Compliance, Risk Governance y Gestión de la Información ... · – Cada día PayPal adquiere más...
Transcript of Compliance, Risk Governance y Gestión de la Información ... · – Cada día PayPal adquiere más...
1
Compliance, Risk Governance y Compliance, Risk Governance y Gestión de la Información: Gestión de la Información: Gestión de la Información: Gestión de la Información:
Enterprise Risk Management in Enterprise Risk Management in PayPalPayPal
Fernando Aparicio, Director General de PayPal España17 de Noviembre de 2008
PayPal de un vistazo
– Fundada en diciembre de 1998 y adquirida por eBay en 2002, PayPal es el líder internacional de pagos en Internet.
– PayPal tiene más de 165 millones de cuentas de usuario registradas:• 50 millones en Europa• 50 millones en Europa• Más de 2 millones en España
– Disponible en 190 países, acepta pagos en 17 divisas.
– Cada día PayPal adquiere más de 100.000 cuentas de usuario en todo el mundo y alrededor de 21.000 cuentas semanales en España.
– En Europa hay más de 1.000 empleados en la central de Dublín.
– PayPal mantiene uno de los porcentajes de fraude menores de la industria online – 0,29% frente a la media de porcentaje de fraude online de 3%.
– PayPal obtuvo una licencia bancaria para operar en Europa en Julio de 2007
2
Servicio de PayPal
Forma de retirada de
fondos
Fuentes de fondos
Cuenta PayPal
Cuenta PayPal
Saldo de PayPal
Tarjeta de débito
Tarjeta de crédito
delvendedor
delcomprador
Saldo de PayPal
Cuenta bancaria
Cuenta bancaria
PayPal permite aceptar los medios de pago locales y de 190 países
AlemaniaUK
Canadá
Francia
España
Italia
USAChina
Suiza
Australia
3
Enterprise Risk Management (ERM) es un proceso que:
• Se lidera y lleva a cabo desde el consejo de administración, dirección general ypersonal especializado
• Se aplica en la formulación de la estrategia y se extiende por todos los procesos
Nuestra definición de ERM
empresariales
Su objetivo es:
• Identificar amenazas potenciales que puedan afectar a la empresa (negociosarriesgados, cumplimiento regulatorio, irregularidades contables)
• Gestionar el riesgo corporativo dentro de los márgenes de riesgo admitidosinternamente (“apetito del riesgo”)
• Proveer una seguridad razonable del cumplimiento de los objetivos de laempresa
Source: Enterprise Risk Management – Integrated Framework by COSO (Committee of Sponsoring Organisations of theTreadway Commission), September 2004
La percepción general del ERM es que es una disciplina que abarca más que la gestión del riesgo o el cumplimiento legal
PayPal ha de cumplir como empresa del grupo eBay con una variedad de reglas internas y cumplimiento de leyes externas
Como parte importante de la licencia bancaria en Europa, PayPal Europaestá comprometido con el mantenimiento de un sistema de Gestión delRiesgo Corporativo:
ERM en PayPal Europa
• El ERM es un principio integral de la dirección de la compañía
• El ERM está integrado en la filosofía y procesos de negocio de laorganización y no se contempla como una práctica separada o como unprograma/departamento aislado.
Por tanto, nuestra definición de ERM comprende 4 pasos:
• Idenfitificación del Riesgo• Idenfitificación del Riesgo
• Análisis del Riesgo
• Medición del Riesgo
• Control del Riesgo
4
Idenfiticación del Riesgo
Board CS/OPS Finance HR / Administration
Strategic Risk Management
La identificación de los riesgos principales se asigna a grupos funcionalesque tienen la responsabilidad principal de gestionar el riesgo
E.g.• Revenue Risk• Political Risk…
E.g.• CS/OPS Risk…
E.g.• Large Exposure
Risk• Settlement Risk• FX Rate Risk• Asset Liability
Risk…
E.g. • Resource Risk• Personnel Risk…
E.g.• Regulatory Risk• Compliance Risk• Money Laundering
Risk• AUP Violation
Risk…
Legal Marketing & Business
Operations
Product Risk Analytics Technology
• Legal Risk…
E.g.• Competition Risk• Processing Risk…
E.g.• Product Risk…
E.g.• Fraud Risk• Counterparty /
Credit Risk…
E.g.• Business
Continuity Risk• Data Security Risk• Site &
Functionality Outage Risk
…
Sample Risk identification overview
Análisis del Riesgo
Los riesgos son identificados y analizados mensual y trimestralmente
VPInt'l PP Inc.Risk of not meeting business targets…. …Revenue Risk CEO PPEL
DESCRIPTION CONTROL MEASURES ESCALATIONPOINTDEPARTMENT OVERALL
RESPONSIBILITY RISK DEPARTMENTALRESPONSIBILITY
VPHR & Admin PP Inc.
…
VPInt'l PP Inc.
VPInt'l PP Inc.
…
VPHR & Admin PP Inc.
VPInt'l PP Inc.
…
VPInt'l PP Inc.
VPOperations PP Inc.
Customer Services CEOPPEL
Director Treasury
Director Treasury
Risk not to handle customer's requests properly… …OPS / CS Risk VP CS
Risk of changes in the political / fiscal environment (tax laws)… …
… … …
Risk of inability to attract talent, fulfil human resource requirements… …
HR /Administration
CEOPPEL
Resource Risk
Personnel Risk
Director HR
…
Risk of fluctuations of the foreign exchange market where certain rates are committed to customers…Director Treasury
…
Risk of human error, lack of training or loss of key employees…
Risk of account misuse, and not fulfilling account reconciliation requirements…
Large Exposure Risk
Director HR
Risk of losing the full investment price due to deterioration in credit quality of issuer…
…
Settlement RiskFinance
Foreign ExchangeRate Risk
… … …
…
…
…
CFOPPEL
…
… …… …
… … …
Board CEOPPEL Political Risk CEO PPEL
…
Sample Risk Analysis summary
VPStrategic Risk PP Inc.
VPStrategic Risk PP Inc.
…
…
VPStrategic Risk PP Inc.
VPStrategic Risk PP Inc.
…
Director Compliance
Director Compliance
Director Compliance
…
…
AML Risk Risk of not complying with AML requirements…
Regulatory Risk Risk of not fulfilling regulatory requirements…
ComplianceRisk Risk of not complying with rules and regulations…
… … …Etc. … … …
AUP Violation Risk Risk of not complying with AUPs…
…
…
…
Strategic Risk Management CFO PPEL
…
Director Compliance
5
Medición y control del riesgo
Los riesgos de PayPal son medidos y controlados en un cuadro de mando
PPEL Risk ScorecardJanuary 2005
Commentary / AnalysisRisk Category Measurement Criteria Dec-04 Risk Eval.Subcategory
Lowest excess of QLA vs. outstanding e-money (value QLA must not be lessthan e-money outstandings; internal goal is minimum excess of x%) x R-CO …
Lowest proportion of own funds to e-money float, goal is to maintain an excessof x% above the minimum 5% FSA requirement. x R-CO …
Lowest unused portion of FX exposure limit (FX exposure must not exceed FX exposure limit) x R-CO …
xxx x F-CT …
Number of recorded Compliance breaches = 0 x R-CO …
Number of reports received vs. made to NCISgoal: identify and report suspicious activity within x days of identification x R-CO …
Effective Hit Rate (Action / Investigation); goal: no. of incidences = 0 x R-SL …
xxx x R-CO …
AUP Violation Risk
xxx
Compliance Risk
Financial Risk
Asset Liability Risk
Large Exposure Risk
Foreign Exchange Risk
xxx
Money Laundering
Breaches
Sample Risk Scorecard
Marketing Risk Number of Marketing related incidences / changes which might turnoutto be a risk (goal = 0) x C-DB …
Product Risk Number of Product related incidences / changes which might turn out to be a risk (goal = 0) x R-CO …
Fraud Risk Fraud loss rate x F-CT …
Policies to cover risk adequately. x F-CT …
Number of issues with possible business impact on PPIL (goal = 0). x F-CT …
xxx x F-RE …
n/a
n/a
n/a
Other Risks
Insurance Risk
Tax Risk
xxx
Asunción de Riesgo I (Risk Appetite)
El apetito de riesgo es la exposición al riegso, o el potencial impacto adversode un evento de riesto que la dirección de PayPal está dispuesto a aceptar.
Es una figura clave de la gestión del riesgo, ya que:
• Provee a la dirección la confianza razonable de que la empresa conseguirásus objetivos
• Provee apoyo al proceso de cumplimiento regulatorio
• Conecta los riesgos con los generadores de valor de la compañía
• Alinea la gestión del riesgo con los principios de la dirección general
• Establece rangos en torno a métricas clave que serán usados por losdirectores funcionales en el proceso de toma de decisiones
• Permite la priorización de las inversiones para mitigar el riesgo
6
Asunción de Riesgo II
Risk Area Risk Impact
Cost < GBP x,000 F-CT GBP x,000 to GBP x,000 F-CT > GBP x,000 F-CT
Revenue < - GBP x,000 F-RE - GBP x,000 to - GBP x,000 F-RE > - GBP x,000 F-RE
… … F-… … F-… … F-…
Risk Evaluation
Finance
Failure to meet Compliance requirements no substantial Compliance risk R-CO some potential Compliance risk;
action plan required R-COimmediate and substantial Compliance
risk; immediate action andremediation required
R-CO
Litigation no suits / threatsof law suit R-SL notice of suit or representation;
threat of law suit R-SL material financial or other issuesare identified R-SL
… … R-… … R-… … R-…
Discussion Boards positive C-DB overall positive; however somenegative discussions C-DB overall negative C-DB
… … C-… … C-… … C-…
Media Attention positive media coverage B-MA isolated negative media coverage B-MA multiple negative media coverage B-MA
Brand Reputation
Legal / RegulatoryCompliance
Community
… … B-… … B-… … B-…
Head count variance compared to budget > x% E-HC x% to y% E-HC > x% E-HC
… … E-… … E-… … E-…
= LOW Risk Exposure
= MEDIUM Risk Exposure
= HIGH Risk Exposure
Employee
low impact on PPEL strategy / operational activities; action required within a reasonable timeframe
moderate impact on PPEL strategy / operational activities; action required within an adequate timeframe
significant impact on PPEL strategy / operational activities; immediate action required
Sample Risk Appetite
Requerimientos clave del ERM
Tras la definición del marco de actuación del ERM los principalesTras la definición del marco de actuación del ERM, los principaleselementos para asegurar su implantación efectiva son:
• Guía de Riesgo
• Informe de Riesgo
• Organización del Riesgo
• Proceso de gestión del negocio
7
Guía de Riesgo
Es una documentación exhaustiva que define la política de gestión delRiesgo de PayPa y su enfoque general. Es la base de los procesosERM, asegura un entendimiento común del ERM y es un elementoclave para la difusión de la cultura del riesgo dentro de la organización
Informe de Riesgo
Mensual y trimestralmente, las diferentes unidades de PayPal elaboran uninforme que provee una visión actualizada de los riesgos a la DirecciónCorporativa
8
Organización de Riesgo
El ERM en PayPal es parte de la división de Riesgo Estratégico, quereporta directamente al Presidente de PayPal y está directamentevinculado al departamento de Gestión de Riesgo Corporativo de eBay
San Jose
PP Inc.Strategic Risk Management
eBay Inc.Corporate Risk Management
PayPal International Ltd.Senior Manager Corporate Risk Management
Dublin
PayPalInc.
ERM
PayPal (Europe) Ltd.
ERM
PayPalInt’l Ltd. ERM
Proceso de Gestión del Riesgo de Negocio (I)
• Definido claramente y directamente relacionado con la direccióngeneral de PayPal
• Las reuniones semanales aseguraran un seguimiento muy preciso delriesgo
• Una vez identificados los riesgos, aquellos que excedan el apetito deriesgo son escalados, según lo definido en la Guía de ERM
• Reuniones trimestrales de ERM con la Dirección General del GrupoeBay asegura una adecuado proceso de mitigación del riesgo yy g p g g ygarantiza la inversión correspondiente
9
• Identificación y consenso sobre los riesgos principales • Obtención de la aprobación directiva y designación de un Director de
ERM corporativo
Proceso de Gestión del Riesgo de Negocio (II)
• Asignación de propietarios responsables de la gestión del riesgo• Designar un Consejo de Riesgo Coporativo para la gestión de la
exposición al riesgo y el establecimiento de la debida cultura corporativa • Creación de un cuadro de mando trimestral que mida cada riesgo y el
estado de salud general de la organización• Implanta un sistema de auto-evaluación del riesgo en la Dirección General• Actualización continua de la asunción del riesgo según evoluciona el
negocio
• Validación de las prioridades de gestión del riesgo y asignación de propietarios
• El Consejo Corporativo de Riesgo y los propietarios funcionales
Proceso de Gestión del Riesgo de Negocio (III)
• El Consejo Corporativo de Riesgo y los propietarios funcionales desarrollan formalmente planes de acción para mitigar el riesgo
• Fijación del alcance de cualquier técnica de tratamiento de riesgo y obtención de los recursos humanos y financieros correspondientes
• Formalización de un marco corporativo de gestión del riesgo que incluya:
Guía de RiesgoProceso de Informe de RiesgoOrganización del RiesgoOrganización del RiesgoProceso de Gestión del Riesgo de Negocio
• Alineamiento de los procesos ERM con el gobierno corporativo
10
Conclusiones clave
• ERM es una responsabilidad compartida entre operaciones y finanzas, con la máxima visibilidad en la Dirección Generalla Dirección General
• El enfoque en la eficiencia operacional y financiera exige una optimización y cumplimiento exhaustivo de la conformidad normativa y los controles de negocio
• EL ERM provee una severa estructura de control que reduce el riesgo de “sorpresas” para el negocio
Ejemplo: Cumplimiento SOX en IT
• El cumplimiento de la norma SOX en lo referente a controles IT (sección 404) se referencia a una selección de controles COBIT, marco de gestión paraselección de controles COBIT, marco de gestión para el buen gobierno.
• COBIT comprende cuatro dominios, 34 procesos IT y 215 objetivos de control.
• Aunque COBIT incluye controles dirigidos a todos los aspectos del Gobierno IT, únicamente se incluirán aquellos controles que tengan relevancia significativa para la vertiente financiera de las organizaciones.para la vertiente financiera de las organizaciones.
11
Ejemplo: Cumplimiento SOX en IT (II)
Planificación estratégica de IT
1. ¿Dispone la organización de planes estratégicos que alineen los objetivos de negocio con las estrategias IT? Dichos
PO1.4
g gplanes, ¿incluyen mecanismos para solicitar opinión de actores relevantes internos y externos afectados por los planes estratégicos IT ?
2. ¿Comunica la organización IT sus planes IT a los responsables de los procesos de negocio y a otras partes relevantes de la organización?
PO1.2PO6.5
3. ¿Los gestores IT comunican regularmente sus actividades, desafíos y riesgos al Di t G l l Di t Fi i ?
PO1.2PO6.5
Director General y al Director Financiero? ¿Se comparte también esta información con el Consejo de Administración?
4. ¿Existen mecanismos de monitorización del progreso de los proyectos del Plan Estratégico y mecanismos de reacción para cumplir lo establecido en ellos?
PO1.3ME1.2
Ejemplo: Cumplimiento SOX en IT(III)
Evaluación del Riesgo1. ¿Dispone la organización IT tanto a nivel
corporativo como operativo (nivel de actividad) de un marco de evaluación que se use periódicamente para evaluar el
PO9.1
riesgo inherente a la consecución de los objetivos de reporte financiero?
2. ¿Mide el sistema de evaluación de riesgo IT el impacto según criterios cualitativos y cuantitativos, recabando información de diferentes áreas, incluyendo (pero no limitado a) opiniones de la dirección, planificación estratégica, pasadas auditorías y otras evaluaciones
PO9.2PO9.3PO9.4ME4.5
3. En los casos en los que los riesgos se consideran aceptables, ¿se encuentra la aceptación del riesgo residual
PO9.5
aceptación del riesgo residual, formalmente documentada, incluyendo posibles contrapartidas como cobertura aseguradora, penalizaciones por incumplimientos contractuales ? ¿En los caso en los que los riesgos han sido aceptados, dispone la dirección de un plan para definir una respuesta a estos riesgos?
PO9.6
12
La gestión de riesgos de seguridad ocupa un lugar preponderante en la formación y responsabilidades del usuario: - Cursos periódicos de seguridad de la información +
Ejemplo: Seguridad de la información
- Cursos periódicos de seguridad de la información + riesgos empresariales + antilavado de dinero + ética empresarial, etc, para empleados.
- Formación obligatoria para nuevas incorporaciones.- Seguridad de la información:
- Políticas, estándares, procedimientos: política general de seguridad, control de acceso, antivirus, redes inalámbricas, etc
- Distintos niveles: usuario final + políticas y procedimientos técnicos
El entorno online favorece la monitorización, auditoría, seguimiento y actualización de contenidos para garantizar la formación continua.
“Se ponen frenos en los coches p
de carreras no para que vayan
más despacio, sino para ir más
deprisa”deprisa
- Al Unser