Gobernanza Riesgo y Cumplimiento el Camino a Recorrer
Gobernanza, Riesgo y Cumplimiento: el Camino a Recorrer Ravi Varadachari Encargado de Práctica – Gestión de Riesgos www. iflexconsulting. com
Agenda n n n Establecimiento del Escenario Principales Desafíos Beneficios Comerciales que se derivan del Cumplimiento 22/12/2021 CONFIDENCIAL 2
Marco regulatorio - Importantes cambios … LEY “USA PATRIOT” Basel II Gestión de Riesgos 22/12/2021 RECOMENDACIONES DE LA FATF Anti Lavado de Dinero CONFIDENCIAL Gobernanza Corporativa 3
Componentes de un sistema de gestión de riesgo operativo Experiencia de Pérdida Datos de Pérdida Eventos de Pérdida Operativos Internos ¿Es esto suficiente? Autoevaluación de Riesgo Autoevaluación de Control Indicadores de Riesgo Esenciales Estimación de Capital Autoevaluación de Riesgo y Control Datos Externos Marco de Riesgo Operativo 22/12/2021 CONFIDENCIAL 4
Gobernanza, Riesgo y Cumplimiento (GRC) Tendencias emergentes n GRC es el reflejo de una emergente percepción de que debe haber una forma mejor de manejar las concurrentes, y a veces conflictivas, demandas de numerosas normas y mejores prácticas de gestión. n GRC satisface la necesidad de la gestión de “exhibir el control” a los reguladores, auditores y la comunidad inversora. n GRC presenta la idea de un marco común para satisfacer estos requerimientos. n GRC abarca la promesa de que el Cumplimiento puede lograrse como resultado natural de la gestión de negocios. 22/12/2021 CONFIDENCIAL 5
Actuales Impulsores de Gobernanza, Riesgo y Cumplimiento n Impulsores de Cambio Internos n n n Operaciones y relaciones distribuidas Interdependencia de riesgo Fragmentación y duplicación de esfuerzo Reducción de esfuerzos manuales Impulsores de Cambio Externos n n n Multiplicidad de riesgos y normas Aumento de responsabilidad Accionistas exigen mejor gobernanza Source : Forrester 22/12/2021 CONFIDENCIAL 6
¿Qué posibilidades tienen las instituciones de servicios financieros de manejar GRC holísticamente? n La Ley de Sarbanes-Oxley (SOX) requiere la Identificación de Riesgos y la Administración de Controles mediante Evaluaciones. n Riesgo Operativo (Basilea II) requiere la Identificación de Riesgos y la Administración de Controles mediante Autoevaluaciones. n Mi. Fi. D (Directiva de Mercados de Instrumentos Financieros) y Reg. NMS (Sistema de Regulación del Mercado Nacional) requieren Aptitud del Cliente y Vigilancia de Transacción. n AML (Anti Lavado de Dinero) requiere KYC (Conocimiento del Cliente) y Vigilancia de Transacción n La comprensión del Proceso Común para Cumplimiento y Riesgo Operativo sería primer paso para la convergencia. 22/12/2021 CONFIDENCIAL un 7
Cambio de Gobernanza … Método Tradicional BDRP Seguridad de TI Método de toda la Empresa Servicio al Cliente Auditoría Externa, Reguladores Función Riesgo Operativo Facilitador y validador Cumplimiento Comunicaciones Seguridad Controladores Corporativas Recursos Humanos Asuntos Legales Gestión Individual de Líneas de Negocios 22/12/2021 Auditoría Interna Validación independiente Línea de Negocios Responsabilidad Primaria Para R. O. Gestión de Facilidades Seguros Departamentos Especializados Asuntos Legales, Cumplimiento, RR. HH. , Seguros… CONFIDENCIAL 8
La Visión para GRC n n Una Comprensión del Proceso Común de la Organización Un Método de Monitoreo de Proceso Común para todos los Procesos Un Método de Evaluación e Identificación de Riesgo Común para todos los Procesos Un Modelo de Servicio Común: n n Todos los requerimientos de Cumplimiento Todos los requerimientos Internos de Control y Fraude Todos los requerimientos de divulgación de Auditoría y Mercado Requerimientos de suficiencia y medición de capital Evitar Fragmentación entre Organización, Sistemas, Geografía y Principios 22/12/2021 CONFIDENCIAL 9
Visión Holística de Cumplimiento IFRS / IAS 32, 39 • Armonización y Mejoramiento de las normas contables. • Metodología y principios de Medición y Valuación. • Divulgación y presentación de estados financieros. Riesgo de Crédito y Mercado de Basilea II e IFRS / IAS 32. 39 • MTM / Valuación de activos, instrumentos, garantías. • NPA & definición de incumplimiento. • Tratamiento de mitigación de riesgos. • Conciliación de riesgo y datos financieros. Riesgo de Crédito y Mercado de Basilea II • • • Medición de Riesgo Suficiencia de Capital Revisión Supervisora Divulgación de Mercado Mejor Gestión de Riesgo 22/12/2021 SOX & IFRS / IAS 32, 39 • Controles Internos sobre registro, validación y contabilización. • Informes de Presentación, Divulgación y Financieros. • • ANTILAVAD O DE DINERO (AML) Programa AML Diligencia debida – apertura de cuenta, KYC/KYB Vigilancia e Informes de Transacciones Sospechosas Información compartida sobre entidades sospechosas CONFIDENCIAL Selección SOX 404 • Certificación CEO / CFO sobre exactitud y confiabilidad de Estado Financiero. • Evaluación de gestión y constancia de auditoría sobre la existencia de controles internos. SOX & Riesgo Operativo • Identificación & Evaluación de Riesgo & Control • Indicadores de Riesgo Esenciales • Gestión de Riesgo & Escenario • Informes Riesgo Operativo Basilea II AML y Riesgo Operativo • Proceso operativo AML • Vigilancia y detección de transacciones sospechosas • Escenarios • Informes • • Medición de Riesgo Suficiencia de Capital Revisión supervisora Divulgación de Mercado 10
Marco Conceptual de GRC para Servicios Financieros Impulsores Internos Multiplicidad de riesgos Impulsores Externos Multiplicidad de normas SOX MIFID, Reg. NMS GLBA, BSA, KYC Basilea II AMA Riesgo de Cumplimiento Autoevaluación Riesgo & Control Pruebas de Controles Monitoreo Transacciones Constancias Planificación Análisis Administración de Casos Corrección Datos de Referencia Workflows Riesgo Operativo Administración de Eventos Detección Comportamientos Alertas & Calendario & Notificaciones Cronograma Fraude Planificación de Acción Indicador Esencial Riesgo Biblioteca de Supervisión Mapas de Proceso Formularios Seguridad de Información Normas Seguridad Derechos de Acceso Administración de Jerarquía Modelos Documentos Informes Estudios Gestión de Cambios Secuencia de Auditorías Marco GRC para Servicios Financieros 22/12/2021 CONFIDENCIAL 11
Agenda n n n Establecimiento del Escenario Principales Desafíos Beneficios Comerciales que se derivan del Cumplimiento 22/12/2021 CONFIDENCIAL 12
Desafíos del Proceso de Gestión de GRC para las Instituciones de Servicios Financieros (FSIs) Requerimiento Manejar la Complejidad del Proceso Organizativo y de Negocios mediante una Solución Unificada Necesito: n Mantener Entidades Múltiples, cada una de ellas con múltiples jerarquías organizativas Definir y mantener mapeos altamente flexibles de estructuras jerárquicas para administrar los cambios organizativos Permitir un mapeo de flujo de proceso flexible en toda la organización y las entidades Mantener mi aplicación actualizada para hacer frente a un cambiante panorama regulatorio Permitir capacidades multi-idioma, multimoneda para facilitar el despliegue Calidad de Datos n Una sola fuente de la verdad Agregar e Informar n Vincular distintos grupos de datos de Pérdida, Autoevaluación de Riesgo y Control (RCSA), Indicadores de Riesgo Esenciales (KRI) y Planificación de Acción Agregar informes de distintos procesos y organizaciones n n n Mantener biblioteca de principios y procedimientos n n Mantener obligaciones de riesgos, controles, planes de pruebas y cumplimiento Mantener matrices de roles, responsabilidades y escalada Definir Workflows Flexibles n Configurar workflows específicos para los requerimientos de mi organización Impulsar & Extender la Solución a Nuevas Áreas n Extender mi aplicación para solucionar desafíos adicionales de riesgo operativo (ej. SOX/controles internos, Solvencia II, cumplimiento general) Impulsar las inversiones actuales en TI n Brindar un soporte completo de integración de datos Brindar acceso a las herramientas en la Intranet del cliente Apoyar los estándares de TI del banco CONFIDENCIAL 22/12/2021 n n 13
¿Cómo puedo impulsar el Marco GRC? ACTIVOS, SISTEMAS FINANCIEROS Y TRANSACCIONES DE LA INSTITUCIÓN Autoevaluación Riesgo & Control Datos de Referencia • Unidades/Productos Negocios • Procesos de Negocios • Sistemas de Aplicación • Activos Pruebas de Control Indicador Riesgo Esencial (KRI) Mapas De Proceso Detección Comportamiento Entidad Legal -> Unidades Negocios-> Divisiones -> Procesos Administración de Casos Administración de Eventos Biblioteca de Supervisión • Lista de riesgos & controles • Lista principios/procedimientos • Matrices de Escalada 22/12/2021 MANDATO REGULATORIO • Sox • Basilea II – AMA • Seguridad Información Planificación de Acción Análisis Riesgo Común (por ej. , Fraude) ESCENARIOS DE FRAUDE • Apropiación de Cuenta • Violación de privacidad • Fraude crediticio • Apropiación indebida de activos • Información privilegiada … CONFIDENCIAL Mapa de Calor de Riesgo del CXO Para Fraude • Exposición a Riesgo • Eficacia de Control • Mitigación de Riesgo Métricas de Fraude • KRIs • Incidentes Internos • Incidentes Externos • Pérdidas por Fraude • Capacitación • Principios Relacionados • Casos Relacionados 14
Valor comercial de un marco GRC n Reutilización de Funciones de Negocios n n Reutilización del Componente Funcional n n n Definiciones de Metadatos Comunes Marco de Interfaz de Usuario Común Fuentes y Seguridad de Datos Comunes Conduce a n n 22/12/2021 Planificación de Acción Común Administración de Investigación Común Administración de Datos de Referencia Comunes, Biblioteca de Supervisión Reutilización de Componentes Tecnológicos n n Autoevaluación de Riesgo y Control (RCSA) Común que cumple con SOX, OR, AML Respuesta y cumplimiento inmediatos Ahorro en Costo y Eficacia a Largo Plazo CONFIDENCIAL 15
¿Se justifican estas Normas y Costos? Source: www. cartoonbank. com 22/12/2021 CONFIDENCIAL 16
La Otra Cara de la Historia § Instituciones financieras/Bancos experimentan grandes pérdidas § Aumenta Reformulación de Estados Financieros § Aumentan Sanciones Regulatorias § Escándalos Corporativos § “Acontecimientos Extraños” 22/12/2021 CONFIDENCIAL 17
Varias Grandes Pérdidas … Varios Grandes Eventos de Pérdida … Respuesta de Bancos y Reguladores Allied Irish Bank $ 750 millones Falta de Controles Internos § Acuerdo de Capital de Basilea II requiere que los bancos internacionalmente activos asignen capital para Riesgo Operativo. § Los bancos han evolucionado en el área de gestión de crédito y riesgo de mercado. § Sin embargo, la evolución en materia de Riesgo Operativo está todavía en una etapa incipiente. Barings Bank $1. 600 millones Deficiente Gestión Riesgo Operativo Daiwa Bank $1. 100 millones Deficiente Control de Gestión Morgan Grenfell $ 640 millones Falseamiento Sumitomo Corp $1. 800 millones Fraude y Falsificación LTCM $3. 500 millones Riesgo de Modelo Orange County $1. 700 millones Falta de Control de Gestión 22/12/2021 CONFIDENCIAL 18
Wall Street Fine Tracker… 2004 US$ 4. 530 millones 2003 US$ 4. 210 millones 2002 US$ 2. 950 millones Fuente: Forbes – Wall Street Fine Tracker 22/12/2021 CONFIDENCIAL 19
Aumentan los Escándalos Corporativos … Source: New Yorker 22/12/2021 CONFIDENCIAL 20
Correlaciones – El Incidente del “Puente del Milenio” de Londres Puente de Londres – Arquitecto Lord Norman Foster Source: http: //www. urban 75. org/london/ 22/12/2021 CONFIDENCIAL 21
Correlaciones – El Incidente del “Puente del Milenio” de Londres Puente de Londres – Arquitecto Lord Norman Foster Source: http: //www. urban 75. org/london/ 22/12/2021 CONFIDENCIAL 22
Justifica la Inversión Más allá de satisfacer a los reguladores Beneficios § § § Cumplir los requisitos de reserva de las leyes locales Normas de India (BIS) – cargo de capital Alineación del capital con los riesgos Gobernanza corporativa transparente Reducción de pérdidas por riesgo operativo Reducción de préstamos improductivos Cultura de gestión de riesgo a nivel de todo el banco Se evitan conflictos de obligaciones inherentes Establecimiento de precios basados en el riesgo Robusto ámbito de control interno Exactitud e integridad de estados financieros Cumplir requerimientos de agencias de calificación 22/12/2021 CONFIDENCIAL n Mejor percepción • Acreedores/depositantes • Agencias de calificación • Reguladores • Contrapartes • Bancos clientes § Costo más adecuado de fondos § Mayores beneficios en activos § Mayores límites de contraparte § Ventaja competitiva Beneficios para los Accionistas 23
Agenda n n n Establecimiento del Escenario Principales Desafíos Beneficios Comerciales que se derivan del Cumplimiento 22/12/2021 CONFIDENCIAL 24
Pasos Esenciales … n “Análisis de GAP” de alto nivel para identificar cambios de macro nivel n Transformación del Proceso de Negocios n Evaluación de cambios tecnológicos n Cambio Cultural n Gestión de Cambios 22/12/2021 CONFIDENCIAL 25
Siete Principios para Asegurar el Éxito 1. 2. 3. 4. 5. 6. 7. Asegurar el Compromiso de la Gerencia Superior Adoptar una Visión Holística de Gobernanza, Riesgo y Cumplimiento Definir una Visión para GRC Diseñar el sistema de GRC – Perspectiva de Negocios y Tecnología Evitar la Fragmentación en el diseño del sistema de GRC – en la organización, la geografía, el sistema y los principios Datos de Fuentes Múltiples – Una Sola Fuente de la Verdad Establecer los Paneles Correctos de Supervisión de Riesgos 22/12/2021 CONFIDENCIAL 26
Gracias Ravi Varadachari Encargado de Práctica – Gestión de Riesgos e-mail: ravi. varadachari@iflexsolutions. com Teléfono: 917 502 9480 22/12/2021 CONFIDENCIAL 27
- Slides: 27