Proyecto de Acuerdo SUGEF Reglamento sobre Gestión del Riesgo Operacional. En consulta (28/4/2015 al 26/5/2015)

Transcripción

1 Proyecto de Acuerdo SUGEF Reglamento sobre Gestión del Riesgo Operacional En consulta (28/4/2015 al 26/5/2015)

2 Contenido 1. Antecedentes 2. Naturaleza del Riesgo operacional 3. Necesidad regulatoria 4. Retos en la implementación 5. Propuesta de regulación 6. Gradualidad de implementación 2

3 Antecedentes

4 Evolución de la práctica Cuatro pronunciamientos del Comité de Basilea constituyen el engranaje para la discusión y abordaje del tema. Entidades Basilea II 2004 Estándar de Capitales Junio 2006 Principios Básicos para una Supervisión Eficaz Octubre 2006 Setiembre 2012 Principios sobre sanas practicas de gestión del RO Junio 2011 Principios de Sanas practicas de gestión y supervisión del RO Febrero 2003 Supervisor 4

5 Evolución de la práctica En octubre 2014 el comité publicó un estudio sobre el grado de avance en la implementación de los principios de gestión de RO. El estudio alcanzó 60 bancos sistémicamente importantes en 20 países, y cubrió los 11 principios emitidos en junio El resultado general, es que si bien ha habido avances en la implementación de los principios, muchas entidades aún se encuentran en el proceso de implementar varios principios, y muestran diferentes grados de avance. De lo anterior, y como experiencia para nuestro proceso regulatorio, se recoge la conveniencia de avanzar primero en la consolidación de los marcos de gestión y de supervisión del RO, antes de admitir metodologías de medición de capital más sofisticadas. 5

6 Naturaleza del RO

7 Naturaleza del RO El RO es inherente a todos los negocios, productos, actividades, procesos y sistemas de la entidad. Esta transversalidad, ocasiona que el RO pueda convertirse en un elemento potenciador de resultados adversos en otros riesgos, como mercado y crédito. A diferencia del riesgo de crédito o de mercado, la pérdida máxima de RO puede no tener límite: Impacto de desastres naturales, Operaciones de trading imprudentes o temerarias Resultado de transgredir leyes o medidas prudenciales. Como consecuencia, resultar difícil retomar la operación normal. Finalmente, la gestión del RO tiene una temporalidad distinta, pues implementar una gestión adecuada puede tomar varios años. (bases de datos robustas) 7

8 Naturaleza del RO La gestión del RO no puede centralizarse completamente; debe ser compartida a todos los niveles de la organización. Dada esta naturaleza, Basilea sugiere que la gestión del RO se aborde desde tres líneas de defensa. 1. Gestión de líneas de negocio Primer responsable por identificar y gestionar los riesgos inherentes a los productos, actividades, procesos y sistemas de los cuales es responsable. 2. Función de gestión del RO independiente (área de riesgos) Complemento a las actividades de gestión de las líneas de negocio 3. Revisión independiente mediante AI o AE Verificación Validación 8

9 Necesidad regulatoria

10 Necesidad regulatoria Necesidad de contar con un marco integrado de gestión de riesgos operativos. Se cuenta con regulaciones especializadas en temas de TI (SUGEF 14-09), prevención de actividades ilícitas (SUGEF 12-10). Se cuenta con un reglamento sobre gestión integral de riesgos (SUGEF 2-10) y un marco de gestión para emisores de derivados (SUGEF 9-08) 10

11 Necesidad regulatoria Necesidad de enfocar atención en la gestión del RO, y no conformarse con requerimiento de capital, tanto por parte de entidades como de supervisores. En mayo de 2008 se estableció un cargo de capital por RO del 15% de la utilidad operacional bruta ajustada anual, promedio de los últimos tres años. (Artículo 10, Sesión ) del 30/05/08). Sin embargo, no se desarrolló el marco de gestión correspondiente. Este tratamiento no genera incentivos para mejorar en la gestión el RO. Sin embargo, antes de admitir metodologías propias, debe consolidarse el marco de gestión y supervisión de RO. 11

12 Necesidad regulatoria Necesidad de expresar a las entidades la expectativa del supervisor sobre su gestión del riesgo operacional. Es un componente fundamental de la Matriz de Riesgos y para la definición del Perfil de Riesgo de las entidades, lo cual se encuentra en el corazón del enfoque de supervisión con base en riesgos. Igualmente, el Reglamento y sus Lineamientos orientan a las entidades sobre el marco de gestión esperado por supervisor. 12

13 Necesidad regulatoria Debe avanzarse en la conformación del marco integral de gestión de RO. Las áreas en círculo están pendientes, y se desea cubrirlas con esta propuesta. Alcances para la línea de defensa 2 se han desarrollado en la regulación sobre gestión integral de riesgos, y para la línea de defensa 3 en la regulación de auditorías internas y externas. 13

14 Necesidad regulatoria Necesidad de establecer un marco adecuado que permita aplicar un enfoque de incentivos hacia la mejora en la gestión. Aspectos como el mapeo de eventos y la conformación de bases de datos de severidad y frecuencia, son precondiciones operativas necesarias el paso hacia la admisión de metodologías propias, aunado a un marco de gobernanza adecuado. 14

15 Necesidad regulatoria Necesidad de abordar temas específicos, propios de la gestión del RO. Este reglamento aborda áreas particulares, no desarrolladas integralmente en otros cuerpos normativos: La gestión del riesgo de tercerización (no solo con la visión de TI) El sistema de continuidad de negocio (más integral) El sistema de seguridad de la información (con enfoque el resguardo de la calidad, confidencialidad, integridad y disponibilidad de la información) 15

16 Necesidad regulatoria Necesidad de establecer requerimientos mínimos respecto a la autenticación de clientes y autorización de transacciones en los medios y dispositivos de los canales electrónicos utilizados en la prestación de servicios financieros. Es respuesta a la tendencia hacia la digitalización documental, la firma digital y las innovaciones financieras respaldadas en tecnología, tales como cuentas simplificadas, banca móvil y monederos electrónicos. Mediante Lineamientos Generales a este Reglamento, se plantean dichos requerimientos. 16

17 Necesidad regulatoria Necesidad de avanzar hacia estándares internacionales, adecuadamente implementados para las características del mercado financiero y la cultura de gestión de riesgos. El Principio Básico 25 plantea que el supervisor debe determinar que los bancos cuentan con un marco adecuado de gestión del riesgo operacional, que toma en cuenta su apetito por el riesgo, su perfil de riesgo y la situación macroeconómica y de los mercados. Esto incluye políticas y procesos prudentes para identificar, cuantificar, evaluar, vigilar, informar y controlar o mitigar el riesgo operacional en el momento oportuno. El avance en esta materia es evaluado por el Fondo Monetario Internacional y el Banco Mundial, en el Programa de Evaluación del Sector Financiero (FSAP, por sus siglas en inglés). 17

18 Retos en la implementación

19 Retos de implementación Para las entidades supervisadas: 1. La capacidad de desarrollar un entendimiento de cómo la gestión del riesgo operacional puede agregar valor al negocio. 2. La dificultad para determinar cuáles son las actividades que deben estar dentro del alcance de la administración formal de riesgo operacional. 3. El patrocinio del directorio y alta gerencia, y el compromiso de las áreas de negocio. 4. La determinación de las líneas de negocios y la confección de bases de datos sobre eventos de pérdida por riesgo operacional, y el apoyo tecnológico que lo soporte. 5. La coordinación con iniciativas existentes de control, incluido el rol de la unidad de riesgos y la auditoría interna. 19

20 Retos de implementación Para la Superintendencia: 1. La incorporación efectiva de los principios y alcances de este marco reglamentario, en el proceso de Supervisión con Base en Riesgos. 2. El desarrollo de habilidades y capacidades para enfrentar con visión crítica, los desarrollos de las entidades en la gestión del RO. 3. El diseño y desarrollo tecnológico que soportará una Central de Eventos de RO, a partir de los mapeos que realizarán las entidades, con el fin de conformar una base de datos externa que coadyuve en la mejora de la gestión del RO en el sistema financiero. 20

21 Propuesta de Regulación

22 Acuerdo SUGEF Reglamento sobre Gestión del Riesgo Operacional CAPITULO I. DISPOSICIONES GENERALES Artículo 1. Objeto Artículo 2. Ámbito de aplicación Artículo 3. Definiciones CAPÍTULO II. MARCO GENERAL PARA LA GESTIÓN DEL RIESGO OPERACIONAL Artículo 4. Contexto de la gestión del riesgo operacional Artículo 5. Estrategia para la gestión del riesgo operacional Artículo 6. Políticas para la gestión del riesgo operacional Artículo 7. Gestión del riesgo operacional Artículo 8. Identificación Artículo 9. Medición y evaluación Artículo 10. Control y mitigación Artículo 11. Monitoreo e Información CAPÍTULO III. OTRAS DISPOSICIONES SOBRE LA GESTIÓN Artículo 12. Continuidad del Negocio Artículo 13. Seguridad de la información Artículo 14. Base de Datos Artículo 15. Tercerización Artículo 16. Riesgo de Tecnologías de Información (TI) Artículo 17. Riesgos operacionales asociados a actividades específicas Artículo 18. Divulgación Artículo 19. Reporte para la SUGEF 22

23 Reformas propuestas al SUGEF 2-10 Reglamento sobre Administración Integral de Riesgos (AIR) Reformar las definiciones de riesgo operativo y riesgo legal, en congruencia con la propuesta reglamentaria: Reformar el artículo 11. Manual de Administración Integral de Riesgos, estableciendo que puede constituirse en formato digital, e incluyendo un elemento adicional relacionado con el proceso de control, revisión y reacción interna del proceso de AIR. Reformar el título del capítulo VI Auditoría del Proceso de Administración Integral de Riesgos, agregando un nuevo artículo 20. Informe anual de riesgos, documento que debe ser elaborado con corte al 31 de diciembre de cada año y publicado en el sitio web de la entidad en el plazo de tres meses posteriores a esa fecha. 23

24 Lineamientos Los artículos 8, 13 y 14 del reglamento requieren la emisión de lineamientos

25 Lineamientos Generales del Acuerdo SUGEF I. Líneas de negocio genéricas para intermediarios financieros del sistema financiero nacional. II. Categorías de eventos de pérdida por riesgo operacional. III. Campos de la base de datos sobre eventos de riesgo operacional. IV. Requerimientos mínimos respecto a la autenticación de clientes y autorización de transacciones en los medios y dispositivos de los canales electrónicos utilizados en la prestación de servicios financieros. 25

26 Lineamientos Líneas de negocio Finanzas Corporativas Tesorería Banca Minorista Banca Comercial Tarjetas Cobros pagos y liquidaciones Administració n de Activos Otros Servicios 26

27 Categorías de eventos de pérdida Fraude Interno Fraude externo Relaciones laborales y seguridad Clientes, productos y prácticas empresariales Daños a activos materiales Interrupción del negocio Ejecución, entrega y gestión de procesos 27

28 Categorías de eventos de pérdida 1. Identificador 2. Categoría evento pérdida 3. Línea de negocio 4.Título del evento 5. Descripción del evento 6. Proceso o área del evento 7. Fecha de ocurrencia 8. Fecha de conclusión 9. Fecha de descubrimiento 10. Fecha de registro contable 11. Monto bruto o estimado de la pérdida 12. Monto recuperado mediante coberturas 13. Monto total recuperado 14. Monto neto de la pérdida 15. Cuentas contables asociadas 16. Acción correctiva 17. Vínculo con otro riesgo 28

29 Lineamientos Banca en línea Autenticación y Autorización de Transacciones Emisión de comprobantes de transacciones Conservación de los comprobantes de las transacciones Formato de los archivos de los comprobantes firmados digitalmente Desarrollo de nuevos trámites firmados digitalmente Únicamente firma digital Firmados por la entidad utilizando un certificado de Persona Jurídica (Sello Electrónico) Registro histórico de 48 meses Cumplir con la Política de formatos oficiales de los documentos electrónicos firmados digitalmente Incentivar el desarrollo de nuevos servicios 29

30 Gradualidad de implementación

31 Gradualidad Transitorio 1: Dentro de los 3 meses siguientes a la entrada en vigencia: Presentar a SUGEF un plan de actividades para la implementación del Reglamento, que incluya el cronograma de ejecución y los responsables a cargo. Transitorio 2: Dentro de los 12 meses siguientes a la entrada en vigencia: Puesta en funcionamiento la base de datos de los eventos de riesgo operacional. En el caso de los Lineamientos Generales: Transitorio: En un plazo de 12 meses a partir de la entrada en vigencia: implementar todas las funcionalidades necesarias para atender los requerimientos de autenticación de clientes y autorización de transacciones en medios y dispositivos electrónicos. 31

32 Proyecto de Acuerdo SUGEF Reglamento sobre Gestión del Riesgo Operacional En consulta (28/4/2015 al 26/5/2015)