1

Compliance, Risk Governance y Compliance, Risk Governance y Gestión de la Información: Gestión de la Información: Gestión de la Información: Gestión de la Información:

Enterprise Risk Management in Enterprise Risk Management in PayPalPayPal

Fernando Aparicio, Director General de PayPal España17 de Noviembre de 2008

PayPal de un vistazo

– Fundada en diciembre de 1998 y adquirida por eBay en 2002, PayPal es el líder internacional de pagos en Internet.

– PayPal tiene más de 165 millones de cuentas de usuario registradas:• 50 millones en Europa• 50 millones en Europa• Más de 2 millones en España

– Disponible en 190 países, acepta pagos en 17 divisas.

– Cada día PayPal adquiere más de 100.000 cuentas de usuario en todo el mundo y alrededor de 21.000 cuentas semanales en España.

– En Europa hay más de 1.000 empleados en la central de Dublín.

– PayPal mantiene uno de los porcentajes de fraude menores de la industria online – 0,29% frente a la media de porcentaje de fraude online de 3%.

– PayPal obtuvo una licencia bancaria para operar en Europa en Julio de 2007

2

Servicio de PayPal

Forma de retirada de

fondos

Fuentes de fondos

Cuenta PayPal

Cuenta PayPal

Saldo de PayPal

Tarjeta de débito

Tarjeta de crédito

delvendedor

delcomprador

Saldo de PayPal

Cuenta bancaria

Cuenta bancaria

PayPal permite aceptar los medios de pago locales y de 190 países

AlemaniaUK

Canadá

Francia

España

Italia

USAChina

Suiza

Australia

3

Enterprise Risk Management (ERM) es un proceso que:

• Se lidera y lleva a cabo desde el consejo de administración, dirección general ypersonal especializado

• Se aplica en la formulación de la estrategia y se extiende por todos los procesos

Nuestra definición de ERM

empresariales

Su objetivo es:

• Identificar amenazas potenciales que puedan afectar a la empresa (negociosarriesgados, cumplimiento regulatorio, irregularidades contables)

• Gestionar el riesgo corporativo dentro de los márgenes de riesgo admitidosinternamente (“apetito del riesgo”)

• Proveer una seguridad razonable del cumplimiento de los objetivos de laempresa

Source: Enterprise Risk Management – Integrated Framework by COSO (Committee of Sponsoring Organisations of theTreadway Commission), September 2004

La percepción general del ERM es que es una disciplina que abarca más que la gestión del riesgo o el cumplimiento legal

PayPal ha de cumplir como empresa del grupo eBay con una variedad de reglas internas y cumplimiento de leyes externas

Como parte importante de la licencia bancaria en Europa, PayPal Europaestá comprometido con el mantenimiento de un sistema de Gestión delRiesgo Corporativo:

ERM en PayPal Europa

• El ERM es un principio integral de la dirección de la compañía

• El ERM está integrado en la filosofía y procesos de negocio de laorganización y no se contempla como una práctica separada o como unprograma/departamento aislado.

Por tanto, nuestra definición de ERM comprende 4 pasos:

• Idenfitificación del Riesgo• Idenfitificación del Riesgo

• Análisis del Riesgo

• Medición del Riesgo

• Control del Riesgo

4

Idenfiticación del Riesgo

Board CS/OPS Finance HR / Administration

Strategic Risk Management

La identificación de los riesgos principales se asigna a grupos funcionalesque tienen la responsabilidad principal de gestionar el riesgo

E.g.• Revenue Risk• Political Risk…

E.g.• CS/OPS Risk…

E.g.• Large Exposure

Risk• Settlement Risk• FX Rate Risk• Asset Liability

Risk…

E.g. • Resource Risk• Personnel Risk…

E.g.• Regulatory Risk• Compliance Risk• Money Laundering

Risk• AUP Violation

Risk…

Legal Marketing & Business

Operations

Product Risk Analytics Technology

• Legal Risk…

E.g.• Competition Risk• Processing Risk…

E.g.• Product Risk…

E.g.• Fraud Risk• Counterparty /

Credit Risk…

E.g.• Business

Continuity Risk• Data Security Risk• Site &

Functionality Outage Risk

…

Sample Risk identification overview

Análisis del Riesgo

Los riesgos son identificados y analizados mensual y trimestralmente

VPInt'l PP Inc.Risk of not meeting business targets…. …Revenue Risk CEO PPEL

DESCRIPTION CONTROL MEASURES ESCALATIONPOINTDEPARTMENT OVERALL

RESPONSIBILITY RISK DEPARTMENTALRESPONSIBILITY

VPHR & Admin PP Inc.

…

VPInt'l PP Inc.

VPInt'l PP Inc.

…

VPHR & Admin PP Inc.

VPInt'l PP Inc.

…

VPInt'l PP Inc.

VPOperations PP Inc.

Customer Services CEOPPEL

Director Treasury

Director Treasury

Risk not to handle customer's requests properly… …OPS / CS Risk VP CS

Risk of changes in the political / fiscal environment (tax laws)… …

… … …

Risk of inability to attract talent, fulfil human resource requirements… …

HR /Administration

CEOPPEL

Resource Risk

Personnel Risk

Director HR

…

Risk of fluctuations of the foreign exchange market where certain rates are committed to customers…Director Treasury

…

Risk of human error, lack of training or loss of key employees…

Risk of account misuse, and not fulfilling account reconciliation requirements…

Large Exposure Risk

Director HR

Risk of losing the full investment price due to deterioration in credit quality of issuer…

…

Settlement RiskFinance

Foreign ExchangeRate Risk

… … …

…

…

…

CFOPPEL

…

… …… …

… … …

Board CEOPPEL Political Risk CEO PPEL

…

Sample Risk Analysis summary

VPStrategic Risk PP Inc.

VPStrategic Risk PP Inc.

…

…

VPStrategic Risk PP Inc.

VPStrategic Risk PP Inc.

…

Director Compliance

Director Compliance

Director Compliance

…

…

AML Risk Risk of not complying with AML requirements…

Regulatory Risk Risk of not fulfilling regulatory requirements…

ComplianceRisk Risk of not complying with rules and regulations…

… … …Etc. … … …

AUP Violation Risk Risk of not complying with AUPs…

…

…

…

Strategic Risk Management CFO PPEL

…

Director Compliance

5

Medición y control del riesgo

Los riesgos de PayPal son medidos y controlados en un cuadro de mando

PPEL Risk ScorecardJanuary 2005

Commentary / AnalysisRisk Category Measurement Criteria Dec-04 Risk Eval.Subcategory

Lowest excess of QLA vs. outstanding e-money (value QLA must not be lessthan e-money outstandings; internal goal is minimum excess of x%) x R-CO …

Lowest proportion of own funds to e-money float, goal is to maintain an excessof x% above the minimum 5% FSA requirement. x R-CO …

Lowest unused portion of FX exposure limit (FX exposure must not exceed FX exposure limit) x R-CO …

xxx x F-CT …

Number of recorded Compliance breaches = 0 x R-CO …

Number of reports received vs. made to NCISgoal: identify and report suspicious activity within x days of identification x R-CO …

Effective Hit Rate (Action / Investigation); goal: no. of incidences = 0 x R-SL …

xxx x R-CO …

AUP Violation Risk

xxx

Compliance Risk

Financial Risk

Asset Liability Risk

Large Exposure Risk

Foreign Exchange Risk

xxx

Money Laundering

Breaches

Sample Risk Scorecard

Marketing Risk Number of Marketing related incidences / changes which might turnoutto be a risk (goal = 0) x C-DB …

Product Risk Number of Product related incidences / changes which might turn out to be a risk (goal = 0) x R-CO …

Fraud Risk Fraud loss rate x F-CT …

Policies to cover risk adequately. x F-CT …

Number of issues with possible business impact on PPIL (goal = 0). x F-CT …

xxx x F-RE …

n/a

n/a

n/a

Other Risks

Insurance Risk

Tax Risk

xxx

Asunción de Riesgo I (Risk Appetite)

El apetito de riesgo es la exposición al riegso, o el potencial impacto adversode un evento de riesto que la dirección de PayPal está dispuesto a aceptar.

Es una figura clave de la gestión del riesgo, ya que:

• Provee a la dirección la confianza razonable de que la empresa conseguirásus objetivos

• Provee apoyo al proceso de cumplimiento regulatorio

• Conecta los riesgos con los generadores de valor de la compañía

• Alinea la gestión del riesgo con los principios de la dirección general

• Establece rangos en torno a métricas clave que serán usados por losdirectores funcionales en el proceso de toma de decisiones

• Permite la priorización de las inversiones para mitigar el riesgo

6

Asunción de Riesgo II

Risk Area Risk Impact

Cost < GBP x,000 F-CT GBP x,000 to GBP x,000 F-CT > GBP x,000 F-CT

Revenue < - GBP x,000 F-RE - GBP x,000 to - GBP x,000 F-RE > - GBP x,000 F-RE

… … F-… … F-… … F-…

Risk Evaluation

Finance

Failure to meet Compliance requirements no substantial Compliance risk R-CO some potential Compliance risk;

action plan required R-COimmediate and substantial Compliance

risk; immediate action andremediation required

R-CO

Litigation no suits / threatsof law suit R-SL notice of suit or representation;

threat of law suit R-SL material financial or other issuesare identified R-SL

… … R-… … R-… … R-…

Discussion Boards positive C-DB overall positive; however somenegative discussions C-DB overall negative C-DB

… … C-… … C-… … C-…

Media Attention positive media coverage B-MA isolated negative media coverage B-MA multiple negative media coverage B-MA

Brand Reputation

Legal / RegulatoryCompliance

Community

… … B-… … B-… … B-…

Head count variance compared to budget > x% E-HC x% to y% E-HC > x% E-HC

… … E-… … E-… … E-…

= LOW Risk Exposure

= MEDIUM Risk Exposure

= HIGH Risk Exposure

Employee

low impact on PPEL strategy / operational activities; action required within a reasonable timeframe

moderate impact on PPEL strategy / operational activities; action required within an adequate timeframe

significant impact on PPEL strategy / operational activities; immediate action required

Sample Risk Appetite

Requerimientos clave del ERM

Tras la definición del marco de actuación del ERM los principalesTras la definición del marco de actuación del ERM, los principaleselementos para asegurar su implantación efectiva son:

• Guía de Riesgo

• Informe de Riesgo

• Organización del Riesgo

• Proceso de gestión del negocio

7

Guía de Riesgo

Es una documentación exhaustiva que define la política de gestión delRiesgo de PayPa y su enfoque general. Es la base de los procesosERM, asegura un entendimiento común del ERM y es un elementoclave para la difusión de la cultura del riesgo dentro de la organización

Informe de Riesgo

Mensual y trimestralmente, las diferentes unidades de PayPal elaboran uninforme que provee una visión actualizada de los riesgos a la DirecciónCorporativa

8

Organización de Riesgo

El ERM en PayPal es parte de la división de Riesgo Estratégico, quereporta directamente al Presidente de PayPal y está directamentevinculado al departamento de Gestión de Riesgo Corporativo de eBay

San Jose

PP Inc.Strategic Risk Management

eBay Inc.Corporate Risk Management

PayPal International Ltd.Senior Manager Corporate Risk Management

Dublin

PayPalInc.

ERM

PayPal (Europe) Ltd.

ERM

PayPalInt’l Ltd. ERM

Proceso de Gestión del Riesgo de Negocio (I)

• Definido claramente y directamente relacionado con la direccióngeneral de PayPal

• Las reuniones semanales aseguraran un seguimiento muy preciso delriesgo

• Una vez identificados los riesgos, aquellos que excedan el apetito deriesgo son escalados, según lo definido en la Guía de ERM

• Reuniones trimestrales de ERM con la Dirección General del GrupoeBay asegura una adecuado proceso de mitigación del riesgo yy g p g g ygarantiza la inversión correspondiente

9

• Identificación y consenso sobre los riesgos principales • Obtención de la aprobación directiva y designación de un Director de

ERM corporativo

Proceso de Gestión del Riesgo de Negocio (II)

• Asignación de propietarios responsables de la gestión del riesgo• Designar un Consejo de Riesgo Coporativo para la gestión de la

exposición al riesgo y el establecimiento de la debida cultura corporativa • Creación de un cuadro de mando trimestral que mida cada riesgo y el

estado de salud general de la organización• Implanta un sistema de auto-evaluación del riesgo en la Dirección General• Actualización continua de la asunción del riesgo según evoluciona el

negocio

• Validación de las prioridades de gestión del riesgo y asignación de propietarios

• El Consejo Corporativo de Riesgo y los propietarios funcionales

Proceso de Gestión del Riesgo de Negocio (III)

• El Consejo Corporativo de Riesgo y los propietarios funcionales desarrollan formalmente planes de acción para mitigar el riesgo

• Fijación del alcance de cualquier técnica de tratamiento de riesgo y obtención de los recursos humanos y financieros correspondientes

• Formalización de un marco corporativo de gestión del riesgo que incluya:

Guía de RiesgoProceso de Informe de RiesgoOrganización del RiesgoOrganización del RiesgoProceso de Gestión del Riesgo de Negocio

• Alineamiento de los procesos ERM con el gobierno corporativo

10

Conclusiones clave

• ERM es una responsabilidad compartida entre operaciones y finanzas, con la máxima visibilidad en la Dirección Generalla Dirección General

• El enfoque en la eficiencia operacional y financiera exige una optimización y cumplimiento exhaustivo de la conformidad normativa y los controles de negocio

• EL ERM provee una severa estructura de control que reduce el riesgo de “sorpresas” para el negocio

Ejemplo: Cumplimiento SOX en IT

• El cumplimiento de la norma SOX en lo referente a controles IT (sección 404) se referencia a una selección de controles COBIT, marco de gestión paraselección de controles COBIT, marco de gestión para el buen gobierno.

• COBIT comprende cuatro dominios, 34 procesos IT y 215 objetivos de control.

• Aunque COBIT incluye controles dirigidos a todos los aspectos del Gobierno IT, únicamente se incluirán aquellos controles que tengan relevancia significativa para la vertiente financiera de las organizaciones.para la vertiente financiera de las organizaciones.

11

Ejemplo: Cumplimiento SOX en IT (II)

Planificación estratégica de IT

1. ¿Dispone la organización de planes estratégicos que alineen los objetivos de negocio con las estrategias IT? Dichos

PO1.4

g gplanes, ¿incluyen mecanismos para solicitar opinión de actores relevantes internos y externos afectados por los planes estratégicos IT ?

2. ¿Comunica la organización IT sus planes IT a los responsables de los procesos de negocio y a otras partes relevantes de la organización?

PO1.2PO6.5

3. ¿Los gestores IT comunican regularmente sus actividades, desafíos y riesgos al Di t G l l Di t Fi i ?

PO1.2PO6.5

Director General y al Director Financiero? ¿Se comparte también esta información con el Consejo de Administración?

4. ¿Existen mecanismos de monitorización del progreso de los proyectos del Plan Estratégico y mecanismos de reacción para cumplir lo establecido en ellos?

PO1.3ME1.2

Ejemplo: Cumplimiento SOX en IT(III)

Evaluación del Riesgo1. ¿Dispone la organización IT tanto a nivel

corporativo como operativo (nivel de actividad) de un marco de evaluación que se use periódicamente para evaluar el

PO9.1

riesgo inherente a la consecución de los objetivos de reporte financiero?

2. ¿Mide el sistema de evaluación de riesgo IT el impacto según criterios cualitativos y cuantitativos, recabando información de diferentes áreas, incluyendo (pero no limitado a) opiniones de la dirección, planificación estratégica, pasadas auditorías y otras evaluaciones

PO9.2PO9.3PO9.4ME4.5

3. En los casos en los que los riesgos se consideran aceptables, ¿se encuentra la aceptación del riesgo residual

PO9.5

aceptación del riesgo residual, formalmente documentada, incluyendo posibles contrapartidas como cobertura aseguradora, penalizaciones por incumplimientos contractuales ? ¿En los caso en los que los riesgos han sido aceptados, dispone la dirección de un plan para definir una respuesta a estos riesgos?

PO9.6

12

La gestión de riesgos de seguridad ocupa un lugar preponderante en la formación y responsabilidades del usuario: - Cursos periódicos de seguridad de la información +

Ejemplo: Seguridad de la información

- Cursos periódicos de seguridad de la información + riesgos empresariales + antilavado de dinero + ética empresarial, etc, para empleados.

- Formación obligatoria para nuevas incorporaciones.- Seguridad de la información:

- Políticas, estándares, procedimientos: política general de seguridad, control de acceso, antivirus, redes inalámbricas, etc

- Distintos niveles: usuario final + políticas y procedimientos técnicos

El entorno online favorece la monitorización, auditoría, seguimiento y actualización de contenidos para garantizar la formación continua.

“Se ponen frenos en los coches p

de carreras no para que vayan

más despacio, sino para ir más

deprisa”deprisa

- Al Unser

13

Muchas gracias

faparicio@paypal.comfaparicio@profesor.ie.edu