lecciones de la crisis para el control interno y el
TRANSCRIPT
Lecciones de la Crisis para el Control Interno y el Compliance en el Mercado de Valores
7 Septiembre de 2010
El contenido y los puntos de vista expresados en esta presentación son los del presentador y no los de FINRA.
Lecciones de la Crisis © 2010 FINRA. All rights reserved.
Capacidades Mas Fuertes de Manejo de Riesgos
1
•Pershing•Service Bureau
•Link Analysis •Text Mining
•Experian•SAS Loss •Enhance Analytic Tools
A la luz de la crisis financiera y los acontecimientos recientes de fraude de alto perfil, juntas directivas, la industria y la comunidad inversora están clamando para más fuertes capacidades de manejo de riesgo:
Bien o mal, una percepción existe que los administradores de riesgos:
• Perdieron claros signos de advertencia
• Reaccionaron lentamente
• Enfocaron en las cosas incorrectas
• Emplearon métodos y técnicas que estaban fuera de contacto
• No siguieron el ritmo de la innovación
• Se centraron en cumplimiento de las normas y no en el negocio
• Perdieron oportunidades para reducir el golpe
En resumen, la opinión predominante es que nuestro actual marco de manejo de riesgo en gran medida fracaso, pero oportunidades de mejora existen
Los desafíos que enfrentan los administradores de riesgos incluyen:
• Rápido ritmo de la innovación y el cambio
• Complejidad creciente en los mercados, productos y estrategia de negocio
• Desafíos en el “skill set”
• Enfoque histórico sobre operaciones
• Evolución del marco regulatorio
• Inversiones limitadas en herramientas y tecnología
• Falta o limites de datos
Lecciones de la Crisis © 2010 FINRA. All rights reserved.
Existen Debilidades
2
RiesgoDebilidades de Control – A pesar de que se ha gastado dinero considerable en el diseño de controles compensadores para tener en cuenta las infraestructuras deficientes y la integración de sistemas – en general, estos procedimientos se llevan a cabo a menudo en una moda "marque la casilla", y fácilmente se eludan los controles.
Riesgo de Detección – Limitadas e inadecuadas inversiones en tecnología de riesgo, inadecuada eficacia de los desencadenadores (triggers), y las alertas y los sistemas de flujo de trabajo que se encuentran para facilitar el examen de grandes volúmenes de datos para resaltar los riesgos. El resultado es descubrimiento limitado después de los hechos, no la detección y prevención.
Concentración de Conocimiento – Conocimientos básicos se concentran en unos pocos individuos claves que tienden a estar saturados. Pocos recursos humanos junto con insuficiente capacitación deja a las empresas vulnerables a la salida de esos recursos claves.
Seguridad de Datos – IT relacionados con los controles no han mantenido a la par con el rápido ritmo de cambio tecnológico. Existen vulnerabilidades en todos los ámbitos y datos confidenciales están en riesgo, particularmente de recursos internos.
Basado en análisis de bancos de inversión y casas de bolsa desde instituciones grandes hasta más pequeñas boutiques, surge unas temas de manejo de riesgo:
Lecciones de la Crisis © 2010 FINRA. All rights reserved.
Invertir en tecnología, información y capacidades de riesgo
Desarrollo de nuevos métodos para medir y agregar riesgo
Enfocar en brechas en la gobernación
Revisar los objetivos de manejo de riesgo
Principales Tendencias de Inversión en la Industria
3
Identificar y clasificar los riesgos clave para el negocio
Lecciones de la Crisis © 2010 FINRA. All rights reserved.
Marco de Manejo de Riesgos
4
Manejo eficaz de los riesgos operacionales requiere un marco de manejo de riesgos que prioriza el enfoque, asigna la rendición de cuentas y ofrece la información de riesgo adecuado a los encargados de manera oportuna.
• Identificación de Riesgos – establece un proceso para identificar y dar prioridad a los riesgos materiales y las amenazas emergentes asociadas con el negocio a un nivel de empresa.
• Estrategia de Medición de Riesgos – identifica los origines de riesgo y define los enfoques de medición cuantitativa y cualitativa adecuadas incluyendo RCSA, modelos de riesgo, etc.
• Evaluación de Requerimientos de Datos – define los datos necesarios para apoyar la estrategia de medición de riesgo, da prioridad a esas necesidades, identifica los orígenes de datos y administra los datos.
• Análisis e Informes de Riesgos – define las necesidades de análisis y reporting de riesgo y establece una plataforma de generación de informes para satisfacer esas necesidades.
• Flujo de Trabajo, Umbrales, Desencadenadores y Alertas –facilita el manejo de riesgos eficaz mediante la definición de tolerancias de riesgo y proporcionando una plataforma para evaluar cuando riesgo va más allá de que la tolerancia permite.
• Mitigación de Riesgo, Retroalimentación Sobre Modelos y Calibración – asegura que la empresa hace lo máximo posible con su inteligencia de riesgo y mejora la eficacia de sus herramientas de administración de riesgo y tecnologías.
Risk Identification and Prioritization
Risk Measurement and Controls Effectiveness Testing Strategy
Data Needs Assessment, Acquisition and Management
Risk Reporting and Analytics
Workflow, Thresholds, Triggers and Alerts
Risk Mitigation, Model Feedback and Calibration
Lecciones de la Crisis © 2010 FINRA. All rights reserved.
Identificación y Priorización de Riesgos
5
Un proceso disciplinado para analizar el horizonte para identificar y dar prioridad a los riesgos existentes y las amenazas emergentes es un componente esencial de un marco de riesgo operacional.
• Riesgos evolucionan rápidamente a medida que cambian los mercados, productos, reglamentos y otros factores tanto internos como externos
• Mantenerse al día con el rápido ritmo de cambio y mantenerse al corriente de los riesgos actuales y emergentes amenazas requieren:
Un método para analizar a los mercados e identificar lo que puede salir mal.
Una manera para evaluar los riesgos potenciales y centrarse en lo que es realmente importante
• Debido a que el universo de riesgo es inmenso, y está limitada la capacidad, también necesitará:
Un proceso de dar prioridad a esas amenazas y enfoque a las amenazas de prioridad más altas
Validación periódica de las prioridades de la organización para garantizar que los recursos se están implementando para el mayor beneficio
Lecciones de la Crisis © 2010 FINRA. All rights reserved.
Autoevaluación de Riesgo y Control
6
• A pesar de que la autoevaluación es una autoevaluación en lugar de una auditoria independiente, proporciona un instrumento eficaz para la administración pare reforzar los procedimientos y procesos de control.
• Forzando a los gerentes a evaluar críticamente su propia adhesión a las políticas y procedimientos de riesgo aumenta conciencia de y el cumplimiento de los controles de riesgo críticos para el negocio.
• Certificación regular aumenta la responsabilidad de la adhesión al control de riesgos y crea un clima de conocimiento de riesgos que por si puede ser un fuerte mitigante.
• La RCSA puede "medir" riesgo no cuantificable que no puede monitorear eficazmente a través de métricas e indicadores de riesgo s claves (KRIs). La RCSA, junto con un sólido programa de medición de KRI, efectivamente se redondea un perfil global de riesgos.
La autoevaluación de riesgos y controles (RCSA) puede ser un mecanismo eficaz para desarrollar un perfil de riesgo global desde una perspectiva cualitativa. Su propósito es evaluar la integridad de riesgos y controles e identificar deficiencias.
Lecciones de la Crisis © 2010 FINRA. All rights reserved.
Indicadores de Riesgos Claves (KRI)
7
Contribuyen a un Perfil de Riesgo Global – KRIs proporcionan la base cuantitativa de un marco de medición de riesgos operacionales. KRIs con una fuerte correlación a un evento de riesgo adverso puede indicar cambios en la probabilidad de tener una perdida operativa.
Enfocar la Atención de la Administración – KRIs que establecen una relación causal entre la probabilidad de un evento adverso y el conductor de ese evento (por ejemplo, causa y efecto) centra la atención de la administración y de recursos.
Asignación de Capital – Medir la gravedad, la probabilidad y la volatilidad de las pérdidas operacionales puede ser un base para la asignación de capital económico. Indicadores de riesgos claves a nivel de negocio, presentan una medida imparcial y objetiva de los aumentos en la probabilidad de que las pérdidas operativas se pueden manifestar y apoya el proceso de asignación de capital.
KRIs proporcionan un mecanismo que mira hacia adelante para centrar la atención de la administración y establecer un vínculo causal entre eventos de pérdida y sus causas subyacentes.
Mean
Jan Feb Mar Apr May Jun Jul Aug
+1 Std. Dev
+2 Std. Dev
-2 Std. Dev
-1 Std. Dev
Risk Category Key Risk Indicator Status Score Trending QTD YTD Correlation Model R2
People Risk: 66% 96%
Attrition 77% 98%
Overtime 73% 70%
Average Tenure 49% 73%
Clients, Products, and BP's: 91% 35%
Concentrations 89% 38%
Portfolio Reviews 92% 42%
IT Risk: 73% 65%
Virus Infections 78% 35%
System Downtime 69% 72%
Hacker Attacks 72% 88%
IIG Risk Profile 77%
The People Risk
category “score” is
the weighted
average score of
the individual
category KRI’s
Aggregation across
discreet risk
categories is
possible because of
the standardized
scoring scale that is
applied to each KRI
Lecciones de la Crisis © 2010 FINRA. All rights reserved.
Análisis de Scenario
8
Es una metodología para identificar, cuantificar y priorizar los riesgos asociados con “tailevents” donde los datos son escasos.
• Análisis que se centra en examinar la probabilidad y la gravedad de los eventos de riesgo “tail”.
• Puede aprovechar las estimaciones cualitativas del riesgo o consisten de análisis cuantitativos, tales como:
• Extreme Value Theory (EVT)
• Peak over Threshold (POT)
• Generalized Pareto Distribution (GPD)
• Requiere que los administradores de riesgos identifican el inventario potencial de eventos catastróficos y su impacto en el negocio:
• Pérdida de las operaciones de la sede
• Fracaso masivo de sistemas
• Colapso de la marca
SeveritySeverity
$ Per Incident$ Per Incident
Loss Distribution CurveLoss Distribution Curve
FrequencyFrequency
# of Incidents# of Incidents
Controllable Controllable
LossesLossesUncontrollable Uncontrollable
LossesLosses
Higher Impact, low
probability events
Excess Loss ThresholdExcess Loss Threshold
Low
High
High
SuitabilitySuitability
Unauthorized PositionsUnauthorized Positions
ChurningChurning
Front-runningFront-running
Trade BreaksTrade Breaks
Data LossData Loss
9-119-11
Virus AttackVirus Attack
Lecciones de la Crisis © 2010 FINRA. All rights reserved.
Análisis e Informes de Riesgos
9
Manejo de riesgo se ve facilitada por un solido plataforma que informa a la vista de riesgo de los gerentes, valida las prioridades de la organización, proporciona información a los que toman decisiones, y proporciona retroalimentación a la organización.
Para satisfacer estas necesidades, la plataforma de presentación de informes debería:
• Apoyar el análisis de riesgo multidimensional con capacidad de detalle robusto
• Ser papel específico con respecto al contenido, el nivel de detalle, medidas y métricas
• Entregarse en una manera oportuna y automatizada
• Ser transparente para evitar dudas sobre el contenido de los informes
• Pintar un perfil de riesgo global que identifica claramente atípicos de riesgo (outliers), las concentraciones y áreas de preocupación
• Flexible y escalable lo suficiente como para crecer y adaptarse como su conocimiento de riesgo y capacidad madura.
Daily Op Risk Dashboard
Daily Op Risk Dashboard
Daily Op Risk Dashboard
Lecciones de la Crisis © 2010 FINRA. All rights reserved.
Desencadenadores, Umbrales y Flujo de Trabajo
10
Unos componentes críticos de la estructura de gobernación global de riesgos son la definición y aplicación de flujo de trabajo sólida, umbrales, desencadenadores, y alertas dentro de la arquitectura de riesgo.
Actividades críticos incluyen:
• Establecer, por cada una de las estratificaciones definidos incrustado en el análisis de riesgo, donde su tolerancia al riesgo es por el factor de riesgo
• Definir cuando las migraciones en combinaciones de factores de riesgo superan su tolerancia al riesgo
• Asignar responsabilidad para cada riesgo y factor de riesgo y establecer una ruta de evaluación para cuando las tolerancias de riesgo se acerquen o se superen
• Vinculación de las exposiciones de riesgo y las deficiencias de control a planes de mitigación de riesgos y la aplicación de rendición de cuentas
• Establecimiento de desencadenadores que automáticamente hacen alertas, notificaciones, y mayor informes de riesgo cuando se superan los umbrales
Consistente, robusto, significativo, transparente y auditable.
Critical Alerts - Daily
Critical Alerts - MTD
Critical Alerts - YTD
Lecciones de la Crisis © 2010 FINRA. All rights reserved.
Usos y Fuentes de Datos
11
Subyacentes a la arquitectura de riesgo, y el poder detrás del marco de manejo de riesgo, son los datos que las unidades de análisis de riesgo. Permite la acción.
Tipos de datos útiles:
• Datos de crédito, historia regulatoria, datos de referencia de productos, datos transaccionales, datos de la cartera, datos de referencia de cliente, datos del firme, datos de estrategia de inversión, etc.
Fuentes de Datos:
• Bases de datos internos
• Datos transaccionales
• Proveedores de datos externos como:
• S&P u otros bases de datos tipo “product master”
• Datos transaccionales
• Datos de los rating agencies
• Reguladores y supervisores
Internal Data External Data
Firm Name Firm CRD No Peer Group Finop District Net Capital CategoryAvg Fin Risk
18.18667
KELMOORE INVESTMENT COMPANY, INC. 22509 Retail Brokerage Peer1SF C8 95.00000
INNOVA SECURITIES, INC. 27040 Institutional Peer 9PH C 95.00000
VISION SECURITIES INC. 35001 Retail Brokerage Peer10LI C 95.00000
BROOKSHIRE SECURITIES CORPORATION 44347 Retail Brokerage PeerFLD C 95.00000
CHANNEL POINT PARTNERS 120283 Retail Brokerage Peer2LA C 95.00000
BIO-IB, INC. 120926 Investment Banking Peer10NY J 95.00000
VIANET DIRECT, INC. 124887 Institutional Peer 9PH C 95.00000
BROADWAY FINANCIAL GROUP, INC. 135113 Investment Banking Peer10NY J 95.00000
TOUCHPOINT SECURITIES CORP. 137224 Investment Banking Peer11BO C5 95.00000
EMERALD INVESTMENTS, INC. 139511 Retail Brokerage Peer10NY C 95.00000
ASCENDANT FINANCIAL PARTNERS, LLC 143326 Investment Banking Peer3DE J 95.00000
ROBERT M. CORLEY INCORPORATED 33068 Market Makers and Floor BrokersM2 I 93.79000
Firm Name Firm CRD No Peer Group Finop District Net Capital CategoryAvg Fin Risk
18.18667
KELMOORE INVESTMENT COMPANY, INC. 22509 Retail Brokerage Peer1SF C8 95.00000
INNOVA SECURITIES, INC. 27040 Institutional Peer 9PH C 95.00000
VISION SECURITIES INC. 35001 Retail Brokerage Peer10LI C 95.00000
BROOKSHIRE SECURITIES CORPORATION 44347 Retail Brokerage PeerFLD C 95.00000
CHANNEL POINT PARTNERS 120283 Retail Brokerage Peer2LA C 95.00000
BIO-IB, INC. 120926 Investment Banking Peer10NY J 95.00000
VIANET DIRECT, INC. 124887 Institutional Peer 9PH C 95.00000
BROADWAY FINANCIAL GROUP, INC. 135113 Investment Banking Peer10NY J 95.00000
TOUCHPOINT SECURITIES CORP. 137224 Investment Banking Peer11BO C5 95.00000
EMERALD INVESTMENTS, INC. 139511 Retail Brokerage Peer10NY C 95.00000
ASCENDANT FINANCIAL PARTNERS, LLC 143326 Investment Banking Peer3DE J 95.00000
ROBERT M. CORLEY INCORPORATED 33068 Market Makers and Floor BrokersM2 I 93.79000
Firm Name Firm CRD No Peer Group Finop District Net Capital CategoryAvg Fin Risk
18.18667
KELMOORE INVESTMENT COMPANY, INC. 22509 Retail Brokerage Peer1SF C8 95.00000
INNOVA SECURITIES, INC. 27040 Institutional Peer 9PH C 95.00000
VISION SECURITIES INC. 35001 Retail Brokerage Peer10LI C 95.00000
BROOKSHIRE SECURITIES CORPORATION 44347 Retail Brokerage PeerFLD C 95.00000
CHANNEL POINT PARTNERS 120283 Retail Brokerage Peer2LA C 95.00000
BIO-IB, INC. 120926 Investment Banking Peer10NY J 95.00000
VIANET DIRECT, INC. 124887 Institutional Peer 9PH C 95.00000
BROADWAY FINANCIAL GROUP, INC. 135113 Investment Banking Peer10NY J 95.00000
TOUCHPOINT SECURITIES CORP. 137224 Investment Banking Peer11BO C5 95.00000
EMERALD INVESTMENTS, INC. 139511 Retail Brokerage Peer10NY C 95.00000
ASCENDANT FINANCIAL PARTNERS, LLC 143326 Investment Banking Peer3DE J 95.00000
ROBERT M. CORLEY INCORPORATED 33068 Market Makers and Floor BrokersM2 I 93.79000
Firm Name Firm CRD No Peer Group Finop District Net Capital CategoryAvg Fin Risk
18.18667
KELMOORE INVESTMENT COMPANY, INC. 22509 Retail Brokerage Peer1SF C8 95.00000
INNOVA SECURITIES, INC. 27040 Institutional Peer 9PH C 95.00000
VISION SECURITIES INC. 35001 Retail Brokerage Peer10LI C 95.00000
BROOKSHIRE SECURITIES CORPORATION 44347 Retail Brokerage PeerFLD C 95.00000
CHANNEL POINT PARTNERS 120283 Retail Brokerage Peer2LA C 95.00000
BIO-IB, INC. 120926 Investment Banking Peer10NY J 95.00000
VIANET DIRECT, INC. 124887 Institutional Peer 9PH C 95.00000
BROADWAY FINANCIAL GROUP, INC. 135113 Investment Banking Peer10NY J 95.00000
TOUCHPOINT SECURITIES CORP. 137224 Investment Banking Peer11BO C5 95.00000
EMERALD INVESTMENTS, INC. 139511 Retail Brokerage Peer10NY C 95.00000
ASCENDANT FINANCIAL PARTNERS, LLC 143326 Investment Banking Peer3DE J 95.00000
ROBERT M. CORLEY INCORPORATED 33068 Market Makers and Floor BrokersM2 I 93.79000
Firm Name Firm CRD No Peer Group Finop District Net Capital CategoryAvg Fin Risk
18.18667
KELMOORE INVESTMENT COMPANY, INC. 22509 Retail Brokerage Peer1SF C8 95.00000
INNOVA SECURITIES, INC. 27040 Institutional Peer 9PH C 95.00000
VISION SECURITIES INC. 35001 Retail Brokerage Peer10LI C 95.00000
BROOKSHIRE SECURITIES CORPORATION 44347 Retail Brokerage PeerFLD C 95.00000
CHANNEL POINT PARTNERS 120283 Retail Brokerage Peer2LA C 95.00000
BIO-IB, INC. 120926 Investment Banking Peer10NY J 95.00000
VIANET DIRECT, INC. 124887 Institutional Peer 9PH C 95.00000
BROADWAY FINANCIAL GROUP, INC. 135113 Investment Banking Peer10NY J 95.00000
TOUCHPOINT SECURITIES CORP. 137224 Investment Banking Peer11BO C5 95.00000
EMERALD INVESTMENTS, INC. 139511 Retail Brokerage Peer10NY C 95.00000
ASCENDANT FINANCIAL PARTNERS, LLC 143326 Investment Banking Peer3DE J 95.00000
ROBERT M. CORLEY INCORPORATED 33068 Market Makers and Floor BrokersM2 I 93.79000
Firm Name Firm CRD No Peer Group Finop District Net Capital CategoryAvg Fin Risk
18.18667
KELMOORE INVESTMENT COMPANY, INC. 22509 Retail Brokerage Peer1SF C8 95.00000
INNOVA SECURITIES, INC. 27040 Institutional Peer 9PH C 95.00000
VISION SECURITIES INC. 35001 Retail Brokerage Peer10LI C 95.00000
BROOKSHIRE SECURITIES CORPORATION 44347 Retail Brokerage PeerFLD C 95.00000
CHANNEL POINT PARTNERS 120283 Retail Brokerage Peer2LA C 95.00000
BIO-IB, INC. 120926 Investment Banking Peer10NY J 95.00000
VIANET DIRECT, INC. 124887 Institutional Peer 9PH C 95.00000
BROADWAY FINANCIAL GROUP, INC. 135113 Investment Banking Peer10NY J 95.00000
TOUCHPOINT SECURITIES CORP. 137224 Investment Banking Peer11BO C5 95.00000
EMERALD INVESTMENTS, INC. 139511 Retail Brokerage Peer10NY C 95.00000
ASCENDANT FINANCIAL PARTNERS, LLC 143326 Investment Banking Peer3DE J 95.00000
ROBERT M. CORLEY INCORPORATED 33068 Market Makers and Floor BrokersM2 I 93.79000
Risk Governance and Control
Risk Identification &
PrioritizationRisk Policy and Procedures Reporting and Analytics
Planning, Allocation and
Execution
Data and Risk Systems
• Risk inventory that sizes
known risks and
emerging threats;
• Prioritization process
where management
establishes focus;
• Clear linkage between
prioritized risks and risk
measurement strategy;
• Ongoing validation
process re-targets focus.
• Clearly defined risk based
examination procedures
tailored to specific
business models;
• Linkage between
frequency, intensity, and
focus of exams and risk
analytics;
• Clear accountability,
ownership, and workflow
driven by risk analytics.
• Robust reporting &
analytics that enhance
historical compliance
views;
• Clear linkage between
risk & the drivers of risk;
• Outliers identified for
enhanced analytics;
• Multi-dimensional views
(product, business model,
etc.).
• Risk driven supervisory
system;
• Examination hours
allocated by risk output;
• Examination focus
targeted through risk
analytics;
• Exam content tailored
based on business
model, risk factors, &
other risk input.
Workflow, Thresholds, Triggers and Alerts