Historia
Enero 2001, el Comité de Basilea publicó un documento de consulta en el
que se desarrolla el Nuevo Acuerdo de Capital, que ha supuesto la
introducción de requerimientos de capital por Riesgo Operacional.
El Acuerdo de Capital definitivo se publicará a finales de 2003 y su
aplicación efectiva está prevista para 31 de diciembre de 2006
Solvencia II estudiará la posibilidad de incluir requerimientos de capital
por Riesgo Operacional en el sector asegurador. No obstante reconoce
que es un riesgo difícil de cuantificar, por lo que de forma alternativa
estudiaría su cobertura por otras vías (mejores prácticas de gestión y revisión
supervisora - Pilar 2)
Definición
Riesgo de sufrir pérdidas debido a fallos en
PERDIDAS:
• Directas: quebranto
financiero
Procesos Internos: órdenes no ejecutadas, • Indirectas: Reputación,
clientela
reclamaciones de clientes, • Coste de Oportunidad: no
entrar en nuevos negocios
Humanos: fraude interno, errores..
Sistemas: caída de sistemas, pérdida de datos, fallos en cálculos, etc.
Factores externos: fraude externo, terrorismo, ataques informáticos
Objetivos
Definir e implantar un sistema de gestión del riesgo operacional tiene los
siguientes objetivos:
– Objetivos cualitativos
• Detectar los riesgos (actuales y potenciales) para tomar decisiones acerca
de los que no desea mantener y desea reducir
• Mejorar continuamente los procesos y sistemas de control para minimizar los
riesgos en los que se puede incurrir
– Objetivos cuantitativos
• Asignar fondos para la cobertura del mismo
• Medir correctamente la eficiencia de las líneas de negocio (RAROC)
• Incorporar este coste en el precio de sus productos
– Objetivos mixtos
• Evaluar la eficacia de las medidas reductoras de riesgo
Importancia de Riesgos
Las entidades financieras señalas como riesgo mas frecuente el fraude
externo, y en orden de frecuencia: (*)
Fraude externo: multirriesgo, autos, vida riesgo
Clientes, Productos y Practicas Comerciales (fallos en la definición
de productos, inadecuada selección de riesgos, prácticas
comerciales desleales, etc.).
Interrupción de operaciones principalmente por fallos de sistemas
Ejecución, entrega y gestión de procesos
Fraude Interno
Daños a activos físicos (incendio instalaciones, ...)
(*): FUENTE: Estudio de PWC de Gestion del RO en las entidades financieras españolas
Importancia de Riesgos
Sin embargo, desde el punto de vista de la cuantía de pérdidas los riesgos
derivados de clientes, productos y prácticas comerciales son los mas destacados:
1) Clientes, productos y prácticas comerciales
2) Fraude Externo
3) Fraude Interno
4) Ejecución, entrega y gestión de procesos
5) Interrupción de Operaciones o Fallos de Sistemas
6) Daños a Activos Físicos.
Sorprende la menor importancia del riesgo de ejecución, entrega y gestión de procesos en
banca, sin embargo, en seguros este riesgo, entendemos, se incrementa notablemente al no
estar los procesos tan sistematizados y ser menos estandarizables.
Capital por RO
Basilea contempla tres enfoques alternativos para determinar el capital por
RO:
Básico: el mas sencillo el capital es un porcentaje (17%-20%) de la
exposición al riesgo de la entidad medido sobre el margen ordinario.
Pequeños Bancos con estructura sencilla de negocios
Estándar: por líneas de negocio Se aplica un porcentaje determinado para
cada línea de negocio sobre el margen ordinario de esa línea.
Mas flexible
Avanzado: implica unos requerimientos de integración de procesos de RO en
la gestión diaria. Tres alternativas:
Capital por RO
– Aproximación por Medición Interna (IMA):
• Se obtiene la pérdida esperada por cada combinación de unidad de negocio
/ tipo de riesgo.
• Se parte de bases de datos históricas para cuantificar los tipos de incidencia
por línea de negocio. También se utilizan fuentes externas.
• Se aplica un porcentaje gamma que indica la relación entre perdida
esperada / inesperada sobre el capital BIS.
– Aproximación por Distribución de Pérdidas (LDA): se apoya en
información interna sobre perdidas históricas completada por datos
externos, para establecer una distribución de los fallos por frecuencia y
severidad.
Como resultado se obtiene una distribución de pérdidas esperadas por
unidad de negocio / tipo de riesgo (enfoque VaR)
– Aproximación por Scorecards: se parte de un capital inicial por RO a
nivel entidad o línea de negocio, y posteriormente se va modificando en
función de unos scorecards que intentan reflejar el perfil de riesgo
subyacente, el control existente y las variaciones que se produzcan en
estos aspectos.
Requerimientos de Basilea para los distintos enfoques
Los requerimientos regulatorios de desarrollo de infraestructura, procesos de gestión y
mantenimiento, varían dependiendo del tipo de enfoque seleccionado
Análisis de Escenarios
Modelo Interno AMA
de Capital
Las diferencias entre el estándar y avanzado Inicio de Recogida de Base de Datos de
son mínimas (solo se requiere mas
profundidad en los datos de pérdidas, Pérdidas Pérdidas
introducción de alertas y desarrollo de
Uso de Indicadores Indicadores y alertas
modelos de medición de capital) en relación
al ahorro de capital que se produce en el
avanzado.
Herramienta de Herramienta de
Auto-evaluación Auto-evaluación
Políticas y Procedimientos Políticas y Procedimientos
Cumplimiento deSound Identificación y Identificación y
Practices Categorización Categorización
Capital como porcentaje Capital en función de Betas Capital en función de
del Margen Ordinario Total por Unidad de Negocio modelos internos
ENFOQUE BASICO ENFOQUE ESTANDAR ENFOQUE AVANZADO
Exigencias cualitativas de los distintos enfoques
Indicador Modelo Modelos
básico estándar avanzados
Cumplimiento de las “Operational Risk Sound Practices”
Independencia entre la función de control del riesgo y auditoría interna
Uso efectivo de sistemas de reporting
Involucración de la alta dirección
Documentación de los sistemas de gestión de riesgos
Independencia entre la función de gestión del riesgo operacional y los procesos de
control
Técnicas de recopilación de datos de incidencias
Seguimiento de eventos por línea de negocio
Seguimiento de los eventos de pérdida y recogida de datos de pérdida
Fiabilidad de los sistemas de reporting, apoyados por una infraestructura de
sistemas para asegurar la integridad de las bases de datos de pérdidas
Realización de Back Testing
Realización de Stress Testing
Bases de datos históricas
Procedimientos de evaluación de la adecuación de datos externos
Documentación suficiente de todos los procesos relacionados con la gestión del
riesgo operacional que permita la revisión independiente
Capital por RO
El enfoque avanzado si bien es mas costoso de montar y mantener es mas
efectivo porque reduce los requerimientos de capital y potencia la mitigación de
estos riesgos:
Millones de e
Capital BIS por R.O., agregado para Bancos+Cajas (Dic. 2001)
- Enfoque Básico (17% Margen Ordinario) 14.879
- Enfoque Estándar (12% Capital BIS) 9.916
- Enfoque avanzado (8% Capital BIS) 6.610
Ahorro anual en coste de capital (w = 15%)
Enfoque Estándar 744
Enfoque avanzado 1.240
Estimación de Perdida Esperada Anual 1.653
Ahorro Potencial de Costes 413
Impacto en Ratio de Eficiencia -0,47%
FUENTES: AEB, AECA, PwC
Herramientas para la Gestión del RO
Documento “Sound Practices for the Management and Supervision of Operational Risk”
publicado por el Comité de Basilea recomienda la identificación y evaluación del riesgo
en los productos, actividades, procesos y sistemas.
Para ello, se recomiendan una serie de herramientas a emplear por las
entidades:
Auto-evaluaciones, para detectar las fortalezas y debilidades del entorno de
control en las operaciones y actividades, según un listado de potenciales
riesgos operacionales a los que están expuestas.
Mapas de riesgos ordenan los tipos de riesgo que afectan a los procesos,
departamentos o unidades de negocio y permiten la identificación de áreas
con debilidades, donde sea necesario actuar de forma prioritaria.
Indicadores de riesgos, cuyo seguimiento durante un periodo de tiempo
permite observar cambios de tendencia, con lo que se pueden anticipar
debilidades en los procesos y actividades.
Herramientas para la Gestión del RO
Cuadros de mando para trasladar las evaluaciones cualitativas a mediciones
cuantitativas, posibilitando la ordenación de los diferentes tipos de riesgos
operacionales o la asignación del capital entre líneas de negocio.
Alertas vinculadas a los indicadores de riesgo. Constituyen un sistema para
avisar de potenciales problemas cuando el nivel de un indicador supera un
determinado valor predefinido.
Recopilación de datos de pérdidas y técnicas de medición que, permiten un
análisis más completo del perfil de riesgo de la entidad, en términos de
frecuencia y severidad de los fallos operacionales.
Cuestionarios de Autoevaluación
Las unidades de negocio, de forma
Auto-evaluación - Cuestionario Área de Tesorería
Tipo
subjetiva:
de Valoración
evento Categoría Nº Frecuencia Impacto Controles de controles
Existe riesgo de pérdida:
– Identifican los riesgos inherentes a sus F Robo y fraude 1 por contrataciones efectuadas por un
actividades R
A
operador no autorizado?
U 2 por contrataciones realizadas a un precio
– Los priorizan en función de su severidad y D
E
fuera de mercado? (intencionadas)
3 por malversación de fondos de los
probabilidad de ocurrencia I
clientes?
4 por utilización de información privilegiada?
– Evalúan el nivel de control existentes y su N
T 5 por error fraudulento en la confirmación de
efectividad E
R Actividades no
operaciones?
7 por la contratación de un producto no
N autorizadas autorizado?
– Determinan los puntos de mejora que se O 8 por la contratación de una operación no
autorizada?
deben de realizar. 9 a causa de operaciones no reportadas o
falsas?
El 50% de las entidades basa sus auto-evaluaciones en más de cuatro fuentes de análisis:
– Reuniones de trabajo
– Cuestionarios
– Mapas de procesos
– Análisis de riesgos y controles
– Información de pérdidas operacionales recopiladas
– Revisar los cambios realizados
– Comparación riesgos y acciones mitigadoras
– Revisar los cambios planeados
Indicadores de Riesgo y Performance
PERMITEN:
Identificar las causas de los eventos operacionales.
Medir la eficacia de los controles y mejoras efectuadas en los mismos.
Establecer alertas para la toma de acciones
Volumen de recibos Siniestralidad acumulada Saldo de efectivo Deudor
pendientes sobre Primas
90
120
7,0
80
Volumen de recibos pendientes
6,0 100
70
60 5,0 Agente A
% Siniestralidad
80
Valor ($m)
Agente A Agente B
50 Agente B
4,0
Agente C
40 Agente C
Agente D
3,0 Agente D 60
30 Agente E Agente E
2,0
20 40
10 1,0
0 0,0 20
Jun Jul Ago Sep Oct ene feb mar abr may jun
0
25-jun 26-jun 27-jun 28-jun 29-jun
Indicadores utilizados en las Areas de Negocio son reclamaciones de clientes,
incidencias operativas, rotación de recursos, litigios con clientes, etc.
Indicadores utilizados en las Areas de Operaciones: número de errores en la
ejecución de procesos, los ajustes en la Cuenta de Resultados, las cuentas no
conciliadas, etc.
El Area Legal es la que utiliza en menor medida este tipo de herramienta de gestión.
Construcción del Modelo Cuantitativo
Distintas metodología en desarrollo. En cualquier caso, deberían pasar por:
I) Por cada Línea de Negocio:
– Identificación de procesos, productos y riesgos
– Identificación de Indicadores de Riesgo y Alertas
– Recopilación de información sobre eventos de pérdida y factores causantes
– Distribución estadística de las frecuencias + impactos de cada tipo de eventos =
distribución de pérdidas
II) Agregación de líneas de negocio considerando las correlaciones entre
eventos y entre los eventos y los factores de riesgo. Dada la dificultad de
establecer estas correlaciones, el Comité de Basilea propone la agregación
considerando correlación 1 entre los tipos de eventos.
Organización
Distintos enfoques organizativos para una Unidad Independiente de Riesgo
Operacional:
Centralizada dependiendo de la Dirección de Control Interno
Centralizada dependiendo de Auditoría Interna
Mixta integrando personal especializado de las líneas de negocio
Basilea define que debe ser independiente la función de Control Interno y de
Auditoría Interna, y que esta última debe realizar revisiones periódicas de la
gestión de riesgo operacional así como de la metodología seguida para su
medición y valoración.
Organización. Papel del Consejo de Administración
En el documento “Sound Practices for the Managment and Supervision of
Operational Risk” publicado por el Comité de Basilea en Julio 2002 se
establece las funciones del Consejo de Administración y el papel de Auditoría
Interna:
El Consejo de Administración deberá tener conocimiento de los principales
aspectos relativos al RO.
Debería aprobar y revisar periódicamente el Marco de Gestión de este riesgo
que incluya la definición y establezca los principios para si identificación,
evaluación, seguimiento, control y mitigación.
Ha de definir las responsabilidades de identificación, análisis, medición,
gestión, mitigación y reporting del RO.
Debe garantizar que este riesgo estar sujeto a una efectiva y exhaustiva
revisión por personal interno, competente e independiente.
Organización. Papel de Auditoría Interna
En el documento mencionado se indica:
Auditoría Interna debería verificar que las políticas y procedimientos
operativos están efectivamente implantados.
Para que la supervisión de Auditoria sea efectivamente independiente, este
área no debería ser responsable directo de la gestión activa del RO.