Proyecto de Acuerdo SUGEF 18-15 Reglamento sobre Gestión del

Proyecto de Acuerdo SUGEF 18-15
Reglamento sobre Gestión del
Riesgo Operacional
En consulta
(28/4/2015 al 26/5/2015)
Contenido
1.
2.
3.
4.
5.
6.
Antecedentes
Naturaleza del Riesgo operacional
Necesidad regulatoria
Retos en la implementación
Propuesta de regulación
Gradualidad de implementación
2
Antecedentes
Evolución de la práctica
Cuatro pronunciamientos del Comité de Basilea constituyen el
engranaje para la discusión y abordaje del tema.
Entidades
Basilea II 2004
Estándar de
Capitales
Junio 2006
Principios de
Sanas practicas de
gestión y
supervisión del RO
Febrero 2003
Principios Básicos
para una
Supervisión
Eficaz
Octubre 2006
Setiembre 2012
Principios sobre
sanas practicas
de gestión del
RO
Junio 2011
Supervisor
4
Evolución de la práctica
En octubre 2014 el comité publicó un estudio sobre el grado de avance en
la implementación de los principios de gestión de RO.
El estudio alcanzó 60 bancos sistémicamente importantes en 20 países, y
cubrió los 11 principios emitidos en junio 2011.
El resultado general, es que si bien ha habido avances en la implementación
de los principios, muchas entidades aún se encuentran en el proceso de
implementar varios principios, y muestran diferentes grados de avance.
De lo anterior, y como experiencia para nuestro proceso regulatorio, se
recoge la conveniencia de avanzar primero en la consolidación de los
marcos de gestión y de supervisión del RO, antes de admitir metodologías
de medición de capital más sofisticadas.
5
Naturaleza del RO
Naturaleza del RO
• El RO es inherente a todos los negocios, productos, actividades,
procesos y sistemas de la entidad.
• Esta transversalidad, ocasiona que el RO pueda convertirse en un
elemento potenciador de resultados adversos en otros riesgos, como
mercado y crédito.
• A diferencia del riesgo de crédito o de mercado, la pérdida máxima de
RO puede no tener límite:
– Impacto de desastres naturales,
– Operaciones de trading imprudentes o temerarias
– Resultado de transgredir leyes o medidas prudenciales.
• Como consecuencia, resultar difícil retomar la operación normal.
• Finalmente, la gestión del RO tiene una temporalidad distinta, pues
implementar una gestión adecuada puede tomar varios años. (bases de
datos robustas)
7
Naturaleza del RO
• La gestión del RO no puede centralizarse completamente; debe ser
compartida a todos los niveles de la organización.
• Dada esta naturaleza, Basilea sugiere que la gestión del RO se aborde
desde tres líneas de defensa.
1.
2.
3.
Gestión de líneas de negocio
• Primer responsable por identificar y gestionar los riesgos inherentes a
los productos, actividades, procesos y sistemas de los cuales es
responsable.
Función de gestión del RO independiente (área de riesgos)
• Complemento a las actividades de gestión de las líneas de negocio
Revisión independiente mediante AI o AE
• Verificación
• Validación
8
Necesidad regulatoria
Necesidad regulatoria
• Necesidad de contar con un marco integrado de
gestión de riesgos operativos.
– Se cuenta con regulaciones especializadas en temas de
TI (SUGEF 14-09), prevención de actividades ilícitas
(SUGEF 12-10).
– Se cuenta con un reglamento sobre gestión integral de
riesgos (SUGEF 2-10) y un marco de gestión para
emisores de derivados (SUGEF 9-08)
10
Necesidad regulatoria
• Necesidad de enfocar atención en la gestión del RO, y
no conformarse con requerimiento de capital, tanto
por parte de entidades como de supervisores.
– En mayo de 2008 se estableció un cargo de capital por RO del
15% de la utilidad operacional bruta ajustada anual,
promedio de los últimos tres años. (Artículo 10, Sesión 7202008) del 30/05/08). Sin embargo, no se desarrolló el marco
de gestión correspondiente.
– Este tratamiento no genera incentivos para mejorar en la
gestión el RO. Sin embargo, antes de admitir metodologías
propias, debe consolidarse el marco de gestión y supervisión
de RO.
11
Necesidad regulatoria
• Necesidad de expresar a las entidades la
expectativa del supervisor sobre su gestión del
riesgo operacional.
– Es un componente fundamental de la Matriz de Riesgos
y para la definición del Perfil de Riesgo de las entidades,
lo cual se encuentra en el corazón del enfoque de
supervisión con base en riesgos.
– Igualmente, el Reglamento y sus Lineamientos orientan
a las entidades sobre el marco de gestión esperado por
supervisor.
12
Necesidad regulatoria
•
•
•
Debe avanzarse en la conformación del marco integral de gestión de RO.
Las áreas en círculo están pendientes, y se desea cubrirlas con esta propuesta.
Alcances para la línea de defensa 2 se han desarrollado en la regulación sobre gestión integral de
riesgos, y para la línea de defensa 3 en la regulación de auditorías internas y externas.
13
Necesidad regulatoria
• Necesidad de establecer un marco adecuado que
permita aplicar un enfoque de incentivos hacia
la mejora en la gestión.
– Aspectos como el mapeo de eventos y la conformación
de bases de datos de severidad y frecuencia, son
precondiciones operativas necesarias el paso hacia la
admisión de metodologías propias, aunado a un marco
de gobernanza adecuado.
14
Necesidad regulatoria
• Necesidad de abordar temas específicos, propios
de la gestión del RO.
– Este reglamento aborda áreas particulares, no
desarrolladas integralmente en otros cuerpos
normativos:
• La gestión del riesgo de tercerización (no solo con la
visión de TI)
• El sistema de continuidad de negocio (más integral)
• El sistema de seguridad de la información (con
enfoque el resguardo de la calidad, confidencialidad,
integridad y disponibilidad de la información)
15
Necesidad regulatoria
• Necesidad de establecer requerimientos mínimos
respecto a la autenticación de clientes y autorización de
transacciones en los medios y dispositivos de los canales
electrónicos utilizados en la prestación de servicios
financieros.
– Es respuesta a la tendencia hacia la digitalización documental, la
firma digital y las innovaciones financieras respaldadas en
tecnología, tales como cuentas simplificadas, banca móvil y
monederos electrónicos.
– Mediante Lineamientos Generales a este Reglamento, se plantean
dichos requerimientos.
16
Necesidad regulatoria
• Necesidad de avanzar hacia estándares internacionales,
adecuadamente implementados para las características del
mercado financiero y la cultura de gestión de riesgos.
– El Principio Básico 25 plantea que el supervisor debe determinar
que los bancos cuentan con un marco adecuado de gestión del
riesgo operacional, que toma en cuenta su apetito por el riesgo, su
perfil de riesgo y la situación macroeconómica y de los mercados.
Esto incluye políticas y procesos prudentes para identificar,
cuantificar, evaluar, vigilar, informar y controlar o mitigar el riesgo
operacional en el momento oportuno.
– El avance en esta materia es evaluado por el Fondo Monetario
Internacional y el Banco Mundial, en el Programa de Evaluación del
Sector Financiero (FSAP, por sus siglas en inglés).
17
Retos en la implementación
Retos de implementación
Para las entidades supervisadas:
1.
La capacidad de desarrollar un entendimiento de cómo la gestión del
riesgo operacional puede agregar valor al negocio.
2.
La dificultad para determinar cuáles son las actividades que deben
estar dentro del alcance de la administración formal de riesgo
operacional.
3.
El patrocinio del directorio y alta gerencia, y el compromiso de las
áreas de negocio.
4.
La determinación de las líneas de negocios y la confección de bases de
datos sobre eventos de pérdida por riesgo operacional, y el apoyo
tecnológico que lo soporte.
5.
La coordinación con iniciativas existentes de control, incluido el rol de
la unidad de riesgos y la auditoría interna.
19
Retos de implementación
Para la Superintendencia:
1.
La incorporación efectiva de los principios y alcances de este marco
reglamentario, en el proceso de Supervisión con Base en Riesgos.
2.
El desarrollo de habilidades y capacidades para enfrentar con visión
crítica, los desarrollos de las entidades en la gestión del RO.
3.
El diseño y desarrollo tecnológico que soportará una Central de
Eventos de RO, a partir de los mapeos que realizarán las entidades,
con el fin de conformar una base de datos externa que coadyuve en la
mejora de la gestión del RO en el sistema financiero.
20
Propuesta de Regulación
Acuerdo SUGEF 18-15 “Reglamento sobre
Gestión del Riesgo Operacional”
CAPITULO I. DISPOSICIONES GENERALES
Artículo 1. Objeto
Artículo 2. Ámbito de aplicación
Artículo 3. Definiciones
CAPÍTULO II. MARCO GENERAL PARA LA GESTIÓN DEL RIESGO OPERACIONAL
Artículo 4. Contexto de la gestión del riesgo operacional
Artículo 5. Estrategia para la gestión del riesgo operacional
Artículo 6. Políticas para la gestión del riesgo operacional
Artículo 7. Gestión del riesgo operacional
Artículo 8. Identificación
Artículo 9. Medición y evaluación
Artículo 10. Control y mitigación
Artículo 11. Monitoreo e Información
CAPÍTULO III. OTRAS DISPOSICIONES SOBRE LA GESTIÓN
Artículo 12. Continuidad del Negocio
Artículo 13. Seguridad de la información
Artículo 14. Base de Datos
Artículo 15. Tercerización
Artículo 16. Riesgo de Tecnologías de Información (TI)
Artículo 17. Riesgos operacionales asociados a actividades específicas
Artículo 18. Divulgación
Artículo 19. Reporte para la SUGEF
22
Reformas propuestas al SUGEF 2-10 “Reglamento
sobre Administración Integral de Riesgos” (AIR)
• Reformar las definiciones de riesgo operativo y riesgo legal, en
congruencia con la propuesta reglamentaria:
• Reformar el artículo 11. “Manual de Administración Integral de
Riesgos”, estableciendo que puede constituirse en formato digital, e
incluyendo un elemento adicional relacionado con el proceso de
control, revisión y reacción interna del proceso de AIR.
• Reformar el título del capítulo VI “Auditoría del Proceso de
Administración Integral de Riesgos”, agregando un nuevo artículo 20.
“Informe anual de riesgos”, documento que debe ser elaborado con
corte al 31 de diciembre de cada año y publicado en el sitio web de la
entidad en el plazo de tres meses posteriores a esa fecha.
23
Lineamientos
Los artículos 8, 13 y 14 del reglamento
requieren la emisión de lineamientos
Lineamientos Generales del Acuerdo SUGEF 18-15
I.
Líneas de negocio genéricas para intermediarios
financieros del sistema financiero nacional.
II. Categorías de eventos de pérdida por riesgo operacional.
III. Campos de la base de datos sobre eventos de riesgo
operacional.
IV. Requerimientos mínimos respecto a la autenticación de
clientes y autorización de transacciones en los medios y
dispositivos de los canales electrónicos utilizados en la
prestación de servicios financieros.
25
Lineamientos
Líneas de
negocio
Finanzas
Corporativas
Tesorería
Banca
Minorista
Banca
Comercial
Tarjetas
Cobros pagos
y
liquidaciones
Administració
n de Activos
Otros
Servicios
26
Categorías de eventos de pérdida
Fraude Interno
Fraude externo
Relaciones
laborales y
seguridad
Clientes,
productos y
prácticas
empresariales
Daños a activos
materiales
Interrupción del
negocio
Ejecución,
entrega y gestión
de procesos
27
Categorías de eventos de pérdida
1. Identificador
2. Categoría
evento pérdida
3. Línea de
negocio
4.Título del
evento
5. Descripción del
evento
6. Proceso o área
del evento
7. Fecha de
ocurrencia
8. Fecha de
conclusión
9. Fecha de
descubrimiento
10. Fecha de
registro contable
11. Monto bruto o
estimado de la
pérdida
12. Monto
recuperado
mediante
coberturas
13. Monto total
recuperado
14. Monto neto
de la pérdida
15. Cuentas
contables
asociadas
16. Acción
correctiva
17. Vínculo con
otro riesgo
28
Banca en línea
Lineamientos
Autenticación y Autorización
de Transacciones
Únicamente firma digital
Emisión de comprobantes de
transacciones
Firmados por la entidad utilizando un
certificado de Persona Jurídica (Sello
Electrónico)
Conservación de los
comprobantes de las
transacciones
Registro histórico de 48 meses
Formato de los archivos de
los comprobantes firmados
digitalmente
Cumplir con la “Política de formatos
oficiales de los documentos electrónicos
firmados digitalmente”
Desarrollo de nuevos
trámites firmados
digitalmente
Incentivar el desarrollo de nuevos
servicios
29
Gradualidad de
implementación
Gradualidad
– Transitorio 1: Dentro de los 3 meses siguientes a la entrada en
vigencia: Presentar a SUGEF un plan de actividades para la
implementación del Reglamento, que incluya el cronograma de
ejecución y los responsables a cargo.
– Transitorio 2: Dentro de los 12 meses siguientes a la entrada en
vigencia: Puesta en funcionamiento la base de datos de los eventos de
riesgo operacional.
• En el caso de los Lineamientos Generales:
– Transitorio: En un plazo de 12 meses a partir de la entrada en
vigencia: implementar todas las funcionalidades necesarias para
atender los requerimientos de autenticación de clientes y
autorización de transacciones en medios y dispositivos electrónicos.
31
Proyecto de Acuerdo SUGEF 18-15
Reglamento sobre Gestión del
Riesgo Operacional
En consulta
(28/4/2015 al 26/5/2015)