Tesis IACG
Short Description
Download Tesis IACG...
Description
ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL Instituto de Ciencias Matemáticas
“Diseño de un Sistema de Indicadores Claves de Riesgo para el Proceso de Gestionar y Prevenir Fraudes de una Entidad Financiera Emisora de Tarjetas de Crédito”
TESINA DE GRADO
Previo a la obtención del Título de:
INGENIERÍA EN AUDITORÍA Y CONTROL DE GESTIÓN ESPECIALIDAD CALIDAD DE PROCESOS
Presentado por:
Miguel Reinaldo Salas Hernández Benigno Alfredo Armijos De la Cruz
Guayaquil - Ecuador 2011
DECLARACIÓN EXPRESA
“La responsabilidad del contenido de este trabajo de graduación o titulación, nos corresponde exclusivamente; y el patrimonio intelectual de la misma a la Escuela Superior Politécnica del Litoral”
------------------------------------
-----------------------------------
Miguel Salas Hernández
Benigno Armijos De la Cruz
2
TRIBUNAL DE GRADUACIÓN
-------------------------------------------
-------------------------------------------
Ing. David Guerrero Sánchez
Ing. Dalton Noboa Macías
DELEGADO DEL ICM
DIRECTOR DE TESINA
3
AGRADECIMIENTOS A Dios por otorgarme la aptitud y actitud para concluir esta ardua investigación, a Juan Águila Camacho por brindarme la oportunidad de crecer profesionalmente en el mundo de la consultoría en riesgos de negocios, a Yadira Meza Mieles y Ana Galindo Álvarez por su instrucción en la comprensión de los procesos más relevantes en la industria de pagos con tarjetas de crédito, a Lady Acuña Troya por su valiosa ayuda en la comprensión de los diversos esquemas de prevención y control de fraudes con tarjetas bancarias y a todos mis mentores del ICM que contribuyeron significativamente a mi formación personal y profesional. Alfredo.
A Dios, por ser mi guía y fortaleza cada día de mi vida, a mi tía, madre y abuela Margarita, por ser mi inspiración por alcanzar mis objetivos, la razón del porque aun deseo seguir luchando y avanzando, por creer y confiar en mí en todo lo que me he propuesto, por darme la fortaleza y servir de ejemplo en mi vida y ahora a lado de dios se que serás mi ángel, a mi tío Roberto, quien me apoyo desde inicio a fin en mi vida universitaria y creyó siempre en mi,
Miguel.
4
DEDICATORIAS A Dios, a mi Tía Abuela y Madre Margarita, por su amor incondicional y la sabiduría de sus consejos que fueron mi fortaleza hasta en las circunstancias más difíciles de mi vida, siempre creyó y confió en mí, que el padre celestial la tenga en su gloria y desde el cielo se que estará siempre conmigo. Miguel.
A Dios por ser mi fuente de constante inspiración y perseverancia, a mis compañeros y amistades de profesión que brindaron su tiempo y conocimiento a la culminación de esta investigación, a Marisela Ramírez Orellana por sus acciones de aliento en los momentos más difíciles de este proyecto de graduación y con el más sincero afecto a mis padres Benigno Armijos Rodríguez y Luisa De la Cruz Morales, seres maravillosos que con todo su amor, sacrificio y comprensión guiaron siempre mi camino hacia la búsqueda de la excelencia profesional. Alfredo.
5
INDICE GENERAL Resumen ....................................................................................................................... 9 Introducción ................................................................................................................ 10 Planteamiento del Problema ...................................................................................... 11 Justificación del Problema ........................................................................................ 12 Objetivo General ......................................................................................................... 13 Objetivos Específicos ................................................................................................ 13 Metodologia ................................................................................................................ 14 CAPÍTULO I ................................................................................................................. 15 MARCO TEÓRICO ....................................................................................................... 15 1.1. Gestión de Procesos del Negocio ............................................................. 15 1.1.1. Definición de Procesos ...................................................................... 15 1.1.2. Sincronización y Alineamiento de los Procesos de Negocio .......... 15 1.1.3. Definición de Gestión de Procesos del Negocio (BPM) ................... 18 1.2. Indicadores Claves de Riesgo (KRIs) ........................................................ 20 1.2.1. Definición de KRIs .............................................................................. 20 1.2.2. Tipos de KRIs ..................................................................................... 20 1.2.3. Beneficios de los KRIs ....................................................................... 21 1.2.4. Limitaciones de los KRIs ................................................................... 21 1.2.5. Metodología de Construcción de KRIs .............................................. 22 1.3. Fraudes en Tarjetas de Créditos ............................................................... 24 1.3.1. Introducción ........................................................................................ 24 1.3.2. Esquemas de Fraude en T/C .............................................................. 24 1.4. Sistemas de Información Gerencial .......................................................... 29 1.4.1. Business Intelligence ......................................................................... 29 1.4.2. OLTP ................................................................................................... 31 1.4.3. OLAP ................................................................................................... 31 1.4.4. Data Warehouse ................................................................................. 31 1.4.5. Datamart .............................................................................................. 33 1.4.6. Estructura de Tablas .......................................................................... 33 1.4.7. ETL ...................................................................................................... 37 1.4.8. Dashboard ........................................................................................... 38 1.5. Gestión del Riesgo Operativo en IFIs - Basilea II ..................................... 40 1.5.1. Definición del Riesgo Operativo ........................................................ 40 1.5.2. Fuentes del Riesgo Operativo ........................................................... 40 1.5.3. Sistema de Administración del Riesgo Operativo (SARO) .............. 41 1.5.4. Etapas en la Gestión del Riesgo Operacional .................................. 43 1.5.5. Cuantificación del Riesgo Operacional ............................................. 43 1.6. Seis Sigma: Paradigma de la Calidad Total .............................................. 56 1.6.1. Cartas de Control de Procesos Shewart ........................................... 57 1.6.2. Análisis de Capacidad y Desempeño de Procesos .......................... 59 1.6.3. Analisis de Corridas o Rachas en Procesos ..................................... 61 CAPÍTULO II ................................................................................................................ 63 CONOCIMIENTO DEL NEGOCIO ................................................................................ 63 2.1.
Antecedentes Generales. ........................................................................... 63
6
2.1.1. Entorno Económico. ........................................................................... 63 2.1.2. Descripción de la Institución. ............................................................ 64 2.1.3. Filosofía Institucional......................................................................... 64 2.2. Análisis Estratégico. .................................................................................. 65 2.3. Características Operacionales. ................................................................. 66 2.3.1. Riesgo de Procesos Internos. ................................................................... 66 2.3.2. Riesgo de Gestión del Talento Humano. .................................................. 68 2.3.3. Riesgo de Tecnologías de Información. ................................................... 69 2.3.4. Riesgo de Eventos Externos (Continuidad de Negocio). ....................... 73 2.3.5. Riesgo Legal. ............................................................................................... 74 2.3.6. Riesgo de Cumplimiento. ........................................................................... 74 2.3.7. Situación del Riesgo Operativo en la Entidad. ........................................ 75 2.4. Gestión de Buen Gobierno Corporativo. ................................................... 75 2.5. Estrategias y Posición Competitiva. ......................................................... 76 2.6. Seguridad y Prevención de Fraudes en Tarjetas de Crédito ................... 77 2.6.1. Departamento de Gestión y Prevención de Fraudes. ............................. 77 2.6.2. Estructura Organizacional ......................................................................... 82 2.6.3. Procesos de Riesgo de Fraude ................................................................. 82 2.6.4. Sistema de Procesamiento de Pagos de Tarjetas de Crédito ................ 84 CAPÍTULO III ............................................................................................................... 88 DISEÑO DE INDICADORES CLAVES DE RIESGO ..................................................... 88 3.1. Identificación de los Eventos Críticos de Riesgo ..................................... 88 3.2. Definición de los Indicadores Claves de Riesgo ...................................... 89 3.2.1. Impacto de Fraudes en Tarjetas de Crédito ............................................. 89 3.2.2. Frecuencia de Fraudes en Tarjetas de Crédito ........................................ 90 3.2.3. Heurística de Tecnologías Analíticas de Fraudes ................................... 91 3.2.4. Productividad en Gestión de Fraudes ...................................................... 92 3.2.5. Tiempo de Resolución de Fraudes ........................................................... 93 3.2.6. Severidad en Control de Fraudes.............................................................. 94 3.3. Evaluación de los Indicadores Claves de Riesgo ..................................... 95 3.3.1. Matriz de Diseño de Indicadores Claves de Riesgo ................................ 95 3.3.2. Análisis GAP de Indicadores Claves de Riesgo ...................................... 96 CAPÍTULO IV ............................................................................................................... 98 SISTEMA DE INDICADORES CLAVES DE RIESGO ................................................... 98 4.1. Modelos de Datos ....................................................................................... 98 4.1.1. Modelo Punto .............................................................................................. 98 4.2. Modelo Datamart ........................................................................................ 99 4.2.1. Hecho Fraudes .......................................................................................... 100 4.3. Sistema de Indicadores Claves de Riesgo .............................................. 101 4.3.1. Impacto de Fraudes en Tarjetas de Crédito ........................................... 103 4.3.2. Frecuencia de Fraudes en Tarjetas de Crédito ...................................... 104 4.3.3. Heurística de Tecnologías Analíticas de Detección de Fraudes ......... 105 4.3.4. Productividad en Gestión de Fraudes .................................................... 106 4.3.5. Tiempos de Resolución de Fraudes ....................................................... 107 4.3.6. Severidad en Control de Fraudes............................................................ 108 CAPÍTULO V .............................................................................................................. 109 ANÁLISIS ESTRATÉGICO DE INDICADORES CLAVES DE RIESGO ...................... 109 5.1. Análisis Estadístico Descriptivo de Base de Eventos de Pérdida .......... 109 5.1.1. Pérdida Monetaria en Fraudes de Tarjetas de Crédito.......................... 109 5.1.2. Frecuencia de Fraudes en Tarjetas de Crédito ...................................... 110
7
5.1.3. Tiempo de Resolución de Fraudes en Tarjetas de Crédito .................. 111 5.1.4. Esquemas de Fraude en Tarjetas de Crédito ......................................... 112 5.1.5. Tecnologías Analíticas de Detección de Fraudes ................................. 113 5.1.6. Productividad de Gestores en Fraudes de Tarjetas de Crédito ........... 115 5.1.7. Severidad de Fraudes en Marcas de Tarjetas de Crédito ..................... 116 5.1.8. Localización de Fraudes en Tarjetas de Crédito ................................... 118 5.1.9. Perfiles del Riesgo de Fraude del Tarjetahabiente................................ 119 5.2. Control Estadístico de la Calidad en Procesos .......................................... 120 5.2.1. Control de Incidencia de Fraudes en Tarjetas de Crédito .................... 120 5.2.2. Control de las Pérdidas por Fraudes en Tarjetas de Crédito ............... 123 5.3. Análisis de Capacidad y Desempeño de Procesos ................................... 126 5.3.1. Análisis de Capacidad del Proceso de Gestión de Fraudes en T/C (Modelo Normal) ......................................................................................................... 126 5.3.2. Análisis de Capacidad del Proceso de Gestión de Fraudes en T/C (Modelo No Normal) ................................................................................................... 129 5.4. Análisis de Corridas en Tiempos de Resolución de Fraudes de T/C ..... 133 5.4.1. Análisis de Corridas en Tiempos de Resolución de Fraudes ACT ...... 134 5.4.2. Análisis de Corridas en Tiempos de Resolución de Fraudes TNP ...... 135 5.4.3. Análisis de Corridas en Tiempos de Resolución de Fraudes RBT ...... 136 5.4.4. Análisis de Corridas en Tiempos de Resolución de Fraudes EXT ...... 137 5.4.5. Análisis de Corridas en Tiempos de Resolución de Fraudes PHT ...... 138 5.5. Simulación Matemática del Modelo de Distribución de Pérdidas Agregadas (LDA) ........................................................................................................... 139 5.5.1. Obtención de Base de Eventos de Pérdida (BEP) ................................. 139 5.5.2. Ajuste de Distribución Estadística para Frecuencia de Pérdidas ....... 139 5.5.3. Ajuste de Distribución Estadística para Impacto de Pérdidas ............. 141 5.5.4. Aproximación del Cálculo Determinístico y Estocástico del OpVaR con Simulación Monte Carlo (SMC) ................................................................................. 142 5.6. Simulación Matemática del Modelo de Distribución Generalizada de Valores Extremos de Pérdida (GEV) .......................................................................... 145 5.6.1. Estimación de Parámetros de la Distribución GEV ............................... 145 5.6.2. Cálculo del OpVaR por el Método de Bloques Máximos ...................... 147 CAPÍTULO VI ............................................................................................................. 148 Conclusiones ........................................................................................................ 148 Recomendaciones ................................................................................................ 151 BIBLIOGRAFÍA .......................................................................................................... 154 GLOSARIO DE TÉRMINOS ....................................................................................... 157 ANEXOS .................................................................................................................... 167 Anexo No. 1 Diagrama del Proceso PO - 2.7.5.1 Gestionar y Prevenir Fraudes en Tarjetas de Crédito - Vía Emisión ............................................................................ 168 Anexo No. 2 Descripción de Funciones y Responsabilidades del Proceso .......... 169 Anexo No. 3 Análisis GAP de Indicadores Claves de Riesgo (KRI) ........................ 182 Anexo No. 4 Modelo Relacional del Sistema de Indicadores Claves de Riesgo (SKRI) de ICE Bank F.G. ........................................................................................... 183 Anexo No. 5 Base de Eventos de Fraudes en T/C de ICE Bank F.G. ...................... 184 Anexo No. 6 Resultados de Simulación Modelo LDA – Severidad Determinística 185 Anexo No. 7 Resultados de Simulación Modelo LDA – Severidad Estocástica .... 186
8
RESUMEN En el primer capítulo de esta investigación se describe el marco teórico de los fraudes en tarjetas de crédito, la gestión del riesgo operativo y la importancia de diseñar e implementar un sistema de indicadores claves de riesgo en las IFIS. El análisis del negocio en el segundo capítulo describe cada uno de los aspectos funcionales de la entidad como los procesos y procedimientos que fortalecen el cumplimiento de las estrategias de gestión de riesgos y la toma de decisiones del Departamento de Gestión y Prevención de Fraudes en Tarjetas de Crédito. Luego de una evaluación integral del estatus quo del negocio, el capítulo tres expone el desarrollo metodológico de indicadores claves de riesgo bajo el fundamento de importantes modelos de control de gestión como Basilea II, AS 4360/2004, COSO ERM II, BSC y Seis Sigma. Es importante destacar que las organizaciones que alcanzan el éxito son las que enfatizan en la automatización de sus procesos, por lo que el cuarto capítulo describe el desarrollo de una herramienta informática de análisis multidimensional que permitirá realizar la evaluación y control de las variables críticas en estudio. La estadística como ciencia analítica ha trascendido a través del tiempo y cada día adquiere mayor importancia, es por ello que su aplicación en el quinto capítulo permitirá a los stakeholders interpretar sus resultados e implementar soluciones hacia la mejora de la calidad y productividad de sus procesos de negocio. Finalmente las conclusiones y recomendaciones resultantes de esta investigación son descritas en el contenido del sexto capítulo.
9
INTRODUCCIÓN Muchos acontecimientos históricos en la administración de riesgos financieros se han desarrollado a nivel mundial como innovaciones regulatorias no sólo por la existencia de Basilea II, sino también a raíz de los cambios realizados por los organismos de control, fracasos corporativos y en especial aquellos problemas vinculados con la quiebra de entidades o hechos de gran magnitud por el volumen de pérdidas ocasionadas; todo esto ha derivado en una mayor preocupación por la gestión del riesgo operativo. Los fraudes en tarjetas de crédito se han intensificado en la última década siendo el sector financiero la industria más perjudicada; en Ecuador, aproximadamente entre 150 a 200 denuncias mensuales por eventos de fraude en tarjetas de crédito se registran en la Policía Judicial, de las cuales en la Provincia del Guayas para el cierre del 2009 entre el 56.50% y el 75.33% de los casos correspondieron a la apropiación ilícita a través de medios informáticos y hasta Abril del 2010 entre el 54.50% y el 72.67% de los casos pertenecen a denuncias efectuadas en la Provincia del Pichincha por delitos informáticos; dando como resultado un total de 5 denuncias al día. Conscientes de esta tendencia delictiva en nuestro país, se desarrolló esta investigación con el objetivo de proporcionar a las IFIS una guía metodológica del diseño e implementación de indicadores claves de riesgo así como un conjunto de herramientas y estrategias de gestión de riesgos financieros basadas en tecnologías analíticas conocidas como “Inteligencia de Negocios” y “Data Warehouse” que integran toda información corporativa de fraudes en tarjetas de crédito con el objetivo de hacer análisis comparativos, identificar patrones de comportamiento sobre las anomalías detectadas, y elaborar modelos predictivos que puedan ser fácilmente adoptados por las entidades financieras a nivel nacional e internacional.
10
PLANTEAMIENTO DEL PROBLEMA La cuantificación del riesgo financiero siempre ha sido una de las preocupaciones centrales de los investigadores y operadores en el sector financiero, no sólo por la exigencia cada vez más creciente de responder a la normatividad
emanada
de
las
entidades
reguladoras
nacionales
e
internacionales, como es el caso de la SBS y el BIS del Comité de Basilea para mejorar continuamente los procesos de toma de decisiones y generación de valor. En los últimos años, pero fundamentalmente desde el surgimiento del Nuevo Acuerdo de Basilea (2004-2006), también conocido como Basilea II, que incorporó el riesgo operacional para el cálculo de los requerimientos de capital, los procesos de identificación de ese riesgo, su medición y gestión, se han convertido en un desafío no sólo para los operadores de las finanzas, sino también para los académicos e investigadores, que han propuesto múltiples modelos para su cuantificación. Desafortunadamente el conocimiento de los estafadores también ha dado pasos en paralelo bajo la creciente globalización tecnológica a nivel mundial, perjudicando integralmente a la industria financiera nacional e internacional con ingeniosos artificios
que capturan la información personal de
establecimientos y tarjetahabientes en cajeros automáticos, páginas web falsas y a través de una gran diversidad de esquemas delictivos que impactan significativamente el desarrollo interbancario y los servicios de gestión y posventa financiera de las instituciones bancarias, sin que se percaten de los inminentes efectos de materialización de pérdidas potenciales por riesgo de fraude que recaen sobre el sistemas de operaciones de tarjetas de crédito y afectan gravemente la competitividad y el crecimiento del sector privado en el Ecuador.
11
JUSTIFICACIÓN DEL PROBLEMA En el contexto de la banca y las finanzas, cuando se habla de riesgo, se hace referencia a la posibilidad de pérdidas causadas por variaciones en los factores que afectan el valor de un activo; por esa razón, es importante que se identifiquen, se midan, se controlen, y se efectué un monitoreo continuo de los diversos tipos de riesgo a los que están expuestas las instituciones financieras en el devenir cotidiano de sus actividades. Los modelos propuestos por Basilea II para la cuantificación de los riesgos financieros varían en requerimientos de datos, complejidad, exactitud, y en satisfacción de los estándares generales, cualitativos y cuantitativos, planteados por ese acuerdo. Dentro del enfoque de los modelos AMA, el Comité de Basilea propone: Cuadros de Mando Integral (BSC), el Modelo de Medición Interna (IMA), y el Modelo de Distribución de Pérdidas (LDA) Es necesario que toda institución financiera pueda contar con procesos y sistemas capaces para identificar, cuantificar y gestionar eficientemente el riesgo operativo, que le permita proveer el capital requerido para cubrir sus pérdidas potenciales; son por todas estas razones que el presente proyecto de graduación fue diseñado para implementar un sistema de indicadores claves de riesgo, brindar herramientas analíticas para el control estadístico de la calidad en los procesos del negocio (SPC) y aportar científicamente con algoritmos matemáticos de cuantificación del OpVaR como el tradicional modelo LDA y la teoría de valores extremos GEV para que coadyuven efectivamente a la administración esbelta de fraudes en tarjetas de crédito de la organización en estudio.
12
OBJETIVO GENERAL Proporcionar
una
sistematización
guía
de
metodológica
indicadores
claves
de de
diseño, riesgo
implementación
y
que
al
coadyuve
cumplimiento de las estrategias y objetivos del negocio, así como un conjunto de análisis y evaluaciones objetivas que brinden soluciones integrales a la gestión de casos de fraudes en tarjetas de crédito de conformidad con los principios y normativas que regulan las operaciones de la entidad financiera en estudio.
OBJETIVOS ESPECÍFICOS Establecer un enfoque de cuantificación y de mejora de performance bottomup a través del sistema de modelamiento de procesos de negocio ARIS Express 2.2 como estrategia de procesamiento de información para el conocimiento de todas las variables que pueden afectar el workflow del proceso de gestión y prevención de fraudes de este agente emisor de tarjetas de crédito. Demostrar los beneficios de utilizar herramientas estadísticas como Minitab Project Manager 16.0, Palisade Decisions Tools 5.5 y MS Excel 2007 para reducir el tiempo de desarrollo de los proyectos de mejora en la administración y gestión económica del riesgo operativo en las IFIS del país.
13
METODOLOGIA La técnica híbrida que se va a aplicar en este estudio es el Diseño e Implementación de Indicadores Claves de Riesgo (KRI) sustentada por otras importantes metodologías como Balance Scorecard, Enterprise Risk Management y Seis Sigma. La presente tesina constará de 6 capítulos en los cuales se describirá los diferentes conceptos de inteligencia de negocios y herramientas de control estadístico de procesos que se pueden utilizar en la aplicación de un proyecto de gestión del riesgo operacional.
1 2 3 4 5 6
• Capítulo No. 1: Marco Teórico. • Capítulo No. 2: Conocimiento del Negocio. • Capítulo No. 3: Diseño de Indicadores Claves de Riesgo. • Capitulo No. 4: Sistema de Indicadores Claves de Riesgo. • Capítulo No. 5: Análisis Estratégico de Indicadores Claves de Riesgo. • Capítulo No. 6: Conclusiones y Recomendaciones.
14
CAPÍTULO I MARCO TEÓRICO 1.1.
Gestión de Procesos del Negocio
1.1.1. Definición de Procesos 1 La palabra proceso viene del latín processus, que significa avance y progreso. Un proceso es el conjunto de actividades de trabajo interrelacionadas que se caracterizan por requerir ciertos insumos (inputs: productos o servicios obtenidos de otros proveedores) y tareas particulares que implican valor agregado, con miras a obtener ciertos resultados. Proceso no es lo mismo que procedimiento. Un procedimiento es el conjunto de reglas e instrucciones que determinan la manera de proceder o de obrar para conseguir un resultado. Un proceso define que es lo que se hace, y un procedimiento, cómo hacerlo. 1.1.2. Sincronización y Alineamiento de los Procesos de Negocio 1 El primer paso para adoptar un enfoque basado en procesos en una organización, en el ámbito de un sistema de gestión, es precisamente reflexionar sobre cuáles son los procesos que deben configurar el sistema, es decir, qué procesos deben aparecer en la estructura de procesos del sistema.
1
FVQ (España); “Guía para una Gestión basada en Procesos”
15
Este “dilema” suele ser el primer obstáculo con el que se encuentra una organización que desea adoptar este enfoque. Ante este dilema es necesario recordar que los procesos ya existen dentro de una organización, de manera que el esfuerzo se debería centrar en identificarlos y gestionarlos de manera apropiada. Habría que plantearse, por tanto, cuáles de los procesos son lo suficientemente significativos como para que deban tomar parte de la estructura de procesos y en qué nivel de detalle. Los principales factores para la identificación y selección de los procesos son:
1 2 3 4 5 6 7
• Influencia en la satisfacción del cliente. • Efectos en la calidad del producto/servicio. • Influencia en factores claves de éxito (KSF). • Influencia en la misión y estrategia. • Cumplimiento de requisitos legales o reglamentarios. • Riesgos económicos y de insastifacción. • Utilización intensiva de recursos. Figura 1.1 Factores Claves de Identificación y Selección de Procesos
La manera más representativa de reflejar los procesos identificados y sus interrelaciones es precisamente a través de un mapa de procesos, que viene a ser la representación gráfica de la estructura de procesos que conforman el sistema de gestión. Para la elaboración de un mapa de procesos, y con el fin de facilitar la interpretación del mismo, es necesario reflexionar previamente en las
16
posibles agrupaciones en las que se pueden encajar los procesos identificados. La agrupación de los procesos dentro del mapa permite establecer analogías entre procesos, al tiempo que facilita la interrelación y la interpretación del mapa en su conjunto. Considerando la agrupación elegida por la organización, el mapa de procesos debe incluir de manera particular los procesos identificados y seleccionados, planteándose la incorporación de dichos procesos en las agrupaciones definidas a continuación: 1. Procesos Gobernantes o Estratégicos como aquellos procesos que están vinculados al ámbito de las responsabilidades de la dirección y, principalmente al largo plazo. Se refieren fundamentalmente a procesos de planificación y otros que se consideren ligados a factores claves o estratégicos y las características a cumplir en esta categoría son: El proceso abarca a toda la organización. El proceso indica dirección. El proceso indica organización. El proceso indica planificación. El proceso especifica estrategia institucional. 2. Procesos Productivos, Fundamentales u Operativos como aquellos procesos ligados directamente con la realización del producto y/o la prestación del servicio. Son los procesos de “línea” y las características a principales de esta categoría son: El proceso impacta en objetivos estratégicos. El proceso tiene relación con los clientes externos. El proceso involucra a la razón de ser de la entidad. El proceso presta servicio. El proceso agrega valor.
17
El proceso satisface necesidades. 3. Procesos Habilitantes, de Soporte o Apoyo
como aquellos que
sustentan a los procesos gobernantes y productivos, se encargan de proporcionar personal competente, reducir los riesgos del trabajo, preservar la calidad de los materiales, equipos y herramientas, mantener las condiciones de operatividad y funcionamiento, coordinar y controlar la eficacia del desempeño administrativo y la optimización de los recursos. El proceso provee recursos. El proceso tiene relación con los clientes internos. El proceso facilita el desarrollo de actividades. 1.1.3. Definición de Gestión de Procesos del Negocio (BPM) 2
Figura 1.2 Dimensiones de la Administración de Procesos del Negocio - BPM
Es un conjunto de métodos, herramientas y tecnologías utilizados para diseñar, representar, analizar y controlar procesos de negocio operacionales, bajo un enfoque centrado en los procesos para mejorar el rendimiento que
2
Kiran Garimella, Michael Lees, Bruce Williams; “BPM Basics for Dummies”
18
combina las tecnologías de la información con metodologías de proceso y gobierno que abarca personas, sistemas, funciones, negocios, clientes, proveedores y socios. La tecnología BPM incluye todo lo que necesita a la hora de diseñar, representar, analizar y controlar los procesos de negocio operacionales:
El diseño y modelado de procesos posibilitan que, de forma fácil y rigurosa, pueda definir procesos que abarcan cadenas de valor y coordinar los roles y comportamientos de todas las personas, sistemas y otros recursos necesarios. La integración le permite incluir en los procesos de negocio cualquier sistema de información, sistema de control, fuente de datos o cualquier otra tecnología. La Arquitectura Orientada a Servicios (SOA) lo hace más rápido y fácil que nunca. No es necesario desprenderse de las inversiones ya realizadas; todo se puede reutilizar. Los entornos de trabajo de aplicaciones compuestas le permiten construir e implementar aplicaciones basadas en web casi de forma instantánea, completamente funcionales y sin necesidad de código. La ejecución convierte de forma directa los modelos en acción en el mundo real, coordinando los procesos en tiempo real. La supervisión de la actividad de negocio (BAM) realiza el seguimiento del rendimiento de los procesos mientras suceden, controlando muchos indicadores, mostrando las métricas de los procesos y tendencias clave y prediciendo futuros comportamientos.
19
El control le permite responder a eventos en los procesos de acuerdo a las circunstancias, como cambio en las reglas, notificaciones, excepciones y transferencia de incidentes a un nivel superior.
1.2.
Indicadores Claves de Riesgo (KRIs) 3
1.2.1. Definición de KRIs Son métricas que permiten advertir a las organizaciones en forma temprana la materialización de riesgos de pérdida. La identificación de estos indicadores es una herramienta que permite considerar acciones preventivas en la administración y gestión del riesgo operativo. En general, los KRIs muestran las causas de los eventos críticos de riesgo (REDs) que pueden proporcionar alertas para la detección preventiva en sistemas, procesos, productos, gente, y en ambientes de mayor amplitud. 1.2.2. Tipos de KRIs Los KRIs incluyen diferentes tipos de métrica que están divididas en cuatro categorías que son detalladas a continuación: Indicadores de Contingencia: Incorporan en su medición la evaluación de errores internos que afectan al alcance de un KSF como frecuencia de reprogramación de rutas, número de interrupciones en embarazos, etc. Indicadores de Causalidad: Son mediciones que están alineadas con la raíz de consecución de los REDs, tales como el tiempo de recuperación del sistema, número de devoluciones de productos, etc. Indicadores de Efectividad: Proveen un continuo monitoreo sobre la ejecución de los controles para la consecución de metas y objetivos 3
Aravind Immaneni, Chris Mastro, Michael Haubenstock; “A Structured Approach to Building Predictive Key Risk Indicators”
20
organizacionales tales como recuperación de cartera vencida, mejora en implementación de acciones correctivas y preventivas, etc. Indicadores de Volumen: Frecuentemente son lo que están asociados a múltiples tipos de riesgo en un proceso o unidad de negocio. Debido a su constante volatilidad, pueden incrementar la probabilidad y/o el impacto de la materialidad de un evento clave de riesgo, tales como pérdidas por discontinuidad del negocio, siniestros por agravación de pólizas, etc. 1.2.3. Beneficios de los KRIs Gracias a su implementación, una empresa podrá alcanzar la madurez y sistematización de sus procesos de negocio como el establecimiento de estrategias de tolerancia, transferencia, mitigación, y eliminación de riesgos dirigidas hacia todos los niveles de una organización Su correcta definición y estandarización proveen de una proactiva señal de advertencia ante inminentes pérdidas en recursos financieros, físicos, humanos y tecnológicos como otras externalidades negativas que impactan significativamente al crecimiento a corto y a largo plazo de una organización. 1.2.4. Limitaciones de los KRIs Cuando la estrategia de gestión de riesgos de una empresa aun se encuentra en evolución, es contraproducente que los KRIs se utilicen como un sistema de control clásico y por excepción, en lugar de ser una herramienta de previsión y aprendizaje. Si los KRIs no son bien diseñados ni analizados con cuidado, se pierde una gran parte de sus virtudes, porque no comunican el mensaje de prevención que se desea transmitir hacia la toma de decisiones por parte de los stakeholders.
21
1.2.5. Metodología de Construcción de KRIs La efectiva identificación y aplicación de los KRIs requiere de un enfoque metodológico que incorpora en su análisis varias herramientas de gestión como ERM, 6 Sigma y BSC y que está compuesto de 6 niveles los cuales son:
Figura 1.3 Proceso de Construcción de Indicadores Claves de Riesgo- KRI
1. Identificar riesgos e indicadores inherentes al negocio: El primer paso es identificar los riesgos e indicadores inherentes de la organización a fin de comprender el impacto económico en sus operaciones. 2. Evaluar la efectividad de los KRIs identificados: Una vez que el inventario de indicadores ha sido identificado, el siguiente paso es evaluar la flexibilidad y efectividad de cada uno de las métricas existentes como indicadores impulsores o de resultados; dos herramientas de evaluación son utilizadas en este estudio: el Análisis GAP y la Matriz de Diseño. Análisis GAP: Es una herramienta de evaluación que posee siete dimensiones de control que son evaluadas bajo una escala del 1 al 5; estas dimensiones son frecuencia de medición, niveles de control criterios de escalamiento, impulsor/resultado, responsabilidad de la medición, disponibilidad de datos históricos, y precisión de sus resultados. Esto ayuda a la organización a crear un juicio de valor sobre la efectividad de los indicadores claves de riesgo potenciales.
22
Matriz de Diseño: Es una variante del despliegue de la función de calidad (QFD) comúnmente utilizada en los estudios de la Metodología Seis Sigma. Esta herramienta cualitativa permite exponer la relación entre los indicadores bajo estudio y sus eventos claves de riesgo.
3. Mejorar la formulación de los KRIs identificados: En esta fase los indicadores son testeados contra las herramientas Análisis GAP y Matriz de Diseño bajo un análisis discriminante; es decir que los indicadores que no presentan un fuerte vínculo con las dimensiones de control y sus eventos claves de riesgo son removidos del inventario de la entidad teniendo al final un total de 5 KRIs. 4. Validar y establecer niveles de control de los KRIs: Este proceso consiste en el análisis y tratamiento estadístico de los datos históricos de como de los KRIs para la definición de sus limites de tolerancia y exposición a eventos claves de riesgo; en caso de que no se disponga de esta información, los niveles de control pueden ser obtenidos en base a las estrategias de gestión de riesgos del negocio. 5. Diseñar un cuadro de mando integral de KRIs: Los tableros de control o
dashboards
generalmente
emplean
semaforización,
gráficos
y
tendencias estadísticas que brindan una mejor percepción de la fortaleza de los KRIs como del status quo del negocio, esto facilita a los stakeholders a analizar y tomar las acciones correctivas y preventivas necesarias para mitigar estos eventos claves de riesgo. 6. Implementar un plan de control de riesgos: El resultado de la evaluación de los KRIs permite a una organización desarrollar un inventario de soluciones, con el objetivo de diseñar, mantener o mejorar sus niveles y medios de gestión de riesgos; es necesario para ello contar
23
con un buen procedimiento que garantice la exitosa planificación e implementación de estas acciones.
1.3.
Fraudes en Tarjetas de Créditos 4
1.3.1. Introducción El fraude en tarjetas de crédito es una de las más grandes amenazas a nivel mundial que recae y les cuesta a titulares, establecimientos y emisores de las tarjetas cientos de millones de dólares por año; en términos generales, este tipo de fraude puede ser definido como: “El uso de una tarjeta de crédito por parte de un individuo sin que el portador de la tarjeta original, el comercio ni la entidad emisora estén conscientes de que está siendo empleada ilícitamente y en la que no existe el compromiso por parte del defraudador en reembolsar los pagos por los débitos efectuados en la cuenta de la víctima.” 1.3.2. Esquemas de Fraude en T/C Debido al constante cambio de las tecnologías de la información, esto ha originado que se propaguen diversas alternativas para que los falsificadores usen métodos sofisticados para perpetrar un fraude. Organismos internacionales de control como el FTC, ACFE, ACAMS, ALIFC y en nuestro país la SBS han catalogado a los casos de defraudaciones y desfalcos con tarjetas crédito bajo los esquemas expuestos a continuación: 1. Extravió o Robo de T/C: Una tarjeta es extraviada cuando el tarjetahabiente original reciba su tarjeta de crédito y la pierde y robada
4
Tej Paul Bhatla, Vikram Prabhu & Amit Dua; “Understanding Credit Card Frauds”
24
cuando un delincuente roba la tarjeta y la usa de manera fraudulenta para comprar bienes o servicios de un negocio afiliado legítimo. 2. Falsificación o Clonación de T/C: Una tarjeta falsificada (clonada) es una tarjeta impresa, embozada o codificada sin permiso del emisor, o una que ha sido válidamente emitida y después alterada o recodificada. La mayoría de los casos de fraude por falsificación provienen de la información genuina de la tarjeta situada en la banda magnética de la misma, la cual es electrónicamente copiada en otra tarjeta a espaldas del legítimo tarjetahabiente. Esto normalmente ocurre en los establecimientos comerciales
(retails,
malls,
supermercados),
particularmente
en
discotecas, pubs y grifos de gasolina donde algún empleado corrupto falsifica la tarjeta antes de devolverla. Después vende la información a un nivel criminal más alto en donde las falsificaciones son cometidas. En otros casos los datos obtenidos por clonaciones son usados para transacciones on-line. La mayoría de tarjetahabientes no están advertidos del fraude hasta que llegue su nuevo estado de cuenta con compras que ellos no hicieron. Tipologías relacionadas a este esquema delictivo son: Tarjeta alterada en el realce: Generalmente es utilizada en transacciones manuales, con plásticos originales deteriorando además la banda magnética para obligar al comercio a que se realice con la maquina imprinter o rastrilladora. Cualquier señal de manipulación del plástico como variación en la forma de los dígitos, perdida de brillo del holograma, opacidad son indicios primarios de una tarjeta adulterada y se la puede presentar acompañada de una cédula falsa o auténtica.
25
Skimming & Scanning: Esquema de fraude que se realiza a través de Datáfonos o de ATMs; el delincuente copia o escanea la información financiera y personal de la tarjeta de crédito o débito de la víctima y luego la regraba en una tarjeta falsa, creando así una replica que tiene los mismos alcances y limitaciones que su tarjeta personal. Para llevar a cabo el fraude el delincuente utiliza un pequeño aparato denominado skimmers o pescadoras que se instalan en la ranura del ATM y que al momento de que se inserta una tarjeta, copia inmediatamente su información, mientras un cómplice o el mismo estafador, se posiciona de tal manera que se pueda percatar de los números del PIN y así al momento que la victima abandona el cajero de su entidad financiera, el criminal retira sus fondos con la tarjeta clonada. A menudo, el tarjetahabiente no está consciente del fraude hasta que su estado de cuenta es entregado y muestra las compras que ellos no hicieron. 3. Tarjeta No Presente: Este crimen se basa en el robo de los datos de una tarjeta de crédito, la cual es usada para hacer una compra a través de un canal remoto como el teléfono, fax, orden de correo o internet. Como todo fraude, el dueño legítimo de la tarjeta puede no estar advertido de este fraude hasta que verifiquen su estado de cuenta. El problema para contrarrestar este tipo de fraude reside en el hecho de que ni la tarjeta ni el tarjetahabiente necesitan estar presentes en el punto de venta. Esto significa que los Comercios de Tarjetas No Presentes (CTNP) no pueden revisar las características de seguridad física de la tarjeta para determinar si es genuina. Sin una firma o el PIN no es fácil confirmar que el cliente es el dueño de la tarjeta. Los emisores de tarjetas
26
no pueden garantizar que la información entregada en un entorno de TNP le pertenezca al tarjetahabiente. 4. Robo de Identidad: El robo de ID en tarjetas de crédito ocurre cuando el criminal usa información personal obtenida fraudulentamente para abrir o acceder a cuentas de tarjetas de crédito en nombre del usuario original; existen dos tipos de esquemas bajo esta modalidad y son: Fraude
Aplicado:
Este
fraude
lo
aplican
criminales
usando
documentos robados o falsos para abrir una cuenta en nombre de alguien más. Los criminales roban los documentos como estados de cuenta para entrar al fraude. Alternativamente ellos usan documentos clonados para propósitos de identificación. Toma de Cuenta: Los criminales toman posesión de la cuenta de otra persona. Primero consiguen información de la víctima. El criminal contacta al emisor presentándose como el genuino tarjetahabiente para que redirecciones sus datos a una nueva cuenta de correo. El criminal reporta la tarjeta como perdida y pide para que se le envíe un duplicado de la misma. Las formas más comunes de posesionarse de una cuenta ilegalmente son las mencionadas a continuación: Phishing & Pharming: “Phishing” es una conocida técnica para obtener información confidencial de un usuario que consiste en enviar una cantidad enorme de mensajes por correo electrónico haciéndole creer al consumidor que los mensajes vienen de su banco, tratando de conseguir que la víctima potencial revele su información personal. Con ayuda de un troyano, también es posible infiltrarse en la conexión entre la dirección IP y el nombre del servidor al que responde. Esto se conoce como Pharming.
27
Este esquema de fraude se ha convertido en una práctica extensa de delincuentes que tienen éxito robando la información personal de muchas personas por correo electrónico. El crimen tiene éxito porque los mensajes de correo electrónico parecen legítimos, con logotipos bancarios realistas y sitios web o URLs que son muy parecidos a los reales. Cuando los titulares de cuenta responden, se los dirige a un sitio web falso donde se les pide que tecleen los números de cuenta, las contraseñas y demás información bancaria personal o de tarjeta de crédito. Entonces, en materia de horas, los delincuentes agotan o vacían las cuentas de banco de las víctimas usando las contraseñas para autorizar el giro electrónico de fondos a otras cuentas. Versiones recientes de esta modalidad delictiva se destacan a continuación: Smishing: Es una forma de actividad delictiva que utiliza técnicas de ingeniería social similares a la del phishing. Las víctimas de reciben mensajes de texto que pueden solicitarles que se registren para obtener un servicio en línea – luego tratan de pasar un virus a su equipo. Algunos mensajes avisan que se cobrará al cliente a menos que este cancele el supuesto pedido visitando un sitio web que luego extrae números de tarjeta de crédito y otra información privada. Vishing: Es la práctica delictiva de utilizar la ingeniería social y Voz sobre IP (VoIP) para tener acceso a información personal y financiera privada del público con el fin de obtener una recompensa financiera. El término es una combinación de "voz" y phishing.
28
Cuando la víctima contesta la llamada, se reproduce un mensaje automático, por lo general generado con un sintetizador de texto a voz, para alertar al cliente que su tarjeta de crédito ha tenido una actividad fraudulenta o que su cuenta bancaria ha tenido una actividad inusual. El mensaje indica al cliente que llame al siguiente número de teléfono inmediatamente. El mismo número de teléfono por lo general se muestra en el identificador de llamadas y se le da el mismo nombre de la compañía financiera que simulan representar.
1.4.
Sistemas de Información Gerencial 5
1.4.1. Business Intelligence
Figura 1.4 Modelo Integral de una Solución Business Intelligence (BI)
Desde un punto de vista más pragmático, y asociándolo directamente con las tecnologías de la información, podemos definir a Business Intelligence (BI) como el conjunto de metodologías, aplicaciones y tecnologías que permiten 5
Alberto Un Jan; “Tópicos de Ingeniería en Sistemas: Datawarehousing”
29
reunir, depurar y transformar datos de los sistemas transaccionales e información desestructurada (interna y externa a la compañía) en información estructurada, para su explotación directa (reporting, análisis OLTP/OLAP, alertas, etc.) o para su análisis y conversión en conocimiento, de forma que se pueda optimizar el proceso de toma de decisiones en los negocios. La Inteligencia de Negocio actúa como un factor estratégico para una empresa u organización, generando una potencial ventaja competitiva, que no es otra que proporcionar información privilegiada para responder a los problemas de negocio: entrada a nuevos mercados, promociones u ofertas de productos, eliminación de islas de información, control financiero, optimización de costes, planificación de la producción, análisis de perfiles de clientes, rentabilidad de un producto concreto, etc. Los principales productos de Business Intelligence que existen hoy en día son: Cuadros de Mando Integrales (CMI). Sistemas de Soporte a la Decisión (DSS). Sistemas de Información Ejecutiva (EIS). Por otro lado, los principales componentes de orígenes de datos en el Business Intelligence que existen en la actualidad son: Data Warehouse. Datamart. Los sistemas y componentes del BI se diferencian de los sistemas operacionales en que están optimizados para preguntar y divulgar sobre datos. Esto significa típicamente que, en un Data Warehouse, los datos están desnormalizados para apoyar consultas de alto rendimiento, mientras que en los sistemas operacionales suelen encontrarse normalizados para apoyar operaciones continuas de inserción, modificación y borrado de datos.
30
1.4.2. OLTP Los sistemas de procesamiento de transacciones en línea (OnLine Transaction Processing) facilitan y administran aplicaciones transaccionales, usualmente para entrada de datos y recuperación y procesamiento de transacciones (gestor transaccional). La tecnología OLTP se utiliza en innumerables aplicaciones, como en banca electrónica, procesamiento de pedidos, comercio electrónico, supermercados o industria. 1.4.3. OLAP Los sistemas de procesamiento analítico en línea (On-Line Analytical Processing) son una solución utilizada en el campo de la inteligencia empresarial cuyo objetivo es agilizar la consulta de grandes cantidades de datos,
utilizando
estructuras
multidimensionales
(Cubos
OLAP)
que
contienen datos resumidos de grandes bases de datos o sistemas transaccionales (OLTP). La tecnología OLAP se usa en informes de negocios de ventas, marketing, informes de dirección, minería de datos y áreas similares. 1.4.4. Data Warehouse Un almacén de datos (Data Warehouse) es una colección de datos orientada a un determinado ámbito (empresa, organización, etc.), integrado, no volátil y variable en el tiempo, que ayuda a la toma de decisiones en la entidad en la que se utiliza. El Data Warehouse debe entregar la información correcta a la gente indicada en el momento óptimo y en el formato adecuado y da respuesta a las necesidades de usuarios expertos, utilizando sistemas de soporte a
31
decisiones (DSS), sistemas de información ejecutiva (EIS) o herramientas para hacer consultas o informes. Los usuarios finales pueden hacer fácilmente consultas sobre sus almacenes de datos sin tocar o afectar la operación del sistema.
Figura 1.5 Esquema de un Data Warehouse
En el funcionamiento de un almacén de los datos son muy importantes las siguientes ideas: Integración de los datos: Provenientes de bases de datos distribuidas por las diferentes unidades de la organización y que con frecuencia tendrán diferentes estructuras (fuentes heterogéneas). Separación de los datos: Usados en operaciones diarias de los datos usados en el Data Warehouse para los propósitos de divulgación, de ayuda en la toma de decisiones, para el análisis y para operaciones de control.
32
1.4.5. Datamart Un Datamart congrega subconjuntos de datos con el propósito de ayudar a que un área específica dentro del negocio pueda tomar mejores decisiones. Los datos existentes en este contexto pueden ser agrupados, explorados y propagados de múltiples formas para que diversos grupos de usuarios realicen la explotación de los mismos de la forma más conveniente según sus necesidades. El Datamart es un sistema orientado a la consulta, en el que se producen procesos batch de carga de datos (altas) con una frecuencia baja y conocida; es consultado mediante herramientas OLAP que ofrecen una visión multidimensional de la información. Sobre estas bases de datos se pueden construir sistemas de información ejecutiva (EIS) y sistemas de soporte a decisiones (DSS). En síntesis, se puede decir que un Datamart es un pequeño Data Warehouse centrado en un tema o un área de negocio específico dentro de una organización. 1.4.6. Estructura de Tablas 1.4.6.1.
Tabla de Hecho (Fact Table)
En las bases de datos, y más concretamente en un Data Warehouse, una tabla de hechos (fact table) es la tabla central de un esquema dimensional (en estrella o en copo de nieve) y contiene los valores de las medidas de negocio.
33
Figura 1.6 Tabla de Hecho en un Modelo de Ventas
Cada medida se toma mediante la intersección de las dimensiones que la definen, dichas dimensiones estarán reflejadas en sus correspondientes tablas de dimensiones que rodearán la tabla de hechos y estarán relacionadas con ella. 1.4.6.2.
Tablas de Dimensiones (Lock-Up)
Figura 1.7 Tablas de Dimensiones en un Modelo de Ventas
34
Las tablas de dimensiones son elementos que contienen atributos (o campos) que se utilizan para restringir y agrupar los datos almacenados en una tabla de hechos cuando se realizan consultas sobre dicho datos en un entorno de Data Warehouse o Datamart. Estos datos sobre dimensiones son parámetros de los que dependen otros datos que serán objeto de estudio y análisis y que están contenidos en la tabla de hechos. Las tablas de dimensiones ayudan a realizar ese estudio/análisis aportando información sobre los datos de la tabla de hechos, por lo que puede decirse que en un cubo OLAP, la tabla de hechos contiene los datos de interés y las tablas de dimensiones contienen metadatos sobre dichos hechos. 1.4.6.3.
Esquema en Estrella (Star Schema)
Figura 1.8 Modelo de Datos en Estrella de 5 Dimensiones
35
Un esquema en estrella es un modelo de datos que tiene una tabla de hechos que contiene los datos para el análisis, rodeada de las tablas de dimensiones; este aspecto, de tabla de hechos más grande rodeada de radios o tablas más pequeñas es lo que asemeja a una estrella, dándole nombre a este tipo de construcciones. Este esquema es ideal por su simplicidad y velocidad para ser usado en análisis multidimensionales y permite acceder tanto a datos agregados como de detalle. El diseño de esquemas en estrella permite implementar la funcionalidad de una base de datos multidimensional utilizando una clásica base de datos relacional (más extendidas que las multidimensionales). Finalmente, es la opción con mejor rendimiento y velocidad pues permite indexar las dimensiones de forma individualizada sin que repercuta en el rendimiento de la base de datos en su conjunto. 1.4.6.4.
Esquema en Copo de Nieve (Snowflake Schema)
Un esquema en copo de nieve es una estructura algo más compleja que el esquema en estrella. Se da cuando alguna de las dimensiones se implementa con más de una tabla de datos. La finalidad es normalizar las tablas y así reducir el espacio de almacenamiento al eliminar la redundancia de datos; pero tiene la contrapartida de generar peores rendimientos al tener que crear más tablas de dimensiones y más relaciones entre las tablas lo que tiene un impacto directo sobre el rendimiento.
36
Figura 1.9 Modelo de Datos en Copo de Nieve de 5 Dimensiones
Se puede usar un esquema de copo de nieve en un Data Warehouse, aunque estos sean realmente grandes y complejos, pero nunca en sistemas donde el tiempo de respuesta sea un factor crítico para los usuarios. 1.4.7. ETL ETL es el proceso que permite a una organización mover datos desde diferentes fuentes, transformarlos y arreglarlos a medida, y guardarlos en otra base de datos o en otro sistema para su posterior utilización por el negocio. En este sentido, los procesos ETL (extracción, transformación y carga), que nutren los sistemas BI, tienen que traducir de uno o varios sistemas operacionales
normalizados
e
independientes
a
un
único
desnormalizado, cuyos datos estén completamente integrados.
37
sistema
Figura 1.10 Esquema de un Proceso ETL
La latencia de los procesos ETL varía desde los lotes (a veces, de forma mensual o semanal, pero en la mayoría de los casos diariamente), al tiempo casi real con actualizaciones más frecuentes (cada hora, cada pocos minutos, etc.). 1.4.8. Dashboard 6 El Dashboard es un portal o tablero de información ejecutiva que contribuye a mejorar la gestión en las organizaciones, proveyendo a los directivos de una organización de información relevante sobre la marcha del negocio en un formato intuitivo y con una interfaz simple. Este tablero de información es un estilo de interfaz de usuario diseñada para distribuir información sobre el estado del negocio a personas específicas dentro de la empresa, representándole dichos antecedentes típicamente con KRI’s y vínculos a reportes relevantes.
6
Las señales y gráficos usados
Michael Alexander; “Excel 2007 Dashboards & Reports for Dummies”
38
buscan captar la atención visual del usuario informándole de tendencias, cambios o excepciones.
Figura 1.11 Diseño Gráfico de un Dashboard
Un Dashboard contribuye a mejorar los recursos de información al interior de las organizaciones, proveyendo a los tomadores de decisión datos claros, en un formato intuitivo y en una interfaz simple. Los portales ejecutivos correctamente diseñados, optimizan la gestión empresarial y poseen un muy rápido retorno sobre la inversión (ROI).
El más famoso de ellos es el Balanced Scorecard (BSC) de Kaplan y Norton, que incorpora una metodología de negocio para definir y relacionar indicadores de desempeño financieros y no financieros. Estas aplicaciones analíticas manejan los KPI’s y relaciones causales, soportando los procesos y ciclos de medición y gestión de la ejecución de las metas estratégicas en la organización.
39
1.5.
Gestión del Riesgo Operativo en IFIs - Basilea II 7
1.5.1. Definición del Riesgo Operativo Se entiende por riesgo operativo a la posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas en los procesos internos, en la tecnología de información, en las personas o por ocurrencia de eventos externos adversos. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y el de reputación. 1.5.2. Fuentes del Riesgo Operativo 1. Procesos Internos: Posibilidad de pérdidas financieras relacionadas con el diseño inapropiado de los procesos críticos, o con políticas y procedimientos inadecuados o inexistentes que puedan tener como consecuencia el desarrollo deficiente de las operaciones y servicios o la suspensión de los mismos. 2. Personas: Posibilidad de pérdidas financieras asociadas con negligencia, error humano, sabotaje, fraude, robo, paralizaciones, apropiación de información
sensible,
lavado
de
dinero,
inapropiadas
relaciones
interpersonales y ambiente laboral desfavorable, falta de especificaciones claras en los términos de contratación del personal, entre otros factores. 3. Tecnología de Información: Posibilidad de pérdidas financieras derivadas del uso de inadecuados sistemas de información y tecnologías relacionadas, que pueden afectar el desarrollo de las operaciones y servicios que realiza la institución al atentar contra la confidencialidad, integridad, disponibilidad y oportunidad de la información.
7
Ana Pereyra, Fabian Mendy; “Gestión del Riesgo Operacional en Instituciones Financieras. Estamos preparados?”
40
4. Eventos Externos: Posibilidad de pérdidas derivadas de la ocurrencia de eventos ajenos al control de la empresa que pueden alterar el desarrollo de sus actividades, afectando a los procesos internos, personas y tecnología de información. 1.5.3. Sistema de Administración del Riesgo Operativo (SARO) Como principio general, las entidades financieras deben contar con una estrategia aprobada por el Directorio estableciendo principios para la identificación, medición, control, monitoreo y mitigación del riesgo operativo. Las entidades financieras deberían desarrollar su propio enfoque y metodología para la gestión de riesgos, de acuerdo con su objeto social, tamaño, naturaleza y complejidad de operaciones y otras características.
Figura 1.4 Sistema de Administración del Riesgo Operativo – SARO
La implementación del sistema de gestión de riesgo operativo debería considerar todas las etapas de gestión de riesgo, incluyendo la identificación, evaluación, medición, monitoreo y control.
41
1. Identificación: La identificación efectiva del riesgo considera tanto los factores internos como externos que podrían afectar adversamente el logro de los objetivos institucionales. 2. Evaluación: Todos los riesgos materiales deberían ser evaluados por probabilidad de ocurrencia e impacto a la medición de la vulnerabilidad de la entidad a este riesgo. Los riesgos pueden ser aceptados, mitigados o evitados de una manera consistente con la estrategia y el apetito al riesgo institucional. Cuando sea posible, la entidad debería usar controles internos apropiados u otras estrategias de mitigación, como los seguros. 3. Medición: Las entidades financieras deberían estimar el riesgo inherente en todas sus actividades, productos, áreas particulares o conjuntos de actividades o portafolios, usando técnicas cualitativas basadas en análisis expertos, técnicas cuantitativas que estiman el potencial de pérdidas operativas a un nivel de confianza dado o una combinación de ambos. 4. Monitoreo: Un monitoreo regular de las actividades puede ofrecer la ventaja de detectar rápidamente y corregir deficiencias en las políticas, procesos y procedimientos de gestión del riesgo operativo. El alcance de las actividades de monitoreo incluye todos los aspectos de la gestión del riesgo operativo en un ciclo de vida consistente con la naturaleza de sus riesgos y el volumen, tamaño y complejidad de las operaciones. 5. Control: El control del riesgo operativo puede ser conducido como una parte integral de las operaciones o a través de evaluaciones periódicas separadas, o ambos. Todas las deficiencias o desviaciones deben ser reportadas a la gerencia. 6. Reporte: Debe existir un reporte regular de la información pertinente a la alta gerencia, al directorio, al personal y a partes externas interesadas, como clientes, proveedores, reguladores y accionistas. El reporte puede
42
incluir información interna y externa, así como información financiera y operativa. 1.5.4. Etapas en la Gestión del Riesgo Operacional
Identificación de riesgos Definición de KRIs Monitoreo de riesgos mediante KRIs Mitigar riesgos con foco en los riesgos principales Identificación de mayores pérdidas Gobierno corporativo/Cultura de riesgos
Figura 1.5 Etapas de la Gestión del Riesgo Operativo – Basilea II
1.5.5. Cuantificación del Riesgo Operacional 8 En el proceso de administración del riesgo operacional la gestión cuantitativa debe ser considerada como el tercer paso lógico, luego de: a) La generación de una cultura de administración del riesgo en la entidad. b) El desarrollo de los procesos de identificación y análisis del riesgo operacional, también denominado “gestión cualitativa”. La cuantificación permite integrar las etapas del proceso, otorgando mayor objetividad a la gestión del riesgo operacional y permitiendo una mayor
8
Diego Etchepare & Norberto Rodríguez; “Riesgo Operacional”; Revista CEO Price Waterhouse Coopers,
43
eficacia en la asignación de recursos para minimizar el impacto de las pérdidas operativas. Basilea II brinda un marco de referencia para la gestión integral de los riesgos, marco que es progresivamente adoptado por los supervisores y también por las entidades como una referencia de mejor práctica. Presenta tres métodos para el cálculo de los requerimientos de capital asociados al riesgo operacional: Método del Indicador Básico. Método Estándar. Métodos de Medición Avanzada (AMA) Los dos primeros no se caracterizan por ser sensibles riesgo, dado que determinan los requerimientos de capital en forma simplificada a través del producto entre los ingresos brutos anuales medios y el coeficiente de exigencia de capital. Ambos métodos son cuestionados, porque las entidades son penalizadas por el solo hecho de tener elevados ingresos brutos y porque el requerimiento de capital podría depender de las prácticas contables de cada país, posibilitando así el llamado arbitraje regulatorio. En los AMA el requerimiento de capital es determinado según la estimación del riesgo operacional al que realmente está expuesta la entidad. Para realizar dicha estimación se desarrollan modelos estadísticos de medición interna. En el marco de Basilea II, la posibilidad de utilizar modelos internos está sujeta a la aprobación del supervisor junto con el cumplimiento de requerimientos cualitativos adicionales. El Comité de Supervisión Bancaria de Basilea reconoce la evolución de los métodos analíticos para la cuantificación del riesgo operacional, y por lo tanto no define un método específico. No obstante especifica que el horizonte de
44
cálculo de pérdidas sea de carácter anual y que la entidad demuestre que el método seleccionado permite reflejar en la distribución eventos de escasa probabilidad de ocurrencia pero de alto impacto monetario. La metodología para determinar el requerimiento de capital por riesgo operacional utilizando los AMA es semejante al concepto de VaR (Value at Risk o Valor en Riesgo), propio del riesgo de mercado. A partir de la estimación de la distribución de pérdidas agregadas, el requerimiento de capital exigido por Basilea es el que acumula el 99,9% de las pérdidas en un año. Es decir, la entidad debe demostrar suficiente capital para absorber las pérdidas que surjan en el plazo de un año en el 99.9% de los casos, exponiéndose a una insuficiencia en el 0,1% de los casos restantes.
1.5.5.1.
Métodos de Medición Avanzada: Modelo LDA 9
Este enfoque es una herramienta estadística heredada del ámbito actuarial parte de los 3 Métodos de Medición Avanzada de Basilea II, muy utilizada en la industria aseguradora y que está convirtiéndose además en uno de los instrumentos más empleados en el ámbito bancario. El método LDA tiene como objetivo la obtención de la función de distribución agregada de pérdidas operacionales. Dicha distribución se obtiene de la acumulación de distribuciones de pérdidas para cada línea de negocio, para cada tipo de riesgo o para una combinación de ambas. En consecuencia, se hace imprescindible mencionar aquí cuáles son las condiciones cruciales para que la metodología LDA arroje niveles de precisión aceptables:
9
Espiñeira, Sheldon y Asociados; “Cuantificación del Capital Requerido por Riesgo Operacional – OpVaR” Boletín Asesoría Gerencial Price Waterhouse Coopers
45
Figura 1.6 Proceso de Cuantificación del OpVaR por LDA
Una adecuada selección de las distribuciones de frecuencia e impacto. Una apropiada parametrización de las distribuciones seleccionadas. Consiguientemente, la modelización de la distribución de pérdidas será más robusta si está basada en agrupaciones con eventos de pérdida homogéneos; es en este sentido que cuanto más detallada sea la apertura de estas agrupaciones, más precisas serán las distribuciones de pérdida que describen el perfil de riesgo, debido a la mayor homogeneidad de los eventos de pérdida dentro de cada grupo. El fenómeno de las pérdidas operativas puede ser desagregado en dos componentes: i) la frecuencia (que representa todas las cantidades posibles de eventos con su respectiva probabilidad) y ii) el impacto (que representa todos los posibles valores de pérdida por evento y su probabilidad, una vez ocurrido el evento). Por lo tanto la distribución de probabilidades de pérdidas también puede ser desagregada sobre la base de la estimación separada de frecuencia e intensidad, entendiendo que estos dos componentes tienen comportamientos
46
específicos. Para volver a “unir” los dos componentes y explicar el fenómeno de las pérdidas operativas se utilizan procesos de simulación matemática. A efectos del cálculo, tanto la distribución de frecuencia como la distribución de intensidad deben ser estimadas en función de las pérdidas operacionales observadas por la entidad y registradas en su base de pérdidas operacionales. A continuación esquematiza los pasos que deben seguirse en el proceso de estimación de la distribución de pérdidas operacionales: 1. Base de Datos La base de datos es la “piedra fundamental” en la construcción o desarrollo de cualquier modelo de riesgos financieros. En forma particular, una base de datos poblada de pérdidas operacionales históricas será el input fundamental del modelo de cuantificación de riesgo operacional y permitirá la transición de un enfoque cualitativo a un enfoque integral (cualitativo-cuantitativo). Las entidades deben desarrollar sus bases de datos a partir de un proceso homogéneo de recolección de pérdidas y de asignación de éstas en función de las distintas áreas de negocios y de los diferentes tipos de riesgos, no sólo con el fin de registrar las pérdidas, sino también para entender sus causas. Las pérdidas son clasificadas con base en una matriz que relaciona las ocho líneas de negocio con los siete tipos de pérdidas operacionales que menciona el Comité de Basilea. Por esta razón, el proceso de cálculo del OpVaR se debe realizar para cada intersección de línea de negocio y tipo de pérdida operacional.
47
2. Frecuencia de Eventos Con la finalidad de modelar la frecuencia de eventos con un horizonte determinado, se utiliza una distribución de conteo que explicita la probabilidad de ocurrencia de una determinada cantidad de eventos para dicho horizonte a partir de la población expuesta, es decir, de las pérdidas registradas por la entidad. Christopher Lee Marshall (2001), Marcelo Cruz (2002), Mariano González (2004), Pavel Shevchenko (2006) proponen la distribución de Poisson, dadas sus características que permiten establecer de forma apropiada el número de eventos a partir de la media de la frecuencia de eventos observada en el pasado. Es importante destacar que también son empleadas en la práctica la distribución Binomial y la distribución Binomial Negativa. 3. Intensidad de Eventos Una vez estimada la distribución de frecuencias para cada esquema de fraude en tarjetas de crédito, se debe proceder a estimar la distribución del monto de pérdida (o intensidad) de estos eventos. En virtud de eso es necesario estudiar la base de pérdidas operacionales para “ajustar” la distribución paramétrica que mejor se adecue a los datos observados de montos de pérdidas. Christopher Lee Marshall (2001), Marcelo Cruz (2002), Mariano González (2004), Pavel Shevchenko (2004) J. Donnelly (2005) y Carrillo (2006), proponen las distribuciónes LogNormal, LogLogistic y Pareto como distribuciones de “cola larga”, a efectos de no subestimar ésta variable aleatoria continua por falta de información, dado que en los procesos de cuantificación de riesgo operacional debe prestarse especial atención a la estimación de la “cola” derecha de la distribución de intensidad, ya que allí se encuentran las pérdidas menos frecuentes pero las de mayor impacto para los resultados de la entidad; aunque en la práctica ninguna distribución
48
simple se ajusta a los datos satisfactoriamente. Por eso es usual emplear distribuciones “mixtas” para recoger los potenciales eventos de pérdidas ubicados en la “cola” de la distribución como el caso de las distribuciones de valores extremos Gumbel, Frechet y Weibull. 4. Simulación de MonteCarlo 10 Una vez caracterizadas las distribuciones de impacto y frecuencia de fraudes en tarjetas de crédito, el último paso del proceso metodológico consiste en obtener la distribución de pérdidas agregadas (LDA) a través del Método de Simulación Monte Carlo (SMC) como práctica propuesta por Basilea II. De esta forma, la pérdida total ligada a una línea de negocio i y originada por un tipo de riesgo j, viene dada por:
L(i, j )
N (i , j )
n 0
X n (i, j )
Dicha cuantía, es por tanto, el cómputo de un número aleatorio de eventos de pérdidas con valores, también aleatorios, bajo el supuesto de que los impactos son independientes entre sí y, al mismo tiempo, independientes de la frecuencia. La función de distribución de la variable L(i,j) se obtiene mediante:
n* pi , j (n) Fi , j ( x) ; x 0 Gi , j ( x) n 1 p ( x) ; x 0 i, j Donde F(x) es la probabilidad de que la cantidad agregada de n pérdidas sea x. El asterisco denota la convolución en la función F, donde Fn* es n-veces la
10
Luis Franco, Juan Murillo; “Modelo LDA para Cuantificar el Riesgo Operacional”; V Simposio Nacional y II Internacional de Docentes de Finanzas – Colombia 2008.
49
convolución de F consigo misma. En otras palabras, dicha distribución de pérdida es resultado de la transformación entre un proceso
estocástico
discreto asociado a la frecuencia, y un proceso continuo asociado al impacto de los eventos de riesgo. Esta técnica ha sido utilizada en los trabajos de A. Frachot, P. Georges, T. Roncalli (2001); Christopher Lee Marshall (2001); Marcelo Cruz (2002), entre otros. A diferencia de los modelos utilizados para evaluar los riesgos financieros bajo enfoques cualitativos y cuantitativos, los modelos para estimar el riesgo operativo posee características muy particulares; se deben combinar variables aleatorias continuas y discretas; la pérdida agregada es una variable incierta, y la relación entre variables es no lineal. En la busqueda del este modelo deterministico, existen técnicas para su obtención como la Transformada Rapida de Fourier de (2004), el Algoritmo Recursivo de Panjer (1981) y la Aproximación de Pérdida Simple de Böcker y Klüppelberg (2005); por lo tanto se escoge a SMC, porque se considera, entre los métodos no analíticos, como el más simple y flexible, cuando se dispone de una plataforma adecuada. La SMC es una técnica tradicional que utiliza números aleatorios o seudoaleatorios para recolectar las muestras de una distribución de probabilidad. El término Monte Carlo se empezó a utilizar durante la Segunda Guerra Mundial como código para la simulación de problemas asociados con el desarrollo de la bomba atómica. Hoy en día, las técnicas MonteCarlo se aplican a una amplia variedad de problemas complejos con un factor aleatorio. En este sentido se genera, en forma aleatoria, un número de eventos de pérdida en el horizonte de tiempo determinado, a partir de la distribución seleccionada. Luego, se generan en forma aleatoria montos para cada evento de pérdida, a partir de la distribución seleccionada.
50
Posteriormente se determina la pérdida total para el ciclo de simulación. El proceso se itera n veces, y, por último, para determinar el valor en riesgo operacional (OpVaR), se ordenan los resultados por monto y se selecciona el valor al nivel de confianza deseado. Bajo el supuesto de correlación perfecta entre las pérdidas de cada agrupación, el requerimiento de capital total para la entidad puede ser determinado a través de la suma del VaR, obtenido de las distribuciones de pérdidas de cada agrupación realizada. En caso de incluir dentro del modelo correlaciones (no totales) entre las pérdidas de cada agrupación, se obtendrá una disminución del requerimiento de capital (por efecto diversificación), pero el desarrollo del modelo se volverá más complejo. 5. Análisis de Sensibilidad y Escenarios El proyectar las pérdidas operativas para los próximos doce meses empleando un AMA sobre una base de pérdidas históricas puede no ser un escenario verosímil o representativo, dada la realidad cambiante del sector financiero y el contexto económico (fundamentalmente en la región latinoamericana). En dichos casos puede resultar importante desarrollar un análisis de escenario. En dos amplios objetivos está centrado el análisis de escenarios del tipo “qué pasa si….”: el primero consiste en modificar ciertos supuestos (o parámetros) del modelo con la finalidad de adecuarlo al entorno actual o al esperado para el plazo de proyección de pérdidas; el segundo consiste en generar pérdidas potencialmente graves de carácter infrecuente (y que por lo tanto no están registradas en la base de pérdidas) para evaluar su impacto en los resultados de la entidad.
51
1.5.5.2.
Teoría de Valores Extremos de Pérdida: Modelo GEV 11
La Teoría de Valores Extremos (EVT) se ha desarrollado rápidamente en las últimas dos décadas tanto desde el punto de vista metodológico como del de las aplicaciones. La mayoría de los estudios estadísticos tratan de la modelación del promedio de la distribución de la variable de interés, dicho promedio se estima a partir de la media muestral, por otra parte el teorema del límite central proporciona un valioso resultado relacionado con el comportamiento asintótico de la media muestral. En la aplicación de esta teoría, el interés principal no está en el promedio, sino en los valores más bajos o más altos de la variable bajo estudio, es decir, el interés está en los eventos asociados a la cola de la distribución probabilística. Un enfoque para la modelación de valores extremos es a partir de la Distribución de Valores Extremos Generalizada (GEV). Esta distribución de probabilidad se ajusta a los valores máximos o mínimos de los datos en estudio. Como antecedente a esta teoría, se puede mencionar el Valor a Riesgo (VaR); para realizar su estimación, durante mucho tiempo se supuso normalidad en el comportamiento de las variables. Sin embargo las estimaciones no suelen ser muy buenas para estimar el riesgo de eventos severos con muy baja frecuencia, frecuentes en la cuantificación del riesgo operativo (OpVaR). Para poder entender esta teoría se comienza con una aproximación mediante la Distribución Generalizada de Valores Extremos (GEV), la cual se basa en el siguiente teorema: 11
Nigel Da Costa Lewis; “Operational Risk with Excel and VBA Applied Statistical Methods for Risk Management”, pp. 203-207
52
1. Teorema de Fisher-Tippet y Gnedenko Este teorema estadístico diseñado por Fisher, Tippet (1928) y Gnedenko (1943) establece que sea
una serie de eventos de pérdida
independientes e idénticamente distribuidas con una función de distribución
. Por convención, las pérdidas son tratadas
desconocida
como un número positivo lo que hace que los eventos extremos de pérdidas estén en la cola derecha de la distribución. La máxima pérdida en un conjunto de n datos se define como . Para este conjunto de observaciones, la función de distribución de
está dada por:
La aproximación asintótica para
está basada en el máximo valor
estandarizado:
Donde
y
son parámetros de localización y de escala respectivamente.
Este teorema establece que si
converge a una distribución no
degenerada, ésta es la Distribución Generalizada de Valores Extremos (GVE) (lo que equivale a decir que Zn está en el máximo dominio de atracción de GVE):
53
Las distribuciones de valores extremos pertenecen a la clase de las distribuciones continuas que son comunes en estadística; se pueden dividir en tres grupos de acuerdo al valor de ξ. El caso en el que ξ > 0, corresponde a distribuciones de colas pesadas, en las que la cola decae como una función de potencia como las distribuciones: Frechet, Pareto, T-student, Cauchy, Burr, y Loggamma; el caso en el que ξ = 0, corresponde a distribuciones en las que las colas decaen exponencialmente como la Normal, Exponencial, Gamma, Lognormal y Gumbel. El último caso (ξ < 0) corresponde a distribuciones de colas delgadas con un final finito como las distribuciones Beta, Weibull y Uniforme. 2. Estimadores de Hill En el sector financiero, lo más común de encontrar son series de datos que suelen presentar mayores probabilidades de ocurrencia de eventos riesgosos, o lo que también se puede denominar como colas de distribución pesadas, lo que indica que un estudio de estas observaciones bajo un enfoque de normalidad no es el adecuado, es sobre todo por esta razón que se toma como referencia la Teoría de Valores Extremos (EVT). El siguiente paso a seguir es definir tanto el uso como la forma de aplicar el estimador ξ necesario para poder analizar los datos mediante esta teoría. Los parámetros de locación y escala
y
pueden ser calculados a partir
del calculo de la media y desviación estandar muestral sobre los eventos de pérdida por fraudes en tarjetas de crédito. El parametro apropiado para poder trabajar con colas de distribución pesadas es el estimador de Hill. En esencia, este estimador de valores extremos se obtiene ordenando las observaciones bajo la siguiente estructura:
54
Con lo que el estimador de Hill puede ser calculado a partir de los siguientes dos métodos:
El problema de estos métodos es la correcta elección del umbral k puesto que influye directamente en el calculo del estimador de Hill, por lo tanto se recomienda utilizar el valor esperado como un estimador de máxima verosimilitud de ξ a través de las siguientes dos técnicas:
3. Metodo de Bloques Maximos El Método de Bloques Máximos puede ser utilizado para el cálculo del OpVaR considerando el valor de los percentiles que generan las cargas de capital inesperadas a partir de la distribución de pérdidas extremas. Una vez que se han obtenido los parámetros que conforman la distribución GEV , se procede a introducirlos en la siguiente formula:
55
1.6.
Seis Sigma: Paradigma de la Calidad Total 12
Seis Sigma, es un enfoque revolucionario de gestión que mide y mejora la calidad basado en datos, para llevarla hasta niveles próximos a la perfección, diferente de otros enfoques ya que también corrige los problemas antes de que se presenten, tratando especificamente de un esfuerzo disciplinado para examinar los procesos de negocio de las organizaciones. 6σ es una evolución de las teorías sobre calidad de máyor éxito desarrolladas después de la segunda guerra mundial. Especialmente se la puede considerar como precursora directa de: TQM, Total Quality Management o Sistema de Calidad Total SPC, Statistical Process Control o Control Estadístico de Procesos La letra griega minúscula sigma (σ) se usa como símbolo de la desviación estándar, siendo ésta una forma estadística de describir cuánta variación existe en un conjunto de datos, es decir, obtener sólo 3.4 defectos por millón de oportunidades o actividades. A continuación se presentan y describen las fases de la metodología Seis Sigma:
Figura 1.7 Fases de la Metodología DMAIC de 6σ
Esta estrategia incluye el uso de herramientas estadísticas dentro de una metodología estructurada incrementando el conocimiento necesario para 12
Miguel Bahena Quintanilla; “Aplicación de la Metodología Seis Sigma para Mejorar la Calidad y Productividad de una Planta de Bebidas”.
56
lograr de una mejor manera, más rápido y al más bajo costo, productos y servicios que la competencia.
Figura 1.8 Herramientas utilizadas en Proyectos de Seis Sigma
En esta sección se exponen los modelos de control estadístico de mayor utilización en esta filosofía de cero defectos: 1.6.1. Cartas de Control de Procesos Shewart 13 En cualquier proceso productivo resulta conveniente conocer en todo momento hasta qué punto nuestros productos o servicios cumplen con las especificaciones preestablecidas; como es de conocimiento general, la calidad tiene dos grandes “enemigos”: Las desviaciones con respecto al objetivo especificado (falta de exactitud). La excesiva variabilidad respecto a los valores deseables (falta de precisión).
13
Thomas Pizdek & Paul Keller; “The Six Sigma Handbook. A Complete Guide for Green Belts, Black Belts, and Managers at All Levels”
57
La idea consiste en extraer muestras de un proceso productivo que se encuentra activo y, a partir de las mismas, generar gráficos que nos permitan tanto estudiar la variabilidad del mismo como comprobar si los productos obtenidos cumplen o no con las especificaciones preestablecidas. En caso de apreciar en tales gráficos tendencias no aleatorias o bien muestras que se sitúen más allá de los límites de control consideraremos que el proceso está fuera de control. Si así ocurre, estaremos interesados en averiguar las causas especiales que afectan al proceso.
Figura 1.8 Factores de Descontrol de Procesos en Cartas Shewart
58
En una carta de control Shewart se representa gráficamente una característica de calidad, medida o calculada a partir de muestras del producto, en función de las diferentes muestras; esta gráfica tiene una línea central que simboliza el valor medio de la característica de calidad que finalmente, otras dos líneas (los límites superior e inferior de control) flanquean a la anterior a una distancia determinada. Estos límites son escogidos de manera que si el proceso está bajo control, casi la totalidad de los puntos muestrales se halle entre ellos. Así, un punto que se encuentra fuera de los límites de control se interpreta como una evidencia de que el proceso está fuera de control. Además, incluso si todos los puntos se hallan comprendidos entre los límites de control, pero se comportan de manera sistemática o no aleatoria, también tendríamos un proceso fuera de control. 1.6.2. Análisis de Capacidad y Desempeño de Procesos 14 Al planear los aspectos de calidad de la producción de un producto o servicio, es sumamente importante asegurarse de antemano de que el proceso será capaz de mantener las tolerancias una vez que hayamos comprobado que el este se encuentra bajo control. En las décadas recientes ha surgido el concepto de capacidad del proceso o habilidad del proceso, que proporciona una predicción cuantitativa de qué tan adecuado es un proceso. La habilidad del proceso es la variación medida, inherente del producto o servicio que se obtiene en ese proceso. Para determinar si un proceso es o no capaz, se hará uso de herramientas gráficas (histogramas, gráficos de control, y gráficos de probabilidad), como también se emplearán los llamados índices de capacidad a corto y a largo plazo, que vendrán determinados por los cocientes entre la variación natural del proceso y el nivel de variación especificada. En principio, para que un 14
Craig Gygi, Neil DeCarlo & Bruce Williams; “Six Sigma for Dummies”
59
proceso sea considerado capaz, su variación actual no debería representar más del 75% de la variación permitida. Para realizar un estudio de capacidad y desempeño eficiente es necesario que se cumplan los siguientes supuestos: El proceso se encuentra bajo control estadístico, es decir sin la influencia de fuerzas externas o cambios repentinos. Si el proceso está fuera de control la media y/o la desviación estándar del proceso no son estables y, en consecuencia, su variabilidad será mayor que la natural y la capacidad potencial estará infravalorada, en este caso no es conveniente hacer un estudio de capacidad y desempeño. Se recopilan suficientes datos durante el estudio de habilidad para minimizar el error de muestreo para los índices de habilidad. Si los datos se componen de menos de 100 valores, entonces deben calcularse los límites de confianza inferiores. Los datos se recolectan durante un periodo suficientemente largo para asegurar que las condiciones del proceso presentes durante el estudio sean representativos de las condiciones actuales y futuras. El parámetro analizado en el estudio sigue una distribución de probabilidad normal, de otra manera, los porcentajes de los productos asociados con los índices de capacidad son incorrectos y solo se podrán determinar los índices de desempeño del proceso, que no toma en cuenta si el proceso está en control o no. Si
los
datos
siguen
una
distribución
notablemente
asimétrica,
probabilidades basadas en una distribución normal no serían muy buenos estimadores de las verdaderas probabilidades de producir unidades que no cumplan con las especificaciones. En tal caso, se podría optar por usar
60
la Transformación de Box-Cox para transformar los datos en otros cuya distribución sea aproximadamente normal, o usar los modelos Weibull, LogNormal o alguna otra distribución de probabilidad continua que se ajuste a los datos. 1.6.3. Analisis de Corridas o Rachas en Procesos 15 Un gráfico de rachas identifica estadísticamente patrones no aleatorios en los datos. En él se representan las medias (o las medianas) vs. el número del subgrupo al que pertenecen. El gráfico contiene además una línea horizontal de referencia que representa la mediana de las observaciones. Por otra parte, también se realizan dos pares de tests para contrastar la hipótesis nula de que el comportamiento de las observaciones sigue una secuencia aleatoria. Estos tests ayudan a identificar tendencias, oscilaciones, mezclas, y estratificaciones en los datos. La existencia de tales patrones de comportamiento sugeriría que la variación observada es debida a causas especiales. Los dos primeros tests de aleatoriedad se basan en el número de “rachas” localizadas a cada lado de la línea que representa la mediana. En este contexto, una racha es un conjunto de puntos consecutivos situados a un lado de la mediana. Si los puntos están unidos por una línea, una racha termina y otra empieza cuando dicha línea cruza la mediana. Estos contrastes son sensibles a dos tipos de comportamientos no aleatorios: las mezclas y las estratificaciones. Así, si el número de rachas es significativamente superior al esperado bajo la hipótesis nula, tendremos indicios de que las observaciones están mezcladas (provienen de poblaciones diferentes), mientras que si el número de rachas es
15
Larry Webber & Michael Wallace; “Quality Control for Dummies”
61
significativamente inferior al esperado tendremos indicios de estratificación (o agrupamiento) en los datos. Los dos tests restantes se basan en el número de rachas crecientes y decrecientes. En este caso, una racha es un conjunto de puntos consecutivos situados en la misma dirección (formando un tramo creciente o decreciente). Así, una nueva racha comenzará cada vez que la línea que une los puntos pase de ser creciente a decreciente o viceversa. Estos contrastes son sensibles a dos tipos de comportamientos no aleatorios: las oscilaciones y las tendencias. 16 Si el número de rachas observadas es significativamente mayor que las esperadas (bajo la hipótesis nula), entonces habrá indicios de la existencia de oscilaciones en los datos. Si el número de rachas observadas es significativamente menor que el esperado, habrá indicios de tendencias.
16
Issa Bass, Barbara Lawton; “Lean Six Sigma Using SigmaXL and Minitab”
62
CAPÍTULO II CONOCIMIENTO DEL NEGOCIO 2.1.
Antecedentes Generales.
2.1.1. Entorno Económico. La economía a nivel mundial empieza a mostrar síntomas de recuperación al cuarto trimestre del presente año, contrario a lo previsto inicialmente de que esto tendría lugar a partir de la segunda mitad del 2010. En el contexto de una sociedad globalizada, lo señalado implica una reversión al proceso de desaceleración experimentado por la economía del país a lo largo de la mayor parte del presente año, pudiéndose además estimar que para el próximo ejercicio la misma podría alcanzar a nivel agregado un crecimiento del 3%. En este entorno, las industrias del sector real en la mayoría de sectores, han logrado mantener los niveles de operación alcanzados en el año precedente, en el cual en términos comparativos se obtuvieron los mejores resultados de la década. Lo señalado explica el comportamiento del sector financiero bancario, el cual a octubre 2009 totaliza un nivel de activos de US$16.4 millones, cifra similar al reportado a diciembre 2008. Los cambios observados en el sector se encuentran más bien a nivel de sus resultados operativos como consecuencia de los cambios regulatorios que han tenido lugar a lo largo del año. Las medidas introducidas han reducido el margen de intereses de las entidades financieras lo cual ha afectado particularmente a las instituciones que basan su estrategia competitiva en el negocio de intermediación. La industria en su conjunto debe rediseñar su forma de competir a fin de poder solventar su carga de gastos operacionales al tiempo de mantener los niveles de riesgos observados en el último quinquenio.
63
2.1.2. Descripción de la Institución. ICE Bank F.G. fue constituido en 1910 y está facultado a realizar las actividades de intermediación financiera de acuerdo a lo establecido en el artículo 51 de la Ley de General de Instituciones del Sistema Financiero. Desde 1987 ICE Bank Corporation es la sociedad controladora de ICE Bank F.G. quien se hace responsable de las pérdidas patrimoniales de sus subsidiarias hasta por el valor de sus propios activos. La estrategia de ICE Bank F.G. continúa orientada a proveer servicios financieros de banca universal para lo cual mantiene una amplia red oficinas y puntos de atención en el país, complementados con sus subsidiarias en Panamá y Colombia y oficinas de representación en España e Italia. 2.1.3. Filosofía Institucional. Nuestros clientes disfrutan de una amplia gama de productos y servicios a través de las oficinas de ICE Bank F.G. y sus subsidiarias en el Ecuador, y en todo el mundo por alianzas con bancos internacionales. Misión Crear valor a nuestros clientes, accionistas, colaboradores, y a la sociedad ecuatoriana, desarrollando propuestas bancarias y servicios financieros con sistemas de calidad y solvencia. Visión Consolidarnos como la marca líder en productos bancarios y servicios financieros de los ecuatorianos y estar presentes en todos y cada uno de sus hogares y en todas y cada una de sus empresas.
64
2.2.
Análisis Estratégico.
Fortalezas
Posición de liderazgo en el mercado. Importante nivel de liquidez que le permite cubrir eventuales retiros de depósitos.
Niveles de morosidad que continúan siendo menores a los del promedio del sistema.
Importante monto de obligaciones con vencimientos programados, lo que disminuye el impacto de retiros inmediatos producto de un entorno incierto.
Amplia red de distribución, con sucursales y oficinas en las principales ciudades del país que le han permitido acceder a su mercado objetivo y disminuir el riesgo por concentración geográfica.
Diversidad en la colocación de sectores productivos.
Planta de ejecutivos con experiencia, proactivos y ocupando cargos en función de sus capacidades.
Nivel tecnológico y administración de su riesgo operativo.
Riesgos
Las condiciones de un entorno que mantiene alta incertidumbre puede incidir en un incremento del riesgo de la cartera, lo cual requiere que la entidad continúe trabajando en la optimización de los procedimientos de control de riesgos y criterios de otorgamiento y administración de créditos.
Fuentes de financiamiento centralizadas en depósitos del público de menos de 90 días y con cierto nivel de concentración de captaciones -en su mayoría institucionales cuyos retiros pueden ejercer presión sobre la liquidez.
Vale indicar que este riesgo se ve mitigado por la estabilidad de los depósitos y por los altos niveles de sus activos líquidos.
65
Concentración geográfica, dado el mayoritario porcentaje de sus colocaciones que se encuentran en dos ciudades; las cuales son las más importantes del país y concentran la mayor cantidad de habitantes que desarrollan múltiples actividades.
Nivel de activos productivos que comparativamente se encuentran en menor posición, sobre el cual existe espacio para que la entidad ejecute labores de optimización.
2.3.
Características Operacionales.
2.3.1. Riesgo de Procesos Internos. De acuerdo a la información entregada ICE Bank F.G. ha culminado la mayor parte de los proyectos relacionados con Riesgo de Procesos Internos de la institución. La entidad dispone de un inventario o mapa de procesos de toda la organización que los categoriza en: estratégicos, productivos y de soporte. La metodología para la identificación de las líneas de negocios de acuerdo con el segmento de mercado objetivo y asignación de procesos a cada una de ellas está en fase de aprobación y se espera implementarla totalmente hasta el mes de enero de 2010. La identificación de los procesos críticos, tanto los propios de su operación como los provistos por terceros, relacionándolos con las líneas de negocio respectivas, depende del proyecto anterior por el cual se establecerá una metodología para la determinación de procesos críticos. Por esta razón el proyecto tentativamente será culminado durante el mes de enero de 2010. De acuerdo al cronograma de Riesgo Operativo, la entidad cuenta ya con políticas y procedimientos para la medición y gestión de sus procesos. En el
66
mismo ámbito, la entidad ha relevado los indicadores de gestión para el 50% de sus procesos.
Figura 2.1 Cadena de Valor de ICE Bank F.G.
67
La Base de Eventos de Pérdida (BEP) recoge eventos de toda índole. Se identificaron por: proceso, tipo de evento, monto, seguro, etc. Se preparó y evaluó un Plan de Mitigación, revisando su funcionalidad y eficacia. Los procesos de la entidad se encuentran diseñados de acuerdo a lo que requiere la norma de riesgo operativo. La entidad cuenta con un manual de procedimientos formalizado para el diseño, levantamiento y descripción de los procesos. De acuerdo a la información provista por ICE Bank F.G., al momento ya cuenta con un Manual de Políticas y Procedimientos, debidamente aprobado y difundido, para el seguimiento de los indicadores de gestión. 2.3.2. Riesgo de Gestión del Talento Humano. De acuerdo a la documentación presentada por ICE Bank F.G. al tercer trimestre de 2009 la entidad ha culminado todos los proyectos relativos a su Riesgo de Personas, de acuerdo a lo establecido en el cronograma de implementación de Riesgo Operativo. La entidad cuenta con Manuales de Incorporación, Permanencia y Desvinculación del Personal, los cuales están en concordancia con las disposiciones legales vigentes, garantizando condiciones laborables idóneas. Adicionalmente, el Código de Ética ha sido formalmente establecido y difundido a todos los niveles de la entidad. ICE Bank F.G. cuenta con una metodología de evaluación de su personal, para determinar el personal necesario y las competencias idóneas para cada puesto.
68
La entidad dispone de una base de datos que constantemente es actualizada con la información personal y laboral de su capital humano. 2.3.3. Riesgo de Tecnologías de Información. De acuerdo a la información presentada, la entidad ha culminado la mayor parte de los proyectos planificados para cubrir su Riesgo de Tecnología de Información. ICE Bank F.G. ha culminado los proyectos relacionados a planificación estratégica de TI, servicios de TI provistos por terceros, y de administración y monitoreo de la documentación de la infraestructura tecnológica. De acuerdo a la planificación del proyecto, los usuarios -en coordinación con los funcionarios de tecnología- deberán elaborar y suscribir acuerdos escritos que describan los niveles de servicio en términos cualitativos y cuantitativos y las responsabilidades de ambas partes. El proyecto está en fase de implementación y se prevé culminarlo hasta el mes de diciembre de 2009. También en fase de implementación, se encuentran los procedimientos para la administración de incidentes y problemas, incluyendo su registro, análisis y solución oportuna. Este proyecto se prevé culminarlo hasta el mes de diciembre de 2009. De acuerdo al programa de trabajo, a la fecha la entidad cuenta ya con todos los procedimientos necesarios para el desempeño de las operaciones de tecnología. Tecnología ha establecido y documentado procedimientos para soporte a usuarios dentro de una función de Help Desk o Mesa de Ayuda.
69
La Gerencia de Tecnología mantiene su esquema de mejora y actualización de la documentación de los procesos y procedimientos de tecnología de información. La entidad dispone de un Comité de Sistemas para supervisar la gestión de la estructura orgánica de TI acorde con los servicios que brinda. ICE Bank F.G. cuenta con su respectivo Manual de Políticas y Procedimientos que norman el proceso de Tecnología de Información, así como también un plan de entrenamiento y capacitación de su personal. La administración de servicios tecnológicos provistos por terceros considera los criterios de contratación institucionales, responsabilidades y monitoreo de la prestación del servicio para garantizar que satisface los requerimientos de la entidad. Para el efecto, el área de Tecnología estableció políticas de contratación de servicios. Los contratos de servicios de TI provistos por terceros
definen
la
propiedad
de
la
información
así
como
las
responsabilidades de cada parte. ICE Bank F.G. ha designado una contraparte técnica que sea responsable de administrar las relaciones con terceros. De acuerdo a la información brindada por ICE Bank F.G., en los casos correspondientes, los contratos consideran la transferencia de conocimiento y entrega de documentación técnica y de usuario, así como la aceptación del usuario. Así mismo, se reporta que al momento la entidad ha definido un procedimiento formal y continuo de monitoreo sobre la prestación de servicio de terceros, con el fin de asegurar el cumplimiento de los acuerdos del contrato.
70
De acuerdo al cronograma presentado por ICE Bank F.G., al momento cuenta con un sistema de administración de seguridad de la información que garantice su integridad, disponibilidad y confidencialidad. Para el efecto, se han desarrollado políticas y procedimientos de seguridad de la información aprobadas formalmente, difundidas e implementadas; incluyendo
aquellas
relacionadas
con
servicios
de
transferencia
y
transacciones electrónicas, si aplica. ICE Bank F.G. ha identificado los requerimientos de seguridad relacionados con la tecnología de información y ha implementado los controles necesarios para minimizar el impacto de las vulnerabilidades e incidentes de seguridad. Así mismo, a través de sus informes, al momento la entidad cuenta con un sistema de administración de las seguridades de acceso a la información y niveles de autorización de accesos para ejecución de las funciones de procesamiento. La institución se encuentra desarrollando un plan de evaluación del desempeño del sistema de administración de la seguridad de la información que permita tomar acciones para mejorarlo. Este plan se espera culminarlo hasta el mes de diciembre de 2009. La entidad cuenta con condiciones físicas y ambientales necesarias para garantizar la seguridad de la información y el correcto funcionamiento del entorno de la infraestructura de tecnología de información. ICE Bank F.G. se encuentra elaborando una metodología para la administración del ciclo de vida de desarrollo, mantenimiento y/o adquisición de aplicaciones incluyendo procedimientos para migración de información. De acuerdo a la programación presentada, se realizará este proyecto hasta el mes de diciembre de 2009. Paralelamente, se encuentra elaborando un procedimiento de monitoreo para evaluar el cumplimiento de la metodología
71
del ciclo de vida de desarrollo de sistemas. De igual forma, ICE Bank F.G. espera contar con este procedimiento a finales del mes de diciembre de 2009. ICE Bank F.G. tiene procedimientos formales para administración de versiones que garantizan el registro, evaluación y autorización de los cambios, previo a su implantación y la revisión posterior contra los resultados planeados. Dentro de los procedimientos de la entidad, se considera la ejecución de un plan de entrenamiento de las nuevas implementaciones efectuadas a los usuarios involucrados, así como también al grupo de operaciones de la función de TI de la entidad. La institución cuenta con procedimientos formales que garantizan que la documentación técnica y de usuario se mantiene actualizada y disponible para los usuarios. Este proceso de actualización se realiza de forma permanente de acuerdo a las prioridades definidas. De acuerdo a lo informado, ICE Bank F.G. cuenta con políticas y procedimientos que garantizan una adecuada administración, monitoreo y documentación de la infraestructura tecnológica. La realizó un levantamiento de la documentación correspondiente a la infraestructura tecnológica incluyendo bases de datos, redes de datos, software de base y hardware. Ha establecido políticas formales y controles para detectar y evitar la instalación de software no autorizado o no licenciado, así como instalar y actualizar periódicamente aplicaciones de detección y eliminación de virus informático y demás software malicioso.
72
2.3.4. Riesgo de Eventos Externos (Continuidad de Negocio). De acuerdo a la información presentada por la institución financiera, al momento de la revisión trimestral ya ha culminado la implementación de todos los proyectos referentes a Riesgo de Eventos Externos. En este ámbito, ICE Bank F.G. desde el año 2006 mantiene un Plan de Continuidad, el cual fue actualizado y aprobado por el Directorio en los primeros meses de 2009. Dispone de políticas, procedimientos y planes de continuidad para los procesos críticos de ICE Bank F.G., alineados con los objetivos estratégicos de ICE Bank Corporation. El plan incluye la definición de escenarios de riesgos más probables, procesos
de
alta
criticidad,
Política
de
Continuidad
del
Negocio,
Procedimientos para el manejo de crisis, recuperación y reanudación del negocio, Políticas y Pruebas del Plan de Continuidad, Planes de Entrenamiento y Concienciación, Políticas de Actualización y mantenimiento del Plan de Continuidad. Al momento ICE Bank F.G. reporta mantener vigente un análisis de impacto al negocio (BIA) así como también un análisis de ocurrencia de los eventos de riesgo. La entidad dispone de un Plan de Continuidad del Negocio que deberá ser periódicamente evaluado y difundido a todo el personal, que será capacitado en esta materia. Se reporta como concluido el Plan de Restauración, el cual permite regresar las operaciones a la normalidad después de producido un evento de riesgo. Finalmente, el Plan de Continuidad del negocio cuenta con políticas y procedimientos para el manejo de incidentes, recuperación y reanudación de las operaciones, y definición de los recursos y personas necesarias para ese fin.
73
2.3.5. Riesgo Legal. De acuerdo a la información proporcionada, ICE Bank F.G. cuenta con un Diccionario de Riesgo Legal y de Contratos, información que ha sido incorporada en la Base de Datos de Riesgo Operativo. El riesgo legal incluye, a más del control de juicios de ICE Bank F.G. en su relación con terceros, el establecimiento
del
origen
de
los
eventos
de
riesgo
operacional,
específicamente, sanciones por incumplimiento de normas, juicios activos, sanciones por incumplimiento fiscal o de seguridad social, etc. De la información presentada por la entidad no se evidencia una exposición significativa a este tipo de riesgo por parte de ICE Bank F.G. La entidad no ha informado sobre el establecimiento de proyectos operativos o tecnológicos para gestionar o monitorear este tipo de riesgo y retroalimentar a los niveles gerenciales. La entidad no ha proporcionado evidencia sobre el cumplimiento del pago del impuesto para el INNFA correspondiente al año 2008. 2.3.6. Riesgo de Cumplimiento. Los informes que cubre el trimestre bajo evaluación, presentados por el Oficial de Cumplimiento determinan el seguimiento y control de las transacciones diarias de los clientes de la entidad, superiores a los límites establecidos por la entidad de control. De igual forma, se informa que ha procedido a dar respuesta a los requerimientos de información solicitados por las diferentes autoridades competentes. Se reporta una actualización constante de las listas de personas sindicadas y de otras de fuentes externas. La entidad cumple con la obligación legal de reportar aquellas observaciones de hechos relevantes en la detección de operaciones sospechosas, en caso
74
que existan transacciones complejas y/o inusuales injustificadas que se podrían presumir provenientes de actividades ilícitas, en el periodo que comprende la presente evaluación de riesgos. 2.3.7. Situación del Riesgo Operativo en la Entidad. Los informes de avance presentados, incluyen cronogramas culminados sobre la implementación de riesgo operacional para el cumplimiento de las disposiciones del la Resolución JB-2005-834. Estos informes fueron oportunamente presentados al CAIR como un compendio de las actividades realizadas por la Gerencia de Riesgo en forma mensual. El cumplimiento de las metas de su presupuesto es bastante cercano, y de no presentarse eventos exógenos la entidad no tendrá problemas en alcanzar sus metas. De acuerdo a la revisión efectuada a la información presentada por ICE Bank F.G. y considerando el avance del cronograma de implementación de Riesgo Operativo, la entidad se mantiene con un riesgo operativo bajo pues al momento cuenta con los resguardos necesarios para afrontar situaciones de riesgo como las relevadas en los planes de contingencia institucionales. 2.4.
Gestión de Buen Gobierno Corporativo.
El esquema de Gobierno Corporativo del ICE Bank F.G. se mantiene en similares niveles a los trimestres anteriores respecto a su estructura organizacional. Las directrices estratégicas de negocios y los planes operativos que los acompañan son claros, en apoyo al desarrollo de los objetivos empresariales del ICE Bank F.G. y de su actitud conservadora dentro de la situación financiera global que se observa en el trimestre que cubre la presente evaluación.
75
La gestión de administración de riesgo operativo se sigue fortaleciendo y la gestión integral de riesgo es ya reconocida institucionalmente e incorporada de forma integral en la evaluación de los riesgos operacionales en coordinación con las aéreas tomadoras de riesgos y evaluadoras del cumplimiento de las regulaciones legales y contractuales. 2.5.
Estrategias y Posición Competitiva.
Al término del tercer trimestre del año 2009, ICE Bank F.G. se mantuvo como la segunda entidad en todo el sistema bancario ecuatoriano por el tamaño de sus Activos, Pasivos, Inversiones, Cartera, Depósitos a la vista (incluyendo restringidos) y Depósitos a plazo, ocupando además el tercer lugar por Patrimonio, Capital y Reservas y Resultados. El tamaño de sus operaciones determina que se mantenga en el grupo de bancos privados denominados como “grandes” de acuerdo a la clasificación efectuada por el ente de control. Con una trayectoria de más de ocho décadas, ICE Bank F.G. mantiene un importante nivel de posicionamiento en el mercado financiero ecuatoriano, tanto en su mercado original y su zona de influencia, como en el resto del país a donde ha extendido su cobertura, contando además con subsidiarias y presencia física en varios puntos del extranjero como parte de la expansión internacional y de servicios de su negocio financiero. A la fecha de análisis, ICE Bank F.G. mantiene un extenso portafolio de productos y servicios que incluye una oferta de productos de crédito donde se encuentra el financiamiento para actividades de consumo, compra de vehículos, vivienda, así como la emisión de tarjetas de crédito (Discover, MasterCard y Visa), tarjetas de débito y de pago efectivo.
76
Mantiene además convenios con diversas instituciones públicas y privados para la recaudación de tasas y servicios, así como también la red de corresponsalía con organismos multilaterales, gubernamentales de crédito, con bancos internacionales privados, con las redes BANRED y CIRRUS a nivel nacional e internacional. Además de la presencia física proporcionada por su red de oficinas en diversas ciudades, ICE Bank F.G. cuenta con un importante número de ATM’s y autobancos en todo el país, y desde el año 2008 ha complementado su estrategia con un creciente número de intermediarios no bancarios orientados a zonas urbanas -en un inicio- y rurales con gran afluencia de público pero sin cobertura bancaria formal. Dicho canal de distribución le ha permitido a ICE Bank F.G. incrementar el nivel de bancarización en el país, aumentar el alcance de sus servicios, y consolidar su posición como actor de vanguardia en la banca retail del país. 2.6.
Seguridad y Prevención de Fraudes en Tarjetas de Crédito
2.6.1. Departamento de Gestión y Prevención de Fraudes. El Departamento de Gestión y Prevención de Fraudes es una unidad técnica especializada de ICE Bank F.G. cuyo objetivo fundamental es facilitar el cumplimiento de las responsabilidades en la administración, seguridad y prevención los fraudes suscitados en transacciones realizadas con las marcas Discover, MasterCard y Visa reportados por los clientes; quien a través de su estructura organizacional, infraestructura tecnológica, funciones y metodologías que guían su trabajo, aplican las políticas y procedimientos aprobados por el Comité de Tarjetas de Crédito para una estratégica mitigación y control de los eventos de pérdida por riesgo operativo.
77
Esta unidad ha establecido políticas generales para la gestión de fraudes que son mencionadas a continuación: Políticas de Gestión y Prevención de Fraudes en Tarjetas de Crédito CG1 Comunicar los objetivos del control del riesgo: 1. Comunicar los objetivos de gestión de riesgos de fraude. 2. Comunicar las políticas y procedimientos del control del riesgo de fraude. 3. Establecer un código de ética / conflicto de intereses 4. Definir niveles de exposición máximos para operaciones o puntos de exposición significativa. CG2 Establecer la autoridad y asignar responsabilidades: 1. Establecer la autoridad y límites. 2. Asignar tareas clave a personal calificado. 3. Establecer una estructura organizacional formal. 4. Establecer objetivos, políticas y procedimientos formales. 5. Establecer presupuestos y requerimientos. CG3 Segregar responsabilidades incompatibles: 1. Identificar y segregar responsabilidades: registro, procesamiento y custodia de eventos de fraude en tarjetas de crédito. 2. Implementar controles de acceso a datos y sistemas. 3. Rotar periódicamente a personal que ocupa puestos críticos 4. Requerir que el personal cumpla con tomar vacaciones anuales CG4 Capacitación: 1. Incluir el plan de capacitación de eventos de fraude en el plan estratégico. 2. Medir la efectividad del programa de capacitación.
78
CG5 Transferir el riesgo: 3.
Seguros sobre los activos.
4.
Seguros de deshonestidad.
5.
Outsourcing.
6.
Condiciones contractuales
CG6 Establecer salvaguardas físicas para el dinero, valores, activos y registros. CG7 Desarrollar planes de continuidad de negocios. CG8 Desarrollar planes de seguridad de información: 7.
Establecer la política de seguridad.
8.
Establecer mecanismos para proteger la integridad de la información.
9.
Establecer mecanismos para proteger la confidencialidad de la información.
10.
Establecer mecanismos para asegurar la disponibilidad de la información y de los sistemas que soporta las operaciones.
CG9 Supervisión: 1. Verificar
el
correcto
procesamiento
de
una
transacción
o
el
cumplimiento de un procedimiento/control. La verificación puede ser sobre una muestra o sobre el total de transacciones en un periodo específico. 2. Evaluar la razonabilidad de los resultados del procesamiento de una transacción o conjunto de transacciones. 3. Visitas o actividades de seguimiento o verificación. CG10 Desarrollar actividades de mantenimiento preventivo de la infraestructura tecnológica e inmobiliaria del departamento. CG11 Eliminar las actividades, productos y operaciones que son fuentes de riesgos que la organización no está dispuesta a asumir.
79
CG12 Desarrollar actividades de monitoreo de las acciones de la competencia. CG13 Políticas de salud y seguridad de personal y clientes: 1. Seguros personales CG14 Obtener aprobaciones establecidas: 1. Verificar que las modificaciones realizadas a los archivos maestros hayan sido previa y debidamente autorizadas. 2. Obtener las aprobaciones necesarias antes de procesar un bloqueo local o internacional de T/C por evento de fraude. 3. Verificar que una transacción cumpla con las aprobaciones y límites transaccionales. CG15 Establecer controles de transacciones, documentos y archivos: 1. Usar formatos prenumerados y controlar la secuencia en el registro de fraudes. 2. Generar listado detallado de transacciones/documentos y compararlos con la información fuente. 3. Usar asientos de diario estándares. 4. Registrar la fecha, hora, usuario y estación de trabajo. 5. Registrar transacciones únicamente a través de los módulos de SysCard y Sentinel Prevention; no modificar directamente los archivos de transacciones. 6. Salvaguardar y retener documentos / registros de acuerdo a las políticas establecidas. 7. Inhabilitar documentos/archivos para usos no autorizados o cuando hayan sido procesados. 8. Verificar información contra registros, bases de datos o archivos maestros.
80
9. Inspeccionar físicamente los artículos sujetos de una transacción sospechosa de fraude.
CG16 Comparar y verificar documentos e información interna con documentos o fuentes externas: 1. Verificar los asientos de diario contra documentación de soporte. 2. Verificar información, registros y documentos contra fuentes externas (DataFast, Discover, MasterCard y Visa). CG17 Verificar el ingreso de datos: 1. Validar información recibida contra los documentos fuente. 2. Obtener evidencia de identidad del tarjetahabiente en análisis. CG19 Verificar los resultados del procesamiento: 11.
Verificar el registro operativo y/o contables al finalizar cada análisis transacción sospechosa de fraude
12.
Realizar pruebas globales de transacciones de manera periódica.
13.
Realizar pruebas específicas de transacciones de manera periódica.
14.
Revisar la retroalimentación de la información procesada.
CG20 Evaluar el cumplimiento de los principios seleccionados: 1. Supervisar el cumplimiento de políticas y procedimientos críticos. 2. Seguimiento de fechas claves antes del vencimiento del reporte de fraudes. 3. Seguimiento de fechas claves después del vencimiento del reporte de fraudes. CG21 Informar y resolver excepciones: 1. Informar el incumplimiento de los procesos y procedimientos en el análisis y prevención de fraudes en tarjetas de crédito. 2. Investigar casos de excesos sobre límites y exoneraciones.
81
3. Investigar eventos de fraude no resueltos durante el proceso. 4. Investigar saldos y consumos inusuales de tarjetahabientes. 2.6.2. Estructura Organizacional La estructura organizacional de esta unidad técnica es la que se presenta a continuación:
Figura 2.2 Estructura Organizacional del Departamento de Gestión de Fraudes
2.6.3. Procesos de Riesgo de Fraude Los Procesos de Riesgo de Fraude en Tarjetas de Crédito fueron elaborados tomando en consideración un diagnóstico situacional inicial realizado en la entidad bajo los estándares COSO ERM II y AS 4360/2004, las buenas prácticas sobre Gestión del Riesgo Operativo del Comité de Basilea, las normas de la Superintendencia de Banca y Seguros (SBS) aplicables (JB2005-834) y las estrategias de ICE Bank F.G.
82
Los procesos que en la actualidad ICE Bank F.G. gestiona relacionados a la prevención y control de riesgos de fraude en tarjetas de crédito son:
Figura 2.3 Esquema de Procesos de Riesgos de Fraude en ICE Bank F.G.
83
2.6.4. Sistema de Procesamiento de Pagos de Tarjetas de Crédito El procesamiento de pagos con tarjetas de crédito de ICE Bank F.G. se fundamenta en un sistema que está compuesto de dos grandes segmentos operativos: Autorización y Liquidación. 2.6.4.1.
Autorización
Figura 2.4 Esquema de Autorización de Transacciones en T/C de ICE Bank F.G.
Este proceso toma en promedio alrededor de 2 segundos en transacciones por internet y 15 segundos en transacciones vía telefónica: 1. El tarjetahabiente presenta su tarjeta de crédito (o su número de tarjeta, fecha de caducidad y código de seguridad) al establecimiento para la compra de bienes o servicios ofrecidos por el negocio afiliado. 2. El comercio comunica las características de la tarjeta recibida a Datafast a través de un sistema de procesamiento electrónico por POS o en el caso del comercio electrónico por un gateway de pago para la recepción y transferencia de los datos; normalmente, ésta es otra conexión cifrada mediante SSL al servidor de pago, almacenada en la pasarela de pago.
84
3. Datafast quien recibe la información de la transacción del comercio reenvía estos datos al banco adquirente del establecimiento. 4. El banco adquirente reenvía la información de la transacción al banco emisor que emitió la tarjeta de crédito al cliente para la autorización de la transacción. 5. El banco emisor de la tarjeta recibe el pedido de autorización y envía un código de respuesta al banco adquirente, además de determinar el destino del pago de la transacción (es decir, autorizado o rechazado). 6. El banco adquirente comunica la respuesta del banco emisor a Dafast donde se interpreta y se revela una respuesta al comercio. 7-8. El establecimiento obtiene la autorización e intercambia sus productos y servicios con el tarjetahabiente. 2.6.4.2.
Liquidación
Figura 2.5 Esquema de Liquidación de Pagos en T/C de ICE Bank F.G.
9. Al final del día de operaciones, el establecimiento envía el procesamiento por lotes o batch de todas las transacciones a Dafast; si el establecimiento usa un puerto de enlace en línea o una terminal IP es probable que la transferencia de esta información sea realizada
85
automáticamente y nunca notificada al establecimiento, de utilizarse una terminal telefónica tradicional el comercio posiblemente deberá de digitar un botón especial en su ordenador para iniciar este proceso. 10-12. Datafast quien recibe los resultados del procesamiento batch, envía dicha información al banco adquirente, luego esta entidad presenta la transacción al banco emisor para su pago mediante el sistema de intercambio y liquidación establecido como común acuerdo entre los bancos participantes. 13. El banco emisor paga al banco adquirente el importe, menos una comisión de intercambio que reembolsa parcialmente al emisor por sus gastos, a través de su sistema un sistema de cámara de compensación automatizada (ACH) como red de servicios de pagos y transferencias electrónicas. 14. El comercio recepta electrónicamente la acreditación de su venta gracias al retiro de dinero efectuado en la cuenta del tarjetahabiente autorizado previamente por el banco emisor, menos una tasa de descuento en el tiempo y condiciones pactadas de forma contractual con su banco adquirente. Con el propósito de resumir los objetivos y el alcance de este estudio, se expone el desarrollo de la matriz SIPOC como un método para verificar todos los elementos relevantes del proceso PO – 2.7.5.1 Gestionar y Prevenir Fraudes en T/C (Emisores) permitiendo así la identificación, evaluación e implementación de REDs y KRIs para ICE Bank F.G. El diagrama de cadena de procesos extendido (EPC) adoptado se encuentra graficado bajo el estándar de modelamiento BPM en el Anexo No. 1 y documentado bajo la arquitectura BPMS en el Anexo No. 2 de esta investigación.
86
Figura 2.6 Diagrama SIPOC del Proceso Gestionar y Prevenir Fraudes en T/C – Vía Emisión
87
CAPÍTULO III DISEÑO DE INDICADORES CLAVES DE RIESGO 3.1.
Identificación de los Eventos Críticos de Riesgo
La Dirección Ejecutiva de Tarjetas de Crédito en conjunto con su equipo de trabajo estableció que para la implementación de indicadores en el Departamento de Gestión y Prevención de Fraudes se deban de considerar los eventos críticos de riesgo como factores impulsores para la consecución de los diversos esquemas de fraudes, para los cuales se determinaron los siguientes:
1 2 3 4 5 6 7
• Impacto significativo en el costo total por pérdidas en fraudes. • Eventos de fraude no detectados por tecnologías analíticas del sistema. • Insuficiente personal para la gestión y prevención de fraudes. • Políticas/Procedimientos son ad hoc hacia los eventos de fraudes. • Incremento de transacciones fraudulentas por marca de T/C. • Resultados de investigación del fraude no satisfacen al cliente. • Pérdida de alianzas estratégicas con el sistema de operaciones de T/C. Figura 3.1 Resumen de Eventos Críticos de Riesgo (RED’s)
De acuerdo a los estándares COSO ERM II y AS 4360/2004, la identificación de los controles asociados con sus factores claves de riesgo es también una parte crítica de la gestión de procesos, por lo que el diseño de los indicadores claves de riesgo proveerán un monitoreo y retroalimentación continua sobre el desempeño del riesgo de fraude en tarjetas de crédito de ICE Bank F.G.
88
3.2.
Definición de los Indicadores Claves de Riesgo
3.2.1. Impacto de Fraudes en Tarjetas de Crédito n
I ( n) M i i 1
Con el objetivo de minimizar los costos por materialización de las topologías de fraudes examinados en este estudio, la Gerencia de Operaciones en T/C autorizó la formulación de este indicador para la prevención de las pérdidas ocurridas en transacciones con tarjetas de crédito, débito, privadas en puntos de venta, ATM’s, transferencias por internet, pagos a comercios y banca móvil de ICE Bank F.G. el cual viene expresado matemáticamente como la sumatoria de las pérdidas monetarias ocurridas en las operaciones crediticias mensuales. La descripción de este sistema de medición en conjunto con sus metas y factores claves de riesgo se encuentra en la ficha técnica adjunta a continuación:
Figura 3.2 Ficha Técnica de Impacto de Fraudes en Tarjetas de Crédito
89
3.2.2. Frecuencia de Fraudes en Tarjetas de Crédito n
F (n) xi i 1
La Gerencia de Operaciones en T/C con la finalidad de evaluar la incidencia de los esquemas de fraudes, respaldó el diseño de este indicador que permitirá denegar transacciones contra el autorizador, bloquear cuentas o tarjetas (POS y ATM), paralizar pagos a los comercios, revisar actividades inusuales o normales
de
los
clientes
desde
distintas
perspectivas,
generar
automáticamente casos de seguimiento para el registro completo de la investigación del fraude y alertas distribuidas a los analistas, el cual viene enunciado matemáticamente como la sumatoria de las frecuencias de coyuntura de los esquemas de fraudes suscitados en el periodo económico. La descripción de este sistema de medición en conjunto con sus metas y factores claves de riesgo se encuentra en la ficha técnica adjunta a continuación:
Figura 3.3 Ficha Técnica de Frecuencia de Fraudes en Tarjetas de Crédito
90
3.2.3. Heurística de Tecnologías Analíticas de Fraudes
n H (n) H ( xi ) i 1
n
H ( x ) 100% i 1
n
La Subgerencia de Infraestructura Tecnológica con el propósito de evaluar el análisis virtual de los esquemas de fraude en tarjetas de crédito por el sistema Sentinel Prevention, acreditó el desarrollo de este indicador que permitirá modelar patrones de análisis complejos definido matemáticamente como el cociente promedio entre el total de fraudes detectados en las operaciones crediticias mensuales y la suma del total de fraudes detectados por tecnologías analíticas como arboles de decisión, análisis de contracargos, redes neuronales, regulaciones de comercios, riesgo crediticio del cliente y políticas que han establecido los Departamentos de Riesgos Financieros y Auditoría. La descripción de este sistema de medición como sus metas y factores claves de riesgo se encuentran descritos en la ficha técnica expuesta a continuación:
Figura 3.4 Ficha Técnica de Heurística de Tecnologías Analíticas de Fraudes
91
3.2.4. Productividad en Gestión de Fraudes
n P(n) E (ki ) i 1
n
x j 1
j
100%
Con el objetivo de maximizar la capacidad de gestión y resolución de fraudes en tarjetas de crédito, la Dirección Ejecutiva solicitó evaluar la producción obtenida por los recursos tangibles, intangibles y humanísticos utilizados para alcanzar dicho meta eficientemente y mejorar la rentabilidad de ICE Bank F.G.; es por ello que se desarrolló este indicador para evaluar la competencia del Departamento de Gestión y Prevención de Fraudes en alcanzar los acuerdos de niveles de servicios requeridos por el cliente y el grado en que se aprovechan los recursos asignados, definido matemáticamente como el cociente promedio entre el total de casos de fraude gestionados por cada analista y la cantidad de recursos humanos que participan en dichos casos. La descripción de este sistema de medición como sus metas y factores claves de riesgo se encuentran descritos en la ficha técnica expuesta a continuación:
Figura 3.5 Ficha Técnica de Productividad en Gestión de Fraudes en Tarjetas de Crédito
92
3.2.5. Tiempo de Resolución de Fraudes
n T (n) Fs ( xi ) Fr ( xi ) i 1
n
x 100% i 1
i
Con el propósito de mejorar los acuerdos de niveles de servicio que proporciona ICE Bank F.G. a sus clientes y organismos de control para la resolución eficaz de fraudes en tarjetas de créditos, la Jefatura de Gestión y Prevención de Fraudes accedió al diseño de este indicador bajo la consigna de reducir los largos tiempos de espera y la ineficacia en la resolución de problemas de los tarjetahabientes que perjudican a la imagen de la institución, definido matemáticamente como la diferencia promedio entre la fecha en que el cliente reportó formalmente el fraude de tarjeta de al departamento y la fecha en que el analista o investigador brindó la solución al tarjetahabiente. La descripción de este sistema de medición como sus metas y factores claves de riesgo se encuentran descritos en la ficha técnica expuesta a continuación:
Figura 3.6 Ficha Técnica de Tiempos de Resolución de Fraudes en Tarjetas de Crédito
93
3.2.6. Severidad en Control de Fraudes
n Mi n F (x ) F (x ) r i S (n) in1 s i SLA( xi ) i 1 Ci i 1
xi 100% i 1 n
Finalmente con el objetivo de minimizar los niveles de robusticidad del fraude ante las estrategias de mitigación de riesgos y modelos de control interno que tiene implementado el Departamento de Gestión y Prevención de Fraudes, la Gerencia de Operaciones en T/C aprobó la creación de este indicador formulado matemáticamente como el producto esperado del cociente promedio entre el monto de fraude suscitado sobre el cupo asignado al tarjetahabiente y el cociente promedio de la diferencia esperada entre la fecha en que el cliente reportó el siniestro y la fecha en que el analista le dio solución sobre el acuerdo de nivel de servicio referente al esquema de fraude gestionado. La descripción de este sistema de medición como sus metas y factores claves de riesgo se encuentran descritos en la ficha técnica expuesta a continuación:
Figura 3.7 Ficha Técnica de Severidad en Control de Fraudes en Tarjetas de Crédito
94
3.3.
Evaluación de los Indicadores Claves de Riesgo
3.3.1. Matriz de Diseño de Indicadores Claves de Riesgo La primera técnica de análisis en este estudio proporciona un método gráfico para expresar las relaciones entre los eventos claves de riesgo y las características de diseño de los indicadores, que finalmente organiza los datos de requerimientos y expectativas de los tarjetahabientes y comercios afiliados en una forma matricial similar al Despliegue de la Función de Calidad - QFD desarrollado en la etapa de definición de la metodología DMAIC en Seis Sigma.
Figura 3.8 Matriz de Diseño de Indicadores Claves de Riesgo
Con el desarrollo de la matriz efectuada por la Gerencia de Operaciones y Subgerencia de Infraestructura Tecnológica se evidencia la fuerte y débil relación existente entre los indicadores claves y eventos críticos de riesgo
95
concluyendo así que existen aspectos importantes para la prevención de pérdidas de alianzas estratégicas con el sistema de operaciones de tarjetas de crédito existente. Adicionalmente a través de un Análisis 80-20 se valida la importancia que poseen los indicadores Severidad en Control de Fraudes, Impacto de Fraudes en T/C, Tiempos de Resolución de Fraudes y Productividad en Gestión de Fraudes para la consecución de los factores claves de éxito en esta unidad de negocio; cabe señalar que indicadores como Heurística de Tecnologías Analíticas de Fraudes y Frecuencia de Fraudes en T/C deben recibir una atención prioritaria en la redefinición de sus alineaciones estratégicas con la finalidad de incrementar su potencial de evaluación del riesgo operativo.
Gráfica 3.1 Diagrama de Pareto del Scoring Promedio Ponderado de los KRIs
3.3.2. Análisis GAP de Indicadores Claves de Riesgo La segunda herramienta de análisis en este estudio comprende una evaluación exhaustiva de los indicadores claves de riesgo frente a sus ámbitos de control establecidos por la Jefatura de Gestión y Prevención de Fraudes en conjunto con la Gerencia de Operaciones de Tarjetas de Crédito cuyo resultado
96
expresado gráficamente a través de una matriz de desempeño acredita la fiabilidad, validez, sencillez y comparabilidad de su información como la eficiencia, eficacia, calidad, economía y ecología del sistema de medición que aporta cada uno a la gestión y control del riesgo operativo de la institución financiera.
Gráfica 3.2 Diagrama de Pareto del Scoring Promedio de los KRIs
Finalmente por medio de un Análisis 80-20 se ratifica la importancia de los indicadores Impacto de Fraudes en T/C, Frecuencia de Fraudes en T/C, Severidad en Control de Fraudes y Tiempos de Resolución de Fraudes en los mecanismos de control en este departamento; cabe señalar que indicadores como Productividad en Gestión de Fraudes y Heurística de Tecnologías Analíticas de Fraudes deben recibir una atención prioritaria en la redefinición de sus sistemas de medición con el objetivo de incrementar su potencial de mejora continua para la cuantificación del riesgo operativo de la entidad financiera. El esquema de evaluación de los indicadores claves de riesgo a través de las dimensiones de control que proporciona esta herramienta de aseguramiento de la calidad se encuentra especificado en el Anexo No. 3 de este proyecto.
97
CAPÍTULO IV SISTEMA DE INDICADORES CLAVES DE RIESGO 4.1.
Modelos de Datos
4.1.1. Modelo Punto
Figura 4.1 Modelo Punto del SKRI de ICE Bank F.G.
98
Este modelo diseñado en conjunto con la Gerencia de Operaciones de Tarjetas de Crédito y Subgerencia de Infraestructura Tecnológica está compuesto por 7 dimensiones que garantizan la estabilización e implementación de los indicadores claves de riesgo. La creación de este esquema conceptual permitió la redefinición de los ámbitos de control que brindan un soporte técnico y científico a la Base de Eventos de Pérdida (BEP) como al Sistema Sentinel Prevention de ICE Bank F.G. 4.2.
Modelo Datamart
El modelo Datamart de ICE Bank F.G. está diseñado para monitorear transacciones dudosas, analizar datos cuyos resultados identifiquen nuevos patrones y refinen los motores de alertas de fraude, así como también administrar eficientemente casos de potencial fraude y dar aviso a las autoridades respectivas. Como fase inicial de la carga de información en este modelo, se debe obtener la fuente de registros del departamento, en este caso la Base de Eventos de Pérdida que contiene todo los fraudes en tarjetas de crédito suscitados desde el 1 de Enero al 31 de Diciembre del 2009; información que es almacenada por cada Analista de Gestión y Prevención de Fraudes en un archivo electrónico en Microsoft Excel luego del análisis realizado en los sistemas Sentinel Prevention, SysCard y Credit Report; información que es compartida con la Gerencia de Operaciones en Tarjetas de Crédito vía FTP para la toma de decisiones. La Base de Eventos de Pérdida sistematizada en Microsoft Access contiene las tablas lock-up o dimensionales que proporcionarán la información a la Datamart las cuales son:
99
Figura 4.2 Dimensiones de Base de Eventos de Pérdida (BEP)
Luego de tener habilitada la base operativa, se construyó el esquema multidimensional que para el presente estudio está representado por un star schema que concuerda con las tablas dimensionales desnormalizadas y los requerimientos técnicos de la Subgerencia de Infraestructura Tecnológica. 4.2.1. Hecho Fraudes Esta tabla fact fue diseñada para el análisis del riesgo operativo del Departamento de Gestión y Prevención de Fraudes en Tarjetas de Crédito.
Figura 4.3 Hecho Fraudes
El hecho fraudes está relacionado con las tablas auxiliares de agentes de gestión de fraudes, tecnologías de detección de fraudes, esquemas de fraude,
100
localidades, marcas de tarjetas de crédito, tarjetahabientes y tiempos de resolución de fraudes en tarjetas de crédito. Las medidas que se analizan en este hecho son el cupo de la tarjeta de crédito como el monto de fraude; información que se encuentra registrada en la Base de Eventos de Pérdida de ICE Bank F.G. El modelo relacional de nuestra datamart integrado por la tabla fact Fraudes y las
tablas
lock-up
Agentes,
Localidades,
Esquemas,
Detección,
Tarjetahabientes, Tiempos y Marcas se encuentra detallado en el Anexo No. 4 de esta investigación. 4.3.
Sistema de Indicadores Claves de Riesgo
Figura 4.4 Sistema de Indicadores Claves de Riesgo (SKRI)
Este producto de Business Intelligence fue diseñado con el propósito de contribuir a la mejora continua de los recursos de información dinámica y del desempeño organizacional, proveyendo a ICE Bank F.G. de un método para evaluar sus actividades en términos de la visión y estrategia de mitigación de riesgos corporativos.
101
Figura 4.5 Cuadro de Mando Integral de KRIs
En la opción Cuadro de Mando Integral de KRIs se presentará el desempeño de cada indicador expresado gráficamente a través de odometros; al seleccionar uno de ellos se presentará el dashboard correspondiente que mostrará un resumen estadístico, señales de tendencia como gráficos y tablas dinámicas que avalan el mecanismo de optimización empresarial de ICE Bank F.G. enfocado hacia la maximización del ROI y minimización del VaR. Adicionalmente en esta opción se podrá visualizar la descripción de los objetivos, factores claves de riesgo, sistemas de medición, formulación matemática, responsables de monitoreo y niveles de escalamaniento de cada uno de los indicadores planteados en este estudio que fueron evaluados y rediseñados bajo las directrices de la Matriz de Diseño y Analisis GAP de KRI. A continuación se detalla el análisis de cada indicador clave de riesgo como soporte crítico para responder a los problemas que originan los diversos esquemas de fraude en tarjetas de crédito.
102
4.3.1. Impacto de Fraudes en Tarjetas de Crédito
Gráfica 4.1 Dashboard de Impacto de Fraudes en Tarjetas de Crédito
El resumen gráfico estadístico de este indicador negativo nos muestra que la efectividad en el control de pérdidas monetarias durante todo el periodo circular del año 2009 fue del 51% generando un impacto promedio de $113,132 mensuales y $2’777,083 anuales, incumpliendo así el objetivo establecido por la Gerencia de Operaciones en T/C, teniendo como principales causas las elevadas pérdidas suscitadas en los meses de Mayo y Diciembre originadas en un 80% por esquemas delictivos como robos de tarjetas de crédito, clonación de tarjetas de crédito y consumos realizados por los tarjetahabientes en internet, vía telefónica y correo electrónico. De acuerdo a estos resultados existe en el futuro una fuerte tendencia a la baja de las fugas de capital ocasionadas por robos de tarjetas de crédito y suplantación de identidad del cliente, por lo que son fortalezas que deben de destacarse en la administración del Departamento de Prevención y Control de Fraudes en Tarjetas de Crédito.
103
4.3.2. Frecuencia de Fraudes en Tarjetas de Crédito
Gráfica 4.2 Dashboard de Frecuencia de Fraudes en Tarjetas de Crédito
El resumen gráfico estadístico de este indicador negativo nos muestra que el desempeño en el control de la frecuencia de fraudes durante todo el periodo económico del año 2009 fue del 47% generando una incidencia promedio de 60 casos de fraudes mensuales y 717 casos de fraudes anuales, incumpliendo así el objetivo establecido por la Gerencia de Operaciones en T/C, teniendo como principal causa un elevado nivel de siniestros suscitados en los meses de Febrero, Mayo y Diciembre originados en un 80% por esquemas delictivos como clonación de tarjetas bancarias y consumos realizados por los tarjetahabientes en internet, vía telefónica y correo electrónico. De acuerdo a estos resultados existe en el futuro una fuerte tendencia a la baja de los casos de fraude ocasionadas por suplantación de identidad del cliente y moderada en robos y extravíso de tarjetas bancarias, por lo que son fortalezas que deben
de destacarse en la administración del Departamento de
Prevención y Control de Fraudes en Tarjetas de Crédito.
104
4.3.3. Heurística de Tecnologías Analíticas de Detección de Fraudes
Gráfica 4.3 Dashboard de Heurística de Tecnologías Analíticas de Fraudes
El resumen gráfico estadístico de este indicador positivo nos muestra que la eficacia en el monitoreo heurístico de las tecnologías analíticas de fraudes durante todo el periodo circular del año 2009 fue del 86% generando una detectabilidad promedio mensual por estrategia de 19 casos de fraudes, cumpliendo satisfactoriamente el objetivo establecido por la Subgerencia de Infraestructura Tecnológica, teniendo como principal factor clave de éxito un elevado nivel de hallazgos suscitados en los meses de Enero, Febrero, Marzo Mayo, Junio y Septiembre originados en un 80% por mecanismos de como regulaciones de comercios afiliados, redes neuronales, arboles de decisión y análisis de contracargos en los estados de cuenta de los tarjetahabientes. De acuerdo a estos resultados existe en el futuro una fuerte tendencia a la baja del nivel de detectabilidad en las políticas departamentales de Riesgos y Auditoría como moderada en los niveles de riesgo crediticio del tarjetahabiente; por lo que son oportunidades de mejora que deben de considerarse en la administración de la Subgerencia de Infraestructura Tecnológica.
105
4.3.4. Productividad en Gestión de Fraudes
Gráfica 4.4 Dashboard de Productividad en Gestión de Fraudes de Tarjetas de Crédito
El resumen gráfico estadístico de este indicador positivo nos muestra que el nivel de eficiencia y competitividad de los recursos humanos utilizados para la gestión de fraudes durante todo el ejercicio fiscal del año 2009 fue del 53% generando una productividad promedio mensual de 13 casos gestionados por agente, incumpliendo el objetivo establecido por la Dirección Ejecutiva en Tarjetas de Crédito, teniendo como principal causa un bajo nivel de rendiminto global en el mes Marzo originado en un 80% por la carga de trabajo de los Analistas de Gestión y Prevención de Fraudes Billy Blackman y Kelly Raymond. De acuerdo a estos resultados existen brechas significativas en la productividad global de Billy Blackman y Kelly Raimond como una moderada tendencia a la baja en el rendimiento laboral de Susan Sanders teniendo en cuenta la sobrecarga de trabajo de John Scheider, por lo que son oportunidades de mejora que deben de analizarse en la administración del Departamento de Prevención y Control de Fraudes en Tarjetas de Crédito.
106
4.3.5. Tiempos de Resolución de Fraudes
ç
Gráfica 4.5 Dashboard de Tiempos de Resolución de Fraudes en Tarjetas de Crédito
El resumen gráfico estadístico de este indicador negativo nos muestra que el grado de cumplimiento de los acuerdos de niveles de servicio con clientes y organismos de control en la resolución de eventos de fraude durante todo el periodo circular del año 2009 fue del 47% generando un tiempo de resolución promedio mensual de 32 días por caso gestionado, incumpliendo el objetivo establecido por la Jefatura de Gestión y Prevención de Fraudes en Tarjetas de Crédito, teniendo como principal causa un tiempo de gestión regular en todos los meses del año en estudio. originado en un 80% por la focalización de recursos exclusicamente para la resolución de fraudes como clonación de tarjetas de crédito, suplantación de identidad de los clientes y consumos realizados en internet, vía telefónica y correo electrónico. De acuerdo a estos resultados existe una fuerte tendencia a la baja de los tiempos de resolución de casos de suplantación de identidad como cumplimiento de las disposiciones instituidas por la SBS; fortalezas que destacan la administración de la Dirección Ejecutiva de Tarjetas de Crédito. 107
4.3.6. Severidad en Control de Fraudes
Gráfica 4.6 Dashboard de Severidad en Control de Fraudes en Tarjetas de Crédito
El resumen gráfico estadístico de este indicador negativo nos muestra que el índice de madurez de los controles internos utilizados para la gestión y prevención de las topologias de fraude durante todo el ejercicio económico del año 2009 fue del 34% generando una severidad promedio mensual del 66%, incumpliendo el objetivo establecido por la Gerencia de Operaciones en T/C, teniendo como principal causa un alto margen de tolerancia en los meses de Marzo, Julio y Septiembre originado en un 80% por esquemas delictivos como clonación de tarjetas de crédito, consumos realizados por los tarjetahabientes en internet, vía telefónica, correo electrónico como robos y extravíos de tarjetas bancarias. De acuerdo a estos resultados existe en el futuro un notable nivel de confianza en la predicción de casos de suplantación de identidad, por lo que es un importante logro a resaltar en la administración del Departamento de Prevención y Control de Fraudes en Tarjetas de Crédito.
108
CAPÍTULO V ANÁLISIS ESTRATÉGICO DE INDICADORES CLAVES DE RIESGO 5.1.
Análisis Estadístico Descriptivo de Base de Eventos de Pérdida
5.1.1. Pérdida Monetaria en Fraudes de Tarjetas de Crédito Resumen Estadístico para Monto de Fraude en T/C
P rueba de normalidad de A nderson-D arling A -cuadrado V alor P
30000
60000
90000
120000
1,07 0,008
M edia D esv .E st. V arianza A simetría Kurtosis N
43790 22970 527615004 1,34601 2,88513 52
M ínimo 1er cuartil M ediana 3er cuartil M áximo
13665 26623 42027 53269 129526
Interv alo de confianza de 95% para la media 37395
50185
Interv alo de confianza de 95% para la mediana
Intervalos de confianza de 95%
33793
47886
Interv alo de confianza de 95% para la desv iación estándar
Media
19250
28486
Mediana 35000
40000
45000
50000
Gráfica 5.1 Resumen Estadístico de Impacto de Fraudes en Tarjetas de Crédito
Analizando la volatilidad de las pérdidas monetarias por esquemas de fraudes en tarjetas de crédito, se puede inferir a un 95% de confianza que las pérdidas esperadas oscilan entre los $37,795 a $50,185; así como poco factible observar que la institución financiera asuma a un 75% de confiabilidad una carga de capital superior a los $53,269, considerando que la distribución de probabilidad de esta variable estocástica tiene colas pesadas y es sesgada a la derecha.
109
Para constatar que la variación de los datos siguen una distribución normal, se aplicó el test de Anderson-Darling que pone mayor enfasis en los valores en las colas, obteniendo así un nivel de significancia observada para el ajuste relativamente bajo, permitiendo concluir que los percentiles de la distribución empírica no son similares a los de una distribución paramétrica normal. 5.1.2. Frecuencia de Fraudes en Tarjetas de Crédito Resumen Estadístico de Frecuencia de Fraudes en T/C
P rueba de normalidad de A nderson-D arling A -cuadrado V alor P <
10
20
30
40
1,61 0,005
M edia Desv .E st. V arianza A simetría Kurtosis N
13,788 7,089 50,248 2,22325 8,71160 52
M ínimo 1er cuartil M ediana 3er cuartil M áximo
3,000 9,000 13,000 16,000 47,000
Interv alo de confianza de 95% para la media 11,815
15,762
Interv alo de confianza de 95% para la mediana
Intervalos de confianza de 95%
11,503
15,000
Interv alo de confianza de 95% para la desv iación estándar
Media
5,941
8,791
Mediana 12
13
14
15
16
Gráfica 5.2 Resumen Estadístico de Frecuencia de Fraudes en Tarjetas de Crédito
Analizando la volatilidad de la incidencia de esquemas de fraudes en tarjetas de crédito, se puede evidenciar que es muy probable receptar entre 13 a 15 eventos de fraude semanales; de la misma manera, a un 75% de confianza, es poco factible observar que la institución financiera tenga una coyuntura semanal superior a los 16 casos de estafa en tarjetas bancarias. Para constatar que la variación de los datos siguen una distribución normal, se aplicó el test de Anderson-Darling que pone mayor enfasis en los valores en las colas, obteniendo así un nivel de significancia observada para el ajuste
110
relativamente bajo, permitiendo concluir que los percentiles de la distribución empírica no son similares a los de una distribución paramétrica normal. 5.1.3. Tiempo de Resolución de Fraudes en Tarjetas de Crédito Resumen Estadístico de Tiempos de Resolución de Fraudes en T/C
P rueba de normalidad de A nderson-D arling A -cuadrado V alor P <
10
20
30
40
50
60
70
31,66 0,005
M edia D esv .E st. V arianza A simetría Kurtosis N
32,703 21,058 443,444 -0,04006 -1,46342 717
M ínimo 1er cuartil M ediana 3er cuartil M áximo
3,000 10,000 38,000 51,000 75,000
Interv alo de confianza de 95% para la media 31,159
34,247
Interv alo de confianza de 95% para la mediana
Intervalos de confianza de 95%
35,773
40,000
Interv alo de confianza de 95% para la desv iación estándar
Media
20,022
22,209
Mediana 30,0
32,5
35,0
37,5
40,0
Gráfica 5.3 Tiempos de Resolución de Fraudes en Tarjetas de Crédito
Analizando la volatilidad de los tiempos de resolución de fraudes en tarjetas de crédito, se puede deducir a un 95% de confianza que los tiempos promedio de respuesta a los tarjetahabientes afectados oscilan entre los 31 a 34 días; de la misma manera es poco factible observar que la institución financiera a un nivel de confiabilidad del 75% tarde mas de 51 días en atender estos reclamos. Para constatar que la variación de los datos siguen una distribución normal, se aplicó el test de Anderson-Darling que pone mayor enfasis en los valores en las colas, obteniendo así un nivel de significancia observada para el ajuste relativamente bajo, permitiendo concluir que los percentiles de la distribución empírica no son similares a los de una distribución paramétrica normal.
111
5.1.4. Esquemas de Fraude en Tarjetas de Crédito Gráfico de Barras Apilado - Esquema de Fraudes 100 90 80 70 60 50 40 30 20 10 0 Ene
Feb
Mar
Abr
May
ACT
Jun
EXT
Jul
PHT
Ago
RBT
Sep
Oct
Nov
Dic
TNP
Gráfica 5.4 Esquemas de Fraudes en Tarjetas de Crédito
A través de esta gráfica se puede observar que existió un alto nivel delictivo en los meses de Febrero, Abril, Mayo y Diciembre en el ejercicio económico del 2009, siendo las topologías de fraude mas incidentes el skimming, el robo y el extravío de tarjetas de crédito. Por medio de la matriz de correlación expuexta en esta sección, se puede evidenciar que no existe mayormente una fuerte correlación positiva o negativa entre los esquemas de fraude en estudio, pero aplicando ciertos modelos de análisis multivariado de datos como la regresión cúbica y la suavización lowess, es posible identificar que en el comportamiento de los eventos de pérdida, existe una relación directamente proporcional en fraudes como el phishing y los consumos transaccionales con tarjeta no presente, así como inversamente proporcional en casi la mayoría de las variables analizadas. Como conclusión relevante de estas técnicas estadísticas, se puede inferir que los esquemas de fraude en tarjetas de crédito son fuentes heterogeneas de aleatoriedad, por lo que la institución financiera debe focalizar mayores esfuerzos en la prevención y control de la ocurrencia de estos eventos. 112
Gráfica de Matriz de Correlación - Esquemas de Fraude en T/C 8
16
24
0
20
40
20 15
ACT
10 24 16 EXT 8 20
10
Métodos de A juste Regresión Cúbica Suav ización Lowess
PHT
0
40
20
RBT
0 20 TNP
10 0 10
15
20
0
10
20
0
10
20
Gráfica 5.5 Matriz de Correlación de Esquemas de Fraudes en Tarjetas de Crédito
5.1.5. Tecnologías Analíticas de Detección de Fraudes Gráfica de Barras Apilada - Tecnologías de Detección 100 90 80 70 60 50 40 30 20 10 0 Ene
Feb
Mar
Abr
ADS
May
PRA
Jun
SMN
Jul
RCI
Ago
SCR
Sep
Oct
Nov
Dic
ACS
Gráfica 5.6 Tecnologías de Detección Fraudes en Tarjetas de Crédito
A través de esta gráfica se puede observar que existió un mayor nivel de hallazgos en los meses de Febrero, Abril, Mayo y Diciembre en el ejercicio 113
económico del 2009, siendo las tecnologías analíticas de fraude mas sobresalientes las redes neuronales, analisis de contracargos y las regulaciones de los comercios afiliados. Por medio de la matriz de correlación expuexta en esta sección, se puede evidenciar que no existe mayormente una fuerte correlación positiva o negativa entre los mecanismos de detección en estudio, pero aplicando ciertos modelos de análisis multivariado de datos como la regresión cúbica y la suavización lowess, es posible identificar que en el comportamiento de los niveles de detectabilidad, existe una relación directamente proporcional en casi la mayoría de los métodos heurísticos analizados.
Gráfica de Matriz de Correlación - Tecnologías de Detección de Fraudes en T/C 0
10
20
5
10
15
5
10
15 18 12
ADS
6 20 10
PRA
0
20 10
SMN
0 15 10
Métodos de A juste Regresión Cúbica Suav ización Lowess
RCI
5 15 10
SCR
5
15 10
ACS
5 6
12
18
5
10
15
5
10
15
Gráfica 5.7 Matriz de Correlación de Tecnologías de Analíticas de Fraudes en T/C
Como conclusión relevante de estas técnicas estadísticas, se puede inferir que las herramientas analíticas evaluadas son fuentes homogeneas de aleatoriedad y parte de un software sofisticado de prevención y control de fraudes en T/C.
114
5.1.6. Productividad de Gestores en Fraudes de Tarjetas de Crédito Línea de Tendencia en Productividad por Eventos de Fraude 45 40 35 30 25 20 15 10 5 0
Ene
Feb
Mar
Abr
May
Jun
Jul
Ago
Sep
Billy Blackman
John Schneider
Kelly Raimond
Susan Sanders
Oct
Nov
Dic
Gráfica 5.8 Tendencia en Productividad de Gestión de Fraudes (Frecuencia)
Con el análisis de esta gráfica de evaluación de productividad por Analista de Gestión y Prevención de Fraudes se puede evidenciar que John Schneider sobresale en su carga de trabajo asignada, siendo así el agente más eficiente en la resolución de fraudes por grado de incidencia. Línea de Tendencia en Productividad por Pérdida en Fraudes 250000
200000
150000
100000
50000
0
Ene
Feb Mar Abr May Jun
Jul
Ago Sep
Billy Blackman
John Schneider
Kelly Raimond
Susan Sanders
Oct Nov
Dic
Gráfica 5.9 Tendencia en Productividad de Gestión de Fraudes (Impacto)
115
Esta misma aseveración es corroborada con la gráfica de evaluación de productividad diseñada por nivel de pérdida monetaria que tambien ratifica el bajo desempeño de agentes como Billy Blackman y Susan Sanders producto de la experiencia en la administración de las instrucciones fiscales. 5.1.7. Severidad de Fraudes en Marcas de Tarjetas de Crédito
Gráfica 5.10 Distribución de Impacto y Frecuencia de Fraudes por Marca de T/C
A través de esta gráfica estadística se puede validar que la incidencia de fraudes es mayor en tarjetas de crédito Visa (249 casos); sin embargo considerando el nivel de riesgo de materialización de estos esquemas de fraude, es notorio el impacto económico originado por la marca MasterCard ($797,588.55), dando como resultado un total de 717 eventos de fraude y pérdidas monetarias de $2’277,083 registradas por transacciones realizadas con marcas de tarjetas de crédito Discover, Visa y MasterCard durante el periodo de Enero a Diciembre del año 2009. La mayoría de las compañías de tarjetas de crédito han desarrollado tecnologías e iniciativas innovadoras para ayudar a identificar actividades fraudulentas y actúar sin demora a fin de detener el mal uso de las tarjetas bancarias una vez que lo detectan; es por ello que ICE Bank F.G. como parte de sus buenas prácticas de gobierno corporativo, brinda retroalimentación continua sobre la severidad de los esquemas delictivos a las marcas Visa, MasterCard y Discover a través de las estadísticas expuestas a continuación: 116
5.1.7.1.
Severidad en Tarjetas de Crédito Discover Diagrama de Burbujas - Severidad en Tarjetas de Crédito Discover 35
Frecuencia de Fraude
30 25 20
Pérdida ($)
15 10 5 0 0
1
2
3
4
5
6
7
8
9
10
11
12
13
Mes Gráfica 5.11 Diagrama de Burbujas de Severidad de Fraudes en Discover
En esta marca de tarjeta de crédito se registraron 228 casos de fraude y un total de pérdidas monetarias de $737,682.36 al cierre del año 2009; siendo los meses más severos Abril, Julio y Diciembre. 5.1.7.2.
Severidad en Tarjetas de Crédito MasterCard Diagrama de Burbujas - Severidad en Tarjetas de Crédito MasterCard 45
Frecuencia de Fraude
40 35 30 25
Pérdida ($)
20 15 10 5 0 0
1
2
3
4
5
6
7
8
9
10
11
12
13
Mes Gráfica 5.12 Diagrama de Burbujas de Severidad de Fraudes en MasterCard
En esta marca de tarjeta de crédito se registraron 240 casos de fraude y un total de pérdidas monetarias de $797,588.55 al cierre del año 2009; siendo los meses más severos Febrero, Julio, Septiembre, Noviembre y Diciembre.
117
5.1.7.3.
Severidad en Tarjetas de Crédito Visa Diagrama de Burbujas - Severidad en Tarjetas de Crédito Visa 45
Frecuencia de Fraude
40 35 30 25
Pérdida($)
20 15 10 5 0 0
1
2
3
4
5
6
7
8
9
10
11
12
13
Mes Gráfica 5.13 Diagrama de Burbujas de Severidad de Fraudes en Visa
En esta marca de tarjeta de crédito se registraron 249 casos de fraude y un total de pérdidas monetarias de $741,812.54 al cierre del año 2009; siendo los meses más severos Abril, Mayo, Julio, Octubre, Noviembre y Diciembre. 5.1.8. Localización de Fraudes en Tarjetas de Crédito Gráfica de Área - Localización de Fraudes en Tarjetas de Crédito 100
97 81
Número de Fraudes
80
75
72 64
61
60
55
51
47
40
43
41
41 30
41
34
30
21
16
Localidad Exterior Nacional
34
30 22
20
51
18
13
0 Ene
Feb
Mar
Abr
May
Jun
Jul
Ago
Sep
Oct
Nov
Dic
Mes
Gráfica 5.14 Diagrama de Área de Localización de Fraudes en Tarjetas de Crédito
118
Por medio de la evaluación de esta gráfica de localidad, se evidencia claramente que los eventos de fraude en tarjetas de crédito mas frecuentes son originados por los consumos realizados en el exterior, siendo esta categoría un 4.27% mas incidente que las transacciones registradas a nivel nacional. 5.1.9. Perfiles del Riesgo de Fraude del Tarjetahabiente
Gráfica 5.15 Distribución de Perfiles de Riesgo de Fraude del Tarjetahabiente
Dadas las estadísticas expuestas en esta gráfica, finalmente se concluye que el candidato más probable a ser victima de fraudes en tarjetas de crédito es el cliente de género masculino, de unión libre, titular de una tarjeta bancaria Visa Clásica que realiza sus consumos generalmente en el exterior. 119
5.2.
Control Estadístico de la Calidad en Procesos
El objetivo de esta sección es brindar a la Dirección Ejecutiva de Tarjetas de Crédito una herramienta de control de calidad que le indique si el Proceso de Gestión y Prevención de Fraudes de Tarjetas de Crédito esta dentro o fuera de control estadístico por medio de la información registrada en la Base de Eventos de Pérdida que se encuentra detallada en el Anexo No. 5 de esta investigación. 5.2.1. Control de Incidencia de Fraudes en Tarjetas de Crédito Debido a que se esta analizando un proceso en el que solo se dispone de una única muestra de 52 observaciones individuales recopiladas semanalmente, es necesario generar una gráfica I-MR para verificar si el Proceso de Gestión y Prevención de Fraudes en Tarjetas de Crédito esta bajo control. Gráfica I-MR para Frecuencia de Fraudes en Tarjetas de Crédito Informe de Resumen ¿Es estable la media del proceso? Evalúe el % de puntos fuera de control. > 5%
Sí
Datos transformados
0%
Gráfica I Investigue los puntos fuera de control.
No 7,7%
Comentarios La media del proceso pudiera no ser estable. 4 puntos de datos (7,7%) están fuera de control en la gráfica I. Tenga en cuenta que usted puede ver un 0.7% de puntos fuera de control en virtud de las probabilidades, aunque el proceso sea estable.
4
LCS=3,697
3
_ X=2,513
2 LCI=1,328 1 1
6
11 16 21 26 31 36 41 46 51 Observación
Gráfica MR Investigue los puntos fuera de control.
Rango móvil
1,5
LCS=1,455
1,0 __ MR=0,445
0,5 0,0
LCI=0 1
6
11 16 21 26 31 36 41 46 51 Observación
Gráfica 5.16 Informe de Resumen para Gráfica I-MR de Incidencia de Fraudes en T/C
120
Al ingresar estos datos del proceso al Project Manager del Minitab 16.0 y especificar que los limites de control y la línea central de este diagrama serán estimados
a
partir
de
la
información
ingresada,
se
pudo
observar
preliminarmente que algunos puntos de datos estan fuera de control (casos de fraudes registrados en las semana 45 del mes de Noviembre como 51 y 52 del mes de Diciembre y que estan fuera de los limites de control inferior y superior), los cuales fueron excluidos del cálculo con el objetivo de evitar la desestabilización del proceso. Con el propósito de interpretar correctamente los gráficos generados, resulta imprescindible que las observaciones provengan de una distribución normal; debido a que los datos son parte de una distribución notablemente asimétrica se aplicó la Transformación Box-Cox para inducir normalidad y evitar el incremento de falsas alarmas sobre el comportamiento de los eventos delictivos. Gráfica I-MR para Frecuencia de Fraudes en Tarjetas de Crédito Informe de Estabilidad
Datos transformados
¿Es estable del proceso? Investigue los puntos fuera de control. Busque patrones y tendencias. 3,6
LCS=3,697
2,4
_ X=2,513
1,2
LCI=1,328
Rango móvil
2 LCS=1,455 1 __ MR=0,445 0
LCI=0 1
6
11
16
21
26 31 Observación
Gráfica
Razón
Puntos fuera de control
I
Valor inusualmente pequeño Valor inusualmente grande Cambio en la media de los datos Rango móvil inusualmente grande
25 51 22; 23 26; 52
MR
36
41
46
51
Se realizó una transformación de Box-Cox con lambda = 0.
Gráfica 5.17 Informe de Estabilidad para Gráfica I-MR de Incidencia de Fraudes en T/C
121
A través de los informes de estabilidad y de resumen estadístico de la gráfica IMR generado por este paquete estadístico, se puede concluir que la media y la variación del Proceso de Gestión y Prevención de Fraudes en Tarjetas de Crédito pudieran no ser estables a causa de las siguientes razones: Cuatro observaciones (7.7%) están fuera de control en la gráfica I (el número de fraudes suscitados en la semana 25 del mes de Julio es inusualmente pequeño, el número de casos registrados en la semana 51 del mes de Diciembre es inusualmente grande y los fraudes notificados en la semanas 22 y 23 del mes de Junio distorsionan la media de los datos). Dos observaciones (3.8%) estan fuera de control en la gráfica MR (el rango móvil es inusualmente grande en la semana 26 de mes de Julio y 52 del mes de Diciembre), lo cual podría afectar la validez de los limites de control en la gráfica I. Se puede identificar tambien que un 0.7% de observaciones estan fuera de control en la gráfica I y un 0.9% de puntos estan fuera de control en la gráfica MR en virtud de las probabilidades, aunque el proceso sea ligeramente estable. Los datos transformados pasaron la prueba de normalidad gracias a su transformación como tambien la prueba de correlación dado que este coeficiente entre puntos de datos consecutivos es menor que 0.2; pero al existir observaciones fuera de los limites de control esto ratifica que el sistema de causas aleatorias que provocaba la variabilidad habitual de las observaciones ha sido alterado por la aparición de una causa o causas especiales que son necesarias descubrir y eliminar. La Gerencia de Operaciones debe investigar con el Departamento de Gestión y Prevención de Fraudes en Tarjetas de Crédito las causas asignables y no asignables que desvian al proceso de su comportamiento habitual; una vez eliminadas las fuentes del problema, se podrá continuar con la gestión normal del proceso en estudio. De no ser posible su reducción, la Dirección Ejecutiva 122
de Tarjetas de Crédito debe de coordinar una reingeniería integral del proceso o la modificación de algunas actividades que lo componen. 5.2.2. Control de las Pérdidas por Fraudes en Tarjetas de Crédito Con la información concerniente a la incidencia de fraudes en tarjetas de crédito, se pudo inferir que el proceso esta fuera de control estadístico, sin embargo la Dirección Ejecutiva de Tarjetas de Crédito solicitó que para el análisis tambien se considere las pérdidas monetarias ocasionadas por los esquemas delictivos a fin de tener un segundo sistema de medición que valide las conclusiones planteadas en la seccion anterior. Debido a que se esta analizando un proceso en el que solo se dispone de una única muestra de 52 observaciones individuales recopiladas semanalmente, es necesario generar una gráfica I-MR para validar la hipótesis de descontrol del proceso en estudio. Gráfica I-MR para Pérdidas Semanales por Fraudes en Tarjetas de Crédito Informe de Resumen ¿Es estable la media del proceso? Evalúe el % de puntos fuera de control. 0%
Gráfica I Investigue los puntos fuera de control. 150000
> 5%
Sí
No Perdida
1,9%
Comentarios
LCS=101795
100000
_ X=43790
50000 0
La media del proceso pudiera no ser estable. 1 punto de los datos (1,9%) está fuera de control en la gráfica I. Tenga en cuenta que puede ver un 0.7% de puntos fuera de control en virtud de las probabilidades, aunque el proceso sea estable.
LCI=-14215 1
6 11 16 21 26 31 36 41 46 51 Observación
Gráfica MR Investigue los puntos fuera de control.
Rango móvil
100000 LCS=71259 50000 __ MR=21810 0
LCI=0 1
6 11 16 21 26 31 36 41 46 51 Observación
Gráfica 5.18 Informe de Resumen para Gráfica I-MR de Impacto de Fraudes en T/C
123
Al ingresar estos datos del proceso al Project Manager del Minitab 16.0 y especificar que los limites de control y la línea central de este diagrama serán estimados
a
partir
de
la
información
ingresada,
se
pudo
observar
preliminarmente que algunos puntos de datos estan fuera de control (pérdidas monetarias registradas en las semana 48 del mes de Noviembre como 51 y 52 del mes de Diciembre y que estan fuera de los limites de control inferior y superior), los cuales fueron excluidos del cálculo con el objetivo de evitar la desestabilización del proceso. Con el propósito de interpretar correctamente los gráficos generados, resulta imprescindible que las observaciones provengan de una distribución normal; debido a que los datos son parte de una distribución notablemente asimétrica se aplicó la Transformación Box-Cox para inducir normalidad y evitar el incremento de falsas alarmas sobre el comportamiento de las pérdidas monetarias. Gráfica I-MR para Pérdidas Semanales por Fraudes en Tarjetas de Crédito Informe de Estabilidad ¿Es estable del proceso? Investigue los puntos fuera de control. Busque patrones y tendencias. LCS=101795
Perdida
100000
_ X=43790
50000
0
LCI=-14215
Rango móvil
100000 LCS=71259 50000 __ MR=21810 0
LCI=0 1
6
11
16
21
26 31 Observación
Gráfica
Razón
Puntos fuera de control
I MR
Valor inusualmente grande Rango móvil inusualmente grande
51 48; 51; 52
36
41
46
51
1
Gráfica 5.19 Informe de Estabilidad para Gráfica I-MR de Impacto de Fraudes en T/C
124
A través de los informes de estabilidad y de resumen estadístico de la gráfica IMR generado por este paquete estadístico, se puede concluir que la media y la variación del Proceso de Gestión y Prevención de Fraudes en Tarjetas de Crédito pudieran no ser estables a causa de las siguientes razones: Una observación (1.9%) están fuera de control en la gráfica I (el número de casos registrados en la semana 51 del mes de Diciembre es inusualmente grande. Tres observaciones (5.8%) estan fuera de control en la gráfica MR (el rango móvil es inusualmente grande en la semana 48 de mes de Noviembre como 51 y 52 del mes de Diciembre), lo cual podría afectar la validez de los limites de control en la gráfica I. Se puede identificar tambien que un 0.7% de observaciones estan fuera de control en la gráfica I y un 0.9% de puntos estan fuera de control en la gráfica MR en virtud de las probabilidades, aunque el proceso sea ligeramente estable. Los datos transformados pasaron la prueba de normalidad gracias a su transformación como tambien la prueba de correlación dado que este coeficiente entre puntos de datos consecutivos es menor que 0.2. Al existir observaciones fuera de los limites de control esto ratifica que el sistema de causas aleatorias que provocaba la variabilidad habitual de las observaciones ha sido alterado por la aparición de una causa o causas especiales que son necesarias descubrir y eliminar; sin embargo al considerar las pérdidas monetarias como una dimensión adicional de análisis, es posible que no se tenga suficientes datos para estimar limites de control precisos ya que por lo menos se deberían incluir 100 puntos de datos en los cálculos de esta carta de control. En conclusión, debido a que existen variables aleatorias no controlables en este estudio, se ratifica el descontrol estadístico del Proceso de Gestión y Prevención de Fraudes en Tarjetas de Crédito. 125
5.3.
Análisis de Capacidad y Desempeño de Procesos
El objetivo de esta sección es brindar a la Dirección Ejecutiva de Tarjetas de Crédito una herramienta de evaluación de la capacidad y performance del Proceso de Gestión y Prevención de Fraudes de Tarjetas de Crédito. 5.3.1. Análisis de Capacidad del Proceso de Gestión de Fraudes en T/C (Modelo Normal) Análisis de Capacidad para Pérdidas Semanales por Fraudes en Tarjetas de Crédito Informe de Diagnóstico bajo Transformación Box-Cox
Rango móvil
Valor individual
Gráfica I-MR (transformada) Confirme que el proceso es estable. 12 11 10
1,6
0,8 0,0 1
6
11
16
21
26
31
36
41
46
51
Gráf. normalidad (lambda = 0,00) Los puntos deben estar cerca de la línea. Prueba de normalidad (Anderson-Darling) Resultados Valor p
Original
Transformado
No pasa 0,008
Pasa 0,200
Gráfica 5.20 Informe de Diagnóstico del Proceso de Gestión de Fraudes en T/C
Bajo las supuestos de que el proceso en estudio se encuentra bajo control estadístico y que las pérdidas monetarias por fraudes en tarjetas de crédito se ajustan a una distribución continua de probabilidad normal, se procedió a especificar los límites de especificacion inferior y superior como el valor objetivo para la media del proceso, tomando en consideración la pérdida mínima ($13,664.52), pérdida máxima ($129,526.23) y pérdida promedio ($43,790.07)
126
calculados en la Base de Eventos de Pérdida que se encuentra detallada en el Anexo No. 5 de esta investigación. Debido a que las observaciones son parte de una distribución notablemente asimétrica, se aplicó la Transformación Box-Cox para cumplir con el supuesto de normalidad y obtener un cálculo correcto de los índices de capacidad. Análisis de Capacidad para Pérdidas Semanales por Fraudes en Tarjetas de Crédito Informe de Resumen bajo Transformación Box-Cox ¿Qué tan capaz es el proceso?
Requerimientos del cliente
0
6
Bajo
Alto Nivel Z = 1,84
Espec. superior Objetivo Espec. inferior
129526 43790 13665
Caracterización del proceso ¿Es la media del proceso diferente de 43790? 0
0,05 0,1
> 0,5
Sí
No P = 1,000
Capacidad real (general) ¿Están los datos dentro de los límites y cerca del objetivo? LEI
Objetiv o
Media Desviación estándar
43790 22970
Capacidad real (general) Pp Ppk Z.Bench % fuera de espec. PPM (DPMO)
0,72 0,66 1,84 3,32 33248
Comentarios
LES
Conclusiones -- La media del proceso no difiere significativamente del objetivo (p > 0,05). -- La tasa de defectuosos es 3,32%, la cual estima el porcentaje de partes del proceso que están fuera de los límites de especificación. La capacidad real (general) es lo que experimenta el cliente.
0
30000
60000
90000
120000
Gráfica 5.21 Informe de Capacidad del Proceso de Gestión de Fraudes en T/C
A través de los informes de capacidad y desempeño proporcionados por este paquete estadístico, se puede concluir que el Proceso de Gestión y Prevención de Fraudes en Tarjetas de Crédito pudiera no ser capaz de cumplir con las especificaciones técnicas de la Gerencia de Operaciones por las siguientes razones: La capacidad de los indicadores de variabilidad a corto plazo Cp = 0.83 y Cpk = 0.76 nos permiten certificar que el proceso no es capaz de cumplir con la
127
misión estratégica de la Gerencia de Operaciones dado que no superan significativamente el índice de capacidad potencial estandar (Cpk ≥ 1.33) como valor mínimo aceptable. El desempeño de los indices de variabilidad a largo plazo Pp = 0.72 y Ppk = 0.66 nos permiten validar que el proceso no es capaz de cumplir con la visión estratégica de la Gerencia de Operaciones debido a que no superan significativamente al índicador de desempeño potencial estandar (Ppk ≥ 1.33) como valor mínimo aceptable. Análisis de Capacidad para Pérdidas Semanales por Fraudes en Tarjetas de Crédito Informe de Desempeño del Proceso bajo Transformación Box-Cox
Histograma de capacidad ¿Están los datos dentro de los límites y cerca del objetivo? LEI
Objetiv o
Caracterización del proceso N Total Tamaño del subgrupo
LES
52 1
Estadísticas de capacidad Real (general) Pp Ppk Z.Bench % fuera espec. (observado) % fuera espec. (esperado) PPM (DPMO) (observado) PPM (DPMO) (esperado) Posible (dentro de) Cp Cpk Z.Bench % fuera espec. (esperado) PPM (DPMO) (esperado) 0
30000
60000
90000
0,72 0,66 1,84 3,85 3,32 38462 33248 0,83 0,76 2,18 1,46 14556
Datos transformados
120000
La capacidad real (general) es lo que experimenta el cliente. La capacidad potencial (dentro de) es la que se podría alcanzar si se eliminaran los desplazamientos y desvíos del proceso.
Gráfica 5.22 Informe de Desempeño del Proceso de Gestión de Fraudes en T/C
La capacidad sigma del proceso oscila entre 1.84 y 2.18, con lo que se infiere que el nivel de eficiencia en la gestión y prevención de fraudes en tarjetas de crédito se encuentra en un rango del 61.8% al 75.8% la cual es experimentada por el tarjetahabiente.
128
Para finalizar, el número de defectos por millón de oportunidades observado y esperado (DPMO) nos indica que aproximadamente por cada $1’000,000 detectados como consumos sospechosos, entre $14,556 a $38,462 resultan ser eventos de pérdidas monetarias ocasionadas por ser transacciones vulnerables a fraudes en tarjetas de crédito; las cuales impactan entre el 1.46% y 3.85% a la utilidad neta del estado de pérdidas y ganancias de ICE Bank F.G. 5.3.2. Análisis de Capacidad del Proceso de Gestión de Fraudes en T/C (Modelo No Normal) Para este análisis de desempeño del proceso, considerando que los datos a analizar siguen una distribución notablemente asimétrica, se procedió a ejecutar el Resumen Capability SixPack de Minitab 16.0 para generar un informe rápido y completo que permita concluir si el proceso es o no capaz. Análisis Capability Sixpack para Pérdidas Semanales por Fraudes en Tarjetas de Crédito Gráfica I
Histograma de Capacidad
Valor individual
200000
LEI
LES
LCS=183578 100000
0
E specificaciones LE I 13665 LE S 129526
_ X=43790 LCI=8072 1
6
11
16
21
26
31
36
41
46
51
Gráfica de Rangos Móviles
0
30000
Rango móvil
90000 120000
Gráfica de Probabilidad LogNormal A D : 0,500, P : 0,200
100000 LCS=71259 50000
__ MR=21810 LCI=0
0 1
6
11
16
21
26
31
36
41
46
51
Últimas 25 Observaciones Valores
60000
10000
Estadísticas de Capacidad del Proceso G eneral U bicación 10,56 E scala 0,5207 Z.Bench 1,84 P pk 0,63 PPM 33247,65
100000 50000 0 30
35
40 Observación
100000
45
General
Especificaciones
50
Gráfica 5.23 Capability SixPack de Pérdidas LogNormales en Fraudes de T/C
A través de la inferencia estadística con la distribución de probabilidad LogNormal, el histograma de capacidad no muestra alguna discrepancia seria entre el modelo y los datos, ya que la curva muestra un buen ajuste, hipótesis 129
que es aceptada a través del resultado del test de Anderson-Darling; sin embargo se identifica que algunas observaciones caen fuera de los límites de especificación inferior y superior, lo que da como resultado que en el monitoreo de algunas transacciones irregulares, existan pérdidas monetarias inferiores a los $13,665 y superiores a los $129,526 semanales. Con la interpretación de las gráficas de capacidad, el valor del índice Ppk (0.63) es inferior a nuestro valor de referencia (1.33) dando como consecuencia a que por cada $1’000,000 en consumos, $33,247.65 correspondan a pérdidas monetarias; con esto se puede concluir que el proceso en estudio no es capaz de satisfacer los requisitos técnicos de calidad establecidos por los clientes para el control eficiente de fraudes en tarjetas de crédito. Análisis Capability SixPack para Pérdidas Semanales por Fraudes en Tarjetas de Crédito Valor individual
Gráfica I
Histograma de Capacidad LEI
LCS=281588
LES
200000 100000
E specificaciones LE I 13665 LE S 129526
_ X=43790 LCI=5457
0 1
6
11
16
21
26
31
36
41
46
51
Gráfica de Rangos Móviles
0
30000
60000
Rango móvil
120000
150000
Gráfica de Probabilidad LogLogística A D : 0,536, P : 0,127
100000 LCS=71259 50000
__ MR=21810 LCI=0
0 1
6
11
16
21
26
31
36
41
46
51
Últimas 25 Observaciones Valores
90000
50000
30
35
40 Observación
100000
Estadísticas de Capacidad del Proceso
100000
0
10000
45
50
G eneral U bicación 10,58 E scala 0,2985 Z.Bench 1,68 P pk 0,37 PPM 46351,78
General
Especificaciones
Gráfica 5.24 Capability SixPack de Pérdidas LogLogísticas en Fraudes de T/C
A través de la inferencia estadística con la distribución de probabilidad LogLogística, el histograma de capacidad no muestra alguna discrepancia seria entre el modelo y los datos, ya que la curva muestra un buen ajuste, hipótesis que es aceptada a través del resultado del test de Anderson-Darling; sin
130
embargo se identifica que algunas observaciones caen fuera de los límites de especificación inferior y superior, lo que da como resultado que en el monitoreo de algunas transacciones irregulares, existan pérdidas monetarias inferiores a los $13,665 y superiores a los $129,526 semanales. Con la interpretación de las gráficas de capacidad, el valor del índice Ppk (0.37) es inferior a nuestro valor de referencia (1.33) dando como consecuencia a que por cada $1’000,000 en consumos, $46,351.78 correspondan a pérdidas monetarias; con esto se puede concluir que el proceso en estudio no es capaz de satisfacer los requisitos técnicos de calidad establecidos por los clientes para el control eficiente de fraudes en tarjetas de crédito. Análisis Capability Sixpack para Pérdidas Semanales por Fraudes en Tarjetas de Crédito Valor individual
Gráfica I
Histograma de Capacidad LEI
LCS=138227
LES
100000 50000
E specificaciones LE I 13665 LE S 129526
_ X=43790 LCI=5169
0 1
6
11
16
21
26
31
36
41
46
51
0
Gráfica de Rangos Móviles
30000
60000
Gráfica de Probabilidad Gamma A D : 0,371, P : > 0,250
Rango móvil
100000 LCS=71259 50000 __ MR=21810 LCI=0
0 1
6
11
16
21
26
31
36
41
46
51
10000
Últimas 25 Observaciones Valores
90000 120000
Estadísticas de Capacidad del Proceso
100000 50000 0
30
35
40 Observación
100000
45
50
G eneral F orma 4,039 E scala 10843 Z.Bench 1,75 P pk 0,76 PPM 39774,75
General
Especificaciones
Gráfica 5.25 Capability SixPack de Pérdidas Gamma en Fraudes de T/C
A través de la inferencia estadística con la distribución de probabilidad Gamma, el histograma de capacidad no muestra alguna discrepancia seria entre el modelo y los datos, ya que la curva muestra un buen ajuste, hipótesis que es aceptada a través del resultado del test de Anderson-Darling; sin embargo se identifica
que
algunas
observaciones
131
caen
fuera
de
los
límites
de
especificación inferior y superior, lo que da como resultado que en el monitoreo de algunas transacciones irregulares, existan pérdidas monetarias inferiores a los $13,665 y superiores a los $129,526 semanales. Con la interpretación de las gráficas de capacidad, el valor del índice Ppk (0.76) es inferior a nuestro valor de referencia (1.33) dando como consecuencia a que por cada $1’000,000 en consumos, $39,774.75 correspondan a pérdidas monetarias; con esto se puede concluir que el proceso en estudio no es capaz de satisfacer los requisitos técnicos de calidad establecidos por los clientes para el control eficiente de fraudes en tarjetas de crédito. Análisis Capabilty SixPack para Pérdidas Semanales por Fraudes en Tarjetas de Crédito Gráfica I
Histograma de Capacidad
Valor individual
LEI
50000
LES
LCS=124743
100000 _ X=43790
E specificaciones LE I 13665 LE S 129526 LCI=1971
0 1
6
11
16
21
26
31
36
41
46
51
0
30000
Gráfica de Rangos Móviles
60000
Gráfica de Probabilidad Weibull A D : 0,572, P : 0,146
Rango móvil
100000 LCS=71259 50000 __ MR=21810 LCI=0
0 1
6
11
16
21
26
31
36
41
46
51
1000
Últimas 25 Observaciones Valores
90000 120000
50000
30
35
40 Observación
100000
Estadísticas de Capacidad del Proceso
100000
0
10000
45
50
G eneral F orma 2,048 E scala 49620 Z.Bench 1,48 P pk 0,70 PPM 69576,79
General
Especificaciones
Gráfica 5.26 Capability SixPack de Pérdidas Weibull en Fraudes en T/C
A través de la inferencia estadística con la distribución de probabilidad Weibull, el histograma de capacidad no muestra alguna discrepancia seria entre el modelo y los datos, ya que la curva muestra un buen ajuste, hipótesis que es aceptada a través del resultado del test de Anderson-Darling; sin embargo se identifica
que
algunas
observaciones
caen
fuera
de
los
límites
de
especificación inferior y superior, lo que da como resultado que en el monitoreo
132
de algunas transacciones irregulares, existan pérdidas monetarias inferiores a los $13,665 y superiores a los $129,526 semanales. Con la interpretación de las gráficas de capacidad, el valor del índice Ppk (0.70) es inferior a nuestro valor de referencia (1.33) dando como consecuencia a que por cada $1’000,000 en consumos, $69,576.79 correspondan a pérdidas monetarias; con esto se puede concluir que el proceso en estudio no es capaz de satisfacer los requisitos técnicos de calidad establecidos por los clientes para el control eficiente de fraudes en tarjetas de crédito. 5.4.
Análisis de Corridas en Tiempos de Resolución de Fraudes de T/C
Minitab 16.0 dispone de diversas herramientas gráficas que brindan ayuda en la planificación de la calidad y en los procesos de mejora de la organización; uno de estos análisis es la gráfica de corridas o rachas que permite detectar problemas en la calidad del producto o servicio a partir del análisis de los datos u observaciones derivadas del proceso en estudio. La gráfica de corridas mostrará si existen causas especiales que influyen en los tiempos de resolución de fraudes en tarjetas de crédito. Esta herramienta de calidad también ejecuta dos pruebas para determinar aleatoriedad que suministran información sobre la variación no aleatoria ocasionada por tendencias, oscilaciones, mezclas y conglomerados. Bajo los fundamentos estadísticos de este análisis se podrá inferir si la gestión realizada por los Analistas de ICE Bank F.G en la resolución de casos de fraudes en tarjetas de crédito se ve afectada por factores especiales que inciden negativamente en la calidad del servicio proporcionado a sus tarjetahabientes.
133
5.4.1. Análisis de Corridas en Tiempos de Resolución de Fraudes ACT Gráfica de Corridas de Resolución de Fraudes por Alteración/Clonación (ACT)
Tiempo de Resolución
60 55 50 45 40 35 30 1
20
40
60
Número de corridas de la mediana: Número de corridas esperadas: La corrida más larga de la mediana: Valor P aproximado para crear conglomerado: Valor P aproximado para las mezclas:
80 100 Número de Casos 76 86,0 10 0,061 0,939
120
140
160
Número de corridas hacia arriba y hacia abajo: Número de corridas esperadas: La corrida más larga hacia arriba y hacia abajo: Valor P aproximado para las tendencias: Valor P aproximado para la oscilación:
105 113,7 4 0,057 0,943
Gráfica 5.27 Análisis de Corridas en Tiempos de Resolución de Fraudes ACT
En el test de conglomerados (p > 0.05) se infiere que, dado que el número de corridas observadas no es significativamente superior al esperado, las observaciones en estudio no estan estratificadas, mientras que en el test de mezclas (p > 0.05) se deduce que, dado que el número de corridas observadas no es significativamente inferior al especificado bajo la hipótesis nula, las observaciones en estudio no provienen de otra población. En el test de tendencias (p > 0.05) es evidente que el número de rachas observadas es significativamente superior al esperado; mientras que en el test de oscilaciones (p > 0.05) se valida que el número de rachas observadas es significativamente inferior al planteado en la hipótesis nula, estos resultados comprueban que los tiempos de resolución de estos delitos no sufren oscilaciones ni siguen tendencias determinadas. En conclusión, la gestión de casos de clonación de tarjetas de crédito brinda una seguridad razonable del grado de cumplimiento de los SLAs establecidos por ICE Bank F.G.
134
5.4.2. Análisis de Corridas en Tiempos de Resolución de Fraudes TNP Gráfica de Corridas de Resolución de Fraudes por Tarjeta No Presente (TNP)
Tiempo de Resolución
60 55 50 45 40 35 1
20
40
Número de corridas de la mediana: Número de corridas esperadas: La corrida más larga de la mediana: Valor P aproximado para crear conglomerado: Valor P aproximado para las mezclas:
60
80 100 Número de Casos 83 85,4 10 0,354 0,646
120
140
160
Número de corridas hacia arriba y hacia abajo: Número de corridas esperadas: La corrida más larga hacia arriba y hacia abajo: Valor P aproximado para las tendencias: Valor P aproximado para la oscilación:
115 112,3 4 0,688 0,312
Gráfica 5.28 Análisis de Corridas en Tiempos de Resolución de Fraudes TNP
En el test de conglomerados (p > 0.05) se infiere que, dado que el número de corridas observadas no es significativamente superior al esperado, las observaciones en estudio no estan estratificadas, mientras que en el test de mezclas (p > 0.05) se deduce que, dado que el número de corridas observadas no es significativamente inferior al especificado bajo la hipótesis nula, las observaciones en estudio no provienen de otra población. En el test de tendencias (p > 0.05) es evidente que el número de rachas observadas es significativamente superior al esperado; mientras que en el test de oscilaciones (p > 0.05) se valida que el número de rachas observadas es significativamente inferior al planteado en la hipótesis nula, estos resultados comprueban que los tiempos de resolución de estos delitos no sufren oscilaciones ni siguen tendencias determinadas. En definitiva, la gestión de fraudes por consumos con tarjeta no presente brinda una seguridad razonable del grado de cumplimiento de los SLAs establecidos por ICE Bank F.G.
135
5.4.3. Análisis de Corridas en Tiempos de Resolución de Fraudes RBT
Gráfica de Corridas de Resolución de Fraudes por Robo de Tarjetas de Crédito (RBT)
Tiempo de Resolución
15,0
12,5
10,0
7,5
5,0 1
20
40
Número de corridas de la mediana: Número de corridas esperadas: La corrida más larga de la mediana: Valor P aproximado para crear conglomerado: Valor P aproximado para las mezclas:
60
80 100 Número de Casos
86 82,4 8 0,715 0,285
120
140
Número de corridas hacia arriba y hacia abajo: Número de corridas esperadas: La corrida más larga hacia arriba y hacia abajo: Valor P aproximado para las tendencias: Valor P aproximado para la oscilación:
160
116 109,7 4 0,880 0,120
Gráfica 5.29 Análisis de Corridas en Tiempos de Resolución de Fraudes RBT
En el test de conglomerados (p > 0.05) se infiere que, dado que el número de corridas observadas no es significativamente superior al esperado, las observaciones en estudio no estan estratificadas, mientras que en el test de mezclas (p > 0.05) se deduce que, dado que el número de corridas observadas no es significativamente inferior al especificado bajo la hipótesis nula, las observaciones en estudio no provienen de otra población. En el test de tendencias (p > 0.05) es evidente que el número de rachas observadas es significativamente superior al esperado; mientras que en el test de oscilaciones (p > 0.05) se valida que el número de rachas observadas es significativamente inferior al planteado en la hipótesis nula, estos resultados comprueban que los tiempos de resolución de estos delitos no sufren oscilaciones ni siguen tendencias determinadas. En definitiva, la gestión de casos de robo de tarjetas de crédito brinda una seguridad razonable del grado de cumplimiento de los SLAs establecidos por ICE Bank F.G.
136
5.4.4. Análisis de Corridas en Tiempos de Resolución de Fraudes EXT Gráfica de Corridas de Resolución de Fraudes por Extravío de Tarjetas de Crédito (EXT)
Tiempos de Resolución
10 9 8 7 6 5 4 3 1
10
20
30
40
Número de corridas de la mediana: Número de corridas esperadas: La corrida más larga de la mediana: Valor P aproximado para crear conglomerado: Valor P aproximado para las mezclas:
50 60 70 Número de Casos 69 58,3 5 0,979 0,021
80
90
100
110
Número de corridas hacia arriba y hacia abajo: Número de corridas esperadas: La corrida más larga hacia arriba y hacia abajo: Valor P aproximado para las tendencias: Valor P aproximado para la oscilación:
80 78,3 5 0,643 0,357
Gráfica 5.30 Análisis de Corridas en Tiempos de Resolución de Fraudes EXT
En el test de conglomerados (p > 0.05) se infiere que, dado que el número de corridas observadas no es significativamente superior al esperado, las observaciones en estudio no estan estratificadas, sin embargo en el test de mezclas (p < 0.05) se deduce que, dado que el número de corridas observadas es significativamente inferior al especificado bajo la hipótesis nula, las observaciones en estudio estan mezcladas (provienen de otra población). En el test de tendencias (p > 0.05) es evidente que el número de rachas observadas es significativamente superior al esperado; mientras que en el test de oscilaciones (p > 0.05) se valida que el número de rachas observadas es significativamente inferior al planteado en la hipótesis nula, estos resultados comprueban que los tiempos de resolución de estos delitos no sufren oscilaciones ni siguen tendencias determinadas. En definitiva, la gestión de casos de extravío de tarjetas de crédito esta persuadida por causas especiales que impactan el cumplimiento de los SLAs establecidos por ICE Bank F.G.
137
5.4.5. Análisis de Corridas en Tiempos de Resolución de Fraudes PHT Gráfica de Corridas de Resolución de Fraudes por Suplantación de Identidad (PHT)
Tiempo de Resolución
80 70 60 50 40 30 1
10
20
30
Número de corridas de la mediana: Número de corridas esperadas: La corrida más larga de la mediana: Valor P aproximado para crear conglomerado: Valor P aproximado para las mezclas:
40 50 60 Número de Casos 43 48,0 7 0,151 0,849
70
80
90
Número de corridas hacia arriba y hacia abajo: Número de corridas esperadas: La corrida más larga hacia arriba y hacia abajo: Valor P aproximado para las tendencias: Valor P aproximado para la oscilación:
62 62,3 5 0,467 0,533
Gráfica 5.31 Análisis de Corridas en Tiempos de Resolución de Fraudes EXT
En el test de conglomerados (p > 0.05) se infiere que, dado que el número de corridas observadas no es significativamente superior al esperado, las observaciones en estudio no estan estratificadas, mientras que en el test de mezclas (p > 0.05) se deduce que, dado que el número de corridas observadas no es significativamente inferior al especificado bajo la hipótesis nula, las observaciones en estudio no provienen de otra población. En el test de tendencias (p > 0.05) es evidente que el número de rachas observadas es significativamente superior al esperado; mientras que en el test de oscilaciones (p > 0.05) se valida que el número de rachas observadas es significativamente inferior al planteado en la hipótesis nula, estos resultados comprueban que los tiempos de resolución de estos delitos no sufren oscilaciones ni siguen tendencias determinadas. En definitiva, la gestión de casos de suplantación de identidad brinda una seguridad razonable del grado de cumplimiento de los SLAs establecidos por ICE Bank F.G.
138
5.5.
Simulación Matemática del Modelo de Distribución de Pérdidas Agregadas (LDA)
El objetivo de esta sección es brindar a la Dirección Ejecutiva de Tarjetas de Crédito una metodología de cuantificación del capital requerido por riesgo operacional (OpVaR) de eventos de fraudes en tarjetas de crédito de la institución financiera en estudio, la cual es descrita paso a paso a continuación: 5.5.1. Obtención de Base de Eventos de Pérdida (BEP) ICE Bank F.G. cuenta con una base de 717 registros producto de los eventos de fraude en tarjetas de crédito suscitados desde el 1 de Enero al 31 de Diciembre del 2009, los cual para efectos de este estudio fueron homologados semanalmente de acuerdo al sistema de medición propuesto por la Gerencia de Operaciones y resumidos de acuerdo al formato establecido a continuación:
Figura 5.1 Matriz de Eventos de Pérdida por Fraudes en Tarjetas de Crédito
5.5.2. Ajuste de Distribución Estadística para Frecuencia de Eventos de Pérdida Al efectuar un tratamiendo estadístico de datos con la herramienta de simulación @Risk del Palisade Decision Tools 5.5. se pudo determinar por medio de la prueba de bondad no paramétrica Chi-Cuadrado las distribuciones de probabilidad discretas que se ajustan perfectamente a las variables
139
aleatorias de frecuencia computadas por cada esquema de fraude en tarjetas de crédito registrado en la base de eventos de pérdida de ICE Bank F.G.
Gráfica 5.32 Distribuciones de Probabilidad de Frecuencia de Eventos de Pérdida
En la gráfica anterior se puede visualizar el ajuste estadístico de cada esquema de fraude siendo la distribución Binomial Negativa la asignada para casos de alteración/clonacion de tarjetas bancarias, robos de tarjetas de crédito, y consumos con tarjeta no presente; la distribución Poisson para extravíos de 140
tarjetas de crédito y la distribución Geométrica para eventos de suplantación de identidad de los tarjetahabientes de ICE Bank F.G. 5.5.3. Ajuste de Distribución Estadística para Impacto de Eventos de Pérdida
Gráfica 5.33 Distribuciones de Probabilidad de Impacto de Eventos de Pérdida
141
Al efectuar un tratamiendo estadístico de datos con la herramienta de simulación @Risk del Palisade Decision Tools 5.5. se pudo determinar por medio de la prueba de bondad no paramétrica Anderson-Darling las distribuciones de probabilidad continuas que se ajustan perfectamente a las variables aleatorias de impacto computadas por cada esquema de fraude en tarjetas de crédito registrado en la base de eventos de pérdida de ICE Bank F.G. En la gráfica anterior se puede visualizar el ajuste estadístico de cada esquema de fraude siendo la distribución LogNormal la asignada para todos los esquemas de fraude (alteración/clonacion de tarjetas bancarias, consumos con tarjeta no presente, robos y extravíos de tarjetas de crédito así como suplantación de identidad de los tarjetahabientes de ICE Bank F.G) 5.5.4. Aproximación del Cálculo Determinístico y Estocástico del OpVaR con Simulación Monte Carlo (SMC) Para ilustrar y contrastar el efecto de cuantificación del riesgo operativo (OpVaR) por fraudes en tarjetas de crédito a través del modelo de distribución de pérdidas agregadas (LDA), se decidió agregar a esta sección el enfoque de cálculo de la severidad determinística (producto de la coyuntura del fraude y el impacto de su existencia). Con los resultados obtenidos mediante la generación de 21.400 escenarios hipotéticos, bajo un margen de tolerancia al error del 3% y un nivel del 95% de confianza (parámetros configurados en el @Risk para la aplicación de SMC), se pudo concluir que con el análisis tradicional de probabilidad e impacto, la pérdida esperada por fraudes en tarjetas de crédito converge a $66,090.03 semanales, teniendo como cota máxima de pérdidas semanales que convergen a $9’029,309.24 y una carga de capital semanal muy probable de ocurrencia de $11,555.32.
142
Gráfica 5.34 Histograma de Severidad Determinística por Fraudes en Tarjetas de Crédito
La pérdida inesperada bajo este enfoque determinístico a un nivel del 95% de confianza converge a los $221,284.88; de la misma manera a un nivel del 99% de confianza la carga de capital inesperada por fraudes en tarjetas de crédito asciende a los $577,610.22. Muchas otras gráficas estadísticas como el diagrama de tornado regresivo, curvas acumulativas de probabilidad, así como estimadores de máxima verosimilitud asociados al sistema de calculo del OpVaR determinístico pueden ser visualizados en el Anexo No. 6 de esta investigación. Para la simulación estocástica del modelo LDA se procederá a la convolución de las funciones caracterizadas de frecuencia e impacto a través de un operador matemático inmerso en la función RiskCompound de @Risk utilizada para combinar la frecuencia y el impacto del fenomeno en estudio. Esta función toma dos argumentos que pueden ser una función de @RISK, o una referencia de celda de otra fórmula. En una iteración determinada, el valor del primer argumento especifica el número de muestras que se extraen de la distribución introducida en el
143
segundo argumento. Esas muestras de la segunda distribución se resumen para determinar el valor que genera la función RiskCompound. Con los resultados obtenidos mediante la generación de 21.400 escenarios hipotéticos, bajo un margen de tolerancia al error del 3% y un nivel del 95% de confianza (parámetros configurados en el @Risk para la aplicación de SMC, se pudo determinar que bajo el operador estadístico que combina las distribuciones de impacto y frecuencia, la pérdida esperada por fraudes en tarjetas de crédito desciende a los $66,084.77 semanales, teniendo como cota máxima de pérdidas semanales que convergen a $3’762,885.44 y una carga de capital semanal muy probable de ocurrencia de $19,316.13.
Gráfica 5.35 Histograma de Severidad Estocástica por Fraudes en Tarjetas de Crédito
La pérdida inesperada bajo este enfoque estocástico a un nivel del 95% de confianza converge a los $175,042.32; de la misma manera a un nivel del 99% de confianza la carga de capital inesperada por fraudes en tarjetas de crédito desciende a los $326,311.98. Muchas otras gráficas estadísticas como el diagrama de tornado, curvas acumulativas de probabilidad, así como estimadores de máxima verosimilitud asociados al sistema de calculo del
144
OpVaR tradicional pueden ser visualizados en el Anexo No. 7 de esta investigación. Es evidente que existen brechas significativas en los resultados del enfoque tradicional de valoración de riesgos y el modelo de distribución de pérdidas agregadas dado que el primer método hereda los efectos cualititativos de su sistema de medición original. 5.6.
Simulación Matemática del Modelo de Distribución Generalizada de Valores Extremos de Pérdida (GEV)
El objetivo de esta sección es brindar a la Dirección Ejecutiva de Tarjetas de Crédito una guía metodologíca para la estimación del OpVaR a través de las colas de la distribución original de pérdidas haciendo uso exclusivo de los valores extremos por fraudes en tarjetas de crédito. 5.6.1. Estimación de Parámetros de la Distribución GEV Gráfica de Algoritmos de Estimación de Hill (ξ) 2,100 1,800 1,500 1,200 0,900 0,600 0,300 0,000 1
6
11
16
21
26
Algoritmo ξ1
31
36
41
46
51
Algoritmo ξ2
Gráfica 5.36 Análisis de Brechas entre Algoritmos de Estimación de Hill
Para ilustrar el cálculo de los parámetros de la distribución GEV en esta investigación, se consideraran los eventos de pérdida por fraudes en tarjetas de crédito registrados durante las 52 semanas del ejercicio económico del 2009. 145
En la tabla expuesta a continuación se presentan los datos ordenados de mayor a menor siendo la pérdida más alta la acontecida en la semana 51 por un monto de $129,526.23 y la mas baja registrada en la semana 5 por una cuantía de $13,664.52, luego se procede a calcular el logaritmo natural de cada una de las observaciones descritas en el ranking de pérdidas. En las ultimas columnas se calcular el valor del parametro ξ para un umbral k en particular usando el Método I o Método II respectivamente.
Tabla 5.1 Calculo del Parámetro ξ utilizando Métodos de Estimación de Hill
Bajo este calculo interativo, finalmente se obtiene que el valor esperado de las columnas que brindan un estimado del índice de distribución de valores extremos considerando un umbral k específico a través de los métodos aplicados para su estimación es de ξ1 = 0.472 y ξ2 = 0.449 respectivamente, concluyendo que la pérdida promedio converge a $60,459.37 y la desviación
146
estándar de $20,334.06 a partir de los eventos de pérdida semanales por fraudes en tarjetas de crédito de ICE Bank F.G. Es evidente que el resultado de ambas
técnicas
concuerdan
de
que
las
observaciones
se
ajustan
perfectamente a una distribución de valores extremos con colas pesadas dado que ξ > 0. 5.6.2. Cálculo del OpVaR por el Método de Bloques Máximos Al configurar los parámetros de la distribución GEV para el cálculo del OpVaR da como resultado que la carga de capital a un nivel del 99% de confianza considerando un valor de ξ1 = 0.472 asciende a los $395,582.08; mientras que al introducir el valor de ξ2 = 0.449 en la ecuación manteniendo estable el valor del parámetro de locación
$60,459.37 y de escala y
= $20,334.06 de
la distribución GEV, las pérdidas inesperdas bajo el mismo nivel de confianza disminuyen a los $372,072.18. Es por esta razón que siempre será preferible disponer del modelo que genere la mínima pérdida operacional total, ya que los supervisores aceptarán este cálculo siempre que la entidad demuestre claramente que su modelo matemático satisface los criterios de solidez para métodos de medición avanzada, establecidos por Basilea II. Como conclusión de la aplicación de estos modelos de cuantificación del riesgo operativo, se recomienda ampliamente a la Dirección Ejecutiva de Tarjetas de Crédito utilizar el Modelo de Distribución de Pérdidas Agregadas (LDA) dado que genera la mínima carga de capital a provisionar en sus estados financieros a causa de la materialización de fraudes en tarjetas bancarias sobre las operaciones crediticias de ICE Bank F.G.
147
CAPÍTULO VI CONCLUSIONES Las estadísticas delictivas, cada año, demuestran que las medidas actuales no son suficientes para frenar la incidencia de esquemas de fraude en tarjetas de crédito, que cada vez con más asiduidad ataca a los procesos de negocio de las instituciones financieras del país. La Dirección Ejecutiva de Tarjetas de Crédito gracias a la colaboración del Departamento de Gestión y Prevención de Fraudes en la aplicación de la Metodología de Construcción de KRI y considerando como parámetros de calidad a los Factores Claves de Éxito (KSF) y Eventos Críticos de Riesgo (RED) con los que se encuentra diseñado sistemáticamente el proceso PO – 2.7.5.1 Gestionar y Prevenir Fraudes en T/C (Emisores), implementó exitosamente un conjunto de 6 Indicadores Claves de Riesgo los cuales son mencionados a continuación:
1 2 3 4 5 6
• Impacto de Fraudes en Tarjetas de Crédito. • Frecuencia de Fraudes en Tarjetas de Crédito. • Heurística de Tecnologías Analiticas de Fraudes en Tarjetas de Crédito. • Productividad en Gestión de Fraudes en Tarjetas de Crédito. • Tiempos de Resolución de Fraudes en Tarjetas de Crédito. • Severidad en Control de Fraudes en Tarjetas de Crédito.
Gráfica 6.1 Indicadores Claves de Riesgo de ICE Bank F.G.
148
Con la programación de un Sistema de Indicadores Claves de Riesgo (SKRI) desarrollado como soporte interactivo para el proceso de toma de decisiones ante pérdidas inminentes asociadas a la materialización de los diversos esquemas de fraudes en tarjetas de crédito Discover, Visa y MasterCard que impactan a las operaciones crediticias de ICE Bank F.G. se pudieron obtener las siguientes conclusiones:
Indicadores Claves de Riesgo
Meta Ok
Eficacia (%)
Si
V
No
A
Frecuencia de Fraudes en Tarjetas de Crédito.
53
Impacto de Fraudes Tarjetas de Crédito.
49
en
Heurística de Tecnologías Analíticas de Fraudes en T/C.
86
Productividad en Gestión de Fraudes de T/C.
53
Tiempos de Resolución de Fraudes de T/C.
53
Severidad en Control Fraudes de T/C.
66
de
R
Oportunidades de Mejora Implementación de sistemas de autenticación de titulares (smart cards, tokens y biometría). Reingeniería de metodologías de cuantificación del riesgo operativo bajo técnicas AMA de Basilea II. Configuración de reglas del SP bajo modelos VISOR y 3-D Secure de marcas Visa y MasterCard. Planificación de incentivos por alcance de metas y aplicación de estrategias e-coaching por analista. Constitución de joint ventures con instituciones financieras AAA- y entidades de control externas. Certificación de seguridad de la información sobre controles y procesos con Norma PCI-DSS 2.0
Tabla 6.1 Resultados del Sistema de Indicadores Claves de Riesgo de ICE Bank F.G.
Adicionalmente con la administración de herramientas de control de calidad como componentes de un estudio 6σ, se determinó que el proceso de Gestión y Prevención de Fraudes en Tarjetas de Crédito no se encuentra bajo control estadístico, existiendo brechas significativas para la consecución del nivel deseado de desempeño y capacidad óptima requerido para el cumplimiento de la filosofía institucional de ICE Bank F.G. y las necesidades de sus tarjetahabientes. Los resultados más relevantes de este análisis son expuestos a continuación:
149
Herramientas de Control
Sistema de Medición
Diagrama de Control I-MR del Proceso PO - 2.7.5.1.
KRI 1-2
Desempeño y Capacidad del Proceso PO - 2.7.5.1.
KRI 2
Análisis de Corridas y Rachas del Proceso PO - 2.7.5.1.
KRI 5
Meta Ok Si
No
Conclusiones del Estudio
El valor esperado de la pérdida del proceso es inestable y ciertos eventos de fraude están fuera de control a finales del año 2009. La eficiencia del proceso converge al 96.67% con una DPMO de 33,248 y un Z.Bench de 1.84. con una diferencia del 3.33% para el alcance del objetivo cero defectos. El 80% de los casos de resolución de fraudes cumplen con los SLA’s del negocio a excepción de los esquemas EXT.
Tabla 6.2 Resultados de Herramientas de Control Estadístico de Procesos - 6σ
Finalmente con el uso de algunos modelos predictivos de riesgo operacional recomendados ampliamente por el Comité de Basilea y calibrados con las transacciones fraudulentas con tarjetas bancarias suscitadas durante el año 2009; la Dirección Ejecutiva de Tarjetas de Crédito decidió adoptar para sus procedimientos de cuantificación del OpVaR el Modelo de Distribución de Pérdidas Agregadas (LDA) como potencial catalizador para las iniciativas de ICE Bank F.G. en la detección y prevención de fraudes financieros de acuerdo a la generación de la mínima pérdida esperada e inesperada a provisionar ante las entidades de control, a su versatilidad para la medición estratificada por tipo de evento y línea de negocio, a su fundamento en información de pérdidas reales y no en “indicadores de exposición” y a la consistencia de sus resultados con los enfoques de medición de riesgo de crédito y de mercado. Indicadores de Riesgo
Modelos de Cuantificación del OpVaR
Pérdida Esperada (EL)
Pérdida No Esperada (UL)
Análisis Cualitativo de Riesgo Operativo (I-P)
$66,090.03
$577,610.22
Distribución de Pérdidas Agregadas (LDA)
$66,084.77
$326,311.98
Distribución de Pérdidas Extremas (GEV)
$60,459.37
$372,072.18
Elegido? Si
Tabla 6.3 Resultados de Métodos de Medición Avanzada del OpVaR - Basilea II
150
No
RECOMENDACIONES El impresionante aumento en el número de usuarios de tarjetas de crédito en todo el mundo lleva a las empresas y a los organismos de control a intentar concretar nuevos y efectivos métodos de seguridad, que a su vez sean cómodos y fáciles de utilizar para la sociedad permitiendo disminuir el riesgo de fraude y proteger la integridad de los tarjetahabientes en entornos de algo riesgo tecnológico. A continuación se refieren las más recientes tecnologías en seguridad de la información para la industria de pagos con tarjetas de crédito:
Autenticación del Titular
Código de Seguridad (CVV)
Sistema de Verificación de Direcciones (AVS)
Sistema de Revisión Manual (MRS)
Técnicas de Minería de Datos
Tarjetas Inteligentes (Smart Cards)
Tokens Criptográficos
Lectores Biométricos
Gráfica 6.2 Tecnologías de Detección y Prevención de Fraudes con Tarjetas de Crédito
151
Cabe señalar que estas tecnologías van alineadas a un objetivo fundamental que es el de proteger un conjunto de datos particularmente valioso: la información de las tarjetas de crédito de los consumidores. Como respuesta, American Express, Discover, JCB, MasterCard y Visa cooperaron para crear un entorno que abarca a toda la industria y detalla la forma en la que las empresas que manejan datos de tarjetas de crédito (específicamente, bancos, comerciantes y procesadores de pago) deben proteger esa información. El resultado fue el Estándar de Seguridad de Datos (DSS, Data Security Standard) de la Industria de Pagos con Tarjeta de Crédito (PCI, Payment Card Industry), un conjunto de requerimientos de mejores prácticas para proteger los datos de las tarjetas de crédito en todo el ciclo de vida de la información.
Gráfica 6.3 Estándar de Seguridad de Datos en Tarjetas de Crédito - PCI-DSS Versión 2.0
Esta norma se centra en 6 objetivos de control de alto nivel. Básicamente, son metas de seguridad que refuerzan la protección de la información de las tarjetas de crédito. Los requerimientos de seguridad generales respaldan cada objetivo de control; los 12 requisitos se dividen de forma más específica en más de 200 requerimientos que especifican las tecnologías, las políticas y los procedimientos necesarios para proteger la información de los titulares de
152
tarjetas. Todos los recursos corporativos tanto financieros, tecnológicos como humanos deben ser canalizados estratégicamente por las entidades bancarias del país con el fin de implementar un adecuado marco de gestión del riesgo operacional. Aquellas entidades que se concentren en el desarrollo de modelos estadísticos actuariales requerirán de esfuerzos considerables en los próximos años para la creación de sus bases de datos internas, por eso será esencial que establezcan una política de recolección de datos de las pérdidas y de su asignación. La utilización de modelos de medición avanzada del riesgo operacional (AMA) no sólo posibilitará importantes ahorros de capital, sino que también permitirá optimizar las políticas de seguros de las entidades, utilizar sus datos para ajustar sus políticas de pricing y mejorar metodologías de RAROC (si las emplearan). Por último, las instituciones financieras locales deberán perseguir la integración final de los aspectos cualitativos y cuantitativos. Esto implica el diseño y el establecimiento de las relaciones entre los datos recopilados, los indicadores claves de riesgo, los mapas de riesgos y controles y las mediciones de capital. Este enfoque debe ser dinámico y confluir en el establecimiento de un plan de acciones correctivas para afrontar las debilidades detectadas. Tal como lo definió John Ruskin en su libro The Stones of Venice (Volumen III 1853), “El trabajo de la ciencia es sustituir apariencias por hechos e impresiones por demostraciones”. En definitiva, los estándares de seguridad de la información junto con la aplicación de las mas notables innovaciones tecnológicas para la detección y prevención de fraudes así como la administración integral del riesgo operacional y control de la calidad total en los productos y servicios relacionados con la industria de tarjetas de crédito deberán tener como objetivo común el eliminar todos las casuísticas de baja verosimilitud que impactan al desarrollo sostenible del sistema financiero ecuatoriano.
153
BIBLIOGRAFÍA Tej Paul Bhatla, Vikram Prabhu & Amit Dua; “Understanding Credit Card Frauds”; Cards Business Review, June 2003. V.Dheepa, R.Dhanapal; “Analysis of Credit Card Fraud Detection Methods”; International Journal of Recent Trends in Engineering, Vol 2, No. 3, November 2009. David A. Montague; “Fraud Prevention Techniques for Credit Card Fraud”, Trafford Publishing, Canada 2004. Peter Burns, Anne Stanley; “Fraud Management in the Credit Card Industry”, April 2002. Association of Certified Fraud Examiners; “CFE Fraud Examiners Manual: Check & Credit Card Fraud”, 2007 Edition, pp. 1014-1042. Richard Collard; “Fraud Prevention and Detection for Credit and Debit Card Transactions”, IBM Corporation Software Group, August 2009. International Council of E-Commerce Consultants; “CEH Ethical Hacking and Countermeasurements”, Module 58 Credit Card Frauds 6th Version. Commidea; “Card Fraud Facing Facts and the Future”, Sweden 2004. Sumedh Thakar, Terry Ramos; “PCI Compliance for Dummies”, John Wiley & Sons Ltd., England 2009. Maria Miranda, Daniel Sanchez, Luis Cerda; “Reglas de Asociación Aplicadas a la Detección de Fraude con Tarjetas de Crédito”; XII Congreso Español sobre Tecnologías y Lógica Fuzzy, Jaén, 15-17 de Septiembre de 2004. Kiran Garimella, Michael Lees, Bruce Williams; “BPM Basics for Dummies”; Wiley Publishing, Inc., Indiana 2008. August-Wilhelm Scheer, Helmut Kruppke, Wolfram Jost, Herbert Kindermann; “Agility by ARIS Business Process Management“; SpringerVerlag Berlin Heidelberg, Germany 2006. Jaime Beltrán, Miguel Carmona, Remigio Carrasco, Miguel Rivas, Fernando Tejedor; “Guía para una Gestión basada en Procesos”; Fundación Valenciana de la Calidad, España.
154
http://www.fvq.es/Archivos/Publicaciones//4f4d263778guia_gestionprocesos .pdf Aravind Immaneni, Chris Mastro & Michael Haubenstock; “A Structured Approach to Building Predictive Key Risk Indicators”; Operational Risk: A Special Edition of The RMA Journal, May 2004. John Fraser, Betty Simkins; “Enterprise Risk Management: Identifying and Communicating Key Risk Indicators”, pp. 125-140, John Wiley & Sons, Inc., New Yersey 2010. Chuck Hannabarger, Rick Buchman & Peter Economy; “Balance Scorecard Strategy for Dummies”, Wiley Publishing, Inc., Indiana 2007. Asociación Española de Normalización y Certificación; “Norma UNE 66175:2003. Guía para la Implantación de Sistemas de Indicadores”, España. http://www.fvq.es/Archivos/Publicaciones//b301c7a518implantacion_indicad ores.pdf Nigel Da Costa Lewis; “Operational Risk with Excel and VBA Applied Statistical Methods for Risk Management”, pp. 203-207, John Wiley & Sons, Inc., New Yersey 2004. James William Martin; “Lean Six Sigma for the Office”, pp. 239-266, Taylor & Francis Group, LLC, United States, 2009 Wayne L. Winston; “Financial Models Using Simulation and Optimization I”, Palisade Corporation, Kelley School of Business Indiana University 1998. Philippe Jorion; “Financial Risk Manager Handbook”, pp. 551-592, 4th Edition, John Wiley & Sons, Inc., New Yersey 2007. Michael Alexander; “Excel 2007 Dashboards & Reports for Dummies”, Wiley Publishing, Inc., Indiana 2008. Omar Briceño Cruzado; “Aplicación de la Distribución de Pérdidas (LDA) para estimar el Requerimiento de Capital por Riesgo Operacional (CaR) utilizando @Risk y Stat Tools”; Foro de Análisis de Riesgos y Decisiones de Palisade Corporation, Perú, Noviembre 2010. http://www.palisade.com/downloads/UserConf/LTA10/Briceno_PaliasdeLima 2010.pdf Espiñeira, Sheldon y Asociados; “Cuantificación del Capital Requerido por Riesgo Operacional – OpVaR”; Boletín Asesoría Gerencial Price Waterhouse Coopers, Venezuela, Marzo 2007.
155
http://www.pwc.com/ve/es/asesoria-gerencial/boletin/assets/boletin advisory-03-2007.pdf Diego Etchepare & Norberto Rodríguez; “Riesgo Operacional”; Revista CEO Price Waterhouse Coopers, Argentina 2007. http://www.pwc.com/ar/es/publicaciones/assets/ceo-riesgooperacional02.pdf Juan Murillo Gómez & Luis Franco Arbelaez; “Loss Distribution Approach (LDA): Metodología Actuarial Aplicada al Riesgo Operacional”; Revista de Ingenierías Universidad de Medellín, Vol. 7, Núm. 13, pp. 143-156, Colombia, Julio-Diciembre 2008. http://redalyc.uaemex.mx/pdf/750/75071310.pdf Ana Pereyra & Fabian Mendy; “Gestión del Riesgo Operacional en Instituciones Financieras. Estamos preparados?”; República Dominicana, Julio 2009. http://www.aba.org.do/ABA2/manager/dlm/applications/DocumentLibraryMa nager/upload/Gestion-de-Riesgo-Operacional.pdf Pamela Cardozo; “Valor en Riesgo de los Activos Financieros Colombianos Aplicando la Teoría de Valor Extremo”; Departamento de Comunicación Institucional del Banco de la República., Colombia, Julio 2004. http://www.banrep.gov.co/docum/ftp/borra304.pdf Margarita Velín; “Estudio del Riesgo Financiero considerando Riesgos Extremos y Fluctuaciones Estocásticas para un Portafolio de Inversiones”; Escuela Politécnica Nacional de Quito, Ecuador, Diciembre 2008. http://bibdigital.epn.edu.ec/bitstream/15000/1124/1/CD-1966.pdf Thomas Pizdek & Paul Keller; “The Six Sigma Handbook. A Complete Guide for Green Belts, Black Belts, and Managers at All Levels”; 3rd Edition, McGraw-Hill Professional, United States, October 2009. Craig Gygi, Neil DeCarlo & Bruce Williams; “Six Sigma for Dummies”; Wiley Publishing, Inc., Indiana 2005. Larry Webber & Michael Wallace “Quality Control for Dummies”; Wiley Publishing, Inc., Indiana 2007. Miguel Bahena Quintanilla; “Aplicación de la Metodología Seis Sigma para Mejorar la Calidad y Productividad de una Planta de Bebidas”; Universidad Iberoamericana Puebla, México, 2006.
156
GLOSARIO DE TÉRMINOS ACAMS: Acrónimo de Association of Certified Anti-Money Laundering Specialists; es la asociación más importante para los profesionales antilavado de dinero (ALD) interesados en mejorar el conocimiento, las habilidades y experiencia de aquellos dedicados a la detección y prevención del lavado de activos en el mundo. ACFE: Acrónimo de Association of Certified Fraud Examiners; es la principal y mayor organización anti-fraude en el mundo que agrupa a especialistas, investigadores,
auditores,
académicos,
abogados,
contadores,
peritos,
profesionales y consultores interesados en el tema de las mejoras en la detección y disuasión de fraudes a través de la expansión del conocimiento y la interacción de sus miembros. ALIFC: Acrónimo de Asociación Latinoamericana de Investigadores de Fraudes y Crímenes Financieros; es una entidad sin fines de lucro constituida con el objetivo de capacitar permanentemente a todos sus miembros, realizar consultoría de investigación, fomentar el intercambio profesional, recopilar y difundir avances y nuevos conocimientos en la prevención, investigación y análisis de los fraudes y crímenes financieros y tecnológicos entre los países latinoamericanos. AMA: Acrónimo de Advanced Measurement Approach; es parte de los tres métodos para el cálculo de los requerimientos de capital asociados al riesgo operativo propuestos por Basilea II. Análisis GAP: El análisis de brechas busca identificar las debilidades de control, de manera que se puedan tomar medidas correctivas. Se evalúan los controles considerando tres escenarios: (1) la implementación del control; (2) la efectividad del diseño; y (3) la efectividad de su operación.
157
Autorización: Es el proceso de comprobación para verificar que la cuenta del titular de la tarjeta posee suficientes fondos disponibles con objeto de aprobar la transacción. En caso de autorización positiva, el límite de crédito del titular de la tarjeta en el momento de la solicitud se reduce y los fondos se reservan hasta el pago. Basilea II: Es un estándar internacional emitido por el Comité de Supervisión Bancaria de Basilea que sirve de referencia a los reguladores bancarios, con el objetivo de establecer los requerimientos de capital necesarios para asegurar la protección de las entidades financieras frente a los riesgos financieros y operativos. BSC: Acrónimo de Balance Scorecard; es un entorno de trabajo para la identificación de las métricas empresariales más allá de las medidas financieras
básicas
utilizadas
normalmente;
entre
los
indicadores
de
desempeño se cuentan medidas de clientes, procesos y personas, así como información financiera que vinculan objetivos estratégicos y métricas operacionales. Banco Emisor: Es el agente económico que emite y/o comercializa tarjetas de crédito en Ecuador, de uso nacional o internacional o ambas modalidades. Banco Adquirente: Es la institución financiera que recibe todas las transacciones del comerciante que se deben distribuir al banco emisor. Batch Processing: Es la autorización de transacciones cuando no se requiere aprobación inmediata. Se recopilan varias transacciones en un archivo y se envían como una sola transmisión para su procesamiento por lotes. BIS: Acrónimo de Bank for International Settlements; es un organismo internacional que fomenta la cooperación financiera y monetaria internacional y sirve de banco central para la organización de los bancos centrales mundiales con sede en Basilea (Suiza).
158
BPM: Acrónimo de Business Process Management (gestión de procesos de negocio); se trata de los métodos, técnicas y herramientas empleados para diseñar, representar, controlar y analizar procesos de negocio operacionales en los que están implicados personas, sistemas, aplicaciones, datos y organizaciones. Cámara de Compensación Automatizada: Es el nombre de una red electrónica que procesa volúmenes grandes de transacciones financieras. Card Present Transaction: Es un tipo de transacción en que la tarjeta está presente y se pasa por un dispositivo electrónico que lee el contenido de la banda magnética en la parte trasera de la tarjeta. Card-Not-Present Transaction: Es un tipo de transacción que ocurre cuando el titular de la tarjeta no está presente, o la tarjeta física no está presente. Ejemplos incluyen pedidos por correo, pedidos por teléfono y ventas por Internet. Estos tipos de transacciones se consideran la de más alto riesgo. Cobertura: Es la localidad geográfica o sector de mercado donde puede ser utilizada la tarjeta de crédito. Comercio: Es aquella empresa que se afilia a un banco adquirente con el objetivo de poder procesar los consumos directos que haga el tarjetahabiente en su establecimiento. Contracargo: Es la revocación de una transacción de venta, iniciada por el banco emisor o el titular de la tarjeta al banco adquirente para su resolución. Cuando el titular de una tarjeta inicia un contracargo, el banco emisor de la tarjeta está obligado a realizar el reembolso inmediatamente en la cuenta en que se realiza el contracargo. El titular de una tarjeta tiene 90 días para iniciar un contracargo. El comerciante en línea es responsable de este dinero.
159
Convolución: Es un operador matemático que transforma dos funciones f y g en una tercera función que en cierto sentido representa la magnitud en la que se superponen f y una versión trasladada e invertida de g. Cupo de Crédito: Se refiere al monto máximo, en moneda nacional o extranjera o ambas, que el banco emisor se compromete a prestar al titular de la cuenta mediante las condiciones estipuladas en el contrato. DMAIC: Acrónimo de las cinco fases de la metodología Seis Sigma: Define (Definir), Measure (Medir), Analyze (Analizar), Improve (Mejorar), Control (Controlar); se utiliza para resolver problemas de procesos y problemas de negocio a través de datos y métodos analíticos. Dashboard: Es una presentación visual que indica el estado de una compañía o proceso de negocio mediante indicadores clave de riesgos numéricos y gráficos. Dirección IP: Es un número exclusivo que se utiliza para representar cada ordenador individual en la red. Todos los ordenadores tienen una dirección IP exclusiva cuyo es de cuatro conjuntos de números separados por puntos. Eficacia: Es la capacidad para contribuir al logro de los objetivos institucionales de conformidad con los parámetros establecidos. Eficiencia: Es la capacidad para aprovechar racionalmente los recursos disponibles en pro del logro de los objetivos institucionales, procurando la optimización de aquellos y evitando dispendios y errores. Encriptación: Es el proceso mediante el cual la información o archivos son alterados en forma lógica, con el objetivo de evitar que alguien no autorizado pueda interpretarlos al verlos o copiarlos, por lo que se utiliza una clave en el origen y en el destino.
160
ERM: Acrónimo de Enterprise Risk Management; es una metodología de control interno basada en el establecimiento de estrategias para toda la organización, que son diseñadas para identificar eventos potenciales que puedan afectar a la entidad y administrar riesgos dentro de su apetito de riesgos para proporcionen una seguridad razonable referente al logro de los objetivos del negocio. Estado de Cuenta: Es el documento confeccionado por el banco emisor que contiene
el
resumen
mensual
de
los
consumos
efectuados
por
el
tarjetahabiente. Evaluación Cualitativa de Riesgos.- Técnicas utilizadas para obtener una indicación general del nivel de riesgo al que se está expuesto. Utilizan formatos de palabras o escalas descriptivas para describir la magnitud de las consecuencias y la probabilidad de que ocurran. Evaluación Cuantitativa de Riesgos: Las metodologías cuantitativas estiman valores monetarios para el impacto y valores estadísticos para las probabilidades de los riesgos, permitiendo calcular el Valor en Riesgo Operacional (OpVaR). Evento de Pérdida: Es la materialización de un evento de riesgo que debe ser registrado en la Base de Datos de Eventos de Pérdida. Fecha de Transacción: Es la fecha real en que se llevo a cabo una transacción con tarjeta de crédito. Fecha de Investigación: Es la fecha tanto de inicio como de fin del proceso de sondeo de actividades sospechosas de comerciantes o titulares de tarjetas de crédito. Firewall: También llamado corta fuegos o murallas chinas, consiste en un sistema que bloquea los puertos de comunicación; adicionalmente esconde la
161
presencia de su ordenador en Internet, de modo que no pueda ser detectado por los virus o hackers. Fraud Scoring: Un conjunto de tecnologías o modelos para la predicción de fraudes siendo el más eficiente de estos modelos el que reconoce los hábitos de compradores legítimos y fraudulentos; en la actualidad existen modelos de evaluación que asignan un valor numérico para definir el riesgo de fraude. FTC: Acrónimo de Federal Trade Commission; es una agencia independiente del Gobierno de los Estados Unidos fundada con el propósito de promover los derechos de los consumidores y la eliminación y prevención de prácticas que atentan contra la libre competencia. Heurística: Es la ciencia que trata de la aplicación de conocimiento derivado de la experiencia a un problema, la cual genera algoritmos con buenos tiempos de ejecución y buenas soluciones, usualmente las óptimas que son utilizados por científicos de computación, investigadores operativos y profesionales para resolver problemas demasiado complejos. IFIS: Acrónimo de Instituciones Financieras; es un conjunto de intermediarias financieras que se encargan de captar recursos en forma de depósitos, y prestar dinero, así como la prestación de servicios financieros. IMA: Acrónimo de Internal Measurement Approach; es un método propuesto por Basilea II que consiste en calcular la pérdida esperada de la institución financiera en función de las líneas de negocio, y la clasificación de los eventos de pérdidas operativas que las originan a través de una aproximación matricial probabilística. KPI: Acrónimo de Key Performance Indicators; son métricas financieras o no financieras, utilizadas para cuantificar objetivos fijados que reflejan el rendimiento de los procesos en función de los Key Sucess Factors (KSF) y que generalmente se recaban en el plan estratégico de una organización.
162
KRI: Acrónimo de Key Risk Indicators; es un sistema de medición usado en la administración de riesgos financieros que indica que tan riesgosa es una actividad específica brindando alertas proactivas que identifican eventos críticos de riesgo conocidos como Risk Event Drivers (RED), los cuales pueden afectar significativamente la continuidad del negocio. LDA: Acrónimo de Loss Distribution Approach; es el modelo de mayor difusión por Basilea II que tiene la ventaja sobre el IMA de ser más sensible al riesgo y en medir directamente las pérdidas inesperadas de una entidad financiera. Línea de Negocio: Es una especialización del negocio que agrupa procesos encaminados a generar productos y servicios especializados para atender un segmento del mercado objetivo definido en la planificación estratégica de la entidad. Liquidación: Es el proceso en el cual el comerciante transmite lotes de transacciones al banco adquirente; en intercambio, es el proceso mediante el cual bancos adquirentes y emisores intercambian información financiera que es el producto de transacciones de venta, adelantos en efectivo, créditos de mercancías, etc. OpVaR: Acrónimo de Operational Value at Risk; es una metodología para calcular el capital requerido por riesgo operacional indicando la máxima pérdida en unidades monetarias que se espera en un horizonte de tiempo para un nivel de confianza determinado. PCI DSS: Acrónimo de Payment Card Industry Data Security Standards; son un conjunto de normas de seguridad de datos de la industria de tarjetas de pago que son utilizadas en todo el mundo por MasterCard, Visa, Discover y American Express para combatir los fraudes con tarjetas de débito y de crédito mediante la imposición de estrictos reglamentos respecto a cómo se maneja y mantiene la información de titulares de tarjetas, que la subsecuente violación
163
de información de tarjetas en el sitio de un comerciante, puede conllevar considerables multas y la imposibilidad de aceptar pagos con tarjeta. Pérdida Esperada: Es la media de la distribución de pérdidas y ganancias, indica cuanto se puede perder en promedio y está asociada a la política de reserva preventiva que la institución debe tener contra los riesgos financieros. Pérdida Inespereda: Esta medida puede estimarse como la diferencia entre el OpVaR y la pérdida esperada la misma que permite determinar el capital requerido por el acreedor para hacer frente las pérdidas no anticipadas. PIN: Es un código secreto que se utiliza para verificar la identidad de la persona que intenta utilizar una tarjeta de crédito mediante el código alfanumérico o numérico, este número de identificación personal se introduce en un teclado numérico y se codifica para ir junto con la autorización. Política: Enunciados o interpretaciones generales que sirven de guía en la toma de decisiones. Proceso: Es el conjunto de actividades que transforman insumos en productos o servicios con valor para el cliente, sea interno o externo. Proceso Crítico: Es el indispensable para la continuidad del negocio y las operaciones de la institución controlada, y cuya falta de identificación o aplicación deficiente puede generarle un impacto financiero negativo. QFD: Acrónimo de Quality Function Deployment; es un sistema que traduce los requerimientos del cliente a los parámetros apropiados de la empresa en cada una de las etapas del ciclo de desarrollo de productos y servicios desde la investigación y desarrollo, hasta la ingeniería, fabricación, mercadotecnia, ventas y distribución. RAROC: Acrónimo de Risk Adjusted Return On Capital, es unos de los métodos que más emplean las entidades financieras y aseguradoras para
164
medir la rentabilidad de su cartera de créditos y el límite de exposición de sus clientes y acreedores teniendo en cuenta una probabilidad de pérdida determinada. Redes Neuronales: Es una mecanismo heurístico que compara nuevas transacciones con perfiles de transacciones fraudulentas utilizando una serie de ecuaciones polinomiales, que serían el equivalente matemático a tener un panel de especialistas en detección de fraudes en tarjetas de crédito ocupado en examinar el pedido si las características justifican el uso de su experiencia. SBS: Acrónimo de Superintendencia de Bancos y Seguros del Ecuador; tiene como misión velar por la seguridad, estabilidad, transparencia y solidez de los sistemas financieros, de seguros privados y de seguridad social, mediante un eficiente y eficaz proceso de regulación y supervisión para proteger los intereses del público e impulsar el desarrollo del país. Simulación: Es la creación de modelos matemáticos por ordenador de una situación hipotética que se puede analizar para determinar cómo puede funcionar una aplicación dada de sistemas cuando se implementan. SLA: Acrónimo de Service Level Agreements; es un contrato escrito entre un proveedor de un producto o servicio y su cliente con objeto de fijar el nivel acordado para la calidad de dicho producto o servicio. Seis Sigma: Es un conjunto probado de herramientas analíticas, técnicas de control de proyectos, métodos de generación de informes y técnicas de gestión que se combinan para elaborar mejoras muy importantes en la solución de problemas y el rendimiento empresarial. SPC: Acrónimo de Statistical Process Control; son un conjunto de técnicas estadísticas que tienen la capacidad de detectar y corregir variaciones en el proceso que puedan afectar a la calidad del producto o servicio final, reduciendo desechos y evitando que los problemas lleguen al cliente final.
165
SSL: Acrónimo de Secure Sockets Layer; es un protocolo informático establecido que se utiliza para cifrar datos que protegen la seguridad, privacidad y confiabilidad de información de pago transmitida a través del canal entre el comprador y el comerciante. T/D: Acrónimo de Tarjeta de Débito; es la tarjeta bancaria que se utiliza para comprar bienes y servicios, que carga la cuenta corriente personal del titular de la tarjeta. T/C: Acrónimo de Tarjeta de Crédito; es el documento de identificación del tarjetahabiente, que puede ser magnético o de cualquier otra tecnología, que acredita una relación contractual previa entre el banco emisor y el titular de la cuenta por el otorgamiento de un crédito revolutivo a favor del segundo, para comprar bienes, servicios, pagar sumas líquidas y obtener dinero en efectivo. Tarjetahabiente: Es el usuario titular o adicional que posee una cuenta de tarjeta de crédito activa que se puede utilizar para realizar transacciones. Tarjeta Adicional: Es aquella tarjeta de crédito que el titular autoriza a favor de las personas que designe. Titular: Es la persona física o jurídica que, previo contrato con el banco emisor, es habilitada para el uso de una línea de crédito revolutiva. Transacción: Es el proceso de entregar bienes o servicios a cambio de un retribución monetaria; esta comienza cuando se hace un pedido con una tarjeta de crédito. Cada intento de autorización de un consumo se considera un intento de pedido y por lo tanto se considera como una transacción.
166
ANEXOS
167
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión
168/186
Anexo No. 1 Diagrama del Proceso PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión
168
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión
169/186
Anexo No. 2 Descripción de Funciones y Responsabilidades del Proceso
Alerta de fraude recibida en el sistema
Verificar si el sistema está habilitado Descripción: Responsable:
Se verifica si Sentinel Prevention carga la información correctamente o presenta anomalías que impiden la consulta. Oficial de Gestión y Prevención de Fraudes
El sistema funciona correctamente
Realizar monitoreo de las alertas de fraude Descripción:
Se realiza el monitoreo en el Sentinel Prevention Menú Emisor Opción Consultas y se eligen las opciones de: - Transacciones Sospechosas (General). - Transacciones Sospechosas (Detalladas). - Transacciones En estas se monitorean todas las alertas que le han sido asignadas, revisando aquellas tarjetas de crédito por el número de alertas, monto, por prioridades de filtros y por el score de las redes neuronales. Nota: Sentinel utiliza las siguientes herramientas analíticas para el monitoreo de las transacciones:
Responsable:
- Reglas. - Perfiles. - Score Experto. - Redes Neurales. - Arboles de Decisión. - Indicadores. - Regulaciones de Comercios. - Análisis de Contracargos. Oficial de Gestión y Prevención de Fraudes
Seleccionar la T/C reportada como sospechosa Descripción:
Se selecciona del listado una de las T/C reportadas como sospechosas.
Responsable:
Cabe recalcar que el sistema está programado con reglas que le permiten identificar las transacciones sospechosas de acuerdo al historial de fraudes. Oficial de Gestión y Prevención de Fraudes
169
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión
170/186
Consultar los movimientos de la T/C reportada Descripción:
Se consulta como herramienta de descarte en el SysCard Menu Tarjetas Opción Consulta de Saldos: - Generales: Se revisan los datos de la tarjeta de crédito del cliente. - Complementarios: Se obtiene los números telefónicos para contactar al cliente y la localidad validando que esta información sea la registrada en Sentinel. - Balance: Se revisan los saldos del cliente. - Movimientos: Se analizan los movimientos históricos del cardholder. -Autorizaciones: Se consultan los diferentes consumos reportados por la T/C, sus montos, lugar (país) donde se efectuaron dichas transacciones, el comercio o sitio web donde se realizó la compra sospechosa.
Responsable:
Adicionalmente en el SysCard ingresando al Menú Gestiones Opción Consulta y Registro de Novedades se verifica los comentarios ingresados en caso de que el cliente haya notificado algún viaje fuera del país o algún consumo en particular. Oficial de Gestión y Prevención de Fraudes
Identificar si la transacción es reportada como sospechosa Descripción:
Responsable:
En función de lo revisado en las transacciones anteriores, se identifica básicamente el standard de consumo del cliente, por ejemplo, un cliente que de pronto consume altos montos en una actividad comercial que no lo haya realizado jamás, o q lo haga en el extranjero sin que su rutina sea el viajar y comprar, o transacciones realizadas en dos o más países al mismo tiempo; estas actividades entre otras son consideradas como altamente riesgosas. Jefe de Gestión y Prevención de fraudes
Transacción descartada como posible fraude
Descartar transacción como alerta de fraude Descripción:
Responsable:
Se descarta en el Sentinel Prevention la alerta de sospecha de los consumos y/o transacciones confirmadas como realizadas por el cliente. Se selecciona sobre la alerta de la T/C (clic derecho y se elige“Descartar transacción”) y se registra un breve comentario de la gestión realizada (clic derecho y se elige “Ver comentarios”) Oficial de Gestión y Prevención de Fraudes
170
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión
171/186
Alerta de fraude descartada
Transacción encontrada como posible fraude
Validar datos de la transacción Descripción:
Se valida en el Sentinel Prevention la información de la transacción reportada como alerta. Los datos a revisar son código de país, moneda, nombre y categoría del comercio, etc. versus lo que indique el SysCard Menu Autorizaciones Opción Consultas/Reversos mediante el siguiente procedimiento: - Se accede a la pestaña Detalle y se ingresa el número de tarjeta de crédito en el campo Tarjeta. - Luego se da un check en el campo Marca dependiendo de la compañía emisora de la T/C. - En el campo Fch. Desde/Hasta se elige el periodo a analizar.
Responsable:
- También se revisa el archivo de apoyo Currency code by country (formato txt) para identificar el país en donde se estan realizando las transacciones a través del código descrito en Sentinel. Oficial de Gestión y Prevención de Fraudes
Sentinel no funciona correctamente o no es cosistente con SysCard
Comunicar a Infraestructura Tecnológica la inconsistencia Descripción:
Responsable:
Al presentarse diferencias entre los datos de origen de la transacción que fue reportada con alerta de sospecha de fraude por Sentinel Prevention vs el SysCard, se envía un mail a la Subgerencia de Inteligencia de Negocios para que identifiquen el problema y sea corregido en la brevedad del caso. Oficial de Gestión y Prevención de Fraudes
Receptar novedad de inconsistencia Descripción:
Se recibe vía mail del Área de Gestión y Prevención de Fraudes la novedad de que existe diferencia entre los datos de origen de la transacción que fue reportada con alerta de sospecha de fraude por Sentinel vs. SysCard para la corrección.
171
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión
172/186
Receptar novedad de inconsistencia Responsable:
Subgerente de Business Intelligence
Reportar a Sentinel Provider la inconsistencia Descripción: Responsable:
Se reporta vía mail a Sentinel Provider la inconsistencia recibida para que ellos brinden los servicios de help desk y solucionen lo suscitado. Subgerente de Business Intelligence
Recibir respuesta de Sentinel Provider Descripción:
Responsable:
Se recibe respuesta sobre la novedad reportada, dicha contestación incluyen los pasos necesarios para la correcta conGráficación y/o modificación del Sentinel Prevention. Subgerente de Business Intelligence
Realizar cambios en la conGráficación del sistema Descripción:
Responsable:
Se realizan los cambios indicados por Sentinel Provider en la conGráficación del sistema para remediar el error reportado por el Oficial de Gestión y Prevención de Fraudes. Subgerente de Business Intelligence
Comunicar a Gestión de Fraudes que la novedad fue resuelta Descripción: Responsable:
Se comunica vía mail al Departamento de Gestión y Prevención de Fraudes que ya está solucionada la inconsistencia por Sentinel Provider Subgerente de Business Intelligence
Recibir respuesta de inconsistencia solucionada Descripción: Responsable:
Se recibe vía mail la respuesta de las correcciones realizadas o el motivo de la discontinuidad de las operaciones entre los sistemas Oficial de Gestión y Prevención de Fraudes
Respuesta de inconsistencia recibida
Sentinel es cosistente con SysCard
172
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión
173/186
Consultar los datos de contacto del cliente Descripción:
Responsable:
Se consultan los datos del cliente mediante el acceso al SysCard Menú Tarjetas Opción Consulta de Saldos Pestaña Complementarios, en la que se revisan los números de teléfono y localidad. Previo a esto se tienen preparadas las pantallas en donde se detallan las transacciones analizadas como sospechosas tanto en Sentinel Prevention (Emisor - Consultas) como en SysCard (Tarjetas - Consulta de Saldos) para atender cualquier inquietud dentro del análisis. También se pueden consultar los datos de contacto del cliente en la pantalla del Sentinel Prevention sólo con hacer click derecho en la transacción en análisis y seleccionando el campo“ Información Adicional Cardholders” Oficial de Gestión y Prevención de Fraudes
Llamada es atendida por un tercero
Consultar donde y cuando se puede ubicar al cardholder Descripción:
Responsable:
Se solicita a la persona que atendió la llamada donde se puede ubicar al cardholder, si se encuentra en el Ecuador se le informa que se volverá a llamar; pero si está en el extranjero se solicitan los teléfonos de contacto, dirección de domicilio, dirección de correo electrónico para contactarlo y la fecha de regreso del cardholder. Oficial de Gestión y Prevención de Fraudes
Cardholder se encuentra en Ecuador
Comunicar que se volverá a llamar al cardholder
Descripción:
Responsable:
Oficial de Gestión y Prevención de Fraudes
Registrar en los sistemas las acciones realizadas Descripción:
Se registra en SysCard Menú Gestiones Opción Consulta/Registro de Novedades y en Sentinel Prevention se da clic derecho en la T/C consultada y se selecciona “Ver comentario” y se detalla todo la información relevante obtenida sobre la gestión realizada para ubicar al cliente, indicando la fecha de regreso al país del y todos los datos de
173
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión
174/186
Registrar en los sistemas las acciones realizadas contacto en el exterior
Responsable:
Oficial de Gestión y Prevención de Fraudes
Acciones realizadas registradas
Cardholder se encuentra en el Exterior
Comunicar que se volverá a llamar al cardholder
Descripción:
Responsable:
Oficial de Gestión y Prevención de Fraudes
Registrar en los sistemas las acciones realizadas Descripción:
Responsable:
Se registra en SysCard Menú Gestiones Opción Consulta/Registro de Novedades y en Sentinel Prevention se da clic derecho en la T/C consultada y se selecciona “Ver comentario” y se detalla todo la información relevante obtenida sobre la gestión realizada para ubicar al cardholder. Oficial de Gestión y Prevención de Fraudes
Acciones realizadas registradas
Llamada es atendida por el cardholder
Confirmar con el cliente transacciones sospechosas Descripción:
Responsable:
Durante la conversación con el cliente se visualiza la información proporcionada por los sistemas Sentinel Prevention y SysCard y se identifican si las transacciones sospechosas son fraude, haciendo preguntas como por ejemplo, si ha realizado compras en el país o en el exterior, por Internet, indicando los montos para verificar si el cardholder los reconoce. Oficial de Gestión y Prevención de Fraudes
174
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión
175/186
Cardholder confirma las transacciones
Cardholder no confirma las transacciones
Confirmar con el cliente si posee la T/C bajo su custodia Descripción:
Responsable:
Se confirma con el cliente si tiene en su poder la T/C para descartar si algún tercero autorizado por él ha realizado la transacción sospechosa de fraude. Oficial de Gestión y Prevención de Fraudes
Cardholder indica que posee su T/C
Comunicar al cliente que por seguridad se bloqueará la T/C Descripción:
Responsable:
Se indica al cliente que se procederá a bloquear la T/C con la finalidad de impedir que se sigan ingresando transacciones fraudulentas, en caso de que el cardholder tenga T/C adicionales estas también quedarán bloqueadas Oficial de Gestión y Prevención de Fraudes
Comunicar al cliente que debe presentar el caso formalmente Descripción:
Se comunica al cliente que debe notificar por escrito la novedad presentada en las oficinas de CRM. Los documentos que debe adjuntar para atender el fraude en caso de que los montos superen los $500 en consumos nacionales y $1000 en consumos internacionales son: - La(s) T/C (titular y adicionales en caso de tenerlas) sin perforar. - Original y copia de su documento de identificación (cédula y pasaporte en casos de consumos internacionales). - Carta donde indica los consumos que no corresponden al cliente. - Certificado de migración original (en fraudes con consumos internacionales). - Estado de cuenta o movimientos solicitados a CRM donde consten los consumos no realizados.
175
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión
176/186
Comunicar al cliente que debe presentar el caso formalmente Oficial de Gestión y Prevención de Fraudes
Responsable:
Cardholder comunicado
Cardholder indica que no posee su T/C
Indicar al cliente que el reclamo no se atenderá Descripción: Responsable:
Oficial de Gestión y Prevención de Fraudes
Comunicar al cliente que por seguridad se bloqueará la T/C Descripción:
Responsable:
Se indica al cliente que se procederá a bloquear la T/C con la finalidad de impedir que se sigan ingresando transacciones fraudulentas, en caso de que el cardholder tenga T/C adicionales estas también quedarán bloqueadas Oficial de Gestión y Prevención de Fraudes
Enviar solicitud de bloqueo de T/C Descripción:
Responsable:
Se envía un correo electrónico al Oficial de Backoffice con copia al Supervisor de Autorizaciones de T/C para que procedan con el bloqueo respectivo. Oficial de Gestión y Prevención de Fraudes
Mail de bloqueo de T/C enviado
Recibir solicitud para bloquear la T/C por base Descripción:
Se recibe vía correo electrónico la solicitud por el Oficial de Gestión y Prevención de Fraudes de T/C para realizar bloqueo por base.
Responsable:
Supervisor de Autorizaciones
176
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión
177/186
Realizar y validar bloqueo de la T/C por base Descripción:
Se realiza el bloqueo por Base, lo que significa que el bloqueo es comunicado a las marcas de T/C y el bloqueo no es solo a nivel interno del banco. El bloqueo se lo realiza en el SysCard Menú Autorizaciones Opción Exception File/Ingreso/Consulta. En la ventana de Ingreso al Exception File: Para las marcas MasterCard y AMEX: 1. Se ingresa el # de T/C y en el campo Tipo se selecciona 1.- Ingreso y en Razón 05.- Negar (VAN Negative). 2. Luego en el campo Fec.Exp se coloca el tiempo que permanecerá bloqueada la T/C (generalmente un mes). 3. En el campo Observación se coloca alguna novedad presentada en el bloqueo (no es un campo mandatorio, por lo que el Supervisor de Autorizaciones tiene la potestad de registrarlo o no). 4. Finalmente se da clic en el botón Enviar para registrar el ingreso apareciendo una respuesta en el campo Mensaje comunicando que la T/C fue enviada al Exception File. Para la marca Visa: 1. Se ingresa el # de T/C y en el campo Tipo se selecciona 1.- Ingreso y en Razón 05.- Negar (VAN Negative). 2. Luego en el campo Fec.Exp se coloca el tiempo que permanecerá bloqueada la T/C (generalmente un mes). 3. En el campo Región se selecciona la opción 0.- No incluida en el Boletín de Tarjetas Canceladas 4. En el campo Observación se coloca alguna novedad presentada en el bloqueo (no es un campo mandatorio, por lo que el Supervisor de Autorizaciones tiene la potestad de registrarlo o no). 5. Finalmente se da clic en el botón Enviar para registrar el ingreso apareciendo una respuesta en el campo Mensaje comunicando que la T/C fue enviada al Exception File.
Responsable:
Para finalizar se valida que la T/C por Base se encuentre bloqueada, en el SysCard Menú Autorizaciones Opción Exception File/Consulta Histórica ingresando el # de la T/C y seleccionando un rango de fechas en el que se desea realizar la búsqueda para validar el proceso. Supervisor de Autorizaciones
177
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión
178/186
Comunicar el bloqueo de la T/C a quien lo solicita Descripción:
Responsable:
Se comunica vía correo electrónico a la Jefatura de Backoffice y a la de Gestión y Prevención de Fraudes que el bloqueo ha sido realizado exitosamente. Supervisor de Autorizaciones
Llamada no hecha por datos desactualizada o bloqueo de la T/C efectuado
Bloquear la cuenta de la T/C por prevención de fraude Descripción:
Responsable:
Se procede a bloquear la cuenta de la T/C a nivel local desde Sentinel Prevention dando clic derecho sobre las transacciones y escogiendo la opción Solicitar bloqueo. Aparece automáticamente la ventana Solicitud de Bloqueo en la que se elegirá el tipo de bloqueo que se desea solicitar que en este caso será Bloqueo TH - Status Preventivo y da finalmente clic en Aceptar. Luego para verificar el bloqueo local, se accede al SysCard Menú Tarjetas Opción Consulta de Saldos y en la pestaña Balance se verifica los campos Estatus de Plástico y Estatus de Cuenta que deben ser SP. Oficial de Gestión y Prevención de Fraudes
Bloquear a nivel internacional el uso de la T/C Descripción:
Para realizar el bloqueo internacional de la T/C, se ingresa al SysCard Menú Autorizaciones Opción Exception File/Ingreso al Exception File y se sigue el siguiente procedimiento: ? Para el caso de VISA: 1. Se ingresa la tarjeta en el campo Tarjeta. 2. En el campo Tipo se escoge la opción 1.- Ingreso. 3. En el campo Razón se elige 05 - Negar 4. En el campo Purge Date se ingresa el tiempo que permanecerá (60 días). 5. En el campo Región se selecciona 0 - No incluida en el Boletín de Tarjetas Canceladas. 6. En el campo Comentario se registra el motivo de bloqueo. 7. Finalmente se da clic en el botón Enviar.
178
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión
179/186
Bloquear a nivel internacional el uso de la T/C ? Para el caso de Discover: 1. Se ingresa la tarjeta en el campo Tarjeta. 2. En el campo Tipo se escoge la opción 1.- Ingreso. 3. En el campo Razón se elige 05 - Negar (3701). 4. En el campo Fecha Exp se ingresa el tiempo que permanecerá (60 días). 5. En el campo Comentario se registra el motivo de bloqueo. 6. Se da clic en el botón Enviar y nuevamente en el campo Razon se elige la opción 07 - Collect (3700). 7. Finalmente se vuelve a dar clic en el botón Enviar para procesar el bloqueo. ? Para el caso de MasterCard: 1. Se ingresa la tarjeta en el campo Tarjeta. 2. En el campo Tipo se escoge la opción 1.- Ingreso. 3. En el campo Razón se elige F - Fraude 4. En el campo Purge Date se ingresa el tiempo que permanecerá (60 días). 5. En el campo Comentario se registra el motivo de bloqueo.
Responsable:
6. Finalmente se da clic en el botón Enviar. Oficial de Gestión y Prevención de Fraudes
Abrir expediente de investigación Descripción:
Se apertura el caso en el Sentinel Prevention de la transacción fraudulenta y se describe un breve resumen del mismo. Para aperturarlo se desarrolla el siguiente procedimiento: 1. Se marcan las transacciones y se da clic derecho eligiendo "Abrir caso de investigación" 2. En la pantalla Apertura de Casos se marcan con un check las transacciones en el campo Incluir y finalmente se da clic en el botón Crear Caso.
179
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión
180/186
Abrir expediente de investigación 3. Automáticamente se presenta la pantalla Casos: Seguimiento Emisor en la que se llenan los siguientes campos: 3.1. Descripción: Se da un nombre al caso dependiendo de las transacciones fraudulentas (ej. consumos internacionales, consumos nacionales o consumos por internet, etc.) 3.2. En el campo Estado se elige la opción 1 En Análisis. 4. Luego se da clic en la pestaña Historial de Acciones, luego dando clic en el botón Agregar acción. 5. En la columna Acción se elige la opción dependiendo del caso (ej. Cancelar la T/C, Contactar al TH, etc.),
Responsable:
6. En la columna Comentario se ingresa el motivo de bloqueo, luego se da clic en el botón Salvar Acción de la Pestaña de Historial de Acciones y finalmente se da clic en el botón Salvar de la ventana principal. Oficial de Gestión y Prevención de Fraudes
Registrar en los sistema las acciones realizadas Descripción:
Responsable:
Se registra en el HOST en el TCGE el comentario de la acción realizada y en el Sentinel Prevention se da clic derecho en la T/C consultada , se selecciona “Ver comentario” , se selecciona “Agregar comentario” y se detalla todo la información relevante obtenida, se especifica que el cliente no reconoce las transacciones y/o consumos cargados a su T/C Oficial de Gestión y Prevención de Fraudes
Enviar mail a Jefatura de BackOffice Descripción:
Responsable:
Se envía un mail a la Jefatura de BackOffice dependiendo de la localidad del cliente (Guayaquil / Quito / Cuenca etc.) con copia a la Gerencia de Operaciones de T/C y a todo el personal de Gestión y Prevención de Fraudes en T/C. En este mail se indica el caso, la gestión y acción realizada, para que procedan con los fines correspondientes. Oficial de Gestión y Prevención de Fraudes
Mail enviado a Jefatura de BackOffice
PO - 2.7.3.4 Procesar emisión de la tarjeta de crédito
180
PO - 2.7.5.1 Gestionar y Prevenir Fraudes en T/C - Vía Emisión
181/186
Registrar tarjetas bloqueadas en malla de control Descripción:
Se registran todas las tarjetas bloqueadas con motivo SP en una hoja electrónica en Excel denominado "BD Sp Prevention" accediendo a la ruta M:\ Tarjetas de Crédito-Prevención\Prevención. Este archivo contiene:
Responsable:
- Número: Secuencia de bloqueo de T/C. - Fecha de Bloqueo. - Localidad. - Fecha de Consumo. - Marca. - Número de Tarjeta. - Nombres del Cardholder. - Monto de fraude. - Cupo. - Saldo disponible. - Número de transacciones de fraude. - MCC Comercio: Código de la descripción de la actividad del comercio. - País de Fraude. - Fecha de Apertura de T/C. - Fecha de Emisión de T/C. - Fecha de Vencimiento de T/C. - Estatus Actual de la T/C. - Fecha de Seguro de T/C. - Mes de Seguro. - Tipo de Transacción. Oficial de Gestión y Prevención de Fraudes
T/C bloqueada y registrada en malla de control
PO - 2.7.5.6 Receptar notificaciones y llamadas de clientes para monitoreo
181
Anexo No. 3 Análisis GAP de Indicadores Claves de Riesgo (KRI)
182
Anexo No. 4 Modelo Relacional del Sistema de Indicadores Claves de Riesgo (SKRI)
183
Anexo No. 5 Base de Eventos de Fraudes en Tarjetas de Crédito de Ice Bank F.G.
184
Anexo No. 6 Resultados de Simulación Matemática del Modelo LDA – Severidad Determinística
185
Anexo No. 7 Resultados de Simulación Matemática del Modelo LDA – Severidad Estocástica
186
View more...
Comments
