5.6. Simulación Matemática del Modelo de Distribución Generalizada de
5.6.2. Cálculo del OpVaR por el Método de Bloques Máximos
Al configurar los parámetros de la distribución GEV para el cálculo del OpVaR da como resultado que la carga de capital a un nivel del 99% de confianza considerando un valor de
ξ
1 = 0.472 asciende a los $395,582.08; mientras queal introducir el valor de
ξ
2 = 0.449 en la ecuación manteniendo estable el valordel parámetro de locación $60,459.37 y de escala y = $20,334.06 de la distribución GEV, las pérdidas inesperdas bajo el mismo nivel de confianza disminuyen a los $372,072.18.
Es por esta razón que siempre será preferible disponer del modelo que genere la mínima pérdida operacional total, ya que los supervisores aceptarán este cálculo siempre que la entidad demuestre claramente que su modelo matemático satisface los criterios de solidez para métodos de medición avanzada, establecidos por Basilea II.
Como conclusión de la aplicación de estos modelos de cuantificación del riesgo operativo, se recomienda ampliamente a la Dirección Ejecutiva de Tarjetas de Crédito utilizar el Modelo de Distribución de Pérdidas Agregadas (LDA) dado que genera la mínima carga de capital a provisionar en sus estados financieros a causa de la materialización de fraudes en tarjetas bancarias sobre las operaciones crediticias de ICE Bank F.G.
CAPÍTULO VI
CONCLUSIONES
Las estadísticas delictivas, cada año, demuestran que las medidas actuales no son suficientes para frenar la incidencia de esquemas de fraude en tarjetas de crédito, que cada vez con más asiduidad ataca a los procesos de negocio de las instituciones financieras del país.
La Dirección Ejecutiva de Tarjetas de Crédito gracias a la colaboración del Departamento de Gestión y Prevención de Fraudes en la aplicación de la Metodología de Construcción de KRI y considerando como parámetros de calidad a los Factores Claves de Éxito (KSF) y Eventos Críticos de Riesgo (RED) con los que se encuentra diseñado sistemáticamente el proceso PO – 2.7.5.1 Gestionar y Prevenir Fraudes en T/C (Emisores), implementó exitosamente un conjunto de 6 Indicadores Claves de Riesgo los cuales son mencionados a continuación:
Gráfica 6.1 Indicadores Claves de Riesgo de ICE Bank F.G. 1 • Impacto de Fraudes en Tarjetas de Crédito.
2 • Frecuencia de Fraudes en Tarjetas de Crédito.
3 • Heurística de Tecnologías Analiticas de Fraudes en Tarjetas de Crédito. 4 • Productividad en Gestión de Fraudes en Tarjetas de Crédito.
5 • Tiempos de Resolución de Fraudes en Tarjetas de Crédito. 6 • Severidad en Control de Fraudes en Tarjetas de Crédito.
Con la programación de un Sistema de Indicadores Claves de Riesgo (SKRI) desarrollado como soporte interactivo para el proceso de toma de decisiones ante pérdidas inminentes asociadas a la materialización de los diversos esquemas de fraudes en tarjetas de crédito Discover, Visa y MasterCard que impactan a las operaciones crediticias de ICE Bank F.G. se pudieron obtener las siguientes conclusiones:
Indicadores Claves de Riesgo Meta Ok Eficacia (%) Oportunidades de Mejora Si No V A R
Frecuencia de Fraudes en
Tarjetas de Crédito.
53Implementación de sistemas de autenticación de titulares (smart cards, tokens y biometría).
Impacto de Fraudes en
Tarjetas de Crédito.
49Reingeniería de metodologías de cuantificación del riesgo operativo bajo técnicas AMA de Basilea II. Heurística de Tecnologías
Analíticas de Fraudes en T/C.
86Configuración de reglas del SP bajo modelos VISOR y 3-D Secure de marcas Visa y MasterCard.
Productividad en Gestión de
Fraudes de T/C.
53Planificación de incentivos por alcance de metas y aplicación de estrategias e-coaching por analista. Tiempos de Resolución de
Fraudes de T/C.
53Constitución de joint ventures con instituciones financieras AAA- y entidades de control externas. Severidad en Control de
Fraudes de T/C.
66Certificación de seguridad de la información sobre controles y procesos con Norma PCI-DSS 2.0
Tabla 6.1 Resultados del Sistema de Indicadores Claves de Riesgo de ICE Bank F.G.
Adicionalmente con la administración de herramientas de control de calidad como componentes de un estudio 6σ, se determinó que el proceso de Gestión y Prevención de Fraudes en Tarjetas de Crédito no se encuentra bajo control estadístico, existiendo brechas significativas para la consecución del nivel deseado de desempeño y capacidad óptima requerido para el cumplimiento de la filosofía institucional de ICE Bank F.G. y las necesidades de sus tarjetahabientes. Los resultados más relevantes de este análisis son expuestos a continuación:
Herramientas de Control Sistema de Medición
Meta Ok
Conclusiones del Estudio Si No
Diagrama de Control I-MR
del Proceso PO - 2.7.5.1. KRI 1-2
El valor esperado de la pérdida del proceso es inestable y ciertos eventos de fraude están fuera de control a finales del año 2009.
Desempeño y Capacidad del
Proceso PO - 2.7.5.1. KRI 2
La eficiencia del proceso converge al 96.67% con una DPMO de 33,248 y un Z.Bench de 1.84. con una diferencia del 3.33% para el alcance del objetivo cero defectos.
Análisis de Corridas y Rachas
del Proceso PO - 2.7.5.1. KRI 5
El 80% de los casos de resolución de fraudes cumplen con los SLA’s del negocio a excepción de los esquemas EXT.
Tabla 6.2 Resultados de Herramientas de Control Estadístico de Procesos - 6σ
Finalmente con el uso de algunos modelos predictivos de riesgo operacional recomendados ampliamente por el Comité de Basilea y calibrados con las transacciones fraudulentas con tarjetas bancarias suscitadas durante el año 2009; la Dirección Ejecutiva de Tarjetas de Crédito decidió adoptar para sus procedimientos de cuantificación del OpVaR el Modelo de Distribución de Pérdidas Agregadas (LDA) como potencial catalizador para las iniciativas de ICE Bank F.G. en la detección y prevención de fraudes financieros de acuerdo a la generación de la mínima pérdida esperada e inesperada a provisionar ante las entidades de control, a su versatilidad para la medición estratificada por tipo de evento y línea de negocio, a su fundamento en información de pérdidas reales y no en “indicadores de exposición” y a la consistencia de sus resultados con los enfoques de medición de riesgo de crédito y de mercado.
Modelos de Cuantificación del OpVaR
Indicadores de Riesgo Elegido? Pérdida
Esperada (EL)
Pérdida No
Esperada (UL) Si No
Análisis Cualitativo de Riesgo Operativo (I-P) $66,090.03 $577,610.22
Distribución de Pérdidas Agregadas (LDA) $66,084.77 $326,311.98
Distribución de Pérdidas Extremas (GEV) $60,459.37 $372,072.18
RECOMENDACIONES
El impresionante aumento en el número de usuarios de tarjetas de crédito en todo el mundo lleva a las empresas y a los organismos de control a intentar concretar nuevos y efectivos métodos de seguridad, que a su vez sean cómodos y fáciles de utilizar para la sociedad permitiendo disminuir el riesgo de fraude y proteger la integridad de los tarjetahabientes en entornos de algo riesgo tecnológico. A continuación se refieren las más recientes tecnologías en seguridad de la información para la industria de pagos con tarjetas de crédito:
Autenticación del Titular Código de Seguridad (CVV) Sistema de Verificación de Direcciones (AVS) Sistema de Revisión Manual (MRS) Técnicas de Minería de Datos Tarjetas Inteligentes (Smart Cards) Tokens Criptográficos Lectores Biométricos
Cabe señalar que estas tecnologías van alineadas a un objetivo fundamental que es el de proteger un conjunto de datos particularmente valioso: la información de las tarjetas de crédito de los consumidores. Como respuesta, American Express, Discover, JCB, MasterCard y Visa cooperaron para crear un entorno que abarca a toda la industria y detalla la forma en la que las empresas que manejan datos de tarjetas de crédito (específicamente, bancos, comerciantes y procesadores de pago) deben proteger esa información. El resultado fue el Estándar de Seguridad de Datos (DSS, Data Security Standard) de la Industria de Pagos con Tarjeta de Crédito (PCI, Payment Card Industry), un conjunto de requerimientos de mejores prácticas para proteger los datos de las tarjetas de crédito en todo el ciclo de vida de la información.
Gráfica 6.3 Estándar de Seguridad de Datos en Tarjetas de Crédito - PCI-DSS Versión 2.0
Esta norma se centra en 6 objetivos de control de alto nivel. Básicamente, son metas de seguridad que refuerzan la protección de la información de las tarjetas de crédito. Los requerimientos de seguridad generales respaldan cada objetivo de control; los 12 requisitos se dividen de forma más específica en más de 200 requerimientos que especifican las tecnologías, las políticas y los
tarjetas. Todos los recursos corporativos tanto financieros, tecnológicos como humanos deben ser canalizados estratégicamente por las entidades bancarias del país con el fin de implementar un adecuado marco de gestión del riesgo operacional.
Aquellas entidades que se concentren en el desarrollo de modelos estadísticos actuariales requerirán de esfuerzos considerables en los próximos años para la creación de sus bases de datos internas, por eso será esencial que establezcan una política de recolección de datos de las pérdidas y de su asignación. La utilización de modelos de medición avanzada del riesgo operacional (AMA) no sólo posibilitará importantes ahorros de capital, sino que también permitirá optimizar las políticas de seguros de las entidades, utilizar sus datos para ajustar sus políticas de pricing y mejorar metodologías de RAROC (si las emplearan).
Por último, las instituciones financieras locales deberán perseguir la integración final de los aspectos cualitativos y cuantitativos. Esto implica el diseño y el establecimiento de las relaciones entre los datos recopilados, los indicadores claves de riesgo, los mapas de riesgos y controles y las mediciones de capital. Este enfoque debe ser dinámico y confluir en el establecimiento de un plan de acciones correctivas para afrontar las debilidades detectadas.
Tal como lo definió John Ruskin en su libro The Stones of Venice (Volumen III - 1853), “El trabajo de la ciencia es sustituir apariencias por hechos e impresiones por demostraciones”. En definitiva, los estándares de seguridad de la información junto con la aplicación de las mas notables innovaciones tecnológicas para la detección y prevención de fraudes así como la administración integral del riesgo operacional y control de la calidad total en los productos y servicios relacionados con la industria de tarjetas de crédito deberán tener como objetivo común el eliminar todos las casuísticas de baja verosimilitud que impactan al desarrollo sostenible del sistema financiero ecuatoriano.
BIBLIOGRAFÍA
Tej Paul Bhatla, Vikram Prabhu & Amit Dua; “Understanding Credit Card Frauds”; Cards Business Review, June 2003.
V.Dheepa, R.Dhanapal; “Analysis of Credit Card Fraud Detection Methods”; International Journal of Recent Trends in Engineering, Vol 2, No. 3, November 2009.
David A. Montague; “Fraud Prevention Techniques for Credit Card Fraud”, Trafford Publishing, Canada 2004.
Peter Burns, Anne Stanley; “Fraud Management in the Credit Card Industry”, April 2002.
Association of Certified Fraud Examiners; “CFE Fraud Examiners Manual: Check & Credit Card Fraud”, 2007 Edition, pp. 1014-1042.
Richard Collard; “Fraud Prevention and Detection for Credit and Debit Card Transactions”, IBM Corporation Software Group, August 2009.
International Council of E-Commerce Consultants; “CEH Ethical Hacking and Countermeasurements”, Module 58 Credit Card Frauds 6th
Version. Commidea; “Card Fraud Facing Facts and the Future”, Sweden 2004.
Sumedh Thakar, Terry Ramos; “PCI Compliance for Dummies”, John Wiley & Sons Ltd., England 2009.
Maria Miranda, Daniel Sanchez, Luis Cerda; “Reglas de Asociación Aplicadas a la Detección de Fraude con Tarjetas de Crédito”; XII Congreso Español sobre Tecnologías y Lógica Fuzzy, Jaén, 15-17 de Septiembre de 2004.
Kiran Garimella, Michael Lees, Bruce Williams; “BPM Basics for Dummies”; Wiley Publishing, Inc., Indiana 2008.
August-Wilhelm Scheer, Helmut Kruppke, Wolfram Jost, Herbert Kindermann; “Agility by ARIS Business Process Management“; Springer- Verlag Berlin Heidelberg, Germany 2006.
Jaime Beltrán, Miguel Carmona, Remigio Carrasco, Miguel Rivas, Fernando Tejedor; “Guía para una Gestión basada en Procesos”; Fundación Valenciana de la Calidad, España.
http://www.fvq.es/Archivos/Publicaciones//4f4d263778guia_gestionprocesos .pdf
Aravind Immaneni, Chris Mastro & Michael Haubenstock; “A Structured Approach to Building Predictive Key Risk Indicators”; Operational Risk: A Special Edition of The RMA Journal, May 2004.
John Fraser, Betty Simkins; “Enterprise Risk Management: Identifying and Communicating Key Risk Indicators”, pp. 125-140, John Wiley & Sons, Inc., New Yersey 2010.
Chuck Hannabarger, Rick Buchman & Peter Economy; “Balance Scorecard Strategy for Dummies”, Wiley Publishing, Inc., Indiana 2007.
Asociación Española de Normalización y Certificación; “Norma UNE 66175:2003. Guía para la Implantación de Sistemas de Indicadores”, España.
http://www.fvq.es/Archivos/Publicaciones//b301c7a518implantacion_indicad ores.pdf
Nigel Da Costa Lewis; “Operational Risk with Excel and VBA Applied Statistical Methods for Risk Management”, pp. 203-207, John Wiley & Sons, Inc., New Yersey 2004.
James William Martin; “Lean Six Sigma for the Office”, pp. 239-266, Taylor & Francis Group, LLC, United States, 2009
Wayne L. Winston; “Financial Models Using Simulation and Optimization I”, Palisade Corporation, Kelley School of Business Indiana University 1998. Philippe Jorion; “Financial Risk Manager Handbook”, pp. 551-592, 4th
Edition, John Wiley & Sons, Inc., New Yersey 2007.
Michael Alexander; “Excel 2007 Dashboards & Reports for Dummies”, Wiley Publishing, Inc., Indiana 2008.
Omar Briceño Cruzado; “Aplicación de la Distribución de Pérdidas (LDA) para estimar el Requerimiento de Capital por Riesgo Operacional (CaR) utilizando @Risk y Stat Tools”; Foro de Análisis de Riesgos y Decisiones de Palisade Corporation, Perú, Noviembre 2010.
http://www.palisade.com/downloads/UserConf/LTA10/Briceno_PaliasdeLima 2010.pdf
Espiñeira, Sheldon y Asociados; “Cuantificación del Capital Requerido por Riesgo Operacional – OpVaR”; Boletín Asesoría Gerencial Price Waterhouse Coopers, Venezuela, Marzo 2007.
http://www.pwc.com/ve/es/asesoria-gerencial/boletin/assets/boletin advisory-03-2007.pdf
Diego Etchepare & Norberto Rodríguez; “Riesgo Operacional”; Revista CEO Price Waterhouse Coopers, Argentina 2007.
http://www.pwc.com/ar/es/publicaciones/assets/ceo-riesgooperacional02.pdf Juan Murillo Gómez & Luis Franco Arbelaez; “Loss Distribution Approach
(LDA): Metodología Actuarial Aplicada al Riesgo Operacional”; Revista de Ingenierías Universidad de Medellín, Vol. 7, Núm. 13, pp. 143-156, Colombia, Julio-Diciembre 2008.
http://redalyc.uaemex.mx/pdf/750/75071310.pdf
Ana Pereyra & Fabian Mendy; “Gestión del Riesgo Operacional en Instituciones Financieras. Estamos preparados?”; República Dominicana, Julio 2009.
http://www.aba.org.do/ABA2/manager/dlm/applications/DocumentLibraryMa nager/upload/Gestion-de-Riesgo-Operacional.pdf
Pamela Cardozo; “Valor en Riesgo de los Activos Financieros Colombianos Aplicando la Teoría de Valor Extremo”; Departamento de Comunicación Institucional del Banco de la República., Colombia, Julio 2004.
http://www.banrep.gov.co/docum/ftp/borra304.pdf
Margarita Velín; “Estudio del Riesgo Financiero considerando Riesgos Extremos y Fluctuaciones Estocásticas para un Portafolio de Inversiones”; Escuela Politécnica Nacional de Quito, Ecuador, Diciembre 2008.
http://bibdigital.epn.edu.ec/bitstream/15000/1124/1/CD-1966.pdf
Thomas Pizdek & Paul Keller; “The Six Sigma Handbook. A Complete Guide for Green Belts, Black Belts, and Managers at All Levels”; 3rd Edition, McGraw-Hill Professional, United States, October 2009.
Craig Gygi, Neil DeCarlo & Bruce Williams; “Six Sigma for Dummies”; Wiley Publishing, Inc., Indiana 2005.
Larry Webber & Michael Wallace “Quality Control for Dummies”; Wiley Publishing, Inc., Indiana 2007.
Miguel Bahena Quintanilla; “Aplicación de la Metodología Seis Sigma para Mejorar la Calidad y Productividad de una Planta de Bebidas”; Universidad Iberoamericana Puebla, México, 2006.
GLOSARIO DE TÉRMINOS
ACAMS: Acrónimo de Association of Certified Anti-Money Laundering Specialists; es la asociación más importante para los profesionales antilavado de dinero (ALD) interesados en mejorar el conocimiento, las habilidades y experiencia de aquellos dedicados a la detección y prevención del lavado de activos en el mundo.
ACFE: Acrónimo de Association of Certified Fraud Examiners; es la principal y mayor organización anti-fraude en el mundo que agrupa a especialistas, investigadores, auditores, académicos, abogados, contadores, peritos, profesionales y consultores interesados en el tema de las mejoras en la detección y disuasión de fraudes a través de la expansión del conocimiento y la interacción de sus miembros.
ALIFC: Acrónimo de Asociación Latinoamericana de Investigadores de Fraudes y Crímenes Financieros; es una entidad sin fines de lucro constituida con el objetivo de capacitar permanentemente a todos sus miembros, realizar consultoría de investigación, fomentar el intercambio profesional, recopilar y difundir avances y nuevos conocimientos en la prevención, investigación y análisis de los fraudes y crímenes financieros y tecnológicos entre los países latinoamericanos.
AMA: Acrónimo de Advanced Measurement Approach; es parte de los tres métodos para el cálculo de los requerimientos de capital asociados al riesgo operativo propuestos por Basilea II.
Análisis GAP: El análisis de brechas busca identificar las debilidades de control, de manera que se puedan tomar medidas correctivas. Se evalúan los controles considerando tres escenarios: (1) la implementación del control; (2) la efectividad del diseño; y (3) la efectividad de su operación.
Autorización: Es el proceso de comprobación para verificar que la cuenta del titular de la tarjeta posee suficientes fondos disponibles con objeto de aprobar la transacción. En caso de autorización positiva, el límite de crédito del titular de la tarjeta en el momento de la solicitud se reduce y los fondos se reservan hasta el pago.
Basilea II: Es un estándar internacional emitido por el Comité de Supervisión Bancaria de Basilea que sirve de referencia a los reguladores bancarios, con el objetivo de establecer los requerimientos de capital necesarios para asegurar la protección de las entidades financieras frente a los riesgos financieros y operativos.
BSC: Acrónimo de Balance Scorecard; es un entorno de trabajo para la identificación de las métricas empresariales más allá de las medidas financieras básicas utilizadas normalmente; entre los indicadores de desempeño se cuentan medidas de clientes, procesos y personas, así como información financiera que vinculan objetivos estratégicos y métricas operacionales.
Banco Emisor: Es el agente económico que emite y/o comercializa tarjetas de crédito en Ecuador, de uso nacional o internacional o ambas modalidades. Banco Adquirente: Es la institución financiera que recibe todas las transacciones del comerciante que se deben distribuir al banco emisor.
Batch Processing: Es la autorización de transacciones cuando no se requiere aprobación inmediata. Se recopilan varias transacciones en un archivo y se envían como una sola transmisión para su procesamiento por lotes.
BIS: Acrónimo de Bank for International Settlements; es un organismo internacional que fomenta la cooperación financiera y monetaria internacional y sirve de banco central para la organización de los bancos centrales mundiales con sede en Basilea (Suiza).
BPM: Acrónimo de Business Process Management (gestión de procesos de negocio); se trata de los métodos, técnicas y herramientas empleados para diseñar, representar, controlar y analizar procesos de negocio operacionales en los que están implicados personas, sistemas, aplicaciones, datos y organizaciones.
Cámara de Compensación Automatizada: Es el nombre de una red electrónica que procesa volúmenes grandes de transacciones financieras. Card Present Transaction: Es un tipo de transacción en que la tarjeta está presente y se pasa por un dispositivo electrónico que lee el contenido de la banda magnética en la parte trasera de la tarjeta.
Card-Not-Present Transaction: Es un tipo de transacción que ocurre cuando el titular de la tarjeta no está presente, o la tarjeta física no está presente. Ejemplos incluyen pedidos por correo, pedidos por teléfono y ventas por Internet. Estos tipos de transacciones se consideran la de más alto riesgo. Cobertura: Es la localidad geográfica o sector de mercado donde puede ser utilizada la tarjeta de crédito.
Comercio: Es aquella empresa que se afilia a un banco adquirente con el objetivo de poder procesar los consumos directos que haga el tarjetahabiente en su establecimiento.
Contracargo: Es la revocación de una transacción de venta, iniciada por el banco emisor o el titular de la tarjeta al banco adquirente para su resolución. Cuando el titular de una tarjeta inicia un contracargo, el banco emisor de la tarjeta está obligado a realizar el reembolso inmediatamente en la cuenta en que se realiza el contracargo. El titular de una tarjeta tiene 90 días para iniciar un contracargo. El comerciante en línea es responsable de este dinero.
Convolución: Es un operador matemático que transforma dos funciones f y g en una tercera función que en cierto sentido representa la magnitud en la que se superponen f y una versión trasladada e invertida de g.