tesis iacg
TRANSCRIPT
ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL
Instituto de Ciencias Matemáticas
“Diseño de un Sistema de Indicadores Claves de Riesgo para el Proceso de
Gestionar y Prevenir Fraudes de una Entidad Financiera Emisora de Tarjetas
de Crédito”
TESINA DE GRADO
Previo a la obtención del Título de:
INGENIERÍA EN AUDITORÍA Y CONTROL DE GESTIÓN
ESPECIALIDAD CALIDAD DE PROCESOS
Presentado por:
Miguel Reinaldo Salas Hernández
Benigno Alfredo Armijos De la Cruz
Guayaquil - Ecuador
2011
2
DECLARACIÓN EXPRESA
“La responsabilidad del contenido de este trabajo de graduación o titulación,
nos corresponde exclusivamente; y el patrimonio intelectual de la misma a la
Escuela Superior Politécnica del Litoral”
------------------------------------ -----------------------------------
Miguel Salas Hernández Benigno Armijos De la Cruz
3
TRIBUNAL DE GRADUACIÓN
------------------------------------------- -------------------------------------------
Ing. David Guerrero Sánchez Ing. Dalton Noboa Macías
DELEGADO DEL ICM DIRECTOR DE TESINA
4
AGRADECIMIENTOS
A Dios, por ser mi guía y fortaleza cada día de mi vida, a
mi tía, madre y abuela Margarita, por ser mi inspiración
por alcanzar mis objetivos, la razón del porque aun
deseo seguir luchando y avanzando, por creer y confiar
en mí en todo lo que me he propuesto, por darme la
fortaleza y servir de ejemplo en mi vida y ahora a lado
de dios se que serás mi ángel, a mi tío Roberto, quien
me apoyo desde inicio a fin en mi vida universitaria y
creyó siempre en mi,
Miguel.
A Dios por otorgarme la aptitud y actitud para concluir
esta ardua investigación, a Juan Águila Camacho por
brindarme la oportunidad de crecer profesionalmente en
el mundo de la consultoría en riesgos de negocios, a
Yadira Meza Mieles y Ana Galindo Álvarez por su
instrucción en la comprensión de los procesos más
relevantes en la industria de pagos con tarjetas de
crédito, a Lady Acuña Troya por su valiosa ayuda en la
comprensión de los diversos esquemas de prevención y
control de fraudes con tarjetas bancarias y a todos mis
mentores del ICM que contribuyeron significativamente a
mi formación personal y profesional.
Alfredo.
5
DEDICATORIAS
A Dios, a mi Tía Abuela y Madre Margarita, por
su amor incondicional y la sabiduría de sus
consejos que fueron mi fortaleza hasta en las
circunstancias más difíciles de mi vida, siempre
creyó y confió en mí, que el padre celestial la
tenga en su gloria y desde el cielo se que
estará siempre conmigo.
Miguel.
A Dios por ser mi fuente de constante inspiración y
perseverancia, a mis compañeros y amistades de
profesión que brindaron su tiempo y conocimiento a
la culminación de esta investigación, a Marisela
Ramírez Orellana por sus acciones de aliento en los
momentos más difíciles de este proyecto de
graduación y con el más sincero afecto a mis
padres Benigno Armijos Rodríguez y Luisa De la
Cruz Morales, seres maravillosos que con todo su
amor, sacrificio y comprensión guiaron siempre mi
camino hacia la búsqueda de la excelencia
profesional.
Alfredo.
6
INDICE GENERAL
Resumen ....................................................................................................................... 9
Introducción ................................................................................................................ 10
Planteamiento del Problema ...................................................................................... 11
Justificación del Problema ........................................................................................ 12
Objetivo General ......................................................................................................... 13
Objetivos Específicos ................................................................................................ 13
Metodologia ................................................................................................................ 14
CAPÍTULO I ................................................................................................................. 15
MARCO TEÓRICO ....................................................................................................... 15
1.1. Gestión de Procesos del Negocio ............................................................. 15 1.1.1. Definición de Procesos ...................................................................... 15 1.1.2. Sincronización y Alineamiento de los Procesos de Negocio .......... 15 1.1.3. Definición de Gestión de Procesos del Negocio (BPM) ................... 18
1.2. Indicadores Claves de Riesgo (KRIs) ........................................................ 20 1.2.1. Definición de KRIs .............................................................................. 20 1.2.2. Tipos de KRIs ..................................................................................... 20 1.2.3. Beneficios de los KRIs ....................................................................... 21 1.2.4. Limitaciones de los KRIs ................................................................... 21 1.2.5. Metodología de Construcción de KRIs .............................................. 22
1.3. Fraudes en Tarjetas de Créditos ............................................................... 24 1.3.1. Introducción ........................................................................................ 24 1.3.2. Esquemas de Fraude en T/C .............................................................. 24
1.4. Sistemas de Información Gerencial .......................................................... 29 1.4.1. Business Intelligence ......................................................................... 29 1.4.2. OLTP ................................................................................................... 31 1.4.3. OLAP ................................................................................................... 31 1.4.4. Data Warehouse ................................................................................. 31 1.4.5. Datamart .............................................................................................. 33 1.4.6. Estructura de Tablas .......................................................................... 33 1.4.7. ETL ...................................................................................................... 37 1.4.8. Dashboard ........................................................................................... 38
1.5. Gestión del Riesgo Operativo en IFIs - Basilea II ..................................... 40 1.5.1. Definición del Riesgo Operativo ........................................................ 40 1.5.2. Fuentes del Riesgo Operativo ........................................................... 40 1.5.3. Sistema de Administración del Riesgo Operativo (SARO) .............. 41 1.5.4. Etapas en la Gestión del Riesgo Operacional .................................. 43 1.5.5. Cuantificación del Riesgo Operacional ............................................. 43
1.6. Seis Sigma: Paradigma de la Calidad Total .............................................. 56 1.6.1. Cartas de Control de Procesos Shewart ........................................... 57 1.6.2. Análisis de Capacidad y Desempeño de Procesos .......................... 59 1.6.3. Analisis de Corridas o Rachas en Procesos ..................................... 61
CAPÍTULO II ................................................................................................................ 63
CONOCIMIENTO DEL NEGOCIO ................................................................................ 63
2.1. Antecedentes Generales. ........................................................................... 63
7
2.1.1. Entorno Económico. ........................................................................... 63 2.1.2. Descripción de la Institución. ............................................................ 64 2.1.3. Filosofía Institucional......................................................................... 64
2.2. Análisis Estratégico. .................................................................................. 65 2.3. Características Operacionales. ................................................................. 66
2.3.1. Riesgo de Procesos Internos. ................................................................... 66 2.3.2. Riesgo de Gestión del Talento Humano. .................................................. 68 2.3.3. Riesgo de Tecnologías de Información. ................................................... 69 2.3.4. Riesgo de Eventos Externos (Continuidad de Negocio). ....................... 73 2.3.5. Riesgo Legal. ............................................................................................... 74 2.3.6. Riesgo de Cumplimiento. ........................................................................... 74 2.3.7. Situación del Riesgo Operativo en la Entidad. ........................................ 75
2.4. Gestión de Buen Gobierno Corporativo. ................................................... 75 2.5. Estrategias y Posición Competitiva. ......................................................... 76 2.6. Seguridad y Prevención de Fraudes en Tarjetas de Crédito ................... 77
2.6.1. Departamento de Gestión y Prevención de Fraudes. ............................. 77 2.6.2. Estructura Organizacional ......................................................................... 82 2.6.3. Procesos de Riesgo de Fraude ................................................................. 82 2.6.4. Sistema de Procesamiento de Pagos de Tarjetas de Crédito ................ 84
CAPÍTULO III ............................................................................................................... 88
DISEÑO DE INDICADORES CLAVES DE RIESGO ..................................................... 88
3.1. Identificación de los Eventos Críticos de Riesgo ..................................... 88 3.2. Definición de los Indicadores Claves de Riesgo ...................................... 89
3.2.1. Impacto de Fraudes en Tarjetas de Crédito ............................................. 89 3.2.2. Frecuencia de Fraudes en Tarjetas de Crédito ........................................ 90 3.2.3. Heurística de Tecnologías Analíticas de Fraudes ................................... 91 3.2.4. Productividad en Gestión de Fraudes ...................................................... 92 3.2.5. Tiempo de Resolución de Fraudes ........................................................... 93 3.2.6. Severidad en Control de Fraudes .............................................................. 94
3.3. Evaluación de los Indicadores Claves de Riesgo ..................................... 95 3.3.1. Matriz de Diseño de Indicadores Claves de Riesgo ................................ 95 3.3.2. Análisis GAP de Indicadores Claves de Riesgo ...................................... 96
CAPÍTULO IV ............................................................................................................... 98
SISTEMA DE INDICADORES CLAVES DE RIESGO ................................................... 98
4.1. Modelos de Datos ....................................................................................... 98 4.1.1. Modelo Punto .............................................................................................. 98
4.2. Modelo Datamart ........................................................................................ 99 4.2.1. Hecho Fraudes .......................................................................................... 100
4.3. Sistema de Indicadores Claves de Riesgo .............................................. 101 4.3.1. Impacto de Fraudes en Tarjetas de Crédito ........................................... 103 4.3.2. Frecuencia de Fraudes en Tarjetas de Crédito ...................................... 104 4.3.3. Heurística de Tecnologías Analíticas de Detección de Fraudes ......... 105 4.3.4. Productividad en Gestión de Fraudes .................................................... 106 4.3.5. Tiempos de Resolución de Fraudes ....................................................... 107 4.3.6. Severidad en Control de Fraudes ............................................................ 108
CAPÍTULO V .............................................................................................................. 109
ANÁLISIS ESTRATÉGICO DE INDICADORES CLAVES DE RIESGO ...................... 109
5.1. Análisis Estadístico Descriptivo de Base de Eventos de Pérdida .......... 109 5.1.1. Pérdida Monetaria en Fraudes de Tarjetas de Crédito .......................... 109 5.1.2. Frecuencia de Fraudes en Tarjetas de Crédito ...................................... 110
8
5.1.3. Tiempo de Resolución de Fraudes en Tarjetas de Crédito .................. 111 5.1.4. Esquemas de Fraude en Tarjetas de Crédito ......................................... 112 5.1.5. Tecnologías Analíticas de Detección de Fraudes ................................. 113 5.1.6. Productividad de Gestores en Fraudes de Tarjetas de Crédito ........... 115 5.1.7. Severidad de Fraudes en Marcas de Tarjetas de Crédito ..................... 116 5.1.8. Localización de Fraudes en Tarjetas de Crédito ................................... 118 5.1.9. Perfiles del Riesgo de Fraude del Tarjetahabiente ................................ 119
5.2. Control Estadístico de la Calidad en Procesos .......................................... 120 5.2.1. Control de Incidencia de Fraudes en Tarjetas de Crédito .................... 120 5.2.2. Control de las Pérdidas por Fraudes en Tarjetas de Crédito ............... 123
5.3. Análisis de Capacidad y Desempeño de Procesos ................................... 126 5.3.1. Análisis de Capacidad del Proceso de Gestión de Fraudes en T/C (Modelo Normal) ......................................................................................................... 126 5.3.2. Análisis de Capacidad del Proceso de Gestión de Fraudes en T/C (Modelo No Normal) ................................................................................................... 129
5.4. Análisis de Corridas en Tiempos de Resolución de Fraudes de T/C ..... 133 5.4.1. Análisis de Corridas en Tiempos de Resolución de Fraudes ACT ...... 134 5.4.2. Análisis de Corridas en Tiempos de Resolución de Fraudes TNP ...... 135 5.4.3. Análisis de Corridas en Tiempos de Resolución de Fraudes RBT ...... 136 5.4.4. Análisis de Corridas en Tiempos de Resolución de Fraudes EXT ...... 137 5.4.5. Análisis de Corridas en Tiempos de Resolución de Fraudes PHT ...... 138
5.5. Simulación Matemática del Modelo de Distribución de Pérdidas Agregadas (LDA) ........................................................................................................... 139
5.5.1. Obtención de Base de Eventos de Pérdida (BEP) ................................. 139 5.5.2. Ajuste de Distribución Estadística para Frecuencia de Pérdidas ....... 139 5.5.3. Ajuste de Distribución Estadística para Impacto de Pérdidas ............. 141 5.5.4. Aproximación del Cálculo Determinístico y Estocástico del OpVaR con Simulación Monte Carlo (SMC) ................................................................................. 142
5.6. Simulación Matemática del Modelo de Distribución Generalizada de Valores Extremos de Pérdida (GEV) .......................................................................... 145
5.6.1. Estimación de Parámetros de la Distribución GEV ............................... 145 5.6.2. Cálculo del OpVaR por el Método de Bloques Máximos ...................... 147
CAPÍTULO VI ............................................................................................................. 148
Conclusiones ........................................................................................................ 148 Recomendaciones ................................................................................................ 151
BIBLIOGRAFÍA .......................................................................................................... 154
GLOSARIO DE TÉRMINOS ....................................................................................... 157
ANEXOS .................................................................................................................... 167
Anexo No. 1 Diagrama del Proceso PO - 2.7.5.1 Gestionar y Prevenir Fraudes en Tarjetas de Crédito - Vía Emisión ............................................................................ 168
Anexo No. 2 Descripción de Funciones y Responsabilidades del Proceso .......... 169
Anexo No. 3 Análisis GAP de Indicadores Claves de Riesgo (KRI) ........................ 182
Anexo No. 4 Modelo Relacional del Sistema de Indicadores Claves de Riesgo (SKRI) de ICE Bank F.G. ........................................................................................... 183
Anexo No. 5 Base de Eventos de Fraudes en T/C de ICE Bank F.G. ...................... 184
Anexo No. 6 Resultados de Simulación Modelo LDA – Severidad Determinística 185
Anexo No. 7 Resultados de Simulación Modelo LDA – Severidad Estocástica .... 186
9
RESUMEN
En el primer capítulo de esta investigación se describe el marco teórico de
los fraudes en tarjetas de crédito, la gestión del riesgo operativo y la
importancia de diseñar e implementar un sistema de indicadores claves de
riesgo en las IFIS.
El análisis del negocio en el segundo capítulo describe cada uno de los
aspectos funcionales de la entidad como los procesos y procedimientos que
fortalecen el cumplimiento de las estrategias de gestión de riesgos y la toma
de decisiones del Departamento de Gestión y Prevención de Fraudes en
Tarjetas de Crédito.
Luego de una evaluación integral del estatus quo del negocio, el capítulo tres
expone el desarrollo metodológico de indicadores claves de riesgo bajo el
fundamento de importantes modelos de control de gestión como Basilea II,
AS 4360/2004, COSO ERM II, BSC y Seis Sigma.
Es importante destacar que las organizaciones que alcanzan el éxito son las
que enfatizan en la automatización de sus procesos, por lo que el cuarto
capítulo describe el desarrollo de una herramienta informática de análisis
multidimensional que permitirá realizar la evaluación y control de las
variables críticas en estudio.
La estadística como ciencia analítica ha trascendido a través del tiempo y
cada día adquiere mayor importancia, es por ello que su aplicación en el
quinto capítulo permitirá a los stakeholders interpretar sus resultados e
implementar soluciones hacia la mejora de la calidad y productividad de sus
procesos de negocio.
Finalmente las conclusiones y recomendaciones resultantes de esta
investigación son descritas en el contenido del sexto capítulo.
10
INTRODUCCIÓN
Muchos acontecimientos históricos en la administración de riesgos
financieros se han desarrollado a nivel mundial como innovaciones
regulatorias no sólo por la existencia de Basilea II, sino también a raíz de los
cambios realizados por los organismos de control, fracasos corporativos y en
especial aquellos problemas vinculados con la quiebra de entidades o
hechos de gran magnitud por el volumen de pérdidas ocasionadas; todo esto
ha derivado en una mayor preocupación por la gestión del riesgo operativo.
Los fraudes en tarjetas de crédito se han intensificado en la última década
siendo el sector financiero la industria más perjudicada; en Ecuador,
aproximadamente entre 150 a 200 denuncias mensuales por eventos de
fraude en tarjetas de crédito se registran en la Policía Judicial, de las cuales
en la Provincia del Guayas para el cierre del 2009 entre el 56.50% y el
75.33% de los casos correspondieron a la apropiación ilícita a través de
medios informáticos y hasta Abril del 2010 entre el 54.50% y el 72.67% de
los casos pertenecen a denuncias efectuadas en la Provincia del Pichincha
por delitos informáticos; dando como resultado un total de 5 denuncias al día.
Conscientes de esta tendencia delictiva en nuestro país, se desarrolló esta
investigación con el objetivo de proporcionar a las IFIS una guía
metodológica del diseño e implementación de indicadores claves de riesgo
así como un conjunto de herramientas y estrategias de gestión de riesgos
financieros basadas en tecnologías analíticas conocidas como “Inteligencia
de Negocios” y “Data Warehouse” que integran toda información corporativa
de fraudes en tarjetas de crédito con el objetivo de hacer análisis
comparativos, identificar patrones de comportamiento sobre las anomalías
detectadas, y elaborar modelos predictivos que puedan ser fácilmente
adoptados por las entidades financieras a nivel nacional e internacional.
11
PLANTEAMIENTO DEL PROBLEMA
La cuantificación del riesgo financiero siempre ha sido una de las
preocupaciones centrales de los investigadores y operadores en el sector
financiero, no sólo por la exigencia cada vez más creciente de responder a la
normatividad emanada de las entidades reguladoras nacionales e
internacionales, como es el caso de la SBS y el BIS del Comité de Basilea
para mejorar continuamente los procesos de toma de decisiones y
generación de valor.
En los últimos años, pero fundamentalmente desde el surgimiento del Nuevo
Acuerdo de Basilea (2004-2006), también conocido como Basilea II, que
incorporó el riesgo operacional para el cálculo de los requerimientos de
capital, los procesos de identificación de ese riesgo, su medición y gestión,
se han convertido en un desafío no sólo para los operadores de las finanzas,
sino también para los académicos e investigadores, que han propuesto
múltiples modelos para su cuantificación.
Desafortunadamente el conocimiento de los estafadores también ha dado
pasos en paralelo bajo la creciente globalización tecnológica a nivel mundial,
perjudicando integralmente a la industria financiera nacional e internacional
con ingeniosos artificios que capturan la información personal de
establecimientos y tarjetahabientes en cajeros automáticos, páginas web
falsas y a través de una gran diversidad de esquemas delictivos que
impactan significativamente el desarrollo interbancario y los servicios de
gestión y posventa financiera de las instituciones bancarias, sin que se
percaten de los inminentes efectos de materialización de pérdidas
potenciales por riesgo de fraude que recaen sobre el sistemas de
operaciones de tarjetas de crédito y afectan gravemente la competitividad y
el crecimiento del sector privado en el Ecuador.
12
JUSTIFICACIÓN DEL PROBLEMA
En el contexto de la banca y las finanzas, cuando se habla de riesgo, se hace
referencia a la posibilidad de pérdidas causadas por variaciones en los
factores que afectan el valor de un activo; por esa razón, es importante que
se identifiquen, se midan, se controlen, y se efectué un monitoreo continuo
de los diversos tipos de riesgo a los que están expuestas las instituciones
financieras en el devenir cotidiano de sus actividades.
Los modelos propuestos por Basilea II para la cuantificación de los riesgos
financieros varían en requerimientos de datos, complejidad, exactitud, y en
satisfacción de los estándares generales, cualitativos y cuantitativos,
planteados por ese acuerdo.
Dentro del enfoque de los modelos AMA, el Comité de Basilea propone:
Cuadros de Mando Integral (BSC), el Modelo de Medición Interna (IMA), y el
Modelo de Distribución de Pérdidas (LDA)
Es necesario que toda institución financiera pueda contar con procesos y
sistemas capaces para identificar, cuantificar y gestionar eficientemente el
riesgo operativo, que le permita proveer el capital requerido para cubrir sus
pérdidas potenciales; son por todas estas razones que el presente proyecto
de graduación fue diseñado para implementar un sistema de indicadores
claves de riesgo, brindar herramientas analíticas para el control estadístico
de la calidad en los procesos del negocio (SPC) y aportar científicamente con
algoritmos matemáticos de cuantificación del OpVaR como el tradicional
modelo LDA y la teoría de valores extremos GEV para que coadyuven
efectivamente a la administración esbelta de fraudes en tarjetas de crédito de
la organización en estudio.
13
OBJETIVO GENERAL
Proporcionar una guía metodológica de diseño, implementación y
sistematización de indicadores claves de riesgo que coadyuve al
cumplimiento de las estrategias y objetivos del negocio, así como un conjunto
de análisis y evaluaciones objetivas que brinden soluciones integrales a la
gestión de casos de fraudes en tarjetas de crédito de conformidad con los
principios y normativas que regulan las operaciones de la entidad financiera
en estudio.
OBJETIVOS ESPECÍFICOS
Establecer un enfoque de cuantificación y de mejora de performance bottom-
up a través del sistema de modelamiento de procesos de negocio ARIS
Express 2.2 como estrategia de procesamiento de información para el
conocimiento de todas las variables que pueden afectar el workflow del
proceso de gestión y prevención de fraudes de este agente emisor de
tarjetas de crédito.
Demostrar los beneficios de utilizar herramientas estadísticas como Minitab
Project Manager 16.0, Palisade Decisions Tools 5.5 y MS Excel 2007 para
reducir el tiempo de desarrollo de los proyectos de mejora en la
administración y gestión económica del riesgo operativo en las IFIS del país.
14
METODOLOGIA
La técnica híbrida que se va a aplicar en este estudio es el Diseño e
Implementación de Indicadores Claves de Riesgo (KRI) sustentada por otras
importantes metodologías como Balance Scorecard, Enterprise Risk
Management y Seis Sigma.
La presente tesina constará de 6 capítulos en los cuales se describirá los
diferentes conceptos de inteligencia de negocios y herramientas de control
estadístico de procesos que se pueden utilizar en la aplicación de un
proyecto de gestión del riesgo operacional.
1• Capítulo No. 1: Marco Teórico.
2• Capítulo No. 2: Conocimiento del Negocio.
3• Capítulo No. 3: Diseño de Indicadores Claves de Riesgo.
4• Capitulo No. 4: Sistema de Indicadores Claves de Riesgo.
5• Capítulo No. 5: Análisis Estratégico de Indicadores Claves de Riesgo.
6• Capítulo No. 6: Conclusiones y Recomendaciones.
15
CAPÍTULO I
MARCO TEÓRICO
1.1. Gestión de Procesos del Negocio
1.1.1. Definición de Procesos 1
La palabra proceso viene del latín processus, que significa avance y
progreso.
Un proceso es el conjunto de actividades de trabajo interrelacionadas que se
caracterizan por requerir ciertos insumos (inputs: productos o servicios
obtenidos de otros proveedores) y tareas particulares que implican valor
agregado, con miras a obtener ciertos resultados.
Proceso no es lo mismo que procedimiento. Un procedimiento es el conjunto
de reglas e instrucciones que determinan la manera de proceder o de obrar
para conseguir un resultado. Un proceso define que es lo que se hace, y un
procedimiento, cómo hacerlo.
1.1.2. Sincronización y Alineamiento de los Procesos de Negocio 1
El primer paso para adoptar un enfoque basado en procesos en una
organización, en el ámbito de un sistema de gestión, es precisamente
reflexionar sobre cuáles son los procesos que deben configurar el sistema,
es decir, qué procesos deben aparecer en la estructura de procesos del
sistema.
1 FVQ (España); “Guía para una Gestión basada en Procesos”
16
Este “dilema” suele ser el primer obstáculo con el que se encuentra una
organización que desea adoptar este enfoque. Ante este dilema es necesario
recordar que los procesos ya existen dentro de una organización, de manera
que el esfuerzo se debería centrar en identificarlos y gestionarlos de manera
apropiada. Habría que plantearse, por tanto, cuáles de los procesos son lo
suficientemente significativos como para que deban tomar parte de la
estructura de procesos y en qué nivel de detalle.
Los principales factores para la identificación y selección de los procesos
son:
Figura 1.1 Factores Claves de Identificación y Selección de Procesos
La manera más representativa de reflejar los procesos identificados y sus
interrelaciones es precisamente a través de un mapa de procesos, que viene
a ser la representación gráfica de la estructura de procesos que conforman el
sistema de gestión.
Para la elaboración de un mapa de procesos, y con el fin de facilitar la
interpretación del mismo, es necesario reflexionar previamente en las
1• Influencia en la satisfacción del cliente.
2• Efectos en la calidad del producto/servicio.
3• Influencia en factores claves de éxito (KSF).
4• Influencia en la misión y estrategia.
5• Cumplimiento de requisitos legales o reglamentarios.
6• Riesgos económicos y de insastifacción.
7• Utilización intensiva de recursos.
17
posibles agrupaciones en las que se pueden encajar los procesos
identificados. La agrupación de los procesos dentro del mapa permite
establecer analogías entre procesos, al tiempo que facilita la interrelación y la
interpretación del mapa en su conjunto.
Considerando la agrupación elegida por la organización, el mapa de
procesos debe incluir de manera particular los procesos identificados y
seleccionados, planteándose la incorporación de dichos procesos en las
agrupaciones definidas a continuación:
1. Procesos Gobernantes o Estratégicos como aquellos procesos que
están vinculados al ámbito de las responsabilidades de la dirección y,
principalmente al largo plazo. Se refieren fundamentalmente a procesos
de planificación y otros que se consideren ligados a factores claves o
estratégicos y las características a cumplir en esta categoría son:
El proceso abarca a toda la organización.
El proceso indica dirección.
El proceso indica organización.
El proceso indica planificación.
El proceso especifica estrategia institucional.
2. Procesos Productivos, Fundamentales u Operativos como aquellos
procesos ligados directamente con la realización del producto y/o la
prestación del servicio. Son los procesos de “línea” y las características a
principales de esta categoría son:
El proceso impacta en objetivos estratégicos.
El proceso tiene relación con los clientes externos.
El proceso involucra a la razón de ser de la entidad.
El proceso presta servicio.
El proceso agrega valor.
18
El proceso satisface necesidades.
3. Procesos Habilitantes, de Soporte o Apoyo como aquellos que
sustentan a los procesos gobernantes y productivos, se encargan de
proporcionar personal competente, reducir los riesgos del trabajo,
preservar la calidad de los materiales, equipos y herramientas, mantener
las condiciones de operatividad y funcionamiento, coordinar y controlar la
eficacia del desempeño administrativo y la optimización de los recursos.
El proceso provee recursos.
El proceso tiene relación con los clientes internos.
El proceso facilita el desarrollo de actividades.
1.1.3. Definición de Gestión de Procesos del Negocio (BPM) 2
Figura 1.2 Dimensiones de la Administración de Procesos del Negocio - BPM
Es un conjunto de métodos, herramientas y tecnologías utilizados para
diseñar, representar, analizar y controlar procesos de negocio operacionales,
bajo un enfoque centrado en los procesos para mejorar el rendimiento que
2 Kiran Garimella, Michael Lees, Bruce Williams; “BPM Basics for Dummies”
19
combina las tecnologías de la información con metodologías de proceso y
gobierno que abarca personas, sistemas, funciones, negocios, clientes,
proveedores y socios.
La tecnología BPM incluye todo lo que necesita a la hora de diseñar,
representar, analizar y controlar los procesos de negocio operacionales:
El diseño y modelado de procesos posibilitan que, de forma fácil y
rigurosa, pueda definir procesos que abarcan cadenas de valor y coordinar
los roles y comportamientos de todas las personas, sistemas y otros recursos
necesarios.
La integración le permite incluir en los procesos de negocio cualquier
sistema de información, sistema de control, fuente de datos o cualquier otra
tecnología. La Arquitectura Orientada a Servicios (SOA) lo hace más rápido y
fácil que nunca. No es necesario desprenderse de las inversiones ya
realizadas; todo se puede reutilizar.
Los entornos de trabajo de aplicaciones compuestas le permiten
construir e implementar aplicaciones basadas en web casi de forma
instantánea, completamente funcionales y sin necesidad de código.
La ejecución convierte de forma directa los modelos en acción en el mundo
real, coordinando los procesos en tiempo real.
La supervisión de la actividad de negocio (BAM) realiza el seguimiento
del rendimiento de los procesos mientras suceden, controlando muchos
indicadores, mostrando las métricas de los procesos y tendencias clave y
prediciendo futuros comportamientos.
20
El control le permite responder a eventos en los procesos de acuerdo a las
circunstancias, como cambio en las reglas, notificaciones, excepciones y
transferencia de incidentes a un nivel superior.
1.2. Indicadores Claves de Riesgo (KRIs) 3
1.2.1. Definición de KRIs
Son métricas que permiten advertir a las organizaciones en forma temprana
la materialización de riesgos de pérdida. La identificación de estos
indicadores es una herramienta que permite considerar acciones preventivas
en la administración y gestión del riesgo operativo. En general, los KRIs
muestran las causas de los eventos críticos de riesgo (REDs) que pueden
proporcionar alertas para la detección preventiva en sistemas, procesos,
productos, gente, y en ambientes de mayor amplitud.
1.2.2. Tipos de KRIs
Los KRIs incluyen diferentes tipos de métrica que están divididas en cuatro
categorías que son detalladas a continuación:
Indicadores de Contingencia: Incorporan en su medición la evaluación
de errores internos que afectan al alcance de un KSF como frecuencia de
reprogramación de rutas, número de interrupciones en embarazos, etc.
Indicadores de Causalidad: Son mediciones que están alineadas con la
raíz de consecución de los REDs, tales como el tiempo de recuperación
del sistema, número de devoluciones de productos, etc.
Indicadores de Efectividad: Proveen un continuo monitoreo sobre la
ejecución de los controles para la consecución de metas y objetivos 3 Aravind Immaneni, Chris Mastro, Michael Haubenstock; “A Structured Approach to
Building Predictive Key Risk Indicators”
21
organizacionales tales como recuperación de cartera vencida, mejora en
implementación de acciones correctivas y preventivas, etc.
Indicadores de Volumen: Frecuentemente son lo que están asociados a
múltiples tipos de riesgo en un proceso o unidad de negocio. Debido a su
constante volatilidad, pueden incrementar la probabilidad y/o el impacto
de la materialidad de un evento clave de riesgo, tales como pérdidas por
discontinuidad del negocio, siniestros por agravación de pólizas, etc.
1.2.3. Beneficios de los KRIs
Gracias a su implementación, una empresa podrá alcanzar la madurez y
sistematización de sus procesos de negocio como el establecimiento de
estrategias de tolerancia, transferencia, mitigación, y eliminación de riesgos
dirigidas hacia todos los niveles de una organización
Su correcta definición y estandarización proveen de una proactiva señal de
advertencia ante inminentes pérdidas en recursos financieros, físicos,
humanos y tecnológicos como otras externalidades negativas que impactan
significativamente al crecimiento a corto y a largo plazo de una organización.
1.2.4. Limitaciones de los KRIs
Cuando la estrategia de gestión de riesgos de una empresa aun se
encuentra en evolución, es contraproducente que los KRIs se utilicen como
un sistema de control clásico y por excepción, en lugar de ser una
herramienta de previsión y aprendizaje.
Si los KRIs no son bien diseñados ni analizados con cuidado, se pierde una
gran parte de sus virtudes, porque no comunican el mensaje de prevención
que se desea transmitir hacia la toma de decisiones por parte de los
stakeholders.
22
1.2.5. Metodología de Construcción de KRIs
La efectiva identificación y aplicación de los KRIs requiere de un enfoque
metodológico que incorpora en su análisis varias herramientas de gestión
como ERM, 6 Sigma y BSC y que está compuesto de 6 niveles los cuales
son:
Figura 1.3 Proceso de Construcción de Indicadores Claves de Riesgo- KRI 1. Identificar riesgos e indicadores inherentes al negocio: El primer paso
es identificar los riesgos e indicadores inherentes de la organización a fin
de comprender el impacto económico en sus operaciones.
2. Evaluar la efectividad de los KRIs identificados: Una vez que el
inventario de indicadores ha sido identificado, el siguiente paso es evaluar
la flexibilidad y efectividad de cada uno de las métricas existentes como
indicadores impulsores o de resultados; dos herramientas de evaluación
son utilizadas en este estudio: el Análisis GAP y la Matriz de Diseño.
Análisis GAP: Es una herramienta de evaluación que posee siete
dimensiones de control que son evaluadas bajo una escala del 1 al 5;
estas dimensiones son frecuencia de medición, niveles de control
criterios de escalamiento, impulsor/resultado, responsabilidad de la
medición, disponibilidad de datos históricos, y precisión de sus
resultados. Esto ayuda a la organización a crear un juicio de valor
sobre la efectividad de los indicadores claves de riesgo potenciales.
23
Matriz de Diseño: Es una variante del despliegue de la función de
calidad (QFD) comúnmente utilizada en los estudios de la Metodología
Seis Sigma. Esta herramienta cualitativa permite exponer la relación
entre los indicadores bajo estudio y sus eventos claves de riesgo.
3. Mejorar la formulación de los KRIs identificados: En esta fase los
indicadores son testeados contra las herramientas Análisis GAP y Matriz
de Diseño bajo un análisis discriminante; es decir que los indicadores que
no presentan un fuerte vínculo con las dimensiones de control y sus
eventos claves de riesgo son removidos del inventario de la entidad
teniendo al final un total de 5 KRIs.
4. Validar y establecer niveles de control de los KRIs: Este proceso
consiste en el análisis y tratamiento estadístico de los datos históricos de
como de los KRIs para la definición de sus limites de tolerancia y
exposición a eventos claves de riesgo; en caso de que no se disponga de
esta información, los niveles de control pueden ser obtenidos en base a
las estrategias de gestión de riesgos del negocio.
5. Diseñar un cuadro de mando integral de KRIs: Los tableros de control
o dashboards generalmente emplean semaforización, gráficos y
tendencias estadísticas que brindan una mejor percepción de la fortaleza
de los KRIs como del status quo del negocio, esto facilita a los
stakeholders a analizar y tomar las acciones correctivas y preventivas
necesarias para mitigar estos eventos claves de riesgo.
6. Implementar un plan de control de riesgos: El resultado de la
evaluación de los KRIs permite a una organización desarrollar un
inventario de soluciones, con el objetivo de diseñar, mantener o mejorar
sus niveles y medios de gestión de riesgos; es necesario para ello contar
24
con un buen procedimiento que garantice la exitosa planificación e
implementación de estas acciones.
1.3. Fraudes en Tarjetas de Créditos 4
1.3.1. Introducción
El fraude en tarjetas de crédito es una de las más grandes amenazas a nivel
mundial que recae y les cuesta a titulares, establecimientos y emisores de las
tarjetas cientos de millones de dólares por año; en términos generales, este
tipo de fraude puede ser definido como:
“El uso de una tarjeta de crédito por parte de un individuo sin que el portador
de la tarjeta original, el comercio ni la entidad emisora estén conscientes de
que está siendo empleada ilícitamente y en la que no existe el compromiso
por parte del defraudador en reembolsar los pagos por los débitos efectuados
en la cuenta de la víctima.”
1.3.2. Esquemas de Fraude en T/C
Debido al constante cambio de las tecnologías de la información, esto ha
originado que se propaguen diversas alternativas para que los falsificadores
usen métodos sofisticados para perpetrar un fraude.
Organismos internacionales de control como el FTC, ACFE, ACAMS, ALIFC
y en nuestro país la SBS han catalogado a los casos de defraudaciones y
desfalcos con tarjetas crédito bajo los esquemas expuestos a continuación:
1. Extravió o Robo de T/C: Una tarjeta es extraviada cuando el
tarjetahabiente original reciba su tarjeta de crédito y la pierde y robada
4 Tej Paul Bhatla, Vikram Prabhu & Amit Dua; “Understanding Credit Card Frauds”
25
cuando un delincuente roba la tarjeta y la usa de manera fraudulenta para
comprar bienes o servicios de un negocio afiliado legítimo.
2. Falsificación o Clonación de T/C: Una tarjeta falsificada (clonada) es
una tarjeta impresa, embozada o codificada sin permiso del emisor, o una
que ha sido válidamente emitida y después alterada o recodificada. La
mayoría de los casos de fraude por falsificación provienen de la
información genuina de la tarjeta situada en la banda magnética de la
misma, la cual es electrónicamente copiada en otra tarjeta a espaldas del
legítimo tarjetahabiente. Esto normalmente ocurre en los establecimientos
comerciales (retails, malls, supermercados), particularmente en
discotecas, pubs y grifos de gasolina donde algún empleado corrupto
falsifica la tarjeta antes de devolverla.
Después vende la información a un nivel criminal más alto en donde las
falsificaciones son cometidas. En otros casos los datos obtenidos por
clonaciones son usados para transacciones on-line. La mayoría de
tarjetahabientes no están advertidos del fraude hasta que llegue su nuevo
estado de cuenta con compras que ellos no hicieron. Tipologías
relacionadas a este esquema delictivo son:
Tarjeta alterada en el realce: Generalmente es utilizada en
transacciones manuales, con plásticos originales deteriorando además
la banda magnética para obligar al comercio a que se realice con la
maquina imprinter o rastrilladora.
Cualquier señal de manipulación del plástico como variación en la
forma de los dígitos, perdida de brillo del holograma, opacidad son
indicios primarios de una tarjeta adulterada y se la puede presentar
acompañada de una cédula falsa o auténtica.
26
Skimming & Scanning: Esquema de fraude que se realiza a través
de Datáfonos o de ATMs; el delincuente copia o escanea la
información financiera y personal de la tarjeta de crédito o débito de la
víctima y luego la regraba en una tarjeta falsa, creando así una replica
que tiene los mismos alcances y limitaciones que su tarjeta personal.
Para llevar a cabo el fraude el delincuente utiliza un pequeño aparato
denominado skimmers o pescadoras que se instalan en la ranura del
ATM y que al momento de que se inserta una tarjeta, copia
inmediatamente su información, mientras un cómplice o el mismo
estafador, se posiciona de tal manera que se pueda percatar de los
números del PIN y así al momento que la victima abandona el cajero
de su entidad financiera, el criminal retira sus fondos con la tarjeta
clonada.
A menudo, el tarjetahabiente no está consciente del fraude hasta que
su estado de cuenta es entregado y muestra las compras que ellos no
hicieron.
3. Tarjeta No Presente: Este crimen se basa en el robo de los datos de una
tarjeta de crédito, la cual es usada para hacer una compra a través de un
canal remoto como el teléfono, fax, orden de correo o internet. Como todo
fraude, el dueño legítimo de la tarjeta puede no estar advertido de este
fraude hasta que verifiquen su estado de cuenta.
El problema para contrarrestar este tipo de fraude reside en el hecho de
que ni la tarjeta ni el tarjetahabiente necesitan estar presentes en el punto
de venta. Esto significa que los Comercios de Tarjetas No Presentes
(CTNP) no pueden revisar las características de seguridad física de la
tarjeta para determinar si es genuina. Sin una firma o el PIN no es fácil
confirmar que el cliente es el dueño de la tarjeta. Los emisores de tarjetas
27
no pueden garantizar que la información entregada en un entorno de TNP
le pertenezca al tarjetahabiente.
4. Robo de Identidad: El robo de ID en tarjetas de crédito ocurre cuando el
criminal usa información personal obtenida fraudulentamente para abrir o
acceder a cuentas de tarjetas de crédito en nombre del usuario original;
existen dos tipos de esquemas bajo esta modalidad y son:
Fraude Aplicado: Este fraude lo aplican criminales usando
documentos robados o falsos para abrir una cuenta en nombre de
alguien más. Los criminales roban los documentos como estados de
cuenta para entrar al fraude. Alternativamente ellos usan documentos
clonados para propósitos de identificación.
Toma de Cuenta: Los criminales toman posesión de la cuenta de otra
persona. Primero consiguen información de la víctima. El criminal
contacta al emisor presentándose como el genuino tarjetahabiente
para que redirecciones sus datos a una nueva cuenta de correo. El
criminal reporta la tarjeta como perdida y pide para que se le envíe un
duplicado de la misma. Las formas más comunes de posesionarse de
una cuenta ilegalmente son las mencionadas a continuación:
Phishing & Pharming: “Phishing” es una conocida técnica para
obtener información confidencial de un usuario que consiste en enviar
una cantidad enorme de mensajes por correo electrónico haciéndole
creer al consumidor que los mensajes vienen de su banco, tratando de
conseguir que la víctima potencial revele su información personal.
Con ayuda de un troyano, también es posible infiltrarse en la conexión
entre la dirección IP y el nombre del servidor al que responde. Esto se
conoce como Pharming.
28
Este esquema de fraude se ha convertido en una práctica extensa de
delincuentes que tienen éxito robando la información personal de
muchas personas por correo electrónico. El crimen tiene éxito porque
los mensajes de correo electrónico parecen legítimos, con logotipos
bancarios realistas y sitios web o URLs que son muy parecidos a los
reales.
Cuando los titulares de cuenta responden, se los dirige a un sitio web
falso donde se les pide que tecleen los números de cuenta, las
contraseñas y demás información bancaria personal o de tarjeta de
crédito. Entonces, en materia de horas, los delincuentes agotan o
vacían las cuentas de banco de las víctimas usando las contraseñas
para autorizar el giro electrónico de fondos a otras cuentas.
Versiones recientes de esta modalidad delictiva se destacan a
continuación:
Smishing: Es una forma de actividad delictiva que utiliza técnicas
de ingeniería social similares a la del phishing. Las víctimas de
reciben mensajes de texto que pueden solicitarles que se registren
para obtener un servicio en línea – luego tratan de pasar un virus a
su equipo.
Algunos mensajes avisan que se cobrará al cliente a menos que
este cancele el supuesto pedido visitando un sitio web que luego
extrae números de tarjeta de crédito y otra información privada.
Vishing: Es la práctica delictiva de utilizar la ingeniería social y Voz
sobre IP (VoIP) para tener acceso a información personal y
financiera privada del público con el fin de obtener una recompensa
financiera. El término es una combinación de "voz" y phishing.
29
Cuando la víctima contesta la llamada, se reproduce un mensaje
automático, por lo general generado con un sintetizador de texto a
voz, para alertar al cliente que su tarjeta de crédito ha tenido una
actividad fraudulenta o que su cuenta bancaria ha tenido una
actividad inusual. El mensaje indica al cliente que llame al siguiente
número de teléfono inmediatamente. El mismo número de teléfono
por lo general se muestra en el identificador de llamadas y se le da
el mismo nombre de la compañía financiera que simulan
representar.
1.4. Sistemas de Información Gerencial 5
1.4.1. Business Intelligence
Figura 1.4 Modelo Integral de una Solución Business Intelligence (BI)
Desde un punto de vista más pragmático, y asociándolo directamente con las
tecnologías de la información, podemos definir a Business Intelligence (BI)
como el conjunto de metodologías, aplicaciones y tecnologías que permiten
5 Alberto Un Jan; “Tópicos de Ingeniería en Sistemas: Datawarehousing”
30
reunir, depurar y transformar datos de los sistemas transaccionales e
información desestructurada (interna y externa a la compañía) en información
estructurada, para su explotación directa (reporting, análisis OLTP/OLAP,
alertas, etc.) o para su análisis y conversión en conocimiento, de forma que
se pueda optimizar el proceso de toma de decisiones en los negocios.
La Inteligencia de Negocio actúa como un factor estratégico para una
empresa u organización, generando una potencial ventaja competitiva, que
no es otra que proporcionar información privilegiada para responder a los
problemas de negocio: entrada a nuevos mercados, promociones u ofertas
de productos, eliminación de islas de información, control financiero,
optimización de costes, planificación de la producción, análisis de perfiles de
clientes, rentabilidad de un producto concreto, etc.
Los principales productos de Business Intelligence que existen hoy en día
son:
Cuadros de Mando Integrales (CMI).
Sistemas de Soporte a la Decisión (DSS).
Sistemas de Información Ejecutiva (EIS).
Por otro lado, los principales componentes de orígenes de datos en el
Business Intelligence que existen en la actualidad son:
Data Warehouse.
Datamart.
Los sistemas y componentes del BI se diferencian de los sistemas
operacionales en que están optimizados para preguntar y divulgar sobre
datos. Esto significa típicamente que, en un Data Warehouse, los datos están
desnormalizados para apoyar consultas de alto rendimiento, mientras que en
los sistemas operacionales suelen encontrarse normalizados para apoyar
operaciones continuas de inserción, modificación y borrado de datos.
31
1.4.2. OLTP
Los sistemas de procesamiento de transacciones en línea (OnLine
Transaction Processing) facilitan y administran aplicaciones transaccionales,
usualmente para entrada de datos y recuperación y procesamiento de
transacciones (gestor transaccional).
La tecnología OLTP se utiliza en innumerables aplicaciones, como en banca
electrónica, procesamiento de pedidos, comercio electrónico, supermercados
o industria.
1.4.3. OLAP
Los sistemas de procesamiento analítico en línea (On-Line Analytical
Processing) son una solución utilizada en el campo de la inteligencia
empresarial cuyo objetivo es agilizar la consulta de grandes cantidades de
datos, utilizando estructuras multidimensionales (Cubos OLAP) que
contienen datos resumidos de grandes bases de datos o sistemas
transaccionales (OLTP).
La tecnología OLAP se usa en informes de negocios de ventas, marketing,
informes de dirección, minería de datos y áreas similares.
1.4.4. Data Warehouse
Un almacén de datos (Data Warehouse) es una colección de datos orientada
a un determinado ámbito (empresa, organización, etc.), integrado, no volátil y
variable en el tiempo, que ayuda a la toma de decisiones en la entidad en la
que se utiliza.
El Data Warehouse debe entregar la información correcta a la gente indicada
en el momento óptimo y en el formato adecuado y da respuesta a las
necesidades de usuarios expertos, utilizando sistemas de soporte a
32
decisiones (DSS), sistemas de información ejecutiva (EIS) o herramientas
para hacer consultas o informes. Los usuarios finales pueden hacer
fácilmente consultas sobre sus almacenes de datos sin tocar o afectar la
operación del sistema.
Figura 1.5 Esquema de un Data Warehouse
En el funcionamiento de un almacén de los datos son muy importantes las
siguientes ideas:
Integración de los datos: Provenientes de bases de datos distribuidas
por las diferentes unidades de la organización y que con frecuencia
tendrán diferentes estructuras (fuentes heterogéneas).
Separación de los datos: Usados en operaciones diarias de los datos
usados en el Data Warehouse para los propósitos de divulgación, de
ayuda en la toma de decisiones, para el análisis y para operaciones de
control.
33
1.4.5. Datamart
Un Datamart congrega subconjuntos de datos con el propósito de ayudar a
que un área específica dentro del negocio pueda tomar mejores decisiones.
Los datos existentes en este contexto pueden ser agrupados, explorados y
propagados de múltiples formas para que diversos grupos de usuarios
realicen la explotación de los mismos de la forma más conveniente según
sus necesidades.
El Datamart es un sistema orientado a la consulta, en el que se producen
procesos batch de carga de datos (altas) con una frecuencia baja y conocida;
es consultado mediante herramientas OLAP que ofrecen una visión
multidimensional de la información. Sobre estas bases de datos se pueden
construir sistemas de información ejecutiva (EIS) y sistemas de soporte a
decisiones (DSS).
En síntesis, se puede decir que un Datamart es un pequeño Data Warehouse
centrado en un tema o un área de negocio específico dentro de una
organización.
1.4.6. Estructura de Tablas
1.4.6.1. Tabla de Hecho (Fact Table)
En las bases de datos, y más concretamente en un Data Warehouse, una
tabla de hechos (fact table) es la tabla central de un esquema dimensional
(en estrella o en copo de nieve) y contiene los valores de las medidas de
negocio.
34
Figura 1.6 Tabla de Hecho en un Modelo de Ventas
Cada medida se toma mediante la intersección de las dimensiones que la
definen, dichas dimensiones estarán reflejadas en sus correspondientes
tablas de dimensiones que rodearán la tabla de hechos y estarán
relacionadas con ella.
1.4.6.2. Tablas de Dimensiones (Lock-Up)
Figura 1.7 Tablas de Dimensiones en un Modelo de Ventas
35
Las tablas de dimensiones son elementos que contienen atributos (o
campos) que se utilizan para restringir y agrupar los datos almacenados en
una tabla de hechos cuando se realizan consultas sobre dicho datos en un
entorno de Data Warehouse o Datamart.
Estos datos sobre dimensiones son parámetros de los que dependen otros
datos que serán objeto de estudio y análisis y que están contenidos en la
tabla de hechos.
Las tablas de dimensiones ayudan a realizar ese estudio/análisis aportando
información sobre los datos de la tabla de hechos, por lo que puede decirse
que en un cubo OLAP, la tabla de hechos contiene los datos de interés y las
tablas de dimensiones contienen metadatos sobre dichos hechos.
1.4.6.3. Esquema en Estrella (Star Schema)
Figura 1.8 Modelo de Datos en Estrella de 5 Dimensiones
36
Un esquema en estrella es un modelo de datos que tiene una tabla de
hechos que contiene los datos para el análisis, rodeada de las tablas de
dimensiones; este aspecto, de tabla de hechos más grande rodeada de
radios o tablas más pequeñas es lo que asemeja a una estrella, dándole
nombre a este tipo de construcciones.
Este esquema es ideal por su simplicidad y velocidad para ser usado en
análisis multidimensionales y permite acceder tanto a datos agregados como
de detalle.
El diseño de esquemas en estrella permite implementar la funcionalidad de
una base de datos multidimensional utilizando una clásica base de datos
relacional (más extendidas que las multidimensionales).
Finalmente, es la opción con mejor rendimiento y velocidad pues permite
indexar las dimensiones de forma individualizada sin que repercuta en el
rendimiento de la base de datos en su conjunto.
1.4.6.4. Esquema en Copo de Nieve (Snowflake Schema)
Un esquema en copo de nieve es una estructura algo más compleja que el
esquema en estrella. Se da cuando alguna de las dimensiones se
implementa con más de una tabla de datos.
La finalidad es normalizar las tablas y así reducir el espacio de
almacenamiento al eliminar la redundancia de datos; pero tiene la
contrapartida de generar peores rendimientos al tener que crear más tablas
de dimensiones y más relaciones entre las tablas lo que tiene un impacto
directo sobre el rendimiento.
37
Figura 1.9 Modelo de Datos en Copo de Nieve de 5 Dimensiones
Se puede usar un esquema de copo de nieve en un Data Warehouse,
aunque estos sean realmente grandes y complejos, pero nunca en sistemas
donde el tiempo de respuesta sea un factor crítico para los usuarios.
1.4.7. ETL
ETL es el proceso que permite a una organización mover datos desde
diferentes fuentes, transformarlos y arreglarlos a medida, y guardarlos en
otra base de datos o en otro sistema para su posterior utilización por el
negocio.
En este sentido, los procesos ETL (extracción, transformación y carga), que
nutren los sistemas BI, tienen que traducir de uno o varios sistemas
operacionales normalizados e independientes a un único sistema
desnormalizado, cuyos datos estén completamente integrados.
38
Figura 1.10 Esquema de un Proceso ETL
La latencia de los procesos ETL varía desde los lotes (a veces, de forma
mensual o semanal, pero en la mayoría de los casos diariamente), al tiempo
casi real con actualizaciones más frecuentes (cada hora, cada pocos
minutos, etc.).
1.4.8. Dashboard 6
El Dashboard es un portal o tablero de información ejecutiva que contribuye a
mejorar la gestión en las organizaciones, proveyendo a los directivos de una
organización de información relevante sobre la marcha del negocio en un
formato intuitivo y con una interfaz simple.
Este tablero de información es un estilo de interfaz de usuario diseñada para
distribuir información sobre el estado del negocio a personas específicas
dentro de la empresa, representándole dichos antecedentes típicamente con
KRI’s y vínculos a reportes relevantes. Las señales y gráficos usados
6 Michael Alexander; “Excel 2007 Dashboards & Reports for Dummies”
39
buscan captar la atención visual del usuario informándole de tendencias,
cambios o excepciones.
Figura 1.11 Diseño Gráfico de un Dashboard
Un Dashboard contribuye a mejorar los recursos de información al interior de
las organizaciones, proveyendo a los tomadores de decisión datos claros, en
un formato intuitivo y en una interfaz simple. Los portales ejecutivos
correctamente diseñados, optimizan la gestión empresarial y poseen un muy
rápido retorno sobre la inversión (ROI).
El más famoso de ellos es el Balanced Scorecard (BSC) de Kaplan y Norton,
que incorpora una metodología de negocio para definir y relacionar
indicadores de desempeño financieros y no financieros. Estas aplicaciones
analíticas manejan los KPI’s y relaciones causales, soportando los procesos
y ciclos de medición y gestión de la ejecución de las metas estratégicas en la
organización.
40
1.5. Gestión del Riesgo Operativo en IFIs - Basilea II 7
1.5.1. Definición del Riesgo Operativo
Se entiende por riesgo operativo a la posibilidad de ocurrencia de pérdidas
financieras por deficiencias o fallas en los procesos internos, en la tecnología
de información, en las personas o por ocurrencia de eventos externos
adversos. Esta definición incluye el riesgo legal, pero excluye el riesgo
estratégico y el de reputación.
1.5.2. Fuentes del Riesgo Operativo
1. Procesos Internos: Posibilidad de pérdidas financieras relacionadas con
el diseño inapropiado de los procesos críticos, o con políticas y
procedimientos inadecuados o inexistentes que puedan tener como
consecuencia el desarrollo deficiente de las operaciones y servicios o la
suspensión de los mismos.
2. Personas: Posibilidad de pérdidas financieras asociadas con negligencia,
error humano, sabotaje, fraude, robo, paralizaciones, apropiación de
información sensible, lavado de dinero, inapropiadas relaciones
interpersonales y ambiente laboral desfavorable, falta de especificaciones
claras en los términos de contratación del personal, entre otros factores.
3. Tecnología de Información: Posibilidad de pérdidas financieras
derivadas del uso de inadecuados sistemas de información y tecnologías
relacionadas, que pueden afectar el desarrollo de las operaciones y
servicios que realiza la institución al atentar contra la confidencialidad,
integridad, disponibilidad y oportunidad de la información.
7 Ana Pereyra, Fabian Mendy; “Gestión del Riesgo Operacional en Instituciones
Financieras. Estamos preparados?”
41
4. Eventos Externos: Posibilidad de pérdidas derivadas de la ocurrencia de
eventos ajenos al control de la empresa que pueden alterar el desarrollo
de sus actividades, afectando a los procesos internos, personas y
tecnología de información.
1.5.3. Sistema de Administración del Riesgo Operativo (SARO)
Como principio general, las entidades financieras deben contar con una
estrategia aprobada por el Directorio estableciendo principios para la
identificación, medición, control, monitoreo y mitigación del riesgo operativo.
Las entidades financieras deberían desarrollar su propio enfoque y
metodología para la gestión de riesgos, de acuerdo con su objeto social,
tamaño, naturaleza y complejidad de operaciones y otras características.
Figura 1.4 Sistema de Administración del Riesgo Operativo – SARO
La implementación del sistema de gestión de riesgo operativo debería
considerar todas las etapas de gestión de riesgo, incluyendo la identificación,
evaluación, medición, monitoreo y control.
42
1. Identificación: La identificación efectiva del riesgo considera tanto los
factores internos como externos que podrían afectar adversamente el
logro de los objetivos institucionales.
2. Evaluación: Todos los riesgos materiales deberían ser evaluados por
probabilidad de ocurrencia e impacto a la medición de la vulnerabilidad de
la entidad a este riesgo. Los riesgos pueden ser aceptados, mitigados o
evitados de una manera consistente con la estrategia y el apetito al riesgo
institucional. Cuando sea posible, la entidad debería usar controles
internos apropiados u otras estrategias de mitigación, como los seguros.
3. Medición: Las entidades financieras deberían estimar el riesgo inherente
en todas sus actividades, productos, áreas particulares o conjuntos de
actividades o portafolios, usando técnicas cualitativas basadas en análisis
expertos, técnicas cuantitativas que estiman el potencial de pérdidas
operativas a un nivel de confianza dado o una combinación de ambos.
4. Monitoreo: Un monitoreo regular de las actividades puede ofrecer la
ventaja de detectar rápidamente y corregir deficiencias en las políticas,
procesos y procedimientos de gestión del riesgo operativo. El alcance de
las actividades de monitoreo incluye todos los aspectos de la gestión del
riesgo operativo en un ciclo de vida consistente con la naturaleza de sus
riesgos y el volumen, tamaño y complejidad de las operaciones.
5. Control: El control del riesgo operativo puede ser conducido como una
parte integral de las operaciones o a través de evaluaciones periódicas
separadas, o ambos. Todas las deficiencias o desviaciones deben ser
reportadas a la gerencia.
6. Reporte: Debe existir un reporte regular de la información pertinente a la
alta gerencia, al directorio, al personal y a partes externas interesadas,
como clientes, proveedores, reguladores y accionistas. El reporte puede
43
incluir información interna y externa, así como información financiera y
operativa.
1.5.4. Etapas en la Gestión del Riesgo Operacional
Figura 1.5 Etapas de la Gestión del Riesgo Operativo – Basilea II 1.5.5. Cuantificación del Riesgo Operacional 8
En el proceso de administración del riesgo operacional la gestión cuantitativa
debe ser considerada como el tercer paso lógico, luego de:
a) La generación de una cultura de administración del riesgo en la entidad.
b) El desarrollo de los procesos de identificación y análisis del riesgo
operacional, también denominado “gestión cualitativa”.
La cuantificación permite integrar las etapas del proceso, otorgando mayor
objetividad a la gestión del riesgo operacional y permitiendo una mayor
8 Diego Etchepare & Norberto Rodríguez; “Riesgo Operacional”; Revista CEO Price
Waterhouse Coopers,
Identificación de riesgos
Definición de KRIs
Monitoreo de riesgos mediante KRIs
Mitigar riesgos con foco en los riesgos principales
Identificación de mayores pérdidas
Gobierno corporativo/Cultura de riesgos
44
eficacia en la asignación de recursos para minimizar el impacto de las
pérdidas operativas.
Basilea II brinda un marco de referencia para la gestión integral de los
riesgos, marco que es progresivamente adoptado por los supervisores y
también por las entidades como una referencia de mejor práctica.
Presenta tres métodos para el cálculo de los requerimientos de capital
asociados al riesgo operacional:
Método del Indicador Básico.
Método Estándar.
Métodos de Medición Avanzada (AMA)
Los dos primeros no se caracterizan por ser sensibles riesgo, dado que
determinan los requerimientos de capital en forma simplificada a través del
producto entre los ingresos brutos anuales medios y el coeficiente de
exigencia de capital. Ambos métodos son cuestionados, porque las entidades
son penalizadas por el solo hecho de tener elevados ingresos brutos y
porque el requerimiento de capital podría depender de las prácticas
contables de cada país, posibilitando así el llamado arbitraje regulatorio.
En los AMA el requerimiento de capital es determinado según la estimación
del riesgo operacional al que realmente está expuesta la entidad. Para
realizar dicha estimación se desarrollan modelos estadísticos de medición
interna. En el marco de Basilea II, la posibilidad de utilizar modelos internos
está sujeta a la aprobación del supervisor junto con el cumplimiento de
requerimientos cualitativos adicionales.
El Comité de Supervisión Bancaria de Basilea reconoce la evolución de los
métodos analíticos para la cuantificación del riesgo operacional, y por lo tanto
no define un método específico. No obstante especifica que el horizonte de
45
cálculo de pérdidas sea de carácter anual y que la entidad demuestre que el
método seleccionado permite reflejar en la distribución eventos de escasa
probabilidad de ocurrencia pero de alto impacto monetario.
La metodología para determinar el requerimiento de capital por riesgo
operacional utilizando los AMA es semejante al concepto de VaR (Value at
Risk o Valor en Riesgo), propio del riesgo de mercado. A partir de la
estimación de la distribución de pérdidas agregadas, el requerimiento de
capital exigido por Basilea es el que acumula el 99,9% de las pérdidas en un
año. Es decir, la entidad debe demostrar suficiente capital para absorber las
pérdidas que surjan en el plazo de un año en el 99.9% de los casos,
exponiéndose a una insuficiencia en el 0,1% de los casos restantes.
1.5.5.1. Métodos de Medición Avanzada: Modelo LDA 9
Este enfoque es una herramienta estadística heredada del ámbito actuarial
parte de los 3 Métodos de Medición Avanzada de Basilea II, muy utilizada en
la industria aseguradora y que está convirtiéndose además en uno de los
instrumentos más empleados en el ámbito bancario.
El método LDA tiene como objetivo la obtención de la función de distribución
agregada de pérdidas operacionales. Dicha distribución se obtiene de la
acumulación de distribuciones de pérdidas para cada línea de negocio, para
cada tipo de riesgo o para una combinación de ambas.
En consecuencia, se hace imprescindible mencionar aquí cuáles son las
condiciones cruciales para que la metodología LDA arroje niveles de
precisión aceptables:
9 Espiñeira, Sheldon y Asociados; “Cuantificación del Capital Requerido por Riesgo
Operacional – OpVaR” Boletín Asesoría Gerencial Price Waterhouse Coopers
46
Figura 1.6 Proceso de Cuantificación del OpVaR por LDA Una adecuada selección de las distribuciones de frecuencia e impacto.
Una apropiada parametrización de las distribuciones seleccionadas.
Consiguientemente, la modelización de la distribución de pérdidas será más
robusta si está basada en agrupaciones con eventos de pérdida
homogéneos; es en este sentido que cuanto más detallada sea la apertura
de estas agrupaciones, más precisas serán las distribuciones de pérdida que
describen el perfil de riesgo, debido a la mayor homogeneidad de los eventos
de pérdida dentro de cada grupo.
El fenómeno de las pérdidas operativas puede ser desagregado en dos
componentes: i) la frecuencia (que representa todas las cantidades posibles
de eventos con su respectiva probabilidad) y ii) el impacto (que representa
todos los posibles valores de pérdida por evento y su probabilidad, una vez
ocurrido el evento).
Por lo tanto la distribución de probabilidades de pérdidas también puede ser
desagregada sobre la base de la estimación separada de frecuencia e
intensidad, entendiendo que estos dos componentes tienen comportamientos
47
específicos. Para volver a “unir” los dos componentes y explicar el fenómeno
de las pérdidas operativas se utilizan procesos de simulación matemática.
A efectos del cálculo, tanto la distribución de frecuencia como la distribución
de intensidad deben ser estimadas en función de las pérdidas operacionales
observadas por la entidad y registradas en su base de pérdidas
operacionales.
A continuación esquematiza los pasos que deben seguirse en el proceso de
estimación de la distribución de pérdidas operacionales:
1. Base de Datos La base de datos es la “piedra fundamental” en la construcción o desarrollo
de cualquier modelo de riesgos financieros. En forma particular, una base de
datos poblada de pérdidas operacionales históricas será el input fundamental
del modelo de cuantificación de riesgo operacional y permitirá la transición de
un enfoque cualitativo a un enfoque integral (cualitativo-cuantitativo).
Las entidades deben desarrollar sus bases de datos a partir de un proceso
homogéneo de recolección de pérdidas y de asignación de éstas en función
de las distintas áreas de negocios y de los diferentes tipos de riesgos, no
sólo con el fin de registrar las pérdidas, sino también para entender sus
causas.
Las pérdidas son clasificadas con base en una matriz que relaciona las ocho
líneas de negocio con los siete tipos de pérdidas operacionales que
menciona el Comité de Basilea. Por esta razón, el proceso de cálculo del
OpVaR se debe realizar para cada intersección de línea de negocio y tipo de
pérdida operacional.
48
2. Frecuencia de Eventos Con la finalidad de modelar la frecuencia de eventos con un horizonte
determinado, se utiliza una distribución de conteo que explicita la
probabilidad de ocurrencia de una determinada cantidad de eventos para
dicho horizonte a partir de la población expuesta, es decir, de las pérdidas
registradas por la entidad.
Christopher Lee Marshall (2001), Marcelo Cruz (2002), Mariano González
(2004), Pavel Shevchenko (2006) proponen la distribución de Poisson, dadas
sus características que permiten establecer de forma apropiada el número de
eventos a partir de la media de la frecuencia de eventos observada en el
pasado. Es importante destacar que también son empleadas en la práctica la
distribución Binomial y la distribución Binomial Negativa.
3. Intensidad de Eventos Una vez estimada la distribución de frecuencias para cada esquema de
fraude en tarjetas de crédito, se debe proceder a estimar la distribución del
monto de pérdida (o intensidad) de estos eventos. En virtud de eso es
necesario estudiar la base de pérdidas operacionales para “ajustar” la
distribución paramétrica que mejor se adecue a los datos observados de
montos de pérdidas.
Christopher Lee Marshall (2001), Marcelo Cruz (2002), Mariano González
(2004), Pavel Shevchenko (2004) J. Donnelly (2005) y Carrillo (2006),
proponen las distribuciónes LogNormal, LogLogistic y Pareto como
distribuciones de “cola larga”, a efectos de no subestimar ésta variable
aleatoria continua por falta de información, dado que en los procesos de
cuantificación de riesgo operacional debe prestarse especial atención a la
estimación de la “cola” derecha de la distribución de intensidad, ya que allí se
encuentran las pérdidas menos frecuentes pero las de mayor impacto para
los resultados de la entidad; aunque en la práctica ninguna distribución
49
simple se ajusta a los datos satisfactoriamente. Por eso es usual emplear
distribuciones “mixtas” para recoger los potenciales eventos de pérdidas
ubicados en la “cola” de la distribución como el caso de las distribuciones de
valores extremos Gumbel, Frechet y Weibull.
4. Simulación de MonteCarlo 10
Una vez caracterizadas las distribuciones de impacto y frecuencia de fraudes
en tarjetas de crédito, el último paso del proceso metodológico consiste en
obtener la distribución de pérdidas agregadas (LDA) a través del Método de
Simulación Monte Carlo (SMC) como práctica propuesta por Basilea II.
De esta forma, la pérdida total ligada a una línea de negocio i y originada por
un tipo de riesgo j, viene dada por:
( , )
0
( , ) ( , )N i j
n
n
L i j X i j
Dicha cuantía, es por tanto, el cómputo de un número aleatorio de eventos
de pérdidas con valores, también aleatorios, bajo el supuesto de que los
impactos son independientes entre sí y, al mismo tiempo, independientes de
la frecuencia. La función de distribución de la variable L(i,j) se obtiene
mediante:
*
, ,
1,
,
( ) ( ) ; 0( )
( ) ; 0
n
i j i j
ni j
i j
p n F x xG x
p x x
Donde F(x) es la probabilidad de que la cantidad agregada de n pérdidas sea
x. El asterisco denota la convolución en la función F, donde Fn* es n-veces la
10 Luis Franco, Juan Murillo; “Modelo LDA para Cuantificar el Riesgo Operacional”; V
Simposio Nacional y II Internacional de Docentes de Finanzas – Colombia 2008.
50
convolución de F consigo misma. En otras palabras, dicha distribución de
pérdida es resultado de la transformación entre un proceso estocástico
discreto asociado a la frecuencia, y un proceso continuo asociado al impacto
de los eventos de riesgo. Esta técnica ha sido utilizada en los trabajos de A.
Frachot, P. Georges, T. Roncalli (2001); Christopher Lee Marshall (2001);
Marcelo Cruz (2002), entre otros.
A diferencia de los modelos utilizados para evaluar los riesgos financieros
bajo enfoques cualitativos y cuantitativos, los modelos para estimar el riesgo
operativo posee características muy particulares; se deben combinar
variables aleatorias continuas y discretas; la pérdida agregada es una
variable incierta, y la relación entre variables es no lineal.
En la busqueda del este modelo deterministico, existen técnicas para su
obtención como la Transformada Rapida de Fourier de (2004), el Algoritmo
Recursivo de Panjer (1981) y la Aproximación de Pérdida Simple de Böcker y
Klüppelberg (2005); por lo tanto se escoge a SMC, porque se considera,
entre los métodos no analíticos, como el más simple y flexible, cuando se
dispone de una plataforma adecuada.
La SMC es una técnica tradicional que utiliza números aleatorios o seudo-
aleatorios para recolectar las muestras de una distribución de probabilidad. El
término Monte Carlo se empezó a utilizar durante la Segunda Guerra Mundial
como código para la simulación de problemas asociados con el desarrollo de
la bomba atómica. Hoy en día, las técnicas MonteCarlo se aplican a una
amplia variedad de problemas complejos con un factor aleatorio.
En este sentido se genera, en forma aleatoria, un número de eventos de
pérdida en el horizonte de tiempo determinado, a partir de la distribución
seleccionada. Luego, se generan en forma aleatoria montos para cada
evento de pérdida, a partir de la distribución seleccionada.
51
Posteriormente se determina la pérdida total para el ciclo de simulación. El
proceso se itera n veces, y, por último, para determinar el valor en riesgo
operacional (OpVaR), se ordenan los resultados por monto y se selecciona el
valor al nivel de confianza deseado.
Bajo el supuesto de correlación perfecta entre las pérdidas de cada
agrupación, el requerimiento de capital total para la entidad puede ser
determinado a través de la suma del VaR, obtenido de las distribuciones de
pérdidas de cada agrupación realizada.
En caso de incluir dentro del modelo correlaciones (no totales) entre las
pérdidas de cada agrupación, se obtendrá una disminución del requerimiento
de capital (por efecto diversificación), pero el desarrollo del modelo se
volverá más complejo.
5. Análisis de Sensibilidad y Escenarios
El proyectar las pérdidas operativas para los próximos doce meses
empleando un AMA sobre una base de pérdidas históricas puede no ser un
escenario verosímil o representativo, dada la realidad cambiante del sector
financiero y el contexto económico (fundamentalmente en la región
latinoamericana). En dichos casos puede resultar importante desarrollar un
análisis de escenario.
En dos amplios objetivos está centrado el análisis de escenarios del tipo “qué
pasa si….”: el primero consiste en modificar ciertos supuestos (o parámetros)
del modelo con la finalidad de adecuarlo al entorno actual o al esperado para
el plazo de proyección de pérdidas; el segundo consiste en generar pérdidas
potencialmente graves de carácter infrecuente (y que por lo tanto no están
registradas en la base de pérdidas) para evaluar su impacto en los resultados
de la entidad.
52
1.5.5.2. Teoría de Valores Extremos de Pérdida: Modelo GEV 11
La Teoría de Valores Extremos (EVT) se ha desarrollado rápidamente en las
últimas dos décadas tanto desde el punto de vista metodológico como del de
las aplicaciones. La mayoría de los estudios estadísticos tratan de la
modelación del promedio de la distribución de la variable de interés, dicho
promedio se estima a partir de la media muestral, por otra parte el teorema
del límite central proporciona un valioso resultado relacionado con el
comportamiento asintótico de la media muestral.
En la aplicación de esta teoría, el interés principal no está en el promedio,
sino en los valores más bajos o más altos de la variable bajo estudio, es
decir, el interés está en los eventos asociados a la cola de la distribución
probabilística.
Un enfoque para la modelación de valores extremos es a partir de la
Distribución de Valores Extremos Generalizada (GEV). Esta distribución de
probabilidad se ajusta a los valores máximos o mínimos de los datos en
estudio.
Como antecedente a esta teoría, se puede mencionar el Valor a Riesgo
(VaR); para realizar su estimación, durante mucho tiempo se supuso
normalidad en el comportamiento de las variables. Sin embargo las
estimaciones no suelen ser muy buenas para estimar el riesgo de eventos
severos con muy baja frecuencia, frecuentes en la cuantificación del riesgo
operativo (OpVaR).
Para poder entender esta teoría se comienza con una aproximación
mediante la Distribución Generalizada de Valores Extremos (GEV), la cual se
basa en el siguiente teorema:
11 Nigel Da Costa Lewis; “Operational Risk with Excel and VBA Applied Statistical
Methods for Risk Management”, pp. 203-207
53
1. Teorema de Fisher-Tippet y Gnedenko Este teorema estadístico diseñado por Fisher, Tippet (1928) y Gnedenko
(1943) establece que sea una serie de eventos de pérdida
independientes e idénticamente distribuidas con una función de distribución
desconocida . Por convención, las pérdidas son tratadas
como un número positivo lo que hace que los eventos extremos de pérdidas
estén en la cola derecha de la distribución.
La máxima pérdida en un conjunto de n datos se define como
. Para este conjunto de observaciones, la función de
distribución de está dada por:
La aproximación asintótica para está basada en el máximo valor
estandarizado:
Donde y son parámetros de localización y de escala respectivamente.
Este teorema establece que si converge a una distribución no
degenerada, ésta es la Distribución Generalizada de Valores Extremos
(GVE) (lo que equivale a decir que Zn está en el máximo dominio de
atracción de GVE):
54
Las distribuciones de valores extremos pertenecen a la clase de las
distribuciones continuas que son comunes en estadística; se pueden dividir
en tres grupos de acuerdo al valor de ξ. El caso en el que ξ > 0, corresponde
a distribuciones de colas pesadas, en las que la cola decae como una
función de potencia como las distribuciones: Frechet, Pareto, T-student,
Cauchy, Burr, y Loggamma; el caso en el que ξ = 0, corresponde a
distribuciones en las que las colas decaen exponencialmente como la
Normal, Exponencial, Gamma, Lognormal y Gumbel. El último caso (ξ < 0)
corresponde a distribuciones de colas delgadas con un final finito como las
distribuciones Beta, Weibull y Uniforme.
2. Estimadores de Hill En el sector financiero, lo más común de encontrar son series de datos que
suelen presentar mayores probabilidades de ocurrencia de eventos
riesgosos, o lo que también se puede denominar como colas de distribución
pesadas, lo que indica que un estudio de estas observaciones bajo un
enfoque de normalidad no es el adecuado, es sobre todo por esta razón que
se toma como referencia la Teoría de Valores Extremos (EVT).
El siguiente paso a seguir es definir tanto el uso como la forma de aplicar el
estimador ξ necesario para poder analizar los datos mediante esta teoría.
Los parámetros de locación y escala y pueden ser calculados a partir
del calculo de la media y desviación estandar muestral sobre los eventos de
pérdida por fraudes en tarjetas de crédito. El parametro apropiado para poder
trabajar con colas de distribución pesadas es el estimador de Hill. En
esencia, este estimador de valores extremos se obtiene ordenando las
observaciones bajo la siguiente estructura:
55
Con lo que el estimador de Hill puede ser calculado a partir de los siguientes
dos métodos:
El problema de estos métodos es la correcta elección del umbral k puesto
que influye directamente en el calculo del estimador de Hill, por lo tanto se
recomienda utilizar el valor esperado como un estimador de máxima
verosimilitud de ξ a través de las siguientes dos técnicas:
3. Metodo de Bloques Maximos El Método de Bloques Máximos puede ser utilizado para el cálculo del
OpVaR considerando el valor de los percentiles que generan las cargas de
capital inesperadas a partir de la distribución de pérdidas extremas. Una vez
que se han obtenido los parámetros que conforman la distribución GEV , se
procede a introducirlos en la siguiente formula:
56
1.6. Seis Sigma: Paradigma de la Calidad Total 12 Seis Sigma, es un enfoque revolucionario de gestión que mide y mejora la
calidad basado en datos, para llevarla hasta niveles próximos a la perfección,
diferente de otros enfoques ya que también corrige los problemas antes de
que se presenten, tratando especificamente de un esfuerzo disciplinado para
examinar los procesos de negocio de las organizaciones.
6σ es una evolución de las teorías sobre calidad de máyor éxito
desarrolladas después de la segunda guerra mundial. Especialmente se la
puede considerar como precursora directa de:
TQM, Total Quality Management o Sistema de Calidad Total
SPC, Statistical Process Control o Control Estadístico de Procesos
La letra griega minúscula sigma (σ) se usa como símbolo de la desviación
estándar, siendo ésta una forma estadística de describir cuánta variación
existe en un conjunto de datos, es decir, obtener sólo 3.4 defectos por millón
de oportunidades o actividades.
A continuación se presentan y describen las fases de la metodología Seis
Sigma:
Figura 1.7 Fases de la Metodología DMAIC de 6σ Esta estrategia incluye el uso de herramientas estadísticas dentro de una
metodología estructurada incrementando el conocimiento necesario para
12 Miguel Bahena Quintanilla; “Aplicación de la Metodología Seis Sigma para Mejorar
la Calidad y Productividad de una Planta de Bebidas”.
57
lograr de una mejor manera, más rápido y al más bajo costo, productos y
servicios que la competencia.
Figura 1.8 Herramientas utilizadas en Proyectos de Seis Sigma
En esta sección se exponen los modelos de control estadístico de mayor
utilización en esta filosofía de cero defectos:
1.6.1. Cartas de Control de Procesos Shewart 13 En cualquier proceso productivo resulta conveniente conocer en todo
momento hasta qué punto nuestros productos o servicios cumplen con las
especificaciones preestablecidas; como es de conocimiento general, la
calidad tiene dos grandes “enemigos”:
Las desviaciones con respecto al objetivo especificado (falta de
exactitud).
La excesiva variabilidad respecto a los valores deseables (falta de
precisión).
13 Thomas Pizdek & Paul Keller; “The Six Sigma Handbook. A Complete Guide for
Green Belts, Black Belts, and Managers at All Levels”
58
La idea consiste en extraer muestras de un proceso productivo que se
encuentra activo y, a partir de las mismas, generar gráficos que nos permitan
tanto estudiar la variabilidad del mismo como comprobar si los productos
obtenidos cumplen o no con las especificaciones preestablecidas. En caso
de apreciar en tales gráficos tendencias no aleatorias o bien muestras que se
sitúen más allá de los límites de control consideraremos que el proceso está
fuera de control. Si así ocurre, estaremos interesados en averiguar las
causas especiales que afectan al proceso.
Figura 1.8 Factores de Descontrol de Procesos en Cartas Shewart
59
En una carta de control Shewart se representa gráficamente una
característica de calidad, medida o calculada a partir de muestras del
producto, en función de las diferentes muestras; esta gráfica tiene una línea
central que simboliza el valor medio de la característica de calidad que
finalmente, otras dos líneas (los límites superior e inferior de control)
flanquean a la anterior a una distancia determinada. Estos límites son
escogidos de manera que si el proceso está bajo control, casi la totalidad de
los puntos muestrales se halle entre ellos. Así, un punto que se encuentra
fuera de los límites de control se interpreta como una evidencia de que el
proceso está fuera de control. Además, incluso si todos los puntos se hallan
comprendidos entre los límites de control, pero se comportan de manera
sistemática o no aleatoria, también tendríamos un proceso fuera de control.
1.6.2. Análisis de Capacidad y Desempeño de Procesos 14
Al planear los aspectos de calidad de la producción de un producto o
servicio, es sumamente importante asegurarse de antemano de que el
proceso será capaz de mantener las tolerancias una vez que hayamos
comprobado que el este se encuentra bajo control.
En las décadas recientes ha surgido el concepto de capacidad del proceso o
habilidad del proceso, que proporciona una predicción cuantitativa de qué tan
adecuado es un proceso. La habilidad del proceso es la variación medida,
inherente del producto o servicio que se obtiene en ese proceso.
Para determinar si un proceso es o no capaz, se hará uso de herramientas
gráficas (histogramas, gráficos de control, y gráficos de probabilidad), como
también se emplearán los llamados índices de capacidad a corto y a largo
plazo, que vendrán determinados por los cocientes entre la variación natural
del proceso y el nivel de variación especificada. En principio, para que un
14 Craig Gygi, Neil DeCarlo & Bruce Williams; “Six Sigma for Dummies”
60
proceso sea considerado capaz, su variación actual no debería representar
más del 75% de la variación permitida.
Para realizar un estudio de capacidad y desempeño eficiente es necesario
que se cumplan los siguientes supuestos:
El proceso se encuentra bajo control estadístico, es decir sin la influencia
de fuerzas externas o cambios repentinos. Si el proceso está fuera de
control la media y/o la desviación estándar del proceso no son estables y,
en consecuencia, su variabilidad será mayor que la natural y la capacidad
potencial estará infravalorada, en este caso no es conveniente hacer un
estudio de capacidad y desempeño.
Se recopilan suficientes datos durante el estudio de habilidad para
minimizar el error de muestreo para los índices de habilidad. Si los datos
se componen de menos de 100 valores, entonces deben calcularse los
límites de confianza inferiores.
Los datos se recolectan durante un periodo suficientemente largo para
asegurar que las condiciones del proceso presentes durante el estudio
sean representativos de las condiciones actuales y futuras.
El parámetro analizado en el estudio sigue una distribución de
probabilidad normal, de otra manera, los porcentajes de los productos
asociados con los índices de capacidad son incorrectos y solo se podrán
determinar los índices de desempeño del proceso, que no toma en cuenta
si el proceso está en control o no.
Si los datos siguen una distribución notablemente asimétrica,
probabilidades basadas en una distribución normal no serían muy buenos
estimadores de las verdaderas probabilidades de producir unidades que
no cumplan con las especificaciones. En tal caso, se podría optar por usar
61
la Transformación de Box-Cox para transformar los datos en otros cuya
distribución sea aproximadamente normal, o usar los modelos Weibull,
LogNormal o alguna otra distribución de probabilidad continua que se
ajuste a los datos.
1.6.3. Analisis de Corridas o Rachas en Procesos 15 Un gráfico de rachas identifica estadísticamente patrones no aleatorios en los
datos. En él se representan las medias (o las medianas) vs. el número del
subgrupo al que pertenecen. El gráfico contiene además una línea horizontal
de referencia que representa la mediana de las observaciones.
Por otra parte, también se realizan dos pares de tests para contrastar la
hipótesis nula de que el comportamiento de las observaciones sigue una
secuencia aleatoria. Estos tests ayudan a identificar tendencias, oscilaciones,
mezclas, y estratificaciones en los datos. La existencia de tales patrones de
comportamiento sugeriría que la variación observada es debida a causas
especiales.
Los dos primeros tests de aleatoriedad se basan en el número de “rachas”
localizadas a cada lado de la línea que representa la mediana. En este
contexto, una racha es un conjunto de puntos consecutivos situados a un
lado de la mediana. Si los puntos están unidos por una línea, una racha
termina y otra empieza cuando dicha línea cruza la mediana.
Estos contrastes son sensibles a dos tipos de comportamientos no aleatorios:
las mezclas y las estratificaciones. Así, si el número de rachas es
significativamente superior al esperado bajo la hipótesis nula, tendremos
indicios de que las observaciones están mezcladas (provienen de
poblaciones diferentes), mientras que si el número de rachas es
15 Larry Webber & Michael Wallace; “Quality Control for Dummies”
62
significativamente inferior al esperado tendremos indicios de estratificación (o
agrupamiento) en los datos.
Los dos tests restantes se basan en el número de rachas crecientes y
decrecientes. En este caso, una racha es un conjunto de puntos
consecutivos situados en la misma dirección (formando un tramo creciente o
decreciente). Así, una nueva racha comenzará cada vez que la línea que une
los puntos pase de ser creciente a decreciente o viceversa. Estos contrastes
son sensibles a dos tipos de comportamientos no aleatorios: las oscilaciones
y las tendencias. 16
Si el número de rachas observadas es significativamente mayor que las
esperadas (bajo la hipótesis nula), entonces habrá indicios de la existencia
de oscilaciones en los datos. Si el número de rachas observadas es
significativamente menor que el esperado, habrá indicios de tendencias.
16 Issa Bass, Barbara Lawton; “Lean Six Sigma Using SigmaXL and Minitab”
63
CAPÍTULO II
CONOCIMIENTO DEL NEGOCIO
2.1. Antecedentes Generales.
2.1.1. Entorno Económico.
La economía a nivel mundial empieza a mostrar síntomas de recuperación al
cuarto trimestre del presente año, contrario a lo previsto inicialmente de que
esto tendría lugar a partir de la segunda mitad del 2010. En el contexto de
una sociedad globalizada, lo señalado implica una reversión al proceso de
desaceleración experimentado por la economía del país a lo largo de la
mayor parte del presente año, pudiéndose además estimar que para el
próximo ejercicio la misma podría alcanzar a nivel agregado un crecimiento
del 3%. En este entorno, las industrias del sector real en la mayoría de
sectores, han logrado mantener los niveles de operación alcanzados en el
año precedente, en el cual en términos comparativos se obtuvieron los
mejores resultados de la década. Lo señalado explica el comportamiento del
sector financiero bancario, el cual a octubre 2009 totaliza un nivel de activos
de US$16.4 millones, cifra similar al reportado a diciembre 2008. Los
cambios observados en el sector se encuentran más bien a nivel de sus
resultados operativos como consecuencia de los cambios regulatorios que
han tenido lugar a lo largo del año. Las medidas introducidas han reducido el
margen de intereses de las entidades financieras lo cual ha afectado
particularmente a las instituciones que basan su estrategia competitiva en el
negocio de intermediación. La industria en su conjunto debe rediseñar su
forma de competir a fin de poder solventar su carga de gastos operacionales
al tiempo de mantener los niveles de riesgos observados en el último
quinquenio.
64
2.1.2. Descripción de la Institución.
ICE Bank F.G. fue constituido en 1910 y está facultado a realizar las
actividades de intermediación financiera de acuerdo a lo establecido en el
artículo 51 de la Ley de General de Instituciones del Sistema Financiero.
Desde 1987 ICE Bank Corporation es la sociedad controladora de ICE Bank
F.G. quien se hace responsable de las pérdidas patrimoniales de sus
subsidiarias hasta por el valor de sus propios activos.
La estrategia de ICE Bank F.G. continúa orientada a proveer servicios
financieros de banca universal para lo cual mantiene una amplia red oficinas
y puntos de atención en el país, complementados con sus subsidiarias en
Panamá y Colombia y oficinas de representación en España e Italia.
2.1.3. Filosofía Institucional.
Nuestros clientes disfrutan de una amplia gama de productos y servicios a
través de las oficinas de ICE Bank F.G. y sus subsidiarias en el Ecuador, y
en todo el mundo por alianzas con bancos internacionales.
Misión
Crear valor a nuestros clientes, accionistas, colaboradores, y a la sociedad
ecuatoriana, desarrollando propuestas bancarias y servicios financieros con
sistemas de calidad y solvencia.
Visión
Consolidarnos como la marca líder en productos bancarios y servicios
financieros de los ecuatorianos y estar presentes en todos y cada uno de sus
hogares y en todas y cada una de sus empresas.
65
2.2. Análisis Estratégico.
Fortalezas
Posición de liderazgo en el mercado. Importante nivel de liquidez que le
permite cubrir eventuales retiros de depósitos.
Niveles de morosidad que continúan siendo menores a los del promedio
del sistema.
Importante monto de obligaciones con vencimientos programados, lo que
disminuye el impacto de retiros inmediatos producto de un entorno
incierto.
Amplia red de distribución, con sucursales y oficinas en las principales
ciudades del país que le han permitido acceder a su mercado objetivo y
disminuir el riesgo por concentración geográfica.
Diversidad en la colocación de sectores productivos.
Planta de ejecutivos con experiencia, proactivos y ocupando cargos en
función de sus capacidades.
Nivel tecnológico y administración de su riesgo operativo.
Riesgos
Las condiciones de un entorno que mantiene alta incertidumbre puede
incidir en un incremento del riesgo de la cartera, lo cual requiere que la
entidad continúe trabajando en la optimización de los procedimientos de
control de riesgos y criterios de otorgamiento y administración de créditos.
Fuentes de financiamiento centralizadas en depósitos del público de
menos de 90 días y con cierto nivel de concentración de captaciones -en
su mayoría institucionales cuyos retiros pueden ejercer presión sobre la
liquidez.
Vale indicar que este riesgo se ve mitigado por la estabilidad de los
depósitos y por los altos niveles de sus activos líquidos.
66
Concentración geográfica, dado el mayoritario porcentaje de sus
colocaciones que se encuentran en dos ciudades; las cuales son las más
importantes del país y concentran la mayor cantidad de habitantes que
desarrollan múltiples actividades.
Nivel de activos productivos que comparativamente se encuentran en
menor posición, sobre el cual existe espacio para que la entidad ejecute
labores de optimización.
2.3. Características Operacionales.
2.3.1. Riesgo de Procesos Internos.
De acuerdo a la información entregada ICE Bank F.G. ha culminado la mayor
parte de los proyectos relacionados con Riesgo de Procesos Internos de la
institución.
La entidad dispone de un inventario o mapa de procesos de toda la
organización que los categoriza en: estratégicos, productivos y de soporte.
La metodología para la identificación de las líneas de negocios de acuerdo
con el segmento de mercado objetivo y asignación de procesos a cada una
de ellas está en fase de aprobación y se espera implementarla totalmente
hasta el mes de enero de 2010.
La identificación de los procesos críticos, tanto los propios de su operación
como los provistos por terceros, relacionándolos con las líneas de negocio
respectivas, depende del proyecto anterior por el cual se establecerá una
metodología para la determinación de procesos críticos. Por esta razón el
proyecto tentativamente será culminado durante el mes de enero de 2010.
De acuerdo al cronograma de Riesgo Operativo, la entidad cuenta ya con
políticas y procedimientos para la medición y gestión de sus procesos. En el
67
mismo ámbito, la entidad ha relevado los indicadores de gestión para el 50%
de sus procesos.
Figura 2.1 Cadena de Valor de ICE Bank F.G.
68
La Base de Eventos de Pérdida (BEP) recoge eventos de toda índole. Se
identificaron por: proceso, tipo de evento, monto, seguro, etc. Se preparó y
evaluó un Plan de Mitigación, revisando su funcionalidad y eficacia.
Los procesos de la entidad se encuentran diseñados de acuerdo a lo que
requiere la norma de riesgo operativo.
La entidad cuenta con un manual de procedimientos formalizado para el
diseño, levantamiento y descripción de los procesos.
De acuerdo a la información provista por ICE Bank F.G., al momento ya
cuenta con un Manual de Políticas y Procedimientos, debidamente aprobado
y difundido, para el seguimiento de los indicadores de gestión.
2.3.2. Riesgo de Gestión del Talento Humano.
De acuerdo a la documentación presentada por ICE Bank F.G. al tercer
trimestre de 2009 la entidad ha culminado todos los proyectos relativos a su
Riesgo de Personas, de acuerdo a lo establecido en el cronograma de
implementación de Riesgo Operativo.
La entidad cuenta con Manuales de Incorporación, Permanencia y
Desvinculación del Personal, los cuales están en concordancia con las
disposiciones legales vigentes, garantizando condiciones laborables idóneas.
Adicionalmente, el Código de Ética ha sido formalmente establecido y
difundido a todos los niveles de la entidad.
ICE Bank F.G. cuenta con una metodología de evaluación de su personal,
para determinar el personal necesario y las competencias idóneas para cada
puesto.
69
La entidad dispone de una base de datos que constantemente es actualizada
con la información personal y laboral de su capital humano.
2.3.3. Riesgo de Tecnologías de Información.
De acuerdo a la información presentada, la entidad ha culminado la mayor
parte de los proyectos planificados para cubrir su Riesgo de Tecnología de
Información.
ICE Bank F.G. ha culminado los proyectos relacionados a planificación
estratégica de TI, servicios de TI provistos por terceros, y de administración y
monitoreo de la documentación de la infraestructura tecnológica.
De acuerdo a la planificación del proyecto, los usuarios -en coordinación con
los funcionarios de tecnología- deberán elaborar y suscribir acuerdos escritos
que describan los niveles de servicio en términos cualitativos y cuantitativos y
las responsabilidades de ambas partes.
El proyecto está en fase de implementación y se prevé culminarlo hasta el
mes de diciembre de 2009.
También en fase de implementación, se encuentran los procedimientos para
la administración de incidentes y problemas, incluyendo su registro, análisis y
solución oportuna. Este proyecto se prevé culminarlo hasta el mes de
diciembre de 2009.
De acuerdo al programa de trabajo, a la fecha la entidad cuenta ya con todos
los procedimientos necesarios para el desempeño de las operaciones de
tecnología.
Tecnología ha establecido y documentado procedimientos para soporte a
usuarios dentro de una función de Help Desk o Mesa de Ayuda.
70
La Gerencia de Tecnología mantiene su esquema de mejora y actualización
de la documentación de los procesos y procedimientos de tecnología de
información.
La entidad dispone de un Comité de Sistemas para supervisar la gestión de
la estructura orgánica de TI acorde con los servicios que brinda.
ICE Bank F.G. cuenta con su respectivo Manual de Políticas y
Procedimientos que norman el proceso de Tecnología de Información, así
como también un plan de entrenamiento y capacitación de su personal.
La administración de servicios tecnológicos provistos por terceros considera
los criterios de contratación institucionales, responsabilidades y monitoreo de
la prestación del servicio para garantizar que satisface los requerimientos de
la entidad. Para el efecto, el área de Tecnología estableció políticas de
contratación de servicios. Los contratos de servicios de TI provistos por
terceros definen la propiedad de la información así como las
responsabilidades de cada parte.
ICE Bank F.G. ha designado una contraparte técnica que sea responsable de
administrar las relaciones con terceros.
De acuerdo a la información brindada por ICE Bank F.G., en los casos
correspondientes, los contratos consideran la transferencia de conocimiento
y entrega de documentación técnica y de usuario, así como la aceptación del
usuario.
Así mismo, se reporta que al momento la entidad ha definido un
procedimiento formal y continuo de monitoreo sobre la prestación de servicio
de terceros, con el fin de asegurar el cumplimiento de los acuerdos del
contrato.
71
De acuerdo al cronograma presentado por ICE Bank F.G., al momento
cuenta con un sistema de administración de seguridad de la información que
garantice su integridad, disponibilidad y confidencialidad.
Para el efecto, se han desarrollado políticas y procedimientos de seguridad
de la información aprobadas formalmente, difundidas e implementadas;
incluyendo aquellas relacionadas con servicios de transferencia y
transacciones electrónicas, si aplica.
ICE Bank F.G. ha identificado los requerimientos de seguridad relacionados
con la tecnología de información y ha implementado los controles necesarios
para minimizar el impacto de las vulnerabilidades e incidentes de seguridad.
Así mismo, a través de sus informes, al momento la entidad cuenta con un
sistema de administración de las seguridades de acceso a la información y
niveles de autorización de accesos para ejecución de las funciones de
procesamiento.
La institución se encuentra desarrollando un plan de evaluación del
desempeño del sistema de administración de la seguridad de la información
que permita tomar acciones para mejorarlo. Este plan se espera culminarlo
hasta el mes de diciembre de 2009.
La entidad cuenta con condiciones físicas y ambientales necesarias para
garantizar la seguridad de la información y el correcto funcionamiento del
entorno de la infraestructura de tecnología de información.
ICE Bank F.G. se encuentra elaborando una metodología para la
administración del ciclo de vida de desarrollo, mantenimiento y/o adquisición
de aplicaciones incluyendo procedimientos para migración de información.
De acuerdo a la programación presentada, se realizará este proyecto hasta
el mes de diciembre de 2009. Paralelamente, se encuentra elaborando un
procedimiento de monitoreo para evaluar el cumplimiento de la metodología
72
del ciclo de vida de desarrollo de sistemas. De igual forma, ICE Bank F.G.
espera contar con este procedimiento a finales del mes de diciembre de
2009.
ICE Bank F.G. tiene procedimientos formales para administración de
versiones que garantizan el registro, evaluación y autorización de los
cambios, previo a su implantación y la revisión posterior contra los resultados
planeados.
Dentro de los procedimientos de la entidad, se considera la ejecución de un
plan de entrenamiento de las nuevas implementaciones efectuadas a los
usuarios involucrados, así como también al grupo de operaciones de la
función de TI de la entidad.
La institución cuenta con procedimientos formales que garantizan que la
documentación técnica y de usuario se mantiene actualizada y disponible
para los usuarios. Este proceso de actualización se realiza de forma
permanente de acuerdo a las prioridades definidas.
De acuerdo a lo informado, ICE Bank F.G. cuenta con políticas y
procedimientos que garantizan una adecuada administración, monitoreo y
documentación de la infraestructura tecnológica.
La realizó un levantamiento de la documentación correspondiente a la
infraestructura tecnológica incluyendo bases de datos, redes de datos,
software de base y hardware.
Ha establecido políticas formales y controles para detectar y evitar la
instalación de software no autorizado o no licenciado, así como instalar y
actualizar periódicamente aplicaciones de detección y eliminación de virus
informático y demás software malicioso.
73
2.3.4. Riesgo de Eventos Externos (Continuidad de Negocio).
De acuerdo a la información presentada por la institución financiera, al
momento de la revisión trimestral ya ha culminado la implementación de
todos los proyectos referentes a Riesgo de Eventos Externos.
En este ámbito, ICE Bank F.G. desde el año 2006 mantiene un Plan de
Continuidad, el cual fue actualizado y aprobado por el Directorio en los
primeros meses de 2009. Dispone de políticas, procedimientos y planes de
continuidad para los procesos críticos de ICE Bank F.G., alineados con los
objetivos estratégicos de ICE Bank Corporation.
El plan incluye la definición de escenarios de riesgos más probables,
procesos de alta criticidad, Política de Continuidad del Negocio,
Procedimientos para el manejo de crisis, recuperación y reanudación del
negocio, Políticas y Pruebas del Plan de Continuidad, Planes de
Entrenamiento y Concienciación, Políticas de Actualización y mantenimiento
del Plan de Continuidad.
Al momento ICE Bank F.G. reporta mantener vigente un análisis de impacto
al negocio (BIA) así como también un análisis de ocurrencia de los eventos
de riesgo. La entidad dispone de un Plan de Continuidad del Negocio que
deberá ser periódicamente evaluado y difundido a todo el personal, que será
capacitado en esta materia.
Se reporta como concluido el Plan de Restauración, el cual permite regresar
las operaciones a la normalidad después de producido un evento de riesgo.
Finalmente, el Plan de Continuidad del negocio cuenta con políticas y
procedimientos para el manejo de incidentes, recuperación y reanudación de
las operaciones, y definición de los recursos y personas necesarias para ese
fin.
74
2.3.5. Riesgo Legal.
De acuerdo a la información proporcionada, ICE Bank F.G. cuenta con un
Diccionario de Riesgo Legal y de Contratos, información que ha sido
incorporada en la Base de Datos de Riesgo Operativo. El riesgo legal incluye,
a más del control de juicios de ICE Bank F.G. en su relación con terceros, el
establecimiento del origen de los eventos de riesgo operacional,
específicamente, sanciones por incumplimiento de normas, juicios activos,
sanciones por incumplimiento fiscal o de seguridad social, etc.
De la información presentada por la entidad no se evidencia una exposición
significativa a este tipo de riesgo por parte de ICE Bank F.G.
La entidad no ha informado sobre el establecimiento de proyectos operativos
o tecnológicos para gestionar o monitorear este tipo de riesgo y
retroalimentar a los niveles gerenciales. La entidad no ha proporcionado
evidencia sobre el cumplimiento del pago del impuesto para el INNFA
correspondiente al año 2008.
2.3.6. Riesgo de Cumplimiento.
Los informes que cubre el trimestre bajo evaluación, presentados por el
Oficial de Cumplimiento determinan el seguimiento y control de las
transacciones diarias de los clientes de la entidad, superiores a los límites
establecidos por la entidad de control. De igual forma, se informa que ha
procedido a dar respuesta a los requerimientos de información solicitados por
las diferentes autoridades competentes.
Se reporta una actualización constante de las listas de personas sindicadas y
de otras de fuentes externas.
La entidad cumple con la obligación legal de reportar aquellas observaciones
de hechos relevantes en la detección de operaciones sospechosas, en caso
75
que existan transacciones complejas y/o inusuales injustificadas que se
podrían presumir provenientes de actividades ilícitas, en el periodo que
comprende la presente evaluación de riesgos.
2.3.7. Situación del Riesgo Operativo en la Entidad.
Los informes de avance presentados, incluyen cronogramas culminados
sobre la implementación de riesgo operacional para el cumplimiento de las
disposiciones del la Resolución JB-2005-834. Estos informes fueron
oportunamente presentados al CAIR como un compendio de las actividades
realizadas por la Gerencia de Riesgo en forma mensual.
El cumplimiento de las metas de su presupuesto es bastante cercano, y de
no presentarse eventos exógenos la entidad no tendrá problemas en
alcanzar sus metas.
De acuerdo a la revisión efectuada a la información presentada por ICE Bank
F.G. y considerando el avance del cronograma de implementación de Riesgo
Operativo, la entidad se mantiene con un riesgo operativo bajo pues al
momento cuenta con los resguardos necesarios para afrontar situaciones de
riesgo como las relevadas en los planes de contingencia institucionales.
2.4. Gestión de Buen Gobierno Corporativo.
El esquema de Gobierno Corporativo del ICE Bank F.G. se mantiene en
similares niveles a los trimestres anteriores respecto a su estructura
organizacional.
Las directrices estratégicas de negocios y los planes operativos que los
acompañan son claros, en apoyo al desarrollo de los objetivos empresariales
del ICE Bank F.G. y de su actitud conservadora dentro de la situación
financiera global que se observa en el trimestre que cubre la presente
evaluación.
76
La gestión de administración de riesgo operativo se sigue fortaleciendo y la
gestión integral de riesgo es ya reconocida institucionalmente e incorporada
de forma integral en la evaluación de los riesgos operacionales en
coordinación con las aéreas tomadoras de riesgos y evaluadoras del
cumplimiento de las regulaciones legales y contractuales.
2.5. Estrategias y Posición Competitiva.
Al término del tercer trimestre del año 2009, ICE Bank F.G. se mantuvo como
la segunda entidad en todo el sistema bancario ecuatoriano por el tamaño de
sus Activos, Pasivos, Inversiones, Cartera, Depósitos a la vista (incluyendo
restringidos) y Depósitos a plazo, ocupando además el tercer lugar por
Patrimonio, Capital y Reservas y Resultados.
El tamaño de sus operaciones determina que se mantenga en el grupo de
bancos privados denominados como “grandes” de acuerdo a la clasificación
efectuada por el ente de control.
Con una trayectoria de más de ocho décadas, ICE Bank F.G. mantiene un
importante nivel de posicionamiento en el mercado financiero ecuatoriano,
tanto en su mercado original y su zona de influencia, como en el resto del
país a donde ha extendido su cobertura, contando además con subsidiarias y
presencia física en varios puntos del extranjero como parte de la expansión
internacional y de servicios de su negocio financiero.
A la fecha de análisis, ICE Bank F.G. mantiene un extenso portafolio de
productos y servicios que incluye una oferta de productos de crédito donde
se encuentra el financiamiento para actividades de consumo, compra de
vehículos, vivienda, así como la emisión de tarjetas de crédito (Discover,
MasterCard y Visa), tarjetas de débito y de pago efectivo.
77
Mantiene además convenios con diversas instituciones públicas y privados
para la recaudación de tasas y servicios, así como también la red de
corresponsalía con organismos multilaterales, gubernamentales de crédito,
con bancos internacionales privados, con las redes BANRED y CIRRUS a
nivel nacional e internacional.
Además de la presencia física proporcionada por su red de oficinas en
diversas ciudades, ICE Bank F.G. cuenta con un importante número de
ATM’s y autobancos en todo el país, y desde el año 2008 ha complementado
su estrategia con un creciente número de intermediarios no bancarios
orientados a zonas urbanas -en un inicio- y rurales con gran afluencia de
público pero sin cobertura bancaria formal.
Dicho canal de distribución le ha permitido a ICE Bank F.G. incrementar el
nivel de bancarización en el país, aumentar el alcance de sus servicios, y
consolidar su posición como actor de vanguardia en la banca retail del país.
2.6. Seguridad y Prevención de Fraudes en Tarjetas de Crédito
2.6.1. Departamento de Gestión y Prevención de Fraudes.
El Departamento de Gestión y Prevención de Fraudes es una unidad técnica
especializada de ICE Bank F.G. cuyo objetivo fundamental es facilitar el
cumplimiento de las responsabilidades en la administración, seguridad y
prevención los fraudes suscitados en transacciones realizadas con las
marcas Discover, MasterCard y Visa reportados por los clientes; quien a
través de su estructura organizacional, infraestructura tecnológica, funciones
y metodologías que guían su trabajo, aplican las políticas y procedimientos
aprobados por el Comité de Tarjetas de Crédito para una estratégica
mitigación y control de los eventos de pérdida por riesgo operativo.
78
Esta unidad ha establecido políticas generales para la gestión de fraudes que
son mencionadas a continuación:
Políticas de Gestión y Prevención de Fraudes en Tarjetas de Crédito
CG1 Comunicar los objetivos del control del riesgo:
1. Comunicar los objetivos de gestión de riesgos de fraude.
2. Comunicar las políticas y procedimientos del control del riesgo de
fraude.
3. Establecer un código de ética / conflicto de intereses
4. Definir niveles de exposición máximos para operaciones o puntos de
exposición significativa.
CG2 Establecer la autoridad y asignar responsabilidades:
1. Establecer la autoridad y límites.
2. Asignar tareas clave a personal calificado.
3. Establecer una estructura organizacional formal.
4. Establecer objetivos, políticas y procedimientos formales.
5. Establecer presupuestos y requerimientos.
CG3 Segregar responsabilidades incompatibles:
1. Identificar y segregar responsabilidades: registro, procesamiento y
custodia de eventos de fraude en tarjetas de crédito.
2. Implementar controles de acceso a datos y sistemas.
3. Rotar periódicamente a personal que ocupa puestos críticos
4. Requerir que el personal cumpla con tomar vacaciones anuales
CG4 Capacitación:
1. Incluir el plan de capacitación de eventos de fraude en el plan
estratégico.
2. Medir la efectividad del programa de capacitación.
79
CG5 Transferir el riesgo:
3. Seguros sobre los activos.
4. Seguros de deshonestidad.
5. Outsourcing.
6. Condiciones contractuales
CG6 Establecer salvaguardas físicas para el dinero, valores, activos y registros. CG7 Desarrollar planes de continuidad de negocios. CG8 Desarrollar planes de seguridad de información:
7. Establecer la política de seguridad.
8. Establecer mecanismos para proteger la integridad de la información.
9. Establecer mecanismos para proteger la confidencialidad de la
información.
10. Establecer mecanismos para asegurar la disponibilidad de la
información y de los sistemas que soporta las operaciones.
CG9 Supervisión:
1. Verificar el correcto procesamiento de una transacción o el
cumplimiento de un procedimiento/control. La verificación puede ser
sobre una muestra o sobre el total de transacciones en un periodo
específico.
2. Evaluar la razonabilidad de los resultados del procesamiento de una
transacción o conjunto de transacciones.
3. Visitas o actividades de seguimiento o verificación.
CG10 Desarrollar actividades de mantenimiento preventivo de la
infraestructura tecnológica e inmobiliaria del departamento.
CG11 Eliminar las actividades, productos y operaciones que son
fuentes de riesgos que la organización no está dispuesta a asumir.
80
CG12 Desarrollar actividades de monitoreo de las acciones de la
competencia.
CG13 Políticas de salud y seguridad de personal y clientes:
1. Seguros personales
CG14 Obtener aprobaciones establecidas:
1. Verificar que las modificaciones realizadas a los archivos maestros
hayan sido previa y debidamente autorizadas.
2. Obtener las aprobaciones necesarias antes de procesar un bloqueo
local o internacional de T/C por evento de fraude.
3. Verificar que una transacción cumpla con las aprobaciones y límites
transaccionales.
CG15 Establecer controles de transacciones, documentos y archivos:
1. Usar formatos prenumerados y controlar la secuencia en el registro de
fraudes.
2. Generar listado detallado de transacciones/documentos y compararlos
con la información fuente.
3. Usar asientos de diario estándares.
4. Registrar la fecha, hora, usuario y estación de trabajo.
5. Registrar transacciones únicamente a través de los módulos de
SysCard y Sentinel Prevention; no modificar directamente los archivos
de transacciones.
6. Salvaguardar y retener documentos / registros de acuerdo a las
políticas establecidas.
7. Inhabilitar documentos/archivos para usos no autorizados o cuando
hayan sido procesados.
8. Verificar información contra registros, bases de datos o archivos
maestros.
81
9. Inspeccionar físicamente los artículos sujetos de una transacción
sospechosa de fraude.
CG16 Comparar y verificar documentos e información interna con
documentos o fuentes externas:
1. Verificar los asientos de diario contra documentación de soporte.
2. Verificar información, registros y documentos contra fuentes externas
(DataFast, Discover, MasterCard y Visa).
CG17 Verificar el ingreso de datos:
1. Validar información recibida contra los documentos fuente.
2. Obtener evidencia de identidad del tarjetahabiente en análisis.
CG19 Verificar los resultados del procesamiento:
11. Verificar el registro operativo y/o contables al finalizar cada análisis
transacción sospechosa de fraude
12. Realizar pruebas globales de transacciones de manera periódica.
13. Realizar pruebas específicas de transacciones de manera periódica.
14. Revisar la retroalimentación de la información procesada.
CG20 Evaluar el cumplimiento de los principios seleccionados:
1. Supervisar el cumplimiento de políticas y procedimientos críticos.
2. Seguimiento de fechas claves antes del vencimiento del reporte de
fraudes.
3. Seguimiento de fechas claves después del vencimiento del reporte de
fraudes.
CG21 Informar y resolver excepciones:
1. Informar el incumplimiento de los procesos y procedimientos en el
análisis y prevención de fraudes en tarjetas de crédito.
2. Investigar casos de excesos sobre límites y exoneraciones.
82
3. Investigar eventos de fraude no resueltos durante el proceso.
4. Investigar saldos y consumos inusuales de tarjetahabientes.
2.6.2. Estructura Organizacional
La estructura organizacional de esta unidad técnica es la que se presenta a
continuación:
Figura 2.2 Estructura Organizacional del Departamento de Gestión de Fraudes
2.6.3. Procesos de Riesgo de Fraude
Los Procesos de Riesgo de Fraude en Tarjetas de Crédito fueron elaborados
tomando en consideración un diagnóstico situacional inicial realizado en la
entidad bajo los estándares COSO ERM II y AS 4360/2004, las buenas
prácticas sobre Gestión del Riesgo Operativo del Comité de Basilea, las
normas de la Superintendencia de Banca y Seguros (SBS) aplicables (JB-
2005-834) y las estrategias de ICE Bank F.G.
83
Los procesos que en la actualidad ICE Bank F.G. gestiona relacionados a la
prevención y control de riesgos de fraude en tarjetas de crédito son:
Figura 2.3 Esquema de Procesos de Riesgos de Fraude en ICE Bank F.G.
84
2.6.4. Sistema de Procesamiento de Pagos de Tarjetas de Crédito
El procesamiento de pagos con tarjetas de crédito de ICE Bank F.G. se
fundamenta en un sistema que está compuesto de dos grandes segmentos
operativos: Autorización y Liquidación.
2.6.4.1. Autorización
Figura 2.4 Esquema de Autorización de Transacciones en T/C de ICE Bank F.G.
Este proceso toma en promedio alrededor de 2 segundos en transacciones
por internet y 15 segundos en transacciones vía telefónica:
1. El tarjetahabiente presenta su tarjeta de crédito (o su número de tarjeta,
fecha de caducidad y código de seguridad) al establecimiento para la
compra de bienes o servicios ofrecidos por el negocio afiliado.
2. El comercio comunica las características de la tarjeta recibida a Datafast
a través de un sistema de procesamiento electrónico por POS o en el
caso del comercio electrónico por un gateway de pago para la recepción y
transferencia de los datos; normalmente, ésta es otra conexión cifrada
mediante SSL al servidor de pago, almacenada en la pasarela de pago.
85
3. Datafast quien recibe la información de la transacción del comercio
reenvía estos datos al banco adquirente del establecimiento.
4. El banco adquirente reenvía la información de la transacción al banco
emisor que emitió la tarjeta de crédito al cliente para la autorización de la
transacción.
5. El banco emisor de la tarjeta recibe el pedido de autorización y envía un
código de respuesta al banco adquirente, además de determinar el
destino del pago de la transacción (es decir, autorizado o rechazado).
6. El banco adquirente comunica la respuesta del banco emisor a Dafast
donde se interpreta y se revela una respuesta al comercio.
7-8. El establecimiento obtiene la autorización e intercambia sus productos y
servicios con el tarjetahabiente.
2.6.4.2. Liquidación
Figura 2.5 Esquema de Liquidación de Pagos en T/C de ICE Bank F.G.
9. Al final del día de operaciones, el establecimiento envía el procesamiento
por lotes o batch de todas las transacciones a Dafast; si el
establecimiento usa un puerto de enlace en línea o una terminal IP es
probable que la transferencia de esta información sea realizada
86
automáticamente y nunca notificada al establecimiento, de utilizarse una
terminal telefónica tradicional el comercio posiblemente deberá de digitar
un botón especial en su ordenador para iniciar este proceso.
10-12. Datafast quien recibe los resultados del procesamiento batch, envía
dicha información al banco adquirente, luego esta entidad presenta la
transacción al banco emisor para su pago mediante el sistema de
intercambio y liquidación establecido como común acuerdo entre los
bancos participantes.
13. El banco emisor paga al banco adquirente el importe, menos una
comisión de intercambio que reembolsa parcialmente al emisor por sus
gastos, a través de su sistema un sistema de cámara de compensación
automatizada (ACH) como red de servicios de pagos y transferencias
electrónicas.
14. El comercio recepta electrónicamente la acreditación de su venta gracias
al retiro de dinero efectuado en la cuenta del tarjetahabiente autorizado
previamente por el banco emisor, menos una tasa de descuento en el
tiempo y condiciones pactadas de forma contractual con su banco
adquirente.
Con el propósito de resumir los objetivos y el alcance de este estudio, se
expone el desarrollo de la matriz SIPOC como un método para verificar todos
los elementos relevantes del proceso PO – 2.7.5.1 Gestionar y Prevenir
Fraudes en T/C (Emisores) permitiendo así la identificación, evaluación e
implementación de REDs y KRIs para ICE Bank F.G.
El diagrama de cadena de procesos extendido (EPC) adoptado se encuentra
graficado bajo el estándar de modelamiento BPM en el Anexo No. 1 y
documentado bajo la arquitectura BPMS en el Anexo No. 2 de esta
investigación.
87
Figura 2.6 Diagrama SIPOC del Proceso Gestionar y Prevenir Fraudes en T/C – Vía Emisión
88
CAPÍTULO III
DISEÑO DE INDICADORES CLAVES DE RIESGO
3.1. Identificación de los Eventos Críticos de Riesgo
La Dirección Ejecutiva de Tarjetas de Crédito en conjunto con su equipo de
trabajo estableció que para la implementación de indicadores en el
Departamento de Gestión y Prevención de Fraudes se deban de considerar los
eventos críticos de riesgo como factores impulsores para la consecución de los
diversos esquemas de fraudes, para los cuales se determinaron los siguientes:
Figura 3.1 Resumen de Eventos Críticos de Riesgo (RED’s)
De acuerdo a los estándares COSO ERM II y AS 4360/2004, la identificación
de los controles asociados con sus factores claves de riesgo es también una
parte crítica de la gestión de procesos, por lo que el diseño de los indicadores
claves de riesgo proveerán un monitoreo y retroalimentación continua sobre el
desempeño del riesgo de fraude en tarjetas de crédito de ICE Bank F.G.
1• Impacto significativo en el costo total por pérdidas en fraudes.
2• Eventos de fraude no detectados por tecnologías analíticas del sistema.
3• Insuficiente personal para la gestión y prevención de fraudes.
4• Políticas/Procedimientos son ad hoc hacia los eventos de fraudes.
5• Incremento de transacciones fraudulentas por marca de T/C.
6• Resultados de investigación del fraude no satisfacen al cliente.
7• Pérdida de alianzas estratégicas con el sistema de operaciones de T/C.
89
3.2. Definición de los Indicadores Claves de Riesgo 3.2.1. Impacto de Fraudes en Tarjetas de Crédito
1
( )n
i
i
I n M
Con el objetivo de minimizar los costos por materialización de las topologías de
fraudes examinados en este estudio, la Gerencia de Operaciones en T/C
autorizó la formulación de este indicador para la prevención de las pérdidas
ocurridas en transacciones con tarjetas de crédito, débito, privadas en puntos
de venta, ATM’s, transferencias por internet, pagos a comercios y banca móvil
de ICE Bank F.G. el cual viene expresado matemáticamente como la sumatoria
de las pérdidas monetarias ocurridas en las operaciones crediticias mensuales.
La descripción de este sistema de medición en conjunto con sus metas y
factores claves de riesgo se encuentra en la ficha técnica adjunta a
continuación:
Figura 3.2 Ficha Técnica de Impacto de Fraudes en Tarjetas de Crédito
90
3.2.2. Frecuencia de Fraudes en Tarjetas de Crédito
1
( )n
i
i
F n x
La Gerencia de Operaciones en T/C con la finalidad de evaluar la incidencia de
los esquemas de fraudes, respaldó el diseño de este indicador que permitirá
denegar transacciones contra el autorizador, bloquear cuentas o tarjetas (POS
y ATM), paralizar pagos a los comercios, revisar actividades inusuales o
normales de los clientes desde distintas perspectivas, generar
automáticamente casos de seguimiento para el registro completo de la
investigación del fraude y alertas distribuidas a los analistas, el cual viene
enunciado matemáticamente como la sumatoria de las frecuencias de
coyuntura de los esquemas de fraudes suscitados en el periodo económico.
La descripción de este sistema de medición en conjunto con sus metas y
factores claves de riesgo se encuentra en la ficha técnica adjunta a
continuación:
Figura 3.3 Ficha Técnica de Frecuencia de Fraudes en Tarjetas de Crédito
91
3.2.3. Heurística de Tecnologías Analíticas de Fraudes
1 1
( ) ( ) ( ) 100%n n
i n
i i
H n H x H x
La Subgerencia de Infraestructura Tecnológica con el propósito de evaluar el
análisis virtual de los esquemas de fraude en tarjetas de crédito por el sistema
Sentinel Prevention, acreditó el desarrollo de este indicador que permitirá
modelar patrones de análisis complejos definido matemáticamente como el
cociente promedio entre el total de fraudes detectados en las operaciones
crediticias mensuales y la suma del total de fraudes detectados por tecnologías
analíticas como arboles de decisión, análisis de contracargos, redes
neuronales, regulaciones de comercios, riesgo crediticio del cliente y políticas
que han establecido los Departamentos de Riesgos Financieros y Auditoría.
La descripción de este sistema de medición como sus metas y factores claves
de riesgo se encuentran descritos en la ficha técnica expuesta a continuación:
Figura 3.4 Ficha Técnica de Heurística de Tecnologías Analíticas de Fraudes
92
3.2.4. Productividad en Gestión de Fraudes
1 1
( ) ( ) 100%n n
i j
i j
P n E k x
Con el objetivo de maximizar la capacidad de gestión y resolución de fraudes
en tarjetas de crédito, la Dirección Ejecutiva solicitó evaluar la producción
obtenida por los recursos tangibles, intangibles y humanísticos utilizados para
alcanzar dicho meta eficientemente y mejorar la rentabilidad de ICE Bank F.G.;
es por ello que se desarrolló este indicador para evaluar la competencia del
Departamento de Gestión y Prevención de Fraudes en alcanzar los acuerdos
de niveles de servicios requeridos por el cliente y el grado en que se
aprovechan los recursos asignados, definido matemáticamente como el
cociente promedio entre el total de casos de fraude gestionados por cada
analista y la cantidad de recursos humanos que participan en dichos casos.
La descripción de este sistema de medición como sus metas y factores claves
de riesgo se encuentran descritos en la ficha técnica expuesta a continuación:
Figura 3.5 Ficha Técnica de Productividad en Gestión de Fraudes en Tarjetas de Crédito
93
3.2.5. Tiempo de Resolución de Fraudes
1 1
( ) ( ) ( ) 100%n n
s i r i i
i i
T n F x F x x
Con el propósito de mejorar los acuerdos de niveles de servicio que
proporciona ICE Bank F.G. a sus clientes y organismos de control para la
resolución eficaz de fraudes en tarjetas de créditos, la Jefatura de Gestión y
Prevención de Fraudes accedió al diseño de este indicador bajo la consigna de
reducir los largos tiempos de espera y la ineficacia en la resolución de
problemas de los tarjetahabientes que perjudican a la imagen de la institución,
definido matemáticamente como la diferencia promedio entre la fecha en que el
cliente reportó formalmente el fraude de tarjeta de al departamento y la fecha
en que el analista o investigador brindó la solución al tarjetahabiente.
La descripción de este sistema de medición como sus metas y factores claves
de riesgo se encuentran descritos en la ficha técnica expuesta a continuación:
Figura 3.6 Ficha Técnica de Tiempos de Resolución de Fraudes en Tarjetas de Crédito
94
3.2.6. Severidad en Control de Fraudes
1
1 11
( ) ( )( ) 100%
( )
nn n
ii s i r iin
i iiii
M F x F xS n x
SLA xC
Finalmente con el objetivo de minimizar los niveles de robusticidad del fraude
ante las estrategias de mitigación de riesgos y modelos de control interno que
tiene implementado el Departamento de Gestión y Prevención de Fraudes, la
Gerencia de Operaciones en T/C aprobó la creación de este indicador
formulado matemáticamente como el producto esperado del cociente promedio
entre el monto de fraude suscitado sobre el cupo asignado al tarjetahabiente y
el cociente promedio de la diferencia esperada entre la fecha en que el cliente
reportó el siniestro y la fecha en que el analista le dio solución sobre el acuerdo
de nivel de servicio referente al esquema de fraude gestionado.
La descripción de este sistema de medición como sus metas y factores claves
de riesgo se encuentran descritos en la ficha técnica expuesta a continuación:
Figura 3.7 Ficha Técnica de Severidad en Control de Fraudes en Tarjetas de Crédito
95
3.3. Evaluación de los Indicadores Claves de Riesgo 3.3.1. Matriz de Diseño de Indicadores Claves de Riesgo La primera técnica de análisis en este estudio proporciona un método gráfico
para expresar las relaciones entre los eventos claves de riesgo y las
características de diseño de los indicadores, que finalmente organiza los datos
de requerimientos y expectativas de los tarjetahabientes y comercios afiliados
en una forma matricial similar al Despliegue de la Función de Calidad - QFD
desarrollado en la etapa de definición de la metodología DMAIC en Seis Sigma.
Figura 3.8 Matriz de Diseño de Indicadores Claves de Riesgo Con el desarrollo de la matriz efectuada por la Gerencia de Operaciones y
Subgerencia de Infraestructura Tecnológica se evidencia la fuerte y débil
relación existente entre los indicadores claves y eventos críticos de riesgo
96
concluyendo así que existen aspectos importantes para la prevención de
pérdidas de alianzas estratégicas con el sistema de operaciones de tarjetas de
crédito existente.
Adicionalmente a través de un Análisis 80-20 se valida la importancia que
poseen los indicadores Severidad en Control de Fraudes, Impacto de Fraudes
en T/C, Tiempos de Resolución de Fraudes y Productividad en Gestión de
Fraudes para la consecución de los factores claves de éxito en esta unidad de
negocio; cabe señalar que indicadores como Heurística de Tecnologías
Analíticas de Fraudes y Frecuencia de Fraudes en T/C deben recibir una
atención prioritaria en la redefinición de sus alineaciones estratégicas con la
finalidad de incrementar su potencial de evaluación del riesgo operativo.
Gráfica 3.1 Diagrama de Pareto del Scoring Promedio Ponderado de los KRIs 3.3.2. Análisis GAP de Indicadores Claves de Riesgo La segunda herramienta de análisis en este estudio comprende una evaluación
exhaustiva de los indicadores claves de riesgo frente a sus ámbitos de control
establecidos por la Jefatura de Gestión y Prevención de Fraudes en conjunto
con la Gerencia de Operaciones de Tarjetas de Crédito cuyo resultado
97
expresado gráficamente a través de una matriz de desempeño acredita la
fiabilidad, validez, sencillez y comparabilidad de su información como la
eficiencia, eficacia, calidad, economía y ecología del sistema de medición que
aporta cada uno a la gestión y control del riesgo operativo de la institución
financiera.
Gráfica 3.2 Diagrama de Pareto del Scoring Promedio de los KRIs
Finalmente por medio de un Análisis 80-20 se ratifica la importancia de los
indicadores Impacto de Fraudes en T/C, Frecuencia de Fraudes en T/C,
Severidad en Control de Fraudes y Tiempos de Resolución de Fraudes en los
mecanismos de control en este departamento; cabe señalar que indicadores
como Productividad en Gestión de Fraudes y Heurística de Tecnologías
Analíticas de Fraudes deben recibir una atención prioritaria en la redefinición de
sus sistemas de medición con el objetivo de incrementar su potencial de mejora
continua para la cuantificación del riesgo operativo de la entidad financiera.
El esquema de evaluación de los indicadores claves de riesgo a través de las
dimensiones de control que proporciona esta herramienta de aseguramiento de
la calidad se encuentra especificado en el Anexo No. 3 de este proyecto.
98
CAPÍTULO IV
SISTEMA DE INDICADORES CLAVES DE RIESGO
4.1. Modelos de Datos 4.1.1. Modelo Punto
Figura 4.1 Modelo Punto del SKRI de ICE Bank F.G.
99
Este modelo diseñado en conjunto con la Gerencia de Operaciones de Tarjetas
de Crédito y Subgerencia de Infraestructura Tecnológica está compuesto por 7
dimensiones que garantizan la estabilización e implementación de los
indicadores claves de riesgo.
La creación de este esquema conceptual permitió la redefinición de los ámbitos
de control que brindan un soporte técnico y científico a la Base de Eventos de
Pérdida (BEP) como al Sistema Sentinel Prevention de ICE Bank F.G.
4.2. Modelo Datamart El modelo Datamart de ICE Bank F.G. está diseñado para monitorear
transacciones dudosas, analizar datos cuyos resultados identifiquen nuevos
patrones y refinen los motores de alertas de fraude, así como también
administrar eficientemente casos de potencial fraude y dar aviso a las
autoridades respectivas.
Como fase inicial de la carga de información en este modelo, se debe obtener
la fuente de registros del departamento, en este caso la Base de Eventos de
Pérdida que contiene todo los fraudes en tarjetas de crédito suscitados desde
el 1 de Enero al 31 de Diciembre del 2009; información que es almacenada por
cada Analista de Gestión y Prevención de Fraudes en un archivo electrónico en
Microsoft Excel luego del análisis realizado en los sistemas Sentinel
Prevention, SysCard y Credit Report; información que es compartida con la
Gerencia de Operaciones en Tarjetas de Crédito vía FTP para la toma de
decisiones.
La Base de Eventos de Pérdida sistematizada en Microsoft Access contiene las
tablas lock-up o dimensionales que proporcionarán la información a la
Datamart las cuales son:
100
Figura 4.2 Dimensiones de Base de Eventos de Pérdida (BEP)
Luego de tener habilitada la base operativa, se construyó el esquema
multidimensional que para el presente estudio está representado por un star
schema que concuerda con las tablas dimensionales desnormalizadas y los
requerimientos técnicos de la Subgerencia de Infraestructura Tecnológica.
4.2.1. Hecho Fraudes
Esta tabla fact fue diseñada para el análisis del riesgo operativo del
Departamento de Gestión y Prevención de Fraudes en Tarjetas de Crédito.
Figura 4.3 Hecho Fraudes
El hecho fraudes está relacionado con las tablas auxiliares de agentes de
gestión de fraudes, tecnologías de detección de fraudes, esquemas de fraude,
101
localidades, marcas de tarjetas de crédito, tarjetahabientes y tiempos de
resolución de fraudes en tarjetas de crédito.
Las medidas que se analizan en este hecho son el cupo de la tarjeta de crédito
como el monto de fraude; información que se encuentra registrada en la Base
de Eventos de Pérdida de ICE Bank F.G.
El modelo relacional de nuestra datamart integrado por la tabla fact Fraudes y
las tablas lock-up Agentes, Localidades, Esquemas, Detección,
Tarjetahabientes, Tiempos y Marcas se encuentra detallado en el Anexo No. 4
de esta investigación.
4.3. Sistema de Indicadores Claves de Riesgo
Figura 4.4 Sistema de Indicadores Claves de Riesgo (SKRI)
Este producto de Business Intelligence fue diseñado con el propósito de
contribuir a la mejora continua de los recursos de información dinámica y del
desempeño organizacional, proveyendo a ICE Bank F.G. de un método para
evaluar sus actividades en términos de la visión y estrategia de mitigación de
riesgos corporativos.
102
Figura 4.5 Cuadro de Mando Integral de KRIs
En la opción Cuadro de Mando Integral de KRIs se presentará el desempeño
de cada indicador expresado gráficamente a través de odometros; al
seleccionar uno de ellos se presentará el dashboard correspondiente que
mostrará un resumen estadístico, señales de tendencia como gráficos y tablas
dinámicas que avalan el mecanismo de optimización empresarial de ICE Bank
F.G. enfocado hacia la maximización del ROI y minimización del VaR.
Adicionalmente en esta opción se podrá visualizar la descripción de los
objetivos, factores claves de riesgo, sistemas de medición, formulación
matemática, responsables de monitoreo y niveles de escalamaniento de cada
uno de los indicadores planteados en este estudio que fueron evaluados y
rediseñados bajo las directrices de la Matriz de Diseño y Analisis GAP de KRI.
A continuación se detalla el análisis de cada indicador clave de riesgo como
soporte crítico para responder a los problemas que originan los diversos
esquemas de fraude en tarjetas de crédito.
103
4.3.1. Impacto de Fraudes en Tarjetas de Crédito
Gráfica 4.1 Dashboard de Impacto de Fraudes en Tarjetas de Crédito
El resumen gráfico estadístico de este indicador negativo nos muestra que la
efectividad en el control de pérdidas monetarias durante todo el periodo circular
del año 2009 fue del 51% generando un impacto promedio de $113,132
mensuales y $2’777,083 anuales, incumpliendo así el objetivo establecido por
la Gerencia de Operaciones en T/C, teniendo como principales causas las
elevadas pérdidas suscitadas en los meses de Mayo y Diciembre originadas en
un 80% por esquemas delictivos como robos de tarjetas de crédito, clonación
de tarjetas de crédito y consumos realizados por los tarjetahabientes en
internet, vía telefónica y correo electrónico.
De acuerdo a estos resultados existe en el futuro una fuerte tendencia a la baja
de las fugas de capital ocasionadas por robos de tarjetas de crédito y
suplantación de identidad del cliente, por lo que son fortalezas que deben de
destacarse en la administración del Departamento de Prevención y Control de
Fraudes en Tarjetas de Crédito.
104
4.3.2. Frecuencia de Fraudes en Tarjetas de Crédito
Gráfica 4.2 Dashboard de Frecuencia de Fraudes en Tarjetas de Crédito
El resumen gráfico estadístico de este indicador negativo nos muestra que el
desempeño en el control de la frecuencia de fraudes durante todo el periodo
económico del año 2009 fue del 47% generando una incidencia promedio de 60
casos de fraudes mensuales y 717 casos de fraudes anuales, incumpliendo así
el objetivo establecido por la Gerencia de Operaciones en T/C, teniendo como
principal causa un elevado nivel de siniestros suscitados en los meses de
Febrero, Mayo y Diciembre originados en un 80% por esquemas delictivos
como clonación de tarjetas bancarias y consumos realizados por los
tarjetahabientes en internet, vía telefónica y correo electrónico.
De acuerdo a estos resultados existe en el futuro una fuerte tendencia a la baja
de los casos de fraude ocasionadas por suplantación de identidad del cliente y
moderada en robos y extravíso de tarjetas bancarias, por lo que son fortalezas
que deben de destacarse en la administración del Departamento de
Prevención y Control de Fraudes en Tarjetas de Crédito.
105
4.3.3. Heurística de Tecnologías Analíticas de Detección de Fraudes
Gráfica 4.3 Dashboard de Heurística de Tecnologías Analíticas de Fraudes
El resumen gráfico estadístico de este indicador positivo nos muestra que la
eficacia en el monitoreo heurístico de las tecnologías analíticas de fraudes
durante todo el periodo circular del año 2009 fue del 86% generando una
detectabilidad promedio mensual por estrategia de 19 casos de fraudes,
cumpliendo satisfactoriamente el objetivo establecido por la Subgerencia de
Infraestructura Tecnológica, teniendo como principal factor clave de éxito un
elevado nivel de hallazgos suscitados en los meses de Enero, Febrero, Marzo
Mayo, Junio y Septiembre originados en un 80% por mecanismos de como
regulaciones de comercios afiliados, redes neuronales, arboles de decisión y
análisis de contracargos en los estados de cuenta de los tarjetahabientes.
De acuerdo a estos resultados existe en el futuro una fuerte tendencia a la baja
del nivel de detectabilidad en las políticas departamentales de Riesgos y
Auditoría como moderada en los niveles de riesgo crediticio del tarjetahabiente;
por lo que son oportunidades de mejora que deben de considerarse en la
administración de la Subgerencia de Infraestructura Tecnológica.
106
4.3.4. Productividad en Gestión de Fraudes
Gráfica 4.4 Dashboard de Productividad en Gestión de Fraudes de Tarjetas de Crédito
El resumen gráfico estadístico de este indicador positivo nos muestra que el
nivel de eficiencia y competitividad de los recursos humanos utilizados para la
gestión de fraudes durante todo el ejercicio fiscal del año 2009 fue del 53%
generando una productividad promedio mensual de 13 casos gestionados por
agente, incumpliendo el objetivo establecido por la Dirección Ejecutiva en
Tarjetas de Crédito, teniendo como principal causa un bajo nivel de rendiminto
global en el mes Marzo originado en un 80% por la carga de trabajo de los
Analistas de Gestión y Prevención de Fraudes Billy Blackman y Kelly Raymond.
De acuerdo a estos resultados existen brechas significativas en la
productividad global de Billy Blackman y Kelly Raimond como una moderada
tendencia a la baja en el rendimiento laboral de Susan Sanders teniendo en
cuenta la sobrecarga de trabajo de John Scheider, por lo que son
oportunidades de mejora que deben de analizarse en la administración del
Departamento de Prevención y Control de Fraudes en Tarjetas de Crédito.
107
4.3.5. Tiempos de Resolución de Fraudes
ç
Gráfica 4.5 Dashboard de Tiempos de Resolución de Fraudes en Tarjetas de Crédito
El resumen gráfico estadístico de este indicador negativo nos muestra que el
grado de cumplimiento de los acuerdos de niveles de servicio con clientes y
organismos de control en la resolución de eventos de fraude durante todo el
periodo circular del año 2009 fue del 47% generando un tiempo de resolución
promedio mensual de 32 días por caso gestionado, incumpliendo el objetivo
establecido por la Jefatura de Gestión y Prevención de Fraudes en Tarjetas de
Crédito, teniendo como principal causa un tiempo de gestión regular en todos
los meses del año en estudio. originado en un 80% por la focalización de
recursos exclusicamente para la resolución de fraudes como clonación de
tarjetas de crédito, suplantación de identidad de los clientes y consumos
realizados en internet, vía telefónica y correo electrónico.
De acuerdo a estos resultados existe una fuerte tendencia a la baja de los
tiempos de resolución de casos de suplantación de identidad como
cumplimiento de las disposiciones instituidas por la SBS; fortalezas que
destacan la administración de la Dirección Ejecutiva de Tarjetas de Crédito.
108
4.3.6. Severidad en Control de Fraudes
Gráfica 4.6 Dashboard de Severidad en Control de Fraudes en Tarjetas de Crédito El resumen gráfico estadístico de este indicador negativo nos muestra que el
índice de madurez de los controles internos utilizados para la gestión y
prevención de las topologias de fraude durante todo el ejercicio económico del
año 2009 fue del 34% generando una severidad promedio mensual del 66%,
incumpliendo el objetivo establecido por la Gerencia de Operaciones en T/C,
teniendo como principal causa un alto margen de tolerancia en los meses de
Marzo, Julio y Septiembre originado en un 80% por esquemas delictivos como
clonación de tarjetas de crédito, consumos realizados por los tarjetahabientes
en internet, vía telefónica, correo electrónico como robos y extravíos de tarjetas
bancarias.
De acuerdo a estos resultados existe en el futuro un notable nivel de confianza
en la predicción de casos de suplantación de identidad, por lo que es un
importante logro a resaltar en la administración del Departamento de
Prevención y Control de Fraudes en Tarjetas de Crédito.
109
CAPÍTULO V
ANÁLISIS ESTRATÉGICO DE INDICADORES CLAVES DE
RIESGO
5.1. Análisis Estadístico Descriptivo de Base de Eventos de Pérdida 5.1.1. Pérdida Monetaria en Fraudes de Tarjetas de Crédito
120000900006000030000
Mediana
Media
50000450004000035000
1er cuartil 26623
Mediana 42027
3er cuartil 53269
Máximo 129526
37395 50185
33793 47886
19250 28486
A -cuadrado 1,07
V alor P 0,008
Media 43790
Desv .Est. 22970
V arianza 527615004
A simetría 1,34601
Kurtosis 2,88513
N 52
Mínimo 13665
Prueba de normalidad de A nderson-Darling
Interv alo de confianza de 95% para la media
Interv alo de confianza de 95% para la mediana
Interv alo de confianza de 95% para la desv iación estándar
Intervalos de confianza de 95%
Resumen Estadístico para Monto de Fraude en T/C
Gráfica 5.1 Resumen Estadístico de Impacto de Fraudes en Tarjetas de Crédito
Analizando la volatilidad de las pérdidas monetarias por esquemas de fraudes
en tarjetas de crédito, se puede inferir a un 95% de confianza que las pérdidas
esperadas oscilan entre los $37,795 a $50,185; así como poco factible
observar que la institución financiera asuma a un 75% de confiabilidad una
carga de capital superior a los $53,269, considerando que la distribución de
probabilidad de esta variable estocástica tiene colas pesadas y es sesgada a la
derecha.
110
Para constatar que la variación de los datos siguen una distribución normal, se
aplicó el test de Anderson-Darling que pone mayor enfasis en los valores en las
colas, obteniendo así un nivel de significancia observada para el ajuste
relativamente bajo, permitiendo concluir que los percentiles de la distribución
empírica no son similares a los de una distribución paramétrica normal.
5.1.2. Frecuencia de Fraudes en Tarjetas de Crédito
40302010
Mediana
Media
1615141312
1er cuartil 9,000
Mediana 13,000
3er cuartil 16,000
Máximo 47,000
11,815 15,762
11,503 15,000
5,941 8,791
A -cuadrado 1,61
V alor P < 0,005
Media 13,788
Desv .Est. 7,089
V arianza 50,248
A simetría 2,22325
Kurtosis 8,71160
N 52
Mínimo 3,000
Prueba de normalidad de A nderson-Darling
Interv alo de confianza de 95% para la media
Interv alo de confianza de 95% para la mediana
Interv alo de confianza de 95% para la desv iación estándar
Intervalos de confianza de 95%
Resumen Estadístico de Frecuencia de Fraudes en T/C
Gráfica 5.2 Resumen Estadístico de Frecuencia de Fraudes en Tarjetas de Crédito Analizando la volatilidad de la incidencia de esquemas de fraudes en tarjetas
de crédito, se puede evidenciar que es muy probable receptar entre 13 a 15
eventos de fraude semanales; de la misma manera, a un 75% de confianza, es
poco factible observar que la institución financiera tenga una coyuntura
semanal superior a los 16 casos de estafa en tarjetas bancarias.
Para constatar que la variación de los datos siguen una distribución normal, se
aplicó el test de Anderson-Darling que pone mayor enfasis en los valores en las
colas, obteniendo así un nivel de significancia observada para el ajuste
111
relativamente bajo, permitiendo concluir que los percentiles de la distribución
empírica no son similares a los de una distribución paramétrica normal.
5.1.3. Tiempo de Resolución de Fraudes en Tarjetas de Crédito
70605040302010
Mediana
Media
40,037,535,032,530,0
1er cuartil 10,000
Mediana 38,000
3er cuartil 51,000
Máximo 75,000
31,159 34,247
35,773 40,000
20,022 22,209
A -cuadrado 31,66
V alor P < 0,005
Media 32,703
Desv .Est. 21,058
V arianza 443,444
A simetría -0,04006
Kurtosis -1,46342
N 717
Mínimo 3,000
Prueba de normalidad de A nderson-Darling
Interv alo de confianza de 95% para la media
Interv alo de confianza de 95% para la mediana
Interv alo de confianza de 95% para la desv iación estándar
Intervalos de confianza de 95%
Resumen Estadístico de Tiempos de Resolución de Fraudes en T/C
Gráfica 5.3 Tiempos de Resolución de Fraudes en Tarjetas de Crédito Analizando la volatilidad de los tiempos de resolución de fraudes en tarjetas de
crédito, se puede deducir a un 95% de confianza que los tiempos promedio de
respuesta a los tarjetahabientes afectados oscilan entre los 31 a 34 días; de la
misma manera es poco factible observar que la institución financiera a un nivel
de confiabilidad del 75% tarde mas de 51 días en atender estos reclamos.
Para constatar que la variación de los datos siguen una distribución normal, se
aplicó el test de Anderson-Darling que pone mayor enfasis en los valores en las
colas, obteniendo así un nivel de significancia observada para el ajuste
relativamente bajo, permitiendo concluir que los percentiles de la distribución
empírica no son similares a los de una distribución paramétrica normal.
112
5.1.4. Esquemas de Fraude en Tarjetas de Crédito
Gráfica 5.4 Esquemas de Fraudes en Tarjetas de Crédito
A través de esta gráfica se puede observar que existió un alto nivel delictivo en
los meses de Febrero, Abril, Mayo y Diciembre en el ejercicio económico del
2009, siendo las topologías de fraude mas incidentes el skimming, el robo y el
extravío de tarjetas de crédito.
Por medio de la matriz de correlación expuexta en esta sección, se puede
evidenciar que no existe mayormente una fuerte correlación positiva o negativa
entre los esquemas de fraude en estudio, pero aplicando ciertos modelos de
análisis multivariado de datos como la regresión cúbica y la suavización
lowess, es posible identificar que en el comportamiento de los eventos de
pérdida, existe una relación directamente proporcional en fraudes como el
phishing y los consumos transaccionales con tarjeta no presente, así como
inversamente proporcional en casi la mayoría de las variables analizadas.
Como conclusión relevante de estas técnicas estadísticas, se puede inferir que
los esquemas de fraude en tarjetas de crédito son fuentes heterogeneas de
aleatoriedad, por lo que la institución financiera debe focalizar mayores
esfuerzos en la prevención y control de la ocurrencia de estos eventos.
0
10
20
30
40
50
60
70
80
90
100
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
Gráfico de Barras Apilado - Esquema de Fraudes
ACT EXT PHT RBT TNP
113
20
15
10
20100
24168 40200
24
16
8
20
10
040
20
0
201510
20
10
0
20100
ACT
EXT
PHT
RBT
TNP
Regresión Cúbica
Suavización Lowess
Métodos de Ajuste
Gráfica de Matriz de Correlación - Esquemas de Fraude en T/C
Gráfica 5.5 Matriz de Correlación de Esquemas de Fraudes en Tarjetas de Crédito
5.1.5. Tecnologías Analíticas de Detección de Fraudes
Gráfica 5.6 Tecnologías de Detección Fraudes en Tarjetas de Crédito
A través de esta gráfica se puede observar que existió un mayor nivel de
hallazgos en los meses de Febrero, Abril, Mayo y Diciembre en el ejercicio
0
10
20
30
40
50
60
70
80
90
100
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
Gráfica de Barras Apilada - Tecnologías de Detección
ADS PRA SMN RCI SCR ACS
114
económico del 2009, siendo las tecnologías analíticas de fraude mas
sobresalientes las redes neuronales, analisis de contracargos y las
regulaciones de los comercios afiliados.
Por medio de la matriz de correlación expuexta en esta sección, se puede
evidenciar que no existe mayormente una fuerte correlación positiva o negativa
entre los mecanismos de detección en estudio, pero aplicando ciertos modelos
de análisis multivariado de datos como la regresión cúbica y la suavización
lowess, es posible identificar que en el comportamiento de los niveles de
detectabilidad, existe una relación directamente proporcional en casi la mayoría
de los métodos heurísticos analizados.
20100 15105 15105
18
12
6
20
10
0 20
10
0
15
10
5
15
10
5
18126
15
10
5
15105 15105
ADS
PRA
SMN
RCI
SCR
ACS
Regresión Cúbica
Suavización Lowess
Métodos de Ajuste
Gráfica de Matriz de Correlación - Tecnologías de Detección de Fraudes en T/C
Gráfica 5.7 Matriz de Correlación de Tecnologías de Analíticas de Fraudes en T/C
Como conclusión relevante de estas técnicas estadísticas, se puede inferir que
las herramientas analíticas evaluadas son fuentes homogeneas de aleatoriedad
y parte de un software sofisticado de prevención y control de fraudes en T/C.
115
5.1.6. Productividad de Gestores en Fraudes de Tarjetas de Crédito
Gráfica 5.8 Tendencia en Productividad de Gestión de Fraudes (Frecuencia)
Con el análisis de esta gráfica de evaluación de productividad por Analista de
Gestión y Prevención de Fraudes se puede evidenciar que John Schneider
sobresale en su carga de trabajo asignada, siendo así el agente más eficiente
en la resolución de fraudes por grado de incidencia.
Gráfica 5.9 Tendencia en Productividad de Gestión de Fraudes (Impacto)
0
5
10
15
20
25
30
35
40
45
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
Línea de Tendencia en Productividad por Eventos de Fraude
Billy Blackman John Schneider
Kelly Raimond Susan Sanders
0
50000
100000
150000
200000
250000
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
Línea de Tendencia en Productividad por Pérdida en Fraudes
Billy Blackman John Schneider
Kelly Raimond Susan Sanders
116
Esta misma aseveración es corroborada con la gráfica de evaluación de
productividad diseñada por nivel de pérdida monetaria que tambien ratifica el
bajo desempeño de agentes como Billy Blackman y Susan Sanders producto
de la experiencia en la administración de las instrucciones fiscales.
5.1.7. Severidad de Fraudes en Marcas de Tarjetas de Crédito
Gráfica 5.10 Distribución de Impacto y Frecuencia de Fraudes por Marca de T/C
A través de esta gráfica estadística se puede validar que la incidencia de
fraudes es mayor en tarjetas de crédito Visa (249 casos); sin embargo
considerando el nivel de riesgo de materialización de estos esquemas de
fraude, es notorio el impacto económico originado por la marca MasterCard
($797,588.55), dando como resultado un total de 717 eventos de fraude y
pérdidas monetarias de $2’277,083 registradas por transacciones realizadas
con marcas de tarjetas de crédito Discover, Visa y MasterCard durante el
periodo de Enero a Diciembre del año 2009.
La mayoría de las compañías de tarjetas de crédito han desarrollado
tecnologías e iniciativas innovadoras para ayudar a identificar actividades
fraudulentas y actúar sin demora a fin de detener el mal uso de las tarjetas
bancarias una vez que lo detectan; es por ello que ICE Bank F.G. como parte
de sus buenas prácticas de gobierno corporativo, brinda retroalimentación
continua sobre la severidad de los esquemas delictivos a las marcas Visa,
MasterCard y Discover a través de las estadísticas expuestas a continuación:
117
5.1.7.1. Severidad en Tarjetas de Crédito Discover
Gráfica 5.11 Diagrama de Burbujas de Severidad de Fraudes en Discover
En esta marca de tarjeta de crédito se registraron 228 casos de fraude y un
total de pérdidas monetarias de $737,682.36 al cierre del año 2009; siendo los
meses más severos Abril, Julio y Diciembre.
5.1.7.2. Severidad en Tarjetas de Crédito MasterCard
Gráfica 5.12 Diagrama de Burbujas de Severidad de Fraudes en MasterCard
En esta marca de tarjeta de crédito se registraron 240 casos de fraude y un
total de pérdidas monetarias de $797,588.55 al cierre del año 2009; siendo los
meses más severos Febrero, Julio, Septiembre, Noviembre y Diciembre.
0
5
10
15
20
25
30
35
0 1 2 3 4 5 6 7 8 9 10 11 12 13
Fre
cue
nci
a d
e F
rau
de
Mes
Diagrama de Burbujas - Severidad en Tarjetas de Crédito Discover
Pérdida ($)
0
5
10
15
20
25
30
35
40
45
0 1 2 3 4 5 6 7 8 9 10 11 12 13
Fre
cue
nci
a d
e F
rau
de
Mes
Diagrama de Burbujas - Severidad en Tarjetas de Crédito MasterCard
Pérdida ($)
118
5.1.7.3. Severidad en Tarjetas de Crédito Visa
Gráfica 5.13 Diagrama de Burbujas de Severidad de Fraudes en Visa
En esta marca de tarjeta de crédito se registraron 249 casos de fraude y un
total de pérdidas monetarias de $741,812.54 al cierre del año 2009; siendo los
meses más severos Abril, Mayo, Julio, Octubre, Noviembre y Diciembre.
5.1.8. Localización de Fraudes en Tarjetas de Crédito
DicNovOctSepAgoJulJunMayAbrMarFebEne
100
80
60
40
20
0
Mes
Nú
me
ro d
e F
rau
de
s
Exterior
Nacional
Localidad
97
64
51
41
55
61
47
81
72
30
75
43
51
34
1822
3030
21
41
34
13
41
16
Gráfica de Área - Localización de Fraudes en Tarjetas de Crédito
Gráfica 5.14 Diagrama de Área de Localización de Fraudes en Tarjetas de Crédito
0
5
10
15
20
25
30
35
40
45
0 1 2 3 4 5 6 7 8 9 10 11 12 13
Fre
cue
nci
a d
e F
rau
de
Mes
Diagrama de Burbujas - Severidad en Tarjetas de Crédito Visa
Pérdida($)
119
Por medio de la evaluación de esta gráfica de localidad, se evidencia
claramente que los eventos de fraude en tarjetas de crédito mas frecuentes son
originados por los consumos realizados en el exterior, siendo esta categoría un
4.27% mas incidente que las transacciones registradas a nivel nacional.
5.1.9. Perfiles del Riesgo de Fraude del Tarjetahabiente
Gráfica 5.15 Distribución de Perfiles de Riesgo de Fraude del Tarjetahabiente Dadas las estadísticas expuestas en esta gráfica, finalmente se concluye que el
candidato más probable a ser victima de fraudes en tarjetas de crédito es el
cliente de género masculino, de unión libre, titular de una tarjeta bancaria Visa
Clásica que realiza sus consumos generalmente en el exterior.
120
5.2. Control Estadístico de la Calidad en Procesos El objetivo de esta sección es brindar a la Dirección Ejecutiva de Tarjetas de
Crédito una herramienta de control de calidad que le indique si el Proceso de
Gestión y Prevención de Fraudes de Tarjetas de Crédito esta dentro o fuera de
control estadístico por medio de la información registrada en la Base de
Eventos de Pérdida que se encuentra detallada en el Anexo No. 5 de esta
investigación.
5.2.1. Control de Incidencia de Fraudes en Tarjetas de Crédito Debido a que se esta analizando un proceso en el que solo se dispone de una
única muestra de 52 observaciones individuales recopiladas semanalmente, es
necesario generar una gráfica I-MR para verificar si el Proceso de Gestión y
Prevención de Fraudes en Tarjetas de Crédito esta bajo control.
> 5% 0%
NoSí
7,7%
estable.
control en virtud de las probabilidades, aunque el proceso sea
cuenta que usted puede ver un 0.7% de puntos fuera de
datos (7,7%) están fuera de control en la gráfica I. Tenga en
La media del proceso pudiera no ser estable. 4 puntos de51464136312621161161
4
3
2
1
Observación
Dato
s t
ran
sfo
rmad
os
_X=2,513
LCS=3,697
LCI=1,328
51464136312621161161
1,5
1,0
0,5
0,0
Observación
Ran
go
mó
vil
__MR=0,445
LCS=1,455
LCI=0
Comentarios
Gráfica I-MR para Frecuencia de Fraudes en Tarjetas de Crédito
Informe de Resumen
¿Es estable la media del proceso?
Evalúe el % de puntos fuera de control.Gráfica I
Investigue los puntos fuera de control.
Gráfica MR
Investigue los puntos fuera de control.
Gráfica 5.16 Informe de Resumen para Gráfica I-MR de Incidencia de Fraudes en T/C
121
Al ingresar estos datos del proceso al Project Manager del Minitab 16.0 y
especificar que los limites de control y la línea central de este diagrama serán
estimados a partir de la información ingresada, se pudo observar
preliminarmente que algunos puntos de datos estan fuera de control (casos de
fraudes registrados en las semana 45 del mes de Noviembre como 51 y 52 del
mes de Diciembre y que estan fuera de los limites de control inferior y superior),
los cuales fueron excluidos del cálculo con el objetivo de evitar la
desestabilización del proceso.
Con el propósito de interpretar correctamente los gráficos generados, resulta
imprescindible que las observaciones provengan de una distribución normal;
debido a que los datos son parte de una distribución notablemente asimétrica
se aplicó la Transformación Box-Cox para inducir normalidad y evitar el
incremento de falsas alarmas sobre el comportamiento de los eventos
delictivos.
Gráfica 5.17 Informe de Estabilidad para Gráfica I-MR de Incidencia de Fraudes en T/C
3,6
2,4
1,2Dato
s t
ran
sfo
rmad
os
_X=2,513
LCS=3,697
LCI=1,328
51464136312621161161
2
1
0
Observación
Ran
go
mó
vil
__MR=0,445
LCS=1,455
LCI=0
I Valor inusualmente pequeño 25
Valor inusualmente grande 51
Cambio en la media de los datos 22; 23
MR Rango móvil inusualmente grande 26; 52
Gráfica Razón Puntos fuera de control
Gráfica I-MR para Frecuencia de Fraudes en Tarjetas de Crédito
Informe de Estabilidad
Se realizó una transformación de Box-Cox con lambda = 0.
¿Es estable del proceso?
Investigue los puntos fuera de control. Busque patrones y tendencias.
122
A través de los informes de estabilidad y de resumen estadístico de la gráfica I-
MR generado por este paquete estadístico, se puede concluir que la media y la
variación del Proceso de Gestión y Prevención de Fraudes en Tarjetas de
Crédito pudieran no ser estables a causa de las siguientes razones:
Cuatro observaciones (7.7%) están fuera de control en la gráfica I (el número
de fraudes suscitados en la semana 25 del mes de Julio es inusualmente
pequeño, el número de casos registrados en la semana 51 del mes de
Diciembre es inusualmente grande y los fraudes notificados en la semanas 22 y
23 del mes de Junio distorsionan la media de los datos).
Dos observaciones (3.8%) estan fuera de control en la gráfica MR (el rango
móvil es inusualmente grande en la semana 26 de mes de Julio y 52 del mes
de Diciembre), lo cual podría afectar la validez de los limites de control en la
gráfica I.
Se puede identificar tambien que un 0.7% de observaciones estan fuera de
control en la gráfica I y un 0.9% de puntos estan fuera de control en la gráfica
MR en virtud de las probabilidades, aunque el proceso sea ligeramente estable.
Los datos transformados pasaron la prueba de normalidad gracias a su
transformación como tambien la prueba de correlación dado que este
coeficiente entre puntos de datos consecutivos es menor que 0.2; pero al existir
observaciones fuera de los limites de control esto ratifica que el sistema de
causas aleatorias que provocaba la variabilidad habitual de las observaciones
ha sido alterado por la aparición de una causa o causas especiales que son
necesarias descubrir y eliminar.
La Gerencia de Operaciones debe investigar con el Departamento de Gestión y
Prevención de Fraudes en Tarjetas de Crédito las causas asignables y no
asignables que desvian al proceso de su comportamiento habitual; una vez
eliminadas las fuentes del problema, se podrá continuar con la gestión normal
del proceso en estudio. De no ser posible su reducción, la Dirección Ejecutiva
123
de Tarjetas de Crédito debe de coordinar una reingeniería integral del proceso
o la modificación de algunas actividades que lo componen.
5.2.2. Control de las Pérdidas por Fraudes en Tarjetas de Crédito Con la información concerniente a la incidencia de fraudes en tarjetas de
crédito, se pudo inferir que el proceso esta fuera de control estadístico, sin
embargo la Dirección Ejecutiva de Tarjetas de Crédito solicitó que para el
análisis tambien se considere las pérdidas monetarias ocasionadas por los
esquemas delictivos a fin de tener un segundo sistema de medición que valide
las conclusiones planteadas en la seccion anterior.
Debido a que se esta analizando un proceso en el que solo se dispone de una
única muestra de 52 observaciones individuales recopiladas semanalmente, es
necesario generar una gráfica I-MR para validar la hipótesis de descontrol del
proceso en estudio.
Gráfica 5.18 Informe de Resumen para Gráfica I-MR de Impacto de Fraudes en T/C
> 5% 0%
NoSí
1,9%
virtud de las probabilidades, aunque el proceso sea estable.
cuenta que puede ver un 0.7% de puntos fuera de control en
datos (1,9%) está fuera de control en la gráfica I. Tenga en
La media del proceso pudiera no ser estable. 1 punto de los51464136312621161161
150000
100000
50000
0
Observación
Perd
ida
_X=43790
LCS=101795
LCI=-14215
51464136312621161161
100000
50000
0
Observación
Ran
go
mó
vil
__MR=21810
LCS=71259
LCI=0
Comentarios
Gráfica I-MR para Pérdidas Semanales por Fraudes en Tarjetas de Crédito
Informe de Resumen
¿Es estable la media del proceso?
Evalúe el % de puntos fuera de control.Gráfica I
Investigue los puntos fuera de control.
Gráfica MR
Investigue los puntos fuera de control.
124
Al ingresar estos datos del proceso al Project Manager del Minitab 16.0 y
especificar que los limites de control y la línea central de este diagrama serán
estimados a partir de la información ingresada, se pudo observar
preliminarmente que algunos puntos de datos estan fuera de control (pérdidas
monetarias registradas en las semana 48 del mes de Noviembre como 51 y 52
del mes de Diciembre y que estan fuera de los limites de control inferior y
superior), los cuales fueron excluidos del cálculo con el objetivo de evitar la
desestabilización del proceso.
Con el propósito de interpretar correctamente los gráficos generados, resulta
imprescindible que las observaciones provengan de una distribución normal;
debido a que los datos son parte de una distribución notablemente asimétrica
se aplicó la Transformación Box-Cox para inducir normalidad y evitar el
incremento de falsas alarmas sobre el comportamiento de las pérdidas
monetarias.
100000
50000
0
Perd
ida
_X=43790
LCS=101795
LCI=-14215
51464136312621161161
100000
50000
0
Observación
Ran
go
mó
vil
__MR=21810
LCS=71259
LCI=0
I Valor inusualmente grande 51
MR Rango móvil inusualmente grande 48; 51; 52
Gráfica Razón Puntos fuera de control
Gráfica I-MR para Pérdidas Semanales por Fraudes en Tarjetas de Crédito
Informe de Estabilidad
¿Es estable del proceso?
Investigue los puntos fuera de control. Busque patrones y tendencias.
1 Gráfica 5.19 Informe de Estabilidad para Gráfica I-MR de Impacto de Fraudes en T/C
125
A través de los informes de estabilidad y de resumen estadístico de la gráfica I-
MR generado por este paquete estadístico, se puede concluir que la media y la
variación del Proceso de Gestión y Prevención de Fraudes en Tarjetas de
Crédito pudieran no ser estables a causa de las siguientes razones:
Una observación (1.9%) están fuera de control en la gráfica I (el número de
casos registrados en la semana 51 del mes de Diciembre es inusualmente
grande.
Tres observaciones (5.8%) estan fuera de control en la gráfica MR (el rango
móvil es inusualmente grande en la semana 48 de mes de Noviembre como 51
y 52 del mes de Diciembre), lo cual podría afectar la validez de los limites de
control en la gráfica I.
Se puede identificar tambien que un 0.7% de observaciones estan fuera de
control en la gráfica I y un 0.9% de puntos estan fuera de control en la gráfica
MR en virtud de las probabilidades, aunque el proceso sea ligeramente estable.
Los datos transformados pasaron la prueba de normalidad gracias a su
transformación como tambien la prueba de correlación dado que este
coeficiente entre puntos de datos consecutivos es menor que 0.2.
Al existir observaciones fuera de los limites de control esto ratifica que el
sistema de causas aleatorias que provocaba la variabilidad habitual de las
observaciones ha sido alterado por la aparición de una causa o causas
especiales que son necesarias descubrir y eliminar; sin embargo al considerar
las pérdidas monetarias como una dimensión adicional de análisis, es posible
que no se tenga suficientes datos para estimar limites de control precisos ya
que por lo menos se deberían incluir 100 puntos de datos en los cálculos de
esta carta de control.
En conclusión, debido a que existen variables aleatorias no controlables en
este estudio, se ratifica el descontrol estadístico del Proceso de Gestión y
Prevención de Fraudes en Tarjetas de Crédito.
126
5.3. Análisis de Capacidad y Desempeño de Procesos El objetivo de esta sección es brindar a la Dirección Ejecutiva de Tarjetas de
Crédito una herramienta de evaluación de la capacidad y performance del
Proceso de Gestión y Prevención de Fraudes de Tarjetas de Crédito.
5.3.1. Análisis de Capacidad del Proceso de Gestión de Fraudes en T/C
(Modelo Normal)
12
11
10
Valo
r in
div
idu
al
51464136312621161161
1,6
0,8
0,0
Ran
go
mó
vil
Prueba de normalidad
(Anderson-Darling)
Resultados No pasa Pasa
Valor p 0,008 0,200
Original Transformado
Análisis de Capacidad para Pérdidas Semanales por Fraudes en Tarjetas de Crédito
Informe de Diagnóstico bajo Transformación Box-Cox
Gráfica I-MR (transformada)
Confirme que el proceso es estable.
Gráf. normalidad (lambda = 0,00)
Los puntos deben estar cerca de la línea.
Gráfica 5.20 Informe de Diagnóstico del Proceso de Gestión de Fraudes en T/C
Bajo las supuestos de que el proceso en estudio se encuentra bajo control
estadístico y que las pérdidas monetarias por fraudes en tarjetas de crédito se
ajustan a una distribución continua de probabilidad normal, se procedió a
especificar los límites de especificacion inferior y superior como el valor objetivo
para la media del proceso, tomando en consideración la pérdida mínima
($13,664.52), pérdida máxima ($129,526.23) y pérdida promedio ($43,790.07)
127
calculados en la Base de Eventos de Pérdida que se encuentra detallada en el
Anexo No. 5 de esta investigación.
Debido a que las observaciones son parte de una distribución notablemente
asimétrica, se aplicó la Transformación Box-Cox para cumplir con el supuesto
de normalidad y obtener un cálculo correcto de los índices de capacidad.
Gráfica 5.21 Informe de Capacidad del Proceso de Gestión de Fraudes en T/C
A través de los informes de capacidad y desempeño proporcionados por este
paquete estadístico, se puede concluir que el Proceso de Gestión y Prevención
de Fraudes en Tarjetas de Crédito pudiera no ser capaz de cumplir con las
especificaciones técnicas de la Gerencia de Operaciones por las siguientes
razones:
La capacidad de los indicadores de variabilidad a corto plazo Cp = 0.83 y Cpk =
0.76 nos permiten certificar que el proceso no es capaz de cumplir con la
60
AltoBajo
Nivel Z = 1,84
> 0,50,10,050
NoSí
P = 1,000
1200009000060000300000
LEI Objetivo LES
cliente.
La capacidad real (general) es lo que experimenta el
límites de especificación.
porcentaje de partes del proceso que están fuera de los
-- La tasa de defectuosos es 3,32%, la cual estima el
objetivo (p > 0,05).
-- La media del proceso no difiere significativamente del
Conclusiones
Espec. superior 129526
Objetivo 43790
Espec. inferior 13665
Requerimientos del cliente
Media 43790
Desviación estándar 22970
Capacidad real (general)
Pp 0,72
Ppk 0,66
Z.Bench 1,84
% fuera de espec. 3,32
PPM (DPMO) 33248
Caracterización del proceso
Análisis de Capacidad para Pérdidas Semanales por Fraudes en Tarjetas de Crédito
Informe de Resumen bajo Transformación Box-Cox
¿Es la media del proceso diferente de 43790?
Capacidad real (general)
¿Están los datos dentro de los límites y cerca del objetivo?
Comentarios
¿Qué tan capaz es el proceso?
128
misión estratégica de la Gerencia de Operaciones dado que no superan
significativamente el índice de capacidad potencial estandar (Cpk ≥ 1.33) como
valor mínimo aceptable.
El desempeño de los indices de variabilidad a largo plazo Pp = 0.72 y Ppk =
0.66 nos permiten validar que el proceso no es capaz de cumplir con la visión
estratégica de la Gerencia de Operaciones debido a que no superan
significativamente al índicador de desempeño potencial estandar (Ppk ≥ 1.33)
como valor mínimo aceptable.
1200009000060000300000
LEI Objetivo LES
N Total 52
Tamaño del subgrupo 1
Caracterización del proceso
Cp 0,83
Cpk 0,76
Z.Bench 2,18
% fuera espec. (esperado) 1,46
PPM (DPMO) (esperado) 14556
Real (general)
Pp 0,72
Ppk 0,66
Z.Bench 1,84
% fuera espec. (observado) 3,85
% fuera espec. (esperado) 3,32
PPM (DPMO) (observado) 38462
PPM (DPMO) (esperado) 33248
Posible (dentro de)
Estadísticas de capacidad
La capacidad real (general) es lo que experimenta el cliente.
eliminaran los desplazamientos y desvíos del proceso.
La capacidad potencial (dentro de) es la que se podría alcanzar si se
Análisis de Capacidad para Pérdidas Semanales por Fraudes en Tarjetas de Crédito
Informe de Desempeño del Proceso bajo Transformación Box-Cox
Datos transformados
Histograma de capacidad
¿Están los datos dentro de los límites y cerca del objetivo?
Gráfica 5.22 Informe de Desempeño del Proceso de Gestión de Fraudes en T/C La capacidad sigma del proceso oscila entre 1.84 y 2.18, con lo que se infiere
que el nivel de eficiencia en la gestión y prevención de fraudes en tarjetas de
crédito se encuentra en un rango del 61.8% al 75.8% la cual es experimentada
por el tarjetahabiente.
129
Para finalizar, el número de defectos por millón de oportunidades observado y
esperado (DPMO) nos indica que aproximadamente por cada $1’000,000
detectados como consumos sospechosos, entre $14,556 a $38,462 resultan
ser eventos de pérdidas monetarias ocasionadas por ser transacciones
vulnerables a fraudes en tarjetas de crédito; las cuales impactan entre el 1.46%
y 3.85% a la utilidad neta del estado de pérdidas y ganancias de ICE Bank F.G.
5.3.2. Análisis de Capacidad del Proceso de Gestión de Fraudes en T/C
(Modelo No Normal)
Para este análisis de desempeño del proceso, considerando que los datos a
analizar siguen una distribución notablemente asimétrica, se procedió a
ejecutar el Resumen Capability SixPack de Minitab 16.0 para generar un
informe rápido y completo que permita concluir si el proceso es o no capaz.
51464136312621161161
200000
100000
0
Va
lor
ind
ivid
ua
l
_X=43790
LCS=183578
LCI=8072
51464136312621161161
100000
50000
0
Ra
ng
o m
óv
il
__MR=21810
LCS=71259
LCI=0
5045403530
100000
50000
0
Observación
Va
lore
s
1200009000060000300000
LEI LES
LEI 13665
LES 129526
Especificaciones
10000010000
General
Especificaciones
Ubicación 10,56
Escala 0,5207
Z.Bench 1,84
Ppk 0,63
PPM 33247,65
General
Análisis Capability Sixpack para Pérdidas Semanales por Fraudes en Tarjetas de Crédito
Gráfica I
Gráfica de Rangos Móviles
Últimas 25 Observaciones
Histograma de Capacidad
Gráfica de Probabilidad LogNormalA D: 0,500, P: 0,200
Estadísticas de Capacidad del Proceso
Gráfica 5.23 Capability SixPack de Pérdidas LogNormales en Fraudes de T/C
A través de la inferencia estadística con la distribución de probabilidad
LogNormal, el histograma de capacidad no muestra alguna discrepancia seria
entre el modelo y los datos, ya que la curva muestra un buen ajuste, hipótesis
130
que es aceptada a través del resultado del test de Anderson-Darling; sin
embargo se identifica que algunas observaciones caen fuera de los límites de
especificación inferior y superior, lo que da como resultado que en el monitoreo
de algunas transacciones irregulares, existan pérdidas monetarias inferiores a
los $13,665 y superiores a los $129,526 semanales.
Con la interpretación de las gráficas de capacidad, el valor del índice Ppk (0.63)
es inferior a nuestro valor de referencia (1.33) dando como consecuencia a que
por cada $1’000,000 en consumos, $33,247.65 correspondan a pérdidas
monetarias; con esto se puede concluir que el proceso en estudio no es capaz
de satisfacer los requisitos técnicos de calidad establecidos por los clientes
para el control eficiente de fraudes en tarjetas de crédito.
51464136312621161161
200000
100000
0
Va
lor
ind
ivid
ua
l
_X=43790
LCS=281588
LCI=5457
51464136312621161161
100000
50000
0
Ra
ng
o m
óv
il
__MR=21810
LCS=71259
LCI=0
5045403530
100000
50000
0
Observación
Va
lore
s
1500001200009000060000300000
LEI LES
LEI 13665
LES 129526
Especificaciones
10000010000
General
Especificaciones
Ubicación 10,58
Escala 0,2985
Z.Bench 1,68
Ppk 0,37
PPM 46351,78
General
Análisis Capability SixPack para Pérdidas Semanales por Fraudes en Tarjetas de Crédito
Gráfica I
Gráfica de Rangos Móviles
Últimas 25 Observaciones
Histograma de Capacidad
Gráfica de Probabilidad LogLogísticaA D: 0,536, P: 0,127
Estadísticas de Capacidad del Proceso
Gráfica 5.24 Capability SixPack de Pérdidas LogLogísticas en Fraudes de T/C
A través de la inferencia estadística con la distribución de probabilidad
LogLogística, el histograma de capacidad no muestra alguna discrepancia seria
entre el modelo y los datos, ya que la curva muestra un buen ajuste, hipótesis
que es aceptada a través del resultado del test de Anderson-Darling; sin
131
embargo se identifica que algunas observaciones caen fuera de los límites de
especificación inferior y superior, lo que da como resultado que en el monitoreo
de algunas transacciones irregulares, existan pérdidas monetarias inferiores a
los $13,665 y superiores a los $129,526 semanales.
Con la interpretación de las gráficas de capacidad, el valor del índice Ppk (0.37)
es inferior a nuestro valor de referencia (1.33) dando como consecuencia a que
por cada $1’000,000 en consumos, $46,351.78 correspondan a pérdidas
monetarias; con esto se puede concluir que el proceso en estudio no es capaz
de satisfacer los requisitos técnicos de calidad establecidos por los clientes
para el control eficiente de fraudes en tarjetas de crédito.
51464136312621161161
100000
50000
0
Va
lor
ind
ivid
ua
l
_X=43790
LCS=138227
LCI=5169
51464136312621161161
100000
50000
0
Ra
ng
o m
óv
il
__MR=21810
LCS=71259
LCI=0
5045403530
100000
50000
0
Observación
Va
lore
s
1200009000060000300000
LEI LES
LEI 13665
LES 129526
Especificaciones
10000010000
General
Especificaciones
Forma 4,039
Escala 10843
Z.Bench 1,75
Ppk 0,76
PPM 39774,75
General
Análisis Capability Sixpack para Pérdidas Semanales por Fraudes en Tarjetas de Crédito
Gráfica I
Gráfica de Rangos Móviles
Últimas 25 Observaciones
Histograma de Capacidad
Gráfica de Probabilidad GammaA D: 0,371, P: > 0,250
Estadísticas de Capacidad del Proceso
Gráfica 5.25 Capability SixPack de Pérdidas Gamma en Fraudes de T/C
A través de la inferencia estadística con la distribución de probabilidad Gamma,
el histograma de capacidad no muestra alguna discrepancia seria entre el
modelo y los datos, ya que la curva muestra un buen ajuste, hipótesis que es
aceptada a través del resultado del test de Anderson-Darling; sin embargo se
identifica que algunas observaciones caen fuera de los límites de
132
especificación inferior y superior, lo que da como resultado que en el monitoreo
de algunas transacciones irregulares, existan pérdidas monetarias inferiores a
los $13,665 y superiores a los $129,526 semanales.
Con la interpretación de las gráficas de capacidad, el valor del índice Ppk (0.76)
es inferior a nuestro valor de referencia (1.33) dando como consecuencia a que
por cada $1’000,000 en consumos, $39,774.75 correspondan a pérdidas
monetarias; con esto se puede concluir que el proceso en estudio no es capaz
de satisfacer los requisitos técnicos de calidad establecidos por los clientes
para el control eficiente de fraudes en tarjetas de crédito.
51464136312621161161
100000
50000
0
Va
lor
ind
ivid
ua
l
_X=43790
LCS=124743
LCI=1971
51464136312621161161
100000
50000
0
Ra
ng
o m
óv
il
__MR=21810
LCS=71259
LCI=0
5045403530
100000
50000
0
Observación
Va
lore
s
1200009000060000300000
LEI LES
LEI 13665
LES 129526
Especificaciones
100000100001000
General
Especificaciones
Forma 2,048
Escala 49620
Z.Bench 1,48
Ppk 0,70
PPM 69576,79
General
Análisis Capabilty SixPack para Pérdidas Semanales por Fraudes en Tarjetas de Crédito
Gráfica I
Gráfica de Rangos Móviles
Últimas 25 Observaciones
Histograma de Capacidad
Gráfica de Probabilidad WeibullA D: 0,572, P: 0,146
Estadísticas de Capacidad del Proceso
Gráfica 5.26 Capability SixPack de Pérdidas Weibull en Fraudes en T/C
A través de la inferencia estadística con la distribución de probabilidad Weibull,
el histograma de capacidad no muestra alguna discrepancia seria entre el
modelo y los datos, ya que la curva muestra un buen ajuste, hipótesis que es
aceptada a través del resultado del test de Anderson-Darling; sin embargo se
identifica que algunas observaciones caen fuera de los límites de
especificación inferior y superior, lo que da como resultado que en el monitoreo
133
de algunas transacciones irregulares, existan pérdidas monetarias inferiores a
los $13,665 y superiores a los $129,526 semanales.
Con la interpretación de las gráficas de capacidad, el valor del índice Ppk (0.70)
es inferior a nuestro valor de referencia (1.33) dando como consecuencia a que
por cada $1’000,000 en consumos, $69,576.79 correspondan a pérdidas
monetarias; con esto se puede concluir que el proceso en estudio no es capaz
de satisfacer los requisitos técnicos de calidad establecidos por los clientes
para el control eficiente de fraudes en tarjetas de crédito.
5.4. Análisis de Corridas en Tiempos de Resolución de Fraudes de T/C Minitab 16.0 dispone de diversas herramientas gráficas que brindan ayuda en
la planificación de la calidad y en los procesos de mejora de la organización;
uno de estos análisis es la gráfica de corridas o rachas que permite detectar
problemas en la calidad del producto o servicio a partir del análisis de los datos
u observaciones derivadas del proceso en estudio.
La gráfica de corridas mostrará si existen causas especiales que influyen en los
tiempos de resolución de fraudes en tarjetas de crédito. Esta herramienta de
calidad también ejecuta dos pruebas para determinar aleatoriedad que
suministran información sobre la variación no aleatoria ocasionada por
tendencias, oscilaciones, mezclas y conglomerados.
Bajo los fundamentos estadísticos de este análisis se podrá inferir si la gestión
realizada por los Analistas de ICE Bank F.G en la resolución de casos de
fraudes en tarjetas de crédito se ve afectada por factores especiales que
inciden negativamente en la calidad del servicio proporcionado a sus
tarjetahabientes.
134
5.4.1. Análisis de Corridas en Tiempos de Resolución de Fraudes ACT
160140120100806040201
60
55
50
45
40
35
30
Número de Casos
Tie
mp
o d
e R
eso
lució
n
Número de corridas de la mediana: 76
Número de corridas esperadas: 86,0
La corrida más larga de la mediana: 10
Valor P aproximado para crear conglomerado: 0,061
Valor P aproximado para las mezclas: 0,939
Número de corridas hacia arriba y hacia abajo: 105
Número de corridas esperadas: 113,7
La corrida más larga hacia arriba y hacia abajo: 4
Valor P aproximado para las tendencias: 0,057
Valor P aproximado para la oscilación: 0,943
Gráfica de Corridas de Resolución de Fraudes por Alteración/Clonación (ACT)
Gráfica 5.27 Análisis de Corridas en Tiempos de Resolución de Fraudes ACT
En el test de conglomerados (p > 0.05) se infiere que, dado que el número de
corridas observadas no es significativamente superior al esperado, las
observaciones en estudio no estan estratificadas, mientras que en el test de
mezclas (p > 0.05) se deduce que, dado que el número de corridas observadas
no es significativamente inferior al especificado bajo la hipótesis nula, las
observaciones en estudio no provienen de otra población.
En el test de tendencias (p > 0.05) es evidente que el número de rachas
observadas es significativamente superior al esperado; mientras que en el test
de oscilaciones (p > 0.05) se valida que el número de rachas observadas es
significativamente inferior al planteado en la hipótesis nula, estos resultados
comprueban que los tiempos de resolución de estos delitos no sufren
oscilaciones ni siguen tendencias determinadas. En conclusión, la gestión de
casos de clonación de tarjetas de crédito brinda una seguridad razonable del
grado de cumplimiento de los SLAs establecidos por ICE Bank F.G.
135
5.4.2. Análisis de Corridas en Tiempos de Resolución de Fraudes TNP
160140120100806040201
60
55
50
45
40
35
Número de Casos
Tie
mp
o d
e R
eso
lució
n
Número de corridas de la mediana: 83
Número de corridas esperadas: 85,4
La corrida más larga de la mediana: 10
Valor P aproximado para crear conglomerado: 0,354
Valor P aproximado para las mezclas: 0,646
Número de corridas hacia arriba y hacia abajo: 115
Número de corridas esperadas: 112,3
La corrida más larga hacia arriba y hacia abajo: 4
Valor P aproximado para las tendencias: 0,688
Valor P aproximado para la oscilación: 0,312
Gráfica de Corridas de Resolución de Fraudes por Tarjeta No Presente (TNP)
Gráfica 5.28 Análisis de Corridas en Tiempos de Resolución de Fraudes TNP
En el test de conglomerados (p > 0.05) se infiere que, dado que el número de
corridas observadas no es significativamente superior al esperado, las
observaciones en estudio no estan estratificadas, mientras que en el test de
mezclas (p > 0.05) se deduce que, dado que el número de corridas observadas
no es significativamente inferior al especificado bajo la hipótesis nula, las
observaciones en estudio no provienen de otra población.
En el test de tendencias (p > 0.05) es evidente que el número de rachas
observadas es significativamente superior al esperado; mientras que en el test
de oscilaciones (p > 0.05) se valida que el número de rachas observadas es
significativamente inferior al planteado en la hipótesis nula, estos resultados
comprueban que los tiempos de resolución de estos delitos no sufren
oscilaciones ni siguen tendencias determinadas. En definitiva, la gestión de
fraudes por consumos con tarjeta no presente brinda una seguridad razonable
del grado de cumplimiento de los SLAs establecidos por ICE Bank F.G.
136
5.4.3. Análisis de Corridas en Tiempos de Resolución de Fraudes RBT
160140120100806040201
15,0
12,5
10,0
7,5
5,0
Número de Casos
Tie
mp
o d
e R
eso
lució
n
Número de corridas de la mediana: 86
Número de corridas esperadas: 82,4
La corrida más larga de la mediana: 8
Valor P aproximado para crear conglomerado: 0,715
Valor P aproximado para las mezclas: 0,285
Número de corridas hacia arriba y hacia abajo: 116
Número de corridas esperadas: 109,7
La corrida más larga hacia arriba y hacia abajo: 4
Valor P aproximado para las tendencias: 0,880
Valor P aproximado para la oscilación: 0,120
Gráfica de Corridas de Resolución de Fraudes por Robo de Tarjetas de Crédito (RBT)
Gráfica 5.29 Análisis de Corridas en Tiempos de Resolución de Fraudes RBT
En el test de conglomerados (p > 0.05) se infiere que, dado que el número de
corridas observadas no es significativamente superior al esperado, las
observaciones en estudio no estan estratificadas, mientras que en el test de
mezclas (p > 0.05) se deduce que, dado que el número de corridas observadas
no es significativamente inferior al especificado bajo la hipótesis nula, las
observaciones en estudio no provienen de otra población.
En el test de tendencias (p > 0.05) es evidente que el número de rachas
observadas es significativamente superior al esperado; mientras que en el test
de oscilaciones (p > 0.05) se valida que el número de rachas observadas es
significativamente inferior al planteado en la hipótesis nula, estos resultados
comprueban que los tiempos de resolución de estos delitos no sufren
oscilaciones ni siguen tendencias determinadas. En definitiva, la gestión de
casos de robo de tarjetas de crédito brinda una seguridad razonable del grado
de cumplimiento de los SLAs establecidos por ICE Bank F.G.
137
5.4.4. Análisis de Corridas en Tiempos de Resolución de Fraudes EXT
1101009080706050403020101
10
9
8
7
6
5
4
3
Número de Casos
Tie
mp
os d
e R
eso
lució
n
Número de corridas de la mediana: 69
Número de corridas esperadas: 58,3
La corrida más larga de la mediana: 5
Valor P aproximado para crear conglomerado: 0,979
Valor P aproximado para las mezclas: 0,021
Número de corridas hacia arriba y hacia abajo: 80
Número de corridas esperadas: 78,3
La corrida más larga hacia arriba y hacia abajo: 5
Valor P aproximado para las tendencias: 0,643
Valor P aproximado para la oscilación: 0,357
Gráfica de Corridas de Resolución de Fraudes por Extravío de Tarjetas de Crédito (EXT)
Gráfica 5.30 Análisis de Corridas en Tiempos de Resolución de Fraudes EXT
En el test de conglomerados (p > 0.05) se infiere que, dado que el número de
corridas observadas no es significativamente superior al esperado, las
observaciones en estudio no estan estratificadas, sin embargo en el test de
mezclas (p < 0.05) se deduce que, dado que el número de corridas observadas
es significativamente inferior al especificado bajo la hipótesis nula, las
observaciones en estudio estan mezcladas (provienen de otra población).
En el test de tendencias (p > 0.05) es evidente que el número de rachas
observadas es significativamente superior al esperado; mientras que en el test
de oscilaciones (p > 0.05) se valida que el número de rachas observadas es
significativamente inferior al planteado en la hipótesis nula, estos resultados
comprueban que los tiempos de resolución de estos delitos no sufren
oscilaciones ni siguen tendencias determinadas. En definitiva, la gestión de
casos de extravío de tarjetas de crédito esta persuadida por causas especiales
que impactan el cumplimiento de los SLAs establecidos por ICE Bank F.G.
138
5.4.5. Análisis de Corridas en Tiempos de Resolución de Fraudes PHT
9080706050403020101
80
70
60
50
40
30
Número de Casos
Tie
mp
o d
e R
eso
lució
n
Número de corridas de la mediana: 43
Número de corridas esperadas: 48,0
La corrida más larga de la mediana: 7
Valor P aproximado para crear conglomerado: 0,151
Valor P aproximado para las mezclas: 0,849
Número de corridas hacia arriba y hacia abajo: 62
Número de corridas esperadas: 62,3
La corrida más larga hacia arriba y hacia abajo: 5
Valor P aproximado para las tendencias: 0,467
Valor P aproximado para la oscilación: 0,533
Gráfica de Corridas de Resolución de Fraudes por Suplantación de Identidad (PHT)
Gráfica 5.31 Análisis de Corridas en Tiempos de Resolución de Fraudes EXT En el test de conglomerados (p > 0.05) se infiere que, dado que el número de
corridas observadas no es significativamente superior al esperado, las
observaciones en estudio no estan estratificadas, mientras que en el test de
mezclas (p > 0.05) se deduce que, dado que el número de corridas observadas
no es significativamente inferior al especificado bajo la hipótesis nula, las
observaciones en estudio no provienen de otra población.
En el test de tendencias (p > 0.05) es evidente que el número de rachas
observadas es significativamente superior al esperado; mientras que en el test
de oscilaciones (p > 0.05) se valida que el número de rachas observadas es
significativamente inferior al planteado en la hipótesis nula, estos resultados
comprueban que los tiempos de resolución de estos delitos no sufren
oscilaciones ni siguen tendencias determinadas. En definitiva, la gestión de
casos de suplantación de identidad brinda una seguridad razonable del grado
de cumplimiento de los SLAs establecidos por ICE Bank F.G.
139
5.5. Simulación Matemática del Modelo de Distribución de Pérdidas
Agregadas (LDA)
El objetivo de esta sección es brindar a la Dirección Ejecutiva de Tarjetas de
Crédito una metodología de cuantificación del capital requerido por riesgo
operacional (OpVaR) de eventos de fraudes en tarjetas de crédito de la
institución financiera en estudio, la cual es descrita paso a paso a continuación:
5.5.1. Obtención de Base de Eventos de Pérdida (BEP) ICE Bank F.G. cuenta con una base de 717 registros producto de los eventos
de fraude en tarjetas de crédito suscitados desde el 1 de Enero al 31 de
Diciembre del 2009, los cual para efectos de este estudio fueron homologados
semanalmente de acuerdo al sistema de medición propuesto por la Gerencia
de Operaciones y resumidos de acuerdo al formato establecido a continuación:
Figura 5.1 Matriz de Eventos de Pérdida por Fraudes en Tarjetas de Crédito 5.5.2. Ajuste de Distribución Estadística para Frecuencia de Eventos de
Pérdida
Al efectuar un tratamiendo estadístico de datos con la herramienta de
simulación @Risk del Palisade Decision Tools 5.5. se pudo determinar por
medio de la prueba de bondad no paramétrica Chi-Cuadrado las distribuciones
de probabilidad discretas que se ajustan perfectamente a las variables
140
aleatorias de frecuencia computadas por cada esquema de fraude en tarjetas
de crédito registrado en la base de eventos de pérdida de ICE Bank F.G.
Gráfica 5.32 Distribuciones de Probabilidad de Frecuencia de Eventos de Pérdida
En la gráfica anterior se puede visualizar el ajuste estadístico de cada esquema
de fraude siendo la distribución Binomial Negativa la asignada para casos de
alteración/clonacion de tarjetas bancarias, robos de tarjetas de crédito, y
consumos con tarjeta no presente; la distribución Poisson para extravíos de
141
tarjetas de crédito y la distribución Geométrica para eventos de suplantación de
identidad de los tarjetahabientes de ICE Bank F.G.
5.5.3. Ajuste de Distribución Estadística para Impacto de Eventos de
Pérdida
Gráfica 5.33 Distribuciones de Probabilidad de Impacto de Eventos de Pérdida
142
Al efectuar un tratamiendo estadístico de datos con la herramienta de
simulación @Risk del Palisade Decision Tools 5.5. se pudo determinar por
medio de la prueba de bondad no paramétrica Anderson-Darling las
distribuciones de probabilidad continuas que se ajustan perfectamente a las
variables aleatorias de impacto computadas por cada esquema de fraude en
tarjetas de crédito registrado en la base de eventos de pérdida de ICE Bank
F.G.
En la gráfica anterior se puede visualizar el ajuste estadístico de cada esquema
de fraude siendo la distribución LogNormal la asignada para todos los
esquemas de fraude (alteración/clonacion de tarjetas bancarias, consumos con
tarjeta no presente, robos y extravíos de tarjetas de crédito así como
suplantación de identidad de los tarjetahabientes de ICE Bank F.G)
5.5.4. Aproximación del Cálculo Determinístico y Estocástico del OpVaR
con Simulación Monte Carlo (SMC)
Para ilustrar y contrastar el efecto de cuantificación del riesgo operativo
(OpVaR) por fraudes en tarjetas de crédito a través del modelo de distribución
de pérdidas agregadas (LDA), se decidió agregar a esta sección el enfoque de
cálculo de la severidad determinística (producto de la coyuntura del fraude y el
impacto de su existencia).
Con los resultados obtenidos mediante la generación de 21.400 escenarios
hipotéticos, bajo un margen de tolerancia al error del 3% y un nivel del 95% de
confianza (parámetros configurados en el @Risk para la aplicación de SMC),
se pudo concluir que con el análisis tradicional de probabilidad e impacto, la
pérdida esperada por fraudes en tarjetas de crédito converge a $66,090.03
semanales, teniendo como cota máxima de pérdidas semanales que convergen
a $9’029,309.24 y una carga de capital semanal muy probable de ocurrencia de
$11,555.32.
143
Gráfica 5.34 Histograma de Severidad Determinística por Fraudes en Tarjetas de Crédito
La pérdida inesperada bajo este enfoque determinístico a un nivel del 95% de
confianza converge a los $221,284.88; de la misma manera a un nivel del 99%
de confianza la carga de capital inesperada por fraudes en tarjetas de crédito
asciende a los $577,610.22. Muchas otras gráficas estadísticas como el
diagrama de tornado regresivo, curvas acumulativas de probabilidad, así como
estimadores de máxima verosimilitud asociados al sistema de calculo del
OpVaR determinístico pueden ser visualizados en el Anexo No. 6 de esta
investigación.
Para la simulación estocástica del modelo LDA se procederá a la convolución
de las funciones caracterizadas de frecuencia e impacto a través de un
operador matemático inmerso en la función RiskCompound de @Risk utilizada
para combinar la frecuencia y el impacto del fenomeno en estudio. Esta función
toma dos argumentos que pueden ser una función de @RISK, o una referencia
de celda de otra fórmula.
En una iteración determinada, el valor del primer argumento especifica el
número de muestras que se extraen de la distribución introducida en el
144
segundo argumento. Esas muestras de la segunda distribución se resumen
para determinar el valor que genera la función RiskCompound.
Con los resultados obtenidos mediante la generación de 21.400 escenarios
hipotéticos, bajo un margen de tolerancia al error del 3% y un nivel del 95% de
confianza (parámetros configurados en el @Risk para la aplicación de SMC, se
pudo determinar que bajo el operador estadístico que combina las
distribuciones de impacto y frecuencia, la pérdida esperada por fraudes en
tarjetas de crédito desciende a los $66,084.77 semanales, teniendo como cota
máxima de pérdidas semanales que convergen a $3’762,885.44 y una carga de
capital semanal muy probable de ocurrencia de $19,316.13.
Gráfica 5.35 Histograma de Severidad Estocástica por Fraudes en Tarjetas de Crédito
La pérdida inesperada bajo este enfoque estocástico a un nivel del 95% de
confianza converge a los $175,042.32; de la misma manera a un nivel del 99%
de confianza la carga de capital inesperada por fraudes en tarjetas de crédito
desciende a los $326,311.98. Muchas otras gráficas estadísticas como el
diagrama de tornado, curvas acumulativas de probabilidad, así como
estimadores de máxima verosimilitud asociados al sistema de calculo del
145
OpVaR tradicional pueden ser visualizados en el Anexo No. 7 de esta
investigación.
Es evidente que existen brechas significativas en los resultados del enfoque
tradicional de valoración de riesgos y el modelo de distribución de pérdidas
agregadas dado que el primer método hereda los efectos cualititativos de su
sistema de medición original.
5.6. Simulación Matemática del Modelo de Distribución Generalizada de
Valores Extremos de Pérdida (GEV)
El objetivo de esta sección es brindar a la Dirección Ejecutiva de Tarjetas de
Crédito una guía metodologíca para la estimación del OpVaR a través de las
colas de la distribución original de pérdidas haciendo uso exclusivo de los
valores extremos por fraudes en tarjetas de crédito.
5.6.1. Estimación de Parámetros de la Distribución GEV
Gráfica 5.36 Análisis de Brechas entre Algoritmos de Estimación de Hill
Para ilustrar el cálculo de los parámetros de la distribución GEV en esta
investigación, se consideraran los eventos de pérdida por fraudes en tarjetas
de crédito registrados durante las 52 semanas del ejercicio económico del
2009.
0,000
0,300
0,600
0,900
1,200
1,500
1,800
2,100
1 6 11 16 21 26 31 36 41 46 51
Gráfica de Algoritmos de Estimación de Hill (ξ)
Algoritmo ξ1 Algoritmo ξ2
146
En la tabla expuesta a continuación se presentan los datos ordenados de
mayor a menor siendo la pérdida más alta la acontecida en la semana 51 por
un monto de $129,526.23 y la mas baja registrada en la semana 5 por una
cuantía de $13,664.52, luego se procede a calcular el logaritmo natural de cada
una de las observaciones descritas en el ranking de pérdidas. En las ultimas
columnas se calcular el valor del parametro ξ para un umbral k en particular
usando el Método I o Método II respectivamente.
Tabla 5.1 Calculo del Parámetro ξ utilizando Métodos de Estimación de Hill
Bajo este calculo interativo, finalmente se obtiene que el valor esperado de las
columnas que brindan un estimado del índice de distribución de valores
extremos considerando un umbral k específico a través de los métodos
aplicados para su estimación es de ξ1 = 0.472 y ξ2 = 0.449 respectivamente,
concluyendo que la pérdida promedio converge a $60,459.37 y la desviación
147
estándar de $20,334.06 a partir de los eventos de pérdida semanales por
fraudes en tarjetas de crédito de ICE Bank F.G. Es evidente que el resultado de
ambas técnicas concuerdan de que las observaciones se ajustan
perfectamente a una distribución de valores extremos con colas pesadas dado
que ξ > 0.
5.6.2. Cálculo del OpVaR por el Método de Bloques Máximos
Al configurar los parámetros de la distribución GEV para el cálculo del OpVaR
da como resultado que la carga de capital a un nivel del 99% de confianza
considerando un valor de ξ1 = 0.472 asciende a los $395,582.08; mientras que
al introducir el valor de ξ2 = 0.449 en la ecuación manteniendo estable el valor
del parámetro de locación $60,459.37 y de escala y = $20,334.06 de
la distribución GEV, las pérdidas inesperdas bajo el mismo nivel de confianza
disminuyen a los $372,072.18.
Es por esta razón que siempre será preferible disponer del modelo que genere
la mínima pérdida operacional total, ya que los supervisores aceptarán este
cálculo siempre que la entidad demuestre claramente que su modelo
matemático satisface los criterios de solidez para métodos de medición
avanzada, establecidos por Basilea II.
Como conclusión de la aplicación de estos modelos de cuantificación del riesgo
operativo, se recomienda ampliamente a la Dirección Ejecutiva de Tarjetas de
Crédito utilizar el Modelo de Distribución de Pérdidas Agregadas (LDA) dado
que genera la mínima carga de capital a provisionar en sus estados financieros
a causa de la materialización de fraudes en tarjetas bancarias sobre las
operaciones crediticias de ICE Bank F.G.
148
CAPÍTULO VI
CONCLUSIONES
Las estadísticas delictivas, cada año, demuestran que las medidas actuales no
son suficientes para frenar la incidencia de esquemas de fraude en tarjetas de
crédito, que cada vez con más asiduidad ataca a los procesos de negocio de
las instituciones financieras del país.
La Dirección Ejecutiva de Tarjetas de Crédito gracias a la colaboración del
Departamento de Gestión y Prevención de Fraudes en la aplicación de la
Metodología de Construcción de KRI y considerando como parámetros de
calidad a los Factores Claves de Éxito (KSF) y Eventos Críticos de Riesgo
(RED) con los que se encuentra diseñado sistemáticamente el proceso PO –
2.7.5.1 Gestionar y Prevenir Fraudes en T/C (Emisores), implementó
exitosamente un conjunto de 6 Indicadores Claves de Riesgo los cuales son
mencionados a continuación:
Gráfica 6.1 Indicadores Claves de Riesgo de ICE Bank F.G.
1• Impacto de Fraudes en Tarjetas de Crédito.
2• Frecuencia de Fraudes en Tarjetas de Crédito.
3• Heurística de Tecnologías Analiticas de Fraudes en Tarjetas de Crédito.
4• Productividad en Gestión de Fraudes en Tarjetas de Crédito.
5• Tiempos de Resolución de Fraudes en Tarjetas de Crédito.
6• Severidad en Control de Fraudes en Tarjetas de Crédito.
149
Con la programación de un Sistema de Indicadores Claves de Riesgo (SKRI)
desarrollado como soporte interactivo para el proceso de toma de decisiones
ante pérdidas inminentes asociadas a la materialización de los diversos
esquemas de fraudes en tarjetas de crédito Discover, Visa y MasterCard que
impactan a las operaciones crediticias de ICE Bank F.G. se pudieron obtener
las siguientes conclusiones:
Indicadores Claves de Riesgo Meta Ok Eficacia (%)
Oportunidades de Mejora Si No V A R
Frecuencia de Fraudes en Tarjetas de Crédito. 53
Implementación de sistemas de autenticación de titulares (smart cards, tokens y biometría).
Impacto de Fraudes en Tarjetas de Crédito. 49
Reingeniería de metodologías de cuantificación del riesgo operativo bajo técnicas AMA de Basilea II.
Heurística de Tecnologías Analíticas de Fraudes en T/C.
86
Configuración de reglas del SP bajo modelos VISOR y 3-D Secure de marcas Visa y MasterCard.
Productividad en Gestión de Fraudes de T/C. 53
Planificación de incentivos por alcance de metas y aplicación de estrategias e-coaching por analista.
Tiempos de Resolución de Fraudes de T/C. 53
Constitución de joint ventures con instituciones financieras AAA- y entidades de control externas.
Severidad en Control de Fraudes de T/C. 66
Certificación de seguridad de la información sobre controles y procesos con Norma PCI-DSS 2.0
Tabla 6.1 Resultados del Sistema de Indicadores Claves de Riesgo de ICE Bank F.G.
Adicionalmente con la administración de herramientas de control de calidad
como componentes de un estudio 6σ, se determinó que el proceso de Gestión
y Prevención de Fraudes en Tarjetas de Crédito no se encuentra bajo control
estadístico, existiendo brechas significativas para la consecución del nivel
deseado de desempeño y capacidad óptima requerido para el cumplimiento de
la filosofía institucional de ICE Bank F.G. y las necesidades de sus
tarjetahabientes. Los resultados más relevantes de este análisis son expuestos
a continuación:
150
Herramientas de Control Sistema de Medición
Meta Ok Conclusiones del Estudio
Si No
Diagrama de Control I-MR del Proceso PO - 2.7.5.1.
KRI 1-2
El valor esperado de la pérdida del proceso es inestable y ciertos eventos de fraude están fuera de control a finales del año 2009.
Desempeño y Capacidad del Proceso PO - 2.7.5.1.
KRI 2
La eficiencia del proceso converge al 96.67% con una DPMO de 33,248 y un Z.Bench de 1.84. con una diferencia del 3.33% para el alcance del objetivo cero defectos.
Análisis de Corridas y Rachas del Proceso PO - 2.7.5.1.
KRI 5
El 80% de los casos de resolución de fraudes cumplen con los SLA’s del negocio a excepción de los esquemas EXT.
Tabla 6.2 Resultados de Herramientas de Control Estadístico de Procesos - 6σ
Finalmente con el uso de algunos modelos predictivos de riesgo operacional
recomendados ampliamente por el Comité de Basilea y calibrados con las
transacciones fraudulentas con tarjetas bancarias suscitadas durante el año
2009; la Dirección Ejecutiva de Tarjetas de Crédito decidió adoptar para sus
procedimientos de cuantificación del OpVaR el Modelo de Distribución de
Pérdidas Agregadas (LDA) como potencial catalizador para las iniciativas de
ICE Bank F.G. en la detección y prevención de fraudes financieros de acuerdo
a la generación de la mínima pérdida esperada e inesperada a provisionar ante
las entidades de control, a su versatilidad para la medición estratificada por tipo
de evento y línea de negocio, a su fundamento en información de pérdidas
reales y no en “indicadores de exposición” y a la consistencia de sus resultados
con los enfoques de medición de riesgo de crédito y de mercado.
Modelos de Cuantificación del OpVaR
Indicadores de Riesgo Elegido?
Pérdida Esperada (EL)
Pérdida No Esperada (UL)
Si No
Análisis Cualitativo de Riesgo Operativo (I-P) $66,090.03 $577,610.22
Distribución de Pérdidas Agregadas (LDA) $66,084.77 $326,311.98
Distribución de Pérdidas Extremas (GEV) $60,459.37 $372,072.18
Tabla 6.3 Resultados de Métodos de Medición Avanzada del OpVaR - Basilea II
151
RECOMENDACIONES
El impresionante aumento en el número de usuarios de tarjetas de crédito en
todo el mundo lleva a las empresas y a los organismos de control a intentar
concretar nuevos y efectivos métodos de seguridad, que a su vez sean
cómodos y fáciles de utilizar para la sociedad permitiendo disminuir el riesgo de
fraude y proteger la integridad de los tarjetahabientes en entornos de algo
riesgo tecnológico. A continuación se refieren las más recientes tecnologías en
seguridad de la información para la industria de pagos con tarjetas de crédito:
Gráfica 6.2 Tecnologías de Detección y Prevención de Fraudes con Tarjetas de Crédito
Autenticación delTitular
Código de Seguridad (CVV)
Sistema de Verificación de Direcciones (AVS)
Sistema de Revisión Manual (MRS)
Técnicas de Minería de Datos
Tarjetas Inteligentes (Smart Cards)
Tokens Criptográficos
Lectores Biométricos
152
Cabe señalar que estas tecnologías van alineadas a un objetivo fundamental
que es el de proteger un conjunto de datos particularmente valioso: la
información de las tarjetas de crédito de los consumidores. Como respuesta,
American Express, Discover, JCB, MasterCard y Visa cooperaron para crear un
entorno que abarca a toda la industria y detalla la forma en la que las empresas
que manejan datos de tarjetas de crédito (específicamente, bancos,
comerciantes y procesadores de pago) deben proteger esa información. El
resultado fue el Estándar de Seguridad de Datos (DSS, Data Security
Standard) de la Industria de Pagos con Tarjeta de Crédito (PCI, Payment Card
Industry), un conjunto de requerimientos de mejores prácticas para proteger los
datos de las tarjetas de crédito en todo el ciclo de vida de la información.
Gráfica 6.3 Estándar de Seguridad de Datos en Tarjetas de Crédito - PCI-DSS Versión 2.0 Esta norma se centra en 6 objetivos de control de alto nivel. Básicamente, son
metas de seguridad que refuerzan la protección de la información de las
tarjetas de crédito. Los requerimientos de seguridad generales respaldan cada
objetivo de control; los 12 requisitos se dividen de forma más específica en más
de 200 requerimientos que especifican las tecnologías, las políticas y los
procedimientos necesarios para proteger la información de los titulares de
153
tarjetas. Todos los recursos corporativos tanto financieros, tecnológicos como
humanos deben ser canalizados estratégicamente por las entidades bancarias
del país con el fin de implementar un adecuado marco de gestión del riesgo
operacional.
Aquellas entidades que se concentren en el desarrollo de modelos estadísticos
actuariales requerirán de esfuerzos considerables en los próximos años para la
creación de sus bases de datos internas, por eso será esencial que
establezcan una política de recolección de datos de las pérdidas y de su
asignación. La utilización de modelos de medición avanzada del riesgo
operacional (AMA) no sólo posibilitará importantes ahorros de capital, sino que
también permitirá optimizar las políticas de seguros de las entidades, utilizar
sus datos para ajustar sus políticas de pricing y mejorar metodologías de
RAROC (si las emplearan).
Por último, las instituciones financieras locales deberán perseguir la integración
final de los aspectos cualitativos y cuantitativos. Esto implica el diseño y el
establecimiento de las relaciones entre los datos recopilados, los indicadores
claves de riesgo, los mapas de riesgos y controles y las mediciones de capital.
Este enfoque debe ser dinámico y confluir en el establecimiento de un plan de
acciones correctivas para afrontar las debilidades detectadas.
Tal como lo definió John Ruskin en su libro The Stones of Venice (Volumen III -
1853), “El trabajo de la ciencia es sustituir apariencias por hechos e
impresiones por demostraciones”. En definitiva, los estándares de seguridad de
la información junto con la aplicación de las mas notables innovaciones
tecnológicas para la detección y prevención de fraudes así como la
administración integral del riesgo operacional y control de la calidad total en los
productos y servicios relacionados con la industria de tarjetas de crédito
deberán tener como objetivo común el eliminar todos las casuísticas de baja
verosimilitud que impactan al desarrollo sostenible del sistema financiero
ecuatoriano.
154
BIBLIOGRAFÍA
Tej Paul Bhatla, Vikram Prabhu & Amit Dua; “Understanding Credit Card Frauds”; Cards Business Review, June 2003.
V.Dheepa, R.Dhanapal; “Analysis of Credit Card Fraud Detection Methods”;
International Journal of Recent Trends in Engineering, Vol 2, No. 3, November 2009.
David A. Montague; “Fraud Prevention Techniques for Credit Card Fraud”,
Trafford Publishing, Canada 2004. Peter Burns, Anne Stanley; “Fraud Management in the Credit Card
Industry”, April 2002. Association of Certified Fraud Examiners; “CFE Fraud Examiners Manual:
Check & Credit Card Fraud”, 2007 Edition, pp. 1014-1042. Richard Collard; “Fraud Prevention and Detection for Credit and Debit Card
Transactions”, IBM Corporation Software Group, August 2009. International Council of E-Commerce Consultants; “CEH Ethical Hacking
and Countermeasurements”, Module 58 Credit Card Frauds 6th Version. Commidea; “Card Fraud Facing Facts and the Future”, Sweden 2004. Sumedh Thakar, Terry Ramos; “PCI Compliance for Dummies”, John Wiley
& Sons Ltd., England 2009. Maria Miranda, Daniel Sanchez, Luis Cerda; “Reglas de Asociación
Aplicadas a la Detección de Fraude con Tarjetas de Crédito”; XII Congreso Español sobre Tecnologías y Lógica Fuzzy, Jaén, 15-17 de Septiembre de 2004.
Kiran Garimella, Michael Lees, Bruce Williams; “BPM Basics for Dummies”;
Wiley Publishing, Inc., Indiana 2008. August-Wilhelm Scheer, Helmut Kruppke, Wolfram Jost, Herbert
Kindermann; “Agility by ARIS Business Process Management“; Springer-Verlag Berlin Heidelberg, Germany 2006.
Jaime Beltrán, Miguel Carmona, Remigio Carrasco, Miguel Rivas, Fernando
Tejedor; “Guía para una Gestión basada en Procesos”; Fundación Valenciana de la Calidad, España.
155
http://www.fvq.es/Archivos/Publicaciones//4f4d263778guia_gestionprocesos.pdf
Aravind Immaneni, Chris Mastro & Michael Haubenstock; “A Structured
Approach to Building Predictive Key Risk Indicators”; Operational Risk: A Special Edition of The RMA Journal, May 2004.
John Fraser, Betty Simkins; “Enterprise Risk Management: Identifying and
Communicating Key Risk Indicators”, pp. 125-140, John Wiley & Sons, Inc., New Yersey 2010.
Chuck Hannabarger, Rick Buchman & Peter Economy; “Balance Scorecard
Strategy for Dummies”, Wiley Publishing, Inc., Indiana 2007. Asociación Española de Normalización y Certificación; “Norma UNE
66175:2003. Guía para la Implantación de Sistemas de Indicadores”, España. http://www.fvq.es/Archivos/Publicaciones//b301c7a518implantacion_indicadores.pdf
Nigel Da Costa Lewis; “Operational Risk with Excel and VBA Applied
Statistical Methods for Risk Management”, pp. 203-207, John Wiley & Sons, Inc., New Yersey 2004.
James William Martin; “Lean Six Sigma for the Office”, pp. 239-266, Taylor &
Francis Group, LLC, United States, 2009 Wayne L. Winston; “Financial Models Using Simulation and Optimization I”,
Palisade Corporation, Kelley School of Business Indiana University 1998. Philippe Jorion; “Financial Risk Manager Handbook”, pp. 551-592, 4th
Edition, John Wiley & Sons, Inc., New Yersey 2007. Michael Alexander; “Excel 2007 Dashboards & Reports for Dummies”, Wiley
Publishing, Inc., Indiana 2008. Omar Briceño Cruzado; “Aplicación de la Distribución de Pérdidas (LDA)
para estimar el Requerimiento de Capital por Riesgo Operacional (CaR) utilizando @Risk y Stat Tools”; Foro de Análisis de Riesgos y Decisiones de Palisade Corporation, Perú, Noviembre 2010. http://www.palisade.com/downloads/UserConf/LTA10/Briceno_PaliasdeLima2010.pdf
Espiñeira, Sheldon y Asociados; “Cuantificación del Capital Requerido por
Riesgo Operacional – OpVaR”; Boletín Asesoría Gerencial Price Waterhouse Coopers, Venezuela, Marzo 2007.
156
http://www.pwc.com/ve/es/asesoria-gerencial/boletin/assets/boletin advisory-03-2007.pdf
Diego Etchepare & Norberto Rodríguez; “Riesgo Operacional”; Revista CEO
Price Waterhouse Coopers, Argentina 2007. http://www.pwc.com/ar/es/publicaciones/assets/ceo-riesgooperacional02.pdf
Juan Murillo Gómez & Luis Franco Arbelaez; “Loss Distribution Approach
(LDA): Metodología Actuarial Aplicada al Riesgo Operacional”; Revista de Ingenierías Universidad de Medellín, Vol. 7, Núm. 13, pp. 143-156, Colombia, Julio-Diciembre 2008. http://redalyc.uaemex.mx/pdf/750/75071310.pdf
Ana Pereyra & Fabian Mendy; “Gestión del Riesgo Operacional en
Instituciones Financieras. Estamos preparados?”; República Dominicana, Julio 2009. http://www.aba.org.do/ABA2/manager/dlm/applications/DocumentLibraryManager/upload/Gestion-de-Riesgo-Operacional.pdf
Pamela Cardozo; “Valor en Riesgo de los Activos Financieros Colombianos
Aplicando la Teoría de Valor Extremo”; Departamento de Comunicación Institucional del Banco de la República., Colombia, Julio 2004. http://www.banrep.gov.co/docum/ftp/borra304.pdf
Margarita Velín; “Estudio del Riesgo Financiero considerando Riesgos
Extremos y Fluctuaciones Estocásticas para un Portafolio de Inversiones”; Escuela Politécnica Nacional de Quito, Ecuador, Diciembre 2008. http://bibdigital.epn.edu.ec/bitstream/15000/1124/1/CD-1966.pdf
Thomas Pizdek & Paul Keller; “The Six Sigma Handbook. A Complete Guide
for Green Belts, Black Belts, and Managers at All Levels”; 3rd Edition, McGraw-Hill Professional, United States, October 2009.
Craig Gygi, Neil DeCarlo & Bruce Williams; “Six Sigma for Dummies”; Wiley
Publishing, Inc., Indiana 2005. Larry Webber & Michael Wallace “Quality Control for Dummies”; Wiley
Publishing, Inc., Indiana 2007. Miguel Bahena Quintanilla; “Aplicación de la Metodología Seis Sigma para
Mejorar la Calidad y Productividad de una Planta de Bebidas”; Universidad Iberoamericana Puebla, México, 2006.
157
GLOSARIO DE TÉRMINOS
ACAMS: Acrónimo de Association of Certified Anti-Money Laundering
Specialists; es la asociación más importante para los profesionales antilavado
de dinero (ALD) interesados en mejorar el conocimiento, las habilidades y
experiencia de aquellos dedicados a la detección y prevención del lavado de
activos en el mundo.
ACFE: Acrónimo de Association of Certified Fraud Examiners; es la principal y
mayor organización anti-fraude en el mundo que agrupa a especialistas,
investigadores, auditores, académicos, abogados, contadores, peritos,
profesionales y consultores interesados en el tema de las mejoras en la
detección y disuasión de fraudes a través de la expansión del conocimiento y la
interacción de sus miembros.
ALIFC: Acrónimo de Asociación Latinoamericana de Investigadores de
Fraudes y Crímenes Financieros; es una entidad sin fines de lucro constituida
con el objetivo de capacitar permanentemente a todos sus miembros, realizar
consultoría de investigación, fomentar el intercambio profesional, recopilar y
difundir avances y nuevos conocimientos en la prevención, investigación y
análisis de los fraudes y crímenes financieros y tecnológicos entre los países
latinoamericanos.
AMA: Acrónimo de Advanced Measurement Approach; es parte de los tres
métodos para el cálculo de los requerimientos de capital asociados al riesgo
operativo propuestos por Basilea II.
Análisis GAP: El análisis de brechas busca identificar las debilidades de
control, de manera que se puedan tomar medidas correctivas. Se evalúan los
controles considerando tres escenarios: (1) la implementación del control; (2) la
efectividad del diseño; y (3) la efectividad de su operación.
158
Autorización: Es el proceso de comprobación para verificar que la cuenta del
titular de la tarjeta posee suficientes fondos disponibles con objeto de aprobar
la transacción. En caso de autorización positiva, el límite de crédito del titular
de la tarjeta en el momento de la solicitud se reduce y los fondos se reservan
hasta el pago.
Basilea II: Es un estándar internacional emitido por el Comité de Supervisión
Bancaria de Basilea que sirve de referencia a los reguladores bancarios, con el
objetivo de establecer los requerimientos de capital necesarios para asegurar la
protección de las entidades financieras frente a los riesgos financieros y
operativos.
BSC: Acrónimo de Balance Scorecard; es un entorno de trabajo para la
identificación de las métricas empresariales más allá de las medidas
financieras básicas utilizadas normalmente; entre los indicadores de
desempeño se cuentan medidas de clientes, procesos y personas, así como
información financiera que vinculan objetivos estratégicos y métricas
operacionales.
Banco Emisor: Es el agente económico que emite y/o comercializa tarjetas de
crédito en Ecuador, de uso nacional o internacional o ambas modalidades.
Banco Adquirente: Es la institución financiera que recibe todas las
transacciones del comerciante que se deben distribuir al banco emisor.
Batch Processing: Es la autorización de transacciones cuando no se requiere
aprobación inmediata. Se recopilan varias transacciones en un archivo y se
envían como una sola transmisión para su procesamiento por lotes.
BIS: Acrónimo de Bank for International Settlements; es un organismo
internacional que fomenta la cooperación financiera y monetaria internacional y
sirve de banco central para la organización de los bancos centrales mundiales
con sede en Basilea (Suiza).
159
BPM: Acrónimo de Business Process Management (gestión de procesos de
negocio); se trata de los métodos, técnicas y herramientas empleados para
diseñar, representar, controlar y analizar procesos de negocio operacionales en
los que están implicados personas, sistemas, aplicaciones, datos y
organizaciones.
Cámara de Compensación Automatizada: Es el nombre de una red
electrónica que procesa volúmenes grandes de transacciones financieras.
Card Present Transaction: Es un tipo de transacción en que la tarjeta está
presente y se pasa por un dispositivo electrónico que lee el contenido de la
banda magnética en la parte trasera de la tarjeta.
Card-Not-Present Transaction: Es un tipo de transacción que ocurre cuando
el titular de la tarjeta no está presente, o la tarjeta física no está presente.
Ejemplos incluyen pedidos por correo, pedidos por teléfono y ventas por
Internet. Estos tipos de transacciones se consideran la de más alto riesgo.
Cobertura: Es la localidad geográfica o sector de mercado donde puede ser
utilizada la tarjeta de crédito.
Comercio: Es aquella empresa que se afilia a un banco adquirente con el
objetivo de poder procesar los consumos directos que haga el tarjetahabiente
en su establecimiento.
Contracargo: Es la revocación de una transacción de venta, iniciada por el
banco emisor o el titular de la tarjeta al banco adquirente para su resolución.
Cuando el titular de una tarjeta inicia un contracargo, el banco emisor de la
tarjeta está obligado a realizar el reembolso inmediatamente en la cuenta en
que se realiza el contracargo. El titular de una tarjeta tiene 90 días para iniciar
un contracargo. El comerciante en línea es responsable de este dinero.
160
Convolución: Es un operador matemático que transforma dos funciones f y g
en una tercera función que en cierto sentido representa la magnitud en la que
se superponen f y una versión trasladada e invertida de g.
Cupo de Crédito: Se refiere al monto máximo, en moneda nacional o
extranjera o ambas, que el banco emisor se compromete a prestar al titular de
la cuenta mediante las condiciones estipuladas en el contrato.
DMAIC: Acrónimo de las cinco fases de la metodología Seis Sigma: Define
(Definir), Measure (Medir), Analyze (Analizar), Improve (Mejorar), Control
(Controlar); se utiliza para resolver problemas de procesos y problemas de
negocio a través de datos y métodos analíticos.
Dashboard: Es una presentación visual que indica el estado de una compañía
o proceso de negocio mediante indicadores clave de riesgos numéricos y
gráficos.
Dirección IP: Es un número exclusivo que se utiliza para representar cada
ordenador individual en la red. Todos los ordenadores tienen una dirección IP
exclusiva cuyo es de cuatro conjuntos de números separados por puntos.
Eficacia: Es la capacidad para contribuir al logro de los objetivos institucionales
de conformidad con los parámetros establecidos.
Eficiencia: Es la capacidad para aprovechar racionalmente los recursos
disponibles en pro del logro de los objetivos institucionales, procurando la
optimización de aquellos y evitando dispendios y errores.
Encriptación: Es el proceso mediante el cual la información o archivos son
alterados en forma lógica, con el objetivo de evitar que alguien no autorizado
pueda interpretarlos al verlos o copiarlos, por lo que se utiliza una clave en el
origen y en el destino.
161
ERM: Acrónimo de Enterprise Risk Management; es una metodología de
control interno basada en el establecimiento de estrategias para toda la
organización, que son diseñadas para identificar eventos potenciales que
puedan afectar a la entidad y administrar riesgos dentro de su apetito de
riesgos para proporcionen una seguridad razonable referente al logro de los
objetivos del negocio.
Estado de Cuenta: Es el documento confeccionado por el banco emisor que
contiene el resumen mensual de los consumos efectuados por el
tarjetahabiente.
Evaluación Cualitativa de Riesgos.- Técnicas utilizadas para obtener una
indicación general del nivel de riesgo al que se está expuesto. Utilizan formatos
de palabras o escalas descriptivas para describir la magnitud de las
consecuencias y la probabilidad de que ocurran.
Evaluación Cuantitativa de Riesgos: Las metodologías cuantitativas estiman
valores monetarios para el impacto y valores estadísticos para las
probabilidades de los riesgos, permitiendo calcular el Valor en Riesgo
Operacional (OpVaR).
Evento de Pérdida: Es la materialización de un evento de riesgo que debe ser
registrado en la Base de Datos de Eventos de Pérdida.
Fecha de Transacción: Es la fecha real en que se llevo a cabo una
transacción con tarjeta de crédito.
Fecha de Investigación: Es la fecha tanto de inicio como de fin del proceso de
sondeo de actividades sospechosas de comerciantes o titulares de tarjetas de
crédito.
Firewall: También llamado corta fuegos o murallas chinas, consiste en un
sistema que bloquea los puertos de comunicación; adicionalmente esconde la
162
presencia de su ordenador en Internet, de modo que no pueda ser detectado
por los virus o hackers.
Fraud Scoring: Un conjunto de tecnologías o modelos para la predicción de
fraudes siendo el más eficiente de estos modelos el que reconoce los hábitos
de compradores legítimos y fraudulentos; en la actualidad existen modelos de
evaluación que asignan un valor numérico para definir el riesgo de fraude.
FTC: Acrónimo de Federal Trade Commission; es una agencia independiente
del Gobierno de los Estados Unidos fundada con el propósito de promover los
derechos de los consumidores y la eliminación y prevención de prácticas que
atentan contra la libre competencia.
Heurística: Es la ciencia que trata de la aplicación de conocimiento derivado
de la experiencia a un problema, la cual genera algoritmos con buenos tiempos
de ejecución y buenas soluciones, usualmente las óptimas que son utilizados
por científicos de computación, investigadores operativos y profesionales para
resolver problemas demasiado complejos.
IFIS: Acrónimo de Instituciones Financieras; es un conjunto de intermediarias
financieras que se encargan de captar recursos en forma de depósitos, y
prestar dinero, así como la prestación de servicios financieros.
IMA: Acrónimo de Internal Measurement Approach; es un método propuesto
por Basilea II que consiste en calcular la pérdida esperada de la institución
financiera en función de las líneas de negocio, y la clasificación de los eventos
de pérdidas operativas que las originan a través de una aproximación matricial
probabilística.
KPI: Acrónimo de Key Performance Indicators; son métricas financieras o no
financieras, utilizadas para cuantificar objetivos fijados que reflejan el
rendimiento de los procesos en función de los Key Sucess Factors (KSF) y que
generalmente se recaban en el plan estratégico de una organización.
163
KRI: Acrónimo de Key Risk Indicators; es un sistema de medición usado en la
administración de riesgos financieros que indica que tan riesgosa es una
actividad específica brindando alertas proactivas que identifican eventos
críticos de riesgo conocidos como Risk Event Drivers (RED), los cuales pueden
afectar significativamente la continuidad del negocio.
LDA: Acrónimo de Loss Distribution Approach; es el modelo de mayor difusión
por Basilea II que tiene la ventaja sobre el IMA de ser más sensible al riesgo y
en medir directamente las pérdidas inesperadas de una entidad financiera.
Línea de Negocio: Es una especialización del negocio que agrupa procesos
encaminados a generar productos y servicios especializados para atender un
segmento del mercado objetivo definido en la planificación estratégica de la
entidad.
Liquidación: Es el proceso en el cual el comerciante transmite lotes de
transacciones al banco adquirente; en intercambio, es el proceso mediante el
cual bancos adquirentes y emisores intercambian información financiera que es
el producto de transacciones de venta, adelantos en efectivo, créditos de
mercancías, etc.
OpVaR: Acrónimo de Operational Value at Risk; es una metodología para
calcular el capital requerido por riesgo operacional indicando la máxima pérdida
en unidades monetarias que se espera en un horizonte de tiempo para un nivel
de confianza determinado.
PCI DSS: Acrónimo de Payment Card Industry Data Security Standards; son un
conjunto de normas de seguridad de datos de la industria de tarjetas de pago
que son utilizadas en todo el mundo por MasterCard, Visa, Discover y
American Express para combatir los fraudes con tarjetas de débito y de crédito
mediante la imposición de estrictos reglamentos respecto a cómo se maneja y
mantiene la información de titulares de tarjetas, que la subsecuente violación
164
de información de tarjetas en el sitio de un comerciante, puede conllevar
considerables multas y la imposibilidad de aceptar pagos con tarjeta.
Pérdida Esperada: Es la media de la distribución de pérdidas y ganancias,
indica cuanto se puede perder en promedio y está asociada a la política de
reserva preventiva que la institución debe tener contra los riesgos financieros.
Pérdida Inespereda: Esta medida puede estimarse como la diferencia entre el
OpVaR y la pérdida esperada la misma que permite determinar el capital
requerido por el acreedor para hacer frente las pérdidas no anticipadas.
PIN: Es un código secreto que se utiliza para verificar la identidad de la
persona que intenta utilizar una tarjeta de crédito mediante el código
alfanumérico o numérico, este número de identificación personal se introduce
en un teclado numérico y se codifica para ir junto con la autorización.
Política: Enunciados o interpretaciones generales que sirven de guía en la
toma de decisiones.
Proceso: Es el conjunto de actividades que transforman insumos en productos
o servicios con valor para el cliente, sea interno o externo.
Proceso Crítico: Es el indispensable para la continuidad del negocio y las
operaciones de la institución controlada, y cuya falta de identificación o
aplicación deficiente puede generarle un impacto financiero negativo.
QFD: Acrónimo de Quality Function Deployment; es un sistema que traduce los
requerimientos del cliente a los parámetros apropiados de la empresa en cada
una de las etapas del ciclo de desarrollo de productos y servicios desde la
investigación y desarrollo, hasta la ingeniería, fabricación, mercadotecnia,
ventas y distribución.
RAROC: Acrónimo de Risk Adjusted Return On Capital, es unos de los
métodos que más emplean las entidades financieras y aseguradoras para
165
medir la rentabilidad de su cartera de créditos y el límite de exposición de sus
clientes y acreedores teniendo en cuenta una probabilidad de pérdida
determinada.
Redes Neuronales: Es una mecanismo heurístico que compara nuevas
transacciones con perfiles de transacciones fraudulentas utilizando una serie
de ecuaciones polinomiales, que serían el equivalente matemático a tener un
panel de especialistas en detección de fraudes en tarjetas de crédito ocupado
en examinar el pedido si las características justifican el uso de su experiencia.
SBS: Acrónimo de Superintendencia de Bancos y Seguros del Ecuador; tiene
como misión velar por la seguridad, estabilidad, transparencia y solidez de los
sistemas financieros, de seguros privados y de seguridad social, mediante un
eficiente y eficaz proceso de regulación y supervisión para proteger los
intereses del público e impulsar el desarrollo del país.
Simulación: Es la creación de modelos matemáticos por ordenador de una
situación hipotética que se puede analizar para determinar cómo puede
funcionar una aplicación dada de sistemas cuando se implementan.
SLA: Acrónimo de Service Level Agreements; es un contrato escrito entre un
proveedor de un producto o servicio y su cliente con objeto de fijar el nivel
acordado para la calidad de dicho producto o servicio.
Seis Sigma: Es un conjunto probado de herramientas analíticas, técnicas de
control de proyectos, métodos de generación de informes y técnicas de gestión
que se combinan para elaborar mejoras muy importantes en la solución de
problemas y el rendimiento empresarial.
SPC: Acrónimo de Statistical Process Control; son un conjunto de técnicas
estadísticas que tienen la capacidad de detectar y corregir variaciones en el
proceso que puedan afectar a la calidad del producto o servicio final,
reduciendo desechos y evitando que los problemas lleguen al cliente final.
166
SSL: Acrónimo de Secure Sockets Layer; es un protocolo informático
establecido que se utiliza para cifrar datos que protegen la seguridad,
privacidad y confiabilidad de información de pago transmitida a través del canal
entre el comprador y el comerciante.
T/D: Acrónimo de Tarjeta de Débito; es la tarjeta bancaria que se utiliza para
comprar bienes y servicios, que carga la cuenta corriente personal del titular de
la tarjeta.
T/C: Acrónimo de Tarjeta de Crédito; es el documento de identificación del
tarjetahabiente, que puede ser magnético o de cualquier otra tecnología, que
acredita una relación contractual previa entre el banco emisor y el titular de la
cuenta por el otorgamiento de un crédito revolutivo a favor del segundo, para
comprar bienes, servicios, pagar sumas líquidas y obtener dinero en efectivo.
Tarjetahabiente: Es el usuario titular o adicional que posee una cuenta de
tarjeta de crédito activa que se puede utilizar para realizar transacciones.
Tarjeta Adicional: Es aquella tarjeta de crédito que el titular autoriza a favor de
las personas que designe.
Titular: Es la persona física o jurídica que, previo contrato con el banco emisor,
es habilitada para el uso de una línea de crédito revolutiva.
Transacción: Es el proceso de entregar bienes o servicios a cambio de un
retribución monetaria; esta comienza cuando se hace un pedido con una tarjeta
de crédito. Cada intento de autorización de un consumo se considera un intento
de pedido y por lo tanto se considera como una transacción.
167
ANEXOS
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión 168/186
168
Anexo No. 1 Diagrama del Proceso PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión 169/186
169
Anexo No. 2 Descripción de Funciones y Responsabilidades del Proceso
Verificar si el sistema está habilitado
Descripción: Se verifica si Sentinel Prevention carga la información correctamente o presenta anomalías que impiden la consulta.
Responsable: Oficial de Gestión y Prevención de Fraudes
El sistema funciona correctamente
Realizar monitoreo de las alertas de fraude
Descripción: Se realiza el monitoreo en el Sentinel Prevention Menú Emisor Opción Consultas y se eligen las opciones de:
- Transacciones Sospechosas (General). - Transacciones Sospechosas (Detalladas). - Transacciones
En estas se monitorean todas las alertas que le han sido asignadas, revisando aquellas tarjetas de crédito por el número de alertas, monto, por prioridades de filtros y por el score de las redes neuronales.
Nota: Sentinel utiliza las siguientes herramientas analíticas para el monitoreo de las transacciones:
- Reglas. - Perfiles. - Score Experto. - Redes Neurales. - Arboles de Decisión. - Indicadores. - Regulaciones de Comercios. - Análisis de Contracargos.
Responsable: Oficial de Gestión y Prevención de Fraudes
Seleccionar la T/C reportada como sospechosa
Descripción: Se selecciona del listado una de las T/C reportadas como sospechosas.
Cabe recalcar que el sistema está programado con reglas que le permiten identificar las transacciones sospechosas de acuerdo al historial de fraudes.
Responsable: Oficial de Gestión y Prevención de Fraudes
Alerta de fraude recibida en el sistema
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión 170/186
170
Consultar los movimientos de la T/C reportada
Descripción: Se consulta como herramienta de descarte en el SysCard Menu Tarjetas Opción Consulta de Saldos:
- Generales: Se revisan los datos de la tarjeta de crédito del cliente.
- Complementarios: Se obtiene los números telefónicos para contactar al cliente y la localidad validando que esta información sea la registrada en Sentinel.
- Balance: Se revisan los saldos del cliente.
- Movimientos: Se analizan los movimientos históricos del cardholder.
-Autorizaciones: Se consultan los diferentes consumos reportados por la T/C, sus montos, lugar (país) donde se efectuaron dichas transacciones, el comercio o sitio web donde se realizó la compra sospechosa.
Adicionalmente en el SysCard ingresando al Menú Gestiones Opción Consulta y Registro de Novedades se verifica los comentarios ingresados en caso de que el cliente haya notificado algún viaje fuera del país o algún consumo en particular.
Responsable: Oficial de Gestión y Prevención de Fraudes
Identificar si la transacción es reportada como sospechosa
Descripción: En función de lo revisado en las transacciones anteriores, se identifica básicamente el standard de consumo del cliente, por ejemplo, un cliente que de pronto consume altos montos en una actividad comercial que no lo haya realizado jamás, o q lo haga en el extranjero sin que su rutina sea el viajar y comprar, o transacciones realizadas en dos o más países al mismo tiempo; estas actividades entre otras son consideradas como altamente riesgosas.
Responsable: Jefe de Gestión y Prevención de fraudes
Transacción descartada como posible fraude
Descartar transacción como alerta de fraude
Descripción: Se descarta en el Sentinel Prevention la alerta de sospecha de los consumos y/o transacciones confirmadas como realizadas por el cliente.
Se selecciona sobre la alerta de la T/C (clic derecho y se elige“Descartar transacción”) y se registra un breve comentario de la gestión realizada (clic derecho y se elige “Ver comentarios”)
Responsable: Oficial de Gestión y Prevención de Fraudes
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión 171/186
171
Alerta de fraude descartada
Transacción encontrada como posible fraude
Validar datos de la transacción
Descripción: Se valida en el Sentinel Prevention la información de la transacción reportada como alerta.
Los datos a revisar son código de país, moneda, nombre y categoría del comercio, etc. versus lo que indique el SysCard Menu Autorizaciones Opción Consultas/Reversos mediante el siguiente procedimiento:
- Se accede a la pestaña Detalle y se ingresa el número de tarjeta de crédito en el campo Tarjeta.
- Luego se da un check en el campo Marca dependiendo de la compañía emisora de la T/C.
- En el campo Fch. Desde/Hasta se elige el periodo a analizar.
- También se revisa el archivo de apoyo Currency code by country (formato txt) para identificar el país en donde se estan realizando las transacciones a través del código descrito en Sentinel.
Responsable: Oficial de Gestión y Prevención de Fraudes
Sentinel no funciona correctamente o no es cosistente con SysCard
Comunicar a Infraestructura Tecnológica la inconsistencia
Descripción: Al presentarse diferencias entre los datos de origen de la transacción que fue reportada con alerta de sospecha de fraude por Sentinel Prevention vs el SysCard, se envía un mail a la Subgerencia de Inteligencia de Negocios para que identifiquen el problema y sea corregido en la brevedad del caso.
Responsable: Oficial de Gestión y Prevención de Fraudes
Receptar novedad de inconsistencia
Descripción: Se recibe vía mail del Área de Gestión y Prevención de Fraudes la novedad de que existe diferencia entre los datos de origen de la transacción que fue reportada con alerta de sospecha de fraude por Sentinel vs. SysCard para la corrección.
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión 172/186
172
Receptar novedad de inconsistencia
Responsable: Subgerente de Business Intelligence
Reportar a Sentinel Provider la inconsistencia
Descripción: Se reporta vía mail a Sentinel Provider la inconsistencia recibida para que ellos brinden los servicios de help desk y solucionen lo suscitado.
Responsable: Subgerente de Business Intelligence
Recibir respuesta de Sentinel Provider
Descripción: Se recibe respuesta sobre la novedad reportada, dicha contestación incluyen los pasos necesarios para la correcta conGráficación y/o modificación del Sentinel Prevention.
Responsable: Subgerente de Business Intelligence
Realizar cambios en la conGráficación del sistema
Descripción: Se realizan los cambios indicados por Sentinel Provider en la conGráficación del sistema para remediar el error reportado por el Oficial de Gestión y Prevención de Fraudes.
Responsable: Subgerente de Business Intelligence
Comunicar a Gestión de Fraudes que la novedad fue resuelta
Descripción: Se comunica vía mail al Departamento de Gestión y Prevención de Fraudes que ya está solucionada la inconsistencia por Sentinel Provider
Responsable: Subgerente de Business Intelligence
Recibir respuesta de inconsistencia solucionada
Descripción: Se recibe vía mail la respuesta de las correcciones realizadas o el motivo de la discontinuidad de las operaciones entre los sistemas
Responsable: Oficial de Gestión y Prevención de Fraudes
Respuesta de inconsistencia recibida
Sentinel es cosistente con SysCard
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión 173/186
173
Consultar los datos de contacto del cliente
Descripción: Se consultan los datos del cliente mediante el acceso al SysCard Menú Tarjetas Opción Consulta de Saldos Pestaña Complementarios, en la que se revisan los números de teléfono y localidad.
Previo a esto se tienen preparadas las pantallas en donde se detallan las transacciones analizadas como sospechosas tanto en Sentinel Prevention (Emisor - Consultas) como en SysCard (Tarjetas - Consulta de Saldos) para atender cualquier inquietud dentro del análisis. También se pueden consultar los datos de contacto del cliente en la pantalla del Sentinel Prevention sólo con hacer click derecho en la transacción en análisis y seleccionando el campo“ Información Adicional - Cardholders”
Responsable: Oficial de Gestión y Prevención de Fraudes
Llamada es atendida por un tercero
Consultar donde y cuando se puede ubicar al cardholder
Descripción: Se solicita a la persona que atendió la llamada donde se puede ubicar al cardholder, si se encuentra en el Ecuador se le informa que se volverá a llamar; pero si está en el extranjero se solicitan los teléfonos de contacto, dirección de domicilio, dirección de correo electrónico para contactarlo y la fecha de regreso del cardholder.
Responsable: Oficial de Gestión y Prevención de Fraudes
Cardholder se encuentra en Ecuador
Comunicar que se volverá a llamar al cardholder
Descripción:
Responsable: Oficial de Gestión y Prevención de Fraudes
Registrar en los sistemas las acciones realizadas
Descripción: Se registra en SysCard Menú Gestiones Opción Consulta/Registro de Novedades y en Sentinel Prevention se da clic derecho en la T/C consultada y se selecciona “Ver comentario” y se detalla todo la información relevante obtenida sobre la gestión realizada para ubicar al cliente, indicando la fecha de regreso al país del y todos los datos de
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión 174/186
174
Registrar en los sistemas las acciones realizadas
contacto en el exterior Responsable: Oficial de Gestión y Prevención de Fraudes
Acciones realizadas registradas
Cardholder se encuentra en el Exterior
Comunicar que se volverá a llamar al cardholder
Descripción:
Responsable: Oficial de Gestión y Prevención de Fraudes
Registrar en los sistemas las acciones realizadas
Descripción: Se registra en SysCard Menú Gestiones Opción Consulta/Registro de Novedades y en Sentinel Prevention se da clic derecho en la T/C consultada y se selecciona “Ver comentario” y se detalla todo la información relevante obtenida sobre la gestión realizada para ubicar al cardholder.
Responsable: Oficial de Gestión y Prevención de Fraudes
Acciones realizadas registradas
Llamada es atendida por el cardholder
Confirmar con el cliente transacciones sospechosas
Descripción: Durante la conversación con el cliente se visualiza la información proporcionada por los sistemas Sentinel Prevention y SysCard y se identifican si las transacciones sospechosas son fraude, haciendo preguntas como por ejemplo, si ha realizado compras en el país o en el exterior, por Internet, indicando los montos para verificar si el cardholder los reconoce.
Responsable: Oficial de Gestión y Prevención de Fraudes
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión 175/186
175
Cardholder confirma las transacciones
Cardholder no confirma las transacciones
Confirmar con el cliente si posee la T/C bajo su custodia
Descripción: Se confirma con el cliente si tiene en su poder la T/C para descartar si algún tercero autorizado por él ha realizado la transacción sospechosa de fraude.
Responsable: Oficial de Gestión y Prevención de Fraudes
Cardholder indica que posee su T/C
Comunicar al cliente que por seguridad se bloqueará la T/C
Descripción: Se indica al cliente que se procederá a bloquear la T/C con la finalidad de impedir que se sigan ingresando transacciones fraudulentas, en caso de que el cardholder tenga T/C adicionales estas también quedarán bloqueadas
Responsable: Oficial de Gestión y Prevención de Fraudes
Comunicar al cliente que debe presentar el caso formalmente
Descripción: Se comunica al cliente que debe notificar por escrito la novedad presentada en las oficinas de CRM.
Los documentos que debe adjuntar para atender el fraude en caso de que los montos superen los $500 en consumos nacionales y $1000 en consumos internacionales son:
- La(s) T/C (titular y adicionales en caso de tenerlas) sin perforar.
- Original y copia de su documento de identificación (cédula y pasaporte en casos de consumos internacionales).
- Carta donde indica los consumos que no corresponden al cliente.
- Certificado de migración original (en fraudes con consumos internacionales).
- Estado de cuenta o movimientos solicitados a CRM donde consten los consumos no realizados.
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión 176/186
176
Comunicar al cliente que debe presentar el caso formalmente
Responsable: Oficial de Gestión y Prevención de Fraudes
Cardholder comunicado
Cardholder indica que no posee su T/C
Indicar al cliente que el reclamo no se atenderá
Descripción:
Responsable: Oficial de Gestión y Prevención de Fraudes
Comunicar al cliente que por seguridad se bloqueará la T/C
Descripción:
Se indica al cliente que se procederá a bloquear la T/C con la finalidad de impedir que se sigan ingresando transacciones fraudulentas, en caso de que el cardholder tenga T/C adicionales estas también quedarán bloqueadas
Responsable: Oficial de Gestión y Prevención de Fraudes
Enviar solicitud de bloqueo de T/C
Descripción:
Se envía un correo electrónico al Oficial de Backoffice con copia al Supervisor de Autorizaciones de T/C para que procedan con el bloqueo respectivo.
Responsable: Oficial de Gestión y Prevención de Fraudes
Mail de bloqueo de T/C enviado
Recibir solicitud para bloquear la T/C por base
Descripción:
Se recibe vía correo electrónico la solicitud por el Oficial de Gestión y Prevención de Fraudes de T/C para realizar bloqueo por base.
Responsable: Supervisor de Autorizaciones
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión 177/186
177
Realizar y validar bloqueo de la T/C por base
Descripción:
Se realiza el bloqueo por Base, lo que significa que el bloqueo es comunicado a las marcas de T/C y el bloqueo no es solo a nivel interno del banco.
El bloqueo se lo realiza en el SysCard Menú Autorizaciones Opción Exception File/Ingreso/Consulta.
En la ventana de Ingreso al Exception File:
Para las marcas MasterCard y AMEX:
1. Se ingresa el # de T/C y en el campo Tipo se selecciona 1.- Ingreso y en Razón 05.- Negar (VAN Negative).
2. Luego en el campo Fec.Exp se coloca el tiempo que permanecerá bloqueada la T/C (generalmente un mes).
3. En el campo Observación se coloca alguna novedad presentada en el bloqueo (no es un campo mandatorio, por lo que el Supervisor de Autorizaciones tiene la potestad de registrarlo o no).
4. Finalmente se da clic en el botón Enviar para registrar el ingreso apareciendo una respuesta en el campo Mensaje comunicando que la T/C fue enviada al Exception File.
Para la marca Visa:
1. Se ingresa el # de T/C y en el campo Tipo se selecciona 1.- Ingreso y en Razón 05.- Negar (VAN Negative).
2. Luego en el campo Fec.Exp se coloca el tiempo que permanecerá bloqueada la T/C (generalmente un mes).
3. En el campo Región se selecciona la opción 0.- No incluida en el Boletín de Tarjetas Canceladas
4. En el campo Observación se coloca alguna novedad presentada en el bloqueo (no es un campo mandatorio, por lo que el Supervisor de Autorizaciones tiene la potestad de registrarlo o no).
5. Finalmente se da clic en el botón Enviar para registrar el ingreso apareciendo una respuesta en el campo Mensaje comunicando que la T/C fue enviada al Exception File.
Para finalizar se valida que la T/C por Base se encuentre bloqueada, en el SysCard Menú Autorizaciones Opción Exception File/Consulta Histórica ingresando el # de la T/C y seleccionando un rango de fechas en el que se desea realizar la búsqueda para validar el proceso.
Responsable: Supervisor de Autorizaciones
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión 178/186
178
Comunicar el bloqueo de la T/C a quien lo solicita
Descripción:
Se comunica vía correo electrónico a la Jefatura de Backoffice y a la de Gestión y Prevención de Fraudes que el bloqueo ha sido realizado exitosamente.
Responsable: Supervisor de Autorizaciones
Llamada no hecha por datos desactualizada o bloqueo de la T/C efectuado
Bloquear la cuenta de la T/C por prevención de fraude
Descripción:
Se procede a bloquear la cuenta de la T/C a nivel local desde Sentinel Prevention dando clic derecho sobre las transacciones y escogiendo la opción Solicitar bloqueo. Aparece automáticamente la ventana Solicitud de Bloqueo en la que se elegirá el tipo de bloqueo que se desea solicitar que en este caso será Bloqueo TH - Status Preventivo y da finalmente clic en Aceptar.
Luego para verificar el bloqueo local, se accede al SysCard Menú Tarjetas Opción Consulta de Saldos y en la pestaña Balance se verifica los campos Estatus de Plástico y Estatus de Cuenta que deben ser SP.
Responsable: Oficial de Gestión y Prevención de Fraudes
Bloquear a nivel internacional el uso de la T/C
Descripción:
Para realizar el bloqueo internacional de la T/C, se ingresa al SysCard Menú Autorizaciones Opción Exception File/Ingreso al Exception File y se sigue el siguiente procedimiento:
? Para el caso de VISA:
1. Se ingresa la tarjeta en el campo Tarjeta.
2. En el campo Tipo se escoge la opción 1.- Ingreso.
3. En el campo Razón se elige 05 - Negar
4. En el campo Purge Date se ingresa el tiempo que permanecerá (60 días).
5. En el campo Región se selecciona 0 - No incluida en el Boletín de Tarjetas Canceladas.
6. En el campo Comentario se registra el motivo de bloqueo.
7. Finalmente se da clic en el botón Enviar.
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión 179/186
179
Bloquear a nivel internacional el uso de la T/C
? Para el caso de Discover:
1. Se ingresa la tarjeta en el campo Tarjeta.
2. En el campo Tipo se escoge la opción 1.- Ingreso.
3. En el campo Razón se elige 05 - Negar (3701).
4. En el campo Fecha Exp se ingresa el tiempo que permanecerá (60 días).
5. En el campo Comentario se registra el motivo de bloqueo.
6. Se da clic en el botón Enviar y nuevamente en el campo Razon se elige la opción 07 - Collect (3700).
7. Finalmente se vuelve a dar clic en el botón Enviar para procesar el bloqueo.
? Para el caso de MasterCard:
1. Se ingresa la tarjeta en el campo Tarjeta.
2. En el campo Tipo se escoge la opción 1.- Ingreso.
3. En el campo Razón se elige F - Fraude
4. En el campo Purge Date se ingresa el tiempo que permanecerá (60 días).
5. En el campo Comentario se registra el motivo de bloqueo.
6. Finalmente se da clic en el botón Enviar.
Responsable: Oficial de Gestión y Prevención de Fraudes
Abrir expediente de investigación
Descripción:
Se apertura el caso en el Sentinel Prevention de la transacción fraudulenta y se describe un breve resumen del mismo.
Para aperturarlo se desarrolla el siguiente procedimiento:
1. Se marcan las transacciones y se da clic derecho eligiendo "Abrir caso de investigación"
2. En la pantalla Apertura de Casos se marcan con un check las transacciones en el campo Incluir y finalmente se da clic en el botón Crear Caso.
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión 180/186
180
Abrir expediente de investigación
3. Automáticamente se presenta la pantalla Casos: Seguimiento Emisor en la que se llenan los siguientes campos:
3.1. Descripción: Se da un nombre al caso dependiendo de las transacciones fraudulentas (ej. consumos internacionales, consumos nacionales o consumos por internet, etc.)
3.2. En el campo Estado se elige la opción 1 En Análisis.
4. Luego se da clic en la pestaña Historial de Acciones, luego dando clic en el botón Agregar acción.
5. En la columna Acción se elige la opción dependiendo del caso (ej. Cancelar la T/C, Contactar al TH, etc.),
6. En la columna Comentario se ingresa el motivo de bloqueo, luego se da clic en el botón Salvar Acción de la Pestaña de Historial de Acciones y finalmente se da clic en el botón Salvar de la ventana principal.
Responsable: Oficial de Gestión y Prevención de Fraudes
Registrar en los sistema las acciones realizadas
Descripción:
Se registra en el HOST en el TCGE el comentario de la acción realizada y en el Sentinel Prevention se da clic derecho en la T/C consultada , se selecciona “Ver comentario” , se selecciona “Agregar comentario” y se detalla todo la información relevante obtenida, se especifica que el cliente no reconoce las transacciones y/o consumos cargados a su T/C
Responsable: Oficial de Gestión y Prevención de Fraudes
Enviar mail a Jefatura de BackOffice
Descripción:
Se envía un mail a la Jefatura de BackOffice dependiendo de la localidad del cliente (Guayaquil / Quito / Cuenca etc.) con copia a la Gerencia de Operaciones de T/C y a todo el personal de Gestión y Prevención de Fraudes en T/C.
En este mail se indica el caso, la gestión y acción realizada, para que procedan con los fines correspondientes.
Responsable: Oficial de Gestión y Prevención de Fraudes
Mail enviado a Jefatura de BackOffice
PO - 2.7.3.4 Procesar emisión de la tarjeta de crédito
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión 181/186
181
Registrar tarjetas bloqueadas en malla de control
Descripción:
Se registran todas las tarjetas bloqueadas con motivo SP en una hoja electrónica en Excel denominado "BD Sp Prevention" accediendo a la ruta M:\ Tarjetas de Crédito-Prevención\Prevención.
Este archivo contiene:
- Número: Secuencia de bloqueo de T/C. - Fecha de Bloqueo. - Localidad. - Fecha de Consumo. - Marca. - Número de Tarjeta. - Nombres del Cardholder. - Monto de fraude. - Cupo. - Saldo disponible. - Número de transacciones de fraude. - MCC Comercio: Código de la descripción de la actividad del comercio. - País de Fraude. - Fecha de Apertura de T/C. - Fecha de Emisión de T/C. - Fecha de Vencimiento de T/C. - Estatus Actual de la T/C. - Fecha de Seguro de T/C. - Mes de Seguro. - Tipo de Transacción.
Responsable: Oficial de Gestión y Prevención de Fraudes
T/C bloqueada y registrada en malla de control
PO - 2.7.5.6 Receptar notificaciones y llamadas de clientes para monitoreo
182
Anexo No. 3 Análisis GAP de Indicadores Claves de Riesgo (KRI)
183
Anexo No. 4 Modelo Relacional del Sistema de Indicadores Claves de Riesgo (SKRI)
184
Anexo No. 5 Base de Eventos de Fraudes en Tarjetas de Crédito de Ice Bank F.G.
185
Anexo No. 6 Resultados de Simulación Matemática del Modelo LDA – Severidad Determinística
186
Anexo No. 7 Resultados de Simulación Matemática del Modelo LDA – Severidad Estocástica