la gestión del riesgo operacional en el sistema financiero ... encuesta ro 2009... · la gestión...

La gestión del riesgo operacional en el sistema financiero argentino

Gerencias de Régimen Informativo, Supervisión, Investigación y Planificación Normativa y Auditoría Externa de Sistemas1

Banco Central de la República Argentina

Diciembre de 2009

Resumen

El presente documento resume los resultados de una encuesta diseñada y procesada por un grupo de trabajo del BCRA para conocer el grado de avance en la implementación de los sistemas de gestión del riesgo operacional en las entidades del sistema financiero. Los resultados muestran un avance significativo respecto al último relevamiento realizado durante el año 2006 en esta materia. La encuesta abarcó aspectos relacionados con la estructura existente para la gestión del riesgo, el diseño de las políticas, la asignación de responsabilidades, los sistemas tecnológicos utilizados, entre otros aspectos. Se relevaron también toda una serie de aspectos relacionados con la recolección y uso de datos internos sobre eventos y perdidas por RO. La encuesta fue completada por casi todas las entidades financieras de Argentina durante el mes de abril de 2009

1 El grupo de trabajo estuvo integrado por Rodrigo Danessa, Silvia Fernández y Roberto Jorgensen de la Gerencia de Régimen Informativo; Rosalina Díaz por Supervisión de Entidades Financieras; Marcelo Gonzalez por la Gerencia de Auditoría Externa de Sistemas; Ana Mangialavori, Ángel Del Canto, Miguel Delfiner y Cristina Pailhé por la Gerencia de Investigación y Planificación Normativa. Se agradece especialmente la coordinación y revisión de Cristina Pailhé, Rosalina Díaz y Ricardo Maero que han contribuido en forma sustantiva a mejorar este trabajo, como así también a José Rutman, Guillermo Corzo y Daniel Domínguez por el apoyo brindado para la realización de este trabajo. Las opiniones vertidas en el documento corresponden a los autores y no representan una posición oficial del Banco Central de la República Argentina, siendo los errores remanentes exclusiva responsabilidad de los redactores. La información que se vuelca en este trabajo se expone en forma agregada y de tal manera de mantener la confidencialidad de la información suministrada por las entidades.

Indice 1. Introducción 2. Aspectos estructurales de la administración del riesgo operacional (RO)

2.1. Marco de gestión del RO 2.2. La unidad de RO 2.3. Reportes y herramientas de difusión interna

3. Identificación y evaluación del RO

3.1. Datos internos sobre eventos operacionales 3.2. Sistemas tecnológicos 3.3. Técnicas cualitativas para la gestión del RO

4. Seguimiento, control y mitigación del RO 4.1. Seguimiento del RO 4.2. Control y mitigación del RO 4.3. Rol de la auditoría interna

5. Conclusiones Referencias bibliográficas Anexo: Encuesta enviada a las entidades financieras

2

1. Introducción Durante el año 2006 se realizó un relevamiento de los sistemas de información necesarios para la gestión del riesgo operacional (RO), a partir de una serie de entrevistas individuales realizadas a entidades representativas del sistema financiero2. En esa oportunidad, el análisis se organizó alrededor de las siguientes áreas:

• Estructura organizacional y recursos para la gestión del RO • Seguimiento y resguardo de los datos (internos, externos, y otros) • Modelos implementados para la evaluación del RO • Otros aspectos

Como resultado del relevamiento, la principal conclusión extraída en esa oportunidad fue que en cuanto al desarrollo de estructuras organizativas y sistemas para la medición del RO, la mayor parte del sistema financiero argentino estaba todavía en una etapa primaria. Salvo casos particulares, no se observaba el desarrollo de sistemas integrales de administración del RO. Posteriormente, en abril de 2008, el BCRA emitió la Com.“A”4793, la que contiene los “Lineamientos para la gestión del riesgo operacional en las entidades financieras”.3 Esta regulación recoge los estándares internacionales aplicables a las entidades financieras en materia de gestión de este riesgo, lo cual está en línea además con lo observado en la regulación de los distintos países. La norma recoge el concepto aceptado internacionalmente según el cual se entiende por RO al riesgo de pérdidas resultantes de la falta de adecuación o fallas en los procesos internos, de la actuación del personal o de los sistemas o bien aquellas que sean producto de eventos externos. Este concepto incluye el riesgo legal y excluye el riesgo estratégico y reputacional. El riesgo legal, que puede verificarse en forma endógena o exógena a la entidad financiera, comprende, entre otros aspectos, la exposición a sanciones, penalidades u otras consecuencias económicas y de otra índole por incumplimiento de normas y obligaciones contractuales. La norma estableció una implementación gradual del sistema de gestión de RO, de acuerdo con el siguiente cronograma:

• 31.7.08: establecimiento y aprobación por parte del Directorio -o autoridad equivalente- de los lineamientos generales -estrategias y políticas- que contendrá el sistema de gestión del RO.

• 31.12.08: definición y documentación -por parte de la Gerencia General o autoridad equivalente- de los procesos y procedimientos involucrados y de la estructura funcional necesaria para la gestión del RO.

• Entre el 1.1.09 y el 31.12.09: tareas necesarias tendientes a la implementación plena del sistema de gestión del RO conforme al siguiente detalle:

o hasta el 31.8.09: para los procesos críticos, y o hasta el 31.12.09: para la totalidad de los procesos.

2 BCRA (2006) 3 BCRA (2008).

3

Como siguiente paso, en febrero de 2009 el BCRA publicó la Com. “A” 4904 conteniendo el régimen informativo "Base de datos sobre eventos de Riesgo Operacional"4. Esta norma detalla los datos mínimos que las entidades deben recolectar a efectos de su gestión del RO y cuya primera presentación ante el BCRA corresponderá al primer trimestre de 2010. Sin duda, este requerimiento constituirá un incentivo adicional para que aquellas entidades que no disponían de base de datos avancen en la conformación de la misma; y para las que cuentan con una base, puedan realizar revisiones y correcciones de la información recolectada. El BCRA ha asumido un rol de “coordinador” en la materia, dado que uno de los objetivos es que las entidades recolecten información sobre bases homogéneas, al tiempo que la información recolectada por las entidades tiene que ser efectivamente utilizada por la entidad en su proceso de gestión de este riesgo. Con el objetivo de contar con un cuadro actualizado de la situación de los sistemas de gestión del RO implementados por las entidades financieras argentinas, el 31 de marzo de 2009 se puso en marcha un nuevo relevamiento en el sistema financiero5 que le permita a BCRA contar con una visión agregada de la situación de las entidades. Dado que algunas entidades financieras habían realizado tareas de gestión del RO con antelación a la publicación de las citadas normas, las preguntas comprendidas en la encuesta se han redactado de forma amplia para poder capturar dichos desarrollos. La encuesta fue respondida por 83 entidades, lo que representa prácticamente la totalidad del sistema financiero argentino. Las respuestas de las entidades financieras se han asociado en función de grupos homogéneos a efectos de enriquecer las conclusiones definidas de acuerdo con el criterio que se muestra en el Cuadro 1.

Cuadro 1: Grupos homogéneos de entidades financieras

Grupo homogéneo Cantidad 1 Bancos públicos grandes 4 2 Bancos minoristas grandes 8 3 Bancos provinciales y municipales 9 4 Bancos minoristas medianos 14 5 Bancos minoristas pequeños6 13 6 Entidades con negocio corporativo 13 7 Bancos mayoristas 11 8 Entidades especializadas 11

En la Sección 2 del documento se relevan los aspectos estructurales de la gestión del RO, incluyendo las políticas establecidas, el marco de gestión del RO y características de la unidad de RO. La Sección 3 está asociada a la identificación y evaluación del RO, profundizando en aspectos vinculados a la captura de datos internos sobre eventos

4 BCRA(2009-a). 5 BCRA (2009-b) 6 Un banco perteneciente a este grupo no respondió la encuesta.

4

operacionales y los sistemas tecnológicos implementados para ello. La Sección 4 releva aspectos vinculados al seguimiento, control y mitigación del RO y el rol de la auditoria interna. Finalmente, en la Sección 5 se ofrecen las principales conclusiones. 2. Aspectos estructurales de la administración del riesgo

operacional El concepto de RO tal como lo definió el Comité de Basilea y adoptó el BCRA, es el utilizado por prácticamente la totalidad de las entidades financieras. Dado que la Com. “A” 4793 establece que cada entidad podrá adoptar una definición más amplia, se observa que sólo tres de ellas utilizan una definición que difiere de la definición propuesta: en dos casos se incluye el riesgo reputacional y en el tercer caso además de este último se incluye el riesgo estratégico. El proceso de gestión del RO comprende la identificación, evaluación, seguimiento, control y mitigación del riesgo. Por ello, la entidad debe implementar una gestión efectiva del mismo con el propósito de prevenir la ocurrencia de futuras pérdidas por este tipo de eventos. Un primer paso comprende la aprobación por parte del Directorio de las políticas, procedimientos y estructuras a implementar. De acuerdo con la encuesta realizada, en primer lugar, dos elementos que prioritariamente han definido las entidades son i) la estructura funcional y responsabilidades y ii) los procedimientos para el análisis cualitativo de la gestión del RO. En segundo término, las entidades se focalizaron en la difusión del sistema de gestión de RO dentro de la entidad, a través de su promoción dentro de la cultura organizacional y la capacitación del personal en todas las áreas involucradas. La recolección de datos sobre eventos de RO se considera otro aspecto a destacar así como la fijación de herramientas para gestionar el RO, estableciendo autoevaluaciones, reportes al Directorio y mapas de riesgo. Las dos últimas consideraciones corresponden al establecimiento de procedimientos derivados de las actividades subcontratadas y de los servicios prestados por proveedores y a la mejora continua en los procesos. El gráfico resume las políticas aprobadas por el Directorio para gestionar el RO, las cuales no son excluyentes entre sí.

Gráfico 1: Políticas aprobadas por el Directorio

50%

1 2 3 4 5 6 7 8

Grupos homogéneos

10%20%

30%

40%

50%60%

70%

80%90%

100%

Definición de estructura funcional y responsabilidades Definición y descripción proced. para análisis cualitativoDifusión sistema de gestión RO (cultura RO / capacitación) Base de eventos de ROHerramientas para administrar los riesgos Mejora continua de procesosPolíticas gestión actividades subcontratadas y proveedores

2.1. Marco de gestión del RO Previo a la publicación de la regulación con lineamientos para la gestión del RO, 31 entidades declaran no haber desarrollado iniciativa alguna en cuanto a la gestión del RO. De las restantes 53 entidades, 15 señalaron que a la fecha de la publicación del texto ordenado contaban con un grado significativo de avance en la materia (reflejado a través de alguna de las siguientes iniciativas: existencia de un área específica de RO, políticas de gestión del riesgo, recolección de datos, uso de herramientas de auto-evaluación, sistema de indicadores de riesgos, entre otros). En las restantes 38 entidades financieras, los avances fueron menores (p.ej. formulación de programas de concientización y culturización del RO, lineamientos para la administración del RO, capacitación, entre otros). En cuanto a la participación de la auditoría interna en el desarrollo del sistema de gestión, el relevamiento refleja que en el 25% de las entidades la auditoria no participa. El resto, en su gran mayoría, se limita a monitorear el proceso de desarrollo e implementación de las políticas y procedimientos de RO. Con referencia a los mecanismos que aseguran la integración de la gestión del RO en la operatoria diaria de la entidad se obtuvieron las respuestas que se listan a continuación (algunas entidades señalaron varias alternativas).

Cuadro 2: Mecanismos para la integración de la gestión del RO

en la operatoria diaria de la entidad

Mecanismos # Capacitación, talleres y reuniones 31Reporte de eventos / recolección de datos 26Monitoreo de la Unidad RO 26Publicación de políticas y normas 25Designación de coordinadores de riesgo 18Cultura y concientización 17Evaluación previa en nuevos productos 15Autoevaluación 13Controles de auditoría 11Otros 27

2.2. La unidad de RO (URO) En el 66% de las entidades, la URO depende directamente de la Gerencia General. Sin embargo como se destaca en el gráfico que sigue, esta relación es relativamente menos directa en el caso de los bancos minoristas grandes y medianos, donde aparecen distintas instancias intermedias.

6

Cuadro 3: Dependencia de la URO de la Gerencia General

Grupo homogéneo 1 2 3 4 5 6 7 8 Dependencia Gcia.Gral. 75% 50% 67% 57% 69% 77% 73% 64% Por otro lado, el esquema siguiente muestra, en el agregado, de qué instancia depende la URO (además de la gerencia general).

Gráfico 2: Dependencias funcionales de la URO

% de total de entidades

Gerencia general

66%

Comité ejecutivo

4% Otros11%

Directorio11%

Control de

riesgos8%

La normativa establece que los sistemas para gestionar el RO deben ser proporcionales a las dimensiones de la entidad y a la complejidad de sus operatorias. Con relación a este tema, resulta razonable que el número de empleados sea proporcional al tamaño de las entidades consultadas, como puede observarse a continuación.

Gráfico 3: Número de empleados

en promedio

0

1

2

3

4

5

6

1 2 3 4 5 6 7 8

Grupos homogeneos

La norma establece que deberá existir independencia entre la unidad o persona responsable de la gestión y las unidades de negocio involucradas, con delimitación de funciones y responsabilidades. No obstante, la URO podrá involucrar a personal de otras áreas siempre que las responsabilidades asignadas no impliquen conflicto de

7

intereses. En referencia a cómo la URO se vincula con el resto de la institución, en el 81% de las entidades se prevé involucrar a personal de otras áreas. El siguiente gráfico representa dicha información abierta por grupo de entidades.

Gráfico 4: Entidades que planean involucrar personal de otras áreas % entidades en el grupo

0%

20%

40%

60%

80%

100%

1 2 3 4 5 6 7 8

Grupos homogéneos

El bajo porcentaje correspondiente al grupo 1 (bancos públicos grandes) podría estar directamente vinculado a la mayor cantidad relativa de personal afectado a la URO en estos casos. En el siguiente gráfico se presentan las diversas alternativas de vinculación entre la URO y el resto de la entidad (existen entidades que mencionaron más de una alternativa). Cabe destacar la importancia de los llamados “referentes” que en todos los casos -excepto en los grupos 5 y 7-, aparece como una de las más mencionadas. A las autoevaluaciones así como a la acción y monitoreo de la URO se les asigna también un papel destacado en este sentido.

Gráfico 5: Vinculación entre URO y resto de la entidad % entidades en el grupo

8

0%10%20%30%40%50%

60%70%80%90%

100%

1 2 3 4 5 6 7 8Grupos homogéneos

Referentes de RO por unidad OtrosAcción y monitoreo de la URO Interacción con "dueños" de procesosAutoevaluaciones periódicas Información de eventos de riesgoCursos y talleres

2.3. Reportes y herramientas de difusión interna

En la mayoría de las entidades financieras, los reportes al Directorio tienen una periodicidad mínima semestral. En gran parte de ellas, dichos informes se remiten de la Unidad de RO al Comité de Riesgos, y de éste al Directorio. En el caso de los grandes bancos privados, informan sobre la evolución de indicadores de riesgos y cumplimiento de planes de mitigación con frecuencia mensual / trimestral. En otros casos, es la Gerencia General quien reporta al Directorio los principales aspectos relacionados con la gestión del RO. El cuadro que se presenta a continuación sintetiza el modo en que se difunden las políticas de gestión del RO dentro de la entidad. La gran mayoría de las entidades encuestadas utilizan programas de capacitación internos; en segundo término intranet; y en tercer lugar comunicaciones internas y boletines informativos. Un 25% de las entidades utiliza otras políticas de gestión que incluyen, por ejemplo, reuniones, capacitación externa y e-learning.

Cuadro 4: Difusión de políticas Difusión de políticas Entidades

Prog. de capacitación internos 78Intranet 67Comunicaciones internas / Boletines informativos 63Otros (reuniones, capacitación externa, e-learning) 21

En términos generales, las entidades relevadas declaran tener manuales actualizados a disposición del personal que incluyen las políticas, procesos y procedimientos de gestión del RO. En el cuadro siguiente se exhiben los temas incluidos en los manuales.

Cuadro 5: Contenidos de los manuales de RO Contenidos Entidades

Políticas 79Procedimientos 77Procesos 65En elaboración / revisión 4

Respecto a los sistemas de información que se han establecido entre las distintas Gerencias y/o líneas de negocio y la Unidad de RO y su periodicidad se han recabado las siguientes respuestas.

9

Cuadro 6: Tipo de reporte y periodicidad

Reportes Casos Frecuencia Mapeo de procesos, riesgos y controles 10 4 anual, 2 trim., 2 sem. Auto evaluación 24 16 anual, 3 trim., 2 sem.

Eventos de perdidas 45 22 cuando se producen, 7 diario, 7 mensual

Nuevas actividades, productos, procesos y sistemas 7 6 cuando se producen Indicadores de riesgo clave 13 6 mensual, 3 trim. Planes de acción 12 5 anual, 4 mensual

Informes de gestión 28 4 anual, 6 semestral, 4 trimestral, 7 mensual

Otros reportes 4 Matriz de auto-evaluación de riesgos 13 10 anual Informes de la URO a responsables de Gerencias 28 En general trim. y sem. Informes del comité de RO 6 3 trimestrales Informes de la Gerencia General 4 4 semestrales Además de estos informes, 7 entidades manifestaron realizar reuniones internas y talleres con frecuencia variable para intercambiar información sobre RO. 3. Identificación y evaluación del RO Con referencia a los procedimientos y procesos para identificar los RO, en general las respuestas aluden a un enfoque cualitativo en el cual el proceso principal es la autoevaluación realizada por cada una de las unidades que permita identificar los riesgos y medirlos basados en el impacto, la probabilidad de ocurrencia y la efectividad de los controles incorporados. Este proceso generalmente incluye la confección de una matriz de productos, procesos y responsables de los mismos; la realización de autoevaluaciones para cada uno de los procesos relevados en la matriz a fin de determinar los riesgos inherentes a los mismos y verificar los controles aplicados y la confección de un mapa de riesgos operacionales por procesos. También aparecen mencionadas metodologías cuantitativas basadas en identificación, registro de pérdidas derivadas de RO frecuentemente en una base de datos de pérdidas y análisis evolutivo de las mismas. Es oportuno señalar que si bien muchas entidades no han incluido entre los procedimientos para identificar el RO la utilización de matrices de riesgo, mapeo de riesgos y controles, indicadores clave, la recolección de eventos de pérdidas y recuperos o la confección de bases de registro de pérdidas, es notorio que en la mayoría de los casos estos procedimientos se encontrarían implementados de acuerdo con lo que han respondido ante otras preguntas de la encuesta.

10

Cuadro 7: Procedimientos y procesos para identificar RO Cantidad y % de entidades

Procedimientos y procesos Cantidad 1 2 3 4 5 6 7 8

Auto-evaluación 53 75% 88% 67% 79% 46% 77% 55% 36%Mapeo de riesgos y controles 26 50% 13% 44% 29% 54% 46% 9% 9%Matrices de riegos 21 25% 13% 0% 36% 54% 31% 27% 0%Recolección de eventos de pérdidas y recuperos 19 25% 13% 0% 50% 31% 15% 18% 27%

Base de registro de pérdidas 14 0% 13% 11% 7% 23% 23% 27% 18%Indicadores clave de riesgos 12 50% 25% 11% 7% 8% 15% 18% 9%Reuniones de identificación de riesgos 9 0% 13% 0% 14% 8% 23% 9% 9%

Coordinadores de RO 8 0% 25% 11% 0% 23% 8% 0% 9%Evaluación de nuevos productos o procesos 8 0% 0% 11% 43% 0% 0% 0% 9%

Auditoría interna 7 0% 0% 0% 21% 15% 15% 0% 0%Otros 13 25% 38% 11% 21% 8% 0% 36% 0%

En cuanto a los mecanismos a implementar a efectos de promover una cultura que estimule el reporte de eventos operacionales, la mayoría de las entidades señala la capacitación y entrenamiento del personal y las tareas de divulgación utilizando en muchos casos la intranet. Por otro lado también se menciona en un gran número de casos la política de incluir el reporte de eventos operacionales entre los criterios para la evaluación de desempeño del personal o de ofrecer directamente incentivos para promover dicha conducta. Muchas entidades, sobre algunas de mayor tamaño, señalan también la importancia en este sentido de haber designado referentes o coordinadores de riesgo operacional.

Cuadro 8: Mecanismos a implementar para estimular reporte de eventos

Cantidad y % de entidades

Procedimientos y procesos # 1 2 3 4 5 6 7 8 Entrenamiento y capacitación del personal 64 75% 63% 89% 64% 85% 85% 82% 73%

Actividades de divulgación 23 25% 25% 11% 36% 38% 31% 27% 18%Incluirlo en la evaluación de desempeño del personal 17 25% 25% 0% 57% 15% 8% 18% 9%

Incentivos al personal 17 25% 25% 44% 50% 8% 15% 0% 0%Promoción en Intranet 13 25% 13% 11% 21% 15% 8% 27% 9%Procedimientos y herramientas de reportes de riesgos 9 25% 25% 0% 21% 15% 0% 9% 0%

Fortalecer la figura del coordinador de RO 7 0% 38% 0% 0% 8% 8% 9% 9%

Utilizar y adecuar registro contable 5 25% 25% 11% 0% 8% 0% 0% 0%Estandarizar la identificación y gestión del RO 5 0% 0% 0% 0% 23% 8% 9% 0%

11

Los factores que según las entidades influyen en mayor medida en su perfil de riesgo operativo se pueden agrupar en principio según sean internos o externos. Entre los factores internos las entidades mencionan principalmente rubros genéricos como el factor humano (incluyendo aquí algunas menciones a los procesos y controles que se realizan en forma manual), los procesos y los sistemas informáticos. También destacan factores relacionados con el tipo particular de operatoria de cada entidad como operaciones por montos significativos o de alta complejidad operativa, amplia diversidad de productos ofrecidos y gran atomización de operaciones. En cuanto a los factores externos se han mencionado los cambios en el escenario político y económico así como los cambios en el propio sistema financiero y en el marco regulatorio que le concierne y también la posibilidad de daños al capital físico por diferentes causas, incluyendo desastres naturales o convulsiones sociales.

Cuadro 9: Factores que más influyen en el perfil de RO Cantidad de entidades

Factores / Grupos homogéneos 1 2 3 4 5 6 7 8 TotalProcesos 1 1 5 1 8 6 3 4 29Fallas tecnológicas sistemas 1 1 2 2 6 7 6 3 28Factor Humano 1 1 2 1 5 4 8 3 25Fraude 0 2 3 1 4 1 3 2 16Cambios político -económicos 0 1 1 2 2 1 1 2 10Cambios regulatorios 0 0 0 4 2 2 2 0 10Cambios Sist. Financ. / Nuevos productos 0 2 1 1 1 2 1 1 9Crecimiento - nuevos procesos 0 1 1 2 1 2 0 1 8Cuestiones legales - Juicios laborales 0 1 0 3 1 0 1 1 7Eventos externos 1 0 0 4 1 1 0 0 7

De los factores que pueden ser tanto de origen interno como externo se menciona sobre todo la posibilidad de fraudes, señalándose en algunos casos a los avances tecnológicos como un factor adicional que puede incidir en este tipo de riesgo operacional. Aquí también aparece el factor legal mencionado algunas veces en relación con la posibilidad de enfrentar juicios laborales y otras en referencia a posibles reclamos de los clientes. Puede agregarse también que algunas entidades mencionan como factor de riesgo el hecho de estar encarando una etapa de crecimiento y de apertura de nuevos procesos y que algunos señalan su exposición al sector público.

3.1. Datos internos sobre eventos operacionales Uno de los elementos centrales al momento de gestionar el RO es el uso de datos internos referidos a los eventos de RO y sus pérdidas asociadas. La norma sobre gestión del RO establece que las entidades deberán establecer un proceso para registrar y consignar sistemáticamente la frecuencia, severidad y otros aspectos referidos a los eventos por RO. La recopilación de esos datos contribuirá al objetivo de reducir los incidentes y montos de pérdidas así como también a la mejora de la calidad del servicio y de los productos. La encuesta refleja que 50 entidades recopilan información empírica sobre los eventos de RO acaecidos. Los porcentajes varían según los grupos homogéneos, de acuerdo a lo exhibido en el siguiente cuadro.

12

Gráfico 6: Recolección de datos de RO

% de entidades en el grupo

0%

20%

40%

60%

80%

100%


Con relación a los datos internos sobre eventos operacionales, las respuestas que figuran a continuación corresponden sólo a las entidades financieras que recolectan esos datos. En lo referido a la antigüedad de la base de datos de las entidades se han recibido las siguientes respuestas.

Gráfico 7: Años de observaciones Cantidad de entidades en el grupo

0

1

2

3

4

5

6

7

1 2 3 4 5 6 7 8

Grupos homogeneos

Hasta 1 año de 1 a 3 años de 3 a 5 años mas de 5 años No contesta En cuanto a los criterios empleados para la asignación de los eventos a la matriz de tipo de evento / línea de negocio, el 78% de las entidades que recolectan datos afirma seguir los criterios establecidos en la Com. "A" 4904. El resto de las entidades siguen lineamientos de su casa matriz, de bases de datos externas como ORX u otro tipo de apertura por línea de acuerdo a su estructura.

13

Gráfico 8: Asignación de eventos de acuerdo con criterios BCRA % de entidades en el grupo

0%

20%

40%

60%

80%

100%


Del total de entidades que recolectan datos, 36 entidades afirman contar con criterios documentados para la asignación de las pérdidas a las líneas de negocios y a los tipos de eventos especificados. Cinco entidades están en el proceso de desarrollo de la documentación respaldatoria de acuerdo con lo establecido en la Com “A” 4904, mientras que 10 entidades han respondido negativamente. Del total analizado, el grupo 2 es el que tiene más entidades con criterios documentados. Los grupos 5 y 8 son los que en su mayoría han respondido negativamente. En cuanto al criterio a aplicar en los casos en que un evento afecta a distintas líneas de negocio, se recibieron las siguientes respuestas (en cantidad de entidades; 3 entidades no contestan).

Gráfico 9: Imputación de eventos Cantidad de entidades

Se prorratea

29

Rubro "a distribuir"

1

Aun no definido

1

No hay apertura por LN

4

Línea maximo impacto

12

En cuanto a la dificultad de imputar ciertos eventos de RO a las líneas de negocios propuestas, en la mayoría de los casos las entidades declaran que la clasificación de líneas de negocio prevista abarca los eventos ocurridos. En pocas entidades surgieron excepciones relacionadas con área de soporte y siniestros (robo, incendio etc), las que fueron asignadas a rubros denominados “áreas de soporte” o “a distribuir". La gran mayoría de las entidades que recaba eventos por RO recopila información de carácter descriptivo sobre los factores desencadenantes o las causas de los eventos de pérdida.

14

De las entidades que recopilan información sobre eventos operacionales, el 40% dice emplear un umbral mínimo para la recolección de datos equivalente a $ 1.000 (que es lo solicitado para la base requerida por el BCRA). El 48% no utiliza ningún tipo de umbral, mientras que el 12% restante toma en cuenta otros importes por encima de los cuales se registran los eventos. En el gráfico que sigue se representa la cantidad de entidades por grupo homogéneo.

Gráfico 10: Utilización de umbral Cantidad de entidades en el grupo

0

1

2

3

4

5

6


$1000 Otro Sin umbral En cuanto a las fechas que utilizan las entidades al incluir un evento en la base, corresponden en su mayoría a fecha de descubrimiento o de registro contable, tal como lo refleja el siguiente cuadro.

Cuadro 10: Fechas registradas % total de entidades

Fecha

Inicio 88%Descubrimiento 96%Registro contable 92%Finalización 74%

Por su parte, el 86% del total de entidades que registran eventos de pérdida también registran los recuperos. A su vez, el 80% del total de entidades que registran eventos de RO toman en cuenta los importes brutos de las pérdidas, sin netear los recuperos, tal como lo establece el BCRA donde se los deben considerar como un suceso independiente pero vinculado a través de la causa raíz con el evento original. En el análisis por grupos, se observa que en el grupo 5 la mitad de los casos no registra los montos brutos mientras que en los grupos 1 y 7 lo hacen todas las entidades. En el siguiente cuadro se representa la cantidad de entidades que no registran recuperos y las que registran la severidad neta de recuperos.

15

Cuadro 11: Tratamiento de recuperos Cantidad de entidades en el grupo

Grupo homogéneo 1 2 3 4 5 6 7 8 No registra recuperos 0 0 1 1 1 2 0 2 Registra severidad neta 0 1 2 1 3 2 0 1

El registro de pérdidas a valor contable es realizado por el 58% de las encuestadas, el 12% lo hace según valor de mercado y el porcentaje restante las registra a uno u otro valor, según el evento. Es decir si la pérdida involucra un bien con valor de mercado conocido, utiliza ese valor; si se trata de una pérdida contingente, la registrará por la previsión contable más ajustes si los hubo.

Gráfico 11: Tratamiento de pérdidas Cantidad de entidades en el grupo

012345678

1 2 3 4 5 6 7 8

Grupos homogéneos

Valor contable Valor de mercado mercado/contable Cuando hay múltiples pérdidas que derivan de un mismo evento de RO, el 84% declara que las agrupa y las trata como una sola pérdida, en tanto que el 16% restante no las agrupa. La norma sobre base de datos no establece obligatoriedad para que las entidades informen las cuasipérdidas (eventos que no resultan en una pérdida financiera). Sin embargo, la encuesta revela que el 64% de las entidades financieras declara llevar registro de las cuasipérdidas en los casos en que estas se detecten.

Gráfico 12: Registro de cuasipérdidas % de entidades en el grupo

16

0%

20%

40%

60%

80%

100%


Las entidades realizan controles de integridad respecto de los eventos incluidos en la base de datos, básicamente con la contabilidad, si bien un alto porcentaje no dispone de sistemas diseñados a ese efecto7 (en algunos casos las entidades han ofrecido más de una opción):

Gráfico 13: Controles de integridad Cantidad de entidades en el grupo

012345678


Con contab. Con otras bases Con otros sist. Ninguno Dado que los datos internos son insuficientes a efectos de administrar los riesgos, se recomienda complementarlos con datos externos y análisis de escenarios. De las entidades que registran eventos de pérdida, sólo 7 de ellas declaran utilizan fuentes externas para complementar la información.

Cuadro 12: Fuentes externas Cantidad de entidades

Grupo homogéneo 1 2 3 4 5 6 7 8 Datos de uso público 0 1 1 1 0 3 0 0 Bases de datos comerciales 0 0 0 1 0 1 0 0 Consorcio de datos 0 1 1 1 0 0 0 0

3.2. Sistemas tecnológicos

El 44% de todas las entidades que recolectan información afirma emplear como soporte tecnológico a las bases de datos y/o aplicativos específicos, mientras que el restante 56% utiliza planillas de cálculo disponibles en los softwares comerciales usuales. El uso de planillas de cálculo prevalece más marcadamente en los grupos 3, 4, 5 y 6. En referencia a sistemas desarrollados internamente para la gestión del RO, se recopilaron las siguientes respuestas.

7 En los que las entidades declaran que los controles se encuentran en estado de implementación se ha optado por la opción “Ninguno”.

17

Cuadro 13: Desarrollo interno de sistemas % de entidades en el grupo

por casa matriz por terceros

1 50% 0% 25% 25%2 50% 13% 25% 13%3 44% 22% 33% 0%4 7% 29% 36% 29%5 15% 15% 15% 54%6 23% 8% 38% 31%7 36% 9% 18% 36%8 27% 0% 9% 64%

Dispone, y fue desarrollado No dispone No contesta El 20% de entidades señala cumplir en su totalidad con la Comunicación "A" 4609, el 48% declara hacerlo de manera parcial y el 32% todavía no cumple con dichos requisitos. Puede observarse en el siguiente gráfico el cumplimiento por grupo homogéneo.

Gráfico 14: Cumplimiento de la Com. “A” 4609 Cantidad de entidades en el grupo

0

1

2

3

4

5


Total Parcial No cumple El 58% de las entidades que capturan datos de eventos de RO señala que poseen documentada la integración de los riesgos asociados con la tecnología de la información a la gestión de los RO (ver gráfico).

Gráfico 15: Documentación de riesgos de tecnología % de entidades

0%

20%

40%

60%

80%


18

El 84% de las entidades encuestadas que respondieron a este grupo de preguntas declara que realizan back-up de la información. Manifestaron no tener back-up: una entidad del grupo 5, una del grupo 6, una del grupo 7 y 2 bancos del grupo 8; mientras que otras 2 entidades no respondieron a la pregunta. Los procesos de resguardo de la información se realizan con diferentes periodicidades (diaria, semanal, mensual) y el tiempo de recupero de los datos, si bien depende del volumen y el tipo de contingencia, no excede en promedio de las 24 horas. El área que prevalece en el resguardo de los back-ups es el área de Sistemas en un 68% de las entidades. En menor medida siguen las casas matrices con un 8%, empresas tercerizadas con un 6%, y las áreas responsables de la gestión del riesgo con un 4%. Por otra parte un 14% todavía no realiza la guarda de datos y están en vías de desarrollo. En el siguiente gráfico se ofrece mayor detalle.

Gráfico 16: Resguardo de back-ups % entidades por grupo

0%

20%

40%

60%

80%

100%

1 2 3 4 5 6 7 8

Grupos homogéneos

Area de Sistemas

URO o área deriesgo a cargoTercerizado

Casa matriz

En implementación

De las 50 entidades que recolectan datos sobre pérdidas operacionales, el 38% no hacen actualmente uso de la información obtenida. De los que usan la información, el 44% se vuelca al cálculo de indicadores y el 20% a la estimación de distribuciones de frecuencia. Entre otras aplicaciones se expresa la realización de estimaciones de capital, cálculo de medidas de riesgo y confección de informes estadísticos.

3.3. Técnicas cualitativas para la gestión del RO Dentro del conjunto de herramientas de gestión, complementarias a la recolección de datos internos que las entidades están utilizando o planean implementar para gestionar el RO, se manifestaron la utilización de las siguientes.

19

Gráfico 17: Herramientas de gestión del RO

% de entidades

0

20

40

60

80

Utiliza Planea implementar100

Autoevaluación Mapeo Indicadores Scorecards Análisis deescenarios

Analizando las tres alternativas más referenciadas por grupos de entidades homogéneas se obtiene lo siguiente.

Cuadro 14: Herramientas de gestión de RO % de entidades en el grupo

Grupo homogéneo 1 2 3 4 5 6 7 8

Utiliza 50% 88% 56% 86% 62% 77% 82% 64%Autoevaluación Planea usar 50% 13% 33% 14% 31% 23% 18% 27%Utiliza 50% 88% 78% 64% 54% 46% 45% 55%Mapeo de riesgos Planea usar 50% 13% 22% 36% 31% 38% 36% 36%Utiliza 0% 88% 33% 50% 31% 8% 36% 27%Indicadores de riesgo Planea usar 75% 13% 67% 50% 46% 69% 36% 55%

En cuanto al seguimiento de las herramientas de gestión, lo más mencionado en la encuesta consiste en el análisis de la evolución de los indicadores mediante tableros de control y de los desvíos que puedan surgir respecto a los parámetros fijados. También se reevalúan los procesos y se controlan los planes de mitigación relacionados. En los grupos 3, 5 y 6 se advierte menor desarrollo y en muchos casos las herramientas de gestión aún no han sido implementadas. En el grupo 7 predomina el seguimiento realizado centralizadamente desde las matrices del exterior. La asignación de riesgos, proceso por el cual se agrupan por tipo las diferentes unidades de negocio, funciones organizativas o procesos, permite identificar fallas en un proceso determinado, y sus resultados pueden ser representados a través de un mapa de riesgos. Del total relevado, 76 entidades declaran la intención de implementar mapas de riesgos operacionales y las dimensiones a considerar se muestran en el siguiente esquema:

20

Gráfico 18: Mapeo de riesgos % de entidades en el grupo

0%

10%20%

30%

40%

50%60%

70%

80%90%

100%


Probabilidad Impacto Línea de neg. Proceso Área geog. La combinación más frecuente de dimensiones a considerar son las que comprenden probabilidad, impacto y proceso (en algunos casos tratado como producto). La dimensión correspondiente a área geográfica fue contemplada por un banco del grupo 1, 3 del grupo 5 y una entidad del grupo 6. En el 69% de los casos no se utilizan indicadores complementarios. De las entidades que sí recopilan indicadores (31%), sólo en cuatro casos aplican la misma apertura de línea de negocio que para el resto de la información.

Cuadro 15: Indicadores complementarios % de entidades en el grupo

por línea de negocio por otras aperturas

1 25% 0% 75%2 13% 50% 38%3 22% 22% 56%4 7% 0% 93%5 31% 8% 62%6 31% 0% 69%7 18% 9% 73%8 9% 18% 73%

No colectaColecta 4. Seguimiento, control y mitigación del RO

4.1. Seguimiento del RO Respecto del proceso de seguimiento para la detección y corrección de posibles deficiencias producidas en el sistema de gestión del RO, se percibe una baja implementación. La mayoría de las entidades que tienen algún desarrollo realizan correcciones a las autoevaluaciones y a las matrices de riesgo de acuerdo con las

21

deficiencias detectadas, proponiendo planes de acción. La URO es quien se encarga del seguimiento del cumplimiento de las propuestas de modificación y de los planes de acción que se implementen, monitoreando el resultado de los indicadores de riesgo. En referencia a si existen informes respecto del seguimiento y las propuestas de corrección a los procesos y procedimientos se recibieron las siguientes respuestas.

Gráfico 19: Seguimiento y propuestas de corrección

% de entidades en el grupo

0%

20%

40%

60%

80%

100%


Si A implementar No Del total analizado, el 58% de las entidades contestó que generan informes periódicos, los que son remitidos al Comité de riesgo o a la Gerencia General con resultados del seguimiento y los planes de acción. El 17% se encuentra en proceso de implementación del sistema de gestión de riesgos, es decir que si bien respondieron en su mayoría negativamente, afirman estar abocados al tema. Otro 18% declaró que no generan informes, mientras el restante 7% no respondió.

4.2. Control y mitigación del RO En general todos los grupos de entidades tienen en común algunos procesos y procedimientos de control y mitigación, que se podrían resumir de la siguiente manera: sobre la base de los riesgos identificados en cada una de las áreas (mediante autoevaluaciones, indicadores, mapeos, matrices, etc.), se decide cuáles se asumen, se reducen, se transfieren o se eliminan, ponderando su probabilidad de impacto en resultados. Los planes de mitigación delineados se analizan según la relación costo/beneficio de ser implementados, y en caso de ser favorable, se establecen las fechas, recursos y responsables necesarios para la puesta en funcionamiento de los controles y planes de contingencia. Posteriormente se hace un seguimiento que permita testear la eficacia de los controles. Todo el proceso se actualiza anualmente en la mayoría de los casos. En cuanto a los mecanismos que aseguren el cumplimiento de las políticas internas referidas a la gestión del RO, se destaca el proceso de revisión efectuado por la Auditoría Interna en forma independiente del marco de gestión del RO. También se asignan roles y responsables de la gestión del RO en toda la entidad, a efectos de

22

monitorear continuamente el nivel de cumplimiento de las políticas trazadas, siendo importante el esquema de reportes y los canales de comunicación horizontales y verticales. Los comités de riesgos, con la alta gerencia y autoridades involucradas, evalúan a su vez el grado de cumplimiento de las políticas en relación con las estrategias de la entidad. En todo el sistema financiero el 70% de las entidades manifiesta contar con una cobertura parcial de riesgos para los eventos operacionales, otro 26% carece de cobertura alguna y sólo el 4% de las entidades la tendrían totalmente.

Gráfico 20: Cobertura de ROs % de entidades

0%

20%

40%

60%

80%

100%


Total Parcial No Se consultó respecto a la implementación de los planes de contingencia y de continuidad de la actividad que aseguren la prosecución de su capacidad operativa para los eventos de RO. A partir de las respuestas, se deduce que muchas entidades han interpretado que se refería exclusivamente al cumplimiento de la Com. “A”4609. Es por ello que en el siguiente gráfico se representan 3 tipos de respuestas (afirmativas, negativas y restringidas al estricto cumplimiento de la comunicación antes mencionada):

Gráfico 21: Planes de contingencia y continuidad de actividad % de entidades en el grupo

0%

20%

40%

60%

80%

100%

1 2 3 4 5 6 7 8Bancos homogéneos

No Com. "A" 4609 Si

23

Con referencia a la periodicidad (planeada/utilizada) de comprobación de la eficacia de estos planes, el 81.5% de las entidades respondió que sería anual. Un 11.1% se refirió a una mayor frecuencia de revisiones y el 7.4% restante respondió que no los instrumentaría. En el 78% de las entidades la auditoría interna elabora un informe sobre la eficiencia y eficacia de los planes antes mencionados y un 2% lo tiene previsto. Un 12% no realiza dicho informe y el restante 8% no contesta.

4.3. Rol de la auditoría interna Respecto a los ítems a ser revisados periódicamente por Auditoria Interna se han hallado dificultades para agrupar las respuestas debido a que varios participantes tienen pensado implementar los puntos consultados (ver cuadro a continuación) en sus planes de auditoría cuando comiencen con la recolección de datos pero no lo explicitan. En consecuencia surgen dificultades para determinar si una respuesta negativa corresponde a que en la actualidad no tiene el control solicitado, pero lo piensa implementar o si efectivamente no lo piensa implementar. Por otro lado una respuesta afirmativa no significa que tengan el punto implementado al día de la fecha. En varios casos esta incertidumbre queda resuelta al contestar la entidad que tiene previsto implementar el ítem. Se ha adoptado como criterio simplemente reflejar la respuesta brindada por la entidad.

Cuadro 16: Items a ser revisados por auditoría interna % total de entidades

Ítem Si Previsto No

a) Puesta en marcha del marco de gestión del RO por parte de la gerencia con el diseño de políticas, procesos y procedimientos de gestión del RO.

75,3% 11,1% 13,6%

b) Revisión y validación de las herramientas que utiliza la entidad para gestionar el RO. 51,9% 18,5% 29,6%

c) Integración del sistema de evaluación interno del RO con los procedimientos de gestión diaria de la organización. 44,4% 22,2% 33,3%

d) Adopción de políticas, prácticas y procedimientos a través de las herramientas especificas diseñadas por la entidad. 53,1% 21,0% 25,9%

e) Integración de la metodología y de los resultados del análisis de riesgo de TI / SI con la evaluación del RO. 51,9% 21,0% 27,2%

f) Existencia documentos / reportes con la evolución del RO. 55,0% 17,5% 27,5%

g) Calidad de los soportes tecnológicos, sistemas de información y aplicaciones. 71,3% 8,8% 20,0%

h) Existencia y efectividad de los planes de contingencia y de continuidad del negocio. 86,3% 5,0% 8,8%

24

Se ha consultado a las entidades si cuantifican el capital económico necesario para afrontar las pérdidas estimadas por RO, a lo cual sólo 5 contestaron en forma afirmativa (3 pertenecientes al grupo 2, 1 al grupo 3 y 1 al grupo 7). En los casos afirmativos 2 entidades han referido al método del indicador básico (según lo propuesto por Basilea) como método de cálculo. 5. Conclusiones El cronograma establecido por el BCRA para la implementación de los lineamientos para gestionar el RO, marcó un punto importante para que las entidades gerencien este riesgo. Posteriormente, la publicación de la Com. “A” 4904 sobre “Base de datos de eventos de RO” coadyuvó a avanzar aún más en el tema. De este modo, el BCRA en su rol de coordinador, pretende establecer estándares mínimos homogéneos entre las entidades, aceptando que existen distintos niveles de complejidad entre los distintos marcos de gestión. Un punto a destacar es el avance que demuestran la totalidad de entidades en el proceso de implementación del marco de gestión de RO, en especial a través de la definición de la estructura funcional y la descripción de los procedimientos para la gestión del RO. Si bien a comienzos de la publicación de los lineamientos para gestionar el RO el 37% de las entidades no habían iniciado la gestión del mismo, el resto de las entidades muestran, algunas de ellas, avances significativos mientras que el 46% restante tuvo avances menores (programas de concientización y culturización, capacitación y lineamientos para la administración de RO). En la mayoría de las entidades donde participa la auditoría interna, la misma se limita a monitorear el proceso de desarrollo e implementación de políticas y procedimientos de RO. En el 81 % de las entidades se prevé que la URO involucre al personal de otras áreas. Entre las distintas alternativas, se destaca la utilización de referentes de RO por unidad. Las políticas de gestión para difundir dentro de la entidad se basan principalmente en programas de capacitación internos. Al momento de la encuesta, 50 entidades recopilaban información empírica sobre los eventos de RO, con criterios para su asignación establecidos en la Com. “A” 4904. La mayoría registran tanto los eventos de pérdida como sus recuperos. El 20% de las entidades declaró cumplir con la normativa sobre “Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática y sistemas de información” y un 48% de manera parcial. Dentro del conjunto de herramientas de gestión que las entidades utilizan, se destacan en primer término la autoevaluación y en segundo lugar el mapeo de riesgos. Se percibe una baja implementación en el proceso de seguimiento para la detección y corrección de posibles deficiencias producidas en el sistema de gestión del RO. La mayoría de las entidades que tienen algún desarrollo realizan correcciones a las autoevaluaciones y a

25

las matrices de riesgo de acuerdo con las deficiencias detectadas, proponiendo planes de acción. En términos generales, todos los grupos de entidades tienen en común algunos procesos y procedimientos de control y mitigación de los riesgos. Se decide qué riesgos se asumen, se reducen, se transfieren o se eliminan, ponderando su probabilidad de impacto en resultados y poniendo en funcionamiento los controles pertinentes. Luego, se hace un seguimiento que permita testear la eficacia de los controles.

26

Referencias bibliográficas − BCBS (2003) Basel Committee on Banking Supervision: “Buenas prácticas para la

gestión y supervisión del riesgo operativo”, Publicación N° 96. − BCRA (2006): Gerencia de Investigación y Planificación Normativa y Gerencia de

Régimen Informativo “Sistemas de Información para la Administración del Riesgo Operativo Relevamiento en el Sistema Financiero Argentino”. www.bcra.gov.ar Regulación y Supervisión Documentos Técnicos, BCRA.

− BCRA (2008): Comunicación “A”4793: Lineamientos para la gestión del riesgo

operacional en las entidades financieras. Texto ordenado. − BCRA (2009-a): Comunicación “A”4904: Régimen Informativo para Supervisión

Trimestral / Anual (R.I. - S.) - "Base de datos sobre eventos de Riesgo Operacional". − BCRA (2009-b): Comunicación “B” 9508: Relevamiento sobre Gestión del Riesgo

Operacional. − Delfiner, Mangialavori y Pailhé (2007): “Buenas prácticas para la administración

del riesgo operacional en entidades financieras”, BCRA. www.bcra.gov.ar Regulación y Supervisión Documentos Técnicos, BCRA.

27

http://www.bcra.gov.ar/

http://www.bcra.gov.ar/

Anexo I: Encuesta enviada a las entidades financieras

Banco Central de la República Argentina

Relevamiento sobre Gestión del Riesgo Operacional De acuerdo al cronograma establecido a través de la Com.“A”4793, las entidades se encuentran en proceso de implementación del sistema de gestión del riesgo operacional (RO) allí establecido. Asimismo, la Com.“A” 4904 dio a conocer los lineamientos mínimos a seguir por las entidades en la recolección de datos sobre eventos y pérdidas por RO. En virtud de lo establecido por dichas regulaciones y también en función del avance que ha tenido la gestión del RO en el sistema financiero local en los últimos años, el BCRA está realizando un relevamiento en esta materia que le permita contar con una visión agregada de la situación de las entidades. Dado que algunas entidades financieras han realizado tareas de gestión del RO con antelación a la publicación de las citadas Comunicaciones, las preguntas comprendidas se han redactado de forma amplia para poder capturar dichos desarrollos. Para estos casos en particular, sería valioso destacar cómo han diferido sus procedimientos y procesos preexistentes respecto a lo requerido por la normativa vigente, y si ha sido necesario realizar cambios para adecuarse a la normativa. ENTIDAD: PERSONA RESPONSABLE: FECHA:

28

I. Aspectos generales

1. ¿Cuál es la definición de RO adoptada internamente por la entidad a efectos de su gestión? Si difiere del concepto establecido en el Texto Ordenado sobre “Lineamientos para la gestión del RO en las entidades financieras”, transcríbala.

2. Previo a la publicación de los lineamientos para la gestión del RO emitido por el BCRA: ¿la entidad había desarrollado iniciativas en cuanto a la gestión del RO? Describa brevemente los aspectos más importantes.

3. ¿Cuáles son las políticas aprobadas por el Directorio8 para la gestión de RO? Describa brevemente.

4. ¿Están recogidas las políticas, procesos y procedimientos de gestión del RO en manuales actualizados que estén a disposición del personal de la entidad?

Políticas Si No

Procedimientos Si No

Procesos Si No

Ninguno Si No

5. ¿La auditoría interna participa en el desarrollo del sistema de gestión del RO? Si participa, describa brevemente.

6. ¿Qué procedimientos de información se han establecido para informar al Directorio respecto del perfil de RO?

7. ¿Cómo serán difundidas las políticas de gestión del RO dentro de la entidad?

Intranet Si No

Programas de capacitación internos Si No

Comunicaciones internas / Boletines informativos Si No

Otros (detallar brevemente) Si No

8. ¿La Unidad de RO o persona responsable, depende directamente de la Gerencia General? Caso contrario, describa qué lugar ocupa en la estructura organizacional.

9. ¿Qué cantidad de recursos humanos propios tiene asignada la unidad de RO?

10. ¿Cómo se relaciona dicha Unidad de RO con el resto de las líneas de negocio o responsables de procesos? ¿Se involucra / piensa involucrar a personal de otras áreas?

8 En este cuestionario el termino “Directorio” hace referencia al Directorio o autoridad equivalente de la entidad financiera -Consejo de Administración, en el caso de entidades financieras cooperativas, o funcionario local de mayor jerarquía si se trata de sucursales de entidades financieras del exterior.

29

11. ¿Qué mecanismos aseguran la integración de la gestión del RO en la operatoria diaria de la entidad?

12. ¿Qué sistemas de información se han establecido entre las distintas Gerencias y/o líneas de negocio y la Unidad de RO? ¿Con qué periodicidad se efectúan los reportes?

Tipo de reporte Periodicidad

1

2

3

II. Identificación y evaluación del RO

13. ¿A través de qué procedimientos y procesos piensa identificar los RO que enfrenta su entidad? Describa brevemente.

14. ¿Qué mecanismos piensa implementar a efectos de promover una cultura que estimule el reporte de eventos operacionales?

15. ¿Cuáles son los factores internos y/o externos que, según su criterio, influyen en mayor medida en el perfil de RO de la entidad?

II.a. Recolección de datos internos sobre eventos operacionales 16. ¿Ha emprendido actividades concretas para recolectar datos sobre eventos y

pérdidas por RO?

Si No

En caso afirmativo responda las restantes preguntas de esta sección.

17. ¿Cuántos años de observaciones de datos internos dispone?

18. ¿Sigue los criterios establecidos en la Com.“A” 4904 en cuanto a tipo de eventos y líneas de negocios? Caso contrario, ¿qué tipo de clasificación viene utilizando?

19. ¿Involucra a toda la entidad o sólo parte de ella? (por ejemplo, no incluye sucursales)

20. ¿Se cuenta con criterios documentados para la asignación de las pérdidas a las líneas de negocio y a los tipos de eventos especificados? Describa brevemente.

21. ¿Qué criterio se aplica cuando un evento afecta distintas líneas de negocio?

Se prorratea Si No

Se asigna a la línea que sufrió el máximo impacto Si No


30

22. ¿Surgen eventos de RO que considere que no son imputables a ninguna línea de negocios en particular? En caso afirmativo, detalle cuáles.

23. ¿Se recopila información de carácter descriptivo sobre los factores desencadenantes o las causas del evento de pérdida?

24. ¿Está empleando un umbral de corte o se recopilan todas las pérdidas? En caso afirmativo: ¿cuál es su valor? ¿Qué parámetros se consideraron al determinar el umbral? ¿El umbral es único o difiere por línea de negocio o según otro criterio?

25. ¿Al incluir un evento qué fechas registra?

Fecha de inicio Si No

Fecha de descubrimiento Si No

Fecha de registro contable Si No

Fecha de finalización Si No

26. ¿Se lleva registro de los recuperos?

Si No

27. La severidad o monto de pérdida de un evento operativo se registra:

Bruta Neta de recuperos

28. ¿Las pérdidas, en general, con qué criterio/s se registran?

Valor de mercado Si No

Valor contable Si No


29. Cuando hay múltiples pérdidas que derivan de un mismo evento de RO: ¿se agrupan y se tratan como una sola pérdida?

Si No

30. ¿Se cuenta con información de eventos de RO que no generaron pérdidas (cuasipérdidas)?

Si No

31. ¿Realiza controles de integridad respecto de los eventos incluidos en la base de datos?

Con la contabilidad

Con otras bases de datos

31

Con otros sistemas de contraste

Ninguno

De contar con alguno de ellos, ¿dispone de sistemas diseñados a tales efectos?

Si No

32. ¿Se utilizan fuentes de información externas para complementar los datos internos?

Datos de uso público Si No

Bases de datos comerciales Si No

Consorcio de datos / datos agregados del sector bancario Si No

33. ¿Qué soportes se utilizan (archivos, bases de datos, etc.) para almacenar la información?

34. ¿Cuentan con sistemas desarrollados internamente?

Por la casa matriz Si No

Por terceros Si No

35. En la actualidad, ¿el sistema cumple con los “Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras” – Comunicación “A” 4609 y complementarias?

Total

Parcialmente

No cumple

36. A fin de contemplar factores de riesgo de TI/SI como drivers para RO, ¿tiene documentados los procedimientos de integración con la metodología adoptada por la gestión de RO?

Si No

37. ¿Se hacen back-ups de la información?

Si No

38. ¿Cuáles son los procesos y tiempos, para recuperar la información almacenada?

39. ¿Quiénes son los responsables de la guarda de los back-ups?

40. ¿Qué uso cuantitativo hace de los datos internos?

32

Estima distribuciones de pérdidas

Calcula medidas de riesgo (KRI)

Estima necesidades de capital

Otras (explicite)

Ninguno

II.b. Técnicas cualitativas para la gestión del RO 41. ¿Qué conjunto de herramientas de gestión, complementarias a la recolección de

datos internos, está utilizando o planea implementar para gestionar el RO?

Herramienta Utiliza Planea implementar

Auto-evaluación de riesgos (“self-assesment”)

Mapeo de riesgos (“risk-mapping”)

Indicadores de riesgo (“KRI, KPI y KCI”)

Scorecards / “Risk Drivers and Control Approaches” o RDCA

Análisis de escenarios (“Scenario based approach” o SBA)

Para los casos que haya respondido “planea implementar”, describa brevemente cómo y cuándo implementará estas técnicas.

42. ¿Tiene pensado implementar mapas de riesgos operacionales? En caso afirmativo, ¿cuáles serían las dimensiones a considerar?

Probabilidad

Impacto

Línea de negocio

Proceso

Área geográfica

43. ¿Se recolectan indicadores complementarios? (p.ej. ingresos brutos, total de activos, número de empleados, activos físicos, depósitos y cualquier otro indicador para el cual se pueda establecer una relación funcional con el nivel de RO que la entidad

33

esté enfrentando) En caso afirmativo: ¿se utiliza para los mismos una apertura por línea de negocios similar a la utilizada en la recolección de datos de pérdidas operativas?

Si No III. Seguimiento del RO

44. Describa brevemente el proceso de seguimiento para la detección y corrección de posibles deficiencias producidas en el sistema de gestión del RO.

45. ¿Qué tipo de seguimiento realiza de las herramientas de gestión mencionadas en la pregunta 41 y cómo las aplica a la gestión del RO?

46. ¿Se generan informes respecto del seguimiento y propuestas de corrección en los procesos y procedimientos? Explicite.

Si No IV. Control y mitigación del RO

47. Describa los procesos y procedimientos de control y mitigación diseñados para reducir la exposición al RO.

48. Describa brevemente los mecanismos que aseguren el cumplimiento de las políticas internas referidas a la gestión de este riesgo..

49. ¿Utiliza cobertura de riesgo para los ROs?

Total

Parcialmente

No

50. ¿Cuenta con planes de contingencia y de continuidad de la actividad que aseguren la prosecución de su capacidad operativa para los eventos de RO? Describa brevemente.

51. ¿Cuál es la periodicidad (planeada/utilizada) de comprobación de la eficacia de planes de recuperación y continuidad del negocio?

52. ¿La auditoría interna elabora un informe sobre la eficiencia y eficacia de las pruebas?

V. Otros

53. ¿Su entidad cuantifica el capital económico necesario para afrontar las pérdidas estimadas por RO?

Si No

54. En caso afirmativo, ¿qué técnicas aplica para ello?

Modelos propios

34

Porcentaje de indicador del volumen de operaciones

Otros

55. Indique si los siguientes ítems son revisados por Auditoría interna periódicamente.

Herramienta Si No Frecuencia

Puesta en marcha del marco de gestión del RO por parte de la gerencia con el diseño de políticas, procesos y procedimientos de gestión del RO.

Revisión y validación de las herramientas que utiliza la entidad para gestionar el RO.

Integración del sistema de evaluación interno del RO con los procedimientos de gestión diaria de la organización.

Adopción de políticas, prácticas y procedimientos a través de las herramientas especificas diseñadas por la entidad.

Integración de la metodología y de los resultados del análisis de riesgo de TI/SI con la evaluación del RO.

Existencia de documentos / reportes con la evolución del RO.

Calidad de los soportes tecnológicos, sistemas de información y aplicaciones.

Existencia y efectividad de los planes de contingencia y de continuidad del negocio.

35

la gestión del riesgo operacional en el sistema financiero ... encuesta ro 2009... · la gestión...

Documents