internal use only el trabajo conjunto de las funciones de assurance sistemas de cumplimiento y de...

INTERNAL USE ONLY

El trabajo conjunto de las funciones de “assurance”

Sistemas de cumplimiento y de Control y Gestión de Riesgos20 de Febrero, 2013

Giuseppe GamucciMaría Jesús Romero

© Z

uri

ch In

sura

nce

Com

pan

y L

td

Zurich en España 4Q/2012

1.930empleados

2,8 millones Pólizas (1)

2,2 millonesclientes

1.261 Agentes

2.567 Brokers

4.000 (2) Oficinas de

partners bancarios

Presente en España desde 1884

*7ª posición en el mercado asegurador (4Q/2012)

MS SG: 4.5% MS Vida: 3.0%

*Volumen negocio: 1,897 m€ (4Q/2012)

GI: 1,097 m€ Life: 800 m€

Volumen gestionado (Vida & Pensiones) (4Q2012):

11,977m€

*Fuente: datos provisionales ICEA (1) Datos Provisionales Diciembre 2012(2) Datos Diciembre 2011

2

© Z

uri

ch In

sura

nce

Com

pan

y L

td

3El trabajo conjunto de las funciones de “assurance”. Sistemas de Cumplimiento y de Gestión y Control de Riesgos – Madrid, Febrero 2013

Índice

1. Las tres líneas de defensa2. Marco de Compliance 3. Marco de Gestión y Control de Riesgos4. Identificar, clasificar y minimizar los riesgos5. Integración con éxito de las tres líneas de

defensa6. Claves del éxito hacia una nueva gobernanza

© Z

uri

ch In

sura

nce

Com

pan

y L

td

4

La asunción y control de riesgos forma parte integrante del negocio

“Tres líneas

de defensa

”

Las Funciones de Riesgo y Compliance aseguran un marco consistente de riesgos y controles

1. Desarrollan e implementan un marco integral de riesgos y control y unas políticas de riesgos generales de cumplimiento

2. Establecen metodologías para medir y evaluar los riesgos y monitorizar el cumplimiento de las políticas

3. Efectúan el seguimiento de las exposiciones de riesgo respecto a los límites de tolerancia y proponen los límites de riesgos

4. Desarrollan y operan con una adecuada estructura de riesgos y controles, incluyendo la agregación de riesgos y el reporting

La gestión del negocio es la propietaria de todos los riesgos

1. El negocio toma decisiones de riesgo, optimizando el riesgo/rentabilidad

2. El negocio gestiona los riesgos a diario3. El negocio mitiga los riesgos cuando es necesario

Auditoría proporciona una revisión y evaluación independiente

1. Auditoría evalúa la efectividad del marco de riesgos y compliance

2. Auditoria parte de los riesgos identificados por las funciones de Riesgos y Compliance para planificar sus actividades

3. Auditoria efectúa el seguimiento independiente de la efectividad de los controles de riesgos

1

2

3

© Z

uri

ch In

sura

nce

Com

pan

y L

td

5

Marco de Riesgos y Controles en el Grupo Zurich

Risk Taking

Board

of

Dir

ect

ors

level

GEC

level

Reg

ion, S

eg

ment,

D

ivis

ion,

Busi

ness

Unit

level

CEO and Group Executive Committee

Group Balance Sheet Committee Group Finance & Risk Committee

BusinessManagement

Audit, Risk and Control Committees

Risk Management Network(including regional/segment/division

Chief Risk Officers & Local Risk Officers)

Risk Control IndependentAssurance

Group Chief Risk Officer

Gro

up

Au

dit

Board of Directors

Audit CommitteeRisk Committee

© Z

uri

ch In

sura

nce

Com

pan

y L

td


Índice



© Z

uri

ch In

sura

nce

Com

pan

y L

td


I. Definición de Compliance

La Directiva 2009/138/CE (Solvencia II) establece que la función de verificación del cumplimiento es una función de gobernanza que forma parte del sistema de control interno.

Compliance es la función responsable de apoyar a la Dirección en promover una sólida cultura ética y de cumplimiento así como de asegurar a la Dirección que los riesgos de cumplimiento normativo son adecuadamente identificados y gestionados.

Compliance actúa como una “segunda línea de defensa” junto con Gestión y Control de Riesgos detrás de las propias áreas de negocio (“primera línea de defensa”) y de Auditoría Interna (tercera línea de defensa)

© Z

uri

ch In

sura

nce

Com

pan

y L

td

8

II. Estatuto (charter) de Compliance

La función de Compliance se sustentar en un Estatuto de Compliance de Grupo.

El Estatuto es aprobado por el Consejo de Administración de la matriz y, según la legislación aplicable, por los Consejos de Administración de cada entidad del Grupo.

Contenido del Estatuto de Compliance: Rol de Compliance Objetivos Aplicabilidad del Estatuto Autoridad de la función Alcance de Compliance Organización y recursos Programa de actuación de la función Aprobación por la Alta Dirección

El trabajo conjunto de las funciones de “assurance”. Sistemas de Cumplimiento y de Gestión y Control de Riesgos – Madrid, Febrero 2013

© Z

uri

ch In

sura

nce

Com

pan

y L

td

9

III. Qué comprende Compliance en Zurich 1/2

El grado de exposición/asunción a/de los riesgos (“risk appetite”) vs. los requerimientos legales y las políticas internas conforma el marco de la actuación de Compliance Global.

Compliance en 3 dimensiones

• Gestión de la información

• Conducta de negocios

• Crimen financiero

• Conducta de empleados

• Licencias y autorizaciones

Código conducta corporativo

Reg

ula

ció

n

© Z

uri

ch In

sura

nce

Com

pan

y L

td

10

III. Qué comprende Compliance en Zurich (2/2)

Compliance se centra en los ámbitos del “Compliance Risk Universe”

© Z

uri

ch In

sura

nce

Com

pan

y L

td


IV. Qué NO comprende Compliance

Riesgos de Compliance

Requerimientos financieros contables

Seguridad e Higiene en el trabajo

Legal Societario/corporativo

Actuarial Fiscal

Supervisión financiera (solvencia)

© Z

uri

ch In

sura

nce

Com

pan

y L

td


V. Actividades de Compliance (1/2)

Actividades

Asesoramiento a negocio

Análisis de riesgos/Plan de remediación

Monitorización

Formación y comunicación

Reporting

Descripción

Promoción de cultura de cumplimiento

Seguimiento impactonueva legislación

Seguimiento de los desarrollos legislativos con impacto en negocio. Tomar medidaspara implementación de desarrollos necesarios en coordinación con negocio.

Políticas de Compliance Difundir y aplicar las Políticas de Compliance globales en las entidades del Grupo .

Aconsejar sobre comportamientos y prácticas de negocio acordes con normas internas y externas. Interpretar si es “Compliant” o no.

Promover /coordinar acciones formativas sobre aspectos de Compliance y comunicarde forma efectiva y clara. Portal de Compliance en intranet.

Analizar e identificar los riesgos de incumplimiento dentro del ámbito de Compliance.Establecer plan de priorización para remediar/mitigar los riesgos basado en el análisis.

Revisar el cumplimiento legal y la aplicación de las Políticas Internas. Identificarbrechas.

Reportar las acciones de Compliance. En particular reportar riesgos y severidad a los Comités adecuados y a Grupo. Mantener “governance” de escalado de riesgos.

© Z

uri

ch In

sura

nce

Com

pan

y L

td


Relación con reguladores

También es una actividad de Compliance, pero dependerá de:

La jurisdicción de que se trate. Los requerimientos regulatorios de cada país. El papel asignado por el CEO/ a nivel de grupo a

funciones como Legal y CFO. La experiencia y grado de “Seniority”. El tipo de relación exigida en cada momento

(institucional, revisiones del regulador, especialidad de la materia, etc).

V. Actividades de Compliance (2/2)

© Z

uri

ch In

sura

nce

Com

pan

y L

td


1er nivel de control

Controles de negocio

Compliance

Risk Management

Auditoría Interna

Auditoría Interna

Comité de Riesgos/ Comité de Auditoría

Comité de Riesgos/ Comité de Auditoría

Local Regional Grupo

Reporting

Seguimiento

2º nivel de control

3er nivel de control

VI. Integración de Gestión y Control de Riesgosy Cumplimiento

4ª nivel de control

© Z

uri

ch In

sura

nce

Com

pan

y L

td

15

VII. La gestión del riesgo de incumplimiento

Evidencias

controles

Política de Riesgos

de Grupo

Políticas de Compliance

Controles en procesos Tipo SOX

Manual y control

antifraude (no siniestros)

Controles de Compliance en

Manual de Control Interno

(a.110 RD 2486/98)

Análisis riesgos

y seguimiento acciones

mitigatorias

Informes de Auditoría

Actas Comités Riesgos o Auditoría

Se requiere generar evidencias de la identificación y gestión de los riesgos reputacionales y legales

© Z

uri

ch In

sura

nce

Com

pan

y L

td


Índice



© Z

uri

ch In

sura

nce

Com

pan

y L

td

17

Gestión Integral de Riesgos (ERM)Misión y objetivos

La misión de la Gestión Integral de Riesgos es la identificación temprana, medición, gestión, reporting y seguimiento de los riesgos que pueden impactar en la consecución de los objetivos estratégicos, operacionales y financieros. Ello incluye adaptar el perfil de riesgos en función de la tolerancia de los mismos que emana de los Órganos de Gobierno para responder a las nuevas amenazas y oportunidades, al objeto de maximizar el retorno.

Proteger la reputación y marca mediante la promoción de una sólida cultura de conciencia del y una disciplinada e informada asunción de riesgos

Proteger la base de capital , asegurando que no se asumen riesgos por encima de los niveles de tolerancia

Participar en los procesos de toma de decisiones proporcionando información sobre los riesgos consistente, fiable y a tiempo

Reforzar la creación de valor y contribuir a un perfil óptimo de riesgo/retorno proporcionando una asignación eficiente del capital

ObjectivosMisión

© Z

uri

ch In

sura

nce

Com

pan

y L

td

Visión de riesgos con un enfoque de gestión Identificación y evaluación de los riesgos con un horizonte temporal alineado con la planificación

Metodología de Evaluación de Riesgos

7

1256

38

94

Pro

bab

ility

SeverityIV III II I

AB

C

D

Define la propiedad, los roles y las responsabilidades del gobierno de los riesgosEstablece los límites por tipo de riesgoDe obligado cumplimientoSe actualiza y comunica periódicamente

Política de Riesgos

Más cuantitativo Más cualitativoGobierno de riesgos

Control de Riesgos OperativosMarco y metodologías integrados de riesgos y controles(evaluación y cuantificación de riesgos operacionales, registro de pérdidas, ….)Gestión de riesgos operacionalMarco de Control Interno

Define el objetivo de capitalización acordado por los Órganos de Gobierno

Comunicado y conocido

Risk-Based Capital (RBC)

AFRRBC

AA

Reporting de Riesgos18

La arquitectura de gestión de riesgos debe tener un enfoque integral

© Z

uri

ch In

sura

nce

Com

pan

y L

td


Índice



© Z

uri

ch In

sura

nce

Com

pan

y L

td

20

Metodología de Evaluación de Riesgos

Proceso “top-down” estructurado y sistematizado para:identificarevaluargestionar y hacer el seguimiento de

riesgos que pueden amenazar la capacidad de conseguir los objetivos estratégicos.

Evaluación de riesgos cualitativa, coordinada, integral y multidisciplinar

Es una forma rápida de capturar el conocimiento y sabiduría colectivos de la Alta Dirección y aplicarlos en la mejora efectiva de la gestión de riesgos

© Z

uri

ch In

sura

nce

Com

pan

y L

td

21

Proceso de Evaluación de Riesgos

1. Identificación de potenciales riesgos

BrainstormingRevisión de escenarios genéricos

2.Desarrollo de escenariosVulnerabilidadDesencadenanteConsecuencias

3.Evaluación del rating inicial

Severidad / Probabilidad

4.Definir los niveles de tolerancia y priorizar los escenarios

5.Desarrollar acciones de mejora para los escenarios priorizados

Evaluar el rating objetivoNombrar la persona responsableAcordar fecha finalización

6.Seguimiento trimestral de las acciones acordadas

Define risk priority boundary and prioritize risk scenarios

A

B

C

D

E

F

IV III II I

PR

OB

AB

ILIT

Y

SEVERITY

36

42

51

Prioritized

Develop risk scenarios

TIM

EL

INE

!!

1. VULNERABILITY• what?• where• controls?

2. TRIGGER• how?• why?• when?

3. CONSEQUENCES• how big?• how bad?• how much?

TIM

EL

INE

!!

1. VULNERABILITY• what?• where• controls?

2. TRIGGER• how?• why?• when?

3. CONSEQUENCES• how big?• how bad?• how much?

Assess original ratingSeverity / Probability

Develop improvement actions

A

B

C

D

E

F

IV III II I

PR

OB

AB

ILIT

Y

SEVERITY

36

42

51

Prioritized

Identify potential risk issues

IT

Finance

Risk

Admin

Quarterly follow up on improvement actions

GEC TRP

Business Division

TRP

TRP of: Business Unit, SSU,

ProjectG

EC TRPG

roup key focus points

Qua

rterly

Ris

k Re

port

May

or R

isk

Repo

rt

GEC TRP

Business Division

TRP

TRP of: Business Unit, SSU,

ProjectG

EC TRPG

roup key focus points

Qua

rterly

Ris

k Re

port

May

or R

isk

Repo

rt

I Severe

II Major

III Moderate

IV Minor

A Very high

B High

C Occasional

D Low

E Very low

F Almost impossible

Severity categories

Probability levels

© Z

uri

ch In

sura

nce

Com

pan

y L

td

22

DE

SA

RR

OLLO

1. VULNERABILIDAD• qué? • dónde? • controles?

2.DESENCADENANTE• cómo?

3. CONSECUENCIAS• cuánto? • gravedad? • qué cantidad?

• Describe condiciones presentes o previstas• Debe describir los controles aplicables conocidos

• Puede ser un evento discreto que se produzca en un periodo corto de tiempo o una tendencia que se desarrolle durante un periodo más largo

• Es siempre un suceso hipotético

• todos los efectos producidos por el desencadenante• impacto total, suma de todos los efectos

Los escenarios de riesgos se definen en tres etapas:

Ligado a los

objetivos

Desarrollo de escenarios

• cuándo? • por qué?

© Z

uri

ch In

sura

nce

Com

pan

y L

td

23

Vulnerabilidad / desencadenante / consecuenciasEjemplo

Vulnerabilidad Desencadenante Consecuencias

Incertidumbres económicas en el medio plazo

El precio de los activos se colapsa /crisis de liquidezAumento de precios de materias primas y bienes básicos de consumo (inflación)Desconexión entre los tipos de interés (bajos) y una creciente inflación

Tendencia adversa en el coste de los siniestrosReducción del beneficio en mercados de tendencia históricamente estableReducción del potencial de las iniciativas de expansiónReducción de los rendimientos financieros previstos

© Z

uri

ch In

sura

nce

Com

pan

y L

td

24

El límite de tolerancia predefinido (rojo) se utiliza para diferenciar entre los riesgos tolerables y los que requieren la atención de la Gerencia

Límites de toleranciaSeveridad-Probabilidad

A

B

C

D

E

F

IV III II I

Earnings (mio. $) 0.33 1.30 1.59 2.23Capital (mio. $) -0.08 0.53 0.71 1.11

Pro

bab

ility level

Severity category

tolerable

intolerableA

B

C

D

E

F

IV III II I

Earnings (mio. $) 0.33 1.30 1.59 2.23Capital (mio. $) -0.08 0.53 0.71 1.11

Pro

bab

ility level

Severity category

tolerable

intolerable

Los límites de tolerancia deben acordarse en función de lo

definido por los Órganos de Gobierno.

© Z

uri

ch In

sura

nce

Com

pan

y L

td

25

Trabajo previo –Identificación preliminar de riesgosCompletar todo el trabajo posible mediante reuniones previasUtilizar las evaluaciones de riesgo de los ejercicios anteriores como referencia

Involucrar a todo el grupo en el proceso de valoración de riesgosPreguntar de forma expresa a cada individuo y fomentar la interacción

Rating – Acordar el método utilizado para la medición (Beneficio, Reputación, etc)

Ello facilitará la revisión futura de los riesgos

Al final del proceso de rating, revisar el mapa y comparar los riesgos que tienen el mismo rating

Asignar responsables de cada escenarioEllo ayuda en la actualización con posterioridad a la sesión

Definir acciones SMARTEllo facilita el seguimiento sobre el cumplimiento de las accionesCuando las acciones acordadas sean continuas en el tiempo, es conveniente acordar objetivos intermedios que permitan hacer el seguimiento de la consecución

Metodología de Evaluación de Riesgos Resumen

© Z

uri

ch In

sura

nce

Com

pan

y L

td

27

La asunción y control de riesgos forma parte integrante del negocio

“Tres líneas

de defensa

”

Las Funciones de Riesgo y Compliance aseguran un marco consistente de riesgos y controles

1. Desarrollan e implementan un marco integral de riesgos y control y unas políticas de riesgos generales de cumplimiento

2. Establecen metodologías para medir y evaluar los riesgos y monitorizar el cumplimiento de las políticas

3. Efectúan el seguimiento de las exposiciones de riesgo respecto a los límites de tolerancia y proponen los límites de riesgos

4. Desarrollan y operan con una adecuada estructura de riesgos y controles, incluyendo la agregación de riesgos y el reporting

La gestión del negocio es la propietaria de todos los riesgos

1. El negocio toma decisiones de riesgo, optimizando el riesgo/rentabilidad

2. El negocio gestiona los riesgos a diario3. El negocio mitiga los riesgos cuando es necesario

Auditoría proporciona una revisión y evaluación independiente

1. Auditoría evalúa la efectividad del marco de riesgos y compliance

2. Auditoria parte de los riesgos identificados por las funciones de Riesgos y Compliance para planificar sus actividades

3. Auditoria efectúa el seguimiento independiente de la efectividad de los controles de riesgos

1

2

3

© Z

uri

ch In

sura

nce

Com

pan

y L

td

28

Gestión Riesgos

Auditoría Interna

Compliance

Coordinación de la Segunda y Tercera Líneas de Defensa

Gestión de RiesgosCoordina la identificación, la evaluación de riesgos y la cuantificación financiera de los riesgos para conseguir una visión integral de los riesgos de la organización. Responsable de la coordinación del reporting de riesgos.El mapa de riesgos resultante es la base de las actividades de assurance de las otras funciones

ComplianceFunción especialista que contribuye a proporcionar detalles sobre asuntos de compliance.Coordina con las otras funciones dentro de su mandato.

Auditoría InternaFacilita el alineamiento de la metodología de assurance y su adecuada cobertura (incluyendo destacar potenciales gaps)

Responsable de la coordinación del reporting de assurance.

© Z

uri

ch In

sura

nce

Com

pan

y L

td

Ejercicio de Identificación y Alcance de Compliance

Anualmente, la función de Compliance efectúa un ejercicio de identificación y alcance de las áreas con mayor exposición intrínseca y evalúa si dichas exposiciones están adecuadamente controladas o se requieren acciones adicionales. Este ejercicio se integra en un ejercicio similar efectuado por la función de Gestión de Riesgos y es la base de la planificación de las actividades en las que se focalizan ambas funciones durante dicho ejercicio

El ejercicio de Compliance se centra en el Universo de Compliance. La exposición intrínseca se evalúa en función de las potenciales sanciones y/o impacto reputacional y con una visión tanto local como de Grupo


© Z

uri

ch In

sura

nce

Com

pan

y L

td

30

Ejemplo del resultado del ejercicio de identificación y alcance

Priorización de actividades de seguimiento

Identificación de áreas para una evaluacion de riesgos

Priorización de planes locales y de Grupo

Áreas

Ambitos

© Z

uri

ch In

sura

nce

Com

pan

y L

td

31

De la identificación al seguimiento

Resultados Identificació

n (*)

Requerimientos de

seguimiento obligatorios

Requerimientos de negocio y de la estrategia

Propuesta Plan

SeguimientoPlan aprobado

• Se utiliza juicio profesional para

identificar y priorizar actividades

Input Resultado final

• Se acuerda la propuesta con la Gerencia

• Se exploran sinergias entre las distintas

funciones de assurance

• Se identifican necesidades de recursos

• Se obtiene aprobación en los comités

correspondientes

• Se escalan potenciales necesidades adicionales de recursos, en su caso

Proceso iterativo

(*): Incluye nuevas regulaciones y tendencias observadas

© Z

uri

ch In

sura

nce

Com

pan

y L

td

32

Planificación en detalle de las actividades de revisión y seguimiento a efectuar

Descripción de los pasos del proceso

Trabajo de campo

Comunicación de

resultados

Acciones correctiva

s

Planificación

Seguimiento acciones correctoras

Ciclo de Seguimiento

Seguimiento y revisiones

AB

C

D

E

A

B

C

D

Ejecución del trabajo de campo en los procesos y áreas expuestas

Análisis de las causas de las desviacionesComentar con el negocio

El negocio define e implementa las acciones correctivas, con el soporte de las funciones de assurance

Priorización en base a riesgos

ELas funciones de assurance confirman que las acciones acordadas se implementan adecuadamente

© Z

uri

ch In

sura

nce

Com

pan

y L

td

Claves del éxito hacia una nueva gobernanza

“Buen Gobierno 2.0”: no sólo patrimonio de las cotizadas - La centralidad del Consejo de Administración- Derecho y Deber de Información- Transparencia y separación de funciones- Políticas, Procesos y Controles integrados en la toma de decisiones- En función de la exposición al riesgo

Cambio cultural (favorecido por la crisis económica y de confianza)

Ética de los negocios y sistemas de control difuso de conductasLa Comunicación y la Formación como motores del cambio

El Pilar 2 de Solvencia II pretende posicionar al sector asegurador en primera línea 34El trabajo conjunto de las funciones de “assurance”. Sistemas de Cumplimiento y de Gestión y Control de Riesgos –

Madrid, Febrero 2013

internal use only el trabajo conjunto de las funciones de assurance sistemas de cumplimiento y de...

Documents