M A N U A SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN L DE RIESGO AGRADECIMIENTOS Mastercard Foundation y el Programa de IFC, The Partnership for Financial Inclusion, desean reconocer el generoso apoyo de las instituciones participantes en nuestro estudio: Tigo Tanzania, Kopo Kopo Kenya, FINCA DRC, Fidelity Bank Ghana, y Zoona, así como Genesis Analytics su apoyo en las evaluaciones de riesgo y aportes a este manual. Los autores también desean agradecer a Anna Koblanck por su extensa edición y a los clientes de IFC, proveedores de Servicios Financieros Digitales, y las partes interesadas de la industria que participaron en las entrevistas, incluyendo Software Group, GSMA, y CGAP. Finalmente, Mastercard Foundation e IFC quisieran agradecer especialmente a los autores, Lesley Denyes y Susie Lonie, y a los revisores por sus aportes; David Crush, Ruth Dueck- Mbeba, Justice Durland, Cameron Evans, John Gutin, Richard Ketley, Andrew Lake, Joseck Mudiri, Patricia Mwangi y Gabriela Rojas. Número ISBN: 978-0-620-71506-5 M A N U A SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN L DE RIESGO Prólogo Este manual fue diseñado para cualquier tipo de institución financiera que ofrezca o 01_ planee ofrecer servicios financieros digitales, tales como dinero electrónico y banca de corresponsales. Se puede tratar de instituciones microfinancieras, bancos, operadores RESUMEN de redes móviles, o proveedores de servicios de pago. El marco conceptual para el de técnicas de gestión riesgo y la gestión de riesgo se basa en estándares mundiales de gestión de riesgo empresariales y mejores prácticas (ISO 31000), pero la aplicación de principios, de riesgo ilustraciones y descripciones abordan el riesgo desde todas las perspectivas y todos los tipos de proveedores. Los ejemplos y estudios de caso son únicamente ilustrativos 02_ y se anonimizan en ocasiones con el fin de reservar la identidad de la institución para permitir una descripción más completa de las circunstancias alrededor de los eventos Riesgo que ocurrieron. Los ejemplos son característicos del tipo de institución y el entorno de DEFINICIONES mercado específico, y se deben adecuar antes de aplicarse en diferentes contextos. El manual no presupone conocimientos previos de gestión de riesgo; sin embargo, si supone una idea moderada de los Servicios Financieros Digitales y Canales de Distribución Alternativos, incluyendo productos, la función de los corresponsales, 03_ el papel de la tecnología y los reguladores. En aras de la consistencia, el manual se MARCO referirá a Servicios Financieros Digitales, una definición más amplia que se aplica a muchos canales y productos. Se puede encontrar un glosario en la página 109 para de Gestión de riesgo descripciones adicionales de los términos utilizados en el manual. aplicado El manual se organiza en cuatro partes: 04_ • La Parte I presenta el marco conceptual para la gestión de riesgo y los elementos clave del proceso. También presenta un contexto general para la gestión de riesgo INSIGHTS Y en Servicios Financieros Digitales. • La Parte II describe los tipos principales de riesgos que enfrentan los proveedores HERRAMIENTAS de Servicios Financieros Digitales, incluyendo ejemplos de varios mercados. • La Parte III presenta el proceso paso a paso para implementar un marco de gestión de riesgo. Se puede utilizar para guiar el diseño y despliegue de una estrategia de Servicios Financieros Digitales, así como para monitorear y manejar los riesgos durante la implementación de la estrategia. • La Parte IV destaca las lecciones aprendidas por los clientes de IFC en África, y considera cómo pueden transformarse los servicios financieros digitales en los próximos años, y los riesgos y oportunidades que presentan los Servicios Financieros Digitales a los proveedores de servicios financieros. Adicionalmente, el capítulo de herramientas ofrece una base de datos de riesgo completa y un glosario que se puede utilizar como guía de referencia cuando una institución desarrolla una estrategia de gestión de riesgo. 2 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO CONTENIDO resumen PRÓLOGO 2 ACRÓNIMOS 6 RESUMEN EJECUTIVO 8 INTRODUCCIÓN 11 definiciones PARTE I: RESUMEN DE TÉCNICAS DE GESTIÓN DE RIESGO 12 PARTE II: DEFINICIONES DE RIESGO 18 1. Riesgo Estratégico....................................................................................................................................... 20 2. Riesgo Regulatorio.......................................................................................................................................24 3. Riesgo Operacional......................................................................................................................................28 4. Riesgo Tecnológico...................................................................................................................................... 33 5. Riesgo Financiero........................................................................................................................................ 40 6. Riesgo Político...............................................................................................................................................44 marco 7. Riesgo de Fraude..........................................................................................................................................48 Fraude de Clientes 49 Fraude de Corresponsales 49 Fraude del Socio Comercial 50 Fraude de la Administración del Sistema 50 Fraude del Proveedor 50 insights y herramientas Fraude del Personal de Ventas y Canal 50 8. Riesgo de Gestión de Corresponsales...................................................................................................54 9. Riesgo Reputacional....................................................................................................................................58 10. Riesgo Societario...........................................................................................................................................61 Resumen..................................................................................................................................... 66 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 3 PARTE III: MARCO DE GESTIÓN DE RIESGO APLICADO 68 Sección 1: Establecer Contexto.......................................................................................................................71 Paso 1: Definir equipo de riesgo 71 Paso 2: Definir roles y responsabilidades 72 Paso 3: Definir cronograma y presupuesto para desarrollo 73 Paso 4: Crear un plan 74 Paso 5: Establecer Niveles de Tolerancia al Riesgo 74 Sección 2: Identificar Riesgo........................................................................................................................... 75 Paso 1: Investigar recursos de la industria 76 Paso 2: Revisión histórica 76 Paso 3: Evaluaciones de estado actual 76 Paso 4: Luvia de Ideas 77 Paso 5: Documentar todos los riesgos identificados en el registro de riesgo 77 Sección 3: Analizar y Evaluar...........................................................................................................................78 Cualitativo 78 Paso 1: Asignar probabilidad e impacto 78 Paso 2: Análisis de riesgo 78 Priorización de Riesgo 78 Paso 3: Calificar los riesgos basándose en riesgos cualitativos y cuantitativos 78 Paso 4: Decidir cuáles riesgos merecen respuestas de tratamiento 78 Sección 4: Estrategias de Riesgo....................................................................................................................81 Paso 1: Desarrollar estrategia de interrupción de riesgo 81 Paso 2: Desarrollar estrategia de transferencia de riesgo 81 Paso 3: Desarrollar estrategia de tratamiento de riesgos 81 Paso 4: Desarrollar respuesta táctica de tratamiento de riesgo 82 Paso 5: Desarrollar Indicador Clave de Riesgo 82 Paso 6: Documentar estrategias de riesgo en registro 82 Sección 5: Monitorear y Revisar....................................................................................................................85 Paso 1: Reevaluación de Riesgo 85 Paso 2: Seguimiento a riesgos durante un período 85 Resumen................................................................................................................................................................86 4 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO PARTE IV: INSIGHTS Y HERRAMIENTAS 88 Lecciones Aprendidas........................................................................................................................................88 Conclusiones..........................................................................................................................................................91 Herramientas.......................................................................................................................................................93 Lista de Control de Gestión de Riesgo 93 Plantilla para Registro de Riesgo 94 Base de Datos de Riesgo 95 Glosario................................................................................................................................................................109 Referencias............................................................................................................................................................ 111 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 5 ACRÓNIMOS Banco de Desarrollo Africano AfDB (African Development Bank) Lucha contra el Lavado de Activos/Lucha contra el ALA/CFT Financiamiento del Terrorismo API Interfaz de Programación de Aplicaciones ATM Cajero Automático CDA Canales de Distribución Alternativos ERM Gestión de Riesgo Empresariales GSMA Groupe Speciale Mobile Association IFC Corporación Financiera Internacional IMF Instituciones Microfinancieras ISO Organización Internacional de Normalización KPI Indicador Clave de Desempeño KRI Indicador Clave de Riesgo KYC Know your Client, Conozca a su Cliente MNO Operador de Red Móvil MOU Memorando de Entendimiento 6 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO ONG Organización No Gubernamental P2P Persona a Persona PAR Portfolio en Riego PIB Producto Interno Bruto PIN Número de Identificación Personal POS Punto de Venta PSP Proveedor de Servicios de Pago OTC Servicios Financieros en Mostrador SFD Servicios Financieros Digitales SIM Módulo de Identificación del Suscriptor SLA Acuerdo de Nivel de Servicio SMS Servicio de Mensajes Cortos TI Tecnología de Información TPS Transacciones Por Segundo USD Dólares Americanos USSD Servicio Suplementario de Datos no Estructurados SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 7 Resumen Ejecutivo La última década ha visto una ola de servicios financieros innovadores que tienen por objetivo atender a las poblaciones desbancarizadas en mercados emergentes. Individuos de bajos ingresos, microempresarios y poblaciones rurales que anteriormente habían sido excluidos del mercado debido a los altos costos de la expansión física, están teniendo acceso a servicios financieros a través de teléfonos móviles y redes de corresponsales que actúan como representantes de proveedores de servicios financieros. Esto ha resultado en un aumento asombrosamente rápido en la inclusión financiera en algunos países. En otros mercados la adopción ha sido más lenta y los resultados son menos catalizadores, pero todos los mercados están creciendo y se espera que sigan haciéndolo a medida que se desarrollan servicios y productos. Se espera que la expansión de los servicios financieros digitales haga una contribución importante hacia la meta de alcanzar el acceso financiero universal para el 2020. Sin embargo, con las amplias oportunidades ofrecidas por nuevas tecnologías y las operaciones de negocios innovadoras, también vienen nuevos riesgos. Los riesgos relacionados con la implementación de los servicios financieros digitales se extienden mucho más allá de los riesgos operacionales y técnicos. Para que la industria de la inclusión financiera pueda capitalizar plenamente los beneficios de los servicios financieros digitales, es importante que los riesgos asociados sean entendidos y abordados en forma adecuada. En este campo de rápida evolución, se ha vuelto evidente que lo que le importa a un proveedor le importa a todos, ya que los grandes casos de fraude, a modo de ejemplo, no solo afectan la confianza del consumidor en un proveedor sino en el mercado y en la promesa de la inclusión financiera digital como un todo. The Partnership for Financial Inclusion es una iniciativa conjunta de IFC y Mastercard Foundation para expandir las microfinanzas y avanzar los servicios financieros digitales en África subsahariana. A través de interacciones con los clientes del programa, así como la industria en general en la región y más allá, identificamos la necesidad de un manual sobre cómo manejar mejor la gestión de riesgo para los servicios financieros digitales. Existen un buen número de publicaciones de la industria que se enfocan en los riesgos específicos, tales como el fraude o el riesgo regulatorio, y algunos documentos enfocados en los retos específicos de ciertas instituciones, tales como el Kit de Herramientas de Gestión de Riesgo de GSMA para los Operadores de Redes Móviles, a modo de ejemplo. 8 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Sin embargo, no existe un manual Probablemente no sea coincidencia que de conciliación y liquidación para reducir integral para los riesgos asociados con las también era una de las pocas instituciones las pérdidas potenciales; y tomar en serio implementaciones de Servicios Financieros que no había tenido ningún fraude las alianzas y asegurarse que los aliados se Digitales en general, que pueda ayudar públicamente reportado, pequeño o responsabilicen de sus acciones. en términos sencillos a una institución grande. Nos sorprendió que los bancos, en Este manual sigue las normas ISO 31000 a aprender desde el comienzo qué es el nuestra muestra, tenían los niveles más para la Gestión de Riesgos Empresariales riesgo, cómo el riesgo afecta el despliegue bajos de marcos de riesgo desarrollados, con el fin de establecer principios para la de Servicios Financieros Digitales, y cómo dado que los bancos son tradicionalmente gestión de riesgo de Servicios Financieros manejarlo. En 2015, nos embarcamos en conocidos como instituciones con aversión Digitales. Las normas ISO utilizan un marco una serie de proyectos de investigación al riesgo con departamentos de riesgo y de 7Rs y 4Ts para desarrollar marcos de cumplimiento fuertes. Nuestra conclusión para responder a estas preguntas y para riesgo, que son: es que los proveedores de servicios desarrollar este manual. financieros tienen una necesidad grande de • Reconocimiento o identificación de En el desarrollo de este manual, fortalecer las prácticas de gestión de riesgo riesgos entrevistamos a más de treinta en Servicios Financieros Digitales para que • Clasificación o evaluación de riesgos profesionales en este tema, proveedores puedan lograr sus objetivos de negocios. • Responder a riesgos significativos de software y partes interesadas de la »» Tolerar A través de esta iniciativa de investigación, industria, y realizamos cuatro evaluaciones »» Tratar también se hizo evidente que pese a a fondo de riesgo organizacional. »» Transferir que los riesgos se pueden describir en La mayoría de estos expertos en el área varias categorías diferentes, estos a »» Terminar tienen sede en África Subsahariana, pero menudo están fuertemente relacionados. • Controles de recursos sus experiencias también pueden ser Los riesgos tecnológicos, estratégicosy de • Planeación de reacción útiles para otras regiones. Durante la gestión de corresponsales pueden llevar • Reporte y monitoreo de desempeño investigación, aprendimos que hay muy todos al riesgo reputacional, y el fraude de riesgos pocas instituciones, incluyendo bancos, puede incurrir en pérdidas financieras aún • Revisión del marco de gestión de riesgo IMFs y MNOs, con algún tipo de marco mayores por daños reputacionales que por de riesgo para Servicios Financieros el fraude mismo. También hubo estrategias Digitales. Solamente una institución había clave que fueron identificadas como las desarrollado un marco de gestión de más efectivas en la gestión de riesgo: por riesgo integral que se utilizaba de manera ejemplo, el uso de call centers para hacer habitual y reportaba, a nivel de grupo, en seguimiento, monitoreo, y predicción de forma mensual. eventualidades; utilizar procesos robustos SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 9 Al hacer una evaluación de riesgo, es A futuro, hay tendencias claves que Servicios Financieros Digitales para más importante analizar las causas de los riesgos dictarán cómo miramos el riesgo y los transacciones, en el momento, el efectivo e identificar las tendencias. La prevención Servicios Financieros Digitales. El ritmo de sigue dominando. Es esencial, por tanto, es mucho más eficaz que el control de las mejoras tecnológicas y la penetración que los proveedores sigan enfocándose en daños después del hecho. Un ejemplo de los teléfonos inteligentes determinará la gestión de la liquidez y que permitan a que surgió de forma repetida en nuestra cómo se desarrollarán y ofrecerán los los clientes hacer retiros de forma habitual, investigación fue que, la falta de procesos servicios al mercado, y las regulaciones y gestionen los riesgos asociados. de negocio o su cumplimiento laxo es la seguirán cambiando según las dinámicas Nuestra esperanza es que este manual causa de la mayor parte del fraude interno del mercado. En un número creciente sirva como orientación y soporte útil a a gran escala. El fraude interno a gran de jurisdicciones los reguladores están las organizaciones que emplean servicios escala tiene la capacidad de acabar con comenzando a exigir la interoperabilidad financieros digitales para expandir la un servicio, así como de causar tal grado entre los servicios de pagos, incluyendo inclusión financiera. La buena gestión de de daño reputacional como para hacer dinero electrónico, así como impedir los riesgos implícitos es necesaria para desaparecer la totalidad del mercado. A que los proveedores firmen acuerdos consolidar plenamente las oportunidades menudo se culpa a la tecnología del fraude, de exclusividad con los corresponsales. de las nuevas tecnologías y modelos de pero en muchos casos la oportunidad para Aunque la visión a más largo plazo es negocio con el fin de beneficiar a los el fraude surge por una falta de buenas una reducción en el uso de efectivo a proveedores, aliados, clientes y economías prácticas operacionales. medida que las personas adoptan los emergentes por igual. 10 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Introducción IFC apoya a las instituciones que buscan • Definir claramente y describir todos de Servicios Financieros Digitales a desarrollar servicios financieros digitales los tipos de riesgo a los que pueden menudo significan que las organizaciones con el objetivo de aumentar la inclusión enfrentarse los proveedores de servicios se dedican a actividades de negocio por financiera, y está comprometida con financieros que utilizan Servicios fuera de su negocio principal, tales como, múltiples iniciativas a lo ancho de una Financieros Digitales. los operadores de redes móviles ofreciendo gama de mercados a través de su portafolio servicios financieros a través de billeteras • Ofrecer lineamientos fáciles de usar de inversiones y proyectos de asesoría. electrónicas, o bancos e IMFs aliándose para realizar diagnósticos de riesgo, En África Subsahariana, muchos proyectos evaluaciones, desarrollar marcos de con MNOs para ofrecer productos de asesoría son implementados en alianza riesgo, e implementar herramientas de bancarios tradicionales a través de canales con Mastercard Foundation en una gestión de riesgo. nuevos. Hay una necesidad creciente de iniciativa conjunta que también incluye • Analizar cómo los diferentes tipos orientación acerca de la gestión de riesgo una agenda integral de investigación. de instituciones financieras evalúan en Servicios Financieros Digitales que sea Muchos de los aprendizajes tempranos actualmente el riesgo e implementan relevante y esté al alcance de todo tipo de de estos proyectos fueron capturados en el Manual de Canales de Distribución herramientas de gestión de riesgo. proveedores. Alternativos y Tecnología1 que ofrece • Identificar las lecciones aprendidas Hay varios documentos de referencia una guía integral de los componentes de generales de los proveedores de servicios excelentes que presentan detalles técnicos una estrategia de Servicios Financieros financieros acerca de la gestión de riesgo acerca de la creación de un marco de gestión Digitales y, en particular, cómo entender en Servicios Financieros Digitales, que de riesgo (ver página 111) y esta publicación los elementos básicos tecnológicos sean relevantes para otros mercados no busca replicar éstos. Nuestro foco es para un despliegue exitoso. Junto con y organizaciones, en temas tales describir los principios básicos subyacentes el apoyo en la expansión de la inclusión como la integración con marcos de de la gestión de riesgo para expertos que financiera a través de Servicios Financieros riesgo existentes en las instituciones; no son especialistas en riesgo pero que Digitales, es importante asegurar la indicadores de riesgos claves; los tipos están involucrados en el establecimiento sostenibilidad y confiabilidad por medio de la implementación de prácticas de gestión más comunes de riesgos afrontados; y la protección de un negocio de Servicios de riesgo efectivas y responsables. cómo mitigar mejor el riesgo; y las Financieros Digitales. Al igual que con mejores prácticas para la gestión de cualquier servicio nuevo, hay mucho que La investigación para este manual incluyó riesgo en Servicios Financieros Digitales. aprender y muchos retos y riesgos no tres componentes: entrevistas con aproximadamente 30 expertos; cuatro Encontramos que, aunque la mayoría anticipados que se deben abordar. Este estudios de caso exahustivos con Tigo de los proveedores han extendido sus manual sirve como orientación para Tanzania (MNO), FINCA DRC (IMF), Kopo marcos de riesgo existentes para incluir expertos en la identificación, evaluación, y Kopo Kenya (Proveedor de Servicios de los canales alternativos, solo hay una mitigación de los riesgos específicos a los Pago) y Fidelity Bank en Ghana; y un taller incipiente comprensión del riesgo adicional Servicios Financieros Digitales. de clientes de dos días llevado a cabo en que conllevan los Servicios Financieros Ciudad del Cabo en noviembre de 2015. Los Digitales. Esto es particularmente objetivos de la investigación fueron: pertinente debido a que los despliegues 1 Manual de Canales de Distribución Alternativos y Tecnología, IFC, 2015 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 11 01_ PARTE 1 Resumen de Técnicas de Gestión de Riesgo El riesgo se puede describir2 como el efecto de la incertidumbre sobre los objetivos. Hay muchas definiciones, aproximaciones, y marcos utilizados a lo largo de varios negocios e industrias, siendo uno de los estándares globales el ISO 31000. Las consecuencias del cambio en circunstancias o eventos puede ser positivo o negativo. Esta sección del manual plantea los principios conceptuales de un marco de gestión de riesgo, el proceso de gestión de riesgo, y los componentes clave del desarrollo de un marco de gestión de riesgo para Servicios Financieros Digitales. La gestión de riesgo comienza con el mandato y el compromiso de los entes de la dirección y gobernanza de la institución, y es seguida por el diseño de un marco, la implementación de gestión de riesgo, el monitoreo y revisión del marco, y finalmente, hacer las mejoras continuas del marco. Establecer un marco de riesgo efectivo es un aspecto esencial de una buena gobernanza corporativa para todas las compañías y debe ser una prioridad clave para las Juntas Directivas y la alta dirección. La implementación de un marco de gestión de riesgo requiere un departamento de riesgo apropiado para el tamaño y complejidad de la organización. Casi todas las instituciones financieras deben tener una jefatura de gestión de riesgo, con funcionarios o departamentos responsables de las diferentes áreas de riesgo. Para los Servicios Financieros Digitales, el área que generalmente está menos desarrollada es la de riesgo operacional, y ésta es la que requiere la mayor atención. Los equipos que participan en la gestión de operaciones de Servicios Financieros Digitales tienen mayor conciencia de lo que se requiere y qué puede salir mal, y se deben incluir tan pronto como sea posible en el proceso de planeación de una estrategia de riesgo en Servicios Financieros Digitales. Esto ofrece un contrapeso muy útil a los equipos de desarrollo de negocios que a menudo no llegan a anticipar los riesgos en las estrategias que están promoviendo y ven a las evaluaciones de riesgo como un impedimento al progreso. 2 Guía ISO 73 del ISO 31000 12 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO “La Gestión Figura 1: Marco para la gestión de riesgo (basado en ISO 31000) de Riesgo comienza con MANDATO Y COMPROMISO el mandato y el compromiso de la DISEÑO DEL MARCO administración.” • Organización y su contexto • Política de gestión de riesgo • Integración de la gestión de riesgo IMPLEMENTAR LA GESTIÓN DE RIESGO MEJORAR EL MARCO • Implementar el marco  mplementar procesos de •I gestión de riesgo MONITOREAR Y REVISAR EL MARCO Fuente: AIRMIC, Alarm, IRM: 2010 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 13 01_RESUMEN Marcos de Gestión de Riesgo Todos los negocios están sujetos a una • Responder a riesgos significativos: • Controles de recursos: Desarrollo de gama de riesgos, algunos de los cuales se desarrollo de estrategias de riesgo presupuestos para aplicar respuestas anticipan, pero muchos de los cuales no basadas en probabilidad e impacto a riesgos. son esperados o no se manejan de manera potencial: • Planeación de reacción: Desarrollo de efectiva. La adopción de un marco de »» Tolerar: Para los riesgos de baja respuestas tácticas al riesgo. gestión de riesgo formal, puede ayudar probabilidad de ocurrencia y bajo • Reporte y monitoreo de desempeño de a los negocios a una planificación más impacto potencial, los riesgos se riesgos: Informes periódicos sobre el efectiva, entendiendo por qué las cosas no pueden aceptar o tolerar debido a que desempeño en riesgo para determinar han salido como se planearon e idealmente el costo de mitigar o eliminar el riesgo si, el riesgo ha ocurrido y si se han en la toma de acción antes de incurrir en puede ser mayor que su impacto presentado pérdidas; ha ocurrido y se ha pérdidas. El objetivo de tener un marco de potencial. mitigado; o si no ha ocurrido aún. gestión de riesgo efectivo es ser proactivos »» Tratar: Para los riesgos con • Revisión del marco de gestión de riesgo: en lugar de reactivos en la gestión de probabilidad de ocurrencia e impacto Revisar y reiterar la gestión de riesgo los riesgos inherentes en un modelo de potencial moderado, el tratamiento en forma periódica o cuando ocurren negocios. puede ser aplicado para mitigar eventos significativos. la pérdida potencial si ocurren los Según ISO 31000, hay siete Rs y cuatro Ts eventos. Los marcos de gestión de riesgo son un de marcos de gestión de riesgo: »» Transferir: Para los riesgos con alta conjunto integral de políticas que apuntan probabilidad de ocurrencia y alto a reducir el impacto de los riesgos asociados • Reconocimiento de los riesgos: Las impacto potencial, el riesgo se puede con Servicios Financieros Digitales. El marco lluvias de ideas e identificación de transferir a un tercero por medio de la es la culminación de todos los procesos de todos los tipos y subtipos de eventos de tercerización o la compra de seguros. planeación y evaluación, y el registro de riesgo que pueden ocurrir e impactar riesgo es el cuerpo y documento de trabajo la implementación de los Servicios »» Terminar: Para los riesgos con muy alta principal. La metodología para el desarrollo Financieros Digitales; probabilidad de ocurrencia e impacto de un marco de gestión de riesgo se puede • Clasificación o evaluación de riesgos: potencial, el riesgo se puede terminar, encontrar en la Parte III de este manual. Uso de criterios cualitativos basados en descontinuando la oferta de Servicios la probabilidad e impacto potencial para Financieros Digitales o recurriendo a clasificar los riesgos de importancia más alternativas como conseguir aliados o alta a la más baja; proveedores nuevos. 14 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Proceso de gestión de riesgo El desarrollo de un Marco de Gestión de Riesgo conlleva a hacer un proceso de valoración de riesgo en el que se identifica, evalúa, y desarrolla la estrategia de tratamiento del riesgo para los riesgos asociados a los Servicios Financieros Digitales. Figura 2: Proceso de Gestión de Riesgo CONTEXTO ESTABLECIDO EVALUACIÓN DEL RIESGO COMUNICACIÓN Y CONSULTA MONITOREO Y REVISIÓN IDENTIFICACIÓN DEL RIESGO ANÁLSIS DE RIESGOS EVALUACIÓN DEL RIESGO TRATAMIENTO DEL RIESGO Fuente: AIRMIC, Alarm, IRM: 2010 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 15 01_RESUMEN Un marco de gestión de riesgo comienza con el establecimiento de un contexto de riesgos; debe buscar identificar y clasificar los riesgos involucrados (e idealmente medir los riesgos); evaluar, ponderar, y analizar los riesgos; evaluar y planear cómo minimizar estos riesgos; desarrollar tratamientos para el riesgo; y monitorear y revisar los resultados del tratamiento del riesgo. El producto final de una evaluación de riesgo es un marco de gestión de riesgo, incluyendo un registro de riesgo. También conocida como una matriz de riesgos, el registro de riesgo se usa en forma intercambiable para describir la base de datos central de los riesgos identificados, junto con la descripción de los mismos, sus causas, efectos, y políticas, sea que se toleren, traten, transfieran o terminen. Los registros de riesgo son el centro de un marco de gestión de riesgo, ya que capturan todos los eventos posibles y permiten a los usuarios monitorear, reportar, y reevaluar los riesgos en forma continua. Los registros de riesgo también permiten a los proveedores plantear todos los sub-niveles de riesgo y crear estrategias de riesgo de manera que, si se presenta un evento de un nivel, hay una estrategia para evitar que este vaya al siguiente nivel, del mismo modo que el malware que infiltra un sistema, pero se detiene antes de lograr acceso a datos sensibles. Los registros de riesgo incluyen: CATEGORÍA DEL RIESGO CAUSA RESPUESTA TÁCTICA DE Riesgo Estratégico, Regulatorio, El evento que llevaría a que TRATAMIENTO Operacional, Tecnológico, se actualizara el riesgo, Las implicaciones en cuanto a Financiero, Político, Fraude, Gestión si ocurriera este política o procedimiento de la de Corresponsales, Reputacional o estrategia de tratamiento de riesgo de Socios EFECTO El impacto al que llevaría el evento INDICADOR CLAVE DE NOMBRE DEL RIESGO si llegase a ocurrir Nombre claramente definido del RIESGO riesgo identificado Un indicador utilizado como alerta ESTRATEGIA DE RIESGO temprana de que los efectos adversos DESCRIPCIÓN Tolerar, Tratar, Transferir del riesgo particular pueden ocurrir o Terminar Descripción elaborada del riesgo ESTADO ACTUAL Si el evento de riesgo no ha DUEÑO ESTRATEGIA DE ocurrido aún; ha ocurrido y se ha Persona responsable de monitorear TRATAMIENTO DE RIESGO tratado con éxito; o ha ocurrido y el riesgo e implementar una La estrategia sobre cómo mitigar causó pérdidas. estrategia de tratamiento o controlar el riesgo 16 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Se han incluido ejemplos en la siguiente sección para ilustrar este proceso. El registro de riesgo es un documento vivo que se reevalúa y actualiza con base en un período predefinido o cuando ocurre un evento mayor o inesperado. Se utiliza como el cuerpo del conocimiento de los riesgos para la institución y su implementación de Servicios Financieros Digitales. Se incluye una plantilla para un registro de riesgo en la sección de Herramientas, de este documento. SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 17 02_DEFINICIONES 02_ Parte II Definiciones de Riesgo El potencial de los Servicios Financieros Digitales viene acompañado de riesgos inherentes en la medida que las operaciones e interacciones con clientes son tercerizadas a corresponsales, quienes abren cuentas y realizan transacciones en representación del proveedor. En la historia reciente, unos pocos casos notables de fraude han afectado la reputación y viabilidad financiera de algunas operaciones. Si bien el riesgo de fraude en los Servicios Financieros Digitales es el riesgo más importante y mejor entendido, hay muchos otros que no siempre se incorporan en el marco de gestión de riesgo de un proveedor, aunque pueden ser igualmente dañinos. Estos incluyen: riesgos estratégicos, regulatorios, operacionales, tecnológicos, financieros, políticos, de fraude, gestión de corresponsales, reputacional o de socios. Cada una de estas categorías de riesgo se describen y explican en esta sección, incluyendo un número sustancial de sub-categorías. Con cada riesgo, también se identifican y exploran estrategias apropiadas de mitigación. Los estudios de caso y ejemplos prácticos dan una comprensión más profunda de los conceptos. Cada categoría de riesgo también ilustra cómo se podría usar un registro de riesgo como parte de la estrategia de gestión de riesgo de una organización para documentar elementos claves tales como la identificación de riesgos, dueño del riesgo, evaluación, tratamiento, e indicadores. Está incluida una lista de control útil que le hace preguntas críticas al lector y le reta a reflexionar sobre sus propios riesgos organizacionales. 18 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Figura 3: Categorías e Interacciones de Riesgo RIESGO ESTRATÉGICO RIESGO RIESGO FINANCIERO REGULATORIO RIESGO DE RIESGO FRAUDE OPERACIONAL RIESGO RIESGO EN GESTIÓN REPUTACIONAL DE CORRESPONSALES RIESGO RIESGO SOCIETARIO TECNOLÓGICO RIESGO POLÍTICO Los riesgos no caen estrictamente en corresponsales si no hay sistemas de back una categoría. Si surge una situación de office apropiados; o al riesgo de fraude si riesgo en un área puede crear a menudo no se suministran las características de una situación de riesgo en otra área, y prevención de fraude esperadas;o al riesgo todos los riesgos se deben considerar en reputacional si la experiencia del cliente es conjunto. Por ejemplo, las malas decisiones mala. Por tanto, una necesidad estratégica estratégicas respecto del servicio y la de reducir el riesgo de fraude también selección de tecnología pueden llevar a puede llevar a la necesidad de medidas riesgo tecnológico, el cual a su vez lleva de prevención de riesgos en operaciones, a muchos otros tipos de riesgo, tales tecnología, gestión de corresponsales y como riesgo operacional y de gestión de así sucesivamente. SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 19 02_DEFINICIONES 1. Riesgo Estratégico ¿Cuál es su El riesgo estratégico se define en sentido amplio como las pérdidas reales que Los proveedores deben tener entendimiento profundo de la naturaleza un apetito y tolerancia resultan de seguir un plan de negocios y alcance de los riesgos relacionados con al riesgo? equivocado o las pérdidas potenciales resultantes de oportunidades perdidas. su estrategia de negocios y la tolerancia a su impacto potencial. Para abordar el Algunos ejemplos de esto pueden ser riesgo estratégico, los proveedores deben productos ineficientes; no ser capaces centrarse en recoger datos y entender de responder al cambio del entorno las perspectivas de fuentes externas, de negocios, o distribución inadecuada incluyendo clientes, bloggers, quienes de recursos. establecen tendencias en la información, los competidores y analistas del mercado. A medida que crece la dependencia de Para muchas ofertas de Servicios la tecnología, los proveedores se ven Financieros Digitales, la competencia puede altamente expuestos al riesgo resultante ser muy diferente de la de la organización de la innovación y las tecnologías central, y estos nuevos competidores disruptivas del mercado. Establecer la deben ser identificados y entendidos. Se estrategia de la empresa es generalmente pueden utilizar modelos financieros para responsabilidad de la Junta, la cual debe construir análisis de escenarios y pruebas aportar su experiencia de otras empresas e de estrés para comprender mejor los industrias a la identificación de los riesgos principales factores de la rentabilidad, tales a la estrategia de Servicios Financieros como volumen, valor, ingresos y costos. Digitales de la compañía. Los riesgos estratégicos incluyen aquellos relacionados La Parte III describe como desarrollar con el branding, las tendencias económicas, un registro de riesgo. A continuación, se la reputación, los modelos de negocios y muestra un ejemplo de riesgo estratégico las posiciones competitivas. También está en un registro de riesgo y se incluye la relacionado con la tecnología, que requiere categoría, descripción, dueño, causa, un sistema confiable, utilizable, escalable y efecto, probabilidad, impacto, estrategia e seguro para minimizar el riesgo estratégico. Indicador Clave de Riesgo. 20 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO PLO M Registro de Riesgo 1 EJE Riesgo Estratégico - caso de negocios poco realista Ejemplo de Proveedor MNO que ofrece una billetera de dinero electrónico de Servicios Financieros Digitales: Categoría de riesgo: Riesgo Estratégico Categoría Secundaria: Reputacional Nombre: La billetera electrónica del MNO no logra alcanzar la sostenibilidad en el plazo designado Descripción El Servicio Financiero Digital no cumple metas de ingresos y gastos, y resulta en ingresos y retorno de la inversión negativos. Dueño: Jefe de Dinero Electrónico Causa: Mal diseño del producto o del canal, demanda del mercado y/o competencia mal entendidos Efecto: Pérdida de inversión Probabilidad: 2 de 5 Probabilidad relativamente baja basada en estudios de mercado y modelos financieros Impacto: 3 de 5 Impacto medio basado en que probablemente se darán oportunidades a las operaciones para abordar los problemas antes que las operaciones se detengan Estrategia de Riesgo: Tratar Estrategia de Tratamiento: • Utilizar la investigación de mercados y benchmarks de la industria para establecer supuestos • Iterar el modelo financiero a medida que avanza la implementación • Asegurar que las metas se difundan y están alineadas con los KPIs • Monitorear el desempeño y actualizar la estrategia según sea necesario Respuesta Táctica de • Determinar las causas del bajo desempeño (diseño del producto, respuesta del mercado) y crear planes para resolverlo Tratamiento: • Ajustar el caso de negocios y los objetivos para reflejar la nueva fase del ciclo de vida del producto Indicador Clave de Riesgo: • Ingresos netos • Clientes activos • Transacciones por cliente • Corresponsales activos • Clientes por corresponsal • Tipo de interés de encaje Estado actual: No ha ocurrido SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 21 02_DEFINICIONES Cuadro 1 Estudios de Caso de Riesgo Estratégico A) Lanzamiento de un servicio Los síntomas de la implementación del Servicios Financieros Digitales mal definido: Cuando se lanzó el apresurada y la mala ejecución de las al tamaño de la base de clientes primer servicio dinero electrónico en decisiones estratégicas se pueden ver del MNO, y si el negocio central África subsahariana, rápidamente en los muchos servicios fracasados de telecomunicaciones disminuye, logró una enorme popularidad y fue lanzados de manera temprana. también lo hace el negocio de dinero visto por el MNO como un freno El mercado estalló con más de 200 electrónico. En los comienzos del a la rotación [NT: churn-buster] servicios lanzados o en desarrollo en dinero electrónico, muchos MNOs significativo que protegería su negocio los primeros cinco años y con, quizás, consideraron que el beneficio clave principal de telecomunicaciones un cinco por ciento logrando algo cercano al éxito. La situación está de los Servicios Financieros Digitales por medio de mayor adquisición y mejorando, pero todavía hay muchos era su potencial para ofrecer un retención de clientes. Como resultado, servicios que sufren como resultado elemento diferenciador que mejoraba muchos MNOs africanos estaban directo de estas malas decisiones, el atractivo de su principal negocio de preocupados por el riesgo estratégico para su negocio principal si no manifestadas en falta de personal telecomunicaciones. Hoy en día, la ofrecían un servicio similar. Esto hizo y presupuesto insuficiente para mayoría de los operadores móviles en que muchos MNOs lanzaran servicios desarrollar el negocio, y que luchan África subsahariana ofrecen dinero con una tecnología inadecuada. electrónico como parte de su cartera, de dinero electrónico sin entender adecuadamente el mercado, la B) Pérdida del negocio principal de por lo que eso ya no supone una propuesta al cliente, la funcionalidad telecomunicaciones: Generalmente diferenciación, a menos que tenga técnica requerida o los recursos sucede que, para registrarse en un algún beneficio convincente que no necesarios para suministrar un servicio de dinero electrónico de un ofrezca la competencia. servicio exitoso. El resultado irónico MNO, el cliente tiene que suscribirse de esto fue que fueron sometidos a las al negocio de telecomunicaciones de Tanzania tiene varios MNOs exitosos, consecuencias de un riesgo estratégico ese MNO y utilizar su tarjeta SIM. y la competencia en el espacio de las diferente al entrar en un nuevo Esto ofrece beneficios comerciales telecomunicaciones es feroz. Muchos mercado para el cual estaban mal obvios para el MNO en la adquisición clientes tienen múltiples tarjetas SIM preparados y al que suministraban y retención de clientes, pero también y utilizan el que tenga la mejor oferta servicios de mala calidad. restringe el tamaño máximo potencial en ese momento. 22 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Todos ellos ofrecen servicios de dinero en la cuenta del destinatario sin nunca corresponsales son activamente electrónico similares y es común que tocar la de la persona que realiza el cómplices en ofrecer depósitos los clientes se registren para múltiples depósito. Esto va en contra de los directos, mientras que otros no saben cuentas de dinero electrónico3. términos de operación porque no hay que esto está sucediendo. Se están Por lo tanto, existe un problema real registro de la identidad del remitente, haciendo esfuerzos para identificar cuando un MNO ofrece un negocio que puede infringir las regulaciones a los corresponsales infractores de telecomunicaciones sostenido y de KYC. Saltarse la transacción P2P haciendo seguimiento de si un atractivo a los clientes, el negocio también puede tener un serio impacto retiro se produce poco después del de Servicios Financieros Digitales negativo en el modelo de ingresos depósito y en otro lugar. Parece poco también crece, mientras que los del negocio. Al corresponsal se le Servicios Financieros Digitales de tiene que pagar una comisión por lógico depositar y retirar en rápida la competencia sufren por defecto. suministrar el servicio de depósitos, sucesión, y si el retiro se llevó a cabo Para mitigar este riesgo, se están y esto se financia típicamente, al lejos del depósito, la transacción fue introduciendo Servicios Financieros menos en parte, con los ingresos P2P. probablemente un depósito directo. Digitales de valor agregado en muchos Además, el remitente ni siquiera tiene Otro enfoque es rastrear la ubicación mercados, incluyendo cuentas de que ser un suscriptor móvil. del corresponsal y el destinatario ahorro, acceso a créditos y reparto de del depósito usando el identificador utilidades de los fondos depositados Los depósitos directos son, por celular; diferentes ubicaciones de en cuentas. lo tanto, una fuente de riesgo nuevo sugieren un depósito directo. regulatorio y financiero potencial, Los corresponsales propensos a altos C) Aumento en lasTransaccionesde pero el mayor impacto posiblemente Depósito Directo: El proceso típico sea que socavan el rol estratégico de niveles de depósitos directos son para remitir fondos por medio de los Servicios Financieros Digitales advertidos y retirados del servicio si es una billetera es que el cliente deposite de apoyar y proteger el negocio de necesario. Este proceso de detección dinero en efectivo en un corresponsal telecomunicaciones. La mayoría es costoso en tiempo y mano de obra, y luego remita los fondos realizando de los operadores de redes móviles pero es actualmente el mejor medio una transacción persona a persona. están sufriendo niveles crecientes disponible para proteger al negocio Aunque el depósito es generalmente de depósitos directos. Algunos del riesgo de los depósitos directos. gratis, casi todos los servicios cobran una comisión por cada transferencia P2P. Los clientes pueden saltarse la transacción P2P y evitar este cobro en el momento en que hacen el depósito, dándole al corresponsal el RIESGO ESTRATÉGICO - PREGUNTAS CLAVE número de teléfono de la billetera del • ¿Qué tan bien definida está mi estrategia? destinatario en lugar del suyo propio. • ¿Qué tan amplios son los riesgos que estamos considerando? ¿Hemos considerado todos Los fondos se depositan directamente los factores internos y externos? • ¿Cuáles escenarios de riesgo hemos considerado para probar nuestros planes? 3 En 2014, los usuarios de Servicios Financieros ¿Cuál es nuestro apetito y tolerancia al riesgo? • Digitales de Tanzania tenían en promedio 2 cuentas de dinero electrónico http://www.gsma.com/ Hemos mapeado nuestros riesgos en función de indicadores clave de desempeño y • ¿ mobilefordevelopment/wp-content/uploads/2014/03/ Tanzania-Enabling-Mobile-Money-Policies.pdf medidas de valor? SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 23 02_DEFINICIONES establece los requisitos para la banca se pueden rastrear los números de teléfono móvil, el dinero electrónico y la banca de móvil con cantidades y fechas, requieren corresponsales dentro de su jurisdicción4. PIN de seguridad, y son continuamente ¿He identificado Generalmente incluyen las políticas que rigen los Servicios Financieros Digitales, monitoreadas. El KYC en capas usa un enfoque basado en riesgo y extiende el áreas potenciales a menudo una ley nacional de pagos, una acceso proporcional a la cuenta basado en para el riesgo de ley de inclusión financiera o una ley de protección al cliente. Los bancos centrales el nivel de requisitos KYC. Se aplican límites proporcionales al monto por transacción, al incumplimiento? de cada país deciden si permitirán a los volumen de movimiento de la cuenta al día, bancos, operadores móviles, proveedores mes o año y al saldo máximo que se puede de servicios de pagos, o una combinación mantener en cualquier momento. de estos, prestar servicios a través de Gestión de Corresponsales: En la mayoría Servicios Financieros Digitales. Junto con de los mercados, el uso de corresponsales las instituciones a las que se les permitirá para actuar en nombre de las instituciones ofrecer servicios, los bancos centrales financieras está estrictamente regido también dictan requerimientos sobre los por los reguladores. Pueden existir siguientes temas: requisitos de negocios para la inscripción Debida Diligencia del Cliente: Una de las de corresponsales, incluyendo si están 2. Riesgo Regulatorio áreas clave cubiertas por las regulaciones de registrados o tienen licencia, requisitos Servicios Financieros Digitales es la debida mínimos de capital, o incluso restricciones El riesgo regulatorio se refiere a los diligencia del cliente, incluyendo KYC, lucha al tipo de negocio. riesgos asociados con el cumplimiento contra el lavado de activos y la financiación (o incumplimiento) de las directrices y del terrorismo. Estas regulaciones Los reguladores también dictan las normas reglamentarias, como las ALA/ también pueden ser grandes obstáculos funciones que pueden realizar los CFT, Conozca a su Cliente (KYC, por sus para el desarrollo y el escalamiento de corresponsales, por ejemplo, si pueden abrir siglas en inglés), protección de datos, servicios financieros digitales en mercados cuentas o no, recoger datos (KYC), realizar límites de cuentas y transacciones, cuentas emergentes, por ejemplo, obstaculizando transacciones de depósitos y retiros, o fiduciarias, y normas respecto al uso la capacidad de los clientes para registrarse realizar transacciones OTC. El regulador de corresponsales. El riesgo regulatorio en un servicio debido a documentos de puede incluir estipulaciones con respecto también incluye normas más amplias identificación personal de mala calidad, a la exclusividad de los corresponsales, por relacionadas con el funcionamiento de una pruebas insuficientes de residencia o falta ejemplo, exigiendo que los corresponsales institución en particular, como por ejemplo, de herramientas de verificación biométrica. no puedan ser exclusivos a una sola la concesión de licencias, capital y liquidez. institución financiera. El incumplimiento puede ser en áreas Varios bancos alrededor del mundo han que no están directamente relacionadas permitido un KYC en capas como forma Los reglamentos de gestión de con Servicios Financieros Digitales, pero de introducir la proporcionalidad en la corresponsales varían de un país a otro. pueden tener un impacto significativo en gestión de riesgo en los servicios móviles. En algunos países, las regulaciones de las operaciones del negocio, incluyendo El riesgo de que se canalicen grandes banca de corresponsales y de dinero multas, sanciones e incluso la pérdida de montos de dinero a través de cuentas electrónico están claramente establecidas la licencia. El banco central de cada país móviles para el lavado de dinero o el e incluyen requisitos completos para la financiamiento del terrorismo es probable contratación, aprobación, capacitación y la que sea limitado, ya que la mayoría de las gestión continuada de los corresponsales. 4 En algunos mercados, estas normas están todavía en desarrollo y aún no se han implementado. cuentas se limitan como cuentas de valor, En países como Tanzania, el regulador 24 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO tiene que aprobar individualmente cada se puede mitigar mediante el control de Cuentas Fiduciarias: Todos los corresponsal que un banco o MFI contrata. acceso al sistema de TI y la encriptación proveedores no bancarios de Servicios En otros mercados, como en Madagascar, para proteger el abuso de datos por parte Financieros Digitales, incluidos los MNOs actualmente no existen regulaciones y del personal del proveedor. Las regulaciones y los proveedores de servicios de pago, el Banco Central no ha dado ninguna son aprobados por los reguladores, ya de protección de datos pueden ser tratadas indicación formal de lo que se permite o sea mediante licencias o 'cartas de no a través de leyes nacionales de privacidad, objeción', por un banco central, una prohíbe sobre los tipos de corresponsales regulaciones de telecomunicaciones y/o comisión de valores o un regulador de a contratar, sus requisitos de negocios o regulaciones de servicios financieros. comunicaciones con provisiones respecto las funciones que se les permite realizar. La protección de datos es una preocupación de tenencia de fondos en una o varias En mercados como estos, el riesgo cada vez mayor para las instituciones, cuentas fiduciarias. Los fondos de dinero regulatorio se convierte en uno de los ya que los grandes hackeos públicos de electrónico y los fondos depositados en el principales riesgos para una implementación banco deben coincidir, y a los proveedores datos han sido bien documentados en de Servicios Financieros Digitales, ya que las no se les permite intermediar los fondos los medios de comunicación, causando instituciones operan bajo circunstancias de la manera que lo haría una institución pérdidas financieras y reputacionales. La completamente desconocidas. financiera regulada. El objetivo es asegurar falta de integridad en torno a los datos de que los fondos de los clientes estén Además de los riesgos regulatorios los clientes puede llevar a demandas, así protegidos y fácilmente disponibles a asociados con los corresponsales, existen como ofrecer oportunidades para el robo solicitud. Estos fondos están protegidos y otro tipo de riesgos que se detallan de identidad y el fraude. los proveedores no pueden usarlos para en la sección Riesgo de Gestión de Interoperabilidad: La interoperabilidad se pagar gastos de operación o para pagar Corresponsales de este documento. a los acreedores. Dependiendo de la define como la capacidad de un usuario de regulación, los intereses devengados en Seguro de Depósito: El seguro de una cuenta o billetera de un proveedor para la cuenta fiduciaria puede que tenganque depósito es un seguro proporcionado recibir o enviar transferencias a la cuenta ser pagados al cliente o se pueden utilizar a los depositantes para proteger sus de un usuario o billetera de otro proveedor. como ingresos para el proveedor. depósitos en casos de insolvencia de las La interoperabilidad también puede describirse a nivel de corresponsal, cuando Requisitos Mínimos de Capital: Para los instituciones financieras. Por lo general, bancos los requisitos mínimos de capital es un aspecto obligatorio de las leyes un cliente de un proveedor puede realizar son una parte normal de reglamentaria que rigen las instituciones financieras, transacciones con el corresponsal de otro en la concesión de licencias. En algunos ya que la protección de los depósitos de proveedor. La mayoría de los reguladores mercados, los reguladores también los los clientes es clave para evitar el pánico no han exigido la interoperabilidad entre requieren para MNOs y Proveedores de financiero y mantener un sector financiero los proveedores nacionales, pero algunos Servicios de Pago. Además de los requisitos estable. El seguro de depósito no suele han dejado que el mercado autorregule para que los MNOs y los Proveedores de ser requerido por los bancos centrales la interoperabilidad. A medida que los Servicios de Pago tengan fondos en cuentas para los operadores de redes móviles o mercados maduran, podremos llegar a fiduciarias, los reguladores también pueden proveedores de pagos, ya que no se les ver una interoperabilidad más obligatoria imponer requisitos mínimos de capital para permite intermediar los fondos y los saldos en la medida que los reguladores busquen asegurar a los acreedores contra el riesgo de cartera están respaldados al cien por de insolvencia y asegurar que la institución intensificar la competencia en un intento cien en cuentas fiduciarias, normalmente tenga suficiente capital para atender los por aumentar las opciones de los clientes y en instituciones financieras de terceros. costos operativos iniciales. reducir los precios. En África subsahariana, Privacidad: Al igual que con todos los las transferencias interoperables de cuenta servicios financieros, la protección de a cuenta están actualmente disponibles5 los datos de los clientes es primordial y en Tanzania, Ruanda y Madagascar. 5 Informe GSMA: Estado de la Industria 2015 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 25 02_DEFINICIONES PLO M Registro de Riesgo 2 EJE Riesgo regulatorio - vinculación inadecuada del cliente Ejemplo de Proveedor MNO que ofrece una billetera de dinero electrónico de Servicios Financieros Digitales: Categoría de riesgo: Riesgo Regulatorio Categoría Secundaria: Riesgo de gestión de orresponsales Nombre: El corresponsal no registra adecuadamente al cliente con el procedimiento de KYC completo Descripción Los corresponsales pueden cumplir parcialmente con los requisitos de KYC, ya que las comisiones están diseñadas para incentivar la apertura de cuentas y realizar transacciones, no para la diligencia regulatoria. Dueño: Jefe de Cumplimiento Causa: Mal diseño del producto o del canal, entrenamiento deficiente del corresponsal Efecto: Aumento de gastos para seguimiento y recolección de datos de KYC o cierre de cuentas si éstos no pueden ser adecuadamente registrados Probabilidad: 3 de 5 Probabilidad media basada en una buena formación, pero problema común Impacto: 1 de 5 Impacto muy bajo basado en la respuesta probable de los reguladores en cuanto a dar advertencias antes que las violaciones sean castigadas Estrategia de Riesgo: Tratar Estrategia de Tratamiento: • Educación de corresponsales • Alinear los incentivos de los corresponsales únicamente hacia cuentas plenamente registradas • Rediseñar los procesos de negocios para que sean más eficientes en la gestión de cualquier documentación • Cuando los reglamentos lo permitan, abrir cuentas a niveles inferiores de KYC hasta que se pueda recopilar toda la información • Comprador secreto • Sanciones por incumplimiento Respuesta Táctica de • Formación adicional del corresponsal Tratamiento: • Aplicar sanciones a corresponsales y/o funcionarios de gestión de corresponsales Indicador Clave de Riesgo: • Porcentaje de clientes con registros incompletos • Porcentaje de clientes con registros rechazados Estado actual: Ocurrido y mitigado 26 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Cuadro 2 Estudios de Caso de Riesgo Regulatorio Los riesgos regulatorios más comunes intensas negociaciones, el lanzamiento locales. Desafortunadamente, el son causados por los dos casos se retrasó y finalmente se canceló, regulador no estaba familiarizado extremos de “falta de regulación” y el equipo se disolvió. Tres años con el estado de la tecnología en y “exceso de regulación”, y ambos más tarde, la regulación había sido este mercado naciente y había pueden conducir a una inversión modificada nuevamente y el servicio asumido que tenía una gama de desperdiciada y pérdida de ingresos. finalmente fue lanzado. El costo del funcionalidades y capacidades que no retraso para la MNO, tanto directo iba a estar ampliamente disponible En los mercados donde hay poca como en forma de ingresos perdidos, durante varios años. Además, el o ninguna supervisión clara de los no ha sido revelado. caso de negocios para estos servicios Servicios Financieros Digitales, hay se basó en un entorno de circuito incertidumbre acerca de lo que el En un mercado africano, el banco cerrado (“close loop”) con sólo una regulador requiere o qué regulaciones central decidió imponer ciertas fuente de ingresos. Como resultado, pueden ser impuestas en una fecha limitaciones reglamentarias a cualquier lo que se esperaba que fuera uno de posterior. Por ejemplo, un importante despliegue de dinero electrónico con los principales mercados de Servicios MNO decidió lanzar su exitoso la intención de asegurar que habría Financieros Digitales ha tenido servicio de dinero electrónico africano una interoperabilidad total entre los dificultades para lograr impulso y en un gran mercado de Asia meridional servicios desde el comienzo, y que tuvo una mala adopción durante que apuntaba a un lanzamiento en los riesgos y recompensas potenciales varios años hasta que se modificó la 2008. La opinión legal era que, en asociados con cada servicio serían reglamentación para tener en cuenta ausencia de una regulación específica, compartidos entre varios bancos las realidades del mercado. podría construirse un marco adecuado para adherirse a una regulación de pagos más general. Se invirtió una cantidad sustancial de dinero en la adaptación de la tecnología existente a las necesidades específicas del RIESGO REGULATORIO - PREGUNTAS CLAVE mercado, y se reclutó y formó un • ¿Entiendo completamente todos los requisitos e implicaciones regulatorias aplicables a gran equipo para administrar las mi institución, a mis corresponsales y a mis clientes? operaciones locales. Apenas dos • ¿Estoy cumpliendo completamente con estas regulaciones? meses antes del lanzamiento planeado en el primer estado, el regulador • ¿He identificado áreas potenciales para el riesgo de incumplimiento? expidió algunas nuevas directrices a la • ¿Tengo la seguridad de que los procesos son adecuados para asegurar el cumplimiento regulación existente que efectivamente continuo? prohibieron el lanzamiento. Pese a • ¿He establecido una relación positiva y productiva SERVICIOS con mi FINANCIEROS regulador? DIGITALES Y GESTIÓN DE RIESGO 27 02_DEFINICIONES • Operaciones de back office: tales como particularmente importante en la primera la creación y edición de cuentas de parte del ciclo de vida del servicio. A las corresponsales y otras empresariales, pocas semanas de lanzar un servicio, la solución de problemas y pruebas brecha entre la expectativa y la realidad de cualquier cambio en el servicio para muchos procedimientos se vuelve ¿Existe un manual (normalmente actualizaciones operativas obvia. Se recomienda que los borradores de menores) los procesos de negocios creados antes del de operaciones que • Operaciones financieras: incluyendo lanzamiento sean revisados y finalizados tres detalle todos la creación de dinero electrónico y asegurar que la cuenta bancaria y de o cuatro meses después del lanzamiento, cuando el equipo de operaciones tenga los procesos de dinero electrónico (control) coincidan, experiencia en operaciones reales. y presentar informes de negocios Después de eso, idealmente se deben negocios? • Operaciones técnicas: proveer el revisar anualmente. Si se introduce una ambiente de hosting y soporte para la nueva funcionalidad, por ejemplo, la tecnología. participación de un nuevo socio, tales como las transferencias de banco a billetera, se Procesos de negocio: La clave para requerirán nuevos procesos de negocio para operaciones eficientes que minimizan el gestionar las nuevas actividades. riesgo es tener procesos de negocio de alta calidad, eficientes y efectivos. Los procesos La tecnología adecuada puede utilizarse para 3. Riesgo Operacional de negocio siempre deben agregar prevenir la aparición de muchos eventos El riesgo operacional es inherente a valor a los clientes y mitigar los riesgos. de riesgo, pero en última instancia, en cualquier negocio y se refiere a los riesgos Aunque muchas instituciones culpan a la particular porque la tecnología para muchos asociados con productos, prácticas tecnología o gobernanza como la causa Servicios Financieros Digitales aún no está comerciales, daños a los activos físicos, así del fraude, muchos casos de fraude interno madura, la mejor protección contra el riesgo como la ejecución, entrega y gestión del importante de Servicios Financieros operacional son los procesos de negocios Digitales se pueden ubicar en procesos bien construidos que son adecuadamente proceso del servicio. En la práctica se refiere de negocios inadecuados (o inexistentes) seguidos y actualizados, y que se revisan a la amplia y diversa gama de actividades que permitieron a los estafadores abusar periódicamente durante las auditorías necesarias para administrar el negocio. del servicio. Ver página 48 para obtener internas para asegurar el cumplimiento. Los riesgos operacionales, en su mayoría, una descripción completa de los posibles son internos a la organización y por lo tanto Control interno: Los procedimientos de riesgos de fraude. pueden ser manejados cuidadosamente. control interno se utilizan para proteger En términos de Servicios Financieros Cada proceso operacional que se contra el fraude, las interrupciones, el Digitales, la nueva área crítica de operación lleva a cabo de manera habitual debe riesgo reputacional y el riesgo de crédito, es el negocio diario de apoyar al canal. documentarse, describiendo lo que se asegurando la adherencia a los procesos Esto puede incluir funciones que tocan debe hacer, cómo hacerlo y quién es el de negocio. El departamento de control todas las partes del negocio, tales como: responsable de hacerlo. Los procesos interno realiza auditorías operativas en de negocios también deben atender las la organización y sus corresponsales para • Operaciones de ventas: incluyendo excepciones, especificando qué hacer asegurar que se usen procedimientos contratación de corresponsales, si algo sale mal en cualquier momento correctos en términos de transacciones, capacitación y administración continua del proceso y no se puede seguir la ruta apertura de cuentas, KYC y estándares de corresponsales estándar. Las auditorías internas se utilizan de branding. El departamento de control • Operaciones de servicio al cliente: para asegurar que los procesos de negocios interno evalúa la efectividad de dichos sean respetados por el personal. prestación de asistencia a usuarios procedimientos y normas, y hace sugerencias externos del servicio (clientes, Los procesos de negocio deben revisarse y y revisiones de políticas y procedimientos corresponsales y otros) y escalamiento actualizarse periódicamente para asegurar basados en un proceso continuo de de problemas que no puedan resolver que siguen siendo pertinentes. Esto es retroalimentación y aprendizaje. 28 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Auditoría interna: Las auditorías internas Informes Externos: Los grandes Ejecución, Entrega y Gestión de Procesos: proporcionan garantía y verificación de financiadores, donantes y accionistas, El riesgo operacional derivado del error del procesos y controles. El departamento como las instituciones matrices, pueden operador en la ejecución, la entrega y la de auditoría interna es responsable de requerir informes adicionales para gestión de procesos incluye riesgos tales asegurar que la información financiera monitorear el desempeño, minimizar el como, errores en el procesamiento de sea precisa y refleje el estado real de los riesgo de sus inversiones y asegurar la datos, errores contables, falta de informes asuntos financieros de la institución; que detección temprana de problemas, ya sean obligatorios y pérdida negligente de los riesgos empresariales sean evaluados operacionales o financieros. Generalmente, activos del cliente. Está estrechamente y mitigados; y que los controles sean vinculado al riesgo tecnológico y es más los informes se realizan trimestralmente efectivos. La auditoría interna puede frecuente en Servicios Financieros Digitales para la presentación de informes financieros, realizar auditorías financieras mensuales de debido a la tercerización de la transacción y semestrales para la presentación de la institución, funciones y procesos de alto a los corresponsales. En algunas regiones, informes cualitativos sobre el progreso, los riesgo, así como auditorías operacionales los reguladores están implementando retos y las lecciones aprendidas. de sucursales y corresponsales, asegurar nuevas directrices para reducir este riesgo una adecuada gestión de liquidez, registro Auditoría Externa (Financiera): La y proteger los fondos de los clientes. La de transacciones y detectar fraude de mayoría de las instituciones, especialmente mitigación del riesgo de error del operador corresponsales y otros delitos. las instituciones reguladas o transadas en puede incluir la separación de funciones Separación de Funciones: La separación bolsa, deben hacer auditorías externas entre la persona que realiza la transacción de funciones es una metodología de al menos una vez al año. Una auditoría u otra actividad, la persona que la registra procedimientos que asegura que existan externa se centra principalmente en la o revisa y la persona que la aprueba; pesos y contrapesos adecuados para información financiera de la institución y el acceso basado en roles a los sistemas; proteger contra conflictos de intereses y para garantizar la contabilización exacta de formación de corresponsales y personal; fallas de control. Un ejemplo de separación las transacciones, así como una adecuada supervisión; transacciones en cuentas de funciones es el principio contable depreciación y valoración de los activos transitorias; el monitoreo de transacciones (a veces conocido como, ejecutor, de la institución. También puede incluir sospechosas para alertar de errores verificador y aprobador) por el cual la revisiones adicionales a los controles, frecuentes en la secuencia de la transacción persona que lleva a cabo una transacción o corresponsales o personal específico que particularmente para actividades y o proceso está separada de la que registra cometen errores frecuentemente. Análisis procesos de alto riesgo. o revisa la actividad y la que valida la de datos, paneles de control y algoritmos actividad, para minimizar los errores y las Daños a Activos Físicos: El daño a los pueden ser herramientas poderosas para oportunidades de fraude y mala gestión activos físicos puede resultar del desgaste mitigar los errores de los operadores si son de los fondos. Los sistemas informáticos normal, desastres naturales, actos de seguidos por resolución, capacitación o pueden configurarse para que haya acceso mejoras de políticas que reducen el riesgo terrorismo o vandalismo. Los riesgos pueden basado en roles según los requisitos de de errores continuados. ampliarse usando Servicios Financieros cada función de trabajo. Un ejemplo de Digitales, ya que los activos físicos están Variaciones en Conciliación y Cuentas: acceso basado en roles es hacer cumplir la en fideicomiso a partes externas, tales El riesgo de que el valor real de las cuentas separación de funciones de manera que un como corresponsales, y pueden estar en en fideicomiso sea diferente del monto operador solo pueda acceder a las funciones lugares geográficos donde la institución reflejado en el sistema de dinero electrónico, requeridas para desempeñar su trabajo. Por ejemplo, atención al cliente no necesita no hace visitas regulares en persona. así como el riesgo de que las transacciones acceso al área financiera donde se crea el Es importante que el daño potencial a los fuera de la red (por ejemplo, retiros de dinero electrónico; finanzas no necesita activos físicos se incluya como parte de los cajeros automáticos y pagos de facturas) tener acceso al área de ventas donde se planes de continuidad de negocio y planes no se concilien con cuentas internas. crean las cuentas de corresponsales; los de recuperación de desastres. Las posibles Siempre puede haber alguna diferencia, miembros junior del equipo pueden tener estrategias de mitigación pueden incluir pero los altos niveles de variación, o acceso a las tareas ejecutor, pero no a las seguros patrimoniales, sistemas de respaldo aquellos que son irreconciliables, pueden tareas del verificador; y así sucesivamente. y almacenamiento externo de datos. conducir a pérdidas financieras. SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 29 02_DEFINICIONES PLO M Registro de Riesgo 3 EJE Riesgo Operacional - manuales insuficientes Ejemplo de Proveedor Ya sea un servicio de banca de corresponsales o un MNO que ofrece una billetera de dinero electrónico de Servicios Financieros Digitales: Categoría del riesgo: Riesgo Operacional Categoría Secundaria: Riesgo Regulatorio Nombre: Falta de manuales operativos y procesos de negocio Descripción Ineficiencia del back office porque los manuales de operación están incompletos, careciendo de los procesos de excepción cuando las cosas no van según el plan. Dueño: Jefe de Servicios Financieros Digitales Causa: Mala planificación e implementación de procedimientos operacionales para apoyar Servicios Financieros Digitales Efecto: Podría conducir a una mala administración de sistemas, cuentas de clientes o fondos que resulten en violaciones del cumplimiento o pérdida de fondos Probabilidad: 2 de 5 Moderadamente bajo, basado en el conocimiento del riesgo y el desarrollo de herramientas, sin embargo, sigue siendo un riesgo que no todos los escenarios están cubiertos Impacto: 3 de 5 Impacto moderado, basado en pérdidas de reputación y financieras, pero no suficiente para cesar operaciones Estrategia de Riesgo: Tratar Estrategia de Tratamiento: • Revisar el manual de operación en relación con la lista de procedimientos que se están llevando a cabo. Agregue cualquier procedimiento que falte, actualice los procedimientos existentes según sea necesario y agregue los casos de uso de excepciones a todos. Asegúrese de que los departamentos pertinentes firmen cada proceso • Crear listas de verificación de procesos y asegurar que todos los procesos han sido documentados y son revisados y actualizados periódicamente, si es necesario • Hacer que el mantenimiento de procesos de negocio sea un producto clave del equipo de operaciones. Respuesta Táctica de • Identificar los procedimientos de excepción que faltan. Convocar a un equipo para determinar cuáles deben ser y cuáles son las funciones responsables de ellos Tratamiento: • Documentar estas excepciones de proceso • Capacitar al personal en la implementación Indicador Clave de Riesgo: • Productividad del equipo de back office medido por » Números de transacciones transitorias resueltas » O el número de días que permanece la transacciónen cuentas transitorias » O tiempo para resolver disputas • Excepciones de transacciones con estado en curso • El centro de llamadas emite una resolución Estado actual: No ha ocurrido 30 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Cuadro 3 Estudios de Caso de Riesgo Operacional Tras el éxito del dinero electrónico tecnología que inicialmente compraron tengan procesos de negocio formales en África oriental, como se mencionó y su incapacidad para realizar las o procedimientos incompletos que anteriormente, muchos operadores operaciones necesarias (a pesar de que no se han actualizado desde que se móviles decidieron que necesitaban a menudo existía una incapacidad escribieron y que rara vez se utilizan. tener su propio servicio de dinero para articular lo que se esperaba de la Cuando se les pregunta por sus electrónico lo antes posible. Por lo procesos operativos, simplemente tecnología cuando se compró). general, poco se pensó en los requisitos producen manuales de capacitación técnicos u operativos cuando estaban La tecnología debe reforzar, no para operar la tecnología. Por ejemplo, buscando un sistema de dinero reemplazar, procesos empresariales con el siguiente diagrama podría electrónico, y se basaron en el sólidos que especifiquen cómo representarse un proceso de negocio proveedor de tecnología para entender simple para la inducción de nuevos se debe operar un servicio. lo que se requería. Como se trataba corresponsales6: Desafortunadamente, sigue siendo de un nuevo tipo de servicio, no se disponía de soluciones técnicas, pero común que los proveedores de Figura 4: Los procesos de negocio cubren la tarea de extremo a extremo, no sólo las instrucciones para operar el sistema muchos proveedores, principalmente Servicios Financieros Digitales no Servicios Financieros Digitales proveedores de software con sistemas exitosos de transferencia de dinero COMIENZO FIN o transferencia de tiempo aire, SÍ estaban dispuestos a llenar el vacío. Ventas recibe el formulario de Informar al Enviar Contactar al La mayoría de ellos había adquirido solicitud y los documentos a la corresponsal ¿ÉXITO? NO corresponsal del estado y los una buena comprensión de la documentos del corresponsal administración de para resolver próximos pasos ventas experiencia del usuario, tanto de VENTAS clientes como de corresponsales, pero no tenían acceso o comprensión del NO Reenviar al Administrador Crear corresponsal Revisar equipo de Organizar sistema de back office y las tareas que todos los ¿ÉXITO? SÍ cumplimiento de ventas informado en el sistema capacitación los operadores de dinero electrónico documentos recibidos para la sobre el tema Asignar elementos del investigación POS corresponsal tenían que realizar. Como resultado, ADMINISTRADOR DE VENTAS muchos sistemas tempranos parecían buenos desde una perspectiva de NO usuario, pero no proporcionaban Proceso de verificación de ¿ÉXITO? SÍ la funcionalidad o los informes CONFORMIDAD verificaciones necesarios para operar los servicios de manera eficiente. La industria de Este ejemplo es para propósitos ilustrativos y no es Servicios Financieros Digitales está 6 una descripción completa de todo el proceso de negocio llena de historias de proveedores descrito. de servicios decepcionados con la SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 31 02_DEFINICIONES El diagrama describe todas las Dado que el nuevo propietario de pedía a los clientes que introdujeran tareas necesarias para integrar ese número no configuró la cuenta su número de cuenta de servicio al corresponsal, de las cuales la de Servicios Financieros Digitales, público como referencia. introducción de sus datos en el no se conoce el código PIN y no se sistema Servicios Financieros puede utilizar esa cuenta; ni pueden Los números de cuenta que aparecían Digitales (resaltado en rojo) es sólo documentar una nueva cuenta de en las facturas de servicios públicos una parte. En ausencia de procesos Servicios Financieros Digitales con tenían un espacio en el medio, pero en documentados, es fácil para los ese número. Los MNO reciclan el sistema de la compañía eléctrica no operadores olvidar algunos pasos muchos miles de números cada mes, había dicho espacio. A los clientes que en el proceso, particularmente las pero debido a que se trata de un incluían el espacio cuando pagaban excepciones donde las cosas van mal, problema que sólo se hace evidente sus facturas se les deducía el dinero por ejemplo, si el corresponsal falla mucho después del lanzamiento de de su billetera, pero la referencia no los Servicios Financieros Digitales, podía ser reconocida por el sistema en algunos chequeos de visto bueno a menudo se pasan por alto los de servicios públicos y sus cuentas o si no se recibe la documentación procesos para separar cuentas de quedaban marcadas como vencidas, completa. Esto puede dar lugar a Servicios Financieros Digitales de que aplicaciones de corresponsales y muchas se cortaban. El equipo de números reciclados. operaciones de Servicios Financieros potencialmente buenas sufran retrasos, o que minoristas inapropiados sean Además, el equipo de operaciones Digitales tuvo que encontrar aceptados como corresponsales. debe ser capaz de responder rápidamente una forma para rápidamente a nuevos problemas identificar cuentas de clientes con En ausencia de procesos de negocios imprevistos. Por ejemplo, hubo un este problema, revertir el pago para integrales, algunas tareas esenciales problema importante cuando los devolver el dinero a las billeteras de de operación pueden ser pasadas pagos de facturas se introdujeron los clientes y, seguidamente, ponerse por alto. Los procesos que faltan por primera vez en un mercado, ya en contacto con el cliente y explicarle a menudo son excepciones cuando que durante el pago de la factura se cómo realizar el pago correctamente. las cosas no van de acuerdo al plan. Un buen ejemplo es el reciclado de tarjetas SIM. Debido a que hay un número limitado de números de teléfono que pueden ser utilizados por cualquier MNO, si un número no se utiliza durante un período prolongado, RIESGO OPERACIONAL - PREGUNTAS CLAVE por lo general seis meses, la tarjeta ¿Tiene una Junta Directiva independiente y un departamento de auditoría interna? • SIM con ese número se desconecta, • ¿Existe un manual de operaciones que detalle todos los procesos de negocio, que sea y el número es reciclado y se utiliza revisado y actualizado de manera habitual? en una nueva tarjeta SIM. Si no hay • ¿Se identifican procesos de negocios críticos y se evalúan los controles pertinentes? un proceso para separar la cuenta de Servicios Financieros Digitales de • ¿Existe una adecuada separación de funciones? ese número de teléfono, entonces la • ¿Existe un proceso diario de conciliación entre el banco y las cuentas de dinero electrónico nueva tarjeta SIM ya tiene una cuenta para minimizar los errores y detectar el fraude? Servicios Financieros Digitales viva • ¿Existen auditorías periódicas, rigurosas y adecuadas, tanto internas, como auditorías asociada con su número de teléfono. externas independientes? 32 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 4. Riesgo Tecnológico El riesgo tecnológico tiene varias implicaciones para los proveedores. Con la incapacidad ¿Puedo medir el de realizar transacciones, tanto los corresponsales como los clientes pueden perder la confianza en el producto si no pueden acceder a sus fondos. Esto puede crear riesgos nivel de servicio reputacionales y pérdidas financieras a medida que los clientes y corresponsales se desde una vuelven inactivos y la presión competitiva les proporciona opciones alternativas. Los fallos tecnológicos también dejan oportunidades para que los estafadores aprovechen perspectiva de las insuficiencias del sistema para realizar transacciones no autorizadas que resulten en robo de fondos. Vea la sección de Riesgo de Fraude abajo para descripciones completas de usuario final? los tipos de fraude que podrían ocurrir. Riesgo Tecnológico se refiere al fracaso tecnológico que conduce a la incapacidad para realizar transacciones. Está estrechamente vinculado al riesgo operacional. Las transacciones dentro de un Servicio Financiero Digital viajan a través de varios sistemas y dispositivos de comunicaciones para iniciar la transacción, transferir fondos y enviar confirmaciones a los clientes. El proceso puede estar expuesto a averías potenciales de una serie de fuentes, por ejemplo, hackeo, fallas de energía, fallas del sistema, etc., y cualquier ruptura en esta cadena conduce a la incapacidad para completar una transacción. Si el fallo tecnológico es persistente y severo, el regulador puede intervenir e imponer sanciones o revocar la licencia, o los clientes pueden abandonar el servicio. Figura 5: A medida que los sistemas Servicios Financieros Digitales se vuelven más conectados, el número de puntos potenciales de fallas aumenta CUENTAS CAJEROS SISTEMAS BANCARIOS atm PLATAFORMA DE Clientes PUERTA DE ENLACE USSD TRANSACCIÓN finales ADMINISTRACIÓN GOBERNANZA OTROS SISTEMAS SEGURIDAD SMSC de SFD DE DATOS PUERTA DE ENLACE DE Corresponsal INTERNET PASARELAS DE PAGO (VOZ) IVR BASES DE DATOS FACTURACIÓN SISTEMA DE COMERCIANTES, POSPAGO REPORTES FACTURADORES, EMPRESAS DE SERVICIOS PÚBLICOS Comerciante FACTURACIÓN APLICACIONES POSPAGO EMPRESARIALES SISTEMA DE SISTEMA MNO CONMUTADORES DE PAGO SFD SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 33 02_DEFINICIONES Al determinar los niveles de servicio los cortes de servicio pueden minimizarse El desempeño del sistema es influenciado proporcionados por la tecnología, la empleando buenas prácticas rigurosas. fuertemente por la escala de las operaciones, mayoría de los departamentos técnicos se y un KPI de uso común es el número de centran en la calidad y disponibilidad de La identificación de posibles fallos de transacciones por segundo que se pueden la tecnología de la que son responsables. software comienza con la identificación de manejar. A medida que el negocio crece, es Para Servicios Financieros Digitales todos los sistemas involucrados en cada importante que haya reuniones regulares complejos de múltiples componentes, tipo de transacción. Existen varios sistemas entre los equipos técnicos y comerciales esto puede conducir a una mentalidad y tipos de software que pueden estar para asegurar que haya suficiente de silo en la que cada equipo intenta involucrados en una implementación de planeación de capacidad para hacer frente pasar la culpa de un fallo del sistema a Servicios Financieros Digitales, incluyendo al crecimiento y para apoyar cualquier otro socio. Por lo tanto, es importante sistemas de core bancario , sistemas de campaña de marketing que podría causar contar con procesos claros y acordados de pagos, conmutadores, sistemas de gestión un aumento en la demanda. diagnóstico, resolución y escalamiento de de corresponsales, aplicaciones POS/ATM, fallas. Otro riesgo potencial en la división aplicaciones móviles, sistemas biométricos Fallos de Hardware: Los fallos de de responsabilidades es que cada equipo y software de administración de relaciones hardware suponen la incapacidad de técnico mide la calidad de servicio de con clientes. Una vez identificado, se realizar transacciones debido a fallos de su parte del sistema solamente y puede puede llevar a cabo un análisis de riesgo dispositivos físicos incluyendo cajeros ser difícil obtener una imagen completa para comprender las vulnerabilidades automáticos, dispositivos POS y teléfonos de la experiencia del usuario final. En el potenciales de los propios sistemas de móviles, así como servidores de back- momento de firmar acuerdos de alianzas las instituciones y sus interacciones con office y componentes de redes. Además, para proporcionar Servicios Financieros otros sistemas. En la medida de lo posible, algunos canales pueden depender de Digitales, es esencial determinar de los proveedores también deben entender dispositivos periféricos como lectores antemano los KPIs de la tecnología como los puntos de presión en los sistemas de biométricos, impresoras o lectores de Transacciones Por Segundo o el tiempo en sus socios para asegurar que los socios tarjetas. Claramente, el mayor riesgo reside vivo del sistema, y asegurar que estos se puedan suministrar completamente los en los servidores que alojan las aplicaciones puedan medir en su totalidad. niveles de servicio requeridos. En cada de Servicios Financieros Digitales. capa, los proveedores deben tener un plan Los proveedores deben asegurarse que Fallo de Software: El potencial de consistente de capacitación, pruebas y tienen establecido un plan de continuidad de problemas de software es inherente a mantenimiento del software, con medidas negocio sólido. Esto debe incluir servidores cualquier sistema técnico. Existen muchas proactivas para prevenir y detectar de respaldo que se puedan utilizar fácilmente causas potenciales de fallos de software, posibles problemas que pudieran afectar en caso de fallo, idealmente a través de como errores, cambios en sistemas al servicio. Además, los proveedores deben un servicio 'espejo' que garantice que los aparentemente no relacionados, tanto asegurarse que tienen un acuerdo de nivel servidores en vivo se replican en tiempo internos como en sistemas de socios, y de servicio con sus proveedores de servicios real para que, en caso de fallo, el respaldo malos procedimientos de actualización y proveedores de tecnología, que detalle no esté disponible inmediatamente. Los y mantenimiento. Si los sistemas no sólo los tiempos de respuesta y resolución de cortes de energía pueden ser un problema reciben el mantenimiento adecuado y no problemas, sino que confirme las funciones en muchos mercados emergentes, por lo están disponibles para que los clientes, y responsabilidades de cada parte. que se necesitan suministros de reserva comerciantes y corresponsales puedan de energía. Éstos pueden ser generadores acceder a sus fondos y realizar transacciones Normalmente, para los sistemas críticos en establecimientos grandes como las cuando sea necesario, puede resultar en de negocios, el proveedor de Servicios oficinas del proveedor, o tan simple como una pérdida de negocio para el proveedor Financieros Digitales debe especificar la cargadores solares para los dispositivos POS. de Servicios Financieros Digitales y en disponibilidad del sistema y otros KPI para Además, hay una necesidad de sistemas de daños reputacionales significativos. No es garantizar la calidad del servicio y luego recuperación de desastres que se puedan realista imaginar que algún sistema pueda trabajar para aplicar estos estándares con poner en línea con poca anticipación tener disponibilidad del cien por cien, pero todas las partes involucradas en el canal. en caso de un fallo catastrófico de los 34 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO servidores principales, como incendios, acuerdos de nivel de servicio, sino por con SIM dual para que sus corresponsales inundaciones o un ataque terrorista. garantías del fabricante. Al seleccionar pudieran cambiar de tarjeta SIM cuando un los dispositivos del corresponsal, deben operador estaba inactivo. Muchos países tienen una regulación que existir acuerdos legales relacionados dicta la distancia mínima entre el sitio con el mantenimiento, la reparación y el Retrasos de Transacciones: Los retrasos principal y el del sistema de recuperación reemplazo del dispositivo, incluidos los en las transacciones pueden ser causados de desastres, y la duración máxima de la pasivos, los tiempos y los costos, así como por la capacidad insuficiente de la transición antes que el servicio esté de los índices normales de fallos previstos para tecnología para hacer frente a la demanda, nuevo disponible. los dispositivos. Es importante tener en causando colas en el sistema. Hay múltiples cuenta que el fallo de hardware puede ser sistemas interconectados involucrados en El inevitable desgaste requiere un causado por una falla del propio dispositivo, Servicios Financieros Digitales y un daño en mantenimiento y actualización periódicos o una falla de su conexión al software de cualquier punto de la cadena podría hacer del hardware. Muchas compañías back-end. Es importante que el proveedor que una transacción se retrase, a menudo ahora operan sistemas en la nube y pueda diagnosticar rápidamente la causa dejando al cliente y al corresponsal sin saber asumen que esto asegura un sistema fundamental del fallo del hardware con el si la transacción se ha completado o no. distribuido constantemente mantenido fin de conocer el tipo de solución que se Esto puede incluir demoras en la recepción y actualizado en el cual la capacidad aplicará para mantener el servicio. de un SMS de confirmación al dispositivo aumenta y la recuperación de desastres del cliente. Las filas de transacciones está garantizada. Estas suposiciones Error de conectividad de red: El fallo del deben ser aclaradas en el contrato de también pueden tener consecuencias más hardware también incluye problemas de hosting y reconfirmadas regularmente. significativas, como el fallo del sistema conectividad, que siguen siendo un desafío Sin embargo, el uso de la nube presenta para procesar las transacciones o dejarlas importante en los mercados en desarrollo, otros riesgos potenciales. Los servicios colgadas indefinidamente. particularmente en las zonas rurales. basados en la nube dependen de enlaces La cobertura intermitente, la disponibilidad Repetición de Transacciones: Los de alta calidad a Internet, y el proveedor insuficiente y el tiempo de inactividad operadores móviles utilizan patrones de debe utilizar un mínimo de dos servicios de la red inhiben las transacciones y reintento de transacción, que reenvían independientes de Internet en el país con pueden resultar en pérdida de negocios. automáticamente las solicitudes de capacidad y disponibilidad suficientes en La conectividad comienza con las redes transacción si no se recibe una confirmación diferentes rutas de Internet. Otro riesgo internas del proveedor y se extiende a la de los servicios en la nube es la seguridad; inmediata. Estas repeticiones conllevan infraestructura de comunicaciones que los servidores basados en la nube hacen el riesgo que el usuario inicie solicitudes se conecta a terceros involucrados en la que el proveedor de Servicios Financieros de transacción duplicadas porque no se oferta de canales, y al cliente. Digitales dependa del proveedor de la nube da cuenta que la transacción tuvo éxito para asegurarse que existan las medidas Si las redes están inactivas, el usuario no la primera vez hasta después de realizar de seguridad adecuadas, y para asegurarse podrá iniciar una transacción. Si se trata varios intentos. También existe el riesgo que este es realmente el caso, el proveedor de un problema persistente, dará lugar que la red cree varios mensajes basados en Servicios Financieros Digitales podría tener a un riesgo reputacional, ya que afecta la un solo mensaje del usuario. que realizar una auditoría de los sitios y experiencia del cliente cuando esperan largos periodos de tiempo para que las Pérdida de Datos: La protección de datos protocolos de hosting. redes vuelvan a conectarse. Dado que los se debe incluir en los planes de continuidad El hardware del corresponsal puede ser canales de voz y SMS son relativamente de negocio de los proveedores para suministrado directamente por el proveedor más estables y tienen una mayor asegurar que los datos de los clientes no se de Servicios Financieros Digitales, o puede disponibilidad que las redes de datos, pierdan o se vean comprometidos por robo, ser adquirido de forma independiente muchos proveedores optan por utilizar pérdida, negligencia o prácticas inseguras. por el corresponsal. Normalmente, los esos canales en lugar de datos. En un Los datos del cliente se deben almacenar dispositivos no están cubiertos por ejemplo, una IMF adquirió dispositivos POS externamente con copias de seguridad. SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 35 02_DEFINICIONES Ataques Cibernéticos: Los ataques para ellos, son cada vez más sofisticadas. en toda la gama de actividades y activos cibernéticos son amenazas a la integridad Las partes internas, igualmente, pueden de la empresa, independientemente del cliente y datos transaccionales de un representar amenazas significativas. del tamaño de la empresa o del modelo proveedor, así como ataques potenciales de de negocios. espionaje corporativo para obtener acceso a Los ataques cibernéticos se llevan a cabo • Los controles técnicos, un componente procesos internos y estrategias tecnológicas a menudo en cuatro etapas: infiltración, central en el programa de ciberseguridad por medio de la piratería informática cuando el atacante logra el primer acceso; de una empresa, dependen mucho de o el malware. Los servicios financieros propagación, donde el atacante expande el situaciones individuales. fueron el segundo sector más atacado acceso a través de puertas traseras o con en 20157, después de servicios de salud. • Las instituciones deben desarrollar, minería de contraseñas; agregación, donde La introducción de Servicios Financieros el atacante recopila registros y datos; y implementar y probar planes de Digitales proporciona a los hackers exfiltración cuando se exportan los datos. respuesta a incidentes. Los elementos potenciales puntos de acceso adicionales en La mayoría de las defensas se centran en clave de dichos planes incluyen la los que pueden atacar sistemas y datos, y la etapa de infiltración, pero como los contención y mitigación, erradicación y pueden crear nuevos riesgos. atacantes suelen ser los más expertos en recuperación, investigación, notificación esta área, la defensa exitosa debe incluirse y comunicación con el cliente. Hay una variedad de factores que están en todas las etapas. Para manejar el riesgo • Las instituciones normalmente utilizan impulsando la exposición a las amenazas de ataques cibernéticos, los proveedores proveedores para servicios que de seguridad cibernética. La interacción pueden trabajar con auditores para proporcionan al proveedor acceso a entre los avances tecnológicos, los desarrollar modelos de amenazas donde información sensible de la empresa o del cambios en los modelos de negocios se trazan los puntos de incumplimiento y cliente, o acceso a sistemas corporativos. y los cambios en la forma en que las empresas y sus clientes utilizan la se desarrollan estrategias de mitigación. Deben gestionar las exposiciones al tecnología, crean vulnerabilidades en los Además, los proveedores pueden riesgo cibernético que surgen de estas sistemas de tecnología de la información. protegerse ellos mismos mediante el uso relaciones mediante el ejercicio de la Por ejemplo, las actividades basadas en la de servicios en la nube que probablemente debida diligencia a lo largo del ciclo de web pueden crear oportunidades para que sean más seguros que los de propiedad, o vida de las relaciones con los proveedores. los atacantes interrumpan o tengan acceso comprar un seguro de ataque cibernético • El personal bien formado representa a información corporativa y de clientes. para protegerse de pérdidas financieras y una defensa importante contra los Del mismo modo, los empleados y los de pérdida de datos, o de gastos legales. ciberataques. Incluso el personal bien clientes están utilizando dispositivos intencionado puede convertirse en un móviles para acceder a la información de Las instituciones deben desarrollar sus vector inadvertido para los ciberataques las instituciones financieras, lo que crea capacidades cibernéticas teniendo en exitosos, por ejemplo a través de la una variedad de nuevas vías de ataque. cuenta los siguientes puntos: descarga involuntaria de malware. El ecosistema de los actores de amenaza • Es esencial contar con un sólido marco Una formación eficaz ayuda a reducir incluye a los ciberdelincuentes, cuyo objetivo de gobernanza con un fuerte liderazgo. la probabilidad que dichos ataques puede ser robar dinero o información La participación de la Junta Directiva y la tengan éxito. para obtener ganancias comerciales; naciones que pueden adquirir información participación también a nivel directivo en • Las instituciones deben aprovechar las para avanzar en objetivos nacionales; y temas de ciberseguridad, es crítico para oportunidades de compartir inteligencia hacktivistas cuyos objetivos pueden ser el éxito de los programas de seguridad para protegerse de las amenazas perturbar y avergonzar a una entidad. Los cibernética. cibernéticas. Hay oportunidades atacantes, y las herramientas disponibles • Las evaluaciones de riesgos sirven como significativas de participar en la herramientas fundamentales para que autodefensa colaborativa a través de las instituciones comprendan los riesgos este intercambio con otras instituciones 7 Auditing Cyber Security in an Unsecured World, The Institute of Internal Auditors, 2015 de seguridad cibernética que enfrentan financieras y reguladores. 36 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO PLO M Registro de Riesgo 4 EJE Riesgo tecnológico: falla de conectividad de red Ejemplo de Proveedor Ya sea un corresponsal de servicios bancarios que utiliza la tecnología móvil como su principal medio de transacción o un MNO que ofrece una billetera de dinero electrónico de Servicios Financieros Digitales: Categoría del riesgo: Riesgo Tecnológico Categoría Secundaria: Riesgo Reputacional Nombre: Error de conectividad de red Descripción El cliente no puede realizar transacciones a través de una aplicación móvil o donde un corresponsal debido a: • No está disponible el servicio de teléfonos móviles • El sistema del proveedor está experimentando tiempo de inactividad temporal del sistema Dueño: Jefe de TI Causa: Mal desempeño de la tecnología del proveedor, capacidad insuficiente en el sistema de Servicios Financieros Digitales, servicio MNO inadecuado Efecto: Las transacciones no se pueden realizar, lo que resulta en la pérdida de ingresos y la mala experiencia del cliente Probabilidad: 2 de 5 Moderadamente baja, basada en la selección diligente de proveedores y acuerdos de nivel de servicio Impacto: 3 de 5 Moderado en el corto plazo ya que es probable que el cliente intente de nuevo hasta que tenga éxito. Sin embargo, los problemas persistentes conducirán a pérdidas reputacionales y financieras Estrategia de Riesgo: Tratar Estrategia de Tratamiento: • Probar la capacidad del operador móvil para entregar mensajes en el nivel de servicio requerido, de forma periódica • Probar periódicamente el tiempo que toma el proceso de transacción de punto a punto y la tasa de éxito • Instale monitores de desempeño para mostrar el tráfico del sistema y haga una alerta si se acerca al pico de TPS • Todas las transacciones están definidas con límites claros de terminación, permitiendo así procedimientos claros de reversiones en caso de transacciones incompletas • Acuerdos de nivel de servicio con proveedores de sistemas que tienen estrategias detalladas para su cumplimiento • Actualizaciones del sistema • Utilizar el POS habilitado con USSD como apoyo a datos móviles (3G) para reducir la dependencia en la conectividad de datos Respuesta Táctica de • Aplicar sanciones de acuerdos de nivel de servicio con proveedores Tratamiento: • Desarrollar modos de transacciones sin conexión Indicador Clave de Riesgo: • Tasa de éxito de transacciones (de las solicitudes de transacción que llegan al sistema) • Capacidad suficiente para hacer frente a la tasa máxima de transacciones • Llamadas a servicio al cliente sobre transacciones fallidas Estado actual: Ocurrido y controlado SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 37 02_DEFINICIONES Cuadro 4 Estudios de casos de Riesgo Tecnológico A) Cuando se lanzó M-PESA en La tecnología estaba batallando para B) Fidelity es un banco de primer Kenia, se encargó un sistema a seguir el paso del enorme número piso en Ghana con cerca de un la medida a un desarrollador de de transacciones imprevistas que se millón de clientes, 80 sucursales, software. Existían pocas evidencias presentaban. Se creó un grupo de 110 cajeros automáticos y 1000 concretas sobre las cuales basar la trabajo para encontrar maneras de corresponsales bancarios. Para hacer proyección de volumen que a su aumentar la capacidad rápidamente, frente a la exclusión financiera del 70 vez proporcionaría la base para los pero aun así, los clientes comenzaron por ciento de los ghaneses, el banco requisitos de capacidad del sistema. a experimentar retrasos en las estableció una Unidad de Inclusión Se pensó que una proyección optimista pero realista era que transacciones y caídas ocasionales Financiera para innovar con la para el final del primer año habría del sistema que requerían una banca de corresponsales en 2013. alrededor de un tercio de millón de intervención manual para procesar El producto estrella es la Smart clientes activos, cada uno haciendo las transacciones por parte de un Account [Cuenta Inteligente], un transacciones alrededor de tres veces equipo grande de representantes de producto en tarjeta de nivel básico que al mes. El sistema fue construido servicio al cliente. utiliza corresponsales para servicios con la capacidad para atender este básicos normalmente proporcionados requisito, más un margen de error Durante varios meses el equipo de en sucursales bancarias. razonable. Agregar capacidad para tecnología estuvo constantemente permitir el procesamiento de un haciendo esfuerzos para no avanzar, Para soportar el negocio de la Smart mayor número de transacciones, encontrando maneras de agregar Account, se adquirió un nuevo bases de datos más grandes para capacidad que quedaba llena sistema autónomo. La banca de mantener más registros de clientes y al momento que se desplegaba. corresponsales era un sector de transacciones, y toda la arquitectura Paralelamente, estaban construyendo negocios nuevo en ese momento con de soporte necesaria en caso de una soluciones a largo plazo para muchos proveedores de tecnología mayor demanda” sería muy costosa las limitaciones arquitectónicas creando nuevos sistemas, y pocos e injustificada, por lo que el sistema fue construido para satisfacer la intrínsecas. Aunque los problemas servicios tenían un historial probado. demanda esperada. Por supuesto, de capacidad eventualmente se Fidelity decidió probar, seleccionando el éxito de M-PESA fue más allá de resolvieron, fue significativo el una plataforma tecnológica adicional cualquier expectativa y a los tres costo incremental de hacer mejoras a su sistema de core bancario. El meses de su lanzamiento estaba claro constantes a una tecnología de despliegue de nuevas tecnologías que la proyección era demasiado baja. lanzamiento demasiado pequeña. siempre es fuente de riesgo. 38 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Como el negocio de corresponsales POS de los corresponsales empezaron corresponsales en los últimos años, era nuevo para Ghana y Fidelity a mostrar tasas de error de alrededor Fidelity está invirtiendo en mejorar Bank, le llevó tiempo evaluar las del 20 por ciento y se encontraron su plataforma tecnológica y mover necesidades totales del mercado y, problemas al conectar los sistemas de su banca de corresponsales y el como resultado, no pudo incorporar core bancario y los de corresponsales negocio de Smart Account a la misma desde el comienzo la flexibilidad de Smart Account), se obliga al equipo a concentrarse constantemente en plataforma del banco principal. que el sistema necesitaba para permitir cambios a medida que apagar incendios en lugar de desarrollar La tecnología puede ser una fuente avanzaba el proyecto. el negocio, especialmente a medida que el número de Smart Accounts importante de riesgo, especialmente “Uno tiene que investigar a fondo y aumentaba (hasta aproximadamente cuando uno es un pionero, como en el anticipar sus necesidades, y hacer y 300.000). caso de Fidelity Bank. Hoy, con más de rehacer. De lo contrario, el proveedor dos años de experiencia y aún el único Aunque la Smart Account y el banco comercial con corresponsales puede darle una solución para hoy y canal de banca de corresponsales no para mañana”. bancarios en Ghana, Fidelity se muestra han crecido exponencialmente ~Dr. William Derban desde su creación, las metas altas optimista} que su riesgo tecnológico establecidas por Fidelity Bank aún se ha reducido considerablemente a La Smart Account se lanzó en julio de no se han alcanzado. Con mayores medida que mejora su plataforma 2013 con expectativas muy altas. Al avances en los sistemas de gestión de tecnológica actual. final de los primeros seis meses, Fidelity había abierto más de 55.000 cuentas. El número de corresponsales creció rápidamente, así como el volumen de transacciones. Sin embargo, a medida que el número de transacciones creció, Fidelity comenzó a experimentar RIESGO TECNOLÓGICO - PREGUNTAS CLAVE una serie de desafíos. Algunos se • ¿Tengo acuerdos de nivel de servicio con el proveedor de mi sistema para asegurar el relacionaban con el hecho que se tiempo de disponibilidad del software? trataba de un nuevo servicio en el país, • ¿Tengo acuerdos establecidos con mis socios de nivel de servicio, así como procedimientos y el personal y los corresponsales no de diagnóstico y reparación de fallos? tenían otros ejemplos de corresponsales • ¿Puedo medir el nivel de servicio desde una perspectiva de usuario final? bancarios para compararse o aprender. • ¿Mi software se está comunicando adecuadamente con los dispositivos para minimizar En segundo lugar, el sistema técnico los fallos de las transacciones? parecía inflexible e incapaz de hacer frente a las crecientes exigencias de • ¿Los proveedores y vendedores son eficaces y adecuados en sus protocolos de seguridad un mercado en rápida evolución. y enfoques de gestión de riesgo? El tiempo de inactividad no planificado • ¿Se restringe el acceso a los activos de TI corporativos y se otorga solo con base en un ha mejorado significativamente, marco de acceso basado en roles establecidos? pero sigue siendo un gran problema. • ¿Tengo algún mecanismo establecido para prevenir la pérdida o fuga de información Junto con los índices inaceptables de confidencial (información confidencial, propiedad intelectual, información personal transacciones caídas (los dispositivos identificable) de la organización? SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 39 02_DEFINICIONES 5. Riesgo Financiero El riesgo financiero es uno de los riesgos de la tasa de interés cobrada a los clientes ¿Mis cuentas mayor impacto relacionados con Servicios Financieros Digitales. Si bien todos los debido a tasas inmodificables préstamos a largo plazo. En este caso, sobre fiduciarias están riesgos comentados en este documento la institución estaría pagando más intereses pueden tener pérdidas financieras directas adecuadamente o indirectas, existen riesgos específicos a los acreedores que lo que están ganando por prestar, creando pérdidas financieras diversificadas? relacionados con la administración financiera de un proveedor de Servicios significativas. Financieros Digitales como se describe a Riesgo cambiario: Las pérdidas sobre continuación. divisas pueden ser incurridas cuando se negocian divisas, o al tener un desajuste Riesgo de liquidez: El riesgo de liquidez en las monedas en las que se denominan es el riesgo de que la institución no pueda préstamos y depósitos. Los valores en cumplir con sus obligaciones de fondos de libros de las obligaciones de deuda pueden efectivo y se vuelva insolvente. Los patrones crecer sustancialmente por fluctuaciones transaccionales, tales como cantidades adversas en la moneda, resultando en promedio de depósito, flujos entrantes, pérdidas. El riesgo cambiario también salientes, y plazos, deben monitorearse puede ser un problema si los ingresos de de cerca después del lanzamiento de un la organización se generan en un país Servicios Financiero Digitale, ya que el diferente a donde se incurren sus costos. comportamiento del cliente puede verse afectado por tener acceso conveniente a Riesgo de concentración: El riesgo los fondos y esto puede cambiar el perfil de concentración se refiere a la activo/pasivo de la institución financiera. sobreexposición a una contraparte (crédito) o sector particular. Si hay una Riesgo crediticio: El riesgo crediticio es concentración de fondos en un banco el riesgo de que los clientes no paguen particular, la institución corre el riesgo de sus préstamos y no tengan suficientes una pérdida excesiva de fondos de clientes garantías o la institución no pueda cobrar. en caso que el banco se vuelva insolvente. En este caso, la institución sigue siendo La colocación de fondos en múltiples responsable ante sus titulares de depósitos bancos ayudará a mitigar este riesgo, y debe encontrar formas alternativas para aunque genera una carga administrativa repagarles en caso que los préstamos se adicional. Del mismo modo, la excesiva vuelvan incobrables. dependencia en un segmento de clientes Riesgo de tipo de interés: El riesgo de en particular puede arriesgar grandes que las tasas de interés sobre los fondos cantidades de ingresos si las preferencias prestados aumenten, mientras que, al de los clientes cambian de forma que se mismo tiempo, no se pueda aumentar retiren grandes cantidades de depósitos. 40 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO PLO M Registro de Riesgo 5 EJE Riesgo Financiero - Exposición Cambiaria Ejemplo de Proveedor Cualquier proveedor de Servicios Financieros Digitales que incurra en una alta proporción de sus costos en una moneda diferente a la que recibe ingresos. Por ejemplo, un Proveedor de Servicios de Pago que opera en varios de Servicios Financieros mercados desde una oficina central. Digitales: Categoría del riesgo: Riesgo Financiero Categoría Secundaria: Riesgo Estratégico Nombre: Riesgo Cambiario Descripción El riesgo de incurrir en pérdidas financieras debido a fluctuaciones en los tipos de cambio Dueño: Jefe de Finanzas Causa: Causas externas tales como el desempeño económico y la política monetaria de los gobiernos locales Efecto: Lleva a pérdidas reales o en libros si los pasivos están en moneda extranjera y esta se aprecia Probabilidad: 2 de 5 Probabilidad moderadamente baja debido a tipos de cambio estables en los últimos diez años Impacto: 4 de 5 Impacto moderadamente alto si la fluctuación es suficientemente severa Estrategia de Riesgo: Transferir Estrategia de Tratamiento: • Conseguir préstamos locales o préstamos extranjeros en moneda local en la mayor medida posible • Negociar contratos con proveedores y suministradores en la moneda de préstamos • Transferir el riesgo restante que no se pueda evitar Respuesta Táctica de • Compra de swaps de divisas para riesgos expuestos Tratamiento: Indicador Clave de Riesgo: • Tasa de cambio de divisas Estado actual: No ha ocurrido SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 41 02_DEFINICIONES Cuadro 5 Estudios de Caso de Riesgo Financiero Zoona es un proveedor independiente Se utiliza tecnología basada en de servicios financieros que la nube, reduciendo costos fijos ofrece servicios financieros en técnicos y permitiendo una rápida mostrador (OTC)a través de redes expansión cuando sea necesario. de corresponsales en Zambia y, De este modo, el nivel de personal es más recientemente, en Malawi. bajo, con alrededor del 60 por ciento Sus 1.400 corresponsales activos de la fuerza de trabajo basada en la primordialmente suministran servicios oficina de soporte y el resto en los de remesas locales a 1.3 millones de mercados locales. Sin embargo, el clientes individuales, con más del mayor costo para el negocio son los 90 por ciento de las transacciones costos relacionados con el personal. procedentes de su negocio establecido anteriormente en Zambia. Esta separación geográfica entre operaciones y mercados, significa Zoona cuenta con una oficina de que Zoona tiene un desajuste en soporte centralizada, que maneja monedas porque recibe ingresos en soporte técnico, atención al cliente y moneda local, pero tiene una gran ciertas otras funciones corporativas proporción de sus gastos en Rand para todas las entidades operativas. sudafricano y dólar de los EE.UU. Por lo tanto, sólo se necesita un Cuando los tipos de cambio estaban equipo relativamente pequeño en relativamente estables, esto no era un los países de operación para proveer problema. Sin embargo, la mayoría soporte en ventas, configuración de sus ingresos proviene actualmente y cualquier otra función operativa de Zambia, y el Kwacha bajó en que debe hacerse localmente. valor frente al Rand en casi un 60 Esta centralización tiene la intención por ciento a finales de 2015.8 de proporcionar economías de escala a medida que el negocio se expande hacia nuevos mercados. 8 (Gráfico Forex de http://fx-rate.net/ZAR/ZMK/) 42 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Tipo de cambio histórico Rand a Kwacha ZAR/ZMK Afortunadamente, el tipo de cambio ZK 950 parece estar volviendo a los niveles ZK 900 anteriores. Las fluctuaciones en ZK 850 monedas están obviamente fuera del ZK800 control de Zoona, pero el riesgo es ZK 750 tan alto que se necesita establecer ZK 700 pasos para mitigar este riesgo. ZK 650 Aparte de las técnicas normales ZK 600 de cobertura de tesorería, la ZK 559 administración está adoptando el ZK 500 enfoque de diversificación en varios 01/15 02/15 03/15 04/15 05/15 06/15 07/15 08/15 09/15 10/15 11/15 12/15 01/16 mercados diferentes, para ayudar a mitigar el impacto de los cambios en una moneda. RIESGO FINANCIERO - PREGUNTAS CLAVE • ¿Tengo suficiente financiación y caja para cumplir con las obligaciones, y amortiguar los flujos de efectivo inesperados? • ¿Tengo políticas de riesgo crediticio implementadas, incluyendo evaluaciones de riesgo crediticio y KPIs para monitoreo de cartera? • ¿Estoy controlando la edad de mi cartera en riesgo y provisionando reservas por incobrables según mis requisitos reglamentarios? • ¿Mi(s) cuenta(s) de fideicomiso está(n) adecuadamente diversificada(s) y está (n) cubierta(s) por un seguro de depósitos? • ¿Está cubierta mi moneda extranjera? • ¿Los procesos internos de back-office, las reconciliaciones y los controles están diseñados adecuadamente, verificados y monitoreados habitualmente? SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 43 02_DEFINICIONES 6. Riesgo Político El riesgo político es la posibilidad que decisiones políticas, acontecimientos o condiciones afecten significativamente la rentabilidad de un negocio o el valor esperado de una ¿Hay amenazas determinada acción económica. Las instituciones se enfrentan a riesgos políticos como políticas resultado, entre otras cosas, de desórdenes civiles, terrorismo, guerra, corrupción, crecimiento económico lento o en retroceso o condiciones económicas negativas tras previsibles? cambios en política fiscal o monetaria establecidos por el gobierno. Los eventos causados por el riesgo político tienen impacto en el riesgo operacional, en particular la interrupción del negocio, y deben ser incluidos en los planes de continuidad del negocio. Los riesgos políticos están fuera del control de las organizaciones y los clientes afectados por ellos, pero pueden tener un impacto grave en el negocio. Aunque no pueden evitarse, en algunos casos se pueden predecir, como en las elecciones conocidas, y las contingencias establecidas en caso que se materialicen los riesgos, como ocurrió con dos socios de IFC analizados en el Cuadro 6 abajo. 44 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO PLO M Registro de Riesgo 6 EJE Riesgo Político - interrupciones repentinas del sistema Ejemplo de Proveedor Cualquier proveedor de Servicios Financieros Digitales que como todos depende de corresponsales y tecnología de comunicaciones. de Servicios Financieros Digitales: Categoría del riesgo: Riesgo Político Categoría Secundaria: Riesgo reputacional Nombre: Incapacidad para acceder a la cuenta o realizar transacciones Descripción La violencia post-electoral, la agitación civil, guerra o actividad terrorista perturban las operaciones comerciales normales, cerrando el negocio directamente o cerrando una función esencial del socio, como la red móvil, o los minoristas que actúan como corresponsales Dueño: Jefe de Riesgo Causa: Inestabilidad política, elecciones, guerra, ataque terrorista y/o contingencia externa Efecto: Los clientes no pueden acceder a las cuentas debido a la pérdida de conectividad o la incapacidad de los corresponsales de operar como de costumbre Probabilidad: 1 de 5 Muy bajo, dada la historia o paz civil en el mercado local Impacto: 3 de 5 Impacto moderado basado en el potencial de interrupción del negocio Estrategia de Riesgo: Tolerar Estrategia de Tratamiento: • Desarrollar un plan de interrupción del servicio para corresponsales, personal y/ o sucursales Respuesta Táctica de • Aplicar un plan de interrupción del servicio para los corresponsales y personal Tratamiento: Indicador Clave de Riesgo: • PAR • Disponibilidad del servicio (tiempo de disponibilidad) • Actividad del corresponsal • Actividad del cliente Estado actual: No ha ocurrido SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 45 02_DEFINICIONES Cuadro 6 Estudios de Caso de Riesgo Político A) FINCA DRC es una institución En respuesta a las manifestaciones La red de telefonía móvil (voz) se de microfinanzas fundada en 2003 contra las prórrogas propuestas para restableció a los dos o tres días, que lanzó un servicio de banca el mandato presidencial en enero de y después de diez días se restableció de corresponsales en 2011 para 2015, el gobierno de la República internet para las empresas, incluidas expandir su huella más allá de sus 18 Democrática del Congo inhabilitó las instituciones financieras, pero el todos los servicios de internet, impacto se seguía sintiendo mucho sucursales. Sus 548 corresponsales voz y datos móviles. Los MNOs y tiempo después. Se espera que forman la mayor red de banca de proveedores de servicios de internet continúe la inestabilidad Política corresponsales en la República se quejaron de haber perdido Democrática del Congo, donde solo en la RDC, y es comprensible que millones de dólares en negocios el 4 por ciento de una población de FINCA esté muy preocupada por durante el cierre. Los dispositivos 75 millones tiene una cuenta con una esto, haciendo planes para minimizar POS de los corresponsales de institución financiera formal. FINCA el impacto al negocio. Los factores FINCA se volvieron inoperables y tiene ahora un cuarto de millón de los clientes no pudieron acceder a sus políticos siguen fuera de su control, cuentas. Como resultado, los clientes y las consecuencias de un período cuentas de clientes que pueden usarse no podían pagar las obligaciones prolongado sin conectividad de red para ahorros y préstamos. Más de la pendientes de créditos a FINCA. La podrían ser profundas. mitad de los negocios de FINCA se realizan a través de corresponsales calificación de la cartera en riesgo B) LAPO Microfinance Bank, de FINCA aumentó y no volvió a su que utilizan terminales POS es un banco de microfinanzas nivel anterior en los meses posteriores biométricas. Los detalles de la nigeriano que opera en 26 estados, a la interrupción. Puesto que el PAR transacción se comunican desde el es un indicador clave de desempeño actualmente suministrando servicios dispositivo POS del corresponsal para evaluar la calidad de la cartera, de microfinanzas a 1.3 millones de mediante una red de datos móviles los pocos días de interrupción a clientes. Se encuentra en el proceso a un conmutador que enlaza con los principios de 2015 llevaron a un de crear un servicio de banca de servidores de FINCA a través de una desempeño negativo a largo plazo y corresponsales para complementar conexión segura a Internet. a pérdidas financieras significativas. sus sucursales regionales. 46 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO LAPO tiene activos significativos tiene un impacto en la calidad hacer en caso de estar cerca de una en el noreste de Nigeria donde han de los activos crediticios, lo que situación de terrorismo. El modelo habido varios ataques terroristas afecta su capacidad de crecimiento de corresponsales es particularmente graves en los últimos años. de la cartera. vulnerable a las alteraciones políticas dado que LAPO depende de sus Esto ha causado que las sucursales LAPO lanzó su red de corresponsales relaciones con sus corresponsales se cierren con poco preavisoy en en 2016, y la interrupción causada para manejar la interrupción del un caso, el personal y los clientes por los grupos terroristas es probable negocio. Las técnicas de mitigación quedaron atrapados dentro de una que continúe. LAPO ha instaurado se deben integrar en los sistemas sucursal durante varias horas debido una serie de medidas para mitigar de capacitación y gestión de los a un incidente cercano. En términos los riesgos, incluyendo el suministro corresponsales. financieros, la incertidumbre causada de capacitación y un manual para el por los desórdenes civiles también personal que da orientación sobre qué RIESGO POLÍTICO - PREGUNTAS CLAVE • ¿Existen amenazas políticas previsibles o acontecimientos inminentes que puedan crear una amenaza política? De ser así, ¿estoy preparado? • ¿Tengo contingencias establecidas para manejar las implicaciones de un corte debido a eventos políticos? • ¿Cuál es mi plan de comunicación para los clientes, socios e inversionistas, en caso de riesgo político que afecte a mi negocio? SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 47 02_DEFINICIONES 7. Riesgo de Fraude El fraude es un riesgo importante para los Servicios Financieros Digitales y es causa ¿Hemos de mucha preocupación para los proveedores de Servicios Financieros Digitales. desarrollado El riesgo de fraude es multifacético y se relaciona con varios otros riesgos. El riesgo operacional y tecnológico puede causar riesgo de fraude, y el fraude puede conducir a controles un riesgo financiero. El fraude también es un factor importante de riesgo reputacional. detectores de Grandes casos de fraude en dinero electrónico se han reportado en los últimos años que han causado daños financieros de millones de dólares. Estos han sido debido al fraude de fraude? clientes, corresponsales y empleados al crear cuentas fantasma y realizar transacciones fraudulentas. Han sido robados fondos a proveedores, corresponsales y clientes. El fraude puede tener un gran impacto en la reputación de una institución y en la industria en su conjunto. Si los fondos son robados de cuentas de clientes por culpa del proveedor, los proveedores deben asegurarse que los fondos se devuelven a los clientes de inmediato. El proceso de prevención del fraude incluye el desarrollo de evaluaciones para entender dónde se puede detectar y prevenir el fraude, determinar el apetito de riesgo y establecer controles efectivos. En general, el fraude puede definirse como fraude mayor, que implica sumas muy grandes y generalmente se realiza contra la institución financiera, a menudo por parte del personal; y el fraude menor, que involucra a corresponsales o clientes como víctimas o autores y sumas menores de dinero. Hay muchas razones por las que las personas cometen fraude, pero un modelo común para juntar a una serie de éstas es El Triángulo del Fraude9. La premisa es que el fraude es probable que resulte de una combinación de tres factores generales: Presión (o motivación para cometer fraude); Oportunidad (típicamente debido a sistemas o procesos deficientes); y Racionalización (típicamente que no serán atrapados). Una de las maneras más eficaces para prevenir el fraude es reducir la oportunidad, al tener una excelente tecnología, y procedimientos de prevención y detección. Esto refuerza la necesidad de la gestión de riesgo de fraude. Los tipos más comunes de fraude relacionado con Servicios Financieros Digitales se definen en la publicación de Micro Save 'Fraud in Mobile Financial Services' [Fraude en los Servicios Financieros Móviles] (2012)10 y se resumen abajo según el tipo de fuente del fraude. 9 http://www.cimaglobal.com/Documents/ImportedDocuments/cid_techguide_fraud_risk_management_feb09.pdf.pdf 10 MicroSave Fraud in Mobile Financial Services, Mudiri, 2012 48 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Figura 6: El Triángulo del Fraude: marco para detectar situaciones de fraude de alto riesgo EL TRÍANGULO DEL FRAUDE Marco para detectar situaciones de fraude de alto riesgo TRATAMIENTO DEL RIESGO Fuerza financiera o emocional que empuja hacia el fraude OPORTUNIDAD FRAUDE RACIONALIZACIÓN Habilidad para ejecutar el Justificación personal de las plan sin ser atrapado acciones deshonestas Fraude de Clientes Fraude de Corresponsales CLIENTES DEFRAUDANDO CORRESPONSALES CORRESPONSALES DEFRAUDANDO CLIENTES • Moneda falsa: el riesgo de que los clientes le depositen moneda falsa a un corresponsal • Acceso no autorizado al PIN de los que no se dé cuenta de ello a cambio de valor electrónico y luego retiren moneda clientes: los corresponsales obtienen legítima de otro corresponsal. acceso al PIN del cliente y realizan • Acceso no autorizado a las herramientas transaccionales de los corresponsales: los transacciones fraudulentas. clientes entran a los dispositivos POS para realizar transacciones fraudulentas. • Imposición de cargos no autorizados a • Fraude en el canal web del corresponsal: Los clientes entran al canal web del corresponsal los clientes: los corresponsales cobran sin autorización y realizan transacciones fraudulentas. a los clientes cargos por transacciones • Fraude de comprobantes: se hacen comprobantes falsos para representar los muy superiores al precio cotizado y comprobantes genuinos de las ONG o del gobierno y se les entregan a los corresponsales conservan fraudulentamente los cargos a cambio de efectivo o valor electrónico. en lugar de remitir al proveedor. CLIENTES DEFRAUDANDO CLIENTES • Retiros divididos: los clientes solicitan un retiro al corresponsal, y el corresponsal • Acceso PIN no autorizado: los clientes consiguen los números PIN de otros clientes y divide el retiro en dos o más transacciones realizan transacciones no autorizadas. con el fin de recoger más comisiones por • Robo de identidad: los clientes usan identificaciones de otros clientes para acceder a las cuentas. retiros a los clientes. • Phishing, suplantación (spoofing) de SMS, SMS falsos: los clientes fraudulentos envían SMS falsos a los corresponsales, ya sea desde sus propias terminales o generados desde computadoras. El SMS parece genuino para el destinatario. SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 49 02_DEFINICIONES CORRESPONSALES DEFRAUDANDO FRAUDE POR PARTE DE A PROVEEDORES CORRESPONSALES MAESTROS • Usuarios individuales con múltiples • Depósitos divididos: los clientes • Retiros no autorizados de cuentas derechos: a los empleados se les otorga solicitan un depósito al corresponsal, de corresponsales: los corresponsales acceso a múltiples niveles dentro de y el corresponsal divide el depósito en maestro acceden de forma abusiva a los sistemas y éstos son abusados para dos o más transacciones con el fin de cuentas de corresponsales y retiran fondos. realizar transacciones fraudulentas. recoger más comisiones por depósitos • Contraseñas débiles/ PIN de transacción: • Deducciones ilegales de la comisión del proveedor. las contraseñas de los empleados son percibida por los corresponsales: los • Depósitos directos: los corresponsales pirateadas debido a la débil configuración corresponsales maestros cobran cargos depositan directamente fondos de un de contraseñas. adicionales repartiendo las comisiones cliente en la cuenta de otro cliente en lugar de depositar, y luego envían una con el corresponsal. Fraude Proveedor solicitud de transferencia de fondos para Fraude del Socio FRAUDE DE CALL CENTER Y SOPORTE evitar la tarifa. Comercial OPERATIVO • Vinculación de clientes con detalles falsos: los corresponsales vinculan clientes que no EMPLEADOS QUE DEFRAUDAN NEGOCIOS • Acceso no autorizado a los registros proporcionan información precisa de KYC. de pago de los clientes: los empleados • Los empleados vinculan los números abusan del acceso a los registros de los • Vinculación de clientes inexistentes: los móviles equivocados a las cuentas clientes. corresponsales vinculan cuentas fantasmas bancarias: los empleados vinculan su • Transferencia ilegal de fondos de cuentas para recibir la comisión de registro. propio móvil o el número de móvil de un de clientes: los empleados realizan • Vinculación de personas como empresas: verificador a una cuenta bancaria para transacciones fraudulentas. los corresponsales vinculan clientes tener acceso ilegal a la cuenta. • Cambios no autorizados de SIM: el como una cuenta de negocio con el fin de recibir una comisión mayor. • Reversión ilegal de los pagos de los personal del Call Center cambia los clientes a la empresa: los empleados números PIN del cliente. • Representación de estado de proveedor: un corresponsal no autorizado actúa revierten los pagos realizados por los • Acceso no autorizado al sistema con como un corresponsal autorizado para clientes y conservan el efectivo. los derechos de acceso de compañeros realizar transacciones fraudulentas. • Transferencias ilegales de cuentas de trabajo: el personal del call center ingresa a los derechos de acceso de los • Lavado de dinero en plataforma: los comerciales: los empleados realizan compañeros de trabajo para realizar corresponsales realizan, a sabiendas, transacciones fraudulentas, transfiriendo transacciones fraudulentas. transacciones declientes con fines de fondos de cuentas comerciales a cuentas lavado de dinero para recibir la comisión. fraudulentas. Fraude del Personal de Ventas y Canal EMPLEADOS DE CORRESPONSALES Fraude de la • Soborno: el equipo de ventas soborna DEFRAUDANDO A CORRESPONSALES Administración del Sistema a corresponsales y/o clientes, o solicita • Robo de fondos: empleado del • Abuso de contraseñas: los empleados pagos no autorizados. corresponsal roba fondos de caja al utilizan el acceso a contraseñas para • Acceso no autorizado a datos corresponsal. realizar transacciones fraudulentas. transaccionales de corresponsales: • Subregistro de saldos de caja: el • Creación de usuarios falsos/inexistentes: el personal de ventas utiliza datos de empleado del corresponsal falsea el los empleados crean cuentas falsas para corresponsales para realizar transacciones saldo en caja del corresponsal. realizar transacciones fraudulentas. fraudulentas. 50 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO PLO M Registro de Riesgo 7 EJE Riesgo de Fraude - depósitos divididos Ejemplo de Proveedor MNO que ofrece una billetera de dinero electrónico y utiliza corresponsales para depósitos por una comisión fija (o escalonada) de Servicios Financieros Digitales: Categoría del riesgo: Riesgo de Fraude Categoría Secundaria: Riesgo Gestión de corresponsales Nombre: Depósitos divididos Descripción Los corresponsales obligan a los clientes a dividir los depósitos en una serie de pequeñas transacciones, con el fin de generar mayores comisiones a costa del proveedor. Dueño: Jefe de Servicios Financieros Digitales Causa: Las estructuras de comisiones incentivan el mal comportamiento de los corresponsales. Efecto: El proveedor se ve obligado a pagar comisiones más altas al corresponsal de lo originalmente previsto, lo que puede afectar gravemente los ingresos netos. Probabilidad: 1 de 5 Moderadamente bajo basado en políticas y controles estrictos Impacto: 1 de 5 Muy bajo basado en que la pérdida potencial más grande es la tarifa de transacción Estrategia de Riesgo: Tolerar Estrategia de Tratamiento: • Utilizar las herramientas de análisis de datos para alertar sobre transacciones sospechosas, como transacciones múltiples a, o desde, la misma cuenta al mismo corresponsal dentro de un período de 24 horas. • Desarrollar un proceso exhaustivo de debida diligencia en la vinculación de corresponsales para minimizar la vinculación de corresponsales con mala reputación o aquellos más propensos a cometer fraude • Lleve a cabo actividades de comprador secreto para identificar corresponsales que tratan de dividir las transacciones, y practicar buena gestión de corresponsales mediante el uso de medidas correctivas • Educación de corresponsales mediante la inclusión de advertencias sobre el reparto de transacciones, en materiales de capacitación a corresponsales • Call center para que los clientes denuncien actividades sospechosas Respuesta Táctica de • Re-entrenamiento de corresponsales Tratamiento: • Aplicación de sanciones por mala administración de corresponsales y cierre de corresponsales Indicador Clave de Riesgo: • Informes de transacciones sospechosas Estado actual: Ocurrido y controlado SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 51 02_DEFINICIONES Cuadro 7 Estudios de Caso de Riesgo de Fraude Uno de los fraudes a gran escala más años varios empleados crearon para operar el complejo sistema denunciados experimentado por un dinero electrónico [e-money] de back office y por lo tanto no proveedor de Servicios Financieros falsificado que no estaba cubierto podían reconocer el comportamiento Digitales se debió a malas prácticas por dinero real, y se volvieron cada inapropiado de sus colegas, ni corregir operativas. El servicio fue uno de los vez más creativos en la búsqueda ningún problema. Posiblemente la primeros despliegues de Servicios de formas de cobrarlo, por ejemplo, peor omisión fue que no existían Financieros Digitales en África a través de corresponsales cómplices procedimientos para investigar los y se volvió exitoso muy pronto. o creando cuentas falsas de clientes. asuntos que se informaron, por lo que Debido a este éxito en un mercado Esto fue posible debido a la falta de las diversas actividades fraudulentas altamente competitivo, el foco de los controles operativos que permitieron duraron varios años antes de ser proveedores de servicios se centró a los autores abusar del sistema con descubiertas. en aumentar el número de clientes y impunidad. Los operadores podían transacciones y como consecuencia, crear sus propios logins [inicios de Hay muchos casos reportados de se prestó poca atención a las muchas sesión], con algunas personas que fraude de corresponsales a pequeña señales de advertencia de que no tenían múltiples identificaciones de escala. Uno de los más comunes es todo estaba bien. A los pocos meses dividir grandes transacciones en usuario para confundir cualquier del lanzamiento, los empleados muchas transacciones más pequeñas. rastro de auditoría. No hubo encargados de la conciliación diaria, Por ejemplo, retiros divididos tienen separación de funciones impuesta mientras se aseguraban que el dinero lugar cuando un cliente desea sacar para evitar que los operadores electrónico emitido coincidiera con procesaran transacciones falsas y no una cantidad específica y, en lugar el dinero de la cuenta bancaria, hubo supervisión de comportamiento de realizar una sola transacción, el reportaron grandes discrepancias. sospechoso para identificar fraudes corresponsal realiza múltiples retiros Estas advertencias fueron ignoradas potenciales. Los nuevos empleados menores y gana una cantidad fija en por la dirección. Durante casi dos no estaban formalmente capacitados cada uno. 52 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Esto es posible porque la mayoría de con el fin de ganar una comisión. los servicios pagan al corresponsal Una sofisticación agregada a esta una cantidad fija por retiro en lugar trampa ocurre ocasionalmente cuando de un porcentaje, lo que hace posible un corresponsal registra a un cliente ganar la misma comisión varias veces genuino y luego se ofrece a demostrar en lugar de una sola vez. cómo funciona el servicio haciendo un depósito, seguido inmediatamente Otra forma que usan los corresponsales de un retiro utilizando el teléfono del para estafar al proveedor es registrar a cliente. El corresponsal gana comisión clientes que acuden a recargar tiempo en el depósito y en el retiro pese a no aire en el servicio de dinero electrónico haber ocurrido un intercambio real sin su conocimiento o consentimiento de dinero. RIESGO DE FRAUDE - PREGUNTAS CLAVE • ¿Ha determinado su nivel de pérdidas financieras aceptables debido al fraude? • ¿Ha identificado las áreas clave para posibles riesgos de fraude de su institución? • ¿Ha desarrollado controles preventivos y de detección de fraude? • ¿Está monitoreando y revisando activamente su estrategia de administración de riesgos de fraude? SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 53 02_DEFINICIONES ¿Proporciona cercanía a un corresponsal para realizar transacciones. Sin embargo, suministrar una sucursal u otro corresponsal para cambiar efectivo y dinero electrónico formación el número adecuado de corresponsales [e-float]; o, para los corresponsales suficiente para para satisfacer la demanda de los clientes siempre es un reto para cualquier ocupados se establece una relación con un administrador de liquidez, como un corresponsales y Servicio Financiero Digital. Muy pocos súper-corresponsal, con quien pueden distribuidores? corresponsales pueden referirse a la falta de corresponsales cercanos o a la falta de acceder a rotación rápida y frecuente de efectivo y dinero electrónico. En algunos capacidad del corresponsal cercano para casos, el proveedor de servicios financieros satisfacer la demanda de los clientes, lo o un tercero puede ofrecer facilidades de que resulta en largas colas o problemas de liquidez en forma de una inyección inicial liquidez (ver más abajo). de capital o un sobregiro de corto plazo, Por otra parte, demasiados corresponsales para compensar los déficits de liquidez. Se también puede ser un riesgo porque los requieren suficientes procesos y facilidades clientes se diluyen entre ellos de modo de gestión de liquidez para asegurar que los corresponsales estén satisfechos y no 8. Riesgo de Gestión de que ningún corresponsal tiene la masa incomodos, y para que los clientes confíen Corresponsales crítica de clientes necesaria para ganar en que hay fondos inmediatamente suficiente comisión y compensar el costo La introducción de corresponsales para de la conciliación del dinero electrónico y disponibles a solicitud. actuar en nombre de los proveedores de el efectivoen caja. En estas circunstancias, servicios financieros presenta muchos Robo de Efectivo en Caja: Las operaciones los corresponsales a menudo no mantienen beneficios en términos de costo, alcance comerciales de un corresponsal pueden la conciliación y por lo tanto no pueden geográfico y escala, pero también quedar en riesgo por depósitos excesivos. atender a los clientes. El uso poco frecuente introduce nuevos riesgos. La gestión El dinero puede ser robado, y este es de los Servicios Financieros Digitales puede y supervisión de los corresponsales es especialmente el riesgo si el corresponsal hacer que los corresponsales olviden cómo imprescindible para un servicio que llega a desarrollar una reputación de tener ofrecer el servicio o que olviden su PIN y funcione bien y proteja a los clientes. El uso grandes cantidades de dinero en efectivo. no puedan servir a los clientes, incluso si de corresponsales puede provocar riesgos Los gestores de liquidez deben ofrecer tienen liquidez. operacionales, tecnológicos, legales, de servicios de recolección y entrega para Liquidez Insuficiente: Los corresponsales mitigar este riesgo. reputación y de fraude, que están cubiertos requieren suficiente dinero en efectivo en otras secciones. Además, existen riesgos y valor electrónico para administrar Errores de Cajero(a): Los corresponsales directamente asociados con la gestión de las solicitudes diarias de transacciones y sus cajeros(as) pueden cometer errores los corresponsales: de depósitos y retiros de los clientes. de digitación al introducir transacciones o Densidad de Corresponsales: Los clientes Para satisfacer estas necesidades, los errores de conteo en la gestión de efectivo, utilizan corresponsales para acceder a su corresponsales suelen utilizar conciliación que darán como resultado un fondo de caja servicio financiero móvil, especialmente de efectivo en caja en sus negocios sin conciliar y podrá sufrir pérdidas, ya sea para depósitos y retiros, y requieren existentes; viajan con frecuencia a para el corresponsal o para el cliente. 54 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Los errores de cajeros(as) también incluyen Digitales. En la capacitación sobre Una experiencia de usuario consistente el riesgo de perder o dañar los soportes en políticas y procedimientos se deben incluir es importante para reducir el riesgo de papel que pueden poner al corresponsal y mecanismos para que los corresponsales inactividad del cliente y riesgo reputacional. el proveedor en riesgo de incumplimiento manejen las quejas y consultas de los Debe haber suficiente suministro de de la normativa clientes, tales como la resolución de materiales de marketing para apoyar a los problemas básicos, la provisión de números clientes en su uso temprano del servicio. Entrenamiento Deficiente: La formación de call centers y el registro de quejas de los corresponsales suele estandarizarse Aunque en muchos mercados el regulador para retransmisión al administrador del y partir de las políticas y procedimientos del adopta un enfoque de no intervención para corresponsal. El mal manejo del servicio al proveedor, para cumplir con las directrices los corresponsales, algunos países pueden cliente por parte del corresponsal puede reglamentarias. Las políticas de capacitación requerir que el uso de corresponsales afectar a los proveedores a través de la incluyen el contenido de la capacitación, de un proveedor sea aprobado por los pérdida de clientes, cuentas inactivas y la frecuencia requerida y el momento reguladores y en algunos, cada corresponsal riesgo reputacional. de la capacitación del corresponsal, y las debe tener una licencia individual. cualificaciones requeridas del capacitador. Mala Selección de Corresponsales: Las La supervisión de los corresponsales La capacitación del corresponsal debe ser políticas de selección de corresponsales puede ser realizada por los reguladores; exhaustiva e incluir cursos de actualización suelen incluir criterios mínimos de sin embargo, incluso si ese es el caso, los para mitigar los riesgos de errores y idoneidad (basados en los requisitos proveedores también deben vigilar ellos proporcionar una experiencia de cliente reglamentarios y en la evaluación de la mismos. La supervisión de corresponsales consistente en todos los corresponsales. capacidad requerida por el proveedor). por parte de los proveedores, incluyendo Es esencial que las personas que atienden La mala selección de corresponsales análisis de datos y visitas personales, clientes corresponsales en las oficinas puede conducir a corresponsales inactivos, reduce las oportunidades de riesgo en estén capacitadas, no sólo el propietario riesgo reputacional, riesgo regulatorio y las operaciones de Servicios Financieros del servicio de corresponsalía, y esto pérdidas financieras para el proveedor. Digitales, tales como riesgo de fraude, puede ser un desafío. Es común que los Los corresponsales deben estar bien riesgo reputacional, riesgo regulatorio y corresponsales mal entrenados afirmen entrenados en los requisitos para mantener riesgo estratégico, además de mejorar la que el servicio no funciona, en lugar su estado de corresponsal, monitoreados probabilidad de éxito, aumentando las de admitir que no saben cómo usarlo. frecuentemente y deben cerrarse si no tasas de actividad de los corresponsales y Los clientes que tienen una mala experiencia cumplen con los criterios mínimos. de los clientes. inicial con un corresponsal, a menudo se desaniman de usar el servicio de nuevo, e Branding y Marketing Inadecuados: incluso se pueden desanimar por completo Los materiales de branding y marketing de usar Servicios Financieros Digitales. deben ser estandarizados e incluidos en las políticas y procedimientos de gestión de Mala Gestión del Servicio al Cliente: corresponsales. El proveedor de servicios Los corresponsales son la primera financieros debe proporcionar materiales línea de servicio al cliente para los de branding y marketing, puede incluir proveedores de Servicios Financieros señalización, folletos u otros subsidios. SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 55 02_DEFINICIONES PLO M Registro de Riesgo 8 EJE Riesgo de Gestión de Corresponsales - restricciones de liquidez Ejemplo de Proveedor Cualquier proveedor de Servicios Financieros Digitales que depende de los corresponsales que tengan un inventario de valor (o dinero electrónico) en sus cuentas para atender a los depósitos de los clientes. Por ejemplo, un MNO que de Servicios Financieros ofrece una billetera de dinero electrónico. Digitales: Categoría del riesgo: Riesgo Gestión de corresponsales Categoría Secundaria: Riesgo Reputacional Nombre: Falta de liquidez del corresponsal Descripción El cliente no puede realizar transacción de depósito porque el corresponsal no tiene suficiente dinero electrónico Dueño: Jefe de Servicios Financieros Digitales Causa: El corresponsal tiene restricciones de capital o elige no invertir en operaciones de Servicios Financieros Digitales o no tiene un mecanismo conveniente para acceder rápidamente al dinero electrónico Efecto: El cliente no puede hacer retiros porque no hay dinero electrónico disponible, lo que resulta en una mala experiencia del cliente Probabilidad: 3 de 5 Probabilidad moderada basada en la dificultad de controlar los niveles de liquidez del corresponsal Impacto: 2 de 5 Impacto moderadamente bajo basado en la capacidad de los clientes para volver más tarde o visitar otro corresponsal. Si el servicio está al comienzo del ciclo de vida, o el problema es persistente, el impacto será mayor. Estrategia de Riesgo: Tratar Estrategia de Tratamiento: • Uso de corresponsales y súper-corresponsales para la liquidez • Registros del call center • Proceso para alertar a los corresponsales cuando su fondo de dinero electrónico es bajo • Controlar el despliegue de los corresponsales para asegurar que haya suficiente cobertura geográfica y que cada corresponsal tenga suficientes clientes para soportar su negocio • Proceso para identificar cuando los corresponsales están constantemente incumpliendo sus requisitos de liquidez y procedimientos de mitigación • Pre-financiar los requerimientos de capital de los corresponsales a través de préstamos o alianzas con instituciones financieras • Compradores secretos y buena gestión de corresponsales Respuesta Táctica de • Aumentar los requerimientos de capital y la debida diligencia del corresponsal para la vinculación de nuevos corresponsales Tratamiento: • Reevaluar la estructura de comisiones para asegurar la existencia de suficientes incentivos. Indicador Clave de Riesgo: Saldos de dinero electrónico del corresponsal Estado actual: Ocurrido y mitigado 56 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Cuadro 8 Estudios de Caso de Riesgo de Corresponsales Según la GSMA,11 en promedio, el Financieros Digitales y desencantar que el destinatario del dinero tendrá 51,4 por ciento de los corresponsales a los clientes potenciales de usarlo, problemas para hacer el retiro, de Servicios Financieros Digitales especialmente si ocurre en un se abstienen de usar el servicio. están activos, o alrededor de la mitad primer acercamiento de los clientes Esto crea una espiral descendente, ya de los corresponsales vinculados al servicio. Las causas comunes de que los corresponsales no se molestan para ofrecer Servicios Financieros inactividad del corresponsal son, en mantener dinero electrónico Digitales a los clientes lo están que los corresponsales no saben disponible con regularidad si no haciendo. En algunos mercados, cómo utilizar el servicio, o que han están viendo la demanda por parte el nivel de inactividad es mucho olvidado sus códigos de PIN, o se del cliente, por lo que más clientes mayor. Esto significa que los clientes han quedado sin dinero electrónico. tienen una mala experiencia con pueden entrar donde un corresponsal corresponsales y dejan (o nunca de Servicios Financieros Digitales Los corresponsales debentener empiezan) de utilizar el Servicio totalmente dotado de material una reserva de dinero electrónico Financiero Digitale. Debido a esto, los promocional para realizar una disponible para enviar a los clientes proveedores de Servicios Financieros transacción, sólo para enterarse que que desean depositar dinero; Digitales exitosos tienen una gama el corresponsal no está operando. y necesitan efectivo para dar a los de estrategias para asegurar que sus Peor aún, en un intento por guardar clientes que desean hacer retiros. corresponsales tengan acceso a varias apariencias, estos corresponsales Incluso entre los corresponsales maneras de gestión de el fondo de a menudo dicen a los clientes que activos, los temas de liquidez son dinero electrónico y efectivo, tales no pueden ser atendidos porque el comunes, especialmente en las zonas como habilitar a agregadores y Servicio Financiero Digital no está rurales, lejos del banco más cercano, súper-operadores para ayudar a los funcionando hoy, cosa que socava donde se puede depositar dinero en corresponsales, y proporcionar pagos el servicio haciéndolo parecer poco efectivo para recargar el suministro a los comerciantes por Servicios confiable e inseguro. Una mala de dinero electrónico. Si los clientes Financieros Digitales para recargar experiencia de corresponsal puede no pueden acceder fácilmente al continuamente el saldo de dinero dañar la reputación de los Servicios dinero en sus cuentas, o si creen electrónico de los corresponsales. 11 GSMA state of the industry report: mobile money 2015. Los corresponsales inactivos se definen como los que no han atendido a un cliente en el mes anterior. RIESGO DE GESTIÓN DE CORRESPONSALES - PREGUNTAS CLAVE • ¿Tiene acuerdos concretos con corresponsales que cubran todos sus riesgos y cumplan con la regulación local? • ¿Tiene un programa integral de capacitación para corresponsales y distribuidores? • ¿Tiene una gama de planes de contingencia para facilitar la gestión de la liquidez? • ¿Dispone de procesos de retroalimentación para identificar y resolver problemas de desempeño del corresponsal? SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 57 02_DEFINICIONES las políticas y los precios, fraude, mala Para aquellos riesgos que no se pueden ¿Se evalúan los experiencia del cliente, falta de liquidez de evitar, se utiliza una estrategia de los corresponsales y precios altos. mitigación. Un componente clave de socios por su riesgo una estrategia de mitigación es una reputacional? La mejor manera de proteger al negocio contra el riesgo reputacional es teniendo estrategia de relaciones públicas que tiene contingencias para manejar la prensa una función de gestión de riesgo sólida negativa, ya sea reactiva o proactivamente, que permita prevenir aquellos riesgos que dependiendo de lo que la situación puedan afectar el servicio o la reputación requiera. La mayoría de las organizaciones de la compañía. La prevención de riesgos ya tienen una estrategia de relaciones incluye minimizar las oportunidades públicas para la limitación de daños, y el de fraude o los riesgos causados por negocio de Servicios Financieros Digitales la mala experiencia del cliente, tales debe ser incluido orientando al personal como transacciones fallidas, falta de clave sobre el servicio para que puedan conectividad y liquidez, o mala experiencia reaccionar rápidamente a las amenazas del corresponsal. La prevención del riesgo reputacionales. Como los Servicios 9. Riesgo Reputacional reputacional se puede lograr centrándose Financieros Digitales pueden ser bastante en la experiencia del cliente y en la El riesgo reputacional se refiere al riesgo complejos, es aconsejable también tener generación de confianza. La creación de de pérdidas por daños a la imagen de una persona designada del equipo de una buena experiencia del cliente se puede un proveedor, socio o parte interesada, SFD que interactúe con el gerente de lograr asegurando que pueden acceder a llevando a una reducción en la confianza relaciones públicas para asegurarse de sus fondos cuando y donde lo necesitan, de los clientes y corresponsales. Pueden estar entregando los mensajes correctos. así como crear vías para el recurso de los ocurrir pérdidas en la reducción de ingresos clientes, tales como animar y apoyar a los Si bien las ruedas de prensa son el primer paso y el valor para los accionistas, así como corresponsales para que suministren un para mitigar el riesgo reputacional, también en el aumento de los costos operativos o responsabilidad legal. El riesgo reputacional servicio al cliente de primer nivel, operando es aconsejable comunicarse directamente no es un riesgo directo, sino que es el call centers bien administrados a resolver las con corresponsales, comerciantes y resultado de otros problemas relacionados quejas y consultas de los clientes, y devolver cualquier otro aliado de Servicios Financieros con el riesgo, como muchos de los discutidos los fondos de los clientes en cualquier caso Digitales para tranquilizarlos respecto a lo largo de este manual. Sin embargo, por de fraude. El riesgo reputacional también es a la situación. Además, los servicios al su naturaleza, las consecuencias pueden un efecto del riesgo societario si los socios cliente deben ser orientados y se les deben ser graves y perdurables. Los riesgos que es no cumplen con las expectativas de los proporcionar declaraciones validadas que se más probable que puedan resultar en daños clientes. El proveedor debe estar preparado puedan comunicar a los clientes interesados. reputacionales son, un fallo tecnológico para abordar los problemas y mantener También es importante comunicarse que cause imposibilidad para realizar relaciones con los clientes, incluso si el internamente para evaluar al personal y transacciones, falta de transparencia en evento fue culpa del socio. tranquilizarlo. 58 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO PLO M Registro de Riesgo 9 EJE Riesgo Reputacional: fallas en las transacciones Ejemplo de Proveedor Por ejemplo, una IMF que ofrece banca de corresponsales de Servicios Financieros Digitales: Categoría del riesgo: Riesgo Reputacional Categoría Secundaria: Riesgo Tecnológico Nombre: Mala experiencia del cliente causada por el riesgo tecnológico Descripción Los corresponsales no pueden realizar una transacción cuando la solicita el cliente porque el servicio no está disponible durante varias horas Dueño: Jefe de Servicios Financieros Digitales Causa: El Servicios Financieros Digitales están sufriendo una interrupción técnica no planificada Efecto: El servicio adquiere la reputación de ser poco fiable. Los corresponsales se sienten avergonzados. Los clientes no están seguros de que puedan acceder a su dinero. Con el tiempo dejan de usar el servicio Probabilidad: 2 de 5 Moderadamente bajo debido a la fuerte mitigación del riesgo tecnológico Impacto: 2 de 5 Moderadamente bajo basado en la improbabilidad de perder a todos los clientes Estrategia de Riesgo: Tratamiento Estrategia de Tratamiento: • Prevención de un evento de riesgo que conduciría a riesgo reputacional • Fuerte SLA con el proveedor de tecnología, basado en tecnología robusta • Proceso de resolución de incidentes y matriz de escalados existente • Servicio de atención al cliente con recursos suficientes • Canales de sugerencias de clientes a través de corresponsales, call centers, redes sociales, correo electrónico, sucursales u otro canal Respuesta Táctica de • Plan de comunicaciones para alertar al negocio de la interrupción y luego para que los corresponsales y otros socios sean advertidos del problema y su tiempo de resolución esperado Tratamiento: • Procedimiento establecido para atender consultas de la prensa sobre el incidente • Atención al cliente es asesorada sobre cómo manejar las llamadas de clientes y corresponsales Indicador Clave de Riesgo: KPIs a corto y largo plazo (¿el incidente afectó el desempeño esperado del negocio?) Estado actual: No ha ocurrido SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 59 02_DEFINICIONES Cuadro 9 Estudios de Caso Riesgo Reputacional A) Un proveedor exitoso de SFD caída en las ventas. No se sabe cuál “Definitivamente el daño fue mucho descubrió que había sufrido un habría sido la caída en las ventas si se más allá del dinero electrónico en fraude de un monto significativo hubiera guardado silencio y el fraude nuestro país ... Fue más allá del MNO por parte de empleados corruptos. hubiera sido revelado por los medios y tocó todo el mercado del dinero La policía fue llamada y los sospechosos de comunicación en los titulares de las electrónico. El daño reputacional fue acusados. Debido a esto, parecía noticias. En resumen, el proveedor de múltiple”. improbable que pudiera silenciarlo Servicios Financieros Digitales ahora y evitar un escándalo. Después cree que debería haber guardado Durante un tiempo, el daño de un debate, se decidió hacerlo silencio y esperar lo mejor. reputacional se extendió más público en la prensa, explicando allá de Servicios Financieros B) Un importante MNO africano lo sucedido; que el asunto había Digitales a su principal negocio de fue uno de los primeros proveedores sido detenido y que ninguno de sus de Servicios Financieros Digitales telecomunicaciones. Además, afectó clientes había sufrido como resultado. exitosos. Un par de años después del a todo el sector de SFD en este La reacción del público fue, como lanzamiento experimentó un fraude mercado; su competidor principal era de esperar, que los clientes interno que fue reportado en la confirmó que este incidente también favorecieron a los competidores prensa nacional. Siguió un escándalo. afectó sus ventas porque la pérdida debido a consideraciones de seguridad El MNO admite el daño que este de confianza del consumidor redujo y esto resultó en una consiguiente escándalo causó a su negocio: el mercado entero. RIESGO REPUTACIONAL - PREGUNTAS CLAVE • ¿Entiendo el valor financiero de la reputación, o el costo potencial de perderla? • ¿Considero el riesgo reputacional con el riesgo estratégico? • ¿Tengo normas claras vinculadas a la conservación de la reputación y la integridad? • ¿Se evalúan los socios por su riesgo reputacional? • ¿Tengo un plan integral de comunicaciones y relaciones públicas para tratar proactivamente los rumores o preocupaciones con mi servicio? • ¿Tengo una línea integral de atención para clientes y corresponsales? • ¿Existen garantías para proteger los fondos de clientes y corresponsales? 60 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO en fideicomiso. Las alianzas eficaces son El riesgo societario empresarial puede ¿Comparte relaciones igualmente gratificantes que tienen propuestas de valor únicas para incluir la ruptura de relaciones con socios operativos y estratégicos, incluyendo los resultados cada parte y proporcionan una experiencia distribuidores, corresponsales maestros, proveedores, proveedores de tecnología, esperados y los KPI mejorada para el cliente. socios de implementación y donantes. con sus socios? El programa de The Partnership for Financial También puede ser una fuente de riesgo reputacional. Inclusion publicó un estudio en 201412 describiendo las lecciones aprendidas de las Sociedades de Bancos y MNOs: A medida alianzas en SFD. Se encontró que existen que el mundo de Servicios Financieros cuatro factores claves para el éxito en las Digitales se expande para incluir nuevos alianzas de Servicios Financieros Digitales: productos, tales como préstamos basados en algoritmos e integraciones de banca a • Las deficiencias en las alianzas cuando billetera, las asociaciones de bancos y MNOs uno o más de los socios no juegan un son cada vez más comunes. En muchos papel clave para su éxito, o uno o más mercados, a lo largo de África subsahariana, de los socios desempeñan un papel para las integraciones de banca a billetera son el que están mal equipados o para el que ahora comunes, permitiendo a los clientes no están motivados; mover fondos entre las cuentas bancarias y • Las asociaciones de Servicios Financieros las billeteras electrónicas, y hacer depósitos Digitales deben permitir a los socios y retiros usando corresponsales bancarios o 10. Riesgo Societario generar valor para sus respectivas de MNOs. La fluidez de los fondos crea una Las alianzas de Servicios Financieros empresas; mejor experiencia de usuario para el cliente, Digitales suelen ser necesarias y valiosas pero los modelos híbridos que involucran • Los roles de aliado en una al proporcionar servicios ampliados a los a los bancos y las MNO también tienen un implementación de Servicios Financieros clientes y mejorar la eficiencia operativa. riesgo más alto de ruptura de sociedad. Digitales deben estar alineados con En algunos casos, las sociedades son Las dos instituciones tratan de trabajar la ventaja y motivación competitiva y requeridas por las regulaciones. En todos juntas para construir un solo producto comparativa; los casos, se requiere cierto grado de orientado al cliente, y la cuestión de quién cooperación y asociación, ya que los • La falta de condiciones de igualdad es dueño del cliente, a menudo se convierte bancos dependen de las redes MNO para competitiva en entornos regulatorios, en una discusión complicada. Si la sociedad la conectividad y los MNOs confían en los conduce a acuerdos societarios se rompiera, tanto el producto como la bancos para que mantengan sus fondos deficientes. retención del cliente podrían estar en riesgo. 12 Partnerships in Mobile Financial Services: Factors for Success, IFC, 2014 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 61 02_DEFINICIONES Las instituciones necesitan desarrollar Proveedores: Los proveedores juegan Dondequiera que haya una integración una estrategia de mitigación para retener un papel importante en un despliegue de técnica, hay una dependencia en el servicio al cliente en caso que esto suceda. Servicios Financieros Digitales. El riesgo de del socio, y la integración misma es un Las estrategias de mitigación pueden un fallo tecnológico tiene un gran impacto punto de errores potenciales. Por lo tanto, incluir la gestión proactiva de las relaciones en la experiencia del cliente y la sociedad es esencial que la calidad del servicio de la con los clientes a través de campañas de organización asociada sea bien entendido que el proveedor de servicios mantiene con servicio al cliente, marketing y branding, antes de que se confirme la asociación. sus proveedores, puede afectar el riesgo así como estructurando acuerdos de de fallas en las transacciones y retrasos en A menudo se culpa al proveedor de Servicios propiedad de los clientes, dentro de los el servicio. Financieros Digitales por la mala calidad de acuerdos societarios, e incluyendo cláusulas un socio. Por ejemplo, si el conmutador en torno a cuestiones de exclusividad y no Integraciones Técnicas: La mayoría de los de pago está sobre extendido, es posible competencia. En algunos mercados, los servicios dependen de interfaces técnicos que el cliente tenga que intentar realizar bancos son el aliado más pequeño y menos con terceros. El primer requisito para la dominante en los Servicios Financieros una transacción varias veces antes que integración técnica es la conectividad. Digitales y pueden tener dificultades se pague una factura, y esto típicamente Los Servicios Financieros Digitales tienen para negociar condiciones equitativas será visto como una falla del Servicio el requisito inherente de utilizar redes de competencia con los MNO. Se puede Financiero Digital. Debajo de toda alianza de datos o voz para ofrecer servicios, llegar a decidir que les resulta mejor jugar técnica, debe haber una comprensión utilizando tecnología. Esto incluye el uso clara de los niveles de servicio alcanzables un papel de segundo plano teniendo cuentas y préstamos, mientras que el MNO de acceso a redes móviles, incluyendo SMS, por el socio y un desempeño (promedio) administra las relaciones de cara al cliente. USSD y servicios 3G. esperado y acordado. Los socios deben ser Más allá de los requisitos básicos de sujetos a sanciones por el bajo desempeño Distribuidores Corresponsales: Cuando conectividad, a medida que los Servicios continuado, frente a estos niveles de se utilizan estructuras complejas de Financieros Digitales maduran, se están servicio. Un punto importante que a redes de corresponsales en un modelo de integrando cada vez más con otras menudo se pasa por alto es la necesidad de negocio de Servicios Financieros Digitales, tecnologías, a menudo a través de las definir exactamente lo que se entiende por el desempeño de los corresponsales puede Interfaces de Programación de Aplicaciones nivel de servicio y cómo se medirá este. depender en gran medida de la capacidad del corresponsal maestro para administrarlos. (APIs). Estos incluyen la integración con los Es crucial que haya un acuerdo sobre Esto normalmente abarca la formación, sistemas de core bancario para permitir la cómo se manejarán los incidentes. Cuando suministro de liquidez, materiales de transferencia de fondos entre las cuentas ocurre un incidente técnico que involucra marketing e incentivos. La relación entre de Servicios Financieros Digitales y las dos o más tecnologías, el mayor problema el proveedor y el corresponsal maestro cuentas convencionales de los bancos y las puede ser determinar dónde se encuentra desempeña un papel clave, y la ruptura IMF; integración con facturadores como el fallo, con todo el mundo alegando que la de esta relación puede resultar en una las empresas de servicios públicos, ya sea responsabilidad es de la tecnología de la otra interrupción de la experiencia del cliente. directamente o a través de conmutadores parte. Esto puede suceder en una situación Los acuerdos societarios con distribuidores de pago; integración con diversos de alta tensión si el fallo es grave, por lo que corresponsales deben abarcar todos los dispositivos POS; y la integración con las es importante tener procedimientos pre- niveles de servicios y establecer claramente organizaciones de transferencia de dinero acordados donde todas las partes trabajan las expectativas y la remuneración para reducir el riesgo societario inherente a la para facilitar las remesas internacionales. juntas, en la medida de lo razonable, para relación. También deben contener reglas La interoperabilidad entre Servicios identificar y resolver el problema. También claras sobre cómo se terminará una Financieros Digitales también está deben existir procesos de escalamiento sociedad para minimizar el impacto en el empezando a ocurrir, ya sea bilateralmente para incidentes que no se pueden resolver cliente o el negocio. o a través de conmutadores. mediante procedimientos estándar. 62 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO PLO M Registro de Riesgo 10 EJE Riesgo Societario - indisponibilidad de servicio Ejemplo de Proveedor Un banco que ofrece banca de corresponsales con POS y acceso móvil a clientes, suministrado por medio de la conectividad del MNO socio de Servicios Financieros Digitales: Categoría del riesgo: Riesgo Societario Categoría Secundaria: Riesgo Reputacional Nombre: Dificultades en la relación entre los propietarios del servicio - que conducen a la interrupción del mismo Descripción La dificultad significativa de la relación dentro del consorcio de proveedores resulta en la indisponibilidad del servicio para los clientes. Dueño: Jefe de Servicios Financieros Digitales Causa: Incapacidad del socio para satisfacer los crecientes requisitos de capacidad del proveedor de SFD a medida que el negocio ha crecido más rápido de lo esperado Efecto: La indisponibilidad del servicio para clientes y corresponsales, y los clientes no pueden acceder a las cuentas. Probabilidad: 2 de 5 Moderadamente baja basada en acuerdos societarios y acuerdos comerciales bien estructurados Impacto: 5 de 5 Impacto muy alto basado en la dependencia total en el socio para el suministro del servicio Estrategia de Riesgo: Transferir Estrategia de Tratamiento: • Niveles de servicios detallados en el contrato de sociedad • Revisiones técnicas mensuales con socios, incluyendo los volúmenes esperados, para asegurar que la planificación de la capacidad se anticipa a la curva de demanda • Asegurar que el socio esté suficientemente incentivado para mantener el servicio funcionando y crecer con él. Respuesta Táctica de • Acción legal contra el socio por falla en la prestación del servicio Tratamiento: • Siempre que sea posible, calificar a un proveedor secundario para que trabaje en paralelo o en espera Indicador Clave de Riesgo: • Tiempo de disponibilidad del sistema • Desempeño vs KPIs Estado actual: No ha ocurrido SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 63 02_DEFINICIONES Cuadro 10 Estudios de Caso de Riesgo Societario A) El negocio de Kopo Kopo fue masivo. Además, asumió la tarea los comerciantes a través de Lipa fundado originalmente en Kenia en de intermediación en las disputas. na M-PESA. (Esta iniciativa no está 2012 con el fin de explotar el potencial A finales de 2015, Kopo Kopo había exenta de riesgos financieros, pero no de M-PESA y ser utilizado para pagos vinculado a 4.000 comerciantes habían surgido problemas al momento en tiendas de bienes y servicios. activos centrados en canales específicos de la redacción del presente manual.) Safaricom, empresa proveedora de de ventas minoristas, tales como A finales de 2015 ganaba más por sus M-PESA, había lanzado “Lipa na catering, peluqueros, distribuidores avances en efectivo en Kenia, que por M-PESA” (Pago con M-PESA) a los agrícolas y estaciones de servicio. su negocio principal. consumidores un año o dos antes, Debido a este crecimiento, Safaricom por lo que existía la capacidad, pero vio la oportunidad de administrar • Al apalancar su inversión existente pocos comerciantes la aceptaban y el este negocio internamente y ahora en el software de adquirencia uso era muy bajo. Kopo Kopo formó está compitiendo directamente con de comerciantes para Lipa na una sociedad con Safaricom con el Kopo Kopo para vincular nuevos M-PESA, lo ha convertido en objetivo de proporcionar un servicio comerciantes. Safaricom tiene las un desarrollo libre para su uso a comerciantes para aumentar el ventajas de escala, reputación y por otras instituciones fuera de número de minoristas aceptando de ofrecer un servicio más barato, Kenia. El software se venderá con Lipa na M-PESA y así impulsar el ya que cobra sólo su parte de la tarifa base en una tarifa por licencias y uso en los consumidores. El servicio de transacción. Ha mostrado ser Kopo Kopo ha firmado acuerdos es gratuito para los clientes, pero muy exitoso. Anticipando el riesgo comerciales con varios proveedores. los comerciantes pagan un pequeño de un cambio en la relación de socio El producto estaba pendiente de ser porcentaje del valor de la transacción a competidor, Kopo Kopo trató de lanzado en 2016 en Ghana, Uganda como un cargo que se reparte entre diversificarse en dos direcciones: y Zimbabue, y proporcionará un Kopo Kopo y Safaricom. flujo de ingresos adicional siempre • Para mantenerse competitivo en el que el servicio de soporte no supere Kopo Kopo vinculó a los comerciantes mercado keniano, ha desarrollado las expectativas. proporcionándoles datos de un servicio popular de anticipos de transacción, inteligencia de negocios dinero con comerciantes, ofreciendo La preparación de Kopo Kopo para y acceso rápido a fondos a través de fondos basados en una calificación la inevitable aparición de su socio aplicaciones web y Android, así como crediticia constantemente actualizada como competidor, ha sido un factor capacidades de pago masivo y SMS basada en el desempeño histórico de importante en la supervivencia de 64 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO su negocio en un mercado muy su fondo de dinero electrónico estaba MNO, y esto proporcionó la clave competitivo. desapareciendo. En el curso de dos esencial. El fraude involucró a un semanas esto pasó de un corresponsal empleado, en una función técnica B) Un proveedor de Servicios por día a tres o cuatro, cada uno en el MNO, con acceso a los Financieros Digitales importante reportando pérdidas de varios sistemas de gestión de tarjetas SIM. (no de telecomunicaciones) sufrió cientos de dólares. Al examinar los Los estafadores habían desarrollado un fraude de autoría por parte estados de las transacciones de los una estafa mediante la cual se de uno de sus aliados. Contrató corresponsales afectados alrededor recolectaba el PIN del corresponsal a los tres mayores operadores del momento de los fraudes, y luego y se intercambiaba temporalmente la móviles (MNOs) del país para siguiendo las secuencias de las tarjeta SIM mientras se retiraban los utilizar sus redes de comunicación, transacciones y cuentas involucradas, fondos de la cuenta. Tan pronto como específicamente los canales SMS y determinaron el medio por el cual se fue diagnosticada esta estafa, el socio USSD, y podía suministrar el servicio estaba perpetrando el fraude. MNO fue contactado y se explicó de dinero electrónico a cualquier el problema. Presumiblemente, el cliente o corresponsal con una Se observó que todos los MNO reforzó sus procedimientos tarjeta SIM de cualquiera de ellos. corresponsales afectados estaban de cambios de SIM, porque la estafa Varios corresponsales comenzaron utilizando corresponsales de se detuvo en 24 horas y nunca se a reportar el mismo problema; teléfonos conectados a la misma ha repetido. RIESGO SOCIETARIO - PREGUNTAS CLAVE • ¿Tiene un contrato o Memorando de Entendimiento con su socio que incluye protecciones y planes de contingencia? • ¿Tiene acuerdos de nivel de servicio con los corresponsales maestros y distribuidores? • ¿Comparte los resultados esperados y KPIs con sus socios? • ¿Tiene niveles de servicio técnico realistas y medibles acordados con sus socios? • ¿Existe un proceso acordado de escalamiento técnico para resolver incidentes? SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 65 02_DEFINICIONES Resumen Las diez categorías de riesgo descritas anteriormente son categorías amplias utilizadas para describir el riesgo de Servicios Financieros Digitales. En la base de datos de riesgos se encuentra una lista completa que incluye también una serie de subcategorías en la página 95. A medida que la industria de Servicios Financieros Digitales evoluciona, comenzarán a manifestarse muchos más riesgos potenciales y la tarea de identificar, entender y mitigar riesgos, será continua. Ahora que se ha establecido un amplio entendimiento en la Parte I, y se han identificado en la Parte II los riesgos potenciales más comunes actualmente conocidos, las instituciones pueden pasar a desarrollar marcos de gestión de riesgo. La Parte III presenta instrucciones paso a paso sobre cómo configurar e implementar un marco. 66 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 67 03_MARCO 03_ Parte III Marco de Gestión de Riesgo Aplicado En la parte anterior del manual, describimos e ilustramos los principales riesgos en la implementación de Servicios Financieros Digitales. En esta parte, tomaremos los conceptos del marco de gestión de riesgo descrito en la Parte I y conduciremos al lector por un proceso paso a paso del ciclo de gestión de riesgo. Comienza con establecer contexto, pasa a la identificación de riesgo, evaluación, y desarrollo de la estrategia de riesgo, y luego concluye con monitoreo y revisión. Hay varias fuentes bibliográficas sobre el proceso de implementación de un marco de gestión de riesgo. La GSMA también ha publicado un conjunto de herramientas de gestión de riesgo, que utiliza un formato basado en Excel para guiar a los MNOs en los riesgos de dinero electrónico13. Este manual se basa en cierta forma en los estándares ISO 31000 de la industria y empresariales para la gestión de riesgo. Se ha adaptado y adecuado para la gestión de riesgos específicos de Servicios Financieros Digitales. El proceso comienza con la definición del equipo del proyecto y el establecimiento de objetivos y niveles de riesgo aceptables. Luego, se identifican y articulan todos los riesgos posibles. La evaluación de los riesgos se realiza mediante métodos cualitativos o cuantitativos para evaluar la probabilidad y el impacto potencial del riesgo. La evaluación permite a las instituciones priorizar los riesgos e identificar cuáles pueden ser tolerados, transferidos, terminados o requerir el desarrollo de una estrategia de tratamiento (cubierta en la Sección 4). Por último, se implementa el marco y se llevan a cabo revisiones periódicas, devolviéndose a la etapa de planificación e identificación para asegurar que sea siempre oportuno y refleje con precisión los riesgos enfrentados. Utilizando el Proceso de Gestión de Riesgo de ISO 31000 descrito en la Parte I, existen cinco secciones para desarrollar marcos de gestión de riesgo, como se muestra en la figura 7. Risk Management Toolkit, GSMA & Consult Hyperion, 2015 (https://www.gsma.com/mobilefordevelopment/programme/ 13 mobile-money/managing-risk-in-mobile-money-a-new-comprehensive-risk-toolkit) 68 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Figura 7: Proceso de Gestión de Riesgo EMPEZAR ESTABLECER ELABORAR DE NUEVO IDENTIFICAR EVALUAR REVISIÓN CONTEXTO ESTRATEGIA ASIGNAR DEFINIR EQUIPO INVESTIGAR PROBABILIDAD TERMINAR REEVALUAR E IMPACTO ROLES Y HACER REVISAR HISTORIA ANALIZAR TRANSFERIR RESPONSABILIDADES SEGUIMIENTO CRONOGRAMA Y EVALUAR PRIORIZAR TRATAR PRESUPUESTO RESPUESTA CREAR PLAN LLUVIA DE IDEAS RESPONDER TÁCTICA DEFINIR DOCUMENTAR DESARROLLAR TOLERANCIA RIESGOS INDICADORES DOCUMENTAR RIESGOS Las secciones a continuación describen las actividades y áreas de foco en cada uno de los pasos del diagrama anterior. SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 69 03_MARCO Cuadro 11 Creación de una Unidad de Gestión de Riesgo Mientras que muchas organizaciones Prevención del Fraude - Estas evaluado y aprobado por el equipo más grandes tienen algún tipo de actividades se dividen en dos tipos: el de riesgo. Se requiere un enfoque soporte en gestión de riesgo a nivel fraude interno y el fraude de cara al práctico para cualquier cambio y de grupo, Tigo Pesa Tanzania es una cliente. El fraude interno potencial es debe estar involucrado desde el inicio de las pocas compañías operativas controlado por una combinación de del proceso de desarrollo. locales con un equipo dedicado de procedimientos de negocios; análisis gestión de riesgo en el país, encargado de datos para descubrir cualquier Cumplimiento de las normas de prevenir, detectar y mitigar actividad inusual; y el monitoreo - es responsabilidad del equipo cualquier riesgo potencial. El equipo de la interacción del personal proporcionar informes específicos y de gestión de riesgo se creó en 2012, con los sistemas para identificar cualquier otra información solicitada dos años después del lanzamiento comportamientos sospechosos. La por el banco central, y evaluar y de Tigo Pesa, con el nombramiento mayor parte de la actividad consiste aplicar cualquier cambio en los de un Gerente de Finanzas y Riesgo en detectar y mitigar el fraude informes u operaciones de negocios de Servicios Financieros Digitales, de cara al cliente. Por ejemplo, requeridos cuando las regulaciones reportando tanto al jefe de división hubo una creciente incidencia de cambian. Un miembro del equipo como al director financiero de clientes enviando dinero a números actúa como el oficial de informes Servicios Financieros Digitales del erróneos y los destinatarios alegaban anti-lavado de dinero. grupo Millicom. Desde entonces, fraudulentamente que el dinero era El equipo de gestión de riesgo está el equipo ha crecido a cinco personas suyo. Impulsando el desarrollo de sujeto a revisiones periódicas por que desempeñan una serie de una nueva función para confirmar gerentes de Servicios Financieros funciones para proteger el negocio: el nombre del destinatario durante Digitales de otros miembros del las transacciones, el equipo logró grupo; auditoría interna por el grupo Procesos y Controles - responsable reducir este tipo de fraude en un de asegurar que los procesos de Millicom; y auditoría externa por impresionante 60 por ciento. Ernst & Young. negocio estén disponibles para todas las actividades de Tigo Pesa, y que Integridad de Plataforma y éstas sean revisadas regularmente y Aseguramiento de Proyectos - actualizadas cuando sea necesario. cualquier cambio en la tecnología, También controla el acceso de sea un ajuste menor o una nueva entrada a los sistemas Tigo Pesa. funcionalidad importante, debe ser 70 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Sección 1: Establecer Contexto El objetivo del proceso de planificación de la gestión de riesgo es desarrollar la estrategia general de gestión de riesgo para el Servicios Financieros Digitales y decidir cómo se ejecutará y cómo se integrará en el plan general de implementación. El proceso de planificación comienza con la creación de un equipo que luego desarrolla el cronograma, los costos y el esquema del plan de gestión de riesgo, la metodología, y el proceso y las plantillas, que se utilizarán en el desarrollo del marco de gestión de riesgo. Paso 1: Definir equipo de riesgo El equipo estará integrado por varios funcionarios y partes interesadas, que serán responsables del éxito de los SFD, y proporcionarán antecedentes contrastados y complementarios para asegurarse que el marco de gestión de riesgo abarque una lista exhaustiva y un análisis de los riesgos potenciales y las estrategias de mitigación asociadas. El equipo debe incluir a miembros de los departamentos de gestión de riesgo, gestión de canales de SFD, ventas y marketing, TI, finanzas, control interno y cumplimiento, administración, así como expertos externos, consultores o facilitadores. Tabla 1: Ejemplo de Equipo de Riesgo Nombre Título Departamental Detalles de Contacto Gerente de Riesgo Banca de Corresponsales/Dinero Electrónico Jefe de Banca de Corresponsales/ Banca de Corresponsales/Dinero Dinero Electrónico Electrónico Gerente de Distribución Banca de Corresponsales/Dinero Electrónico Gerente de Producto Banca de Corresponsales/Dinero Electrónico Jefe de TI TI Gerente de Marketing Marketing Gerente de Call Center Atención al Cliente Oficial Regulatorio Cumplimiento Gerente Financiero Finanzas Oficial de Investigación de Fraudes Finanzas SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 71 03_MARCO Paso 2: Definir roles y responsabilidades El equipo de proyecto multidisciplinario es el principal responsable de ensamblar la evaluación y el marco de la gestión de riesgo. El equipo estará dirigido por un gerente de riesgo, quien idealmente también deberá estar en la evaluación de riesgos y en la administración de otros proyectos, para garantizar una gestión de riesgo coherente en toda la organización. Los roles de cada miembro del equipo deben estar claramente definidos y articulados en el proceso de planificación desde un principio y registrados en el plan del proyecto. Las responsabilidades del gerente de riesgo incluyen: • Solicitar apoyo de la alta dirección para el marco de gestión de riesgo • Determinar los niveles aceptables de riesgo, consultando a las partes interesadas • Elaborar y aprobar el plan de gestión de riesgo • Promover el proceso de gestión de riesgo • Facilita la comunicación • Aprobar las respuestas al riesgo cuando sea necesario • Informar periódicamente el estado del riesgo a la administración y a los principales interesados Tabla 2: Ejemplo de Roles y Responsabilidades del Equipo de Riesgo Nombre Título Dirigir o Soporte Gerente de Riesgo Dirigir Jefe de Banca de Corresponsales/Dinero Dirigir Electrónico Gerente de Distribución Soporte Gerente de Producto Soporte Jefe de TI Soporte Gerente de Marketing Soporte Gerente de Call Center Soporte Oficial Regulatorio Soporte Gerente Financiero Soporte Oficial de Investigación de Fraudes Soporte 72 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Paso 3: Definir cronograma y presupuesto para desarrollo El calendario del marco de gestión de riesgo será decidido por el equipo de planificación e incluirá fechas de inicio y finalización para cada fase, hitos clave y entregables. Los plazos también deben incluir intervalos acordados para la reevaluación del marco de gestión de riesgo. Puede ser necesario asignar un presupuesto para el desarrollo del marco de gestión de riesgo, si se espera que las actividades incluyan la recopilación externa de datos, la contratación de consultores y facilitadores, o los costos de reuniones externas. Los presupuestos también pueden incluir fondos de contingencia para pérdidas potenciales basados en el análisis cuantitativo de la fase de evaluación del riesgo. Tabla 3: Ejemplo de Cronograma y Presupuesto de Marco de Riesgo Nombre Fecha de Inicio Fecha Final Presupuesto Estimado Identificación del Riesgo Semana 1 Semana 8 Revisión de la Publicación Semana 1 Semana 1 Revisión Histórica Semana 2 Semana 2 Evaluación Actual Semana 3 Semana 6 $15.000 para consultor externo para asesoría técnica Lluvia de ideas Semana 7 Semana 8 $6.000 para facilitador Evaluación del Riesgo Semana 9 Semana 12 Asignar probabilidad Semana 9 Semana 10 $10.000 para consultor externo para asesoría técnica Asignar impacto Semana 9 Semana 10 $10.000 para consultor externo para asesoría técnica Priorización de riesgos Semana 10 Semana 10 $10.000 para consultor externo para asesoría técnica Desarrollo de la Estrategia de Riesgo Semana 11 Semana 12 Desarrollar estrategia de Semana 11 Semana 12 $10.000 para consultor externo para asesoría técnica tratamiento de riesgo Desarrollar respuesta táctica al riesgo Semana 11 Semana 12 $10.000 para consultor externo para asesoría técnica Definir KRIs Semana 11 Semana 12 $10.000 para consultor externo para asesoría técnica Revisión Administrativa de Marco Semana 13 Semana 14 $10.000 para consultor externo para asesoría técnica de Riesgo Revisión del Marco Cada 6 Meses SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 73 03_MARCO Paso 5: Establecer Niveles de Tolerancia al Riesgo Durante el proceso de planificación, el equipo de riesgo establecerá los niveles de tolerancia al riesgo de la institución, tanto en términos Paso 4: Crear un plan de niveles cuantitativos de pérdidas, como de La planificación del desarrollo del marco de gestión de riesgo incluirá el desarrollo de niveles cualitativos de tolerancia. Los valores procesos, esquemas, metodologías, definiciones y plantillas aprobadas por todos los cuantitativos de las pérdidas potenciales se miembros del equipo de riesgo. pueden estimar para la mayoría de los riesgos identificados mediante el proceso de evaluación de riesgo descrito a continuación. El equipo de Proceso: Describe el proceso que se utilizará para llevar a cabo el desarrollo del riesgo establecerá el nivel de tolerancia, de tal marco de gestión de riesgo y cómo se integrará en el negocio general de Servicios forma que cualquier riesgo identificado con una Financieros Digitales. pérdida potencial por encima del umbral deberá ser evitado o transferido o si está por debajo Esquema: Durante el proceso de planificación, el equipo de planificación del umbral inferior, entonces el riesgo será desarrollará un esquema del marco de gestión de riesgo. Ver la página 93 para una aceptado. Por ejemplo, una institución puede lista de control para desarrollar un marco de gestión de riesgo. decidir que cualquier riesgo con un impacto potencial de menos de $10,000 será aceptado, Metodología: La metodología descrita en el esquema del plan identificará los entre $10.000 y $ 100.000 será mitigado y de medios para realizar las evaluaciones cualitativas y cuantitativas de riesgo, más de $100.000 será evitado o transferido. evaluación y análisis, clasificación de riesgo, y documentando en el registro de Las pérdidas financieras debidas al fraude riesgo con los tratamientos asociados. El esquema de la metodología también deben tener cierto grado de aceptación, ya que describirá los medios a través de los cuales la organización decidirá si acaba con el la implementación de políticas de riesgo para riesgo, trata el riesgo, tolera el riesgo o transfiere el riesgo. erradicar completamente las pérdidas sería más costosa que aceptar algunos niveles de fraude. Definiciones: Las definiciones descritas en el marco de gestión de riesgo serán Una vez acordado, el nivel aceptable de pérdidas un glosario de términos para que el equipo trabaje bajo definiciones comunes por fraude debe presupuestarse e incluirse en de riesgo. las proyecciones y utilizarse como Indicador de Riesgo Clave para medir el desempeño. El punto Plantillas: El esquema incluirá plantillas acordadas, que se utilizarán en todo el de referencia de la industria para las pérdidas desarrollo del marco de gestión de riesgo. Las plantillas deben incluir el registro de por fraude manejables es de siete puntos riesgo como se describe a continuación, plantillas para sesiones de lluvia de ideas básicos del volumen total de transacciones, que ayudan en la identificación de riesgos, análisis de riesgo y evaluación de riesgo. o un 0,07 por ciento. La plantilla del marco de gestión de riesgo también se incluirá en el esquema del La clasificación cualitativa descrita a plan de gestión de riesgo. continuación también puede utilizarse para establecer niveles de tolerancia al riesgo tales como aquellos riesgos identificados con un puntaje cualitativo de 1 - 5: Aceptar Riesgo, 6 - 12: Controlar Riesgo y 13 - 25: Evitar o Transferir. Es posible que existan otras políticas cualitativas de tolerancia al riesgo que la institución desee instituir, como la tolerancia cero para actividades ilegales o violaciones regulatorias. 74 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Sección 2: Identificar Riesgo El proceso de identificación de riesgos tiene como objetivo determinar todos los riesgos conocidos para el SFD. Sin embargo, como es imposible identificar todos los riesgos potenciales, se debe usar un proceso iterativo para realizar reevaluaciones periódicamente. La identificación del riesgo debe hacerse tan pronto como sea posible en el desarrollo del SFD, para permitir el máximo tiempo posible el desarrollo de las respuestas al riesgo. Sin embargo, cuanto antes se lleve a cabo el proceso de identificación, menos certeza tendrá la organización sobre la probabilidad esperada y el impacto del riesgo. El proceso de identificación de riesgos puede incluir diferentes metodologías para la identificación y debe incluir un espectro completo de riesgos para un Servicio Financiero Digital, como se ha descrito anteriormente. Cuadro 12 Gestión de Riesgo Centrada en el Cliente El mayor riesgo para cualquier estrategia de negocios es que los clientes no adopten el servicio en los números previstos. Tales problemas se asocian a menudo con un diseño de producto deficiente o debido a un desajuste entre las ubicaciones del cliente y de los corresponsales. Los clientes rara vez cierran una cuenta. Simplemente retiran sus fondos. Este riesgo empresarial debe entenderse a través de la relación adecuada con los clientes, a menudo gestionado por el call center o por medio de entrevistas periódicas que identifican las razones por las que no están utilizando el servicio, y estos hallazgos se agregan all registro de riesgos. SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 75 03_MARCO Paso 1: Investigar recursos de la industria Se recomienda comenzar revisando las publicaciones para identificar los riesgos que son aplicables y con los que se identifica su institución. Hay una gran variedad de recursos disponibles (en inglés) que son específicos a diferentes tipos de instituciones o de riesgos específicos de Servicios Financieros Digitales, tales como: • Risk Management Toolkit, GSMA & Consult Hyperion, 2015 (https://www.gsma.com/mobilefordevelopment/programme/mobile- money/managing-risk-in-mobile-money-a-new-comprehensive-risk-toolkit) • MMU Managing the Risk of Fraud in Mobile Money, GSMA, 2012 (http://www.gsma.com/mobilefordevelopment/wp-content/ uploads/2012/10/2012_MMU_Managing-the-risk-of-fraud-in-mobile-money.pdf) • Mobile Financial Services Risk Matrix, USAID and Booz Allen Hamilton, 2010 (https://www.gsma.com/mobilefordevelopment/wp- content/uploads/2012/06/mobilefinancialservicesriskmatrix100723.pdf) • Bank Agents: Risk Management, Mitigation, and Supervision, CGAP, 2011 (http://www.cgap.org/publications/bank-agents-risk- management-mitigation-and-supervision) • Digital Financial Services Risk Assessment For Microfinance Institutions, A Pocket Guide, AFI, 2014 (https://lextonblog.files. wordpress.com/2014/09/dfs_risk_guide_sept_2014_final.pdf) • Mobile Financial Services Technology Risks, AFI, 2013 (http://www.afi-global.org/sites/default/files/pdfimages/AFI_MFSWG_ guidelinenote_TechRisks.pdf) • Fraud in Mobile Financial Services, Mudiri, MicroSave, 2012 (http://www.microsave.net/resource/fraud_in_mobile_financial_ services#.VmWI9E10xes) • Risk Management in Mobile Money, Lake, IFC, 2013 (http://www.ifc.org/wps/wcm/connect/37a086804236698d8220ae0dc33b630b/ Tool+7.1.+Risk+Management.pdf?MOD=AJPERES) Además, en la sección Base de Datos de Riesgo de esta publicación, se incluye una lista exhaustiva de riesgos potenciales y se puede utilizar como referencia. Paso 2: Revisión histórica Paso 3: Evaluaciones de estado actual definiciones de productos, la estrategia de El proceso de identificación de riesgos La evaluación actual del desarrollo de corresponsales y distribución, los contratos comenzará con una visión retrospectiva Servicios Financieros Digitales revisa de corresponsales, los contratos de socios del riesgo, teniendo en cuenta los riesgos críticamente el estadol de la implementación, tecnológicos, las directrices reglamentarias tolerados, tratados o realizados a lo largo para entender qué riesgos tienen más locales, las especificaciones tecnológicas, los de los ciclos de vida de otros proyectos, probabilidades de existir. La evaluación de manuales de procedimientos operativos, las incluyendo las implementaciones anteriores la implementación incluirá un análisis del proyecciones financieras, las investigaciones de productos y canales de la propia modelo financiero actual, especificaciones de mercado u otros documentos que están institución u otras, dentro del mercado. de producto, modelo de negocio, desarrollo disponibles para su revisión. Teniendo en La revisión histórica se llevará a cabo a tecnológico, aprobaciones regulatorias, cuenta las categorías de riesgo, también se través de la investigación secundaria de análisis de competidores e investigación puede pedir al equipo que identifique todos de mercados. Utilizando las categorías la documentación interna de gestión de los posibles riesgos que reconocen como de riesgo descritas anteriormente, riesgo, así como fuentes externas, como los relevantes para sus áreas de operaciones. el equipo de riesgo puede comenzar contactos de la industria y los medios de a conformar la larga lista de riesgos En esta etapa, es importante enumerar comunicación. potenciales. Muchos riesgos empezarán a todos los riesgos que sea posible, sin juzgar surgir a medida que el equipo explora las su importancia. 76 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Paso 4: Luvia de ideas Para complementar las evaluaciones históricas y actuales, las técnicas de creatividad pueden utilizarse para sesiones de lluvia de ideas que pueden incluir expertos externos o facilitadores. Paso 5: Documentar todos los riesgos identificados en el registro de riesgo Este es el primer paso en el desarrollo de un registro de riesgo. Todos los riesgos identificados deben ser registrados incluyendo nombre, descripción y propietario, así como cualquier nota sobre las respuestas preliminares al riesgo que surgen durante la fase de identificación. En esta etapa, la lista pretende ser lo más exhaustiva posible. Durante la etapa de evaluación, los riesgos se clasificarán y categorizarán para decidir la importancia relativa. Tabla 4: Ejemplo de la Etapa de Identificación de Riesgo para el Riesgo Estratégico de Servicios Financieros Digitales Tipo de Riesgo: Riesgo Estratégico Nombre Descripción Causa Efecto Dueño Los Servicios Los Servicios Financieros Mala oferta de productos, mala Resulta en ingresos netos y retorno Jefe de Banca de Financieros Digitales Digitales no cumplen gestión de los canales, mala de la inversión negativos Corresponsales/Dinero no logran alcanzar la los objetivos de ingresos gestión de los recursos, malas Electrónico sostenibilidad en el y gastos en un plazo previsiones plazo designado determinado El proveedor Entendimiento Mal desarrollo de la estrategia, Conduce al desarrollo de productos Jefe de Marketing no entiende incorrecto de las mala investigación de mercados, inapropiados, y mala adopción completamente su necesidades del cliente malas pruebas del producto o y uso mercado objetivo para y de los recursos canal con los consumidores Servicios Financieros disponibles Digitales El proveedor no invierte No hay recursos Las necesidades de inversión a El proveedor no puede cumplir Jefe de Ventas completamente en los suficientes de personal largo plazo del canal de SFD no con los objetivos de vinculación de recursos necesarios de apoyo de ventas se entienden ni son apreciadas corresponsales, por lo que no se para alcanzar los por parte de la administración alcanzan los objetivos de ingresos y objetivos y la Junta no se logra la sostenibilidad. Competencia Los competidores están Competidores que ofrecen un Los clientes migran a otros Jefe de Banca de ganando cuota de servicio superior o precios proveedores Corresponsales/Dinero mercado más bajos Electrónico SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 77 03_MARCO Sección 3: Analizar y Evaluar Una vez identificados todos los riesgos, Paso 1: Asignar probabilidad e Priorización de Riesgo el proceso de análisis puede realizarse impacto para evaluarlos y priorizarlos. Los métodos Paso 3: Calificar los riesgos Para cada riesgo identificado, se debe para el análisis más utilizados son los basándose en riesgos cualitativos y realizar una evaluación cualitativa de cualitativos, tales como el desarrollo de un cuantitativos probabilidad e impacto. El impacto es la sistema de scoring y clasificación, como se pérdida potencial si se realiza el riesgo. Los riesgos ahora pueden ser priorizados, describe a continuación: Esto podría ser, pérdida financiera, pérdida basados en el impacto potencial y la de reputación o penalidades legales o probabilidad. Utilizando la metodología Cualitativo reglamentarias. El impacto se puede medir de clasificación cualitativa, los riesgos El análisis cualitativo permite comenzar en una escala de 1-5, siendo 1 el más bajo y con la mayor probabilidad combinada y la a clasificar la importancia de los riesgos 5 el más alto. Una medición de 1 representa puntuación de impacto serán los más altos, identificados y arranca con la evaluación un impacto insignificante, 2 es bajo, 3 es y los que tengan la puntuación combinada de características y prioridades, basadas moderado, 4 es alto y 5 es extremo. más baja serán los más bajos. Si se utiliza en métricas precalificadas definidas la metodología cuantitativa, las que tengan durante el proceso de planificación de La probabilidad es la probabilidad asumida el mayor valor R serán clasificadas como riesgo. El análisis cualitativo se basa en el que el evento ocurrirá. También se asigna el riesgo más alto. La clasificación de los proceso de identificación de riesgos para en una escala de 1 a 5, siendo 1 una riesgos por prioridad permitirá al equipo definir el riesgo y evaluar las causas y los posibilidad remota, 2 improbable, 3 posible, del proyecto trabajar hacia estrategias impactos. Los riesgos pueden clasificarse 4 probable y 5 casi seguro que ocurrirá el de riesgo trabajando primero en los más según la fuente o causa, o por impacto, evento. Luego se cuantifica una calificación importantes. para facilitar el desarrollo de respuestas de riesgo multiplicando la clasificación al riesgo durante el análisis cualitativo. El asignada tanto a la probabilidad como al Paso 4: Decidir cuáles riesgos resultado final de un análisis cualitativo impacto para producir una puntuación merecen respuestas de será la definición del riesgo, la probabilidad combinada para un riesgo particular. tratamiento y el impacto potencial. Por ejemplo, al riesgo que los competidores ganen cuota Usando la puntuación cuantitativa, la Paso 2: Análisis de riesgos de mercado se le da una probabilidad institución ahora puede decidir si tolerar, El análisis de riesgo es la documentación de 3 basada en el ejemplo ficticio de una tratar, transferir o terminar el riesgo. escrita para el registro de riesgos que institución financiera en un entorno Se pueden utilizar umbrales de puntaje incluye un análisis de las causas y efectos altamente competitivo, con bajas barreras tales como: 1 - 5: Aceptar Riesgo, del riesgo; descripción del motivo por de entrada y un impacto potencial de 3, 6 - 12: Controlar Riesgo y 13 - 25: Evitar o el que la probabilidad y el impacto se basado en algunas pérdidas en los ingresos Transferir. asignaron como tales; cualquier riesgo financieros, pero no de pérdidas totales, ya secundario; prioridad; marco de tiempo de que la lealtad del cliente es alta para esta cuándo pueden ocurrir; y posibles formas institución en particular. para tratar el mismo. Los pasos para el análisis cualitativo se describen a continuación: 78 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Figura 8: Matriz de clasificación de riesgo cualitativo Impacto Probabilidad Despreciable (1) Bajo (2) Moderado (3) Alta (4) Extremo (5) Cierto (5) 5 10 15 20 25 Probable (4) 4 8 12 16 20 Posible (3) 2 6 9 12 15 Improbable (2) 2 4 6 8 10 Remoto (1) 1 2 3 4 5 Una vez terminado el análisis, los riesgos se deben clasificar por tipo o prioridad, y deben documentarse en el registro de riesgo. SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 79 03_MARCO Tabla 5: Ejemplo de la Etapa de Evaluación de Riesgo para el Riesgo Estratégico de Servicios Financieros Digitales Nombre Descripción Causa Efecto Dueño Probabilidad Impacto Score Clasificación (1-5) (1-5) combinado Los SFD no Los Servicios Mala oferta de Resulta en Jefe de Banca de 2 3 6 #2 logran alcanzar Financieros productos, mala ingresos netos Corresponsales/ la sostenibilidad Digitales no gestión de los y retorno de Dinero en el plazo cumplen los canales, mala la inversión Electrónico designado objetivos de gestión de los negativos. ingresos y gastos recursos, malas en un plazo previsiones determinado El proveedor Un entendimiento Mal desarrollo Conduce al Jefe de 1 2 2 #4 no entiende incorrecto de las de la estrategia, desarrollo de Marketing completamente necesidades del mala productos su mercado cliente y recursos investigación inapropiados y objetivo para SFD disponibles de mercados, mala adopción malas pruebas y uso del producto o canal con los consumidores El proveedor No hay recursos La inversión a El proveedor Jefe de Ventas 1 3 3 #3 no invierte suficientes de largo plazo del no puede completamente personal de apoyo canal de Servicios cumplir con en los recursos de ventas Financieros los objetivos necesarios para Digitales no es de vinculación alcanzar los entendida ni y activación objetivos. apreciada por de clientes, la dirección y la por lo que no Junta. se alcanzan los objetivos de ingresos y no se logra la sostenibilidad. Competencia Los competidores Competidores Los clientes Jefe de Banca de 3 3 9 #1 están ganando ofrecen un migran a otros Corresponsales/ cuota de servicio superior proveedores Dinero mercado o precios más Electrónico bajos. 80 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Sección 4: Estrategias de Riesgo En esta etapa del proceso, todos los riesgos parte cubren las responsabilidades de la implementa cuando el riesgo se hace deberán haberse evaluado y clasificado otra parte. Un ejemplo de una estrategia mayor. Las estrategias de tratamiento de en función de la probabilidad y el impacto. de transferencia de riesgo, se refiere al riesgos también pueden incluir estrategias Con base en los umbrales de aceptación robo del efectivo del corresponsal en las de respuesta sobre cómo controlar el daño de riesgos establecidos en el proceso de instalaciones del corresponsal. Este riesgo sólo si se realiza el riesgo. planificación, el equipo del proyecto ahora puede ser transferido a través de la compra podrá identificar qué riesgos serán tolerados, de un seguro de robo, ya sea en nombre del En general, las estrategias de tratamiento tratados, transferidos o terminados. corresponsal, o como requisito para que los deben ser apropiadas, oportunas, rentables, Los riesgos con baja probabilidad y bajo corresponsales compren un seguro para viables, alcanzables, acordadas, asignadas impacto son propensos a ser tolerados y ellos mismos como parte del contrato del y aceptadas. En esta etapa del proceso es no se requiere ninguna acción adicional. corresponsal. importante involucrar a cualquier recurso Para aquellos riesgos que requieren de operaciones relevante para asegurar tratamiento, transferencia o terminación, Paso 3: Desarrollar estrategia de que el riesgo esté siendo abordado desde se debe desarrollar una estrategia. tratamiento de riesgo un enfoque práctico de abajo hacia arriba para prevenir la creación de estrategias Paso 1: Desarrollar estrategia de El desarrollo de la estrategia de tratamiento de riesgos será una de las mayores tareas inadecuadas o inviables. Cualquier interrupción de riesgos realizadas por el equipo del proyecto de estrategia de tratamiento de riesgo La terminación del riesgo se realiza en propuesta debe cumplir los siguientes gestión de riesgo. Decidir sobre estrategias los niveles más altos de probabilidad e criterios: de tratamiento puede requerir concesiones impacto combinados. Implica tomar las y arreglos, ya que algunas respuestas medidas necesarias para asegurar que la • Estar alineados con los valores de la propuestas pueden ser mutuamente amenaza no pueda ocurrir o no pueda organización, los objetivos del plan de excluyentes o contraproducentes. Por tener un efecto significativo en el proyecto. negocio de los SFD y las expectativas de ejemplo, mitigar el riesgo de retrasos El espectro de estrategias de terminación de la gerencia; excesivos en el lanzamiento de un servicio riesgo incluye una cancelación completa de • Deber ser técnicamente viable; podría costar dinero, creando así nuevos la implementación de Servicios Financieros • El equipo del proyecto o los dueños de riesgos al aumentar la presión sobre el Digitales, o cambiar los fundamentos los riesgos deben tener la capacidad y los presupuesto. El desarrollo de la estrategia de la estrategia del negocio, redefinir recursos para llevar a cabo las acciones de tratamiento de riesgos también debe especificaciones del producto o estrategias requeridas; tener una visión integral de todas las de administración de corresponsales. • Lograr un equilibrio entre la reducción respuestas propuestas y asegurarse que son coherentes. del impacto del riesgo y la capacidad de Paso 2: Desarrollar estrategia de cumplir con los objetivos del proyecto. transferencia de riesgo El tratamiento de riesgos puede incluir Las estrategias de transferencia de políticas o acciones que reduzcan la Se requieren estrategias de tratamiento riesgos se aplican cuando el riesgo puede probabilidad o el impacto del riesgo de riesgos para cubrir todos los riesgos transferirse a un tercero que esté mejor específico, reduciendo así su puntuación a expuestos. Se pueden usar múltiples posicionado para hacer frente a una un rango aceptable, antes de que comience estrategias para asegurar que no haya amenaza particular. Se requieren acuerdos el proyecto; o una aplicación incremental exposición residual como se muestra en la con un tercero que defina claramente qué de la estrategia de tratamiento, que se Figura 6 a continuación. SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 81 03_MARCO Figura 9: Pasos para desarrollar estrategias Paso 4: Desarrollar respuesta táctica para tratamiento del riesgo de mitigación del riesgo Una vez que se han desarrollado las estrategias de tratamiento de riesgo, también se necesita desarrollar una respuesta táctica y orientada a la acción, para cada estrategia. IDENTIFICAR ESTRATEGIAS Las respuestas tácticas deben integrarse en la documentación de Servicios Financieros DE GESTIÓN DE RIESGO Digitales, como es el plan de negocios o los planes de trabajo. Paso 5: Desarrollar Indicador Clave de Riesgo La detección de la ocurrencia de un evento puede realizarse a través del monitoreo de SELECCIONE RESPUESTAS los Indicadores de Riesgo Clave asociados con cada riesgo identificado. La sección Base de Datos de Riesgo, que se encuentra en el capítulo de Herramientas de este manual, No tiene ejemplos de KRIs apropiados que se utilizarán para medir y detectar la ocurrencia de ¿TODOS eventos. La gerencia y el comité de riesgodeben desarrollar y acordar parámetros aceptables LOS RIESGOS de KRI para permitir que los encargados del proyecto continúen con procedimientos del ABORDADOS? escalamiento, cuando y donde las alertas son disparadas por incumplimiento de KRIs. SÍ Los parámetros y límites se deben establecer por la función de riesgo o comité de riesgo de la Junta. En general, son un reflejo de la tolerancia al riesgo de la institución. PLAN Y ACCIONES DE RECURSOS Paso 6: Documentar estrategias de riesgo en registro Por último, las estrategias de riesgo deben ser documentadas en el registro junto con la información previamente registrada para cada riesgo identificado. ACTUALIZAR EL REGISTRO DE RIESGO REVISIÓN DE LA EXPOSICIÓN RESIDUAL PREVISTA EXPECTATIVA PREVISTA ACEPTABLE ACTUALIZAR MARCO DE GESTIÓN DE RIESGO Fuente: Project Management Institute: Practice Standard for Project Risk Management 82 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Tabla 6: Ejemplo de la Etapa de Desarrollo de la Estrategia de Riesgo para el Riesgo Estratégico de SFD Utilizando los umbrales de puntaje de: Nivel de Riesgo 1-5 6 - 12 13 - 25 Acción Tolerar Tratar Transferir o Finalizar Para el riesgo identificado en la Tabla 5, los riesgos clasificados 3 y 4 pueden ser tolerados ya que tienen una puntuación combinada de menos de 5. Los riesgos 1 y 2 requerirán una estrategia de tratamiento porque caen en el umbral de control con puntajes entre 6 y 12. Riesgo Estratégico #1: Categoría del riesgo: Riesgo Estratégico Categoría Secundaria: Riesgo Financiero Nombre: Competencia Descripción: Los competidores están ganando cuota de mercado Dueño: Jefe de Marketing Causa: Competidores que ofrecen un servicio superior o precios más bajos Efecto: Los clientes migran a otros proveedores Probabilidad: 3 de 5 Impacto: 3 de 5 Estrategia de Riesgo: Tratar Estrategia de Tratamiento: • Realizar investigaciones para entender la oferta de los competidores, sus fortalezas y debilidades • Supervisar los registros de los call centers, respecto a las quejas sobre los niveles de servicio • Promociones para mantener a los clientes comprometidos y activos • Venta cruzada de otros productos y servicios para crear permanencia del cliente Respuesta Táctica de • Reevaluar diseño de producto y canal, precios y estructuras de comisiones Tratamiento: • Realizar estudios para entender mejor la demanda del mercado y desarrollar una propuesta de valor renovada Indicador Clave de Riesgo: % Cuota de Mercado SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 83 03_MARCO Riesgo Estratégico #2: Categoría del riesgo: Riesgo Estratégico Categoría Secundaria: Riesgo Reputacional / Financiero Nombre: El SFD no logran alcanzar la sostenibilidad en el plazo designado Descripción Los SFD no cumplen las metas de ingresos y gastos, lo cual resulta en ingresos y retorno de la inversión negativos Dueño: Jefe de Servicios Financieros Digitales Causa: Mal diseño del producto o del canal, demanda del mercado y/o competencia mal entendidos Efecto: Pérdida de inversión Probabilidad: 2 de 5 Impacto: 3 de 5 Estrategia de Riesgo: Tratar Estrategia de Tratamiento: • Utilizar la investigación de mercados y benchmarks de la industria para establecer supuestos • Asegurar que las metas son realistas y están alineadas con los KPIs • Asegurar que hay suficientes recursos (personas / fondos) asignados para alcanzar los objetivos • Monitorear el desempeño y actualizar la estrategia según sea necesario Respuesta Táctica de • Iterar el modelo financiero a medida que avanza la implementación Tratamiento: • Reevaluar las estructuras de precios y comisiones • Realizar estudios de mercado para entender la demanda del mercado • Realizar actividades promocionales para estimular la adopción Indicador Clave de Riesgo: • Ingresos netos • Clientes activos • Transacciones por cliente • Corresponsales activos • Clientes por corresponsal • Tasa de interés del fondo de dinero electrónico 84 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Sección 5: Monitorear y Revisar La eficacia del marco de gestión de riesgo depende de lo bien que se implemente. La implementación incluye iniciar el trabajo sobre las respuestas tácticas tratadas en la Sección 4, así como revisiones periódicas y reevaluaciones. A medida que los Servicios Financieros Digitales maduran y evolucionan, aparecerán nuevos riesgos, y la probabilidad y el impacto de los riesgos previamente identificados cambiará. El marco de gestión de riesgo y el registro de riesgo son documentos vivos. El equipo del proyecto decidirá sobre los intervalos de informes y reevaluación al inicio del desarrollo del marco de gestión de riesgo. Se recomienda que la información sobre el riesgo se realice trimestralmente y se lleve a cabo una revaluación completa anualmente. Paso 1: Reevaluación de Riesgo Además de la revisión periódica, puede ser necesario realizar una reevaluación si se produce alguna de las siguientes situaciones: • Ocurrencia de un evento importante o inesperado; • Un cambio fundamental en el plan de negocios o estrategia de gestión de Servicios Financieros Digitales; • Se ofrece un nuevo tipo de servicio a través de los Servicios Financieros Digitales; • Fin de la fase de implementación. Paso 2: Seguimiento a riesgos durante un período Para cada período informado, cada riesgo será reportado como: • No ocurrió • Ocurrido y plan de contingencia implementado • Ocurrió y tuvo impacto en el proyecto (tiempo, costo y calidad) Además de informar sobre el registro de riesgos existente, también se debe informar si se han observado riesgos nuevos o previamente no identificados, y la efectividad de las estrategias de riesgo, o cualquier cambio en la causa y efecto de los riesgos dentro del registro. También es muy útil hacer seguimiento al perfil de riesgo de los riesgos claves a lo largo del tiempo, ya que las circunstancias cambiantes (incluyendo la implementación de estrategias de prevención y mitigación de riesgos) pueden hacer que el riesgo de que ocurra un evento específico, sea más o menos probable o cambiar su impacto potencial. SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 85 03_MARCO Resumen Con el fin de implementar con éxito proyecto, pueden usarse para dilucidar una estrategia de Servicios Financieros todos los posibles riesgos asociados con la Digitales, es necesaria una estructura implementación de Servicios Financieros estandarizada para la construcción Digitales. Una vez identificadas, pueden de un marco de gestión de riesgo, con utilizarse metodologías de evaluación el objetivo de apoyar y mantener las apropiadas y coherentes para evaluar y operaciones. El proceso comienza con el clasificar la prioridad del riesgo identificado. establecimiento del contexto, incluyendo El desarrollo de estrategias de tratamiento la construcción del equipo y conseguir incluye decidir si tolerar, tratar, transferir plena aceptación de la alta gerencia y o terminar el riesgo, y desarrollar la la Junta. La parte más importante del estrategia apropiada para hacerlo. Una vez desarrollo del marco es la identificación terminado, el marco de gestión de riesgo del riesgo, la evaluación y el desarrollo de puede ser monitoreado y revisado. Es muy la estrategia de tratamiento. Un grupo importante que el marco de riesgo sea un amplio de personas con antecedentes documento vivo y se utilice para informar diversos debe participar en el proceso de en forma activa sobre la ocurrencia identificación de riesgos. Las revisiones de riesgos, así como para revisarlo y administrativas, revisiones históricas y actualizarlo periódicamente o al ocurrir un las revisiones de los aspectos actuales del evento importante. 86 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 87 04_INSIGHTS AND TOOLS 04_ PARTE IV Insights y Herramientas Lecciones Aprendidas La mayoría de las instituciones entrevistadas en nuestra investigación, tenían algún tipo de marco de gestión de riesgo para su negocio principal que se había extendido a los Servicios Financieros Digitales. Las implicaciones respecto a la forma en la que los SFD cambian el perfil de riesgo, reduciendo algunos pero agregando nuevos riesgos pasivos potenciales, son entendidos por algunos, mientras que otros no están seguros de cómo reaccionar. Hay una necesidad creciente de orientación acerca de la gestión de riesgo en Servicios Financieros Digitales que sea relevante y esté al alcance de todo tipo de proveedores. Las lecciones clave extraídas de nuestra investigación y las entrevistas con una variedad de proveedores se resumen en las siguientes observaciones. Lo más importante es que es necesario contar con marcos integrales de gestión de riesgo. A medida que los Servicios Financieros Digitales siguen creciendo y ampliándose alrededor del mundo y se extiende la gama de servicios disponibles, se vuelven más vulnerables a riesgos imprevistos o nuevos. Un mayor conocimiento público de los servicios, y un mayor volumen y valor de las transacciones, pueden atraer la atención desde lugares y personas no deseados. Para proteger a estas empresas nuevas y en crecimiento, sus clientes y sus aliados (tales como los corresponsales), existe una clara necesidad que la mayoría de los proveedores de Servicios Financieros Digitales mejoren el conocimiento, el enfoque y la implementación de la gestión de riesgo. Mientras que una minoría ha desarrollado estrategias efectivas de tratamiento de riesgo, muchos proveedores de Servicios Financieros Digitales actualmente tienen un enfoque superficial, con poco o ningún tratamiento de riesgo establecido. Los registros de riesgo han sido creados por algunos proveedores de Servicios Financieros Digitales, pero no está claro que éstos sean ampliamente utilizados en el funcionamiento del negocio. En general, parece haber una limitada comprensión y conciencia14 de cómo implementarlos. Los registros se limitan típicamente a riesgos que podrían resultar en pérdidas financieras inmediatas, como fraude o cuestiones técnicas, y no cubren riesgos más amplios y profundos, tales como riesgos estratégicos, riesgo reputacional, riesgos cibernéticos, riesgo societario o riesgos políticos. Su creación se suele considerar como el objetivo final (calmar a los auditores o los comités de gobernanza), en lugar del inicio de un proceso continuo para reducir los riesgos de las organizaciones. Por último, no suelen estar clara o críticamente vinculadas a la consecución de los objetivos. 14 En preparación para esta publicación, la IFC entrevistó a una serie de proveedores de Servicios Financieros Digitales, proveedores de tecnología, ONGs y otras organizaciones relacionadas. 88 DIGITAL FINANCIAL SERVICES RISK MANAGEMENT CIÓ N Los riesgos de gestión de • Múltiples puntos de atención al cliente, 1 LEC tecnología, estratégicos y incluyendo call centers, así como correo de corresponsales, pueden electrónico, SMS, personal de ventas conducir a riesgo reputacional itinerante y personal de sucursales Si los clientes no pueden acceder a su capacitado dinero cuando lo necesitan, existe un riesgo • Tecnología que siempre está funcionando, reputacional potencial que puede conducir es decir, conectividad de datos y voz a la reducción de la adopción de clientes, disponibles; servicio de software la disminución de las tasas de actividad disponible; dispositivo de hardware es y cuentas inactivas;todo lo cual causará operable; y no hay retrasos o fallos de grandes pérdidas a un proveedor al no transacción durante cualquier punto de la poder cumplir con las metas establecidas comunicación en su plan de negocio. Cuando esto sucede, • Recibos de SMS precisos y oportunos hay repercusiones aún más graves si las • Los clientes siempre son reembolsados juntas directivas y la gerencia pierden por actividades fraudulentas confianza y reducen los presupuestos o • Las tarifas son fáciles de entender reorientan los recursos empresariales, • Los menús son fáciles de seguir y se depende de estrategias alternativas • Los corresponsales están siempre (distintas a Servicios Financieros Digitales) disponibles y tienen liquidez para impulsar el crecimiento de los • Los corresponsales están bien capacitados clientes y los ingresos. Por lo tanto, es de para atender a los clientes suma importancia que la experiencia del • Los corresponsales tienen una marca cliente sea perfecta, con un servicio al clara y consistente cliente superior y precios competitivos. La tecnología, la estrategia y el riesgo de CIÓ N El fraude puede tener 2 LEC gestión de los corresponsales juegan un un gran impacto en la papel importante en la prestación de un reputación servicio al cliente superior, e incluyen: El fraude puede causar pérdidas financieras • Productos que satisfacen las necesidades directas como resultado del retiro no de los clientes autorizado de fondos o la creación no autorizada de dinero electrónico. • Diseño de canal que satisface las Adicionalmente, el impacto total del fraude necesidades de los clientes puede extenderse más. Cuando se hace • Precios competitivos pública, se sabe que la actividad fraudulenta • Las cuentas se pueden abrir donde los reduce la confianza del consumidor en los corresponsales, y el cliente idealmente debe Servicios Financieros Digitales, así como los poder tener acceso inmediato a las mismas servicios básicos del proveedor, tales como • Los clientes también pueden acceder a los negocios de voz del MNO o la banca sus cuentas a través de otros canales si personal. Los problemas de confianza de es necesario, como sucursales y cajeros los consumidores también pueden afectar automáticos a otros proveedores y afectar al mercado • Call centers con suficiente personal bien en su conjunto. Por esta razón, se han capacitado producido varios incidentes de fraude DIGITAL FINANCIAL SERVICES RISK MANAGEMENT 89 04_INSIGHTS Y HERRAMIENTAS importantes con pérdidas asociadas, que Los call centers también pueden utilizarse de tecnología o de corresponsales. En el los proveedores han impedido que se con fines de gestión de riesgo, mediante la contexto de los productos conjuntos, existe hagan públicas. Otros no han mantenido utilización de registros de call center para un fuerte riesgo estratégico si existe una sus pérdidas en secreto, en detrimento identificar los riesgos potenciales de los alta dependencia a un solo socio; el socio tanto de sus Servicios Financieros Digitales, SFD, así como para vigilar los principales puede no tener acuerdos de exclusividad, como de su actividad principal. Una indicadores de riesgo. y puede estar utilizando la sociedad para institución implementó una estrategia de aprender y replicar el servicio por su cuenta. mitigación que consistía en ir a la prensa Una vez que se llevan los problemas a enseguida se daba un caso de fraude, con un call center, las instituciones deben Se debe ingresar a cualquier sociedad la esperanza que minimizaría el daño a apuntar a resolver la mayoría de estos solo después de una minuciosa debida la reputación, pero la sensación, visto en la primera llamada. Cualquier demora diligencia y discusiones amplias sobre en retrospectiva, es que esto solo llamó adicional, o requerir llamadas adicionales, roles y responsabilidades. Los acuerdos la atención sobre el tema y asustó a los reducirá la confianza en el servicio y tendrá societarios pueden ser en forma de clientes. Todavía existe desacuerdo entre riesgos reputacionales y posibles pérdidas contratos, memorandos de entendimiento los proveedores sobre la mejor manera de financieras. entre proveedores o acuerdos de nivel de manejar grandes casos de fraude. Debido al servicio con proveedores. Los memorandos daño potencial que el fraude puede infligir CIÓ N Los procesos de de entendimiento y los acuerdos de nivel 4 LEC a todo el mercado de Servicios Financieros conciliación y liquidación de servicio deben definir claramente Digitales, se puede defender la idea que la deficientes dejan a las los productos de cada lado, las rutas de industria comparta mejor las experiencias instituciones abiertas a escalamiento de fallos, la disponibilidad y lecciones aprendidas. Sin embargo, no pérdidas potenciales de servicios, los costos, las condiciones de se debe subestimar el reto de convencer La liquidación y la conciliación es un proceso pago, los derechos de propiedad intelectual a los proveedores a que cooperen, cuando dispendioso que puede tener impactos y los acuerdos de confidencialidad. Para el también son competidores en Servicios significativos en los costos operacionales, socio más pequeño, el elemento más crítico Financieros Digitales y en otras áreas. así como reducir la confianza del cliente de dichas sociedades es la protección, N si las transacciones terminan en cuentas y la claridad en el acuerdo societario en CIÓ La utilidad del call center 3 transitorias durante periodos de tiempo LEC cuanto al tiempo y modo en que los socios significativos. Por ejemplo, los reembolsos pueden entrar en competencia unos con de transacciones de débito sin desembolso, otros. Los acuerdos bien pensados pueden La utilidad del call center es de amplio pueden llevar hasta una semana, dejando a contribuir, en gran medida, a proteger a alcance, mucho más allá de la meta principal los clientes frustrados y pobres en efectivo. una institución contra la incapacidad para de resolver las necesidades de los clientes. La conciliación diaria automática se suministrar o la falta de cumplimiento por Los call center pueden utilizarse para la recomienda no sólo para reducir el número parte de los socios. Sin embargo, vale la educación del cliente, la retroalimentación de transacciones transitorias, sino también pena señalar que los acuerdos no siempre de los clientes y la mejora del valor de marca como una herramienta útil en la detección pueden garantizar la rendición de cuentas. de la institución. Las horas de servicio del temprana de fraudes. Si el socio es muy grande y más poderoso, call center deben extenderse a las noches y fines de semana para atender el alto es posible que no pueda hacerle rendir volumen de llamadas cuando los clientes CIÓ N Hay que elegir cuentas, o si el socio es muy pequeño, 5 LEC tienen más probabilidades de realizar cuidadosamente a los simplemente puede no tener la capacidad transacciones y no pueden ir a una sucursal socios y luego hacerlos de cumplir con los requisitos establecidos o centro de servicio. Debe haber un proceso responsables en los acuerdos. En la mayoría de los casos, para alertar y actualizar al personal del call Por ejemplo los socios pueden ir donde otros es prudente evitar la exclusividad. Para la center respecto de cualquier problema proveedores que colaboran en productos prestación de servicios técnicos, se deben del sistema para que puedan tranquilizar o servicios conjuntos, o proveedores que buscar proveedores de canales múltiples a los clientes preocupados que llaman. proporcionan servicios de administración siempre que sea posible. 90 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Conclusiones Este manual proporciona orientación para el tipo de riesgos que se pueden encontrar en el despliegue de una estrategia de Servicios Financieros Digitales. Muchos de los estudios de caso apuntan a la importancia primordial del riesgo estratégico, el riesgo que la estrategia no alcance sus objetivos debido al despliegue de servicios inapropiados, la mala tecnología, el comportamiento del cliente no alineado con los modelos iniciales o la evolución imprevista del mercado. Siempre es arriesgado proporcionar una lista de riesgos, y posiblemente más aún, el proporcionar una lista de riesgos futuros, pero ya están surgiendo una serie de tendencias que probablemente moldearán la evolución de la gestión de riesgo en Servicios Financieros Digitales. • Uno de los riesgos más importantes comerciante. Esto debería reducir está relacionado con la velocidad de la algunas de las dificultades que los innovación y el cambio disruptivo de operadores han experimentado con las estrategias de canal de Servicios la gestión de la tecnología POS y con Financieros Digitales existentes que las limitaciones de SMS y USSD. Las pueden hacer que una estrategia de instituciones financieras que deseen Servicios Financieros Digitales sea desarrollar una estrategia de Servicios redundante antes que la tecnología Financieros Digitales tendrán que esté completamente implementada. desarrollar los conocimientos técnicos La tasa de cambio en la tecnología y sobre cómo gestionar dichos riesgos. las plataformas no tiene precedentes. • En mercados como Kenia, donde la No sólo los proveedores de servicios banca de corresponsales ha tenido necesitan determinar qué plataformas éxito, los comerciantes ahora tienen un soportar, sino que los requisitos de los número desconcertante de dispositivos clientes cambian rápidamente. Un banco POS y teléfonos sobre los que manejan en Mozambique desplegó dispositivos transacciones para un número creciente POS en los taxis; dos años más tarde, Uber de instituciones. Por lo tanto, es estaba atendiendo el mismo mercado probable que la banca de corresponsales en siete de las ciudades más grandes evolucione de un servicio en el que cada de África con teléfonos inteligentes y banco busque habilitar al mayor número facturación directa a tarjetas de crédito. posible de corresponsales, a una situación • Con el rápido aumento en el uso de en la cual cualquier comerciante pueda teléfonos inteligentes, cada vez más manejar un depósito o retiro en un despliegues de Servicios Financieros solo dispositivo para cualquier banco o Digitales dependerán del teléfono MNO, siempre que se hayan vinculado inteligente del cliente o del corresponsal/ a un conjunto de reglas estándar. SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 91 04_INSIGHTS Y HERRAMIENTAS Esto de nuevo cambiará la dinámica competitiva. Algunas instituciones se especializan en servicios de corresponsales, mientras que otras se centrarán en los servicios al cliente y utilizarán los servicios de banca de corresponsales suministrados por otros. • Es probable que la regulación de los servicios habilitados para Servicios Financieros Digitales, tales como el dinero electrónico y banca de corresponsales, aumente y también cambie la dinámica competitiva. En un número creciente de jurisdicciones los reguladores están comenzando a exigir la interoperabilidad entre los servicios de pago, incluyendo dinero electrónico, así como impedendo que los proveedores firmen acuerdos de exclusividad con los corresponsales. • Aunque el dinero en efectivo sigue siendo popular en todos los mercados del mundo, a medida que disminuyen los costos de transacciones electrónicas, habrá una reducción gradual en la necesidad de servicios de depósito/ retiro de efectivo, los cuales deben ser tenidos en cuenta en la estrategia de Servicios Financieros Digitales. A largo plazo, a medida que disminuya la dependencia en el efectivo, algunos comerciantes verán disminuir sus ventas en efectivo y, por lo tanto, serán menos capaces de soportar los requisitos de liquidez en efectivo de los servicios de banca de corresponsales. Ningún proveedor de Servicios Financieros Digitales podrá escaparse de los riesgos asociados con la implementación de tecnología y modelos de negocios nuevos. Sin embargo, los estudios de caso han puesto de manifiesto, cómo es posible gestionar estos nuevos riesgos, con el fin de alcanzar los objetivos de negocio en favor del crecimiento de la inclusión financiera. 92 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Herramientas Lista de Control de Gestión de Riesgo Arquitectura de riesgo • Declaración producida que establece las responsabilidades de riesgo y enumera los asuntos basados en riesgo reservados a la Junta Directiva • Responsabilidades de gestión de riesgo • Se han adoptado disposiciones para garantizar la disponibilidad de asesoría competente y adecuada sobre los riesgos y los controles • Existe una cultura consciente de riesgo dentro de la organización y las acciones están a la mano para mejorar el nivel de madurez del riesgo • Se han identificado y validado las fuentes de aseguramiento de riesgo para la Junta Directiva Estrategia de riesgo • Se produce una política de gestión de riesgo que describe el apetito de riesgo, la cultura y filosofía de riesgo • Dependencias clave para el éxito identificadas, junto con los asuntos que deben ser evitados • Objetivos de negocio validados y los supuestos que sustentan esos objetivos probados • Los riesgos importantes a los que se enfrenta la organización identificados, junto con los controles críticos requeridos • Plan de acción de gestión de riesgo establecido, que incluye el uso de indicadores clave de riesgo según corresponda • Se identificaron y proporcionaron los recursos necesarios para apoyar las actividades de gestión de riesgo Protocolos de riesgo • Se identificó y adoptó un marco adecuado de gestión de riesgo, con las modificaciones oportunas • Las evaluaciones de riesgos adecuadas y suficientes se completaron, y los resultados se registraron de una manera apropiada • Procedimientos para incluir el riesgo como parte de la toma de decisiones de negocios establecidos e implementados • Detalles de las respuestas de riesgo requeridas registradas, junto con arreglos para rastrear las recomendaciones de mejora del riesgo • Procedimientos de notificación de incidentes establecidos para facilitar la identificación de tendencias de riesgo, junto con procedimientos de escalamiento de riesgos • Planes de continuidad de negocio y planes de recuperación de desastres, establecidos y probados regularmente • Disposición establecida para auditar la eficiencia y la eficacia de los controles existentes para riesgos significativos • Disposiciones en vigor para la notificación obligatoria de riesgos, incluyendo informes sobre al menos lo siguiente: »» Apetito, tolerancia y restricciones al riesgo »» Arquitectura de riesgo y procedimientos de escalamiento de riesgos »» La cultura consciente del riesgo actualmente en vigor »» Arreglos y protocolos de evaluación de riesgos »» Riesgo significativos e indicadores clave de riesgo »» Controles críticos y debilidades de control »» Fuentes de aseguramiento disponibles para la Junta Fuente: Enterprise Risk Management (ERM) and the requirements of ISO 31000, AIRMIC, Alarm, IRM: 2010 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 93 04_INSIGHTS Y HERRAMIENTAS Plantilla de Registro de Riesgo Categoría del riesgo: Seleccione una de las siguientes: Estratégico, Regulatorio, Operacional, Tecnológico, Financiero, Político, Fraude, Gestión de Corresponsales, Reputacional o de Socios Categoría Secundaria: Elija uno o más entre: Estratégico, Regulatorio, Operacional, Tecnológico, Financiero, Político, Fraude, Gestión de Corresponsales, Reputacional o de Socios Nombre: Nombre del riesgo Descripción: Breve descripción del riesgo, para describir con precisión puede requerir una breve referencia a causa y efecto Dueño: Persona responsable de monitorear el riesgo e implementar estrategias de tratamiento Causa: La razón por la que ocurre el evento Efecto: El impacto que tiene el riesgo si se realiza Probabilidad: La probabilidad de que ocurra el riesgo. Puede ser clasificado en una escala de 1 a 5 o asignado un porcentaje de 0 - 100% Impacto: Las pérdidas potenciales si el evento ocurriera. Puede clasificarse en una escala de 1 a 5 o asignar un valor de los costos reales de realización del riesgo Estrategia de Riesgo: Seleccione una de las siguientes: Tolerar, Tratar, Transferir o Terminar Estrategia de Tratamiento: Implicación política de la institución para controlar el riesgo antes, durante o después de la ocurrencia del evento Respuesta Táctica de Tratamiento: Acciones específicas a tomar en caso de ocurrencia de evento Indicador Clave de Riesgo: Indicador utilizado como alerta temprana de que el potencial de los efectos adversos de un riesgo pueden ocurrir Estado actual: Seleccione una de las siguientes: No ha ocurrido, Ocurrió y se trató, Ocurrió con impacto 94 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Base de Datos de Riesgo Riesgo 15 Descripción Tipo de Opciones de Política y Posibles Indicador Clave Institución Herramientas de Mitigación de Riesgo Riesgo Estratégico Los Servicios El Servicio Financiero Digital Cualquiera Utilizar la investigación de mercados y benchmarks Ingresos netos Financieros Digitales no cumple metas de ingresos de la industria para establecer supuestos. Clientes activos no logran alcanzar la y gastos y resulta en ingresos Iterar el modelo financiero a medida que avanza la sostenibilidad en el y retorno de la inversión Transacciones por cliente implementación. plazo designado. negativos. Corresponsales activos Asegurar que las metas se difundan y están alineadas con los KPIs. Transacciones generadoras de ingresos Monitorear el desempeño y actualizar la estrategia según sea necesario. Intereses devengados sobre encaje El proveedor Una comprensión incorrecta Cualquiera Utilizar estudios de mercado para desarrollar las Clientes activos vs. no entiende del cliente conduce al desarrollo especificaciones del producto, el diseño del canal y clientes registrados completamente su de productos y canales no decidir interfaces tecnológicas apropiadas. Corresponsales activos mercado objetivo adecuados para el cliente Supervisar la adopción y activación de clientes. vs. corresponsales para Servicios objetivo. registrados Financieros Digitales. Utilizar discusiones de grupos focales, registros de call center y retroalimentación de corresponsales Transacciones por cliente para informar el diseño de Servicios Financieros Digitales. Lecciones aprendidas en otros mercados. El proveedor La dotación de personal y el Cualquiera Asegurar que se asignen recursos desde el inicio para Gastos de personal no invierte marketing son insuficientes y el la dotación de personal y el marketing basado en los reales y como % de los completamente proveedor no puede cumplir con benchmarks de la industria y los costos locales del costos totales en los recursos los objetivos de vinculación y personal y las actividades de marketing. Gastos reales de necesarios para activación de clientes. Comprometer los recursos durante todo el período marketing y como % de alcanzar los hasta que se alcance la sostenibilidad o se revise la los costos totales objetivos. estrategia. Des-priorización El mal desempeño conduce Cualquiera Resolver los principales problemas dentro del Ingresos netos de productos o a la des-priorización de los departamento de Servicios Financieros Digitales Clientes activos canales de Servicios Servicios Financieros Digitales (por ejemplo, riesgos tecnológicos, reputacionales u Financieros Digitales y la organización se reorienta operacionales). Corresponsales activos en torno a prioridades Realizar estudios de mercado para identificar las competitivas. necesidades de los clientes frente al servicio ofrecido. Competencia Los competidores están Cualquiera Mejorar la calidad de servicio a través de Cuota de mercado de ganando cuota de mercado corresponsales y call center. clientes activos debido a un servicio superior o Reevaluar las estructuras de precios y comisiones. Cuota de mercado de precios más bajos. transacciones Reevaluar las características del producto. 15  Propios de los autores, así como procedentes de: Mobile Financial Services Risk Matrix, USAID, 2010 Fraud in Mobile Financial Services, Mudiri, MicroSave Mobile Financial Services Technology Risks, Alliance for Financial Inclusion (AFI), 2013 Risk Management in Mobile Money: Observed Risks and Proposed Mitigants for Mobile Money Operators, Lake, IFC, 2013 Digital Financial Services Risk Assessment for Microfinance Institutions: A Pocket Guide, The Digital Financial Services Working Group, 2014 Risk Management Case Studies, Fidelity Bank, Kopo Kopo, FINCA DRC and Tigo Tanzania, IFC & Genesis, 2015 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 95 04_INSIGHTS Y HERRAMIENTAS Riesgo Descripción Tipo de Opciones de Política y Posibles Indicador Clave Institución Herramientas de Mitigación de Riesgo Canibalización de Sucursales y corresponsales Banco de IMF Desarrollar KPIs conjuntos para prevenir operaciones Clientes atendidos a clientes cazando mutuamente sus en silos. través de corresponsales clientes bancarios para vs. sucursales satisfacer sus propios KPIs. Servicios ofrecidos a través de corresponsales vs sucursales La amenaza Socio compitiendo directamente Cualquiera MOU con socios para definir exclusividad y Cuota de mercado de competitiva del socio con el proveedor para vincular propiedad del cliente. clientes activos comerciantes, corresponsales o Proporcionar un servicio de calidad a los clientes y Cuota de mercado de clientes, resultando en tasas de corresponsales. transacciones crecimiento más lento o pérdida de clientes. Diversificar la dependencia del socio utilizando múltiples socios. Campañas de marketing y sensibilización. Investigación de mercados para diferenciadores adicionales e innovaciones de producto. Desarrollar estrategias de marketing conjunto. Falta de Redes de circuito cerrado sin Cualquiera Integrar a otros proveedores y permitir a los Volumen de interoperabilidad capacidad para transferir fondos clientes mover fondos entre las partes y realizar transacción P2P de la red impide entre los titulares de cuentas transacciones fuera de la red. Volúmenes totales la transacción del de redes de pago de diferentes de transacción cliente con la parte proveedores de cuentas debido deseada. a la falta de interoperabilidad. La interoperabilidad El desarrollo de sistemas Cualquiera, Monitorear las transacciones durante la fase piloto Cuota de mercado de aumenta la rotación. interoperables con socios puede pero para conocer las tendencias en el movimiento de clientes activos conducir a la pérdida de clientes principalmente efectivo y el comportamiento del cliente. Cuota de mercado de empresariales centrales debido MNOs Campañas conjuntas de marketing. Transacciones a que ya no necesitan ser su cliente para acceder a Incentivos para impulsar la retención de clientes. Actividad del cliente sus servicios. Riesgo de La dirección, fundadores o Cualquiera Implementar el enfoque en equipo, en los proyectos. Ingresos netos persona clave miembros de la Junta directiva Para cada cargo, tenga un sustituto en espera. Presupuestos totales vs. salen de la organización, lo gastos del proyecto. cual tiene un impacto directo Asegurar el intercambio de aprendizajes en la sostenibilidad o lleva a la e información. des-priorización de los Servicios Financieros Digitales. Riesgo Financiero El proveedor pierde El banco fiduciario se vuelve MNO Identificar el banco fiduciario a través de una debida Suficiencia de capital de fondos del cliente insolvente, las cuentas en diligencia adecuada para determinar su estabilidad banco fiduciario debido al fallo del fideicomiso que no están financiera. ROE y ROA del banco banco fiduciario. legalmente segregadas del Los fondos fiduciarios que posean el valor de los fiduciario patrimonio general de activos artículos en tránsito están legalmente segregados de bancarios disponible para los activos propios del fideicomisario en quiebra. satisfacer a los acreedores, pueden ser llevadas al proceso Las cuentas fiduciarias son divisibles y transferibles. de bancarrota, y se bloquea el Diversificación de depósitos en múltiples bancos. acceso a las mismas. 96 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Riesgo Descripción Tipo de Opciones de Política y Posibles Indicador Clave Institución Herramientas de Mitigación de Riesgo Ajuste de activos - Los clientes de Servicios Bancos, IMFs Diversificar el servicio para agregar capacidades de Saldo promedio en pasivos Financieros Digitales pueden ser ahorro, así como préstamos a corto plazo. cuenta más propensos a hacer pequeños Incentivar depósitos a largo plazo a través de Número de depósitos a corto plazo en cuentas con intereses. transacciones de comparación con otros clientes depósito y de retiro por bancarios, lo que significa que mes por cliente el proveedor es tiene menos capacidad para intermediar fondos a fuentes de ingresos más rentables a largo plazo. Riesgo de crédito de Debido a la nueva estructura Bancos, IMFs Vigilar de cerca los patrones de comportamiento Cartera en Riesgo los clientes de distribución, los clientes del cliente. pueden sentir una disminución Desarrollar sistemas para alertar a los oficiales de crédito en la obligación de pagar los cuando los préstamos no son reembolsados a tiempo. préstamos debido a que ya no tienen una relación directa con Incentivar a los corresponsales para recaudar el proveedor. amortizaciones de préstamos similares a las estructuras de incentivos para los oficiales de crédito. Riesgo de crédito No amortización de préstamos Cualquiera Desarrollar políticas de riesgo crediticio, Cartera en Riesgo de corresponsales y concedidos a corresponsales o procedimientos de diligencia debida de préstamos comerciantes comerciantes. y diversificar el riesgo de crédito. Implementar reservas para pérdidas por préstamos basadas en antigüedad de la cartera. Utilizar algoritmos para validar las aprobaciones de préstamos y monitorear el desempeño en curso del préstamo. Riesgo Cambiario La devaluación de la moneda Cualquiera Coberturas a préstamos en moneda extranjera Tasas de Cambio local aumenta los costos y devalúa los activos. Riesgo de liquidación El riesgo de que una parte no Cualquiera Utilizar sistemas de liquidación bruta en tiempo real Número transacciones entregue fondos a otra parte en para transferencias bancarias. en cuentas transitorias el momento de la liquidación Para los MNOs, acuerdos bilaterales para controlar Tiempo necesario para la liquidación. conciliar y liquidar transacciones en cuentas transitorias Riesgo Tecnológico Incumplimiento de la Se viola la cuenta de cliente o Cualquiera Implementar controles para reducir la probabilidad Algoritmos para detectar cuenta de cliente o corresponsal y se obtiene acceso de una liberación no autorizada o robo de comportamientos corresponsal a las credenciales de seguridad, información personal, mediante encripción, sospechosos la información de la cuenta o el autenticación de doble factor y derechos de usuario Registros de historial de transacciones, lo que en niveles. escalamiento del podría resultar en pérdida de fondos, call center procesamiento de transacciones ilícitas o robo de identidad. Se puede tener acceso a la información de la cuenta del cliente de manera inapropiada a través de: Historia de SMS Mala encripción de WAP Scripting entre sitios de sesiones USSD Acceso o uso no autorizado por el personal o corresponsales del proveedor SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 97 04_INSIGHTS Y HERRAMIENTAS Riesgo Descripción Tipo de Opciones de Política y Posibles Indicador Clave Institución Herramientas de Mitigación de Riesgo El cliente no puede El cliente no puede acceder a la Cualquiera El proveedor debe probar la disponibilidad de Tasa de éxito de acceder a la cuenta cuenta a través de la aplicación transacciones de punto a punto de forma periódica. transacciones de punto debido a la falta de o corresponsal debido a: Todas las interfaces de transacciones están definidas a punto disponibilidad del La red móvil no está disponible con límites claros de terminación, permitiendo sistema y/o falla de así procedimientos claros de reversión en caso de la transacción. El sistema del proveedor está sufriendo interrupciones incertidumbre. temporales del sistema. Acuerdos de nivel de servicio con proveedores y socios del sistema, y sanciones por incumplimiento Procesos acordados de escalamiento para resolver problemas. Actualizaciones del sistema. Utilizar USSD como respaldo a un POS habilitado con 3G para reducir la dependencia en la conectividad de datos Malware Los virus, troyanos o gusanos Cualquiera Utilizar una combinación de software antivirus, fire Informes de ataques infectan archivos, obtienen walls, sistemas de detección de intrusiones, servidores exitosos en el servicio acceso remoto, instalan software proxy, contenido web, filtros de adjuntos de correo malicioso para robar datos, realizan electrónico y técnicas de encripción de datos. transacciones no autorizadas o Desarrollar procedimientos para que el personal, bloquean el uso autorizado. corresponsales y clientes denuncien actividades sospechosas. Repetición de Los MNOs a menudo tienen Cualquiera Deshabilitar peticiones de reintento. Informes del sistema transacciones por solicitudes de reintento usando Utilizar recibos de SMS para las transacciones de sobre transacciones la red automático para entregar un aplicaciones los clientes con el objetivo de supervisar si hay duplicadas SMS a un destino si no se tiene SMS duplicados éxito en el primer intento. Cuando se utilizan en transacciones de dinero electrónico, algunos sistemas pueden interpretar esto como solicitudes de transacciones múltiples. Retrasos de Las demoras del sistema Cualquiera Limitar la capacidad del sistema para reintentar las Quejas de transacciones transacciones pueden causar retrasos en las transacciones. duplicadas transacciones o recibir recibos Educar a los corresponsales y clientes para hacer Llamadas a atención al de SMS. revisiones de saldo si no reciben una confirmación cliente sobre SMS no vía SMS inmediatamente. recibidos Fallos de hardware Los dispositivos POS fallan Banco, IMF o Acuerdo de nivel de servicio con proveedores de Tasa de fallos de la debido a la mala construcción o Proveedor de hardware, incluyendo sanciones por incumplimiento. transacción incapacidad para conectarse al Servicios de Acuerdo de mantenimiento con el proveedor de Tasa de fallos de POS software Pago hardware. Pérdida de datos Falla del almacenamiento Cualquiera Proporcionar bases de datos espejo, separadas para Registros de principal y de la instalación de documentar todas las transacciones en tiempo real. transacciones perdidos respaldo (incluidos los sistemas Exporte la información de transacciones al basados en la nube), lo que almacenamiento con regularidad. resulta en la pérdida de registros de transacciones. Fallo de entorno de El sistema no está disponible Cualquiera Auditoría técnica y financiera regular del entorno de Disponibilidad del sistema hosting debido a problemas técnicos hosting y del proveedor. Número de con el entorno de hosting de Uso de acuerdos de nivel de servicio con el interrupciones Servicios Financieros Digitales proveedor de hosting yde almacenamiento. Tiempo necesario para Uso del software cloud-watch para monitorear la recuperarse de las salud del proveedor de la nube. interrupciones Procedimientos documentados para fallos de servicio y recuperación de desastres. 98 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Riesgo Descripción Tipo de Opciones de Política y Posibles Indicador Clave Institución Herramientas de Mitigación de Riesgo Riesgo Regulatorio Los clientes Al registrarse inicialmente para Cualquiera Campañas de educación al cliente para obteneruna Sensibilización al cliente potenciales una cuenta, el cliente no puede identificación y los requisitos de KYC, antes de la vs. vinculación de no tienen una proporcionar una identificación vinculación de la cuenta. clientes Identificación (ID) Lobbying regulatorio para permitir la reducción de Comentarios del u otros requisitos requisitos y/o sustitutos de la ID corresponsal sobre de KYC clientes a los que se les niega vinculación Impuestos de Los gobiernos deciden gravar las Cualquiera Lobby al gobierno y formadores de opinión para Reducción aguda transacción comisiones de transacción con el evitar la tributación o inexplicable de fin de aumentar los ingresos que Tasas potencialmente más bajas (es decir, pagar transacciones podrían afectar negativamente todo o parte del impuesto en nombre de los clientes) la demanda de los clientes. El corresponsal no Los corresponsales pueden no Cualquiera Educación de corresponsales. Porcentaje de registros hace KYC de clientes cumplir con los requisitos de Alinear incentivos únicamente a los clientes de clientes rechazados en forma adecuada KYC, ya que las comisiones están registrados correctamente. por el proveedor de diseñadas para incentivar la Servicios Financieros apertura de cuentas y realizar Cuando los reglamentos lo permitan, abrir cuentas Digitales transacciones. de nivel uno con KYC reducido hasta que se pueda recopilar toda la información Comprador secreto. Sanciones por incumplimiento. Cambios en las El regulador cambia las leyes Cualquiera Construir canales de alineación y comunicación con Comunicación formal de regulaciones que ya no son favorables a los reguladores. los cambios regulatorios las operaciones de Servicios inminentes Financieros Digitales o impiden Quejas del regulador por que los proveedores obtengan incumplimiento licencias. Falta de El Proveedor no cumple Cualquiera El departamento de cumplimiento garantiza el Informes de auditoría cumplimiento con las leyes y regulaciones cumplimiento total de las leyes regulatorias. interna, carta de aplicables resultando en multas, Monitorear cualquier plan para cambiar las gerencia de auditoría intervención regulatoria y, en regulaciones aplicables y proporcionar comentarios externa última instancia, pérdida de la al regulador. Cumplimiento normativo licencia. Asegurarse que el sistema se actualiza para cumplir con los cambios previstos en la regulación. Riesgo Político Incapacidad La violencia post-electoral, Cualquiera Aplicar un plan de interrupción del servicio para los Informar el número de para acceder a desórdenes civiles, guerra o corresponsales y personal horas o días sin servicio cuentas o realizar actividad terrorista perturban Planeación de Continuidad de Negocio Comparar el tiempo transacciones. las operaciones comerciales de inactividad con los normales. Plan de comunicación. principales competidores Riesgo de Corresponsales Falta de Los clientes no pueden Cualquiera Realizar campañas de vinculación de corresponsales Number of customers disponibilidad de acceder a fondos ni realizar en cercanías de corresponsales activos Número de clientes por corresponsales transacciones debido a la falta sobrecargados. corresponsal. de corresponsales cercanos o Asegúrese de que la cobertura de corresponsales sea Tasas de actividad de los corresponsales existentes adecuada en densidad. corresponsales y de son inaccesibles debido a filas clientes excesivas. SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 99 04_INSIGHTS Y HERRAMIENTAS Riesgo Descripción Tipo de Opciones de Política y Posibles Indicador Clave Institución Herramientas de Mitigación de Riesgo Falta de liquidez del El cliente no puede realizar Cualquiera Uso de corresponsales y súper-corresponsales para Monitorear los saldos de corresponsal transacción de retiro o depósito la liquidez. Utilizar registros del call center para dinero electrónico del porque el corresponsal no tiene identificar corresponsales problemáticos y trabajar corresponsal suficiente dinero en efectivo o con ellos para resolver problemas de liquidez. Número de quejas de dinero electrónico. Desarrollar corresponsales en conjunto con la vinculación clientes sobre liquidez en de clientes con el objetivo de garantizar incentivos efectivo adecuados para gestionar las necesidades del cliente. Informes para identificar corresponsales que no cumplen con los requisitos de liquidez. Alertas manuales/automatizadas a los corresponsales cuando su encaje de dinero electrónico se está agotando. Prefinanciar los requisitos de capital de los corresponsales a través de préstamos o alianzas con instituciones de crédito. Compradores secretos y buena gestión de corresponsales. Robo por parte de Corresponsal es robado Cualquiera Requerir/recomendar que los corresponsales Hacer seguimiento y corresponsales compren seguro de robos. documentar el robo a Educar a los corresponsales a no mantener cantidades corresponsales por área, excesivas de dinero en efectivo en los locales. hora del día, naturaleza del robo Realizar comprobaciones de antecedentes de los empleados potenciales del corresponsal, o sugerir que los corresponsales lo hagan. Los corresponsales llevan a cabo conciliaciones diarias de transacciones, encaje y saldos de cuenta. Exigir la proximidad del corresponsal a la policía. Seguridad física para efectivo a través de cajas fuertes, cabinas protegidas, etc. Inactividad del El proveedor no identifica, Cualquiera Desarrollar corresponsales en conjunto con la Tasa de actividad del corresponsal entrena y administra vinculación de clientes. corresponsal adecuadamente a los Monitorear las tasas de actividad de los corresponsales y/o hay clientes corresponsales y aumentar la educación y el insuficientes para mantener a monitoreo de los corresponsales de bajo desempeño. los corresponsales activos. Sistemas para alertar e informar la detección temprana de corresponsales inactivos. Cese de negocios con corresponsales constantemente inactivos. Revisar las estructuras de incentivos y precios para garantizar la idoneidad. Error por parte de Errores de captura de datos, Cualquiera Proporcionar búsqueda de número de teléfono Tasa de reversión de corresponsales errores de digitación, errores para verificar nombre de cuenta durante el transacciones tipográficos, etc. hechos por procesamiento de transacciones. Rechazo de vinculación el corresponsal o el personal Potencialmente, requerir digitar datos clave dos de cuenta que resultan en registros o veces para confirmar. transacciones imprecisas. Entrenamiento del corresponsal ya sea propietario/ operador y al personal del corresponsal. Call center de corresponsales para reversiones y consultas. Unidad de procesamiento de back-office para verificar detalles de KYC. 100 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Riesgo Descripción Tipo de Opciones de Política y Posibles Indicador Clave Institución Herramientas de Mitigación de Riesgo Riesgo de solvencia La incapacidad de un Cualquiera Diligencia debida del corresponsal para seleccionar Tasas de cierre de del corresponsal corresponsal de pagar sólo corresponsales acreditados y estables. corresponsales sus pasivos y resulta en la Proceso para eliminar branding y hardware de insolvencia y el cierre. Servicios Financieros Digitales del local de un corresponsal que está fallando. Mala calidad de El personal del corresponsal Cualquiera Re-entrenamiento habitual para el corresponsal Tasa de actividad del la experiencia que atienda a los clientes puede y todo el personal. cliente del cliente en los no haber sido entrenado por Centro de llamadas para consultas del corresponsal. Quejas de clientes corresponsales el proveedor y tener una mala comprensión del servicio. Compradores secretos y buena gestión de corresponsales Banca de Branding de corresponsales Cualquiera Asegúrese de que existe un acuerdo contractual con Registros de corresponsales inconsistente debido a la los corresponsales para tener un estándar mínimo incumplimiento eliminación por el corresponsal/ de branding en todos los puntos de venta por parte de los otros dotadores de material de corresponsales. administradores de promocional o incapacidad de Soporte de ventas para comprobar branding y la corresponsales instalar branding debido a la disponibilidad de otros materiales durante las presencia de otros materiales de visitas regulares. branding. Comprador secreto. Caso de negocios de Riesgo que los corresponsales Cualquiera Incentivos de corresponsales bien estructurados. Tasa de actividad del corresponsales no tengan suficientes clientes Despliegue estratégico de corresponsales con corresponsal o comisiones para mantener clientes y territorio adecuados. las operaciones. Comisión para el corresponsal por la vinculación de nuevas cuentas que impulsar la penetración a nuevos clientes. Apoyo a corresponsales, a través de oficiales de corresponsalía y call center, y capacitación. Riesgo de Fraude Cliente Defraudado por una parte externa Identidad robada La identidad del cliente es Cualquiera Considere el uso de dispositivos biométricos para Registros de robada y se utiliza para abrir reducir el fraude. incumplimiento una cuenta o para realizar Adopción de políticas y procedimientos para mejorar por parte de los transacciones fraudulentas. la detección del fraude. administradores de corresponsales Utilizar los PIN y realice la educación del cliente sobre la protección del PIN. Buenas políticas de restablecimiento de PIN para impedir la actividad fraudulenta. Recogida rápida de documentación original del corresponsal o personal de apertura de cuentas. Idealmente obtener documentación electrónica que se puede transmitir al proveedor de inmediato. Verificación del carácter de los corresponsales durante el proceso de nombramiento. SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 101 04_INSIGHTS Y HERRAMIENTAS Riesgo Descripción Tipo de Opciones de Política y Posibles Indicador Clave Institución Herramientas de Mitigación de Riesgo Suplantación Un individuo se presenta como Cualquiera Educar a los clientes para que reciban una Registros de del proveedor o empleado o corresponsal del confirmación por SMS antes de entregar dinero incumplimiento corresponsal proveedor y acepta depósitos en efectivo. por parte de los o logra acceso no autorizado a Campañas de educación del cliente para identificar administradores de cuentas de clientes para llevar a corresponsales válidos y mantener el PIN en secreto. corresponsales cabo actividades fraudulentas. Call centers para reclamaciones de clientes. Liberar escalamiento del cliente y el proceso de retroalimentación para reportar casos de fraude y activar la sensibilización del mercado sobre el fraude. Reconciliaciones diarias de pagos y recibos contra sistemas internos. Marca de corresponsal clara y consistente. Phishing Los estafadores se presentan Cualquiera Minimizar la información reportada en los informes Registros de como representantes oficiales de transacciones sólo a lo que es absolutamente incumplimiento de corresponsales o proveedores necesario. por parte de los para obtener acceso a PINs, Solicitar a los clientes que denuncien cualquier administradores de capacidades de cuentas, amenaza y fraude a las autoridades policiales. corresponsales registros de transacciones o saldos de cuentas de Campañas de concienciación para educar a los corresponsales o clientes. corresponsales y clientes sobre la seguridad de las cuentas y mantener secretos el PIN, etc. Desarrollar procedimientos y directrices claros para la identificación, comunicación y gestión del fraude. Cambio de SIM La tarjeta SIM de un cliente (o Cualquiera Documentar un proceso claro de intercambio de Registros de corresponsal) se cambia por que utilice SIMs que limita a las personas/organizaciones que incumplimiento una nueva sin autorización. El Dispositivos pueden realizar intercambios de SIM y establecer por parte de los titular de la tarjeta SIM puede Móviles límites de tiempo entre el momento en que se administradores de acceder a la cuenta del cliente realiza el intercambio de SIM y el momento en que corresponsales y realizar transacciones sin su se implementa. conocimiento. Mantener un registro de los cambios realizados a través de informes. Fraude de Los comprobantes y códigos Cualquiera Desarrollar procesos claros que definan la Quejas de clientes comprobates de transacción que se generan generación de soportes, plazos de vencimiento para permitir pagos a los y notificaciones al vencimiento. comerciantes para bienes Los soportes no deben ser visibles para nadie, predefinidos o para retiros excepto para el destinatario y, cuando se extravía, el de efectivo, son robados y destinatario puede notificar al negocio y obtener los utilizados sin autorización. nuevos reeditados directamente. Preferentemente, en el caso de clientes no registrados, deben registrarse antes de acceder a los fondos. Cliente defraudado por el corresponsal Cuotas no El corresponsal puede cobrar Cualquiera Los proveedores usan contratos claros que revelan Quejas de clientes autorizadas excesivamente o cobrar una completamente todos los cargos que se cobrarán, tarifa de efectivo adicional no adaptados a las diversas situaciones de los clientes, autorizada al consumidor. incluyendo diferentes idiomas y analfabetismo. Los cargos de servicio están claramente publicados en la ubicación de cada corresponsal. Divulgaciones razonablemente comprensibles para todos los grupos de clientes. 102 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Riesgo Descripción Tipo de Opciones de Política y Posibles Indicador Clave Institución Herramientas de Mitigación de Riesgo El corresponsal El corresponsal recibe fondos Cualquiera Campañas de educación al cliente para que Quejas de clientes recibe dinero del de un usuario del servicio, verifiquen que la transacción se ha producido, antes cliente, pero no pero dirige mal los fondos de salir de las instalaciones del corresponsal. realiza la transacción para beneficio propio del Call centers para reclamaciones de clientes. corresponsal. Políticas y procedimientos para el mal uso de los fondos de los clientes, incluyendo sanciones y cierre del corresponsal. El corresponsal paga El corresponsal puede utilizar Cualquiera Exigir a los corresponsales que usen detectores de Quejas de clientes en efectivo que pagos en efectivo para distribuir falsificación para asegurarse que no recogen fondos resulta ser falsificado moneda falsa o puede pagar falsos de manera errónea. Poner las herramientas moneda falsa recibida de a disposición de los clientes en las tiendas de clientes sin darse cuenta de que corresponsales. es falsa. Campañas de educación al cliente. Políticas y procedimientos para el mal uso de los fondos de los clientes, incluyendo sanciones y cierre del corresponsal. Acceso no Los corresponsales acceden Cualquiera Desarrollar un proceso exhaustivo de debida Quejas de clientes autorizado al PIN de al PIN del cliente y lo utilizan diligencia en el proceso de contratación de los clientes para retirar fondos. Debido a la corresponsales, con el fin de minimizar la escasa alfabetización del cliente, contratación de corresponsales con mala reputación el cliente puede compartir PIN o aquellos que puedan cometer fraude. con los corresponsales de sin Llevar a cabo una sensibilización periódica y problema. planeada del consumidor y del mercado, sobre la seguridad del PIN, para desincentivar el intercambio de PIN. Asegurarse que la documentación pertinente de la campaña también se encuentre en todos los puntos de venta. Educar al cliente en que debecambiar su PIN cuando lo recibe y mantener confidencial siempre. Formación de clientes sobre cómo realizar transacciones de forma segura. Retiros fraccionados Los corresponsales obligan a Cualquiera Utilizar las herramientas de análisis de datos para Transacciones duplicadas los clientes a dividir los retiros marcar transacciones sospechosas. Quejas de clientes en una serie de pequeñas Desarrollar un proceso exhaustivo de debida transacciones con el fin de diligencia en el proceso de contratación de generar mayores comisiones corresponsales con el objetivo de minimizar la porcliente y mayores comisiones contratación de corresponsales con mala reputación por corresponsal. o aquellos que puedan cometer fraude. Llevar a cabo actividades de cliente secreto y auditorías de canales. Políticas y procedimientos para el mal uso de los fondos de los clientes, incluyendo sanciones y cierre del corresponsal. Cliente defraudado por el personal interno del proveedor Los empleados Complicidad entre los Cualquiera Mantener cuentas separadas de recibos y Quejas de clientes vinculan números empleados y los estafadores desembolsos para limitar la exposición de los móviles erróneos para vincular los números clientes al fraude. a las cuentas móviles de los estafadores Para las cuentas vinculadas a carteras, asegúrese bancarias a las cuentas de los clientes, que los clientes firmen la autorización para la facilitando el retiro de fondos de vinculación de la cuenta. las cuentas. Utilizar confirmació vía de SMS para notificar a los clientes de la vinculación. Auditoría bancaria de cuentas vinculadas. SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 103 04_INSIGHTS Y HERRAMIENTAS Riesgo Descripción Tipo de Opciones de Política y Posibles Indicador Clave Institución Herramientas de Mitigación de Riesgo Reversión ilegal Empleados confabulan con Cualquiera Utilizar confirmación vía SMS para notificar a los Informes de actividad de pagos / la parte que paga y revierten clientes de las transacciones. sospechosos transferencias de los pagos de los clientes de Asegurar procedimientos de separación de funciones Quejas de clientes clientes manera ilegal. para toda reversión. Crear informes para supervisar el comportamiento sospechoso del cliente y del personal. Transferencias Transferencias ilegales por parte Cualquiera Utilizar confirmación vía SMS para notificar a los Informes de actividad ilegales desde de empleados, desde cuentas clientes sobre las transacciones sospechosos cuentas móviles de clientes a cuentas falsas o Asegurar procedimientos de separación de funciones Quejas de clientes cuentas de estafadores para toda reversión. Crear informes para supervisar el comportamiento sospechoso del cliente y del personal. Corresponsal defraudado por el cliente Corresponsal recibe El falsificador fabrica billetes Cualquiera Los corresponsales utilizan herramientas de Quejas del corresponsal efectivo que resulta falsos, los deposita en detección de falsificaciones. falso una cuenta a través de un Educación de corresponsales. corresponsal, y luego retira moneda válida de otro Call center para corresponsal. corresponsal. Compradores secretos y buena gestión de corresponsales. Acceso no Los clientes tienen acceso a las Cualquiera Exigir a los corresponsales que mantengan un teléfono Quejas del corresponsal autorizado al herramientas de transacción comercial y una tarjeta SIM independientessi utilizan dispositivo del del corresponsal para realizar teléfonos móviles, y emplear buenas prácticas de corresponsal. transacciones fraudulentas. administración de teléfonos. Restringir las tarjetas SIM de los dispositivos sólo para realizar actividades relacionadas con Servicios Financieros Digitales. Límite de llamadas al dispositivo transaccional que se originen desde unos pocos números preautorizados por el proveedor. El corresponsal llama al Call para informar sobre el fraude. Utilizar autenticación de doble factor, para habilitar las transacciones en línea, Cada persona del corresponsal debe tener acceso y contraseña únicos. Si los empleados son despedidos, se deben inhabilitar sus contraseñas. Solicitudes de El cliente solicita un retiro. Cualquiera Un proceso claro para gestionar el rechazo y Niveles altos de receptor reversión de una Luego el cliente niega el recibo y asegurar que se cuiden los intereses de todas las que se niegan a permitir transacción válida solicita al proveedor que reverse partes implicadas. reversiones por parte del cliente. la transacción. La transacción puede ser revertida, negada o puesta en espera hasta que se complete una investigación. Educar al corresponsal para que informe sobre comportamientos sospechosos del cliente. Corresponsal defraudado por el personal interno Empleado del Un empleado del proveedor Cualquiera Llevar a cabo verificaciones de antecedentes de los Quejas del corresponsal proveedor defrauda utiliza el acceso no autorizado empleados potenciales del proveedor. al corresponsal a las cuentas del corresponsal, Limitar el acceso del personal a las cuentas del con el fin de manipular saldos corresponsal. o realizar transacciones en su propio beneficio. Utiliar recibos de SMS para transacciones de corresponsal. Entrenar a los corresponsales en mantener secretos los detalles de PIN / login. 104 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Riesgo Descripción Tipo de Opciones de Política y Posibles Indicador Clave Institución Herramientas de Mitigación de Riesgo Fraude de comisión Para los modelos que pagan Cualquiera Proporcionar información digital para facilitar la Quejas del corresponsal instantánea comisión inmediata, los dueños conciliación de transacciones, efectivo y fondo de del negocio encuentran difícil dinero electrónico. reconciliar comisiones ganadas Incorporar pagos de comisiones a corresponsales porque se confunden con otras después de un período de tiempo programado, transacciones. Los empleados preferiblemente mensual. aprovechan esta mezcla para defraudar a sus empleadores. Debe generarse un informe periódicamente, especificando la comisión ganada, el modo de pago y cualquier número de referencia para el pago. Funcionario del Los corresponsales dan sus Cualquiera Educar a los corresponsales para que mantengan el Quejas del corresponsal corresponsal PINs al personal del proveedor, PIN confidencial. defrauda a los dándoles acceso completo a la Para acceder a los fondos en el dispositivo el corresponsales cuenta del corresponsal. funcionario del corresponsal solo tiene derechos según el rol y no derechos de inicio de sesión. Corresponsal defraudado por el corresponsal maestro Retiro no autorizado Los corresponsales maestros Cualquiera Contratos y directrices detallados para el Quejas del corresponsal de fondos o llevan a cabo retiros no funcionamiento de los corresponsales maestros en comisiones del autorizados del fondo de las relación con las obligaciones, dotación de personal y corresponsal cuentas del corresponsal o requisitos para la vinculación de corresponsales. deducen la comisión. Aplicar directrices sobre el reparto de comisiones entre los corresponsales maestros y los corresponsales. Proporcionar a los corresponsales foros de retroalimentación adecuados, incluyendo líneas telefónicas, direcciones de correo electrónico y foros para recibir comentarios. Declaraciones detalladas de la comisión del corresponsal para la conciliación del corresponsal Proveedor defraudado por el cliente Desembolsos Los clientes reciben depósitos de Cualquiera Las organizaciones deben desarrollar un proceso Quejas de clientes erróneos fondos erróneos, retiran fondos, claro para el desembolso de fondos con el fin de y cierran cuentas antes que los minimizar los errores. fondos puedan ser congelados y Proceso integral que cubre la identificación, el devueltos. monitoreo, la comunicación y la gestión del fraude. Conciliaciones diarias de pagos y recibos, contra sistemas internos. Provider defrauded by agent Depósitos divididos Los corresponsales dividen Cualquiera Utilizar las herramientas de análisis de datos para Informes de los depósitos en una serie de marcar transacciones sospechosas. transacciones pequeñas transacciones con Desarrollar un proceso exhaustivo de debida diligencia sospechosas el fin de generar mayores para la contratación de corresponsales con el fin de comisiones a costa del minimizar la contratación de corresponsales con mala proveedor. reputación o aquellos que puedan cometer fraude. Llevar a cabo las actividades de comprador secreto y buenas prácticas gestión de corresponsales. Educación de los corresponsales. Call center para que los clientes denuncien actividades sospechosas. Aplicación de sanciones por mala gestión de corresponsales y cierre de corresponsales. SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 105 04_INSIGHTS Y HERRAMIENTAS Riesgo Descripción Tipo de Opciones de Política y Posibles Indicador Clave Institución Herramientas de Mitigación de Riesgo Depósitos directos Los corresponsales depositan Cualquiera Llevar a cabo campañas de educación al consumidor Informes de fondos directamente en la para generar concientización sobre estos tipos de fraude. transacciones cuenta de un destinatario, en Analizar y revisar regularmente las estructuras de sospechosas lugar de hacerlo a la cuenta comisiones de los corresponsales para detectar del cliente para que haga una cualquier anomalía y abordarlas. transacción P2P, con el fin de evitar los gastos de transacción. Comprador secreto para detectar incidencias de la voluntad del corresponsal de cometer fraude. Utilizar los datos de la red GSM para identificar la ubicación del cliente y del corresponsal con el objetivo de asegurarse que la transacción se está llevando a cabo en la misma ubicación. Vinculación de Los corresponsales registran Cualquiera Comisión de vinculación del cliente que se reparte Tasas de rechazo de cuentas falsas cuentas falsas o clientes sin la entre la vinculación y la primera transacción. vinculación de cuentas documentación completa de Los departamentos de procesamiento y KYC, para ganar comisión. cumplimiento verifican KYC. La comisión pagada únicamente sobre cuentas con KYC completo. Proveedor defraudado por una parte externa Hacking Una parte externa invade el Cualquiera Fire walls, encripción, derechos de acceso basados IResultados de auditoría sistema para obtener acceso en roles, etc. de TI a las cuentas del proveedor Conciliación diaria de la cuenta. para realizar transacciones fraudulentas o para robar datos. Proveedor defraudado por personal interno Cuentas fantasma Un empleado utiliza el acceso no Cualquiera Conciliación diaria de la cuenta. Auditoría interna autorizado para crear cuentas Personal de investigación y capacitación. Resultados de auditoría falsas con depósitos falsos. La de TI complicidad con los estafadores Políticas y procedimientos adecuados para investigar les permite retirar fondos del actividades sospechosas. corresponsal. Riesgo Operacional Variaciones en Riesgo de que el valor real en Cualquiera Para MNOs: integrar el sistema en las cuentas % de transacciones en la conciliación y cuentas en el fideicomiso sea bancarias para que todos los cambios en la cuenta cuentas transitorias cuentas diferente a la cantidad reflejada principal se reflejen automáticamente. % de varianción al final en el sistema. Riesgo de que las Use cuentas separadas para los ingresos de la del día transacciones fuera de la red empresa y el desembolso de la comisión. (por ejemplo, retiro de cajeros automáticos, pago de facturas) Informes de varianza de fin de día gestionados y no se concilien con las cuentas firmados por administrador empresarial adecuado. internas. Función robusta de autoridad de aprobador y verificador del sistema. Conciliación diaria en proveedor y corresponsal. Políticas internas y procedimientos sólidos para la conciliación de transacciones en cuentas de orden. El cliente es incapaz Los clientes no pueden resolver Cualquiera Procesos eficientes de solución de controversias. Tasas de solución de de disputar una conflictos con un proveedor Los call center cuentan con personal y capacitación call center transacción o cargo de cuentas y el recurso ante adecuados con políticas de escalamiento claras para en cuenta. organismos gubernamentales la resolución de conflictos. o autoridades regulatorias para dirimir disputas es débil o Normas de servicio claras y publicadas inexistente. 106 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Riesgo Descripción Tipo de Opciones de Política y Posibles Indicador Clave Institución Herramientas de Mitigación de Riesgo Tarjeta SIM o El cliente no puede realizar Cualquiera Políticas de sustitución de tarjetas. Tasas de sustitución teléfono móvil transacciones debido a la Call center para informes y resolución de problemas. de tarjetas perdidos pérdida de tarjeta de débito o Tasa de restablecimiento tarjeta SIM. Formación de corresponsales para proporcionar un servicio al cliente de primer nivel. del PIN Falta de manuales Los manuales de operación Cualquiera Revisar el manual de operación en relación con Auditoría interna operativos y están incompletos, carecen de la lista de procedimientos que se están llevando Revisiones de Riesgo procesos de negocio los procesos de excepción y no a cabo. Agregar cualquier procedimiento que y Cumplimiento se actualizan regularmente, falte, actualizando los procedimientos existentes lo que resulta en que se sigan según sea necesario y agregando los casos de Tiempo tomado para procedimientos inadecuados uso de excepciones a todos. Asegúrese que los resolver disputas de operación departamentos pertinentes firmen cada proceso Crear listas de verificación de procesos y asegurar que todos los procesos han sido documentados y actualizados si es necesario, y circulados al personal relevante. Falta de auditorías Los procedimientos operativos Cualquiera Es necesario realizar auditorías de riesgos para Auditoría interna operativas actuales no están optimizados identificar problemas y garantizar la eficiencia e Revisiones de Riesgo y con respecto a la conciliación y integridad operativas. Cumplimiento procesamiento de ingresos. Reestablecimiento Los procedimientos de Cualquiera Políticas eficaces para los procedimientos de Tiempo tomado de PINs restablecimiento de PINs restablecimiento de PIN para resolver prolongados o complicados restablecimientos producen una mala experiencia de PINs del cliente Débito sin Cuando un cajero automático Cualquiera Profundizar en las relaciones con los sistemas de Número de incidentes desembolso (DWD) debita una cuenta de un cliente, usando liquidación interbancaria para las transacciones pero no dispensa el efectivo tarjetas fuera de la red. correspondiente causando habilitadas Mejorar los procedimientos operativos para las retrasos en el reembolso para cajeros resoluciones. al cliente. automáticos Aumentar los recursos humanos dedicados a la resolución de disputas. Actualizar cajeros automáticos. Falta de controles No hay procedimientos Cualquiera Implementar controles internos para monitorear la Auditoría interna internos, informes para supervisar la actividad actividad transaccional y de la entidad, a través de Revisiones de Riesgo y internos y monitoreo del corresponsal, empleado reportes internos y monitoreo de datos. Cumplimiento de datos o cliente. Incumplimiento potencial a los requisitos reglamentarios. Procesos de Falta de procedimientos Cualquiera Tener procesos de conciliación eficientes claramente % de montos no conciliación eficaces de conciliación que definidos que sean idealmente automatizados. conciliados crean atrasos Tiempo de conciliación Errores de entrada Errores de entrada de datos, Cualquiera Utilizar separación de funciones para realizar tareas. Controles de conciliación de datos errores tipográficos, errores de Separación de funciones Auditoría interna digitación realizados por el personal del proveedor de back office. SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 107 04_INSIGHTS Y HERRAMIENTAS Riesgo Descripción Tipo de Opciones de Política y Posibles Indicador Clave Institución Herramientas de Mitigación de Riesgo Riesgo de alianzas Dificultades de relación Problemas graves de relaciones Cualquiera Memorando de Entendimiento detallado con roles, Resultados de la entre los propietarios dentro del consorcio de responsabilidades y propuesta de valor claramente auditoría interna del servicio - que proveedores, resulta en, falta de definidos para cada parte en la alianza. Resultados de la conducen a la disponibilidad del servicio para Acuerdos contractuales claros para la continuidad auditoría de TI interrupción del los clientes. del servicio durante las disputas. servicio (por ejemplo, en colaboraciones entre IFs, MNOs, proveedores y/o otros proveedores de servicios) Falta de fiabilidad de Los socios no cumplen con las Cualquiera Llevar a cabo la debida diligencia en los socios. Resultados de la los socios expectativas y los resultados de Utilizar contratos de garantía de rendimiento auditoría interna los acuerdos. cuando el pago se efectúa al firmarse. Aplicar sanciones de no conformidad. Los sistemas El tiempo de inactividad de los Cualquiera Informar a los corresponsales / clientes a través Resultados de auditoría de socios están sistemas de aliados interrumpe de SMS cuando haya tiempos de inactividad del de TI inactivos el servicio. sistema, según corresponda. Aprovechar las líneas de atención al cliente. Utilizar acuerdos de nivel de servicio (SLA) para que los socios garanticen el tiempo de actividad del servicio y apliquen multas por incumplimiento. Desarrollar socios de respaldo para repartir el riesgo. Riesgo Reputacional Fraude El fraude generalizado disuade la Cualquiera Limitar la exposición al fraude. Pérdidas por fraude confianza del cliente y crea riesgo Estrategia de comunicación proactiva y prudente de reputación para el proveedor y para gestionar la exposición al fraude. el mercado como un todo. Fallos en las Los fallos de las transacciones Cualquiera Mejorar la tecnología y el rendimiento. Fallos en las transacciones afectan la confianza en la Imponer SLAs con proveedores y socios. transacciones organización y reducen la actividad y la retención Campañas de educación y marketing del cliente. del cliente. Conectividad MNO Los corresponsales ubicados Banco, IMF y Desarrollar mejores relaciones con los MNO para Volumen de en áreas de baja conectividad Proveedor de mejorar la calidad del servicio. transacciones en interrumpen el acceso de los Servicios de Utilizar dispositivos SIM duales con los dos MNOs geografías específicas clientes a los servicios, dejando a Pago más fuertes en cada área en particular. los clientes frustrados y reduciendo la confianza en el proveedor. Mala experiencia Mala atención al cliente, Cualquiera Proceso de resolución de incidentes y matriz de Hora para contestar del cliente resolución inoportuna de escalamiento establecida. llamadas incidentes, incapacidad de Servicio de atención al cliente con recursos % de llamadas no contactar al proveedor. suficientes contestadas Tasa de resolución de llamadas Riesgo de marca Los socios no agregan valor a la Cualquiera Comunicación con el cliente y campaña publicitaria Informes de prensa debido a las alianzas marca del proveedor, e incluso para desarrollar marca. sobre marcas de socios pueden perjudicar a la marca Desarrollar múltiples alianzas para reducir el por mala reputación o calidad impacto de una relación en particular. de servicio. 108 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Glosario TÉRMINO DEFINICIÓN Interfaz de Un método para especificar un componente de software en términos de sus operaciones destacando un conjunto de Programación de funcionalidades que son independientes de su respectiva implementación. Las API se utilizan para la integración en tiempo Aplicaciones (API, por real al Sistema de Core Bancario /MIS, que especifican cómo dos sistemas diferentes pueden comunicarse entre sí a través sus siglas en inglés) del intercambio de 'mensajes'. Existen varios tipos diferentes de API, incluidas las basadas en la Web, la comunicación TCP e integración directa en una base de datos, o APIs propietarias escritas para sistemas específicos. Banca de Servicios bancarios, a menudo limitados, realizados por un corresponsal. corresponsales Banca electrónica El suministro de productos y servicios bancarios a través de canales de distribución electrónicos. Banca móvil El uso de un teléfono móvil para acceder a los servicios bancarios convencionales. Esto abarca tanto los servicios transaccionales, como los no transaccionalescomo la visualización de información financiera y la ejecución de transacciones financieras. Billeteras electrónicas Una cuenta de dinero electrónico que pertenece a un cliente de Servicios Financieros Digitales y a la que se accede a través de un teléfono móvil. Cajero Automático Un dispositivo electrónico de telecomunicaciones que permite a los clientes de una institución financiera, realizar transacciones (ATM) financieras sin la necesidad de un cajero humano, auxiliar o cajero de banco. Los cajeros automáticos identifican a los clientes a través de una tarjeta magnética o basada en un chip, y la autenticación ocurre después que el cliente ingresa un número PIN. La mayoría de los cajeros automáticos están conectados a redes interbancarias para permitir a los clientes acceder a máquinas que no pertenecen directamente a su banco, aunque también existen algunos sistemas de circuito cerrado. Los cajeros automáticos están conectados a un host o controlador ATM usando un módem, una línea arrendada o ADSL. Call center Una oficina centralizada utilizada para recibir o transmitir un gran volumen de solicitudes telefónicas. En este contexto, además de manejar las quejas y consultas de los clientes, también se utiliza como un canal de distribución alternativo para mejorar el alcance y atraer nuevos clientes a través de varias campañas promocionales. Canal El punto de acceso del cliente a un Proveedor de Servicios Financieros, es decir, con quien o que interactúa el cliente para acceder a un servicio financiero o producto. Canales de Distribución Canales que amplían el alcance de los servicios financieros más allá de la rama tradicional. Estos incluyen cajeros automáticos, Alternativos (CDAs) banca por Internet, banca móvil, billeteras electrónicas, algunos servicios de tarjeta/dispositivo POS y servicios de conseción de crédito. Comerciante Una persona o negocio que proporciona bienes o servicios a un cliente a cambio de pago. Conozca a su Cliente Reglas relacionadas con la ALA/CFT que obligan a los proveedores a llevar a cabo procedimientos para identificar a un cliente [Know Your Customer] y que evalúan el valor de la información para detectar, supervisar y reportar actividades sospechosas. (KYC) Corresponsal Una persona o negocio contratado para procesar las transacciones de los usuarios. Los más importantes son depósitos y retiros (es decir, el cargue de valor efectivo en el sistema de dinero electrónico, y luego convertirlo de nuevo); en muchos casos, los corresponsales registran nuevos clientes también. Los corresponsales suelen ganar comisiones por realizar estos servicios. También suelen ofrecer un servicio de atención al cliente de primera línea, como enseñar a los nuevos usuarios a realizar transacciones desde su teléfono. Por lo general, los corresponsales llevarán a cabo otro tipo de negocios, además del de dinero electrónico. Los corresponsales a veces estarán limitados por la regulación, pero los comerciantes a pequeña escala, las instituciones de microfinanzas, las cadenas de tiendas y las sucursales bancarias sirven como corresponsales en algunos mercados. Algunos participantes de la industria prefieren los términos 'comerciante' o 'minorista' para evitar ciertas connotaciones legales del término 'corresponsal', ya que se utiliza en otras industrias. (GSMA, 2014) Corresponsal Maestro Una persona o negocio que compra dinero electrónico de un proveedor de Servicios Financieros Digitales al por mayor y luego lo revende a corresponsales, quienes a su vez lo venden a los usuarios. (A diferencia de un súper-corresponsal, los corresponsales maestros son responsables de gestionar los requisitos de liquidez en efectivo y de valor electrónico de un determinado grupo de corresponsales.) SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 109 04_INSIGHTS Y HERRAMIENTAS Dinero electrónico El dinero electrónicoes el valor almacenado en billeteras virtuales o tarjetas. Por lo general, el valor total del dinero electrónico emitido es igualado por los fondos mantenidos en una o más cuentas bancarias y normalmente se mantienen en fideicomiso, de modo que incluso si el proveedor del servicio de billeteras móviles electrónicas fallara, los usuarios podrían recuperar el valor total almacenado en sus cuentas. Evaluación de Riesgo El proceso de identificación, evaluación y desarrollo de estrategia de mitigación de riesgos. Gestión de Riesgo El proceso de planificación, organización, dirección y control de las actividades de una organización con el fin de minimizar los Empresarial (ERM) efectos del riesgo sobre el capital y las ganancias de una organización. Indicador Clave de Un Indicador Clave de Riesgo es una medida usada para indicar el grado de riesgo de una actividad. Se diferencia de un Riesgo (KRI) Indicador Clave de Desempeño (KPI) en que este último se entiende como una medida de lo bien que se está haciendo algo, mientras que el primero indica lo perjudicial que puede ser algo si se produce y lo probable que es que ocurra. Institución Financiera Un proveedor de servicios financieros, incluyendo cooperativas de ahorro y crédito, bancos, instituciones financieras no (IF) bancarias, instituciones de microfinanzas y proveedores de servicios financieros móviles. Instituciones Una institución financiera especializada en servicios bancarios para grupos de bajos ingresos, pequeñas empresas o individuos. Microfinancieras (IMF) ISO 31000 Directrices ISO establecidas para la implementación de la Gestión de Riesgo Empresarial (ERM). Lucha contra el Lavado ALA/CFT son controles legales aplicados al sector financiero para ayudar a prevenir, detectar y reportar actividades de lavado de de Activos/Lucha contra dinero. Los controles ALA/CFT incluyen montos máximos que pueden ser retenidos en una cuenta o transferidos entre cuentas el Financiamiento del en cualquier transacción, o en cualquier día dado. También incluye la información financiera obligatoria de KYC para todas las Terrorismo (ALA/CFT) transacciones de más de $10,000, incluyendo la declaración de la fuente de los fondos, así como la razón de la transferencia. Marco de Gestión de Un conjunto integral de políticas que apuntan a reducir el Impacto de los riesgos asociados a Servicios Financieros Digitales. Riesgo El marco es la culminación de todos los procesos de planeación y evaluación e incluye el registro de riesgo como su pieza y documento de trabajo principal. Operador de Red Móvil Una empresa que tiene una licencia expedida por el gobierno para proporcionar servicios de telecomunicaciones a través de (MNO) dispositivos móviles. Punto de Venta (POS) Dispositivo electrónico utilizado para procesar pagos con tarjeta en el punto en el que un cliente hace un pago al comerciante a cambio de bienes y servicios. El dispositivo POS es un dispositivo de hardware (fijo o móvil) que ejecuta software para facilitar la transacción. Originalmente eran dispositivos o PC, pero cada vez más incluyen teléfonos móviles, teléfonos inteligentes y tabletas. Registro de riesgos La base de datos central de los riesgos identificados, junto con sus descripciones, causas, efectos y políticas, ya sea para tolerar, (Matriz de Riesgo) tratar, transferir o terminar. Servicio de dinero Un Servicio Financiero Digital que se suministra mediante la emisión de cuentas virtuales contra una sola cuenta bancaria electrónico/servicio agrupada, como billeteras electrónicas a las que se accede mediante un teléfono móvil. La mayoría de los proveedores de dinero financiero móvil (MFS) electrónico son MNO o Proveedores de Servicios de Pago. Servicio de Mensajes Un canal de comunicación que 'almacena y reenvía', que implica el uso de la red de telecomunicaciones y el protocolo SMPP Cortos (SMS) para enviar una cantidad limitada de texto de un teléfono a otro o de uno a muchos teléfonos. Servicio Suplementario Protocolo utilizado por los dispositivos móviles GSM para comunicarse con los computadores/red del proveedor de servicios. de Datos no Este canal está soportado por todos los teléfonos GSM, permitiendo una sesión interactiva consistente en un intercambio de Estructurados (USSD) mensajes en dos direcciones basado en un menú de aplicación definido. Servicios Financieros El uso de medios digitales para ofrecer servicios financieros. Incluye todas las ofertas de móviles, tarjetas, POS y comercio Digitales (SFD) electrónico entregadas a los clientes a través de redes de corresponsales. Súper-Corresponsal Un negocio, a veces un banco, que compra dinero electrónico de un proveedor de Servicios Financieros Digitales al por mayor y luego lo revende a los corresponsales, que a su vez lo venden a los usuarios. Teléfono inteligente Un teléfono móvil que tiene la capacidad de procesamiento para realizar muchas de las funciones de un computador, que normalmente tiene una pantalla relativamente grande y un sistema operativo capaz de ejecutar un conjunto de aplicaciones complejo, con acceso a Internet. Además del servicio de voz digital, los teléfonos inteligentes modernos ofrecen mensajes de texto, correo electrónico, navegación por Internet, cámara fija y de vídeo, un reproductor de MP3 y reproducción de vídeo con capacidades de transferencia de datos / GPS integradas. 110 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO Referencias 1. Risk Management Toolkit, GSMA & Consult Hyperion, 2015 (https://www.gsma.com/ mobilefordevelopment/programme/mobile-money/managing-risk-in-mobile-money-a- new-comprehensive-risk-toolkit) 2. MMU Managing the Risk of Fraud in Mobile Money, GSMA, 2012 (http://www.gsma. com/mobilefordevelopment/wp-content/uploads/2012/10/2012_MMU_Managing-the- risk-of-fraud-in-mobile-money.pdf) 3. Mobile Financial Services Risk Matrix, USAID and Booz Allen Hamilton, 2010 (http:// www.gsma.com/mobilefordevelopment/wp-content/uploads/2012/06/mobilefinancials- ervicesriskmatrix100723.pdf) 4. Bank Agents: Risk Management, Mitigation, and Supervision, CGAP, 2011 (http:// www.cgap.org/publications/bank-agents-risk-management-mitigation-and-supervi- sion) 5. Digital Financial Services Risk Assessment For Microfinance Institutions, A Pocket Guide, AFI, 2014 (https://lextonblog.files.wordpress.com/2014/09/dfs_risk_guide_ sept_2014_final.pdf) 6. Mobile Financial Services Technology Risks, AFI, 2013 (http://www.afi-global.org/ sites/default/files/pdfimages/AFI_MFSWG_guidelinenote_TechRisks.pdf) 7. Fraud in Mobile Financial Services, Mudiri, Microsave, 2012 (http://www.microsave. net/resource/fraud_in_mobile_financial_services#.VmWI9E10xes) 8. Risk Management in Mobile Money, Lake, IFC, 2013 (http://www.ifc.org/wps/wcm/ connect/37a086804236698d8220ae0dc33b630b/Tool+7.1.+Risk+Management. pdf?MOD=AJPERES) 9. Enterprise Risk Management (ERM) and the requirements of ISO 31000, AIRMIC, Alarm, IRM, 2010 (https://www.theirm.org/media/886062/ISO3100_doc.pdf) SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO 111 Lesley Denyes Lesley es Especialista en Servicios Financieros Digitales del IFC. Ha trabajado en el sector más de quince años, específicamente en las áreas de modelamiento de negocios, análisis financiero, banca móvil, planificación estratégica, desarrollo de productos y gestión del canales en Asia y África Subsahariana. Lesley ha trabajado con bancos comerciales, operadores de redes móviles, proveedores de servicios de pago, instituciones de investigación, desarrolladores de apps móviles, ONGs, y compañías de consultoría para llegar a hogares de bajos ingresos por medio de la tecnología y la Banca sin sucursales. Lesley tiene sede en Toronto, Canadá, y posee un BSc en Economía Cuantitativa de la Universidad Dalhousie, Canadá, y un MBA del Edinburgh Business School, del Reino Unido. Susie Lonie Susie pasó tres años en Kenia creando y operando el servicio de pagos móviles M-PESA, después de lo cual facilitó su lanzamiento en varios otros mercados incluyendo Tanzania, Suráfrica e India. En 2010, Susie fue co-ganadora del Economic Innovation Award for Social and Economic Innovation por su trabajo en M-PESA. Se convirtió en consultora independiente en Servicios Financieros Digitales en 2011 y trabaja con bancos, MNOs, y otros clientes en todos los aspectos del suministro de servicios financieros a los desbancarizados en mercados emergentes, incluyendo dinero electrónico, banca de corresponsales, transferencias internacionales de dinero, e interoperabilidad. Susie trabaja en estrategia de Servicios Financieros Digitales, evaluación financiera, diseño de productos y requerimientos funcionales, operaciones, gestión de corresponsales, evaluaciones de riesgo, evaluaciones de investigación, y ventas y marketing. Sus títulos son en Ingeniería Química de Edinburgo y Manchester, Reino Unido. 112 SERVICIOS FINANCIEROS DIGITALES Y GESTIÓN DE RIESGO The Partnership for Financial Inclusion The Partnership for Financial Inclusion es una iniciativa conjunta de $ 37.4 millones de la IFC y Mastercard Foundation para expandir las microfinanzas y avanzar los servicios financieros móviles en el África subsahariana. La Asociación también recibe el apoyo de la Fundación Bill & Melinda Gates y del Banco de Desarrollo de Austria (OeEB, Oesterreichische Entwicklungsbank.AG). Trabaja con instituciones microfinancieras, bancos, operadores de redes móviles y proveedores de servicios de pago en todo el continente para probar modelos de negocios innovadores para la inclusión financiera. El programa tiene un componente fuerte de intercambio de información. Este manual es el segundo en una serie de manuales acerca de cómo hacer una implementación exitosa de servicios financieros digitales, es una de muchas publicaciones de la Alianza. Para mayor información y acceso a todos los informes, por favor visite www.ifc.org/financialinclusionafrica Acerca de IFC La IFC, miembro del Grupo del Banco Mundial, es la institución global de desarrollo más grande y centrada exclusivamente en el sector privado. Trabajando con más de 2.000 negocios mundialmente, utilizamos nuestro capital, conocimiento experto, e influencia, para generar oportunidades donde más se necesitan. En el año fiscal 2015, nuestras inversiones a largo plazo en países en desarrollo subieron a casi $18 billones, ayudando al sector privado a jugar un papel esencial en el esfuerzo global de acabar con la pobreza extrema e impulsar la prosperidad compartida. Para mayor información, visite www.ifc.org Acerca de Mastercard Foundation Mastercard Foundation trabaja con organizaciones visionarias para proveer mayor acceso a la educación, capacitación técnica y servicios financieros para las personas que vivien en pobreza, primordialmente en África. Como una de las fundaciones independientes más grandes, su trabajo es guiado por su misión de avanzar el conocimiento y promover la inclusión financiera para aliviar la pobreza. Con sede en Toronto, Canadá, su independencia fue establecida por MasterCard cuando se creó la Fundación en 2006. Para mayor información y para registrarse para el boletín de la Fundación, por favor visite www.mastercardfdn.org. Este manual es uno de los tres manuales sobre Servicios Financieros Digitales publicados por The Partnership for Financial Inclusion, una iniciativa conjunta de la IFC y Mastercard Foundation para fomentar la expansión de la inclusión financiera. Los otros dos manuales están disponibles a solicitud desde IFC o para descargar desde el sitio web de la Alianza: www.ifc.org/financialinclusionafrica: El Manual de Canales de Distribución Alternativos y Tecnología M A ofrece una guía práctica, paso a paso, para desarrollar canales de N U A distribución alternativos que vinculan opciones de tecnología con el CANALES DE DISTRIBUCIÓN ALTERNATIVOS Y L proceso general del negocio. TECNOLOGÍA PARTE 01 MÉTODOS Y APLICACIONES DE DATA El Manual de Análisis de Datos y Servicios Financieros Digitales M PARTE 01 PARTE 02 MARCO DEL PROYECTO DE DATOS A ofrece a los proveedores de servicios financieros, una perspectiva N MÉTODOS Y APLICACIONES DE DATA PARTE 02 U general del potencial que los datos y el análisis de datos representan A MARCO DEL PROYECTO DE DATOS MANUAL DE ANÁLISIS L DE DATOS Y SERVICIOS FINANCIEROS DIGITALES para la inclusión financiera en cuanto a la mejora de la eficiencia a nivel operativo y la eficacia en el desarrollo de producto y marketing; al mismo tiempo que aumenta el alcance a través de métodos innovadores basados en datos. DETALLES DE CONTACTO Anna Koblanck IFC, África Subsahariana akoblanck@ifc.org www.ifc.org/financialinclusionafrica 2016