560 likes | 1.23k Views
Gestión de Riesgo Operacional en las Instituciones Financieras. D. Marino Sánchez-Cid Socio de PricewaterhouseCoopers 8 de marzo de 2000. Presente y Futuro. Agenda. Antecedentes Definición y Alcance Grandes Estudios sobre Riesgo Operacional: Informe BIS 1998
E N D
Gestión de Riesgo Operacional en las Instituciones Financieras D. Marino Sánchez-Cid Socio de PricewaterhouseCoopers 8 de marzo de 2000 Presente y Futuro
Agenda • Antecedentes • Definición y Alcance • Grandes Estudios sobre Riesgo Operacional: • Informe BIS 1998 • Encuesta ISDA / BBA / RMA 1999 • Herramientas de Control y Mejora de Riesgo Operacional • Metodología de Medición de PwC: OpVaR • Conclusión
Antecedentes • ¿Realmente el tercer riesgo? • Enfoque tradicional • Control Interno (coste controles vs. eficacia) • Manuales de procedimientos • Departamento de Organización • Auditoría Interna
Antecedentes • Casos públicos de fuertes pérdidas • Interrelación con otros riesgos • Asignación de responsabilidad (Toma vs. control) • Superior análisis financiero • Asociación de ingresos y costes con riesgos • Análisis de creación de valor (SVA, EVA, RORAC) ¿Por qué el cambio de enfoque?
Cifras Ilustrativas de la Importancia Creciente • Durante el pasado año, se produjeron más de 7,000 millones de USD en pérdidas en empresas de servicios financieros!!! Pérdidas menores que $100M 8000 7000 Pérdidas mayores que $100M 6000 Pérdidas Reportadas ($USMM) 5000 4000 3000 2000 1000 0.0 92 93 94 95 96 97 98 Años Fuente: PricewaterhouseCoopers
¿Qué se necesita? • Una definición clara • Asignación de responsabilidades • Procesos de control y mejora • Metodologías ENFOQUE TRADICIONAL ENFOQUE INNOVADOR • Orientado a resultados • Cultural • Restringir acceso • Plan contingencia / desastres
Agenda • Antecedentes • Definición y Alcance • Grandes Estudios sobre Riesgo Operacional: • Informe BIS 1998 • Encuesta ISDA / BBA / RMA 1999 • Herramientas de Control y Mejora de Riesgo Operacional • Metodología de Medición de PwC: OpVaR • Conclusión
Definición y Alcance • ¿Qué es Riesgo Operacional? Riesgo de Mercado Riesgo de Crédito Otros Riesgo Operacional • ¿Todo lo que no es crédito o mercado...? • ¿...qué dejamos fuera?
Definición y Alcance • Los bancos manejan diferentes definiciones: • “Riesgo Operacional es todo tipo de riesgo en las instituciones no clasificable como Riesgo de Mercado o Riesgo de Crédito” • “Riesgo Operacional es el riesgo de pérdida derivado de distintos tipos de errores técnicos y humanos” • “Riesgo Operacional es el riesgo de pérdidas directas o indirectas derivadas de fallos en los procesos internos
Definición y Alcance • Encuesta ISDA/BBA/RMA ¿Tienen las Instituciones una definción de riesgo operacional? Sí, múltiples definiciones Sí, definición única 5% 49% Sí, definido como todo lo que no es mercado o crédito No existe definición formal 15% 31%
Definición y Alcance • Ejemplo de clasificación de riesgos Income Risk Volatility Value Market Portfolio Risk Underwriting Credit Operational Events Operating Margins Volume Leverage Business Risk
Definición y Alcance • Cada vez más existe un consenso acerca de la definición • Definición positiva • Fácilmente comprensible • Flexible (adaptable a distintas instituciones) • Incluye consideración de sucesos externos “Riesgo Operacional es el riesgo de pérdidas directas o indirectas que resultan de procesos internos inadecuados o de fallos en los mismos, fallos humanos, de sistemas y como consecuencia de sucesos externos”
Definición y Alcance • El riesgo Operacional tiene lugar no sólo en las actividades de B/O, si no en F/O y en todas las demás actividades del proceso de negocio Contratación Procesamiento Control
Definición y Alcance • Tipos de riesgos incurridos • Errores en el procesamientode transacciones • Errores en el incumplimiento de controles: • Excesos no detectados en los límites • Realización de operativa no autorizada • Prácticas fraudulentas / conflictos de intereses • Seguridad: accesos no autorizados y planes de contingencia • Adecuado soporte documental legal de las transacciones • Fallos en los sistemas de soporte • Fallos en los modelos de valoración • Políticas derecursos humanos: delegación de funciones y formación adecuada
Consecuencias del Riesgo Operacional • Existen consecuencias directas e indirectas procedentes de pérdidas por Riesgo Operacional en las Instituciones } Pérdida directa Directas Riesgo Legal Pérdidas por Riesgo Operacional Riesgo Regulatorio } Imagen Indirectas Disminución o Interrupción del Negocio
Agenda • Antecedentes • Definición y Alcance • Grandes Estudios sobre Riesgo Operacional: • Informe BIS 1998 • Encuesta ISDA / BBA / RMA 1999 • Herramientas de Control y Mejora de Riesgo Operacional • Metodología de Medición de PwC: OpVaR • Conclusión
Estudios Riesgo Operacional: Informe BIS 1998 • Basado en contactos con 30 grandes bancos: • Existe una conciencia creciente en la Alta Dirección • Responsabilidad principal asignada a los responsables de áreas de negocio/productos • Sólo 60% tiene un responsable para riesgo operacional en el conjunto del banco • Creación de incentivos para una buena gestión • Asignación de capital • Indicadores de calidad • Presentación de detalles de pérdidas y acciones correctivas • Los bancos están en una fase inicial en la gestión del Riesgo Operacional • La medición del Riesgo Operacional es compleja y pocos bancos lo calculan e informan regularmente • La mayoría controla indicadores, analiza la experiencia de pérdidas y las calificaciones de auditoría interna.
Informe BIS 1998 • Dificultades en la medición del Riesgo Operacional: • Los factores de riesgo son principalmente internos • Ausencia de datos históricos • No existe experiencia suficiente en cuanto a pérdidas • Falta de conocimiento de la relación entre: • factores de riesgo • pérdidas ocasionadas
Encuesta ISDA / BBA / RMA 1999 • Organizadores • British Bankers Association • International Swaps and Derivatives Association • Robert Morris Associates • Elaborada porPricewaterhouseCoopers • 12 Patrocinadores • Abbey National • Allied Irish Bank • CIBC • Chase • Citibank • Credit Suisse First Boston • Deutsche • FleetBoston • Royal Bank • ScotiaBank • State Street • UBS
Encuesta ISDA / BBA / RMA 1999: Alcance • Premisas y definición de Riesgo Operacional • Estructura organizativa soporte de la gestión de Riesgo Operacional • Herramientas de gestión • Información a la Alta Dirección • Asignación de Capital por Riesgo Operacional • Estrategias de inmunización
Algunos Resultados de la Encuesta • Riesgo Operacional y Valor para el Accionista Shareholder value protected 19 6 3 Awareness of operational risk increased 14 8 5 Losses reduced 6 4 8 Improved capability to predict operational risk 4 4 3 Reputation protected 2 8 3 Top Cross-enterprise risk identified 2 4 Second Control breakdowns reduced 2 6 5 Third 1 Audit points addressed 2 Complete/consistent operational risk information 1 3 6 Common risk language established 1 2 3 Strategy clarified 2 Number of Respondents Regulators satisfied 3 5 Quality or service improved 2 3 0 5 10 15 20 25 30 35 40
Estructura Organizativa en Torno al Riesgo Operacional • Se observan tres tipos de modelos organizativos • Corporate risk function • Decentralized operational risk functions • Internal Audit-driven approaches • Traditional independent reviewer • Expanded pro-active role • El 84% de las instituciones encuestadas, han establecido la Función de Gestión de Riesgo Operacional durante los 3 últimos años
Tendencia Principal: modelo “corporate operational risk” Comité Directivo Alta Dirección Auditoría Interna Comité de Riesgo Operacional • Personal con Responsabilidades en la Gestión de Riesgo Operacional • Normas y Procedimientos • Recursos Humanos • Seguros • Sistemas • Asesoría Jurídica Dirección de Unidad de Negocio Responsable de Riesgos Satff de Riesgo Operacional de la Unidad Responsable de Riesgo Operacional Staff de Riesgo Operacional
100% 7% 12% 13% 22% 29% 22% 80% 33% 37% 60% 40% 46% Número de Respuestas 40% 70% 55% 50% 20% 38% 25% 0% Mapas de Riesgos Auto evaluaciones Escalation Triggers Base de Datos de Pérdidas Indicadores de Riesgo Flujos de Procesos Usan En previsión Utilización de Herramientas de Control • 71% de las Instituciones utiliza o está en proceso de utilizar las principales herramientas de control No
RaRoC y Medidas de Riesgo Operacional • 71 % de las Instituciones encuestadas tienen o están en proceso de tener un proceso de asignación de capital económico; de ellas, el 80 % tienen una metodología de cuantificación del riesgo operacional Sí No, actualmente en desarrollo 59% 12% No 29%
Muy bajo 5 17 Bajo Alto 9 Muy alto 3 0 2 4 6 8 10 12 14 16 18 Nivel de Satisfacción de las Metodologías actuales • El nivel de satisfacción de las instituciones acerca de las metodologías actuales de medición de riesgo operacional no alcanza los niveles deseados
Tendencias Futuras • Acumulación de información interna de pérdidas • Dedicar esfuerzos a la mejora de modelos de cuantificación de riesgo y capital • Orientación hacia el modelo basado en riesgos “bottom-up” • Formación continua para incrementar la conciencia de la viabilidad e importancia de la cuantificación • Investigar modelo causa-efecto • Utilizar los resultados en el modelo de evaluación del desempeño y compensación económica
Agenda • Antecedentes • Definición y Alcance • Grandes Estudios sobre Riesgo Operacional: • Informe BIS 1998 • Encuesta ISDA / BBA / RMA 1999 • Herramientas de Control y Mejora de Riesgo Operacional • Metodología de Medición de PwC: OpVaR • Conclusión
Herramientas de Control y Mejora del Riesgo Operacional • Son metodologías específicas o procedimientos que facilitan la identificación, evaluación, control y gestión del riesgo operacional • Las más utilizadas • Auto evaluaciones (self-assesments) • Flujos de proceso y mapas de riesgo • Indicadores de Riesgo • “Escalation triggers” • Base de datos de pérdidas
Herramientas de Control: Autoevaluaciones • Las autoevaluaciones son las herramientas que se consideran más útiles en el control del Riesgo Operacional • Formas de llevar a cabo las autoevaluaciones: • Cuestionarios • Formularios (Issue-oriented forms) • Workshops • Evaluaciones independientes
Herramientas de Control: Indicadores de Riesgo • Recursos humanos • Contratación temporal • Rotación • Tiempo de permanencia • Desarrollo de dirección vs. planificado • Vacaciones y ausencias • Presupuesto de formación vs planificado • Negocio • Puntuación de auditoría • Excepciones de auditoría • Observaciones destacables de la auditoría • Quejas de clientes • Sistemas • Downtime • Número de problemas de sistemas • Operaciones • Pérdidas físicas • Pérdidas contables • Número de errores • Cuentas nostro sin conciliar • Pérdidas de valuación • Fallos de liquidaciones • Confirmaciones vencidas • “Un-reconciled A/R & A/P” • Ajustes de P&L
Herramientas de Control: Base de datos de pérdidas • Resultados aplicables a medio/largo plazo • Recogida de datos con objeto de: • Llevar a cabo análisis experimental • Cuantificar el coste del riesgo operacional • Establecer relaciones pérdidas/factores de riesgo • Modelizar el capital por riesgo operacional
Herramientas de Control: Tendencias • Herramientas integradas • Enfoque en herramientas cuantitativas y afinamiento de las herramientas de predicción • Bases de datos de errores estandarizadas y comprensibles • F/O dejará de ser un área proveedora de información para utilizar también las herramientas de control
Agenda • Antecedentes • Definición y Alcance • Grandes Estudios sobre Riesgo Operacional: • Informe BIS 1998 • Encuesta ISDA / BBA / RMA 1999 • Herramientas de Control y Mejora de Riesgo Operacional • Metodología de Medición de PwC: OpVaR • Conclusión
Enfoque de medición El enfoque estadístico/actuarial, utilizado por la industria de seguros para cuantificar tipos de riesgo similares, ofrece una validez teórica y unos inventivos adecuados para el cambio de comportamiento. Incorporar toda medida tendente a evitar, paliar o transferir riesgos Reflejar los puntos intrínsecos de cada unidad de negocio y responder al cambio Evaluar todo el espectro de causas de riesgo operacional para cada unidad de negocio Modelo estadístico Nivel de Confianza Suposiciones VaR Operacional
EJEMPLO Probabilidad Distribución de pérdidas para el banco Pérdidas esperadas (incluidas en costes) Pérdidas no esperadas (VaR) Media Percentil 99 Pérdida anual agregada ($) ¿Qué es Op VaR (VaR Operacional)? VaR Operacional es la diferencia entre la pérdida anual agregada, a un nivel de confiaza determinado, y la pérdida esperada anual.
EJEMPLO Comparativa de VaR El VaR es determinado sobre todo por riesgo de baja frecuencia y alta severidad. Por tanto,puede haber negocios con pérdidas anuales altas pero con un VaR relativamente pequeño. Probabilidad Distribución de pérdidas Unidad A Distribución de pérdidas Unidad B VaR A VaR B Media A Media B Percentil 99 A Percentil 99 B Pérdida anual agregada ($)
OpVaR cuantifica el Valor en Riesgo Operacional utilizando dos procesos independientes: OpVaR por Pérdidas directas OpVaR por Resultados Futuros Cálculo de OpVaR OpVaR Pérdidas Directas OpVaR Resultados Futuros + Total OpVaR = Negocio Coste de reemplazamiento Imagen Legal Interrupción del Negocio Regulatorio
+5 100 -5 0 Cálculo de OpVaR • El enfoque estadístico se basa en la teoría de que la historia se puede utilizar para medir el rango de exposiciones potenciales que cada negocio enfrenta OpVaR = f (Exposición, Transferencias, Adaptación, Calidad) Frecuencia de sucesos Ajuste por programas de inmunización Relacionar el entorno de control de calidad con “mejores prácticas” Se aplica un ajuste que depende de las características del negocio, y su adaptación a la generalidad Severidad de la pérdida Contrato de seguro
Datos Internos de Pérdidas • Un modelo avanzado requiere la existencia de una base de datos de pérdidas, que recoja: • Causa del error • Descripción del evento • Cantidad de la pédida reportada • Cantidad recuperable • Condiciones en que se produce la incidencia • Día • Implicación del personal • Responsable de la Unidad de Negocio El proceso de creación de estas bases de datos genera además a la Institución beneficios desde el punto de vista de la cultura (conciencia de los costes del riesgo operacional) y la gestión de riesgos integral (mayor análisis del origen de los riesgos).
EJEMPLO Datos Externos de Pérdidas Los datos internos no contienen el rango completo de pérdidas (especialmente los sucesos de las colas). Por ello es necesario complementarla con datos externos. Necesidad de datos externos Número de sucesos Tamaño de la pérdida PÉRDIDAS PEQUEÑAS - MUCHAS OBSERVACIONES INTERNAS PÉRDIDAS MEDIAS - ALGUNAS OBSERVACIONES INTERNAS PÉRDIDAS GRANDES - POCAS OBSERVACIONES INTERNAS
A U.S. brokerage firm lost $100M in a settlement of a lawsuit involving collusion to fix prices on the NASDAQ. Base de Datos Externa • La Base de datos de OpVaR actualmente contiene más de 4.700 pérdidas de más de un millón de dólares. A U.S. phone company lost $211.5M after the regulators mandated that refunds be paid to customers following industry deregulation. A U.S. government department lost $500M when they discontinued implementation of a new computer system. A Swedish bank lost $5M in punitive fines for violations of US banking regulations as a result of misreporting intercompany accounts. A UK bank lost $1,330M due to unauthorized trading. The losses led to the bank’s collapse. *3712 datos públicos de pérdidas a 2/1/99
EJEMPLO Tratamiento de Datos de Pérdidas Operacionales Los datos de pérdidas deben ser convertidos a la moneda del banco, ajustados a la inflación, y adaptados al tamaño de la entidad. $10 $9 $8 $7 $6 $5 $4 Tamaño de la pérdida $3 $2 $1 $0 0 2 4 6 8 10 12 14 16 18 20 Tamaño de la institución Valor Valor estimado
EJEMPLO Fraude Proceso de datos Tecnología Nº pérdidasMedia* STD.* 11 1.2 0.6 54 2 3 11 1.2 3.6 Banca comercial Nº pérdidasMedia* STD.* 21 3 6 21 0.4 0.3 18 0.2 0.4 Banca corporativa 11 1.5 4 31 2.2 2.6 70 2.4 4.1 Nº pérdidasMedia* STD.* Mercado de capitales Matriz de Datos de Pérdidas Los datos de pérdidas son distribuidos en una matriz que se utiliza para calcular el perfil de riesgos de cada tipo de negocio. Matriz de datos de pérdidas *Los parámetros están expresados en ln para una mayor facilidad de aplicación
EJEMPLO Severidad Para la distribución de la severidad, se asume en principio distribución log-normal (basado en los datos exixtentes). Para calcular la distribución de severidad de cada celda (negocio/riesgo), es necesario saber la media y desviación estándar de cada una de ellas. Probabilidad Probabilidad Tamaño de la pérdida Tamaño de la pérdida
EJEMPLO Frecuencia La frecuencia se asume distribuida como una Poisson. La media para cada celda es calculada utilizando una media ponderada de datos internos y externos Fraude 14 123 422 1216 3.2 Tecnología 21 214 614 2327 5.2 Prácticas de venta 21 102 211 612 1.5 Actividades no autorizadas 23 213 424 1123 3.1 Proceso de datos 11 109 312 835 2.4 Banca Comercial Unidad de negocio interna Unidad de negocio externa Datos financieros externos Datos completos externos Frecuencia media ponderada (anual)
Distribuciones individuales El resultado es un conjunto de distribuciones de severidad y frecuencia para cada unidad de negocio y por categoría de riesgo. Banca Comercial Fraude Distribución de frecuencia Banca Comercial Fraude Distribución de severidad Probabilidad Probabilidad Tamaño de la pérdida ($) Número de eventos
Transferencias Algunas pérdidas están cubiertas por contratos de seguro. Cuando existen estos contratos, la cobertura debe ser tenida en cuenta en las distribuciones de severidad. Media Sin Inmunización Probabilidad Bajo $50m $200m $1billón Pérdida potencial Medio Con Inmunización Probabilidad Bajo $1billón $50m Pérdida potencial
EJEMPLO Simulación de Monte-Carlo Utilizando técnicas de simulación de Monte-Carlo, se simulan pérdidas para cada celda (negocio/categoría de riesgo). El resultado es una medida de VaR para cada linea de negocio y categoría de riesgo, diversificada y no diversificada. Total Actividades no autorizadas Prácticas de venta Fraude Banca Comercial Banca Corporativa Mercado de Capitales Gestión de Fondos Suma Total 56 74 468 235 944 567 73 87 123 89 224 156 40 65 11 5 145 89 246 345 543 388 1,825 1,256 . . . . . . . . . . . . . . .
Ajustes por Adaptación y Calidad Se realizan ajustes de adaptación y calidad para reflejar las diferencias posibles entre los datos internos y externos recopilados y el perfil de riesgo actual de la entidad. Ajuste por adaptación Es una puntuación que refleja que algún tipo de exposición puede ser más relevante para el negocio analizado. Ajuste por calidad Es una puntuación que refleja la calidad del proceso interno de control Approach El rango de puntuación es de +5 a -5 para tener en cuenta diferencias de negocio, riesgo país, riesgo de nuevos negocios, etc. Approach El rango de puntuación es de 0-100 para tener en cuenta la calidad de los controles (e.g., autoevaluación, auditoría interna, indicadores de riesgo).