ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

CHUBB SEGUROS Evaluación de Riesgos


Enviado por   •  8 de Noviembre de 2020  •  Trabajo  •  11.812 Palabras (48 Páginas)  •  145 Visitas

Página 1 de 48

#

Riesgos Inherentes

Factores Cuantitativos

Factores Cualitativos

1

Tamaño

Este impulsor de riesgo se usa para dimensionar el tamaño de la entidad auditable, el impacto en el ingreso y/o costo y el posible impacto de los resultados financieros de todas las áreas del Negocio, Función o actividad, así como las interrelaciones con otras entidades auditables.

   

Considerar para dimensionar:

  • el tamaño de la Entidad,
  • el impacto en el ingreso y / o costos, patrimonio
  • el posible impacto en los estados financieros de todas las divisiones del negocio, así como las interrelaciones con otras entidades,
  • el volumen transaccional (cantidades y montos),
    la cantidad de Clientes del segmento, línea de negocios, entidad legal, etc.

  • Desempeño financiero de un período a otro de la entidad (por ej. crecimiento de ingresos, rentabilidad, aumentos y análisis de tendencias)
  • Índices, estadísticas operativas y otros indicadores de rendimiento claves (uso de pronósticos, presupuestos, análisis de competidores, informes de clasificación de créditos y de analistas, análisis de diferencias, etc.)
  • Asignación de Capital
  • Volumen de activos administrados
  • Volumen general de transacciones
  • Monto significativo de transacciones sin ruteo o no sistémicas.
  • Etapa de ciclo de vida de la entidad auditable (inicio, crecimiento, maduración, declinación)
  • Expansión significativa y rápida de operaciones que pueden afectar los controles y aumentar el riesgo de un quiebre de controles
  • Dispersión geográfica y cobertura
  • Expansión a nuevas ubicaciones
  • Complejidad de la estructura de la entidad auditable desde un punto operativo así como una estructura de entidad legal, (principales subsidiarias y entidades asociadas, incluidas las estructuras consolidadas y no consolidadas

2

Estrategia

Considera el riesgo de ganancias actuales o anticipadas, capital o el valor de la empresa que surge de:

  • Inadecuado gobierno corporativo
  • Falta o incompleto marco de referencial de administración de riesgos (definiciones de categorías y clasificaciones de riesgo, segmentación y cuantificación de parámetros y factores de riesgo para exposiciones minoristas y mayoristas, sistemas, mecanismos de validación, identificación, medición y monitoreo del riesgo de contraparte, etc.)
  • Decisiones comerciales adversas,
  • Mala implementación de decisiones comerciales,
  • Falta de respuesta a cambios en la industria bancaria (incluyendo riesgo sistémico) y el entorno operativo.
  • Desvíos significativos en el cumplimiento de presupuestos e indicadores clave del negocio
  • Fomenta un balance entre rentabilidad - ventas vs. asunción de riesgos y cumplimiento normativo integral
  • Alineamiento estratégico del proceso, proyecto, sistema, desarrollo, inversión, etc., para conseguir los objetivos estratégicos del negocio.
  • Desarrollo de productos, servicios, tarifas o atributos alineados a las necesidades del cliente y a cumplir con la estrategia, número de productos fallidos, que no cumplieron sus metas.
  • Desarrollo intensivo de productos o proyectos sin un caso de negocio o sin un control de monitoreo permanente del cumplimiento de los indicadores y metas para dichos productos o proyectos, en los últimos 12 meses.

  • La sensibilidad de los supuestos adoptados en la planificación estratégica para contemplar eventos ambientales y posiciones sociopolíticas y económicas en deterioro.
  • Las acciones y decisiones estratégicas cumplen con la Priorización del País (Optimizar / Reestructurar / Optimizar luego Crecer, Mantener el Rumbo, Invertir para Crecer)
  • Las decisiones estratégicas están dentro del apetito de riesgo del negocio
  • El alcance de nuevos productos e iniciativas de marketing o crecimiento del producto requerido para lograr objetivos
  • Alcance hasta el cual la gerencia puede cumplir con las fechas límites establecidas
  • El volumen del impacto de decisiones estratégicas adversas
  • Cambios en los precios hechos a productos estratégicos claves
  • Resultados financieros de iniciativas estratégicas (actuales vs. previstos)
  • Organigrama adecuado y competencia de las personas que dirigen el negocio
  • Existencia de Comités delegados de la Junta y Gerenciales apropiados
  • Proceso de escalamiento de temas materiales a la alta gerencia y a la Junta
  • Impacto de las decisiones estratégicas o presiones externas al valor empresarial
  • Compatibilidad de objetivos estratégicos con la dirección del negocio y la respuesta a cambios en el entorno
  • Existencia de un Marco Referencial de Administración de Riesgos que establezca roles y responsabilidades, Comités de Monitoreo, definiciones de categorías de riesgo a administrar y límites aprobados por la Junta, sistema de información gerencial que reporte estado actual y excepciones a los límites aprobados, etc.    
  • Iniciativas respaldadas por canales de comunicación, capital, sistemas operativos, redes de entrega, personal y otros recursos
  • Experiencia técnica del personal a cargo del entorno efectivo de la dirección estratégica o logro de efectividad organizacional
  • Capacidad de la gerencia de lograr objetivos estratégicos establecidos por la Junta
  • Participación proactiva de la gerencia en varios foros de gobierno corporativo
  • Planes de reemplazo implementados para asegurar que el negocio no se interrumpa.
  • Capacidad de revertir decisiones estratégicas sin costo significativos o dificultad
  • Calidad de la diligencia debida y la gestión de riesgos de conformidad con las excepciones estratégicas que enfrenta la organización
  • Efectividad en la comunicación de objetivos estratégicos y la cultura corporativa
  • Capacidad y Calidad de la Información Gerencial de respaldar la dirección estratégica de la Compañía / Grupo
  • Gestión de Tecnología considerada en el desarrollo de planes estratégicos
  • Gestión efectiva de iniciativas de cambio importantes
  • La toma de decisiones estratégicas apoyada por la exactitud, la razonabilidad, la claridad, la seguridad y la distribución de la información en condiciones normales y de crisis
  • Calidad de la diligencia debida en excepciones relacionadas con los datos que afectan la toma de decisiones estratégicas
  • Capacidad para identificar eventos de riesgo del negocio aprovechando los datos subyacentes sobre decisiones estratégicas

3

Gerencia y Personal

Considera los riesgos y el impacto relacionados con:

  • una planificación y gestión inadecuada de recursos humanos,
  • fallas para contratar y retener personal,
  • ausencia de planes de sucesión para posiciones críticas y
    falta de capacitación y apoyo adecuados,
  • ambiente laboral.
  • exceso de concentración de responsabilidades y/o segregación de funciones - top down desde Vicepresidencias Nacionales hasta gerencias de división
  • procesos o áreas sin back ups y/o sin descriptivo de cargos o desactualizados
  • cambios significativos en las Gerencias - Top Down desde Vicepresidencias hasta Gerencias de primera línea.

  • Cantidad de empleados (a tiempo completo, temporarios, rotativos, etc.)
  • Cantidad de puestos vacantes para empleados a tiempo completo, incluidos puestos claves y de mucha antigüedad (por sus conocimientos institucionales)
  • Nivel de índice de rotación de pérdidas ocurridas / personal crítico
  • Cantidad de ejecutivos críticos y/o claves con planes de sucesión identificados y cobertura de emergencia identificada
  • Adecuación de la estructura organizativa de la entidad auditable (áreas claves de autoridad y responsabilidad, y línea apropiadas de reporte)
  • Dependencia en personas claves
  • Re-estructuraciones que pueden estar acompañadas de reducciones de personal y cambios en la supervisión, y segregación de funciones que pueden cambiar el riesgo relacionado con el control interno
  • La profundidad de experiencia técnica y gerencial para garantizar que los riesgos son administrados y los controles funcionan como se diseñaron
  • La adecuación de la capacitación en el nivel corporativo, países, dentro de las distintas compañías, líneas de negocios y funciones
  • Las prácticas apropiadas de contratación de gerentes, como un mecanismo para detectar fraudes internos potenciales (por ej.: verificación de antecedentes)
  • La existencia de políticas de recursos humanos relacionadas con las medidas de reclutamiento, orientación, capacitación, evaluación, asesoramiento, promoción, y compensación y resolución.

4

Procesos, Políticas y Procedimientos

Considera los riesgos que surgen de:

  • un diseño inadecuado de procesos, políticas o procedimientos (por ej.; falta de supervisión, segregación de funciones y conciliaciones)
  • errores humanos
  • fallas en la ejecución, envío y gestión del proceso,
  • ausencia de un dueño responsable de los procesos principio a fin (end to end)
  • alta rotación del personal del área o del proceso, existe un alto número de vacaciones no tomadas por el personal del área o del proceso.
  • procesos críticos para el Banco que aseguran la continuidad del negocio, el principio de empresa en marcha o que contienen indicadores clave de riesgos, de desempeño o que generan información exacta, correcta y oportuna para la toma de decisiones gerenciales importantes, estratégicas o de reporte para entes de control.
  • procesos de alto impacto en la atención a clientes.
  • procesos áreas con mayores reclamos de clientes, con mayores observaciones de auditoría interna y/o con mayores observaciones abiertas dentro y fuera del plazo o con mayores incidencias o con eventos riesgos operativos materializados.
  • procesos con controles clave que terminan en la presentación de los estados financieros y aseguran las aserciones (integridad, corte, exactitud, existencia, presentación) de las principales cuentas contables, que gestionan un número importante de transacciones, automatizadas o complejas.
  • experiencia pasada en la evaluación de procesos con ausencia de segregación de funciones, acceso restringido, niveles de atribución requeridos, o posibilidad de sobrepasar / ignorar los controles.
  • procesos o áreas que utilizan sistemas, generan - gestionan un alto volumen de transacciones, transacciones complejas y/o utilizan aplicativos complejos
  • procesos o áreas que gestionan riesgos de alto impacto en el cumplimiento de las reglas de las franquicias y cuidado de la marca
  • procesos con un exceso de controles manuales, duplicados, ineficientes o burocráticos (solo por cumplir); o procesos con controles sin: seguimiento, documentación, monitoreo gerencial, reportes, acciones oportunas, o no se realizan con frecuencia o no generan alertas tempranas.
  • procesos sin auditar por más de xx años.
  • personal en áreas o que efectúan procesos clave con bajos indicadores de motivación, que nunca rotan de sus puestos de trabajo y/o que tienen bajas evaluaciones. Áreas o procesos con mayor personal que tiene bajas evaluaciones de desempeño - sin acción de parte de la Gerencia.
  • La complejidad y el volumen de conversiones, integraciones y cambios de sistemas
  • El mantenimiento de un equilibrio apropiado entre innovación de tecnología y operaciones seguras
  • El nivel y la tendencia de eventos de pérdidas operativas que resultan de los procesos o sistemas internos deficientes o inadecuados
  • La cantidad de informes de gestión y regulatorios enviados a la alta gerencia destacando las excepciones y tendencias
  • La cantidad de métricas de calidad de datos y de desempeño registradas y comunicadas a participantes claves de las distintas líneas de negocio, funciones, etc.
  • Cantidad de conjunto de datos contextuales (por ej.: vehículo legal, centro de costos, producto, cliente, etc.) utilizados para categorizar la información comercial / transaccional gestionados en silos en la unidad de negocio, país o Grupo.
  • Cantidad de conjuntos de datos contextuales con estándares de calidad poco claros, identificación de excepciones sin definir resolución y escalamiento a través de procesos dependientes
  • Cantidad de fallas y recuperación de los procesos y seguridad vinculados

 

  • El nivel de automatización de las operaciones comerciales, en oposición al procesamiento manual
  • El alcance y la cobertura de las políticas, dadas las operaciones de la entidad auditable (líneas de negocio y áreas funcionales), perfil de riesgo y dirección estratégica
  • La consistencia de la implementación de las políticas
  • La razonabilidad de las definiciones que guían las excepciones a la política y las pautas para aprobar excepciones a las políticas
  • La revisión periódica y aprobación de políticas por parte de la Junta o un Comité delegado por la Junta
  • Las pautas adecuadas que establecen límites de riesgos o tolerancias, ya sea que haya una reevaluación periódica de esos límites y/o que haya que exista consideración de las medidas que se tomarán si se exceden esos límites
  • La adecuación de procesos que comunican políticas y expectativas al personal
  • La adecuación de procesos que garantizan que las políticas de las líneas de negocios sean consistentes con las políticas generales desarrolladas a nivel Grupo
  • La adecuación de procesos y sistemas para garantizar el cumplimiento con las políticas
  • La adecuación de procesos de aprobación, monitoreo y reporte de excepciones a políticas
  • La adecuación de procesos para capturar y rastrear eventos de pérdidas, incluidas definiciones claras de lo que se capturará y de límites que soporten la captura
  • La existencia de prácticas reporte y reconciliación apropiadas
  • Procesos, políticas y procedimientos relacionados con datos formales, actuales, y aplicables en todas las funciones del negocio y el cumplimiento de las políticas y procedimientos por entidades legales y por país
  • Los responsables de datos deben tener en claro su responsabilidad
  • Las funciones y responsabilidades deben definirse claramente para identificar, escalar y resolver excepciones relacionadas con datos de manera efectiva
  • Conocimiento en la alta gerencia sobre excepciones relacionadas con datos, y participación activa durante la fase de escalamiento y resolución      
  • Procesos, políticas y procedimientos relacionados con la identificación de elementos críticos de datos para los distintos negocios y funciones
  • La cantidad de excepciones de datos identificadas a través del proceso de gestión y resolución de excepciones
  • La gerencia toma decisiones estratégicas y / o críticas con base en elementos de datos críticos que requieren un control de calidad
  • Políticas, normas y procedimientos relacionados con datos sobre la gestión de datos maestros / de referencias en múltiples sistemas, sus procedimientos de conciliación y acceso común a conjuntos datos compartidos a través de procesos dependientes
  • Ajustes manuales, manipulaciones de datos, limpieza y modificaciones durante todo el proceso de cálculo y generación de reportes e información.
  • Conciliación y análisis de linaje en diferentes aplicaciones y versiones
  • Modelos utilizados en las decisiones de planificación y pronóstico que no han sido validados
  • Comprensión del ciclo de vida general de los datos y el estado en que se consumen para los procesos de negocios y funciones
  • Confianza en información procesada a través de macros, planillas de cálculo, Access, etc.
  • Procesos, políticas y procedimientos sobre construcción de modelos y predicción de escenarios, validación y aprobación
  • Políticas y normas claras y mensurables establecidas y relacionadas con la gestión del contenido de datos, y uso y acceso de datos

5

Vulnerabilidad ante actos de Fraude

Considera el fraude definido como uso deshonesto o apropiación indebida de activos, recursos, servicios o beneficios. El fraude se produce cuando:

  • Una persona suministra información falsa,  
  • No suministra información a sabiendas, con el fin de engañar al propietario de activos, recursos, servicios o beneficios,
  • Se cometen acciones deshonestas sin beneficio personal, pero con la intención de generar pérdida a otra persona o entidad. Ello incluye la interpretación errónea intencional de la situación financiera.
  • Existe mayor predisposición de la Gerencia por sobrepasar los controles para "maquillar" o "mejorar" las cifras de los EEFF.
  • Existe la oportunidad ya sea por ausencia en la segregación de controles, falta de personal, muchos controles manuales como para que dicha incompatibilidad genere una oportunidad de cometer fraude o uso indebido de recursos y/o activos tangibles o intangibles de la Organización, ya sea por uno o más individuos.
  • Inexistencia de una línea de confianza independiente y objetiva que motive el reporte de eventos o fraude
  • Historia de materialización de pérdidas por fraudes internos o externos.
  • Comunicación y vivencia del Código de ética y valores por parte de los colaboradores, difusión y capacitación permanente o ausencia de la misma
  • Personal poco motivado, ausencia de auditorías al código de ética y al ambiente laboral y del trabajo.
  • Personal en áreas o que efectúan procesos de mayor exposición al fraude (comisiones, roles de pago, pago a proveedores - establecimientos, ajustes, claves para modificar bases de datos u objetos de los sistemas, compras, aprobación de créditos, compra de inversiones, aceptación de captaciones, etc.) y que además no tienen segregación de funciones, ausencia de controles automáticos, niveles de atribución y/o que no toman vacaciones, no rotan de sus puestos de trabajo y/o que tienen bajas evaluaciones.

Aunque el fraude es posible en todos los sectores y jurisdicciones donde opera el Grupo, algunos modelos de negocio y lugares están expuestos a mayores niveles de riesgo de fraude.

  • Clientes del activo y pasivo con comportamientos inusuales, no existen herramientas en línea para identificar, prevenir y/o evitar dichas posibles transacciones inusuales o quizá fraudulentas.
  • El país, tipo de banco o el segmento está más expuesto o vulnerable al CyberCrime.
  • Incidentes de fraudes anteriores que afectan la entidad auditable o entidades auditables similares
  • La magnitud de las pérdidas relacionadas con dichos incidentes

Factores Externos

El entorno externo en el cual opera la entidad auditable afectará la naturaleza y extensión de los riesgos de fraude. Factores culturales y otros factores locales influyen significativamente en los riesgos de fraude, para que el mismo proceso pueda operar bajo diferentes riesgos en diferentes países. Hay diversas fuentes de información relevante disponibles:

  • El Índice de Percepción de Corrupción (IPC) brinda una clasificación de riesgos en cada país. Si bien el IPC se basa en percepciones del nivel de corrupción dentro del sector público de un país, aun así, constituye un indicador útil del nivel relativo de riesgo de fraude. En particular, las comparaciones de años pueden indicar cambios en el nivel de riesgos de fraude que pueden no haber sido abordados en el diseño del modelo de negocio de la entidad auditable.
  • Además de las encuestas de la Asociación de Examinadores de Fraudes Certificados (ACFE), una cantidad de organizaciones del sector privado publican informes que reflejan tendencias en el tamaño y la naturaleza de los riesgos de fraude. Algunos de ellos contienen análisis regionales / jurisdiccionales que destacan aún más la importancia de la evaluación de riesgos de fraude para una entidad auditable en particular.
  • Otros índices también ayudan, incluidas las evaluaciones del tipo “hacer negocios” (doing business), las cuales son, en parte, impulsadas por riesgos de fraude y corrupción (por ej.: Informe “Doing Business” del Banco Mundial).

Factores Internos

Existen una cantidad de indicadores generales que se pueden utilizar para evaluar el riesgo de fraude que deriva de factores internos y que incluyen:

  • Uso frecuente de intervenciones manuales para transacciones / registros de contabilidad clave, especialmente si estos se relacionan directamente con el proceso que es auditado
  • Responsabilidades que son dominadas por una pequeña cantidad de personas. Ello puede representar un factor de riesgo significativo, especialmente en relación con los procesos manuales para el desembolso o la transferencia de fondos
  • La existencia de ajustes significativos después del cierre que afectan los resultados reportados especialmente en los cierres de ejercicio anuales o trimestrales
  • Un historial de excepciones políticas, incluso si estas han sido debidamente aprobadas
  • Instancias frecuentes de anulación de la gerencia
  • Gran cantidad de transacciones complejas o inusuales
  • Procesos de conciliación / cuadre complejos
  • Un historial de incidencias de errores o anulaciones de transacciones
  • Uso de datos de Información de Identificación Personal y datos de clientes por la función o negocio
  • Acceso no autorizado a herramientas del tipo Excel, Access, Macros, hojas de cálculo de datos de entrada y plantillas preliminares en el proceso del negocio o función
  • Procesos no efectivos de aprovisionamiento de datos, accesos no autorizado a datos críticos requeridos para el proceso del negocio o función
  • Información no definida relacionada con el Cliente


6

Tercerización / Subcontratación

Se relaciona con la dependencia de terceros externos y terceros internos del Grupo que llevan a cabo procesos comerciales y / u operativos claves en nombre de un negocio, función o entidad legal del Grupo.


La tercerización es un acuerdo para que un tercero externo o interno opere, lleve a cabo o gestione todas o una parte importante de las funciones empresariales, roles, servicios u operaciones de procesamiento del Grupo.

La dependencia de terceros puede aumentar los riesgos de estrategia, reputación, regulatorios y operativos del Grupo.

El riesgo incrementado surge por lo general de:

  • La planificación, supervisión y control deficientes del Grupo
  • Desempeño o del servicio insuficiente por parte del proveedor de servicios
  • Dependencia o delegación de dicho proveedor en procesos clave que gestionan riesgos clave, o que interaccionan directamente con el cliente, custodia o manejo de información confidencial, manejo de marca o delegación de procesos clave que sirven para cumplir la estrategia, presupuestos y objetivos del negocio.
  • Ausencia de proveedores alternos o si los vigentes no pueden asegurar la continuidad de las operaciones a través de su propio BCP.
  • Alta dependencia tecnológica, de continuidad del servicio con el proveedor, si éste desaparece como continúan las operaciones del Banco.
  • Pagos excesivos o concentración de proveedores que son partes relacionadas calificadas como tal por la norma contable, entes de control o presunción.
  • La condición financiera del tercero externo ya que la gerencia del negocio o función tiene la responsabilidad de evaluar
  • La cantidad de terceros internos o externos que aloja una aplicación orientada a Internet del Grupo, realiza funciones orientadas al cliente u orientadas a evitar la corrupción, soborno o actúa contra el lavado de dinero. Además, los terceros externos que realizan actividades que tienen conexión con las redes del Grupo
  • Grado de pérdidas operacionales asociadas con terceros internos o externos
  • Frecuencia del monitoreo de la certeza del desempeño y los controles por parte del negocio o función
  • Número de transacciones que opera, administra, gestiona o procesa dicho proveedor tercero
  • Número de reclamos, incumplimientos de cláusulas contractuales, errores o fallas reportadas por clientes externos o internos respecto de la gestión de dicho proveedor tercero.
  • Dependencia económica, pagos fuera del precio de mercado o muy elevados frente a otros proveedores.
  • Demoras o incumplimientos recurrentes o importantes en los SLA establecidos con proveedores.

  • El grado de uso terceros internos o externos por parte del negocio o función. Las actividades fundamentales subcontratadas pueden incluir funciones tales como operaciones y procesos bancarios principales en funciones claves como Finanzas, Recursos Humanos, AML, Operaciones y Tecnología
  • Grado en el cual el negocio o función subcontrata actividades de control claves (por ej.: funciones de creador y verificador) a terceros internos o externos
  • Confidencialidad de los datos accedidos o mantenidos por el tercero interno o externo
  • Criticidad de la recuperación oportuna de los procesos subcontratados a terceros internos y externos
  • Requisitos para la aprobación legal o regulatoria de subcontratación para la jurisdicción desde la cual se subcontratan los procesos
  • Grado de especialización de servicios ofrecidos (grado de facilidad para reemplazar al proveedor de servicios)
  • Existencia de terceros que participan en la gestión de riesgos relacionados con subcontratación / obligaciones fiduciarias del banco (por ej.: Servicios de Custodia)

7

Riesgo de Crédito y

Mercado

Se relaciona con la exposición al riesgo de Crédito (empresarial, institucional, microempresario e individuos) y al riesgo de Mercado (tasa de interés y precios).

Riesgo de Crédito:  Posibilidad de pérdida financiera debido a la incapacidad de un deudor de pagar el capital y el interés según lo acordado. Esto incluye modelos relacionados con la evaluación del riesgo de crédito como por ej. los modelos de clasificación y de estimación de pérdidas.

Riesgo de Mercado:  Posibilidad  de que el valor de una inversión o cartera se vea afectado negativamente por movimientos en factores del mercado como la tasa de interés, tipo de cambio, diferenciales de crédito, precios de materias primas, inmuebles, etc. Esto incluye una evaluación de todos los modelos de riesgo de mercado, fijación de precio y valuación.

Riesgo de Crédito

Evaluar la manera en que la planificación estratégica en la cartera de préstamos puede afectar el entorno de riesgos de crédito

  • El efecto de factores estratégicos, entre ellos, mercado objetivo, la mezcla de carteras y productos, la complejidad de instrumentos de crédito, adquisiciones, diversificación de fuentes de repago, nuevos productos y canales de entrega, iniciaciones de terceros, sindicaciones, concentraciones, etc.
  • El mantenimiento de un equilibrio apropiado entre riesgos y recompensas para evitar decisiones crediticias desfavorables, carteras con características no deseadas tácticas de gestión de cartera no efectivas
  • El efecto de factores externos, entre ellos, condiciones económicas, industriales, competitivas y de mercado; cambios legislativos y regulatorios; y avances tecnológicos.
  • Consideración del impacto del riesgo país, regulaciones extranjeras y locales
  • Los niveles y tendencias de morosidad, activos sin buen desempeño / resultado y problemáticos, pérdidas, clasificación del riesgo promedio compensado y reservas en el balance y las cuentas de orden
  • Nivel de exposición al riesgo de contraparte
  • Tendencias en el crecimiento y volumen de actividades de crédito basadas en préstamos y cargos, incluidas actividades de balances, sindicaciones, inversión, pago, liquidación y compensación
  • Tendencias identificadas en métodos de precios de préstamos, análisis de carteras y modelos, previsión de pérdidas y métodos de pruebas de Stress.
  • Composición de la cartera general y el nivel de riesgo en varios grupos en comparación con los objetivos y pautas establecidas por el Comité de Crédito (por ej.: concentración de riesgo)
  • Cambios en estándares de suscripción, entre ellos, puntuación de crédito, impulso, políticas, precio, tenor, garantía, soporte de garantes, pactos y estructuras

 

Riesgo de Tasa de Interés

  • El efecto de la estrategia de negocio general del Banco en el riesgo de tasa de interés (por ej.: ingresar a nuevas actividades comerciales, especular sobre la dirección y volatilidad de las tasas de interés, invertir en tecnología de apoyo)
  • Resultados de análisis de situaciones hipotéticas / pruebas de stress: la capacidad de soportar cambios en las tasas de interés causados por factores externos, entre ellos, condiciones económicas e industriales, cambios legislativos y regulatorios, demografía de mercado, cambios tecnológicos, competencia y condiciones de mercado
  • Límites de exposición a riesgo de tasa de interés relativos en comparación con límites de los países / Grupo
  • La inconsistencia de reajustes de activos y responsabilidades / obligaciones a corto y largo plazo
  • La adecuación de las suposiciones de distribución de reajustes para saldos de depósitos no vencidos
  • El volumen de flujos de ingresos sin interés vulnerables a ser sujetos a tasas de interés
  • La vulnerabilidad de ganancias y capital a grandes cambios de tasa de interés, como impactos de tasas y cambios graduales de tasas (por ej.: un cambio de 200 puntos bases en 12 meses)
  • La presencia de derivados de divisas y extrabursátiles, como futuros y canjes (swaps) de tasas de interés usados para ajustar inconsistencias en re-cálculos de saldos
  • El uso de índices diferentes para activos y pasivos que pueden cambiar en diferentes momentos o por diferentes montos (por ej.: Libor, Prime, etc.)
  • Comportamiento de precios aletargado o asimétrico en tasas gestionadas por el Banco, como las tasas de depósitos de consumo
  • El efecto de cambios en los flujos de caja y correlaciones de reajustes entre instrumentos de cobertura y posiciones que se cubren
  • La exposición de posiciones dentro y fuera del balance ante cambios en el nivel y la forma absolutos de la curva de rendimiento (por ej.: subida de nivel con poca inclinación, caída de nivel con inclinación pronunciada, curvas invertidas y giros)
  • La extensión de opciones escritas (vendidas) incluidas en activos (por ej.: prepagos de préstamos e hipotecas, límites de tasa de interés y pisos incorporados en préstamos de tasas ajustables y valores rescatables)
  • El posible efecto de opciones escritas incluidas en responsabilidades (por ej.: retiros de depósitos anticipados, flexibilidad de depósitos sin vencimiento, etc.)
  • El volumen de contratos de opciones negociables de divisas y extrabursátiles

Riesgo de Precio

  • El nivel de posiciones abiertas pesadas como ganancias y/o capital en riesgo.
  • La tendencia (positiva o negativa) de posiciones abiertas en comparación con ganancias comerciales históricas. límites de riesgo y capital económico.
  • El tamaño de las posiciones sin liquidez,
  • El volumen total de activos y pasivos representados en un valor justo a través de ganancias
  • El   tamaño da las carteras de préstamos para la venta.
  • El nivel de capital sujeto a reevaluación de los requisitos de traducción de moneda.
  • La respuesta de precios a varios factores de mercado (por ejemplo:  cambio de        divisas, tasas de interés, capital o precios de materias primas) en carteras sin opciones (carteras lineales).
  • La respuesta de derechos de servicios hipotecarios a entradas de valoración (tasas de interés prepagos y volatilidades).
  • La existencia de respuesta de precios no lineal a cambios en factores de mercado.
  • La existencia de exposición de opciones discontinua (por ejemplo, la exposición que surge de opciones dependiente de la trayectoria).
  • El nivel de opciones empleadas para cubrir derechos de servicio hipotecario
  • La existencia de factores de riesgo correlativos en la cartera (por ejemplo, cuando el precio de un activo cubierto no se mueve conjuntamente)
  • El volumen de exposición potencial entre la tasa hipotecaria subyacente y    los instrumentos de cobertura (TBA. canjes) para derechos   de servicios hipotecarios.
  • El nivel y la diversificación entre productos o tipos de productos.
  • La existencia de concentraciones en factores de mercado (por ejemplo, precio de ejercicio).
  • La existencia de una posición dominante en productos y mercados.
  • Grandes posiciones concentradas en contrapartes de riesgos mayores.
  • El volumen de productos listos para comercializar que generalmente se pueden liquidar o cubrir dentro de un marco razonable.
  • 0 el volumen de productos sin liquidez cuyos precios pueden disminuir porque los gerentes necesitan tiempo relativamente más prolongado para liquidar o cubrirlos con eficacia.
  • El volumen de exposiciones activos o pasivos dentro de entradas de medicación de valor justo que podrían no ser observables fácilmente en el mercado).
  • La tendencia y el volumen de disputas de llamadas con contrapartes.
  • Ingreso derivado de negociaciones iniciadas por el cliente en proporción con ganancias derivadas de actividad de gestión de carteras
  • Ingreso derivado de cambios en diferenciales de crédito.
  • Inconsistencias en derechos de servicio hipotecario e ingresos de cobertura.

Riesgo de Crédito

  • La consistencia de la política de crédito con la dirección estratégica general del banco y el perfil de riesgo o límites, y el nivel de aprobación y supervisión del Comité de Crédito y / o la Junta
  • La adecuación de procesos implementados para comunicar e implementar estas políticas y las expectativas con el personal apropiado
  • La comprensión de, y el cumplimiento con, la dirección estratégica del Banco y el perfil de riesgo, como se lo define la alta gerencia y la Junta
  • La estructura de la operación de crédito y si la responsabilidad es asignada en cada nivel (incluida la división adecuada de deberes / obligaciones, controles duales, autoridad acorde con los deberes / obligaciones)
  • Producción de información de gestión oportuna, precisa, completa y relevante, incluida la incorporación de exposiciones en todas las líneas de negocios
  • Existencia de un proceso de diligencia debida bien definido y apropiado al enviar / otorgar crédito
  • Adecuación del proceso de aprobación, campañas de marketing, y canales de entrega
  • La adecuación del proceso de gestión de riesgos, análisis de suscripción y métodos utilizados para establecer solvencia
  • La calidad de los recursos analíticos, como sistemas de puntuación y modelos de carteras, y la adecuación de la revalidación periódica
  • Existencia de un proceso de monitoreo de crédito bien documentado y apropiado
  • Adecuación de planes de acción y estrategias de cobro para facilitar el cobro a tiempo (por ej.: capacidad para implementar una medida de resolución temprana en deterioro de créditos, gestión de créditos con problemas y situaciones similares)
  • Cumplimiento con los estándares regulatorios y contables, y las pautas relacionadas con créditos
  • La adecuación de la gestión de desempeño y programas de compensación

Riesgo de Tasa de Interés

  • Existencia de una política de riesgo de tasa de interés detallada y consistente con la dirección estratégica general del Banco y perfil de riesgo y / o límites
  • La aprobación de la política de riesgo de tasa de interés por parte de la Junta o un Comité apropiado de la Junta
  • Supervisión periódica de la Junta para evaluar el cumplimiento de gestión de activos con las políticas aprobadas de la Junta
  • Límites e incentivos alineados con el perfil de riesgo
  • La adecuación de pautas que establecen límites de riesgo o posiciones, incluidos requisitos de re-evaluación periódicas, y si las pautas estipulan medidas prudentes a tomar si los límites se rompen
  • La adecuación de procesos que comunican políticas y expectativas con el personal apropiado
  • La adecuación del sistema del riesgo de tasa de interés para capturar todas las fuentes materiales de riesgo de tasas de interés y generar informes significativos para la alta gerencia y la Junta (producción de información de gestión precisa, oportuna, completa y relevante)
  • La adecuación de los modelos usados para probar vulnerabilidad de ingresos bajo situaciones de prueba de stress o probables (incluida la consideración del alcance de que modelos usan procesos automatizados en vez de manuales, si el modelo tiene interfaces automatizadas con los sistemas principales del Banco, y si tiene los fondos, hardware, personal y experiencia necesarios para llevarlos a cabo el modelo y mantenerlo)  
  • La adecuación de los procesos de aprobación, monitoreo e informes para excepciones de políticas
  • La suficiencia de pruebas de stress periódicas que usan situaciones que reducen o eliminan ganancias y la capacidad de pruebas para proyectar con precisión el efecto de ciertas condiciones
  • La flexibilidad de modificar posiciones en entornos de tasas adversos de manera oportuna

 

Riesgo de Precio

  • La consistencia de las políticas relacionadas con actividades que crean riesgo de precio con la dirección estratégica general del banco y tolerancia o límites de riesgo
  • La razonabilidad de las definiciones que guían excepciones de política, las pautas para aprobar excepciones de política y los requisitos de informes para asas excepciones.
  • La adecuación de pautas de riesgo de precio que establecen límites o posiciones, ya sea que se requiera reevaluación periódica y si las pautas estipulan medidas prudentes a tomar si los límites o posiciones se rompen.
  • La aprobación de políticas por parte de la junta o un comité apropiado de la junta.
  • La existencia de estándares adecuados para validación de modelo independiente dado el riesgo de precio del banco.
  • La adecuación de síntomas do medición de riesgo para capturar posiciones materiales y los riesgos inherentes en las posiciones
  • La adecuación de procesos qué comunican políticas y expectativas con el personal apropiado.
  • La producción de información de gestión oportuna, precisa, completa y relevante.
  • La existencia de supervisión de gestión comercial (¡por ej., aprobación y monitorea de cumplimiento con límites, comunicación de políticas y expectativas del personal apropiado).
  • La existencia de medidas independientes y análisis de riesgo bajo una variedad de situaciones incluidas pruebas de estrés.        
  • La adecuación de los modelos usados para probar vulnerabilidad de ingresos bajo situaciones de prueba de estrés y probables.
  • La complejidad de los modelos usados
  • La adecuación del control interno para operaciones comerciales (administración y atención al cliente), incluida la división de obligaciones, control dual autoridad acorde a las obligaciones, etc.
  • La adecuación del riego qua modela derechos de servicios hipotecarios ya sea oportuno, completo, específico al producto (por ejemplo, un riesgo de modelo elevado se usa para préstamos de riesgo elevado), y refleja las prácticas de mercado vigentes.


8

Entorno de Cumplimiento Normativo

Surge de violaciones al cumplimiento de:

  • leyes, normas o regulaciones locales, nacionales o internacionales,
  • las políticas y los procedimientos internos del Grupo y/o
  • normas éticas relevantes.


  • Naturaleza y alcance de las actividades comerciales, incluidos productos y servicios exclusivos o nuevos, crecimiento rápido y actividad de adquisiciones y fusiones significativas
  • Alcance de la organización hacia jurisdicciones legales y de supervisión.
  • Cantidad de cuerpos directivos regulatorios que supervisan la entidad y/o cantidad de regulaciones que la entidad necesita cumplir (incluidos        los requisitos de informes regulatorios).
  • La cantidad y la importancia de los litigios, quejas de clientes y multas relacionadas con cumplimiento.
  • Nivel de consultas o investigaciones de reguladores; frecuencia de profundidad de inspecciones regulatorias / grado de escrutinio regulatorio.
  • Volumen e importancia del cumplimiento o incumplimiento con políticas, procedimiento, leyes, regulaciones, políticas/procedimientos y estándares éticos.
  • Inventario claro de activos de clientes y si están segregados de los activos del banco.
  • Tendencia de datos de pérdidas relacionadas y su impacto en la gestión fiduciaria.
  • Cantidad de quejas y litigios relacionados con cuentas fiduciarias.

  • Adecuación de políticas establecidas, límites de riesgo, consistencia de políticas con la dirección estratégica general.
  • La existencia de un Programa de Cumplimiento documentado que permite a la gerencia definir y monitorear adecuadamente el riesgo de cumplimiento de la entidad y la exposición.
  • La existencia de una evaluación de riesgos de Cumplimento documentada con relación a productos y servicios, clientes y geografía incluyendo los controles de mitigación y riesgos residuales asociados, lo que permita una pronta auto identificación de riesgos de cumplimiento y una rápida respuesta a estos riesgos y exposiciones.
  • La adecuación del proceso para capturar y responder a quejas relacionadas de consumidores e identificar posibles problemas de cumplimiento.
  • Actuar en beneficio de los clientes y cumplir con las responsabilidades fiduciarias.
  • Cumplimiento con las leyes y regulaciones fiduciarias (incluida la cantidad de multas relacionadas que hubiere).
  • Adecuación de una estructura de gestión apropiada en tomo al riesgo fiduciario de la compañía,
  • Existencia de conflictos de intereses.
  • La razonabilidad de las definiciones que determinan las excepciones de políticas y pautas para aprobar excepciones de políticas, y la adecuación de los procesos 06 aprobación, monitorea de informes para excepciones de políticas.
  • Nivel de supervisión y gobierno corporativo de la gerencia para monitorear la capacidad de la entidad de administrar y ejecutar el programa de cumplimiento y mantener a la alta gerencia y otras partes interesadas informadas sobre temas y desarrollos de cumplimiento claves.
  • El alcance hasta el cual se identifican y corrigen internamente violaciones, incumplimientos o deficiencias en el sistema de gestión de riesgos de cumplimiento.
  • La adecuación        de la integración de consideraciones de cumplimiento en diferentes fases del ciclo de vida del producto incluidos nuevos productos y servicios.
  • La adecuación de la gestión de desempeño y programas de compensación incluida la responsabilidad de cumplir con las leyes y regulaciones locales, nacionales a internacionales. Dichos programas deben excluir incentivos para que el personal asuma riesgos excesivos.
  • Capacitación y comunicación: La existencia de un programa de capacitación de cumplimiento completa y constante para el personal de negocios y cumplimiento.
  • El grado de entendimiento de la regla o regulación del mercado/regulación del mercado/reguladores e interno.
  • Procesos establecidos para obtener actualizaciones / cambios regulatorios en un entorno regulatorio.
  • Requisitos regulatorios relacionados con actividades transfronterizas que afectan la función del negocio.
  • El cumplimiento regulatorio es difícil   de lograr debida a la calidad deficiente de datos y gobierno corporativo.

9

Prevención de Lavado de Dinero

Considera el riesgo de incumplimiento o no conformidad con leyes o regulaciones locales, nacionales y/o internacionales relacionadas con los temas de Conozca a su Cliente, Prevención de Lavado de Activos y Sanciones y relacionadas con las políticas y procedimientos internos del Grupo.

  • La cantidad escala diversidad y complejidad de los negocios, productos, servicios, mercados objetivo y clientes para actividades de lavado de dinero y financiamiento al terrorismo.
  • Cantidad de clientes identificados como de alto riesgo o que utilizan productos de alto riesgo.
  • Volumen de informes de transacciones sospechosas / informes de actividades sospechosas archivados.
  • Frecuencia o profundidad de inspecciones regulatorias / grado de escrutinio regulatorio.
  • Cumplimiento con requisitos de Prevención de Lavado de Activos (incluidos todos los requisitos de informes regulatorios) volumen y gravedad de multas relacionadas.

  • Las jurisdicciones / países expuestos ya sea mediante actividades propias o las actividades de clientes.
  • Los canales de distribución, incluida la medida en que el banco trata directamente con el cliente o la medida en que depende de terceros y el uso de tecnología.
  • La adecuación de los procesos y sistemas para garantizar el cumplimiento con las políticas, las leyes y regulaciones aplicables relacionadas con Conozca a su Cliente / Prevención de Lavado de Activos / Sanciones.
  • La existencia de un Programa de Prevención de Lavado de Activos basado en riesgos documentados que permita a la gerencia definir y monitorear adecuadamente el riesgo de cumplimiento y la exposición de Prevención de Lavado de Activos.
  • La existencia de una evaluación de riesgos de Prevención de Lavado de Activos documentada con relación a productos y servicios, clientes y geografía, incluyendo los controles de mitigación y riesgos residuales asociados, lo que permite una pronta auto identificación de riesgos de Prevención de Lavado de Activos y una rápida respuesta a estos riesgos y exposiciones.
  • Nivel de supervisión y gobierno corporativo de la gerencia para monitorear la capacidad de la entidad de administrar y ejecutar un programa de Prevención de Lavado de Activos efectivo y mantener a la alta gerencia y otras partes interesadas informadas sobre temas y desarrollos de Prevención de Lavado de Activos clave.
  • La adecuación de la gestión de desempeño y programas de compensación, incluida la responsabilidad de cumplir con Conozca a su Cliente / Prevención de Lavado de Activos / Sanciones y Anti-Soborno y Anti-Corrupción.
  • Capacitación y comunicación: La existencia de un programa de capacitación de Prevención de Lavado de Activos completo y constante para el personal de negocios y cumplimiento.
  • Susceptibilidad a multas y medidas de cumplimiento basadas en el tipo y la complejidad de productos y/u ofertas de servicios.


10

Finanzas y Riesgo de Liquidez

Considera el riesgo de informes financieros inexactos, incompletos, tardíos o no enviados presentados por las entidades legales del Grupo a participantes externos como reguladores, analistas y el público en general.  

  • Errores en la presentación de EEFF, en la aplicación de estimaciones, multas pagadas u observaciones entes de control.
  • Política o cultura agresiva (registro en mas o en menos) en cuanto a la aplicación de políticas contables, interpretación de normas legales o Tributarias, aplicación de estimaciones complejas (aplicación de provisiones de activos de riesgo y pasivos), reconocimiento de ingresos y gastos, tendientes a mejorar o desmejorar utilidades, patrimonio y valor de activos.
  • Volumen importante de ajustes, reclasificaciones contables, N/C, ND, a fin de mes, a fin de año.
  • Pagos a relacionadas o proveedores fuera de los precios de mercado o con niveles de concentración.
  • Partidas de balance antiguas, sin gestión.


Este factor considera el riesgo de liquidez que es la posibilidad de pérdida de capital y/o ganancias actuales o anticipadas que surge de la incapacidad de cumplir con las obligaciones al vencimiento.

Financiero

  • Tamaño: los saldos del balance y la declaración de ingresos relativa al negocio y grupo.
  • Cantidad de entidades legales financieras impactadas por las actividades del negocio especialmente entidades con requisitos de informes financieros externos.
  • Importancia de ajustes de gestión, entradas de diario manuales y ajustes posteriores al cierre que impactan en los libros y registros financieros.
  • Grado de distribución de las tareas de informes financieros o información tributaria en el ciclo de transacción.

Riesgo de Liquidez

  • Resultados de la prueba de estrés (¿La prueba de estés indica deficiencias de liquidez y, si es así, está esto documentado?)
  • Cambios en la clasificación de crédito de la entidad
  • El volumen la composición, las tendencias de crecimiento y las proyecciones.
  • La mezcla de depósitos.
  • La lealtad y estabilidad de la base de clientes.
  • La tendencia las tasas pagadas y los acuerdos de recompras de productos de depósitos sin seguro.
  • La medida en que los pasivos se diversifican mediante proveedor de fondos individuales,
  • producto, tenor, área de mercado, industria, etc.
  • La extensión de la diversificación de activos como se evidencia en la variedad de préstamos e inversiones u otros activos que el respaldo podría usar para recaudar fondos.
  • La capacidad de acceder a fondos de mercado sin seguro adicional
  • La existencia de actividades de valores proyectados y actuales y flujos de caja asociados. ya sea como fuente o posible uso de fondos.
  • La presencia de otros elementos fuera del balance que podrían resultar en flujos de caja hacia o desde el saldo.
  • El volumen de deficiencias en fondos netos fuera de balance.
  • Volumen del balance vis-a-vis regional / grupal.
  • Índices de liquidez.
  • Frecuencia de deficiencias de liquidez.
  • El crecimiento proyectado o disminución de activos y pasivos.
  • El efecto del entorno de mercado externo, lo que incluye: clasificaciones y tendencias de agencias de clasificación de bancos: costo relativo de fondos, condiciones económicas.
  • El volumen. la composición y la tendencia de activos no gravados altamente líquidos que el respaldo puede vender o garantizar bajo condiciones normales y peligrosas.
  • Variedad y monto de líneas de crédito aprobadas (oficinas centrales, participantes del mercado)

Financiero

  • Controles contables en la entidad / política de reconciliaciones / cuadres.

  • Importancia del criterio de la gerencia y los cálculos financieros para derivar números contables y divulgaciones.

  • Complejidad del producto que conduce a una contabilidad compleja o requisitos de informe regulatorio local y divulgación, por ejemplo, productos estructurados y transacciones derivativas.

  • Nivel de complejidad en los requisitos de informes regulatorios en el país.

  • Diferencias significativas entre Normas Contables de la Casa Matriz y/o informes regulatorios locales.

  • Uso de modelos complejos o datos no observables y subjetivos para valoraciones de saldos activos/ pasivos/ fuera del balance.

  • Procesos manuales significativos, conciliaciones, cuadres, planillas de Excel y macros que impactan en los libros y registros contables que provienen de sistemas inadecuados.
  • Alto grado de informes de información tributaria y productos que perciben impuestos.

Riesgo de Liquidez

  • La consistencia de la política de liquidez con la estrategia de negocio general del banco, el rol en el sistema financiero y el perfil o los límites de riesgo.
  • Efectividad del Comité de Activos y Pasivos /Liquidez (Asistencia y calidad de paquetes).
  • Aprobación de la política de liquidez por parte de la junta o un comité apropiado de la junta.
  • Revisión oportuna del Plan de Financiamiento y Liquidez (PFL) y Plan de Financiamiento de Contingencia (PFC).
  • Si un plan de financiamiento de contingencia establece claramente as estrategias que abordan deficiencias de liquidez en un entorno peligroso, así como la adecuación del PFC dada la complejidad del banco, el perfil de riesgo y su rol dentro del sistema financiero.
  • ¿Se han establecido y monitoreado los límites razonables para posiciones ce liquidez?
  • Existencia de pruebas de estrés periódicas y la adecuación de requisitos de pruebas de estrés (es decir, incluye situaciones específicas a la institución y de todo el mercado)
  • ¿Las suposiciones de apoyo de la gerencia usadas en situaciones hipotéticas de estrés pueden usarse y documentarse adecuadamente?
  • ¿Se prepara la previsión de liquidez por intervalos apropiados como diarios, mensuales. trimestrales o anuales?
  • Nivel de automatización del proceso de previsión de liquidez y complejidad de los modelos de pronóstico usados.
  • Informes de liquidez regulares para gerentes, Comité de Activos y Pasivos / Liquidez y la Junta.
  • La adecuación de informes gerenciales que son oportunos, precisos, completos y relevantes (incluso la incorporación de exposiciones en todas las líneas de negocio) tanto en entornos habituales como en uno peligroso.
  • La adecuación del control interno, incluida la división de obligaciones. control dual, autoridad acorde a las obligaciones, etc.
  • Variedad y monto de líneas de crédito aprobadas (oficinas centrales, participantes del mercado)


11

Cultura y Ética

Una cultura / ética sólida busca evitar:

  • acciones coercitivas que puedan ocasionar multas monetarias considerables y/o daños a la reputación del Grupo
  • fomenta la conducta positiva y el fortalecimiento del apetito de riesgo general del Grupo al ejecutar los objetivos estratégicos de la organización,
  • fomenta una conducta honorable e idónea en el personal para ofrecer los productos que el cliente necesita en función de su perfil financiero y no en función de metas de cumplimiento y compensación variable

Los Riesgos de Soborno y Corrupción y Conducta Inapropiada se abordan en este factor de riesgo.

Riesgo de Conducta es el riesgo que empleados del Grupo puedan dañar intencionalmente o por negligencia a consumidores, clientes o la integridad de los mercados y, por lo tanto, la integridad del Grupo.  Además de la conducta relacionada con el cliente  (idoneidad / equidad con el cliente) se considera la conducta de mercado (no gestionar apropiadamente la información confidencial del mercado)

  • Naturaleza del negocio – Posibilidad de que la compensación resulte afectada por la mala conducta, especialmente si se pudiera hacer inmediatamente sin que se note en el entorno de control (por ej.: no hay un control de creador / verificador vigente)
  • La jurisdicción donde podría haber tensión entre las normas culturales locales y los requisitos a nivel GP
  • Estructura organizativa – Especialmente si la entidad auditable es geográficamente diversa y/o tiene una línea de reporte matricial alta, dificultad para determinar la responsabilidad de elementos claves de conducta o cultura tales como identificación, escalamiento y resolución de excepciones de conducta que surjan.
  • Cultura y acciones de cumplimiento relacionadas con el riesgo de la conducta no ética. Considerar cartera y tendencias actuales.
  • Cultura y exámenes regulatorios relacionados con riesgo de la conducta no ética y sus resultados.
  • Excepciones de auditoría relacionadas con la cultura o la conducta. Determinar si la cantidad y la naturaleza es apropiada al tamaño de la entidad auditable.
  • Tendencia de quejas de clientes e índices relacionados.
  • Cantidad y tendencia de brechas en políticas o procesos y si lo mismo se aborda de manera apropiada y consistente
  • Consideración de cumplimiento y otros factores de riesgo en las evaluaciones de desempeño
  • Pérdidas operativas como consecuencia de excepciones relacionadas con riesgos de conducta no ética y cultura

Riesgo de Conducta

Algunos ejemplos son:

  • Cantidad de aletas de Comunicación escaladas por Cumplimiento a Gestión de Mercados para revisión y aprobación.
  • Existencia de medidas disciplinarias contra el personal de la mesa de operaciones por conducta inapropiada (Cumplimiento Seguimiento de Incidentes de Conducta de Marcados - MCIT - Base de datos).
  • Existencia de múltiples deficiencias de política o incidentes operacionales en relación con el manejo de información confidencial de clientes.
  • Cantidad de quejas de clientes sobre precios injustos o la venta de productos considerados inapropiados

ANTISOBORNO Y ANTICORRUPCIÓN (AS&C]

  • Regalos y actividades recreativas para y de personas restringidas y partes relacionadas, entre ellas, parientas y otros huéspedes.
  • Existencia y alcance de transacciones del negocio con Proveedores claves para AS&C y asesores/ intermediarios.
  • La existencia y la medida en que las que cuentas de figuras públicas prominentes (PEPs) constituyen el total de clientes del negocio.
  • Ingresos de clientes que sor controlados o de propiedad del gobierno.
  • La existencia y la medida en que el negocio realiza (a) acuerdos de privatización gubernamentales (b) transacciones que aumentan capital por parte de entidades gubernamentales o (c) sociedades conjuntas con el gobierno.
  • Contribuciones a organizaciones caritativas contribuciones política honorarios de oradores a patrocinios de eventos relacionados con iniciativas promovidas por el estado o que implican a un empleado gubernamental.
  • Frecuencia y profundidad de inspecciones regulatorias y mandatos de cumplimiento
  • Susceptibilidad a multas y mandatos de cumplimento basados en el tipo y la complejidad de productos y ofertas de servicios.
  • La puntualidad de escalamiento de excepciones de AS&C y la resolución de conformidad con el programa AS&C.

  • Gestión de riesgos efectiva que considera deficiencias persistentes; los empleados demuestran una comprensión de los riesgos
  • La estrategia se vuelve a revisar ante cambios en los riesgos y guía la toma de decisiones, tanto de riesgos, estratégicas como formales; actualizaciones rápidas a procedimientos en base a cambios a regulaciones y mejores prácticas de la industria.
  • Liderazgo y comunicación; pautas y compromiso desde la alta gerencia; orientación / dirección proporcionadas por las gerencias
  • Escalamiento rápido de excepciones, mecanismos adecuados para escalar; demora en el escalamiento no tolerada (solución no esperada para escalar la excepción); falta de represalias por escalamiento; nivel apropiado de materialidad para justificar el escalamiento a la cadena de mando
  • Hay un proceso para mantener una gestión responsable
  • La toma de decisiones es clara; la gerencia es cuestionada por el Directorio
  • El reclutamiento es adecuado: enfoque en riesgos y habilidades, diversidad, inducción / capacitación; apreciación de valores de riesgos / controles
  • Recompensa: no hay recompensa por operar fuera de los límites; los valores están incorporados, medidos y monitoreados
  • Evidencia de desafío creíble por la segunda línea de defensa.

Riesgos de Conducta

  • El riesgo de conducta inherente al cual están expuestas las actividades comerciales debido al entorno de mercado en un país o jurisdicción, como mercados pequeños con pocos participantes y liquidez limitada que crean un riesgo posible alto de colusión.
  • Acceso a información confidencial de clientes o información sustancial privad.
  • Contribución para una referencia (por ej. FX, tasa de interés) que se requiere la intervención de un presentador para aplicar el criterio de expertos.
  • Productos sin liquidez o productos comercializados por una cantidad limitada de contrapartes.

ANTISOBORNO Y ANTICORRUPCIÓN (AS&C)

  • La existencia de un programa de AS&C y políticas y procedimientos relacionados para documentar el riesgo y la exposición de AS&C a niveles internacionales, nacionales y regionales.
  • La existencia y consistencia en los procesos de control y supervisión para evaluar la efectividad del programa de AS&C.
  • La existencia de una evaluación de riesgos de AS&C en niveles relevantes, lo que permite una auto identificación y documentación        a tiempo de riesgos de AS&C y respuestas rápidas para abordar estos riesgos.
  • La supervisión de la gerencia y la responsabilidad de supervisión del programa de AS&C, incluida la habilidad de auto identificar elementos del negocio que pueden ser fuentes de riesgo, escalar problemas y apoyar la mejora constante del programa de AS&C
  • Pruebas de cumplimiento periódicas de la ejecución de controles de AS&C nacionales e internacionales claves.
  • Comprensión y evaluación regular de clasificación del riesgo de AS&C para cada línea de negocio.
  • Existencia de programas de capacitación de AS&C constantes para empleados incluidas capacitaciones específicas relacionadas con riesgos de AS&C dentro de departamentos específicos (por ejemplo, adquisiciones. cuentas por pagar, cumplimiento).
  • Las prácticas de contratación realizan una diligencia debida apropiada con respecto al nuevo personal contratado, que se desempeñó anteriormente o empleados gubernamentales de altos cargos, y sus parientes.
  • Hay aprobaciones para gastos de regalos y actividades recreativas implementadas de conformidad con el programa AS&C.
  • Las transacciones de una sola vez y otras excepciones están adecuadamente documentadas y respaldadas a nivel de negocio.


12

Entorno de Tecnología

Considera el riesgo de utilizar tecnología para implementar controles de procesos incluyendo creador (input) / verificador, captación de datos, integridad de los datos, movimiento de datos (tránsito y transfronterizo), seguridad de la información y crimen cibernético.

Riesgo de incumplimiento de normas de seguridad de la información emitidas por entes de control, franquicias y/o PCIDSS.

  • Entregas del sistema múltiples o complejas que causan preocupaciones por la integridad de los datos.
  • Gran cantidad de planillas de cálculo, macros, etc. utilizados.
  • Gran cantidad de modelos / algoritmos.
  • Confianza en múltiples almacenes de datos para agregar un amplio rango de datos en regiones, países y funciones de negocio que necesitan soluciones manuales y esfuerzos de conciliación / cuadre.
  • Cantidad de bases de datos, sistemas heredados y procedimientos de extracción de datos necesarios para consolidar e informar los datos.
  • Cantidad de incidentes relacionados con la seguridad que ocurren.
  • Controla los datos de entrada, procesamiento y salida para evitar entradas o procesamiento de datos inapropiados.
  • Número de ataques diarios y anuales a la red y a los perímetros de seguridad (vulnerabilidades).
  • Número de incidentes de tecnología (continuidad, suspensión del servicio, frecuencia de caídas de la banking web o APP o tiempos fuera de servicio,
  • Dependencia tecnológica alta debido al elevado volumen de transacciones y complejidad de los procesos operativos, contables y de re-cálculo. Complejidad en las interfaces.
  • Dependencia intensiva de desarrollos en sus diferentes etapas de prueba, calidad y producción. Complejidad en los desarrollos, colas importantes de proyectos - desarrollos o mantenimientos sin atención,
  • Uso intensivo de claves de súper-usuarios.
  • Frecuencia en el monitoreo, correlación y/o análisis de logs
  • Volumen importante de sistemas, softwares o aplicativos, complejos para diferentes cuentas o procesos del Banco.
  • Existen cambios significativos en sistemas durante los últimos 12 meses.
  • Sistemas, procesos y recursos clave para asegurar la continuidad del negocio
  • Número de observaciones implementadas y en proceso relacionadas con continuidad, resultados históricos de las pruebas del BCP.
  • Resultados de tests de penetración periódicos
  • Cumplimiento de indicadores de disponibilidad de los sistemas
  • Extensión de la integridad de datos, confidencialidad, disponibilidad, requisitos de seguridad / privacidad desde una perspectiva comercial o regulatoria.
  • Grado de automatización de los procesos comerciales y dependencia en la tecnología.
  • El grado de segregación de funciones (por ej. creador/ verificador, soporte de IT, desarrolladores, etc.) requerido por la gerencia.
  • Continuidad del negocio y requisitos de respaldo y recuperación desde una perspectiva comercial o regulatoria.
  • Alto rendimiento / baja latencia / alta disponibilidad de requisitos de un negocio / función o perspectiva regulatoria
  • El entorno contiene Fin de Vida Útil y sistema crítico de Fin de Soporte del Proveedor o software de negocio / función.
  • Entorno inestable / de rápido cambio, que se refleja en un alto índice de cambios de infraestructuras o aplicaciones. nuevas implementaciones de sistema y nuevos requisitos regulatorios.
  • Susceptibilidad a interrupciones, errores cambios de emergencia.
  • Susceptibilidad a ataques externos o incidentes de seguridad internos (alta cantidad o alto impacto)
  • Taxonomías y diccionarios de datos consistentes e integrados a nivel grupal y en las funciones comerciales relacionadas.
  • Fuente y agregación de dates a frecuencias variadas en condiciones normales y de estrés. Gran volumen de datos alto rendimiento de la carga de datos. actualización frecuente de datos impulsada por las necesidades de gestión y regulatorias.
  • Acceso a herramientas de hojas de cálculo de datos de entrada, aplicaciones, bases de datos y plantillas preliminares usadas en el proceso del negocio / función.
  • Los Acuerdos de Nivel de Servicio (SLA) que rigen la puntualidad y la calidad de los datos.
  • Inexistencia de procedimientos de gestión de cambios apropiados.
  • Susceptibilidad de las aplicaciones centradas en datos y procesos de tecnología para interrupciones, errores y cambios de emergencia.
  • Existencia de controles separados para monitorear, asignar y definir perfiles de usuarios
  • Debilidades en seguridades de la información debido a incidentes o reportes de colaboradores, clientes o proveedores sobre fuga de información y bases de datos
  •  Inversiones importantes en dinero, RRHH y tiempo en proyectos, data centers, hardware y software que podrían no estar alineados con la estrategia.

...

Descargar como (para miembros actualizados) txt (67 Kb) pdf (298 Kb) docx (49 Kb)
Leer 47 páginas más »
Disponible sólo en Clubensayos.com