el trabajo.► Prácticas con clientes, productos y de negocio.► Daño en los activos físicos.► Interrupción de negocio y fallos en los sistemas.► Ejecución, entrega y gestión de los procesos.
El riesgo Operativo – Convención AMISPage 18
Riesgo Operacional
Normativo Cumplir con Solvencia II
+
No Normativo Optimización de la Gestión
Análisis de Grupos de Riesgo Operacionales Riesgos
Controles
Eventos
Análisis Cualitativo Análisis Cuantitativo
Cálculo del Capital Regulador
Mejora de la Gestión del RiesgoTOMA DE
DECISIONES
CUMPLIMIENTO NORMATIVO
Personas+
Sistemas+
Procesos+
Factores Externos
GIRO
El Riesgo Operativo
El riesgo Operativo – Convención AMISPage 19
Perdida
Causa Efecto
1.Fraude Interno2.Fraude Externo3.Practicas de empleo y seguridad en el trabajo4.Prácticas con clientes, productos y de negocio.5.Daño en los activos físicos.6.Interrupción de negocio y fallos en los sistemas.7.Ejecución, entrega y gestión de los procesos.
1.Fraude Interno2.Fraude Externo3.Practicas de empleo y seguridad en el trabajo4.Prácticas con clientes, productos y de negocio.5.Daño en los activos físicos.6.Interrupción de negocio y fallos en los sistemas.7.Ejecución, entrega y gestión de los procesos.
- Políticas y procedimientos- Rotación- Exceso de carga de trabajo- Mala fe- Negligencias- Ineficiencias- Accidentes
- Políticas y procedimientos- Rotación- Exceso de carga de trabajo- Mala fe- Negligencias- Ineficiencias- Accidentes
- Costes/Sentencias judiciales- Costes de reparación de inmovilizado- Pagos compensatorios a terceros- Penalizaciones legales por parte del regulador
- Costes/Sentencias judiciales- Costes de reparación de inmovilizado- Pagos compensatorios a terceros- Penalizaciones legales por parte del regulador
Riesgo Evento
El Riesgo Operativo
El riesgo Operativo – Convención AMISPage 20
Marco Estratégico
Marco Estratégico
Miti
gaci
ónM
itiga
ción
Sistemas de
Información
Sistemas de
Información
El Riesgo Operativo
El riesgo Operativo – Convención AMISPage 21
Un ejemplo se puede tomar desde Banca/Gestión de activos:
Propios de Basilea II
El Riesgo Operativo
El riesgo Operativo – Convención AMISPage 22
Propios de Basilea II
El Riesgo Operativo
El riesgo Operativo – Convención AMISPage 23
► Integración de los componentes de gestión del riesgo operacional en la gestión global de riesgos.
► Apoyo por parte de la Alta Dirección► Campaña de comunicación interna
► Apoyo de la organización clave en todo el proceso► Nombramiento de Coordinadores
► Responsables de proceso/cuenta/unidad operativa► Seguimiento de todo el proceso► Coordinación del marco integrado de reporting► Formación clave en el proceso► Integración clara en los procesos – Facilitación del “Use Test”
Marco de Gestión
El Riesgo Operativo
El riesgo Operativo – Convención AMISPage 24
Propios de Basilea II
El Riesgo Operativo
El riesgo Operativo – Convención AMISPage 25
Autoevaluación riesgos y controles
Autoevaluación riesgos y controles
Validación de las autoevaluacionesValidación de las autoevaluaciones
Establecimiento Planes de acciónEstablecimiento Planes de acción
Revisión procesos, riesgos y controlesRevisión procesos, riesgos y controles
Identificación de procesos, riesgos y
controles y KRI´s
Identificación de procesos, riesgos y
controles y KRI´s
RevisiónRevisiónSeguimientoSeguimiento
Relación Cuenta/Unidad/ProcesoRelación Cuenta/Unidad/Proceso
LanzamientoLanzamiento
Identificación
El Riesgo Operativo
El riesgo Operativo – Convención AMISPage 26
Identificación
El Riesgo Operativo
El riesgo Operativo – Convención AMISPage 27
Identificación
El Riesgo Operativo
El riesgo Operativo – Convención AMISPage 28
Identificación
El Riesgo Operativo
El riesgo Operativo – Convención AMISPage 29
Identificación
El Riesgo Operativo
El riesgo Operativo – Convención AMISPage 30
Evaluación
El Riesgo Operativo
El riesgo Operativo – Convención AMISPage 31
Evaluación
El Riesgo Operativo
El riesgo Operativo – Convención AMISPage 32
Pérdida media bruta (PMB) = Impacto medio * Frecuencia media Cobertura de control (CC) = Diseño de control * Ejecución de controlRiesgo residual = PMB – (PMB * CC)
Pérdida media bruta (PMB) = Impacto medio * Frecuencia media Cobertura de control (CC) = Diseño de control * Ejecución de controlRiesgo residual = PMB – (PMB * CC)
Evaluación
El Riesgo Operativo
El riesgo Operativo – Convención AMISPage 33
Propios de Basilea II
El Riesgo Operativo
El riesgo Operativo – Convención AMISPage 34
► Definición de campos de la base de datos interna► Criterios de clasificación por tipo de evento (Nivel 3)► Procedimientos mixtos de captura de eventos
► Definición de interfaces con el sistema contable y otras fuentesinternas, para captura automática
► Diseño de procesos de captura manual a través de formulario electrónico en herramienta de gestión
Monitorización
El Riesgo Operativo
El riesgo Operativo – Convención AMISPage 35
Monitorización
El Riesgo Operativo
El riesgo Operativo – Convención AMISPage 36
MediciónAnalizar estadísticamente los datos históricos de quebrantos para ajusta una
distribución
Estimar la pérdida esperada e inesperada y la asignación de capital
El Riesgo Operativo
El riesgo Operativo – Convención AMISPage 37
Índice
► Solvencia II► Gestión de Riesgos y Control Interno► El Riesgo Operativo► Integración y convergencia de riesgos
El riesgo Operativo – Convención AMISPage 38
Integración y convergencia de riesgos
El riesgo Operativo – Convención AMISPage 39
Diferente visión organizativa : Jerarquía, dependencias, procesos, funciones
Visión organizativa
Diferentes estructuras de gobierno, conducidas por diferentes Comités.
Gobierno Corporativo
Criterio de evaluación de
riesgos y controles
Definición de riesgos y controles
La medición y evaluación de los riesgos bajo la misma metodologías son evaluados de forma diferente,
En su definición los riesgos y los controles son diferentes a pesar de estar incluidos en los mismos procesos y procedimientos
Validación y aseguramiento de calidad
Tecnología y reporting
Multiples estrategias de aaseguramiento de calidad
Aproximaciones de Testing y pruebas
Información demasiado extensa que no relaciona los diferentes aspectos a tener en cuenta en la evaluación de riesgos.
Multiples plataformas tecnológicas
Integración y convergencia de riesgos
El riesgo Operativo – Convención AMISPage 40
Factores externos• Aumento de la regulación:
• Solvencia II• ROSSP• Art. 110• SOX 404• Etc
• Mercado preocupado por la gestión de riesgos, buen gobierno, cumplimiento normativo y riesgo reputacional.
• Aproximación a nuevos mercados que implican la aparición de riesgos emergentes.
• Nuevos canales y nuevos productos con riesgo.
Factores comunes
Buen gobierno Corporativo
Tolerancia al riesgo
Lenguaje enfocado a Riesgo
Evaluación del riesgo
Mapas de procesos, procedimientos y controles
Realización de Test y pruebas de verificación
Monitorización y reporting
Mejora contínua
Herramienta de gestión
Identificación de ineficiencias
Optimización de controles
Factores internos• Aumento de los costes en los
diferentes modelos de gestión de riesgos y control interno
• Fusiones y adquisiciones que producen nuevos costes en la gestión.
• Unidades de negocio a las que se acude con diferentes modelos y diferentes metodologías.
• Ausencia de la percepción sobre los riesgos que verdaderamente importan y como gestionarlos,
• Información sesgada, variada e incompleta por no utilizar un enfoque común,
• Ausencia en la integridad de datos y falta de eficiencia operativa en la propia función de gestión de riesgos.
‘”Existen modelos de gestión de riesgos fragmentados e ineficientes. Los diferentes enfoques para cumplir con las diferentes normativas producen costes innecesarios ya que hay elementos comunes que favorecen un modelo integrado y una cultura global sobre la importancia del buen gobierno, la gestión de riesgos y el control interno”
Integración y convergencia de riesgos
El riesgo Operativo – Convención AMISPage 41
Diferente visión organizativa : Jerarquía, dependencias, procesos, funcionesVisión
organizativa
Diferentes estructuras de gobierno, conducidas por Diferentes comités
Gobierno corporativo
Roles y responsabilidades diferentesInconsistente visión de la organización, esforzándose cada metodología unicamente en cumplir con una normativa
Ausencia de un enfoque global en la gestión del riesgoDecisiones poco claras sobre la gestión de riesgos Líneas confusas de autoridad y responsabilidad
Risk & Control Criteria
Definición de riesgos y controles
La medición y evaluación de los riesgos bajo la misma metodologías son evaluados de forma diferente.
Ambigüedad en la valoración para los responsables de los riesgos y controles.Esistencia de rankings inconsistentes de riesgos controles
Diferentes evaluaciones de riesgos sobre los mismos procesos. Dificil de relacionar la gestión final.
En su definición los riesgos y los controles son diferentes a pesar de estar incluidos en los mismos procesos y procedimientos
Quality Assurance &
Validation
Reporting and Technology
Multiples estrategias de aaseguramiento de calidad
Diferentes aproximaciones de Testing y purbas
Diferentes estrategias y grupos de Testing no homogéneos.Confusionsobre roles y responsabilidades
Diferentes informes para las mismas actividadesDiferentes datos que informan sobre un perfil de riesgoPlataformas no conectadas entre si.
Información demasiado extensa que no relaciona los diferentes aspectos a tener en cuenta en la evaluación de riesgos
Multiples plataformas tecnológicas
Componente Estado actual Consecuencias en el negocio
La duplicación y la superposición tienen como resultado el uso ineficaz de recursos de gestión de riesgos
Las unidades del negocio sienten una carga excesiva en la gestión de riesgos, teniendo como resultado la fatiga y el aumento de costes
Excesivos costes según aparecen diferentes regulaciones que implican una évaluación de riesgos.
Falta de transparencia y consistencia en la toma de decisiones derivado de la información proporcionada con diferentes enfoques.
Impactos en el negocio
Integración y convergencia de riesgos
El riesgo Operativo – Convención AMISPage 42
Políticas de gestión de riesgos
Visión del riesgo única y avalada
Clara asignación de responsabilidades
Visión común de la organización y las responsabilidades de gestión de riesgos
Definición de riesgos y controles a nivel corporativo
Relación flexible en la identificación bajo un Universo de riesgos y arbolde asignaciones
Consistente evaluación de riesgos.
Consistente evaluación de controles.
Soporte periódico de información que relacione riesgos con eventos de perdida e indicadores
Información que permita relacionar diferentes variables y permita detectar errores
Aproximación integrada – Unicaherramienta para usuarios.
Tecnica de validación y testing unicay rutinaria,
Visión organizativa
Gobierno Corporativo
Criterio de evaluación de
riesgos y controles
Definición de riesgos y controles
Validación y aseguramiento
de calidad
Tecnología y reporting
Integración y convergencia de riesgos
El riesgo Operativo – Convención AMISPage 43
Integración y convergencia de riesgos
Ambiente de control
S404 ¿Qué puede fallar queafecte a la información
financiera?
Riesgo Operacional¿Qué puede fallar en personas, procesos,
sistemas, acontecimientos
externos
Controles comunes (Área/Dpto)Única plataforma de evaluación
Enfoque integradoUna plataforma de Control Interno/RO
Un ejemplo:
El riesgo Operativo – Convención AMISPage 44
Riesgos y Controles BIS II
Controles clave en reportefinanciero(SOX)
1.2.3.4.5.
6.
3.5.i
Financial Statements P&LBalance
Aplicar Assertions 5.ii
Cuentassignificativas/localizaiciones
Análisis de riesgos –Enfoque RO pero impacto
SOX? – Ojo detalle
DocumentacionDocumentacion TestingTesting RemediationRemediation
Planes de acciónalineados
Consistente con modelos avanzados
RevelaciónRevelación
Controlescon Assertions
Terminologia consistenteControles
Integración y convergencia de riesgos
El riesgo Operativo – Convención AMISPage 45
¿Preguntas?
El riesgo Operativo – Convención AMISPage 46
Gracias por su presencia y atención