escuela de graduados maestría en gerencia y productividad...bancarias, y en consecuencia, sus...
TRANSCRIPT
UNIVERSIDAD APEC
Escuela de Graduados
Monografía para Optar por el Título de:
Maestría en Gerencia y Productividad
“Riesgo Operacional – Propuesta para las Instituciones
Financieras de la República Dominicana”.
Presentado por:
Nombre Matrícula
Lic. Michelle M. Bonilla Evertsz 2008-1127
Asesora:
EDDA FREITES MEJIA, MBA
Santo Domingo, D. N.
Agosto, 2011
Índice
INDICE
AGRADECIMIENTO ..................................................................................................i
RESUMEN.................................................................................................................ii
INTRODUCCION ...................................................................................................... iv
CAPÍTULO I:
FUNDAMENTOS DE GESTION DEL RIESGO OPERATIVO EN LAS
INSTITUCIONES FINANCIERAS
1.1 Aspectos Introductorios ..................................................................................1
1.2 Fundamentos de la Gestión del Riesgo Operativo .........................................2
1.3 El Comité de Basilea.......................................................................................3
1.3.1 Funciones del Comité de Basilea .........................................................4
1.3.1.1 Reseña de los Tratados Basilea ..........................................5
1.4 Estructura de Basilea II ...................................................................................7
1.4.1 Pilar I. Requerimientos Mínimos de Capital .........................................8
1.4.1.1 Métodos de Evaluación del Riesgo Operativo .....................8
1.4.2 Pilar II. Proceso de Supervisión Bancaria .......................................... 11
1.4.2.1 Consejo de Administración y de la Alta Dirección:
Vigilancia ............................................................................ 14
1.4.2.2 Evaluación del Capital ....................................................... 15
1.4.2.3 Exámenes .......................................................................... 17
1.4.2.4 Transferencia del Riesgo ................................................... 20
1.4.2.5 Respaldo de las Operaciones ............................................ 20
1.4.3 Pilar III. Disciplina de Mercado ........................................................... 22
1.4.3.1 Requisitos de Divulgación y Principios Orientadores ......... 23
1.4.3.2 Divulgación ........................................................................ 24
1.4.3.3 Divulgaciones Contables .................................................... 26
1.4.3.4 Los Requisitos de Divulgación ........................................... 27
1.5 Administración del Riesgo Operativo (ARO) ................................................. 28
1.6 Progreso de las habilidades Administrativas de Administración de Riesgos ....... 29
CAPITULO II:
DIAGNOSTICO DEL RIESGO OPERATIVO EN UNA INSTITUCIÓN
BANCARIA: ESTUDIO DE CASO
2.1 Antecedentes de la Institución Objeto de Estudio ......................................... 30
2.1.1 Evolución ........................................................................................... 31
2.2 Situación Actual de la Institución Objeto de Estudio ................................... 33
2.3 Gestión Estratégica ...................................................................................... 34
2.3.1 Misión ................................................................................................ 34
2.3.2 Visión ................................................................................................ 34
2.3.3 Valores ............................................................................................... 35
2.4 Estructura Organizacional ............................................................................. 35
2.5 Dirección de la Unidad de Administración de Riesgo ................................... 37
2.5.1 Responsabilidades de la Unidad de Administración de Riesgos ....... 38
2.6 Análisis y evaluación de la Gestión de Riesgo Operativo ............................ 40
2.6.1 Análisis FODA de la institución objeto de estudio .............................. 41
2.6.2 Análisis FODA de la unidad de Administración de Riesgo ................ 42
CAPITULO III:
PROPUESTA PARA LA ADMINISTRACION DE LA GESTION DEL RIESGO
OPERATIVO EN LA INSTITUCION FINANCIERA OBJETO DE ESTUDIO
3.1 Sinopsis de las Debilidades y Amenazas de la institución ............................ 45
3.2 Sinopsis de Fortalezas y Oportunidades de la institución ............................. 46
3.3 Propuesta Estratégica................................................................................... 47
3.3.1 Gestión Operacional de Riesgo Operativo ........................................ 47
3.4 Propuesta de mecanismos y herramientas para la Implementación de la
Matriz de Gestión de Riesgo Operativo. ...................................................... 48
3.4.1 Mejoras sugeridas para la estructura del departamento de
Administración de Riesgos ................................................................. 50
CONCLUSIÓN ........................................................................................................ vii
BIBLIOGRAFIA ........................................................................................................ ix
ANEXOS
Agradecimientos
i
AGRADECIMIENTOS
A DIOS: Las gracias por darme el aliento extra para concluir con este proyecto
personal y profesional, a el cuerpo docente de la universidad por el empeño
mostrado a favor de mis aprendizaje y desarrollo profesional.
A mi Padre: Papá Miguel; que sin saberlo me ofreció el último soporte que
necesitaba para llegar a la meta.
Finalmente, y para siempre, a mi Esposo; por asistirme durante este proceso
donde tantas horas de ausencia en el hogar fueron necesarias para realizar este
proyecto.
Michelle
ii
Resumen Ejecutivo
ii
RESUMEN EJECUTIVO
Por definición, el riesgo cero no existe en ninguno de los eventos en los que
interviene el ser humano. La ocurrencia de un riesgo tiene consecuencias a nivel
individual, micro o macro. Entonces, identificar, prevenir, evaluar, cuantificar y
controlar los riesgos de cualquier actividad en la que nos involucramos es de
importancia capital para el éxito.
Cuando las probabilidades de la ocurrencia de un riesgo impactan a nivel social
y económico, estar prevenido es el mejor blindaje. Es lo que hacemos todos los
años en la temporada ciclónica y son las recomendaciones de los geólogos, en
el sentido de que las edificaciones del país deben tomar en consideración que
habitamos una isla proclive a temblores de tierra catastróficos.
En el presente documento recoge una serie de principios para una gestión y
supervisión eficaz del riesgo operativo en una empresa del sector bancario.
Intentamos elaborar un documento para que las autoridades supervisoras de la
institución financiera objeto de estudio pueda utilizar para evaluar sus actuales
políticas, prácticas y procedimientos destinados a gestionar este tipo de riesgo.
Las Normas de Basilea nacen precisamente de quiebras bancarias que se
presentaron fuera de las fronteras de un país que afectaron la solvencia de los
bancos de otro país que les prestaron dinero, un riesgo que hasta ese momento
(1974) no se había identificado ni cuantificado previamente. La cadena de
conexiones del torrente financiero global obligó a fortalecer los procesos de
supervisión bancaria a nivel internacional.
Las economías desarrolladas tuvieron que pagar un costo económico bastante
alto por las debilidades de la regulación y la supervisión bancaria de países
también desarrollados y de otros en vías de desarrollo. A partir de ahí, la
iii
gestión del riesgo pasó a ser uno de los pilares fundamentales de las Nomas de
Basilea I y II. Ya la banca dominicana está obligada a cumplir con los
Reglamentos de Riesgos de Mercado y de Liquidez.
Mejor es tarde que nunca. En la historia bancaria de la República Dominicana
contamos con un caso de inobservancia del seguimiento a un riesgo
operacional, se pensaría que el Reglamento sobre el Riesgo Operacional debió
haber estado en funcionamiento desde hace tiempo. Para orquestar este fraude
que tuvo lugar en el ano 2003 de nuestra historia, el fraude primero había que
disponer de una Tecnología de Información (TI) capaz de vulnerar los sistemas
de TI de la Superintendencia de Bancos (SIB) y del Banco Central.
El Comité de Supervisión Bancaria de Basilea (el Comité) reconoce que el
método concreto para la gestión de riesgos operativos que elija cada banco
dependerá de una serie de factores, como son su tamaño y sofisticación así
como la naturaleza y complejidad de sus actividades. Sin embargo, a pesar de
estas diferencias, son muchos y variados los elementos fundamentales para una
gestión adecuada de estos riesgos, sea cual sea el tamaño y ámbito de
actuación del banco; a saber, estrategias claramente definidas y seguimiento de
las mismas por parte del consejo de administración y de la alta gerencia, una
sólida cultura de gestión del riesgo operativo y de control interno (como pueden
ser unas líneas inequívocas de responsabilidad y la segregación de funciones),
herramientas eficaces para la transmisión interna de información y planes de
contingencia.
iv
Introducción
iv
INTRODUCCIÓN
Desde hace algunos años el sistema financiero mundial ha sido el argumento
objeto de discusión debido a la relevancia para el usuario final y por el impacto
que ocasiona a todo el sector bancario. Sin embargo los grandes financieros y
personas entendidas del mundo de las finanzas coinciden que el factor riesgo en
las instituciones financieras está construido sobre acuerdos y reglas generales
aceptadas por las instituciones a nivel mundial.
En estos momentos la República Dominicana se encuentra de cara a la
implementación de exigida, desde hace ya varios años, por los instituciones
encargadas de hacer cumplir los principios contenidos en el Tratado de Basilea
II. De acuerdo a la exigencia del regulador nacional la implementación en otros
países ha arrojado mejoras al sistema bancario, sin embargo después de una
primera etapa de discusión e intercambio de información, aún existe la
necesidad de aclarar muchas preguntas sobre los requerimientos que las
instituciones financieras deben cumplir.
El Comité de Basilea define al riesgo operacional como al riesgo de pérdidas
resultantes de la falta de adecuación o fallas en los procesos internos, de la
actuación del personal o de los sistemas o bien aquellas que sean producto de
eventos externos.
La desregulación y globalización de los servicios financieros, junto con la
creciente sofisticación de la tecnología financiera están haciendo las actividades
bancarias, y en consecuencia, sus perfiles de riesgo, cada vez más complejos.
Adicionalmente a los riesgos de crédito, de tasa de interés y de mercado, el
riesgo operacional puede ser sustantivo y las tendencias de pérdidas parecen
indicar que se está incrementando.
Cabe destacar que esta implementación, no sólo impacta positivamente el
sistema financiero de la República Dominicana, sino también que este
requerimiento conlleva una inversión en los recursos de las instituciones
v
financieras en todo su ámbito. En el caso que nos ocupa, hemos tomado una
institución financiera comercial local, en la cual al igual que en las demás del
sector, aún no ha adoptado la gestión de riesgo operativo en toda su
envergadura.
La investigación de este estudio esta basada en la literatura del tratado de
Basilea II como fuente primaria complementada por otras fuentes secundarias
como son; estudios sobre el tema publicados en la Internet, conferencias de
expertos del sistema financiero, revistas y escritos en diferentes medios sobre la
experiencias de otros países ya implementados. Este estudio esta soportado
por datos reales de una institución financiera de República Dominicana que nos
permiten comprender, interpretar y analizar de manera más eficiente el problema
con el fin de obtener el objetivo planteado.
Este informe final cuenta con 4 capítulos; el primer capitulo se enfoca en los
fundamentos de gestión del riesgo operativo en las instituciones financieras de
acuerdo a lo estipulado en Basilea II, así como detalles de forma breve y concisa
sobre la estructura del tratado de Basilea II y sus tres pilares; Requerimientos
mínimos de Capital, Proceso de Supervisión Bancaria y Disciplina de Mercado.
En ese mismo orden repasamos los métodos que refiere el tratado para
gestionar el riesgo operativo.
El segundo capítulo comprende los fundamentos métodos y técnicas de gestión
de riesgo operativo en las instituciones financieras abarcando toda la
información referente a la historia evolución.
El tercer capitulo detalla propuesta la implementación de una estructura de
gestión del Riesgo Operativo en la institución objeto de estudio capaz de
gestionar el riesgo con impacto mínimo de recursos. Concluimos enumerando
las diferentes actividades que deben ejecutar para el mantenimiento, mitigación
y control del riesgo operativo. Proporcionar un sistema de supervisión
financiero efectivo en el cual estén bien definidos los procesos garantizara
vi
gestiones operativas efectivas para las instituciones y menor esfuerzo de
supervisión por parte de las autoridades reguladoras, esta relación biunívoca
debe generar fluidez de informaciones y comprensión entre las partes. Este
estudio llega para sumar conocimientos a los ya existentes y convertirse en un
documento de consulta y base de ejecución e implementación para los
interesados.
En conclusión, las empresas que no estén a la vanguardia para atender sus
riesgos, deberán comprometer más capital para sus operaciones. El público
conocerá cuáles serán las empresas más exitosas en el control de los riesgos, y
podrá decidir si maneja sus operaciones financieras con empresas más seguras
o empresas más riesgosas, lo cual a la vez le permitirá negociar bajo diferentes
condiciones para sus operaciones bancarias. Podemos asegurar que asegurar el
riesgo y contar un sistema de supervisión financiero efectivo en el cual estén
bien definidos los procesos garantizara gestiones operativas efectivas para las
instituciones y menor esfuerzo de supervisión por parte de las autoridades
reguladoras. Este estudio busca incorporar conocimientos y convertirse en un
documento de consejo.
Capítulo I:
Fundamentos de Gestión del Riesgo Operativo en las Instituciones Financieras
1
CAPITULO I.
FUNDAMENTOS DE GESTION DEL RIESGO OPERATIVO EN LAS
INSTITUCIONES FINANCIERAS
Tradicionalmente el riesgo operacional se definía como “todo aquello que no se
encuadra dentro del riesgo de crédito ni de mercado”. A partir del Nuevo
Acuerdo de Capital surge una nueva definición más clara y precisa en relación
con el riesgo operacional, que queda definido como “... el riesgo de que
deficiencias en los sistemas de información o controles internos produzcan
pérdidas inesperadas.
El riesgo operacional está asociado a errores humanos, a fallas en los sistemas
y a la existencia de procedimientos y controles inadecuados”.
Muchas instituciones financieras han gestionado históricamente altos niveles de
riesgo en contraposición a lograr niveles aceptables niveles de rendimiento. Esta
variable de importancia trascendental tiene gran incidencia dentro de la normas
regulatorias que rápidamente se va amoldando a las necesidades de los
mercados.
En este contexto los organismos reguladores de las instituciones financieras de
República Dominicana han anunciado la próxima implementación de la pautas
propuestas por el Comité de Supervisión Bancaria de Basilea en su versión II,
enfocado en la gestión de los riesgos operativos.
1.1 Aspectos Introductorios
La definición de control interno se concibe como el proceso que ejecuta la
administración con el fin de evaluar operaciones especificas con seguridad
razonable en tres principales categorías: Efectividad y Eficiencia Operacional,
Confiabilidad de la Información Financiera y Cumplimiento de Políticas, Leyes y
Normas.
2
A su vez, el control interno posee cinco componentes que pueden ser
implementados en todas las compañías de acuerdo a las características
administrativas, operacionales y de tamaño; los componentes son:
Un ambiente de control.
Una valoración de riesgo de las actividades de control (políticas y
procedimientos), información y comunicación y el monitoreo o
supervisión.
Aunque el riesgo operacional es congénito a todas las operaciones de negocios
y no puede ser eliminado totalmente, si puede ser gestionado y mitigado.1
(INTRODUCIR TEXTO)
1.2 Fundamentos de la Gestión del Riesgo Operativo
El Comité de Basilea II reconoce que la administración de riesgos operativos
específicos no es una práctica nueva; siempre ha sido importante para las
instituciones financieras intentar evitar fraude mantener la integridad de los
controles internos y reducir los errores en el procesamiento de transacciones.
Empero, lo que sí es relativamente nuevo es la perspectiva respecto de la
administración del riesgo operativo como una práctica integral comparable a la
administración del riesgo de crédito y de mercado, no tanto en forma sino en
principio.
El rango de prácticas de negocio y áreas afectadas por los riesgos
operacionales debe ser ampliamente considerado y tratado en el desarrollo de la
gestión del riesgo operativo de las entidades financieras. Debido a que no está
confinado a líneas de negocio particulares, tipos de producto o unidades
organizacionales y a que los riesgos pueden estar interrelacionadas, el riesgo
operativo debería ser administrado de una manera integral y consistente en la
1 Comité de Supervisión Bancaria de Basilea, “Documento de Consulta” Presentación del nuevo Acuerdo de
Capital Basilea, Abril, 2003.
3
entidad financiera. Consecuentemente, la gestión de estos riesgos debe
incorporar el rango total de riesgos operativos, así como también las estrategias
que ayuden a identificar, medir, monitorear y controlar estos riesgos.
En la práctica, para evaluar el riesgo operativo se utilizan dos variables:
La frecuencia o probabilidad, que consiste en el número de ocasiones en
la se detecta la presencia de eventos causales de riesgo;
La severidad o importancia del impacto de los eventos de riesgo sobre
los resultados o el patrimonio de la empresa.
En el pasado, las instituciones financieras se basaron casi exclusivamente en
mecanismos de control interno en las líneas de actividad, complementados con
la función de auditoría, para administrar el riesgo operativo. A pesar de que
estos mecanismos siguen siendo importantes, recientemente han empezado a
emerger estructuras y procesos específicos para administrar el riesgo
operativo2.
En este sentido, un número creciente de organizaciones ha llegado a la
conclusión que un programa de administración del riesgo operativo otorga
seguridad y solvencia a la institución, y por ende, están avanzando en el
tratamiento del riesgo operativo como un tipo distinto de riesgo similar al
tratamiento del riesgo de crédito y el riesgo de mercado.
1.3 El Comité de Basilea
El Comité de Basilea fue creado por los gobernadores, presidentes y/o
representantes de los bancos centrales del Grupo de los Diez (G-10) en febrero
de 1975. Esta organización adopta el nombre de Comité de Basilea para la
Supervisión Bancaria y Prácticas de Supervisión se reúne regularmente cuatro
2 Idem 1
4
veces al año en el Banco de Regulaciones Internacionales en Basilea, donde se
encuentra ubicada permanentemente su secretaría. Actualmente los miembros
del Comité lo forman representantes de los bancos centrales y de las
autoridades de supervisión de los doce países siguientes: Bélgica, Canadá,
Francia, Alemania, Italia, Japón, Luxemburgo, Holanda, España, Suecia, Suiza,
Reino Unido y Estados Unidos.
Su accionar se limita a la formulación de estándares y recomendaciones en
materia de supervisión y buenas prácticas bancarias, con miras a que las
autoridades individuales tomen las medidas para implementarlas mediante la
expedición de disposiciones detalladas que se adecuen a sus propios sistemas
internos.
El Comité de Basilea cree que es esencial tener un activo intercambio de ideas
entre los supervisores y el sector para el desarrollo constante de pautas
adecuadas para administrar el riesgo operativo, éste busca la convergencia de
los estándares de supervisión en aras de armonizar las técnicas de supervisión
con los sistemas propios de cada país para que la supervisión sea adecuada y
no exista banco extranjero que escape a los principios básicos de la
supervisión3.
1.3.1 Funciones del comité de Basilea
El Comité de Basilea fue creado por los gobernadores, presidentes y/o
representantes de los bancos centrales del Grupo de los Diez (G-10) en febrero
de 1975. Esta organización se reúne regularmente cuatro veces al año en el
Banco de Regulaciones Internacionales en Basilea, donde se encuentra ubicada
permanentemente su secretaría. Actualmente los miembros del Comité lo
forman representantes de los bancos centrales y de las autoridades de
supervisión de los doce países siguientes: Bélgica, Canadá, Francia, Alemania,
Italia, Japón, Luxemburgo, Holanda, España, Suecia, Suiza, Reino Unido y
3 Acuerdo de Basilea: Medición de la convergencia internacional de capitales y normas que rigen el capital”.
Julio 1988
5
Estados Unidos. El Comité no posee ninguna autoridad formal de supervisión
sobre los países miembros y sus conclusiones no tienen fuerza legal, pero ha
formulado una serie principios y estándares de supervisión bancaria que han
sido acogidos, no sólo por los países miembros, sino por la mayoría de países
en el mundo.
Un factor externo a la gestión de las entidades de crédito, el denominado factor
regulación se manifiesta a través de Basilea II, su capacidad de irrupción en el
seno de la gestión empresarial, introduce nuevas disciplinas y procesos de
control / información, que afectarán con distinta intensidad la gestión y la cultura
de estas entidades.4
Las principales funciones son las siguientes:
Enunciar estándares y pautas generales de supervisión bancaria.
Emite declaraciones de mejores prácticas, a fin que las autoridades
individuales tomen las medidas necesarias para aplicarlas de la forma
que mejor convenga a sus propios sistemas nacionales.
Constituye un foro de debate para la resolución de problemas específicos
de supervisión.
Regulariza la distribución de la competencia supervisora entre las
autoridades nacionales a fin de garantizar una supervisión eficaz de las
actividades bancarias.
1.3.1.1 Reseña de los Tratados de Basilea
Basilea I
En 1988, el Comité de Basilea, compuesto por los gobernadores de los bancos
centrales de Alemania, Bélgica, Canadá, España, EE. UU., Francia, Italia,
Japón, Luxemburgo, Holanda, el Reino Unido, Suecia y Suiza publicó el primero
de los Acuerdos de Basilea, un conjunto de recomendaciones alrededor de una
4 http://www.sgsirefi.gov.bo/SGSIREFI/Publicaciones/ForoFinanciero/1.html
6
idea principal: Se trataba de un conjunto de recomendaciones para establecer
un capital mínimo que debía tener una entidad bancaria en función de los riesgo
que afrontaba. El acuerdo establecía una definición de "capital regulatorio"
compuesto por elementos que se agrupan en 2 categorías (o "tiers") si cumplen
ciertos requisitos de permanencia, de capacidad de absorción de pérdidas y de
protección ante quiebra.
Este capital debe ser suficiente para hacer frente a los riesgos de crédito,
mercado y tipo de cambio. Cada uno de estos riesgos se medía con unos
criterios aproximados y sencillos.
Este acuerdo era una recomendación: cada uno de los países signatarios, así
como cualquier otro país, quedaba libre de incorporarlo en su ordenamiento
regulatorio con las modificaciones que considerase oportunas. Entró en vigor en
más de cien países.
Basilea II
Basilea II brinda un marco de referencia para la gestión integral de los riesgos,
marco que es progresivamente adoptado por los supervisores y también por las
entidades como una referencia de mejor práctica. Presenta tres métodos para el
cálculo de los requerimientos de capital asociados al riesgo operacional:
• Método del Indicador Básico.
• Método Estándar.
• Métodos de Medición Avanzada (o AMA por sus siglas en inglés).
Los dos primeros no se caracterizan por ser sensibles al riesgo, dado que
determinan los requerimientos de capital en forma simplificada a través del
producto entre los ingresos brutos anuales medios y el coeficiente de exigencia
de capital. Ambos métodos son cuestionados, porque las entidades son
penalizadas por el solo hecho de tener elevados ingresos brutos y porque el
requerimiento de capital podría depender de las prácticas contables de cada
7
país, posibilitando así el llamado arbitraje regulatorio. Es el segundo de los
Acuerdos de Basilea. El propósito fundamental de Basilea II, publicado
inicialmente en Junio de 2004, es la creación de un Standard internacional que
sirva de referencia a los reguladores bancarios. Estos acuerdos consisten en
recomendaciones sobre la legislación y regulación bancaria y son emitidos por el
Comité de supervisión bancaria de Basilea. Como podemos observar en el
grafico anterior Basilea II hace equitativo el riesgo con el con los requerimientos
de capital, para asegurar la protección de las entidades frente a los riesgos
financieros y operativos.
1.4 Estructura de Basilea II
El Comité de Supervisión Bancaria de Basilea reconoce la evolución de los
métodos analíticos para la cuantificación del riesgo operacional, y por lo tanto no
define un método específico. No obstante especifica que el horizonte de cálculo
de pérdidas sea de carácter anual y que la entidad demuestre que el método
seleccionado permite reflejar en la distribución eventos de escasa probabilidad
de ocurrencia pero de alto impacto monetario.
La metodología para determinar el requerimiento de capital por riesgo
operacional utilizando los AMA es semejante al concepto de VaR (Value at Risk
o Valor en Riesgo), propio del riesgo de mercado. A partir de la estimación de la
distribución de pérdidas agregadas, el requerimiento de capital exigido por
Basilea es el que acumula el 99,9% de las pérdidas en un año. Es decir, la
entidad debe demostrar suficiente capital para absorber las pérdidas que surjan
en el plazo de un año en el 99.9% de los pasos, exponiéndose a una
insuficiencia en el 0,1% de los casos restantes.5El nuevo Acuerdo de Capital, se
estructura en tres pilares de recomendaciones:
Requerimientos Mínimos de Capital.
Proceso de Supervisión Bancaria.
Disciplina de Mercado.6
5 Idem 4
6 http://www.perfectpointpartners.com/images/gestionRiesgo s21.
8
1.4.1 Pilar I. Requerimientos Mínimos de Capital
La metodología para determinar el requerimiento de capital por riesgo
operacional utilizando los AMA es semejante al concepto de VaR (Value at Risk
o Valor en Riesgo), propio del riesgo de mercado. A partir de la estimación de la
distribución de pérdidas agregadas, el requerimiento de capital exigido por
Basilea es el que acumula el 99,9% de las pérdidas en un año. Es decir, la
entidad debe demostrar suficiente capital para absorber las pérdidas que surjan
en el plazo de un año en el 99.9% de los casos, exponiéndose a una
insuficiencia en el 0,1% de los casos restantes.
El capital mínimo de las entidades de crédito, se define en función de los niveles
de riesgos asumidos de crédito, de mercado y operativos. Se establecen una
ponderación de los riesgos vigentes, evaluados según metodologías estándares
o con métodos avanzados7. El capital mínimo exigido a cada entidad ha de ser
el 8% de la suma de la evaluación de los riesgos de crédito, de mercado
(mantiene la evaluación propuesta en 1998) y operacional. La novedad, entre
otras, es que también considera al riesgo operativo como un riesgo importante,
de similar tratamiento y evaluación, con consumo de capital.
1.4.1.1 Métodos de evaluación del riesgo operativo
Basilea II, con el nuevo acuerdo de capital propone tres métodos de evaluación
del riesgo operacional:
Método del Indicador Básico
Las instituciones financieras que utilicen este método deberán cubrir el riesgo
operativo con un capital equivalente al promedio de los tres últimos años de un
porcentaje fijo (denotado como alfa [15%]) de sus ingresos brutos anuales
positivos. Al calcular este promedio, se excluirán tanto del numerador como del
denominador los datos de cualquier año en el que el ingreso bruto anual haya
sido negativo o igual a cero.
7 http://www.pwc.com/ar/spa/pdf/CEO_Riesgo Operacional02
9
Método Estándar
Las actividades de los bancos se dividen en ocho líneas de negocios y el
requerimiento de capital de cada línea se calcula multiplicando el ingreso bruto
por un factor (denominado beta), que se asigna a cada línea.
Estas son las líneas de negocio y sus «betas»: Finanzas Corporativas 18%;
Negociación y Ventas 18%; Banca Minorista 12%; Banca Comercial 15%;
Liquidación y Pagos 18%; Servicios de Agencia 15%; Administración de Activos
12%; Intermediación Minorista 12%.
El método estándar simplificado para el riesgo operativo es el Método del
Indicador Básico, por el que los bancos deben mantener un capital igual a un
porcentaje fijo (15%) de los ingresos brutos anuales medios de los tres últimos
años, siempre que sean positivos.8
Los ingresos brutos se definen como los ingresos netos en concepto de
intereses más otros ingresos netos ajenos a intereses. Se pretende que esta
medida sea bruta de cualquier provisión dotada (por ejemplo, por impago de
intereses); sea bruta de gastos de explotación, incluidas cuotas abonadas a
proveedores de servicios de subcontratación, excluya los beneficios /pérdidas
realizados de la venta de valores de la cartera de inversión, excluya partidas
extraordinarias o excepcionales, así como los ingresos derivados de las
actividades de seguro.
Se recomienda que los bancos que utilicen este método sigan las directrices del
comité recogidas consagradas en el documento “Sound Practices for the
Management and Supervision of Operational Risk” de febrero de 20039.
8 Ver. Linette Field, «Basilea II: tercer documento consultivo y últimos avances». Banco España.
Estabilidad Financiera. 9 http://www.ehu.es/cuadernosdegestion/documentos/513.pdf
10
Las actividades de los bancos se dividen en ocho líneas de negocios y el
requerimiento de capital de cada línea se calcula multiplicando el ingreso bruto
por un factor (denominado beta), que se asigna a cada línea. Estas son las
líneas de negocio y sus «betas»: Finanzas corporativas 18%; Negociación y
ventas 18%; Banca minorista 12%; Banca comercial 15%; Liquidación y pagos
18%; Servicios de agencia 15%; Administración de activos 12%; Intermediación
minorista 12%.
Método de Medición Avanzado (A.M.A)
Uno de los métodos internos es el denominado LDA (Loss Distribution Approach
o Enfoque de Distribución de Pérdidas), que se encuentra ampliamente
difundido como modelo de cuantificación del riesgo operacional. Las entidades
podrán elegir su propia metodología en tanto sea lo suficientemente amplia y
sistemática, y se atenga a un conjunto satisfactorio de criterios de calificación
basado en principios10.
A continuación las condiciones cruciales para que la metodología LDA arroje
niveles de precisión aceptables:
Una adecuada selección de las distribuciones de frecuencia e intensidad.
Una apropiada parametrización de las distribuciones seleccionadas.
Las exigencias mínimas son:
1. El Consejo de administración o alta dirección se encuentran altamente
involucrados en la vigilancia de su política de gestión de riesgo
operativo.
2. Poseer un sistema de gestión de riesgo operativo conceptualmente
sólido y aplicado en su integridad.
10
http://www.dpya-sa.com.ar/Serv_Consultoria_Riesgo_Basileaii.asp
11
3. Contar con recursos suficientes para aplicarlo en las principales líneas de
negocio así como en las áreas de control y auditoría.
4. Debe ser verificado (incluyendo «stress test») por los auditores
internos/externos del banco y por el supervisor y deberá demostrar que su
calidad es comparable al exigido en el método IRB de riesgo de crédito.
5. Admitir el cómputo de los seguros que les permitirá reducir hasta el 20%
de la exigencia de capital, con la condición de que las compañías
aseguradoras cuenten con una calificación «A» o superior, y no estén
vinculadas a la entidad. La póliza de seguros deberá tener un plazo
residual mayor a un año (si es menor se reduce el descuento
proporcionalmente hasta 0% para plazos residuales inferiores a noventa
días) incluyendo además un período de preaviso de cancelación y
renovación11.
6. El supervisor puede autorizar a utilizar parcialmente el método AMA en
ciertas áreas y en otras el método del indicador básico y/o el método
estándar.12
No se admite que un banco que emplea un método de cálculo sofisticado pase a
uno más sencillo. Vemos una gradación en los sistemas de evaluación del
riesgo operativo, desde la menor participación de la gestión (método del
indicador básico), pasando el método estándar para una organización
estructurada en líneas de negocio, hasta llegar al método avanzado, que exige
establecer un sistema de gestión con metodología propia, cualitativa y
cuantitativa, contrastada profesionalmente y por el propio supervisor.
1.4.2 Pilar II. Proceso de Supervisión Bancaria
Determina las relaciones periódicas y sistemáticas de cada entidad con los
responsables de su supervisión (Bancos centrales, Superintendencia de Bancos
en nuestro caso)13.
11
Seminario Int. Nuevo acuerdo de Basilea II: Retos y Oportunidades Nov. 3, 2006. José M. López, 12
http://www.pwc.com/ar/spa/pdf/CEO_Riesgo Operacional02.pdf. 13
La Gestión del Riesgo Operacional, Ana Fernández Laviada. 1ra Edición, 2007
12
Es importante destacar que estas relaciones entre las entidades deberán contar
con un proceso suficiente para evaluar sus requerimientos de capital (control de
riesgo) y con una estrategia coherente para su mantenimiento. Además los
supervisores juzgarán los procesos y estrategias de las entidades para verifica
su cumplimiento satisfactorio con posibilidades de intervenir, caso contrario.
Asimismo los supervisores podrán exigir un cumplimiento por encima del capital
mínimo y la posibilidad de intervención inmediata y con prontitud cuando el
capital requerido esté por debajo del mínimo, exigiendo medidas correctivas
eficaces.
El proceso de examen supervisor establecido en este Marco no tiene por
objetivo únicamente garantizar que los bancos posean el capital necesario para
cubrir los riesgos de sus actividades, sino que también insta a los bancos a que
desarrollen y utilicen mejores técnicas de gestión de riesgo en el seguimiento y
control de los mismos, reconoce la responsabilidad que recae en la dirección del
banco para el desarrollo de un proceso interno de evaluación del capital y para
el establecimiento de objetivos de capital que guarden relación con el perfil de
riesgo y el entorno de control del banco.
Existen tres áreas fundamentales especialmente indicadas para ser tratadas en
el Segundo Pilar14:
Los factores externos al banco (por ejemplo, los efectos del ciclo
económico).
Los riesgos que se consideran en el Primer Pilar pero que no se cubren
por completo (p. e. el riesgo de concentración del crédito).
Aquellos factores que no tiene en cuenta el Primer Pilar (por ejemplo, el
riesgo de tipo de interés en la cartera de inversión, el riesgo de negocio
y el riesgo estratégico).
14
http://www.asbaweb.org/documentos/publicaciones/04-PUB-ESP-Implementacion%20de%20Basilea%20II%20-%20Consideraciones%20Practicas.pdf
13
Otro aspecto importante del segundo pilar es la evaluación del cumplimiento de
los criterios mínimos y de los requisitos de divulgación de los métodos más
avanzados del Primer Pilar, en particular, el marco para el riesgo de crédito y
los métodos de medición Avanzada para el riesgo operativo.
Para estos fines, El Comité ha identificado cuatro principios básicos del examen
supervisor en las numerosas orientaciones de supervisión elaboradas por el
Comité, cuya piedra angular son los Principios Básicos para una Supervisión
Bancaria Eficaz y la Metodología de los Principios Básicos:
Los bancos deberán contar con un proceso para evaluar la suficiencia de
su capital total en función de su perfil de riesgo y con una estrategia para
el mantenimiento de sus niveles de capital.
Los bancos deberán ser capaces de demostrar que sus objetivos internos
de capital están bien fundamentados y resultan acordes con su perfil
general de riesgo y con su actual entorno operativo. Al evaluar la
suficiencia de su capital, la dirección del banco deberá tener en cuenta la
etapa concreta del ciclo económico en la que el banco esté operando.
Será necesario realizar pruebas de tensión rigurosa y prospectiva, al
objeto de identificar posibles acontecimientos o cambios en las
condiciones del mercado que pudieran afectar negativamente al banco.
La dirección de la entidad es sin duda la principal responsable de
garantizar que el banco posee capital suficiente para cubrir sus riesgos.
Adicionalmente, existe cinco características relevantes de un proceso riguroso
son:
Vigilancia por parte del consejo de administración y de la Alta Dirección.
Evaluación rigurosa del capital.
14
Evaluación integral de los riesgos.
Seguimiento e información.
Exámen de los controles internos.
1.4.2.1 Consejo de Administración y Alta Dirección:
Vigilancia
La dirección del banco tiene la responsabilidad de comprender la naturaleza y el
nivel del riesgo asumido para garantizar un proceso sólido de gestión del riesgo
en la que se asiente una evaluación eficaz de la suficiencia de las posiciones de
capital.
El análisis de los requerimientos de capital actuales y futuros del banco con
relación a sus objetivos estratégicos es un elemento esencial del proceso de
planificación estratégica. Otra de sus responsabilidades consiste en garantizar
que las formalidades y la sofisticación de los procesos de gestión del riesgo
sean acordes con el perfil de riesgo y el plan de negocios del banco.
En algunos países, el consejo de administración es el principal (o incluso el
único) responsable de supervisar al órgano ejecutivo (Alta Dirección, Dirección
General) con el fin de asegurar que éste cumple sus funciones, por lo que en
algunos casos se le conoce como comité supervisor. Esto implica que el
consejo de administración no posee funciones ejecutivas.
Dicho plan deberá recoger con claridad las necesidades de capital del banco, los
gastos de capital previstos, el nivel de capital deseable y las fuentes externas de
capital. La Alta Dirección y el consejo de administración del banco deben
contemplar la planificación del capital como un elemento fundamental para el
logro de sus objetivos estratégicos.
El consejo de administración es responsable de establecer la tolerancia del
banco al riesgo.
15
1.4.2.2 Evaluación del Capital
Los elementos fundamentales de una evaluación rigurosa del capital incluyen:
Políticas y procedimientos diseñados para garantizar que el banco
identifica, cuantifica e informa de todos los riesgos importantes.
Un proceso que relacione el capital con el nivel de riesgo.
Un proceso que establezca objetivos de suficiencia de capital en función
del riesgo, teniendo en cuenta el enfoque estratégico del banco y su plan
de negocios.
Un proceso interno de controles, exámenes y auditorías al objeto de
garantizar la exhaustividad del proceso general de gestión.
En ese mismo orden, el proceso de evaluación del capital deberá tener en
cuenta todos los riesgos importantes a los que se enfrenta el banco. Si bien el
Comité reconoce que no todos los riesgos pueden medirse con exactitud, será
necesario desarrollar un proceso de estimación de los mismos. Así pues, este
proceso deberá contemplar las siguientes exposiciones al riesgo:
Riesgo de crédito: Para los bancos más sofisticados, la estimación del
riesgo de crédito a efectos de determinar la suficiencia de capital deberá
cubrir, como mínimo, cuatro áreas: sistemas de calificación del riesgo,
análisis / agregación de carteras, titulización / derivados del crédito
complejos, así como grandes posiciones y concentraciones del riesgo.
El sistema de calificaciones deberá ofrecer calificaciones detalladas de todos los
activos, y no sólo de los activos cuestionados o problemáticos. Las reservas
dotadas para préstamos incobrables deberán incluirse en la evaluación del
riesgo de crédito a efectos de suficiencia de capital.
16
El análisis del riesgo de crédito deberá identificar adecuadamente cualquier
deficiencia existente en las carteras, incluidas las concentraciones de riesgo.
Riesgo Operativo: El Comité entiende en que la gestión del riesgo
operativo deberá aplicarse un rigor similar al utilizado al gestionar otros
riesgos bancarios significativos. La gestión del riesgo operativo puede
resultar inadecuada si se realiza una apreciación errónea del perfil de
riesgo / rentabilidad de la institución que la expone a pérdidas
sustanciales.
Los bancos deberán desarrollar un marco para la gestión del riesgo operativo y
evaluar la suficiencia de capital dentro de dicho marco. Éste deberá cubrir la
propensión y la tolerancia del banco al riesgo operativo, tal y como establecen
las políticas de gestión de dicho riesgo, incluyendo el grado y el modo en que el
riesgo operativo se transfiere fuera del banco.
La Alta Dirección o el consejo de administración del banco deberán recibir
periódicamente informes sobre el perfil de riesgo y las necesidades de capital de
la entidad. Con estos informes el banco deberá establecer un sistema adecuado
para el seguimiento y transmisión de información sobre las exposiciones al
riesgo y para la evaluación de los efectos que tienen las modificaciones de su
perfil de riesgo en las necesidades de capital. Estos reportes deberán permitir a
la Alta Dirección:
Considerar sus requerimientos futuros de capital en función del perfil de
riesgo conocido del banco y, con arreglo a ello, introducir los ajustes
pertinentes en el plan estratégico15
Determinar si el banco posee capital suficiente para cubrir los distintos
riesgos y si satisface los objetivos de suficiencia de capital establecidos.
Estimar el nivel y la tendencia de los riesgos relevantes y su efecto sobre
los niveles de capital.
15
García-Herrero, Alicia y Sergio Gavilá. “Posible impacto de Basilea II en los países emergentes”. Banco de España. Madrid
17
Evaluar la sensibilidad y racionalidad de los supuestos básicos utilizados
en el sistema de medición del capital.
1.4.2.3 Exámenes
Un control eficaz del proceso de evaluación del capital incluye un examen
independiente y, cuando proceda, la realización de auditorías internas o
externas. El consejo de administración del banco es el responsable de garantizar
que la dirección establece un sistema de evaluación de los distintos riesgos,
desarrolla un método para relacionar el riesgo con el nivel de capital del banco
y crea un marco de seguimiento de la observancia de las políticas internas.
El banco deberá realizar exámenes periódicos de su proceso de gestión del
riesgo a fin de garantizar su integridad, precisión y racionalidad. Las áreas que
deberán ser examinadas son:
La realización de pruebas de tensión y el análisis de los supuestos.
La evaluación del capital del banco en función de la naturaleza, el ámbito
y la complejidad de sus actividades.
La identificación de grandes posiciones y concentraciones de riesgos.
La exactitud de los datos utilizados por el banco durante en el proceso de
evaluación.
El examen periódico podrá incluir una combinación de factores tales
como: Reuniones con la dirección del banco, inspecciones in situ en el
banco, Revisión del trabajo realizado por los auditores externos (siempre
que se centre adecuadamente en los aspectos relativos al capital de la
entidad), exámenes fuera del banco, reuniones con la dirección del banco
además puede considerar la presentación de informes periódicos.
18
Además de los exámenes al control interno, también será necesaria la aplicación
de exámenes para evaluar la adecuación del Riesgo. Por lo tanto, los
supervisores deberán evaluar hasta qué punto los objetivos y procesos internos
incorporan toda la gama de riesgos a los que se enfrenta el banco por lo que se
hace necesario que los supervisores examinen la adecuación de las medidas de
riesgo utilizadas al evaluar la suficiencia de capital interno y el grado en que
estas medidas se utilizan, en el ámbito Operativo, al objeto de establecer límites,
valorar el rendimiento de las líneas de negocio y, en términos más generales,
evaluar y controlar los riesgos.
Gráfico número 1
Parámetros de Supervisión
Fuente: http://www.airon.es/baselii.htm
Cabe destacar que tanto los pilares I como el II se enfocan en los parámetros de
supervisión. El proceso del examen supervisor para la titulización es un principio
del Primer Pilar. La obligación de los bancos de tener en cuenta el contenido
económico de sus operaciones al determinar la suficiencia de su capital, las
autoridades supervisoras comprobarán, según proceda, si los bancos cumplen
adecuadamente esa exigencia.
19
En otros aspectos las autoridades supervisoras podrán examinar, cuando así lo
estimen relevante, la evaluación de las necesidades de capital que lleva a cabo
el propio banco y el modo en que esta evaluación se refleja en el cálculo del
capital, así como la documentación de ciertas operaciones al objeto de
determinar si los requerimientos de capital están en consonancia con el perfil de
riesgo (por ejemplo, analizando las cláusulas de sustitución).
Dicha actuación puede consistir en denegar o reducir la compensación del
requerimiento de capital en el caso de activos originados por el banco, o bien
exigir un aumento del requerimiento de capital en el caso de posiciones de
titulización adquiridas.
En concreto, las autoridades supervisoras deberán vigilar la estructuración de
los desfases de plazos de vencimiento incluidos en las operaciones que tengan
como objetivo la reducción de los requerimientos de capital de una manera
artificial.
Igualmente, los supervisores podrán examinar la evaluación que realice el propio
banco de la correlación existente entre los activos de una cartera y el modo en
que esa evaluación se refleja en el cálculo del capital económico.
Dicha actuación puede consistir en denegar o reducir la compensación del
requerimiento de capital en el caso de activos originados por el banco, o bien
exigir un aumento del requerimiento de capital en el caso de posiciones de
titulización adquiridas.
Los supervisores deberán examinar los procesos que sigue el banco y
determinar si los niveles de capital elegidos son exhaustivos y pertinentes al
entorno Operativo actual y si la alta dirección vigila y examina adecuadamente
estos niveles.
20
1.4.2.4 Transferencia del Riesgo
Las operaciones de titulización pueden utilizarse con fines distintos de la
transferencia del riesgo de crédito (p. e., la financiación). En tal caso, puede
producirse todavía una transferencia limitada de riesgo de crédito, sin embargo,
para que un banco originador obtenga reducciones de sus requerimientos de
capital, la autoridad supervisora nacional deberá estimar relevante la
transferencia de riesgo procedente de la titulización.
Si se considera que la transferencia de riesgo es insuficiente o inexistente, la
autoridad podrá exigir la aplicación de un requerimiento de capital más elevado
que el prescrito en el Primer Pilar o, de forma alternativa, podrá denegarle al
banco la compensación del requerimiento de capital procedente de las
titulizaciones. Así pues, esta compensación estará en consonancia con la
cuantía del riesgo de crédito que se transfiera en la práctica.16
1.4.2.5 Respaldo de las Operaciones
Cuando el supervisor detecte que un banco ha respaldado implícitamente una
titulización, le exigirá que mantenga capital suficiente frente a todas las
posiciones subyacentes asociadas a la estructura, como si éstas no se hubieran
titulizado. El banco también estará obligado a informar públicamente cuando
haya sido descubierto proporcionando un respaldo no contractual e informar
igualmente sobre el aumento de capital exigido a este respecto (como se
enunció anteriormente).
El respaldo a una operación, ya sea de naturaleza contractual o no contractual
(respaldo implícito), que puede adoptar diversas formas. Por ejemplo, el apoyo
contractual puede incluir la sobre co-lateralización, los derivados del crédito, las
cuentas de diferencial, las obligaciones de recurso contractual, los pagarés
subordinados, las coberturas del riesgo de crédito proporcionadas a un tramo
16
Comité de Supervisión Bancaria de Basilea, “Documento de Consulta” Presentación del nuevo Acuerdo de Capital Basilea, Abril, 2003.
21
determinado, la subordinación de los ingresos por comisiones o por intereses o
el aplazamiento del margen financiero, así como las opciones de exclusión que
excedan del 10 por ciento de la emisión inicial. En cuanto al respaldo implícito,
cabe señalar como ejemplos la compra de posiciones deterioradas con riesgo de
crédito procedentes del conjunto subyacente, la venta de posiciones con riesgo
de crédito descontadas del conjunto de posiciones con riesgo de crédito
titulizadas, la compra de posiciones subyacentes por encima del precio de
mercado o el aumento en una posición de primera pérdida acorde con el
deterioro de las posiciones subyacentes.17
En el caso de estructuras de titulización sintética, el respaldo implícito niega la
relevancia de la transferencia de riesgo. Al proporcionar respaldo implícito, los
bancos informan al mercado de que el riesgo continúa en el banco y no ha sido
transferido en la práctica.
En consecuencia, el cálculo de capital de la institución subestima el verdadero
riesgo, por lo que es de esperar que los supervisores nacionales adopten las
medidas oportunas cuando una organización bancaria proporcione respaldo
implícito.
Esta medida está destinada a que los bancos se vean obligados a mantener
capital frente a las posiciones en las que asumen riesgo de crédito y vean
desincentivada su provisión de respaldo no contractual.
Si se detecta que el banco ha prestado respaldo implícito en más de una
ocasión, la entidad bancaria estará obligada a divulgar públicamente dicha
trasgresión y los supervisores nacionales tomarán las medidas oportunas, entre
las que se encuentran18:
17
García-Herrero, Alicia y Sergio Gavilá. “Posible impacto de Basilea II en los países emergentes”. Banco de España. Madrid. 18
Ídem 31
22
Impedir que el banco obtenga un tratamiento de capital favorable con
respecto a los activos titulizados, durante un periodo de tiempo a
determinar por el supervisor nacional.
Exigir al banco que mantenga capital con respecto a todos los activos
titulizados, como si hubiese generado un compromiso frente a ellos,
aplicando un factor de conversión a la ponderación por riesgo de los
activos subyacentes.
A efectos del cálculo de capital, exigir al banco que aplique un tratamiento
a todos los activos titulizados como si éstos permanecieran en el balance
de la entidad.
Exigir al banco que mantenga capital regulador por encima de los
coeficientes mínimos de capital en función del riesgo.
Los supervisores serán cautos a la hora de determinar que se ha proporcionado
respaldo implícito y adoptarán las medidas supervisoras oportunas al objeto de
mitigar sus efectos. Mientras se esté llevando a cabo una investigación, se
podrá prohibir que el banco pueda beneficiarse de cualquier compensación de
los requerimientos de capital en concepto de operaciones de titulización
planeadas (moratoria). 19 La reacción de los supervisores nacionales estará
encaminada a modificar la conducta del banco con respecto a su respaldo
implícito, así como a corregir las percepciones.
1.4.3 Pilar III: Disciplina de Mercado
Establece requisitos para la divulgación de información sobre los riesgos y su
gestión para que los participantes y agentes del mercado conozcan el perfil de
riesgo de las entidades a nivel particular.
19
García-Herrero, Alicia y Sergio Gavilá. “Posible impacto de Basilea II en los países emergentes”. Banco de España. Madrid
23
1.4.3.1 Los requisitos de divulgación y Principios
orientadores
El Tercer Pilar sobre disciplina de mercado está diseñado para completar los
requerimientos mínimos de capital (Primer Pilar) y el proceso de examen
supervisor (Segundo Pilar).
El Comité intenta fomentar la disciplina de mercado mediante el desarrollo de
una serie de requisitos de divulgación que permitirá a los agentes del mercado
evaluar información esencial referida al ámbito de aplicación, el capital, las
exposiciones al riesgo, los procesos de evaluación del riesgo y, con todo ello, a
la suficiencia del capital de la institución, considera que estas divulgaciones son
especialmente relevantes en el presente marco, donde la utilización de
metodologías internas concede a los bancos una mayor discrecionalidad a la
hora de evaluar sus requerimientos de capital.
El Comité estima que los motivos que subyacen en el Tercer Pilar son
suficientemente contundentes para exigir el cumplimiento de requisitos de
divulgación a los bancos que utilicen el presente Marco.
Los supervisores disponen de diversas medidas para instar a los bancos a que
realicen tales divulgaciones. Algunas de estas divulgaciones se considerarán
criterios de admisión para la utilización de determinadas metodologías o el
reconocimiento de determinados instrumentos y operaciones.
En principio, las divulgaciones de los bancos deberán ser acordes con la forma
en la que la Alta Dirección y el consejo de administración evalúan y gestionan
los riesgos del banco.
Conforme al Primer Pilar, los bancos utilizan metodologías/enfoques específicos
para medir los riesgos a los que se enfrentan y los requerimientos de capital
necesarios.
24
1.4.3.2 Divulgación
La disciplina de mercado puede contribuir a un entorno bancario sólido y seguro,
al tiempo que los supervisores, por su parte, exigen a las entidades que operen
de una forma sólida y segura. El Comité es consciente de que los supervisores
cuentan con diferentes potestades a la hora de exigir el cumplimiento de los
requisitos de divulgación.
Por motivos de solidez y seguridad, los supervisores podrían exigir a los bancos
que hagan pública determinada información. De manera alternativa, los
supervisores cuentan con autoridad para exigir a los bancos que les
proporcionen información en sus informes de regulación. Así, algunos
supervisores podrían divulgar públicamente toda o parte de la información
recogida en esos informes
Es necesario considerar que existe una serie de mecanismos con los que los
supervisores podrían exigir el cumplimiento de los requisitos. Estos mecanismos
varían de un país a otro y van desde la “persuasión moral” a través del diálogo
con la dirección del banco (al objeto de modificar su conducta) hasta la
amonestación o las multas financieras.
La naturaleza de las medidas concretas utilizadas dependerá de las potestades
jurídicas del supervisor y de la gravedad de la deficiencia observada en la
divulgación informativa. Sin embargo, no se pretende que los requerimientos
directos de capital adicional sean una respuesta a la falta de divulgación,
excepto en los casos indicados más adelante.20
Además de las medidas genéricas de intervención esbozadas antes, el presente
marco prevé también medidas concretas. Cuando la divulgación sea un criterio
de admisión con arreglo al Primer Pilar al objeto de lograr unas ponderaciones
20
Comité de Supervisión Bancaria de Basilea, “Documento de Consulta” Presentación del nuevo Acuerdo de Capital Basilea , Abril, 2003
25
por riesgo menores y/o aplicar una metodología en concreto, podría aplicarse
una sanción directa (no permitiéndose la aplicación de dicha ponderación menor
o de la metodología en concreto).21
Pertinencia: La información se considera pertinente cuando su omisión o
aserción errónea pudieran modificar o influenciar la evaluación o decisión
de un usuario que dependa de dicha información para tomar sus
decisiones económicas.
El Comité no establece umbrales específicos para la divulgación de información,
ya que pueden estar abiertos a manipulación y resultan difíciles de determinar, y
entiende que la prueba del usuario es una referencia útil para lograr una
divulgación de información suficiente.22
Frecuencia: Las divulgaciones establecidas en el Tercer Pilar deberán
tener una periodicidad semestral, salvo en los siguientes casos. Las
divulgaciones cualitativas que resuman en general los objetivos y políticas
de gestión de riesgo del banco, sus sistemas de transferencia de
información y las definiciones empleadas podrán publicarse con
periodicidad anual para garantizar informaciones al día y a la vez que la
institución tenga suficiente tiempo para su preparación.
Además, si la información sobre las exposiciones al riesgo u otras partidas fuese
propensa a cambiar con rapidez, los bancos también deberán divulgar la
información con una periodicidad trimestral.
En cualquier caso, los bancos deberán publicar la información pertinente en
cuanto esté disponible, y nunca después de los plazos establecidos por la
legislación nacional.
21
Acuerdo de Basilea: Medición de la convergencia internacional de capitales y normas que rigen el capital”. Julio 1988. 22
La Gestión del Riesgo Operacional, Ana Fernández Laviada. 1ra Edición, 2007.
26
1.4.3.3 Divulgaciones Contables
En el caso de divulgaciones que no sean obligatorias con arreglo a requisitos
contables o de otra índole, la dirección del banco podrá optar por publicar la
información del Tercer Pilar por otros medios (como una dirección de acceso
público en Internet o informes reguladores públicos remitidos a los supervisores
bancarios), que sean coherentes con los requisitos exigidos por las autoridades
supervisoras nacionales.
Sin embargo, se aconseja a las instituciones que, en la medida de lo posible,
ofrezcan toda la información relacionada en una misma ubicación. Además, si
existe información no facilitada mediante la divulgación contable, las
instituciones deberán indicar dónde encontrar la información adicional23.
El Comité reconoce la necesidad de que el marco de divulgación del Tercer Pilar
no entre en conflicto con los requisitos establecidos por las normas contables,
cuyo ámbito de aplicación es más amplio, por lo que ha desplegado
considerables esfuerzos para cerciorarse de que el ámbito más reducido del
Tercer Pilar, no se interpone a los requisitos más amplios emanados de las
normas de contabilidad.
La dirección de los bancos deberá utilizar su discrecionalidad a la hora de
determinar el medio y la ubicación más adecuados para esta divulgación.
De cara al futuro, el Comité pretende mantener esta relación continua con las
autoridades contables, puesto que la labor constante que desempeñan puede
repercutir en las divulgaciones exigidas en el Tercer Pilar24.
23
Acuerdo de Basilea: Medición de la convergencia internacional de capitales y normas que rigen el capital”. Julio 1988 24
Acuerdo de Basilea: Medición de la convergencia internacional de capitales y normas que rigen el capital”. Julio 1988
27
Cuando estas se realicen como parte de criterios contables o para satisfacer
requisitos de cotización pública establecidos por los reguladores de los
mercados de valores, los bancos podrán basarse en ellas al objeto de satisfacer
los criterios correspondientes.
En tales situaciones, los bancos deberán explicar las diferencias relevantes que
existan entre las divulgaciones contables u otras y la base supervisora de
divulgación. Esta explicación no necesariamente ha de realizarse como una
conciliación línea por línea.
También se espera que el reconocimiento de la divulgación contable o de otro
tipo de carácter obligatorio contribuya a aclarar los requisitos exigidos para la
validación de las divulgaciones. Por ejemplo, la información recogida en los
estados financieros anuales normalmente estará auditada y el material
informativo adicional en ellos publicado deberá ser coherente con los estados
financieros auditados.
1.4.3.4 Los Requisitos de Divulgación
Principio general de divulgación
Los bancos deberán contar con una política formal de divulgación, aprobada por
el consejo de administración, que establezca el procedimiento para determinar
qué información divulgará la entidad y los controles internos que se dispondrán
para ello. Además, los bancos deberán contar con un proceso para evaluar la
adecuación de sus divulgaciones, incluidas la validación y la frecuencia de las
mismas.
Ámbito de aplicación
El Tercer Pilar será de aplicación al nivel consolidado superior del grupo
bancario al que se aplica el Marco. En general, no será obligatorio que la
información relativa a bancos individuales dentro de los grupos bancarios
satisfaga los requisitos de divulgación enunciados más adelante. Una excepción
28
a esta regla surge en la divulgación de los coeficientes de capital total y de Nivel
1 por parte de la entidad consolidada superior, cuando se considere conveniente
un análisis de las filiales bancarias más significativas dentro del grupo,
reconociendo así la necesidad de que estas filiales cumplan el Marco y otras
limitaciones aplicables a la transferencia de fondos o de capital dentro del grupo.
1.5 Administración del Riesgo Operativo (ARO)
Las grandes instituciones, especialmente las instituciones financieras, favorecen
un planteamiento centralizado a través de éste se implementa la ARO y un
grupo dedicado a la administración de riesgos operativos la supervisa.
Establecer un modelo único para administrar y controlar el riesgo operativo a
través de todas las líneas de negocio es un proceso necesario en el desarrollo
de un programa de ARO efectivo. Durante esta etapa, una organización debe
decidir si quiere usar un modelo organizativo centralizado o descentralizado para
administrar los riesgos operativos.
Muchas empresas más pequeñas y de mediano nivel, en contraste, prefieren un
modelo descentralizado que asigne responsabilidades específicas en los riesgos
operativos a varias unidades de negocio.
Mientras una estructura descentralizada facilita la participación en la ARO de
gerentes y empleados involucrados en operaciones y ayuda a expandir la cultura
en la administración de riesgos, ésta carece de la fuerza necesaria para
implantar cambios25.
Sin embargo, una unidad de auditoría interna proactiva puede ayudar a mejorar
algunas de las fallas de este tipo de modelo, sin considerar el modelo
seleccionado para administrar los riesgos operativos, el papel y las
responsabilidades de la gerencia general, del Consejo de Administración, de los
25
José Manuel López Valdez, Seminario Internacional Nuevo acuerdo de Basilea II: Retos y Oportunidades Nov. 3, 2006
29
comités de administración relevantes y de los gerentes de las líneas de negocio
y de los empleados deben establecerse claramente a través de políticas y
procedimientos. El mejor modelo de ARO es aquél que se adapta a la cultura de
una organización. Por lo tanto, puede que tenga sentido para una compañía usar
elementos de ambos modelos, centralizados y descentralizados. Bajo dicho
modelo híbrido, los Subcomités de riesgos administrarían sus riesgos bajo los
lineamientos establecidos por el comité de riesgo, el cual tendría el papel de
supervisor, para los casos de instituciones pequeñas o de mediado tamaño,
pueden establecer un comité único para establecer las políticas y los
lineamientos26.
1.6 Progreso de las habilidades de Administración de Riesgo
En el gráfico a continuación se aprecia la evolución sobre el criterio de gestión
de riesgo ha variado con los tiempos, en los años 70 solo se prestaba
importancia a gerenciar el crédito, en los años 80 se incluyo el mercado y ya
para los años 90 se empieza a considerar la integración de los riesgos en cada
uno de sus ámbitos
Gráfico número 2
Gerencia de Riesgo
Fuente:
http://www.felaban.com/memorias_congreso_clain_2005/4vargas_r_gestion_integral_riesgos
26
Idem 40
1
Capítulo II:
Diagnóstico del Riesgo Operativo en una Institución Bancaria: Estudio de Caso
30
CAPITULO II.
DIAGNOSTICO DEL RIESGO OPERATIVO EN UNA INSTITUCIÓN
BANCARIA: ESTUDIO DE CASO
El realizar un diagnóstico a la institución en cuestión nos permite evaluar el
grado de eficiencia y eficacia bajo el cual está operando la institución sus riesgos
operativos, con el propósito de identificar posibles mejoras o estrategias factibles
para la implementación de las normas sobre gestión de riesgo operacional
establecidas en Basilea II.
De acuerdo a lo planteado, la intención es analizar cada componente de la
institución, como de los factores internos y externos que inciden sobre esta, y
poder utilizar sus fortalezas y que se pueda realizar una implementación exitosa
con el mínimo impacto. De manera puntual, éste capítulo contendrá una reseña
de los antecedentes y la evolución de la empresa objeto de estudio, se realizará
un análisis de los componentes de la gestión utilizada para identificar, mitigar y
manejar el riesgo operativo de la institución. Así como un análisis FODA,
precedido de la evaluación de la efectividad de la gestión ejercida sobre el riesgo
operativo.
2.1 Antecedentes de la Institución Objeto de Estudio
La institución financiera objeto de estudio fue establecida en República
Dominicana en el año 1920, con un número reducido de sucursales y tímidas
ofertas de productos y servicios27. Su crecimiento fue lento, no siendo hasta el
año 2003 que la alta gerencia decide embarcarse en un arriesgado proyecto de
crecimiento adquiriendo más de 40 oficinas de una institución financiera que por
asuntos de lavado de activos se ve forzada a salir del sistema. Esta institución
ha logrando posicionarse estratégicamente entre las instituciones más
importantes del sistema financiero Dominicano28. Ha incrementando su
participación en el mercado comercializando productos de alto valor y atrayendo
nuevos segmentos de clientes. Indiscutiblemente una gran fortaleza que exhibe
27
Datos extraídos de la página Web de la institución. 28
Memoria anual 2007 de la institución objeto de estudio.
31
esta institución es su cultura la que ha logrado traspasar a su equipo de trabajo
garantizando el alcance del éxito en conjunto. Forma parte de las Instituciones
Financieras más respetadas de la República Dominicana, reconocida en varias
ocasiones por sus contribuciones a la sociedad y al mejoramiento del sistema
financiero dominicano.
2.1.1 Evolución
La institución financiera objeto de estudio a lo largo de su desempeño ha
mostrado una gran responsabilidad social y financiera lo que influyó en una
rápida aceptación de su estrategia de crecimiento por parte de los organismos
reguladores, financieros y el público en general29.
Gráfico número 3
Crecimiento a Nivel Nacional
Fuente: creación propia con información suministrada por la institución objeto de estudio.
Tal crecimiento se evidencia de forma impactante en datos básicos
comparativos de la institución, como son: Número de oficinas, cantidad de
empleados, total de activos, productos y servicios. Como se muestra en el
cuadro anterior, la adquisición de oficinas fue relevante, ya que su participación
en el territorio nacional aumento significativamente a raíz de estas nuevos
puntos de ventas y servicios.
29
Idem 43
15
5354
5558
58
0 10 20 30 40 50 60 70
2002
2003
2004
2005
2006
2007
Nu
evas
Su
curs
ales
Años
32
Gráfico número 4
Ingreso nuevos empleados
Fuente: Creación propia con información suministrada por la institución objeto de estudio.
Este gráfico muestra claramente los años en los que las contrataciones fueron
significativas y están relacionados en 100% con las adquisiciones de
instituciones financieras en el año 2003 y 2007.
Gráfico número 5
Activos
En miles de millones de pesos
Fuente: Creación propia con información suministrada por la institución objeto de estudio.
00
00
2002
2003
2004
2005
2006
2007
320
700
24025
9848
1
2
3
4
5
6A
dq
uis
icio
nes
Contrataciones
2002
2003
2004
2005
2006
2007
4, 665
5, 719
18, 553
18, 369
21, 483
27, 510
Mo
nto
s
Años
33
El incremento es sustancial y va a la par con el crecimiento de los recursos
humanos de las infraestructuras adquiridas en todas las regiones del país. Este
incremento presentado por la institución objeto de estudio esta además,
proporcionalmente enlazado a las adquisiciones realizadas durante el periodo
2002-2007, donde no solo se adquirieron oficinas y recursos humanos sino una
gran cantidad de activos.
La red de cajeros en todo el territorio dominicano fue similar al aumento de las
sucursales, pues en un 85% de las sucursales adquiridas en las diferentes
localidades traía consigo el cajero automático. En la actualidad del 100% de
cajeros que operan, solo el 15% se encuentra lejos de la supervisión y
administración directa de una sucursal.
2.2 Situación Actual de la Institución Objeto de Estudio
Esta institución financiera cuenta con unas 64 oficinas y una red de cajeros
automáticos que excede las 90 unidades las cuales están estratégicamente
posicionadas en todo el territorio nacional.
Además, una de las características principales de la empresa objeto de estudio
es proporcionar productos financieros innovadores y servicios a individuos, a
pequeñas y medianas empresas así como a grandes corporaciones.
Esta institución también es conocida por ofrecer un alto nivel de excelencia en el
y muestra una alta preocupación por mantener un equipo de empleados
motivados.30
En la actualidad y para los años subsiguientes, la institución está enfocada en
continuar ofreciendo productos y servicios de alto valor que le aseguren
eficiencia financiera, y lealtad en sus clientes.
30
Memorias de la institución objeto de estudio Q2_09
34
2.3 Gestión estratégica
Las adquisiciones de otras instituciones financieras ha dado paso a la apertura
de nuevas sucursales en los últimos dos años, la segmentación de la cartera de
clientes, más el mejoramiento de los procesos tecnológicos, son parte de las
estrategias que han contribuido al crecimiento de la institución objeto de de
estudio en toda su cartera de productos.
Cabe mencionar que la institución objeto de estudio ha dado mayor importancia
a los medio de comunicación por el involucramiento en redes sociales y medios
informativos.
Los planes estratégicos de las empresas en general son alimentados
básicamente por tres útiles elementos: La misión Visión y Valores.
2.3.1 Misión:31
Es lo que la compañía trata de hacer a favor de sus clientes. Es la razón e ser
de la compañía, el motivo por el cual existe en el mercado. La misma está
claramente identificada en todas las sucursales de la institución objeto de
estudio. La institución objeto de estudio ostenta la siguiente misión: “Ser el mejor
banco para ayudar a nuestros clientes a mejorar su situación financiera”
2.3.2 Visión
Se orienta hacia el camino al cual se dirige la empresa a largo plazo y sirve de
rumbo y aliciente para orientar las decisiones estratégicas de crecimiento junto a
la competitividad. Para la institución objeto de estudio ésta dice: "Ser el mejor
grupo financiero de la región, dedicados a ofrecer la mejor calidad de servicio al
cliente, brindando productos con un valor agregado, a un precio competitivo,
ofrecidos por personal profesional cuya participación en la organización es
valorada sin importar la posición en la que se desempeñen."
31
Thompson Arthur y Strickland A. J. III; Administración Estratégica Conceptos y Casos, Mc Graw Hill, 11va edición,2001, Pág.4
35
Es importante destacar que tanto la Misión como la Visión de la compañía objeto
de estudio, guardan la relación deseada entre si, el blanco de público al que se
dirige y son muy factibles. Además la institución objeto de estudio cuenta con la
lista de valores muy claros los cuales se pueden observar en todas las oficinas
del territorio nacional.
2.3.3 Valores:
Son las creencias (el credo) acerca de las conductas consideradas correctas y
valiosas por la empresa. De los tres elementos mencionados, los valores son
los que tienen mayor permanencia. No se trata de una declaración circunstancial
o de conveniencia, sino de creencias básicas esenciales que tienen valor
intrínseco32.
Los valores de la empresa son los pilares más importantes de cualquier
organización, con ellos en realidad se define así misma, porque los valores de
una organización son los valores de sus miembros, y especialmente los de sus
dirigentes. La institución objeto de estudio los lista de la siguiente forma:
Integridad
Respeto
Dedicación
Perspicacia
Optimismo
2.4 Estructura Organizacional
A Continuación incluimos las posiciones y el organigrama de la Alta Gerencia, la
cual permite que el mismo sea ampliado a discreción de la entidad, según su
necesidad:
32
http://www.trabajo.com.mx/valores_de_una_empresa.htm
36
El equipo de alta Gerencia está compuesto por:33
Primer Vicepresidente y Gerente General.
Asistente Gerente General, Soporte del Negocio.
Vicepresidente Banca Comercial y Corporativa.
Vicepresidente Banca Personal.
Asistente Gerente General Auditoría.
Director Administración de Riesgo.
Asistente Gerente General Recursos Humanos.
Director Administración de Productos y Mercadeo.
Director Banca Pequeñas Empresas.
La estructura de la institución objeto de estudio presenta un buen balance de
tres factores vitales: Ventas, Control y Operaciones. Esta estructura
balanceada permite que los esfuerzos de la organización se orienten hacia el
cumplimiento de sus objetivos y para que los recursos se manejen en forma
eficiente tendiendo al logro no solo de los fines esenciales de la institución sino
de la aplicación de los principios de la función administrativa. A continuación un
organigrama que recrea la estructura lineal gerencial de donde se desprenden
los puestos inferiores.
Gráfico número 6
Organigrama Gerencial
Fuente: información suministrada por la institución objeto de estudio.
33
Página web de la institución objeto de estudio.
GERENTE
GENERAL
Asistente Gte. General y
Soporte de Negocios
Vice presidente
Banca Comercial y Corporativa
Vice presidente Banca
Personal
Asistente Gte. General Auditoria
Director Adm. De Riesgo
Asistente Gte. General
Recursos Humanos
Director Adm. Productos y Mercadeo
Director Banca
Pequeña Empresa
37
Se puede apreciar también como todas la ares de la institución objeto de
estudio, se encuentran completamente balanceadas y en armonía con la filosofía
y mercado en el que participa.
2.5 Dirección de la Unidad de Administración de Riesgo
El departamento de Administración de Riesgos tiene la responsabilidad de velar
por los aspectos relativos a la administración, monitoreo y seguimiento de las
políticas de crédito de la institución, asimismo esta área es la encargada de
asegurarse que se cumplan todos los aspectos que exige el regulador en este
caso la Superintendencia de Bancos.
Descuidando algunos aspectos fundamentales de control y monitoreo de
operaciones de alto riesgo, de acuerdo a lo estipulado en Basilea II.
Aunque la institución objeto de estudio si contempla una estructura de Riesgo
Operativo, lo cual representa una aventaja frente a instituciones del mismo
genero, a continuación mostramos el organigrama actual de la Unidad de
Administración de Riesgo y más adelante ofrecemos una perspectiva adicional.
Gráfico número 7
Organigrama de la Unidad de Administración de Riesgos
Fuente: Iinformación suministrada por la institución objeto de estudio.
DIRECTOR ADM. DE RIESGO
Primer
Gerente de Riesgo Crédito Comercial
Subgerente
Soporte Crédito Comercial
Subgerente
Reportes regulatorios
Oficial
Soporte
Primer Gerente
Prestamos con Problemas
Primer Gerente
Riesgo de Crédito Personal
Subgerente
De Riesgo Crédito Personal
Subgerente
De Riesgo Crédito Personal
Gerente de
Prestamos Comerciales
Pequeña Empresa
38
Como se puede apreciar, dentro de la estructura de esta unidad no existen
posiciones para el manejo del riesgo operativo, debilidad que contrarresta la
aplicación de los principios del acuerdo Basilea II.
2.5.1 Responsabilidades de la Unidad de Administración de Riesgos
A continuación un análisis de los procesos actualmente incluidos bajo la
autoridad de la unidad de Administración de Riesgos en la institución objeto de
estudio:
Administración: velar porque las políticas y normas de la gestión de
riesgo se apliquen de manera adecuada para lograr los objetivos de la
institución. Estas políticas están claramente documentadas en los
manuales de la institución.
Monitoreo: Existen repotes generados de forma automática por el
sistema que permiten evaluar el comportamiento de los créditos y manejo
de las cuentas de las diferentes oficinas.
Seguimiento: Esta unidad cuenta con un equipo de oficiales que realizan
revisiones de crédito en cada oficina de la institución. Asimismo éste
equipo en el día a día esta siempre disponible a brindar asesoría directa a
los oficiales que así lo soliciten.
Reportes regulatorios: Este proceso se basa en asegurarse que los
reportes regulatorios son remitidos a tiempo, sin errores y bajo los
lineamientos del regulador correspondiente (Superintendencia de
Bancos).
La mecánica establecida por la Unidad de Administración de Riesgo, está
regulada por prioridades establecidas por la alta gerencia de la institución, ya
que como el mercado amerita un constante establecimiento de nuevos
productos y su lanzamiento al mercado marcan la pauta para de trabajo, la
39
cartera existente merece un seguimiento cercano, pero el nuevo producto
necesita la aplicación y seguimiento de nuevas políticas que el personal que
manejara el producto debe saber al dedillo, por lo que necesita de un
seguimiento más estrecho en principio, por lo que otro elemento que ofrecen a
los oficiales involucrados en el negocio como valor agregado, son talleres y
conferencias que sirven para aclarar y fortalecer políticas o procedimientos34.
Bajo la responsabilidad del Departamento de Administración de Riesgo se
consideran relevantes los siguientes lineamientos:
Los Gerentes y oficiales basan sus revisiones en una lista de control pre-
establecida que contiene un detalle de los requerimientos para cada
producto de crédito.
Los Gerentes y Oficiales conocen y dominan las políticas en cada área de
riegos asignada.
La gestión del gerente/oficial se basa en los indicadores extraídos de los
reportes, las consultas generadas de los oficiales y las revisiones a los
créditos desembolsados contra las políticas y procedimientos
establecidos.
En las revisiones, los Gerentes y oficiales prestan cuidadosa atención al
proceso de evaluación que se llevó a cabo en cada crédito, basándose en
factores objetivos del criterio utilizado por la gerencia de la oficina
tomando en cuenta la correcta aplicación de las políticas establecidas.
El Director junto a los Gerentes del departamento reciben los
requerimientos del regulador otorgándole la prioridad necesaria para el
desarrollo y cumplimiento de los mismos.
34
Información suministrada por la institución objeto de estudio, memorias.
40
La Gerencia y oficiales de la oficina evaluada son complementados
durante el proceso con una retroalimentación formal sobre cada caso que
lo amerite, con el objetivo de revisar conjuntamente como manejar estos
casos en el futuro.
Los Gerentes y Oficiales acuerdan con la gerencia de la oficina un
proceso de remediación al momento de identificar alguna falta o debilidad
en los expedientes, esto conlleva un seguimiento posterior hasta que los
casos queden completo.
La Dirección se preocupa por las mejoras y actualización continua a
través del seguimiento permanente de los controles.
2.6 Análisis y evaluación de la Gestión de Riesgo Operativo
Podemos observar que en la actualidad la institución objeto de estudio ejerce
una adecuada gestión de riesgo sobre las cuentas y créditos de los clientes,
sin embargo no existe una estructura de gestión para el riesgo operativo que
garantice un adecuado manejo al riesgo que desprende el flujo operacional de
cada uno de los productos y servicios ofrecidos.
El alcance del riesgo operativo es muy amplio y se refleja en perdidas de
utilidades y capital presente y futuro proveniente de operaciones fraudulentas,
errores y falta de habilidad en el manejo de la información.
El riesgo operativo esta asociado al mal funcionamiento de los sistemas de
información y de los procedimientos Operativos, tanto en el aspecto técnico y
tecnológico (deficiencias en los sistemas informáticos) como en el aspecto
administrativo (deficiencias en los procedimientos de control de riesgo s o en la
administración y valuación de garantías), así como la posibilidad de acciones
fraudulentas en perjuicio de la institución.
41
El punto de partida para implantar una gestión enfocada en los riesgos, es el
desarrollo del entendimiento de la institución. Este paso es fundamental para
preparar a medida el plan de supervisión, logrando incluir las características
particulares de la institución y ajustar el programa en base a un concepto
dinámico y permanente según las circunstancias cambien.
Basado en éste análisis y la positiva experiencia de los países que han adoptado
e implementado los controles de riesgo operativo que establece el tratado se
hace inminente que no solo la institución objeto de estudio se enfoque a la
implementación total de los lineamientos que establece Basilea II, si no que todo
el Sistema Financiero Dominicano adopte la normativa con el objetivo de
controlar y mitigar este importante segmento del riesgo.
2.6.1 Análisis FODA a la Institución Objeto de Estudio
Hemos realizado un análisis FODA a la institución objeto de estudio como una
herramienta que permitirá conformar un cuadro de la situación actual de la
empresa, permitiendo de esta manera obtener un diagnóstico preciso que
permita en función de ello, ofrecer recomendaciones para la toma de decisiones
de acuerdo con los objetivos y políticas formulados.
De estas cuatro variables, tanto fortalezas como debilidades son internas de la
organización, por lo que es posible actuar directamente sobre ellas. En cambio
las oportunidades y las amenazas son externas, por lo que en general resulta
muy difícil poder modificarlas35.
En síntesis: Las fortalezas deben utilizarse.
Las oportunidades deben aprovecharse.
Las debilidades deben eliminarse.
Las amenazas deben sortearse
35
http://www.monografias.com/trabajos10/foda/foda.shtml
42
Los aspectos resaltados en este análisis son simples pero cargados de
conceptos fundamentales de administración que servirán de guía para la
preparación de las futuras estrategias que debe trazar la institución.
Fortalezas:
Beneficios estables.
Manuales de políticas y procedimientos claramente definidos.
Flexibilidad y facilidad de adaptación al cambio.
Cumplimientos de normativas legales. Cuenta con estructuras de
cumplimiento ampliamente fortalecidas.
Solidez financiera
Oportunidades:
Certificación de normativas.
Diferenciación de calidad.
Altos niveles de reputación entre sus clientes.
Estrategia continúa de crecimiento.
Fortalecimiento de sistemas de seguridad y control.
Debilidades:
Estructura de Administración de Riesgo no definida
Inexistencia de un sistema de control de pérdidas.
Amenazas
Posible aprobación de normativas desfavorables.
Riesgo financiero.
Plazos para ejecución de programas regulatorios.
2.6.2 Análisis FODA de la unidad de Administración de Riesgo
Para realizar este análisis hemos tomado en cuenta la estructura actual de la
unidad de Administración de Riesgo, ya que en ésta descansa responsabilidad
del manejo y control de los riesgos que hasta el momento están regulados por
las exigencias o regulaciones existentes.
43
Fortalezas:
Flexibilidad y fácil adaptación al cambio por parte de los empleados.
Altos niveles de eficiencia y productividad.
Experiencia y manejo de información confidencial.
Cumplimientos de normativas legales
Oportunidades:
Sector o unidad en crecimiento.
Ampliar conocimiento de las normativas.
Fortalecimiento de sistemas de seguridad y control.
Debilidades:
Estructura de unidad o departamento.
Inexistencia de un sistema de control de pérdidas.
Amenazas
Incremento de costos de personal.
Inversión de tiempo para adquirir nuevos conocimientos.
En este capítulo se ejecutó una evaluación a la gestión administrativa del riesgo
operativo teniendo como punto de referencia los antecedentes y evolución de la
Institución de cara a los requerimientos de las autoridades locales.
De acuerdo a la evaluación de los datos financieros, la evolución que ha tenido
la institución financiero en los últimos 8 años ha florecido de la combinación de
estrategias de negocios específicas (adquisiciones de otras instituciones
financieras). Factores importantes tales como nuevos productos, cambios
significativos en la estrategia de los negocios, gerencia, condiciones, y
empleados tienen especial importancia en la dinámica de la institución.
44
El enfoque exacto para la administración del riesgo operativo que debe escoger
cualquier institución, dependerá de una serie de factores incluyendo el tamaño,
nivel de sofisticación, y la índole y complejidad de las actividades de la
institución. Por lo que debido al crecimiento experimentado por la institución
objeto de estudio esos elementos son de suma importancia al momento de
establecer un marco de administración del riesgo operativo: estrategias claras y
supervisión por el directorio y la alta gerencia, una fuerte cultura del riesgo
operativo y una cultura interna de control incluyendo, entre otras cosas claras
líneas de responsabilidad y segregación de, obligaciones, un sistema interno
efectivo de presentación de informes, y planes de contingencia.
Capítulo III:
Propuesta para la Administración de la Gestión del Riesgo Operativo en la Institución Financiera
Objeto de Estudio
45
CAPITULO III.
PROPUESTA PARA LA ADMINISTRACION DE LA GESTION DEL RIESGO
OPERATIVO EN LA INSTITUCION BANCARIA OBJETO DE ESTUDIO
El resultado del análisis a la gestión de riesgo que actualmente sigue la
institución objeto de estudio refleja una debilidad básica, ya que si bien se
evidencia que la institución financiera cuenta con una estructura organizacional
para administrar el riesgo operativo en sus líneas de negocio (prestamos
Comerciales, Personales y a la pequeña empresa, cuentas comerciales y
personales) la verdadera gestión de administración de la gestión del riesgo
operativo esta ausente dentro de la institución financiera.
Aunque diferentes tipos de riesgo relacionados con el foco de esta investigación
están siendo controlados exitosamente por la institución financiera, la esencia
del riesgo operacional en sus diversos grados de gestión muestra una debilidad
significativa, lo que podría causar serias pérdidas financieras y de reputación.
3.1 Sinopsis de las Debilidades y Amenazas de la institución
Después de haber realizado al investigación a la institución objeto de estudio
podemos observar que la misma presenta debilidades significativas que
demuestran una gestión inadecuada de riesgos operativos, entre la cuales
señalamos: falta de personal orientado a la paliación del riesgo, falta de un
sistema operativos (reportes y análisis) capaz de consolidar de forma eficiente
los riesgos, la institución no cuenta con una cobertura de una aseguradora para
cubrir los riesgos, asimismo, tampoco cuenta con personal dedicado a la
revisión de procesos y al seguimiento posterior a la revisión a favor de mitigar
las observaciones sugeridas durante la revisión.
Dentro de las amenazas permanentes que genera la falta de una gestión
adecuada de riesgo están las pérdidas económicas por errores u omisiones de
los empleados que no cuenta con una capacitación adecuada en prevención del
riesgo. Además de las pérdidas económicas que enfrentaría la institución
46
financiera, están las de carácter reputacional que sería las más significativas
para una institución que cuenta como más de 90 años de presencia en el país.
Para la gerencia una amenaza importante es la de carecer de información veraz
y oportuna para tomar decisiones sobre el funcionamiento de la organización en
relación a la gestión de riesgos.
3.2 Sinopsis de las Oportunidades y Fortalezas de la institución
Dentro de las fortalezas a destacar de la institución objeto de estudio, está la
gestión de recursos humanos. Este recurso en la clave del éxito para lograr
implementaciones exitosas. Esto debido básicamente, a que la institución
fomenta la cultura del cambio. Otra fortaleza a destacar es la clara
estructuración de las políticas y procedimientos.
Todos los procesos están ampliamente documentados y son de libre acceso a
todo el personal de la institución. Cabe destacar que además de los manuales
de procedimiento, la institución cuenta con un personal dedicado a ofrecer
soporte a las operaciones del día a día, así como un equipo dedicado a la
revisión periódicas de las sucursales con el propósito de identificar y mitigar el
riesgo operativo.
Por otro lado se encuentra la oportunidad compartir resultados de la gestión con
todo el personal, creando un informe por lo menos trimestral que contenga los
índices o porcentaje de perdidas operativas que presenta cada rama del
negocio, con el objetivo de llamar su atención a los detalles que han generado
tales índices, esto servirá de retroalimentación para no repetir los mismos
errores y que los supervisores de manera individual puedan planificar sus
estrategias de mejoras con la participación de todos sus empleados creando un
objetivo en conjunto. Estos resultados serán de rápida aplicación y se podrá
apreciar su proceso en el siguiente informe, por lo que el personal verá el fruto
de sus esfuerzos lo que los alienta a seguir mejorando el proceso y
contribuyendo a la vez con el crecimiento del negocio.
47
3.3 Propuesta estratégica
Al analizar el proceso de gestión de riesgo operativo que se ha llevado a cabo
en la institución objeto de estudio, identificamos grandes oportunidades de
mejora que puede adoptar la institución para la identificación y apropiada
administración del riesgo.
Con relación a las oportunidades de mejora podemos mencionar:
Involucrar otros departamentos en el proceso de administración de riesgo.
Podemos sugerir el departamento orientado a brindar soporte
operacional.
Ofrecer a las sucursales, quienes son las generadoras de actividades de
riesgos, instrumentos y procedimientos para el reporte de incidentes que
podrían afectar las operaciones de la institución financiera objeto de
estudio.
Incrementar de la unidad de Administración de Riesgo y así crear un
personal que asuma y asegure una adecuada gestión sobre el riesgo
operativo. Una significativa oportunidad es la creación y planificación de
talleres para que todo el personal tenga conciencia sobre los riesgos
Operativos que maneja en su día a día.
La sugerencia central a la institución financiera, va dirigida al fortalecimiento de
la estructura ya existente de mitigación y administración de riesgo enfocados en
la una unidad de gestión de riesgos capaz de ofrecer soporte a la institución en
las operaciones del día a día y en caso cualquier eventualidad capaz de poner
en riesgo reputacional a la institución bancaria objeto de estudio.
3.3.1 Gestión Operacional del Riesgo Operativo
La eficacia de ésta propuesta, está directamente relacionada con el apoyo de la
Alta Gerencia, ya que esta incluye desde, aspectos económicos hasta el
reforzamiento de la cultura organizacional.
48
Desarrollar políticas y procedimientos basados en los requisitos de las
autoridades reguladoras (Basilea II), a su vez, estos procedimientos deben estar
alineados con los procedimientos y políticas de la institución financiera objeto de
estudio.
Elementos principales de la sugerencia de los Procedimientos:
Pautas: Son las normas que se documentadas con el objetivo de que se
implementen las políticas; específicamente estas describen los servicios,
y las condiciones bajo las cuales la institución esta dispuesta a realizar
sus actividades, estas no son permanentes y suelen cambiar
periódicamente dependiendo el comportamiento del mercado.
Procesos y Normas: Son actividades asociadas a la identificación,
evaluación, documentación, información y control de los riesgos. Las
normas definen la amplitud y calidad de la información necesaria para la
adopción de una decisión y las expectativas en términos de calidad de
análisis y presentación.
Medición, supervisión e información: Las herramientas de medición
cuantifican el riesgo en las operaciones o actividades y se emplean para
determinar la exposición al riesgo.
3.4 Propuesta de mecanismos y herramientas para la implementación de
la matriz de Gestión de Riesgo Operativo
La sugerencia que documentamos conlleva a que la institución establezca un
plan de implementación altamente definido, el cual debe ser preciso y adaptable
a los requerimientos locales, a los requerimientos de su casa matriz y capaz de
ajustarse a las necesidades locales del país donde opera. A continuación
destacamos algunas pautas a tomar en cuenta:
1. La Alta Gerencia de la institución debe estar altamente comprometida con
la implementación.
49
2. Basado en los términos que describe Basilea II, se deben establecer un
comité capaza de desarrollar políticas, normas y métodos de evaluación
tendientes a asegurar la adecuada identificación, gestión y control del
Riesgo operacional.
3. Definir un departamento/unidad responsable de administrar el riesgo.
Estas operaciones deben incluir los siguientes aspectos:
a. Áreas de responsabilidad definida.
b. Definir las responsabilidades, evaluaciones y supervisión de la
gestión de riesgo operativo.
c. Los empleados de esta unidad/departamento, deben ser
especialistas independientes, responsables del desarrollo de
métodos para controlar/mitigar los componentes del riesgo en
operaciones especificas.
d. Establecer una separación de funciones y deberes.
e. Adicionalmente, la institución bancaria debe contar con un
departamento de auditoría interna independiente responsable de
verificar que se identifican y se evalúan los principales riesgos.
Crear una variedad de programas de gestión de riesgo, aportará a la gestión del
riesgo en la institución bancaria cuyo diseño está hecho para promover el
cumplimiento de las leyes y requisitos regulatorios aplicables.
El riesgo de cumplimiento se debe administrar a través de un proceso que
incluya el seguimiento a los cambios regulatorios, asimismo el proceso de
capacitación supervisión y solución de problemas.
De acuerdo al organigrama actual de la institución objeto de estudio,
observamos que hay una área del Riesgo Operativo que debe ser creada, con el
propósito de fortalecer las operaciones de la unidad.
50
3.4.1 Mejoras sugeridas para el Departamento de Administración de
Riesgo
Debido a que la institución bancaria objeto de estudio cuenta con una estructura
de Administración de Riesgo es necesario que se tome la decisión de
implementar los controles ya sugerid. Parte de estos controles sería identificar
un encargado de proyectos que conozca los procesos y la estructura de la de la
institución así como los lineamientos de Basilea II, a fin de que se establezca un
programa sin vicios con visión de mejoras.
Asimismo dicho encargado debe contar con un equipo de trabajo de
implementación que le de soporte en las actividades previas a la
implementación. El tiempo estimado para la implementación dependerá de la
prioridad de la institución y el acuerdo previo con el regulador financiero
(Superintendencia de Bancos). Basilea II tiene la particularidad que permite que
el proceso se implemente por etapas, por lo que el desarrollo de las estrategias
para cubrir los requerimientos mínimos es flexible.
Conclusión
vii
CONCLUSION
Aún cuando el Sistema Financiero Dominicano ha dado grandes pasos en lo que
Riesgo Operacional se refiere, aún éste mercado se caracteriza por ser
inestable. Las instituciones bancarias no cuentan co los recursos necesarios
para implementar una adecuada gestión de control de Riesgo operativo.
Para que esta iniciativa funcione eficientemente, es necesario crear bases
concretas dentro de la estructura organizativa del país para que a lo interno cada
institución bancaria pueda organizar la dirección de sus estructuras de negocio.
Una vez que las instrucciones, políticas y requerimientos estén debidamente
organizados, entonces puede iniciar la implementación en el país.
En el caso de la institución bancaria objeto de estudio, el papel relevante para
lograr una implementación de esta regulación exitosa, viene enlazada al apoyo
que la Alta Gerencia esté dispuesto a ofrecer en virtud de su crecimiento.
Las medidas de control y monitoreo, que la institución debe perseguir y los
aspectos cualitativos y cuantitativos que implican el diseño y acoplamiento de las
informaciones recopiladas son el eje clave de estructura de gestión de riesgo
operacional.
Cabe destacar que las sugerencias mostradas en este documento, serían de
utilidad para que la institución objeto de estudio cuente con las herramientas y
los recursos para cumplir los requerimientos, el valor agregado que genera esta
nueva normativa al completar su implementación tendrá un efecto positivo que
se reflejara en los aspectos financieros y crecimiento, no solo de la institución
objeto de estudio, si no de todo en sistema financiero de República Dominicana.
viii
Finalmente, podemos concluir asegurando que aunque al sistema financiero de
la República Dominicana aún cuenta con largo camino por recorrer, las
iniciativas y los esfuerzos que están haciendo los organismos controladores son
una muestra clara de la intención de actualizar la política actual y de
estandarizar nuestro sistema con el de grandes países que están acorde con las
estandarizaciones expuestas en los tratados de Basilea.
Bibliografía
ix
BIBLIOGRAFIA
Textos:
Thompson Arthur y Strickland, A. J. III; (2001). Administración Estratégica
Conceptos y Casos, Mc Graw Hill, (11va edición).
Comité de Supervisión Bancaria de Basilea, Convergencia Internacional
de Medidas y Normas de Capital (Marco Revisado,) Junio 2004.
Ana Fernández Laviada. (2007). La Gestión del Riesgo Operacional (1ra
Edición).
Banco Central de la República Dominicana. “Las normas prudenciales en
la República Dominicana y el Acuerdo de Basilea”. Junio 1996.
Reyes Samaniego Medina Linsey; (2007). El Riesgo de crédito en el
marco del Acuerdo Basilea II: Madrid, España: Delta Publicaciones.
García-Herrero, Alicia y Sergio Gavilá. “Posible impacto de Basilea II en
los países emergentes”. Banco de España. Madrid. 2006.
José Manuel López Valdez, Seminario Internacional Nuevo Acuerdo de
Basilea II: Retos y Oportunidades Nov. 3, 2006.
Manual de gestión de Riesgo s operativos: comprender y reducir al
mínimo los riesgos vinculados a compras, recursos humanos,
tecnología... Chris Frost, David Allen, James Porter y Phillip Bloodworth.
Comité de Supervisión Bancaria de Basilea, “Documento de Consulta”
Presentación del nuevo Acuerdo de Capital Basilea, Abril, 2003.
x
Fleitman Jack;(2000). Negocios Exitosos, Mc Graw Hill
Acuerdo de Basilea: Medición de la convergencia internacional de
capitales y normas que rigen el capital”. Julio 1988.
García-Herrero, Alicia y Sergio Gavilá. “Posible impacto de Basilea II en
los países emergentes”. Banco de España. Madrid. 2006.
Internet:
Seminario Int. Nuevo acuerdo de Basilea II: Retos y Oportunidades Nov.
3, 2006. José M. López. http://www.iaiperu.org/down/REVISTA%206%20-
%20Jun%20a%20Set%202006.pdf
http://diario.elmercurio.cl/detalle/index.asp?id=%7B8fdbab80-9c14-4091-
9a11-096564f97fc5%7DLarrain, Cristian. “El Acuerdo de Basilea”.
Santiago de chile.
http://www.monografias.com/trabajos57/tratado-basilea/tratado-basilea.shtml,
Monografía Tratado de Basilea II Autor: Patricia Andújar González y
Luis Felipe Rosa Nolasco, Universidad del Caribe Distrito Nacional, R. D.
15 de marzo del 2008.
Manuel Méndez del Río; La implantación de Basilea II en América Latina;
Madrid, España Web: http://ws1.grupobbva.com /TLBB/tlbb/jsp/esp/
conozca/riesgos/basilea/Res1BasII.jsp#0
Nuevo Acuerdo de Basilea II: Retos y oportunidades; República
Dominicana; Página Web; http://www.bancentral.gov.do/notas_del_bc.asp
?a=bc2006.
xi
Página Web http://www.sib.gob.gt/inc/ver.asp?id=/es/Estandares/menus/
preguntas_frecuentes.htm.
Página Web: http://www.eumed.net/cursecon/ecolat/ve/2006/orgc-01.htm.
Página Web: http://www.airac.org/Articulos%20de%20Opinion/Basilea
%20y%20las%20CAC.htm; imeón Saint-Hilaire Valerio,
Principios básicos para la supervisión efectiva de Basilea II página Web.
http://www.tach.ula.ve/administracion/hemeroteca/articulos_de_hemerote
ca/basilea.html; Título: Principios básicos para la supervisión efectiva de
Basilea.
Página Web: http://www.cemla.org/newsletters/newsletter-0103-
basilea.htm; Título: Nuevo Marco para la Adecuación del Capital: Basilea
II; Autor: Newsletter, Centro de Estudios Monetarios Latinoamericanos.
nota extraído del sitio en Internet www.bis.org.
Página Web: http://www.laprensagrafica.com/eleconomista/721039.asp;
Título: La nueva gestión bancaria; Autor: María José Monjarás; País: El
Salvador.
Basilea II; Superintendencia ;Perú; http://www.sbs.gob.pe/portalsbs/
BASILEA/INICIO.HTM;
evo Acuerdo de Capital y el Sistema Financiero Peruano Página Web:
http://www.sbs.gob.pe/portalsbs/BASILEA/pnac.htm; Título: El Nu Página
Web: http://www.sbs.gob.pe/portalsbs/BASILEA/INICIO.HTM;; País: Perú;
Fecha: Viernes 7 de marzo del 2008;
xii
Página Web: http://www.elsalvador.com/noticias/2005/04/14/negocios/
neg10.asp; Título: El reto bancario no es encarecer los préstamos; Autor:
Pablo Balcáceres; País: El Salvador; Fecha: Domingo 2 de marzo del
2008;
Página Web: http://ws1.grupobbva.com/TLBB/fbin/DiscursoFG_Sant
2004_tcm12-21141.pdf#tcm:12-21522-64; Título: Basilea II: Retos y
Oportunidades; Autor: Francisco González, Presidente BBVA País:
España.
Página Web: http://www.eumed.net/cursecon/ecolat/ve/2006/orgc-01.htm;
Título: BASILEA I y II; Autor: ; País: Venezuela; Fecha: Viernes 7 de
marzo del 2008;
http://www.asbaweb.org/documentos/publicaciones/04-PUB-ESP-
Implementacion%20de%20Basilea%20II%20-%20Consideraciones
%20Practicas.pdf.
Página Web: http://ws1.grupobbva.com/TLBB/tlbb/jsp/esp/conozca/Riesgo
s/basilea/Res1BasII.jsp#0; Título: La implantación de Basilea II en
América Latina; Autor: Manuel Méndez del Río; País: Madrid, España;
http://www.sgsirefi.gov.bo/SGSIREFI/Publicaciones/ForoFinanciero/1.html
http://www.perfectpointpartners.com/images/gestionRiesgo s21.
http://www.pwc.com/ar/spa/pdf/CEO_Riesgo Operacional02.
http://www.monografias.com/trabajos10/foda/foda.shtml
http://www.degerencia.com/articulo/mision_vision_valores/imp
Anexos
Comité de Supervisión Bancaria de Basilea
Buenas prácticas para la gestión y supervisión del riesgo operativo
Febrero de 2003
Esta publicación puede obtenerse en:
Secretaría del Comité de Supervisión Bancaria de Basilea c/o Bank for International Settlements CH-4002 Basilea (Suiza)
E-mail: [email protected]
Fax: +41 61 280 9100
Esta publicación se encuentra disponible en la página del BPI en Internet (www.bis.org).
© Banco de Pagos Internacionales 2004. Reservados todos los derechos. Se permite la reproducción o traducción de breves extractos, siempre que se indique su procedencia.
Publicado también en alemán, francés, inglés e italiano.
BCBS - Gestión y supervisión del riesgo operativo iii
Grupo para la Gestión del Riesgo del Comité de Supervisión Bancaria de Basilea
Presidente: Roger Cole, Junta de la Reserva Federal, Washington DC
Banco Nacional de Bélgica, Bruselas Dominique Gressens
Comisión Bancaria y Financiera, Bruselas Jos Meuleman
Oficina de Superintendencia de Instituciones Financieras Ottawa
Jeff Miller
Comisión Bancaria, París Laurent Le Mouël
Deutsche Bundesbank, Frankfurt del Meno Magdalene Heid Karin Sagner-Kaiser
Bundesanstalt für Finanzdienstleistungsaufsicht, Bonn Kirsten Straus
Banco de Italia, Roma Claudio Dauria Fabrizio Leandri Sergio Sorrentino
Banco de Japón, Tokio Satoshi Yamaguchi
Agencia de Servicios Financieros, Tokio Hirokazu Matsushima
Comisión de Vigilancia del Sector Financiero, Luxemburgo Davy Reinard
Banco de los Países Bajos, Amsterdam Klaas Knot Banco de España, Madrid Guillermo Rodriguez-Garcia
Juan Serrano
Finansinspektionen, Estocolmo Jan Hedquist
Sveriges Riksbank, Estocolmo Thomas Flodén
Eidgenössische Bankenkommission, Berna Martin Sprenger
Autoridad de los Servicios Financieros, Londres Helmut Bauer Victor Dowd
Federal Deposit Insurance Corporation, Washington DC Mark Schmidt
Banco de la Reserva Federal de Nueva York Beverly Hirtle Stefan Walter
Junta de la Reserva Federal, Washingon, D.C. Kirk Odegard
Office of the Comptroller of the Currency, Washington DC Kevin Bailey Tanya Smith
Banco Central Europeo, Frankfurt del Meno Panagiotis Strouzas
Comisión Europea, Bruselas Michel Martino Melania Savino
Secretaría del Comité de Supervisión Bancaria de Basilea, Banco de Pagos Internacionales
Stephen Senior
BCBS - Gestión y supervisión del riesgo operativo v
Índice
Introducción..............................................................................................................................................1 Antecedentes .................................................................................................................................1 Tendencias y prácticas en el sector...............................................................................................2
Buenas prácticas......................................................................................................................................3 Desarrollo de un entorno adecuado para la gestión del riesgo .....................................................5 Gestión del riesgo: identificación, evaluación, seguimiento y cobertura/control ...........................6 La función de los supervisores ....................................................................................................11 La función de la divulgación de información................................................................................12
BCBS - Gestión y supervisión del riesgo operativo 1
Buenas prácticas para la gestión y supervisión del riesgo operativo
Introducción
1. En el presente documento se recoge una serie de principios para una gestión y supervisión eficaces del riesgo operativo, de modo que los bancos y autoridades supervisoras puedan utilizarlos al evaluar políticas y prácticas destinadas a gestionar este tipo de riesgos.
2. El Comité de Supervisión Bancaria de Basilea (el Comité) reconoce que el método concreto para la gestión de riesgos operativos que elija cada banco dependerá de una serie de factores, como son su tamaño y sofisticación así como la naturaleza y complejidad de sus actividades. Sin embargo, a pesar de estas diferencias, son muchos y variados los elementos fundamentales para una gestión adecuada de estos riesgos, sea cual sea el tamaño y ámbito de actuación del banco; a saber, estrategias claramente definidas y seguimiento de las mismas por parte del consejo de administración y de la alta gerencia, una sólida cultura de gestión del riesgo operativo1 y de control interno (como pueden ser unas líneas inequívocas de responsabilidad y la segregación de funciones), herramientas eficaces para la transmisión interna de información y planes de contingencia. El Comité estima por lo tanto que los principios aquí recogidos ofrecen a todos los bancos las pautas para desarrollar unas buenas prácticas. Su documento anterior, A Framework for Internal Control Systems in Banking Organisations (septiembre de 1998) sienta las bases de su labor actual en el ámbito del riesgo operativo.
Antecedentes
3. La desregulación y la globalización de los servicios financieros, junto con la creciente sofisticación de las tecnologías financieras, hacen más complejas las actividades de los bancos y, por ende, aumentan sus perfiles de riesgo (es decir, el nivel de riesgo de las actividades y/o categorías de riesgo de una empresa). Con la evolución de las prácticas bancarias, los bancos se ven expuestos a nuevos riesgos cada vez mayores, aparte de los riesgos de crédito, de tipos de interés y de mercado, como por ejemplo:
• El creciente uso de tecnologías cada vez más automatizadas puede hacer que, si éstas no se someten a los controles adecuados, los riesgos derivados de errores de procesamiento manual se materialicen ahora en fallos en el sistema, al depender en mayor medida de sistemas globalmente integrados;
• El crecimiento del comercio electrónico conlleva ciertos riesgos (por ejemplo, fraude interno y externo y problemas relacionados con la seguridad del sistema) que todavía no se comprenden completamente;
• Las adquisiciones, fusiones, escisiones y consolidaciones a gran escala ponen a prueba la viabilidad de los sistemas nuevos o los recién integrados;
• La creación de bancos que ofrecen servicios a gran escala hace necesario el mantenimiento continuo de controles internos de alto nivel y de sistemas de copias de seguridad;
• Los bancos pueden aplicar técnicas de cobertura del riesgo (por ejemplo, mediante colateral, derivados del crédito, acuerdos de compensación de saldos y titulización de activos) para optimizar su exposición a los riesgos de mercado y de crédito, pero estas coberturas pueden generar a su vez otros tipos de riesgo (ej. riesgo legal); y
1 Por cultura de gestión interna del riesgo operativo se entiende el conjunto de valores, actitudes, competencias y
comportamientos individuales y corporativos que conforman el compromiso y estilo de una empresa para la gestión del riesgo operativo.
2 BCBS - Gestión y supervisión del riesgo operativo
• La creciente utilización de acuerdos de subcontratación y la mayor participación en los sistemas de compensación y liquidación pueden reducir ciertos riesgos, pero también pueden plantear otros muy significativos para los bancos.
4. Los distintos riesgos anteriormente recogidos se pueden agrupar bajo la categoría de “riesgo operativo”, que el Comité define como “el riesgo de sufrir pérdidas debido a la inadecuación o a fallos de los procesos, personas o sistemas internos o bien a causa de acontecimientos externos2.” Esta definición también engloba el riesgo legal pero excluye los riesgos estratégico y de reputación.
5. El Comité reconoce que “riesgo operativo” es un término que representa diferentes conceptos dentro del sector bancario, por lo que los bancos pueden adoptar sus propias definiciones con fines internos (incluida la aplicación del documento Buenas Prácticas). Sea cual sea la definición utilizada, los bancos deben comprender a qué se refiere el riesgo operativo para poder llevar a cabo una administración y un control efectivos de esta categoría de riesgo. También es importante que su definición abarque el amplio abanico de riesgos operativos a los que se enfrentan los bancos y que recoja las principales causas de pérdidas operativas graves. A continuación se recogen los diferentes tipos de riesgo operativo que el Comité, en colaboración con la banca, ha identificado como posibles fuentes de pérdidas sustanciales:
• Fraude interno: Errores intencionados en la información sobre posiciones, robos por parte de empleados, utilización de información confidencial en beneficio de la cuenta del empleado, etc.
• Fraude externo: atraco, falsificación, circulación de cheques en descubierto, daños por intrusión en los sistemas informáticos, etc.
• Relaciones laborales y seguridad en el puesto de trabajo: solicitud de indemnizaciones por parte de los empleados, infracción de las normas laborales de seguridad e higiene, organización de actividades laborales, acusaciones de discriminación, responsabilidades generales, etc.
• Prácticas con los clientes, productos y negocios: abusos de confianza, abuso de información confidencial sobre el cliente, negociación fraudulenta en las cuentas del banco, blanqueo de capitales, venta de productos no autorizados, etc.
• Daños a activos materiales: terrorismo, vandalismo, terremotos, incendios, inundaciones, etc.
• Alteraciones en la actividad y fallos en los sistemas: fallos del hardware o del software, problemas en las telecomunicaciones, interrupción en la prestación de servicios públicos, etc.
• Ejecución, entrega y procesamiento: errores en la introducción de datos, fallos en la administración del colateral, documentación jurídica incompleta, concesión de acceso no autorizado a las cuentas de los clientes, prácticas inadecuadas de contrapartes distintas de clientes, litigios con distribuidores, etc.
Tendencias y prácticas en el sector
6. Como parte de su labor de supervisión del riesgo operativo, el Comité ha intentado promover un mejor conocimiento de las tendencias y prácticas bancarias actuales para la gestión de este tipo de riesgo. Para ello, se han celebrado numerosas reuniones con organizaciones bancarias, se han realizado encuestas sobre las prácticas en el sector y se han analizado los resultados obtenidos. A partir de estos trabajos, el Comité cree conocer bien las pautas que siguen los bancos en la actualidad y sus esfuerzos por desarrollar nuevos métodos de gestión del riesgo operativo.
2 El sector bancario adoptó esta definición como parte de la labor del Comité para desarrollar unos requerimientos mínimos
de capital regulador para el riesgo operativo. A pesar de que el presente documento no forma parte del acuerdo de capital formalmente, el Comité espera que los elementos fundamentales para una adecuada gestión del riesgo operativo recogidos en este informe orienten al supervisor cuando evalúe la suficiencia del capital bancario, por ejemplo, dentro del proceso del examen supervisor (Pilar 2).
BCBS - Gestión y supervisión del riesgo operativo 3
7. El Comité reconoce que la gestión de riesgos operativos concretos no es algo nuevo, sino que siempre ha sido una parte importante del esfuerzo de los bancos por evitar el fraude, mantener la integridad de los controles internos, reducir los errores en las operaciones, etc. Sin embargo, lo que resulta relativamente nuevo es considerar la gestión del riesgo operativo como una práctica integral comparable a la gestión del riesgo de crédito o de mercado en principio, si bien no siempre en la práctica. Las tendencias mencionadas en la introducción de este informe, unidas al aumento en todo el mundo de casos muy conocidos de pérdidas por riesgo operativo, han llevado a los bancos y supervisores a considerar la gestión de este tipo de riesgos como una disciplina integral, como ya ha ocurrido en otros sectores de actividad.
8. En el pasado, los bancos gestionaban sus riesgos operativos utilizando únicamente mecanismos internos de control dentro de sus líneas de negocio, a los que se sumaba la función de auditoría. Aunque estos mecanismos continúan siendo muy importantes, recientemente se han observado nuevos procesos y estructuras destinadas a la gestión del riesgo operativo. En este sentido, son cada vez más las instituciones convencidas de que los programas de gestión del riesgo operativo proporcionan seguridad y solidez al banco, por lo que están avanzando para tratar el riesgo operativo como un tipo de riesgo específico, al igual que ocurre con los riesgos de crédito y de mercado. El Comité estima que el intercambio de ideas entre supervisores y banqueros es fundamental para seguir desarrollando pautas adecuadas para la gestión de riesgos operativos.
9. El presente documento se estructura en las siguientes secciones: desarrollo de un marco adecuado de gestión del riesgo; gestión del riesgo: identificación, evaluación, seguimiento y control/cobertura; la función de los supervisores; y la función de la divulgación de información.
Buenas prácticas
10. Al desarrollar sus buenas prácticas, el Comité ha partido de su labor anterior sobre gestión de otros riesgos bancarios significativos, como el riesgo de crédito, de tipos de interés o de liquidez, convencido de que es necesario tratar el riesgo operativo con el mismo rigor que se aplica a los demás riesgos. Sin embargo, no cabe duda de que el riesgo operativo difiere de otros riesgos bancarios, al no ser un riesgo que se acepte directamente a cambio de un beneficio esperado, sino que es algo que se puede producir en el acontecer diario de la actividad empresarial, y esto repercute en el proceso de gestión del riesgo3. Al mismo tiempo, si este riesgo no se controla adecuadamente, puede verse afectado el perfil de riesgo de la institución, con lo que podría verse expuesta a pérdidas significativas. A efectos de este informe y para reflejar la diferente naturaleza del riesgo operativo, por “gestión” del riesgo operativo se entiende la “identificación, evaluación, seguimiento y control o cobertura” del riesgo. Esta definición contrasta sin embargo con la que utilizó el Comité en informes anteriores sobre gestión del riesgo, que hacía referencia a la “identificación, cálculo, seguimiento y control” del riesgo. El Comité, al igual que en sus trabajos sobre otros riesgos bancarios, ha estructurado el presente informe en torno a una serie de principios, a saber:
Desarrollo de un marco adecuado para la gestión del riesgo
Principio 1: El Consejo de administración4 deberá conocer cuáles son los principales aspectos de los riesgos operativos para el banco, en tanto que categoría de riesgo diferenciada, y deberá aprobar y
3 No obstante, el Comité reconoce que cuando se trate de líneas de negocio que soportan riesgos de mercado o de crédito
mínimos (ej. gestión de activos o pagos y liquidaciones), la decisión de incurrir en riesgos operativos o de competir basándose en su capacidad de gestionar y valorizar adecuadamente el riesgo forma parte del cálculo de riesgos y beneficios del banco.
4 En el presente documento, se hace referencia a una estructura de gestión bancaria compuesta por un consejo de administración y una alta dirección. El Comité entiende que los marcos jurídicos y reguladores difieren considerablemente en cada país en cuanto a las funciones que ostenta el consejo de administración y la alta dirección. En algunos países, el consejo de administración es el principal (o incluso el único) responsable de supervisar al órgano ejecutivo (alta dirección, dirección general) con el fin de asegurar que éste cumple sus funciones, por lo que en algunos casos se lo conoce como comité de vigilancia. Esto implica que el consejo de administración no posee funciones ejecutivas. En otros países, en cambio, el consejo de administración tiene competencias más amplias, en el sentido de que establece el marco general
4 BCBS - Gestión y supervisión del riesgo operativo
revisar periódicamente el marco que utiliza el banco para la gestión de este riesgo. Este marco deberá ofrecer una definición de riesgo operativo válida para toda la empresa y establecer los principios para definir, evaluar, seguir y controlar o mitigar este tipo de riesgos.
Principio 2: El consejo de administración deberá asegurar que el marco para la gestión del riesgo operativo en el banco esté sujeto a un proceso de auditoría interna eficaz e integral por parte de personal independiente, capacitado y competente. La función de auditoría interna no deberá ser directamente responsable de la gestión del riesgo operativo.
Principio 3: La alta gerencia deberá ser la responsable de poner en práctica el marco para la gestión del riesgo operativo aprobado por el consejo de administración. Dicho marco deberá ser aplicado de forma consistente en toda la organización bancaria y todas las categorías laborales deberán comprender sus responsabilidades al respecto. La alta gerencia también deberá ser responsable del desarrollo de políticas, procesos y procedimientos destinados a la gestión de estos riesgos para todos los productos, actividades, procesos y sistemas relevantes para el banco.
Gestión del riesgo: identificación, evaluación, seguimiento y cobertura/control
Principio 4: los bancos deberán identificar y evaluar el riesgo operativo inherente a todos sus productos, actividades, procesos y sistemas relevantes. Además, también deberán comprobar que antes de lanzar o presentar nuevos productos, actividades, procesos o sistemas, se evalúa adecuadamente su riesgo operativo inherente.
Principio 5: Los bancos deberán vigilar periódicamente los perfiles de riesgo operativo y las exposiciones sustanciales a pérdidas. La alta gerencia y el consejo de administración deberán recibir información pertinente de forma periódica que complemente la gestión activa del riesgo operativo.
Principio 6: Los bancos deberán contar con políticas, procesos y procedimientos para controlar y cubrir los riesgos operativos más relevantes. Además, deberán reexaminar periódicamente sus estrategias de control y reducción de riesgos y ajustar su perfil de riesgo operativo según corresponda, utilizando para ello las estrategias que mejor se adapten a su apetito por el riesgo y a su perfil de riesgo.
Principio 7: Los bancos deberán contar con planes de contingencia y de continuidad de la actividad, que aseguren su capacidad operativa continua y que reduzcan las pérdidas en caso de interrupción grave de la actividad.
La función de los supervisores
Principio 8: Los supervisores bancarios deberán exigir a todos los bancos, sea cual sea su tamaño, que mantengan un marco eficaz para identificar, evaluar, seguir y controlar o mitigar sus riesgos operativos más relevantes, como parte de su aproximación general a la gestión de riesgos.
Principio 9: Los supervisores deberán realizar, directa o indirectamente, una evaluación periódica independiente de las políticas, prácticas y procedimientos con los que cuentan los bancos para gestionar sus riesgos operativos. Además, deberán cerciorarse de que se han puesto en marcha los mecanismos necesarios para estar al tanto de cualquier novedad que se produzca en un banco.
La función de la divulgación de información
Principio 10: Los bancos deberán proporcionar información pública suficiente para que los partícipes del mercado puedan evaluar sus estratégicas de gestión del riesgo operativo.
para la gestión del banco. Dadas estas diferencias, en este documento las nociones de consejo de administración y alta dirección se utilizan para denominar a los órganos decisorios del banco y no para identificar figuras jurídicas.
BCBS - Gestión y supervisión del riesgo operativo 5
Desarrollo de un entorno adecuado para la gestión del riesgo
11. Si no se comprende y gestiona adecuadamente el riesgo operativo, presente prácticamente en cada operación y actividad bancaria, se puede aumentar la probabilidad de que algunos riesgos pasen desapercibidos o escapen a los controles. Tanto el consejo como la dirección son los responsables de crear una cultura organizativa que conceda gran prioridad a la gestión eficaz del riesgo operativo y al cumplimiento de estrictos controles operativos. La gestión del riesgo operativo resulta más eficaz cuando el banco presta especial atención al cumplimiento de las normas más estrictas de comportamiento ético en todos los niveles de la organización. El consejo y la gerencia deberán fomentar una cultura organizativa que inculque, de palabra y obra, integridad entre todos los empleados a la hora de realizar sus actividades diarias.
Principio 1: El Consejo de administración deberá conocer cuáles son los principales aspectos de los riesgos operativos para el banco, en tanto que categoría de riesgo diferenciada, y deberá aprobar y revisar periódicamente el marco que utiliza el banco para la gestión de este riesgo. Este marco deberá ofrecer una definición de riesgo operativo válida para toda la empresa y establecer los principios para definir, evaluar, seguir y controlar o mitigar este tipo de riesgos.
12. El consejo de administración deberá aprobar la aplicación de un marco, aplicable a toda la empresa, para gestionar explícitamente el riesgo operativo, en tanto que riesgo específico para la seguridad y solidez del banco. El consejo proporcionará a la alta gerencia unas pautas y orientaciones inequívocas sobre los principios en los que se basa este marco y aprobará las políticas correspondientes desarrolladas por la alta gerencia.
13. Dicho marco deberá partir de una definición adecuada de riesgo operativo, que determine sin ambigüedades en qué consiste este riesgo en el banco. Este marco deberá abarcar el apetito del banco por el riesgo operativo así como su tolerancia al mismo, en virtud de sus políticas para gestionar estos riesgos y de sus criterios para establecer prioridades entre las actividades desarrolladas a tal efecto, especificando hasta qué punto y de qué manera se transfiere el riesgo operativo fuera el banco. También deberá incluir las políticas a seguir por el banco para la identificación, evaluación, seguimiento y control o cobertura de este riesgo. El grado de formalidad y sofisticación de este marco deberá ser acorde con su perfil de riesgo.
14. El consejo es responsable de establecer una estructura de gestión capaz de poner en práctica el marco para la gestión del riesgo operativo en la entidad. Dado que uno de los principales aspectos de la gestión de estos riesgos está relacionado con el establecimiento de estrictos controles internos, es especialmente importante que el consejo establezca unas líneas claras de responsabilidad, asunción de responsabilidades e información para la entidad. Asimismo, habrá que delimitar responsabilidades y líneas de autoridad entre las funciones de control de riesgo operacional, las líneas de negocio y los cargos de apoyo con el fin de evitar los conflictos de intereses. Dicho marco también deberá articular los principales procesos que el banco necesita para gestionar el riesgo operativo.
15. El consejo deberá reexaminar este marco periódicamente para cerciorarse de que el banco está gestionando correctamente los riesgos operativos derivados de cambios en el mercado y de otros factores externos, así como los que están asociados a nuevos productos, actividades o sistemas. Este proceso de reevaluación también intentará determinar qué prácticas del sector para la gestión del riesgo operativo se adaptan mejor a las actividades, sistemas y procesos del banco. Si fuera necesario, el consejo se asegurará de que el marco para la gestión del riesgo operativo se revisa a la luz de este análisis, de forma que los principales riesgos operativos queden recogidos en este marco.
Principio 2: El consejo de administración deberá asegurar que el marco para la gestión del riesgo operativo en el banco esté sujeto a un proceso de auditoría interna eficaz e integral por parte de personal independiente, capacitado y competente. La función de auditoría interna no deberá ser directamente responsable de la gestión del riesgo operativo.
16. Los bancos deberán contar con un proceso adecuado de auditoría interna para comprobar que las políticas y procedimientos operativos se han llevado a cabo eficazmente5. El consejo, ya sea
5 El informe del Comité titulado Internal Audit in Banks and the Supervisor’s Relationship with Auditors (agosto de 2001)
describe el papel que desempeñan las auditorías interna y externa.
6 BCBS - Gestión y supervisión del riesgo operativo
directamente o indirectamente a través de su comité de auditoría, deberá comprobar que el ámbito y la frecuencia del programa auditor se adaptan a la exposición del banco al riesgo. El auditor deberá comprobar periódicamente que el marco para la gestión del riesgo operativo en el banco se aplica de forma eficaz en toda la empresa.
17. Al participar la auditoría en la vigilancia del marco de gestión del riesgo operativo, el consejo deberá asegurar la independencia del auditor, que puede quedar en entredicho si participara directamente en el proceso de gestión del riesgo operativo. Los auditores pueden proporcionar información muy útil a los responsables de la gestión del riesgo operativo, pero no deben asumir directamente ninguna responsabilidad para la gestión de estos riesgos. En la práctica, el Comité reconoce que en algunos bancos (especialmente en los más pequeños) la auditoría puede estar inicialmente encargada de desarrollar un programa para la gestión del riesgo operativo, en cuyo caso, el banco en cuestión hará todo lo posible por transferir cuanto antes a otro departamento la responsabilidad diaria de esta tarea.
Principio 3: La alta gerencia deberá ser la responsable de poner en práctica el marco para la gestión del riesgo operativo aprobado por el consejo de administración. Dicho marco deberá ser aplicado de forma consistente en toda la organización bancaria y todas las categorías laborales deberán comprender sus responsabilidades al respecto. La alta gerencia también deberá ser responsable del desarrollo de políticas, procesos y procedimientos destinados a la gestión de estos riesgos para todos los productos, actividades, procesos y sistemas relevantes para el banco.
18. La gerencia del banco deberá plasmar el marco para la gestión del riesgo operativo establecido por el consejo de administración en políticas, procesos y procedimientos concretos que puedan aplicarse y comprobarse dentro de las distintas unidades de negocio. Aunque cada grado gerencial es responsable de que estas políticas, procesos, procedimientos y controles sean adecuados y efectivos en el ámbito en el que se aplican, la alta gerencia por su parte debe establecer líneas claras de autoridad, responsabilidad y comunicación para fomentar y mantener la asunción de responsabilidades, al tiempo que deberá asegurar que existen recursos suficientes para gestionar el riesgo operativo de forma eficaz. Asimismo, la alta gerencia también tendrá que evaluar si el proceso de vigilancia gerencial se adapta a los riesgos inherentes a las políticas de cada unidad de negocio.
19. La alta dirección deberá garantizar que el banco cuenta con personal cualificado que cuenten con la necesaria experiencia, aptitudes técnicas y acceso a recursos, y que la autoridad del personal encargado de controlar y asegurar el cumplimiento de las políticas para la gestión del riesgo no procede de las unidades que vigila. La dirección deberá cerciorarse de que dichas políticas han sido claramente puestas en conocimiento del personal de cualquier unidad que sea susceptible de incurrir en riesgos operativos.
20. La alta dirección deberá comprobar que el personal encargado de la gestión del riesgo operativo se comunica activamente con el que se ocupa de los riesgos de crédito, de mercado y otros, así como con aquellos empleados responsables de contratar servicios externos, como por ejemplo contratación de seguros o subcontratación. De no hacerlo así, podrían producirse vacíos o, todo lo contrario, solapamientos en el programa general de gestión del riesgo en el banco.
21. También deberá garantizar que las políticas de remuneración del banco son acordes con su apetito por el riesgo. Las políticas salariales que recompensan al empleado que se desvía de las políticas establecidas (por ejemplo, excediendo los límites permitidos) socavan los procesos de gestión de riesgos del banco.
22. Habrá que prestar especial atención a la calidad de los controles sobre la documentación y a las prácticas para realizar de las operaciones. En concreto, habrá que documentar detalladamente las políticas, procesos y procedimientos relacionados con las tecnologías avanzadas que facilitan las operaciones de mayor volumen, y dicha documentación deberá ser distribuida entre todo el personal relevante.
Gestión del riesgo: identificación, evaluación, seguimiento y cobertura/control
Principio 4: Los bancos deberán identificar y evaluar el riesgo operativo inherente a todos sus productos, actividades, procesos y sistemas relevantes. Además, también deberán comprobar que antes de lanzar o presentar nuevos productos, actividades, procesos o sistemas, se evalúa adecuadamente su riesgo operativo inherente.
BCBS - Gestión y supervisión del riesgo operativo 7
23. La identificación del riesgo operativo es fundamental para el posterior desarrollo de un sistema viable de control y seguimiento del mismo. Para ello, se tienen en cuenta tanto factores internos (la estructura del banco, la naturaleza de sus actividades, la calidad de su capital humano, cambios organizativos y rotación de plantilla) como externos (cambios en el sector y avances tecnológicos) que pudieran obstaculizar el logro de los objetivos del banco.
24. Los bancos, además de identificar los riesgos potenciales más perjudiciales, deberán evaluar su vulnerabilidad ante tales riesgos, para poder así comprender mejor su perfil de riesgo y determinar con mayor precisión qué recursos necesitará para la gestión del mismo.
25. Los bancos pueden identificar y evaluar sus riesgos operativos de diversas maneras:
• Auto-evaluación o evaluación del riesgo: el banco comprueba la vulnerabilidad de sus operaciones y actividades ante el riesgo operativo. Este proceso es interno y a menudo conlleva la utilización de listas de control o de grupos de trabajo para identificar los puntos fuertes y débiles del entorno de riesgo operativo. Los cuadros de mando (scorecards), por ejemplo, son un instrumento para transformar las evaluaciones cualitativas en medidas cuantitativas que clasifican de forma relativa los diferentes tipos de exposiciones al riesgo operativo. Algunos indicadores pueden referirse a riesgos específicos a una línea de negocio concreta mientras que otros pueden clasificar jerárquicamente los riesgos que afectan a varias líneas. Además, se puede analizar tanto los riesgos inherentes como los controles necesarios para mitigarlos. Asimismo, los bancos pueden utilizar estos cuadros de mando para asignar el nivel de capital económico que corresponde a cada línea de negocio dependiendo de los resultados de la gestión y control de diversos aspectos del riesgo operativo.
• Asignación de riesgos (risk mapping): en este proceso, se agrupan por tipo de riesgo las diferentes unidades de negocio, funciones organizativas o procesos, lo que puede dejar al descubierto ámbitos que presenten deficiencias y ayudar a determinar cuáles son las prioridades para su gestión.
• Indicadores de riesgo: se trata de estadísticas o parámetros, a menudo financieros, que pueden revelar qué riesgos asume cada banco. Estos indicadores suelen ser revisados periódicamente (mensual o trimestralmente) para alertar a los bancos sobre cambios que puedan ser reveladores de problemas con el riesgo. Se suelen utilizar parámetros como el número de operaciones fallidas, las tasas de rotación de asalariados y la frecuencia y/o gravedad de los errores u omisiones.
• Cálculos: algunas empresas han comenzado a cuantificar su exposición al riesgo operativo utilizando diversos métodos. Uno de ellos es utilizar el historial de pérdidas de un banco, que puede revelar datos muy útiles para evaluar la exposición de un banco al riesgo operativo y desarrollar una política para cubrir o controlar el riesgo. Una manera muy eficaz de utilizar correctamente esta información es establecer un marco para registrar y consignar sistemáticamente la frecuencia, gravedad y otros aspectos importantes de cada caso de pérdida. Algunos bancos también combinan los datos sobre pérdidas internas con datos sobre pérdidas externas, análisis de escenarios y factores de evaluación del riesgo.
Principio 5: Los bancos deberán vigilar de forma periódica los perfiles de riesgo operativo y las exposiciones sustanciales a pérdidas. La alta gerencia y el consejo de administración deberán recibir información pertinente de forma periódica que complemente la gestión activa del riesgo operativo.
26. Para gestionar adecuadamente el riesgo operativo es fundamental contar con un proceso de seguimiento eficaz, que realizado periódicamente, puede facilitar la rápida detección y corrección de deficiencias en sus políticas, procesos y procedimientos de gestión del riesgo operativo, lo que a su vez puede reducir sustancialmente la frecuencia y gravedad de la pérdida.
27. Además de vigilar los casos de pérdidas operativas, los bancos deberán identificar indicadores que les avisen con antelación en caso de aumentar el riesgo de sufrir pérdidas en el futuro. Estos indicadores (a menudo llamados indicadores clave o indicadores de alerta temprana) deberán ser anticipatorios y reflejar las fuentes potenciales de riesgo operativo, como pueden ser un crecimiento acelerado, el lanzamiento de nuevos productos, la rotación de los efectivos, interrupciones en las operaciones, interrupciones en el sistema, etc. Cuando estos indicadores se asignan a unos límites máximos, un proceso de seguimiento eficaz puede ayudar a identificar los
8 BCBS - Gestión y supervisión del riesgo operativo
principales riesgos de forma transparente y permitir que el banco reaccione ante los mismos de forma adecuada.
28. La frecuencia con la que se realice el seguimiento debe ser acorde con los riesgos potenciales así como con la frecuencia y naturaleza de los cambios en el entorno operativo. Este seguimiento deberá insertarse en las actividades del banco y sus resultados deberán incluirse en los informes presentados periódicamente a la gerencia y al consejo, al igual que debe ocurrir con los estudios sobre el cumplimiento realizados por los auditores internos y/o por los gestores de riesgos. Los informes generados por (o para) las autoridades supervisoras también pueden incluir este seguimiento y deberán distribuirse internamente entre los miembros de la alta gerencia y el consejo, según sea el caso.
29. La alta dirección deberá recibir periódicamente informes de los departamentos que corresponda, como unidades de negocios, funciones de grupo, la oficina de gestión del riesgo operativo y la auditoria interna. Estos informes sobre riesgo operativo deberán recoger información interna sobre aspectos financieros, operativos y de cumplimiento, así como información externa sobre acontecimientos y condiciones que sean pertinentes para la toma de decisiones. Los informes se distribuirán entre los niveles de gerencia adecuados y entre las áreas del banco que puedan verse afectadas. Además, deberán recoger detalladamente cualquier problemática identificada y activar una acción correctora oportuna cuando corresponda. En aras de garantizar la utilidad y fiabilidad de estos informes sobre riesgo y de auditoría, la gerencia deberá comprobar periódicamente la exactitud, precisión y relevancia de las líneas de autoridad y de los controles internos en general. También podrá utilizar informes preparados por fuentes externas (auditores, supervisores) para determinar la utilidad y fiabilidad de los informes internos. Será necesario analizar los informes con el fin de mejorar los sistemas de gestión de riesgo actuales así como para desarrollar nuevas políticas, procedimientos y prácticas a tal efecto.
30. En líneas generales, el consejo de administración deberá recibir información de alto nivel que sea suficiente para poder formarse una opinión acerca del perfil de riesgo operativo general del banco y estudiar las implicaciones estratégicas y sustanciales para su actividad.
Principio 6: Los bancos deberán contar con políticas, procesos y procedimientos para controlar y cubrir los riesgos operativos más relevantes. Además, deberán reexaminar periódicamente sus estrategias de control y reducción de riesgos y ajustar su perfil de riesgo operativo según corresponda, utilizando para ello las estrategias que mejor se adapten a su apetito por el riesgo y a su perfil de riesgo.
31. Las actividades de control están diseñadas para gestionar los riesgos operativos que el banco haya identificado6. El banco deberá decidir, para cada riesgo operativo sustancial que haya sido identificado, si va a utilizar procedimientos de control y/o cobertura de riesgos o bien si prefiere asumirlo. En el caso de aquellos riesgos que no se puedan controlar, el banco tendrá que decidir si los acepta, si reduce el nivel de actividad en el sector al que afectan o si cesa dicha actividad completamente. Habrá que establecer procesos y procedimientos de control y los bancos deberán contar con un sistema que asegure el cumplimiento de un conjunto de políticas internas perfectamente documentadas para la gestión del riesgo. Para ello, habrá que tener en cuenta una serie de factores básicos:
• Estudios de alto nivel sobre el progreso realizado por el banco para alcanzar los objetivos descritos;
• Comprobación del cumplimiento de los controles gerenciales;
• Políticas, procesos y procedimientos para el análisis, tratamiento y resolución de casos de incumplimiento; y
• Un sistema de aprobaciones y autorizaciones documentadas que aseguren la asunción de responsabilidades ante la categoría directiva más adecuada.
6 Para saber más al respecto, véase Framework for Internal Control Systems in Banking Organisations, Basel Committee on
Banking Supervision, septiembre de 1998.
BCBS - Gestión y supervisión del riesgo operativo 9
32. Aunque es fundamental contar con un marco de políticas y procedimientos formales por escrito, éste debe reforzarse mediante un estricto control que promueva unas buenas prácticas de gestión del riesgo. Tanto el consejo de administración como la alta gerencia deberán establecer una sólida cultura de control interno, en la que las actividades de control formen parte integral de la actividad diaria del banco, de modo que pueda responderse rápidamente ante cualquier cambio de circunstancias y evitar costes innecesarios.
33. También es necesaria una correcta segregación de las ocupaciones, de modo que ningún empleado asuma responsabilidades que puedan generar un conflicto de intereses, ya que en ese caso, sería más fácil encubrir pérdidas, errores o actuaciones impropias. Por lo tanto, habrá que identificar qué áreas pueden generar conflictos de intereses para intentar reducirlos al máximo y aplicar estrictas medidas de seguimiento y comprobación independientes.
34. Además de la segregación de funciones, los bancos deberán garantizar la existencia de otras prácticas internas igualmente adecuadas para controlar el riesgo operativo, como pueden ser:
• Comprobación minuciosa del respecto a los límites o máximos asignados para el riesgo;
• Establecimiento de salvaguardias para acceder a los activos y archivos del banco y utilizarlos;
• Personal con la experiencia y formación adecuadas;
• Identificación de líneas de negocio o productos en los que el rendimiento se aleje bastante de lo razonablemente esperado (por ejemplo, cuando una operación que supuestamente conlleva poco riesgo y escaso margen genera un alto rendimiento, de modo que se pueda poner en duda si se han alcanzado estos beneficios infringiendo algún control interno); y
• Comprobación y conciliación periódicas de las operaciones y de las cuentas.
En los últimos años, algunos bancos han sufrido importantes pérdidas operativas por no haber llevado a cabo estas prácticas adecuadamente.
35. El riesgo operativo puede ser más grave cuando los bancos realizan actividades nuevas o lanzan nuevos productos (especialmente cuando así contradicen las estrategias de los principales negocios del banco), participan en mercados que desconocen o realizan negocios en lugares lejanos. Asimismo, en muchos de estos casos, las empresas no pueden garantizar que la infraestructura para la gestión del riesgo pueda seguir el ritmo de crecimiento de la actividad bancaria. En los últimos años, se han producido enormes pérdidas muy conocidas por la existencia de una o más de estas circunstancias. En estos casos, por lo tanto, les compete a los bancos comprobar que se presta especial atención a las actividades de control interno
36. Algunos riesgos operativos significativos tienen pocas probabilidades de producirse, pero sus repercusiones financieras podrían ser enormes, a lo que se añade que no todos los eventos de riesgo están controlados (ej. desastres naturales). Se pueden utilizar herramientas o programas de cobertura del riesgo para reducir la exposición a los mismos, así como su frecuencia y gravedad. Por ejemplo, las pólizas de seguros, especialmente las que contienen cláusulas de pronto pago o de pago garantizado, pueden ayudar a externalizar el riesgo de que se produzcan pérdidas “poco frecuentes y de enorme gravedad” por reclamaciones de terceros a raíz de de errores u omisiones, extravíos de títulos valores, fraude por parte de empleados o terceros y desastres naturales.
37. Ahora bien, los bancos deben utilizar estas herramientas de cobertura de riesgos como un complemento (y no un sustituto) de las medidas de control interno del riesgo operativo. Si se cuenta con los mecanismos adecuados para reconocer los errores operativos rápidamente y subsanarlos, es posible reducir considerablemente la exposición a este tipo de riesgos. Además, también habrá que considerar cuidadosamente hasta qué punto este tipo de coberturas ante riesgos (como los seguros) realmente reducen el riesgo o más bien lo trasladan a otros sectores de actividad del banco o incluso generan nuevos riesgos (ej. riesgo legal o de contraparte).
38. Para mitigar estos riesgos, también es importante invertir en tecnologías adecuadas para el procesamiento y tratamiento de la información, así como en sistemas de seguridad. Sin embargo, los bancos deben ser conscientes de que una mayor automatización puede transformar las pérdidas más frecuentes y de mayor gravedad en pérdidas menos frecuentes pero de extrema gravedad, que pueden derivarse de suspensiones o interrupciones prolongadas de los servicios a causa de factores internos o a factores que escapen al control inmediato del banco (ej. acontecimientos externos). Estos problemas pueden poner en serias dificultades a los bancos y hacer peligrar la capacidad de la
10 BCBS - Gestión y supervisión del riesgo operativo
institución para desempeñar sus principales actividades. Tal y como se especifica en el Principio 7, tras un desastre los bancos deben establecer planes de recuperación y de continuidad de la actividad para poder sobreponerse a estos riesgos.
39. Los bancos también deberán establecer políticas para la gestión de los riesgos derivados de las actividades de subcontratación. La subcontratación puede mejorar el perfil de riesgo de la institución al transferir actividades a otras empresas con mayor experiencia y en mejor disposición de gestionar los riesgos que llevan consigo estas actividades especializadas. Sin embargo, la utilización de terceros por parte del banco no disminuye la responsabilidad del consejo de administración ni de la alta gerencia de asegurar que la tarea subcontratada se realiza de forma correcta y segura, de conformidad con las leyes vigentes. Los acuerdos de subcontratación se pueden plasmar en contratos vinculantes o en acuerdos de provisión de servicios que aseguren una clara distribución de tareas entre los proveedores del servicio y el banco que subcontrata. Además, éste último tendrá que gestionar los riesgos residuales que llevan asociados este tipo de acuerdos, incluida la interrupción del servicio.
40. Dependiendo de la importancia y naturaleza de la actividad en cuestión, los bancos tendrán que conocer qué repercusiones podría tener para sus operaciones y sus clientes una deficiencia cualquiera en los servicios prestados por sus proveedores o por proveedores externos o intragrupo, como podría ser un fallo operativo o la quiebra o incumplimiento por parte de un tercero. El consejo y la gerencia deberán comprobar que se hayan definido y comprendido claramente las expectativas y obligaciones de cada una de las partes y que su cumplimiento haya quedado asegurado. Durante la evaluación de riesgos, también habrá que considerar explícitamente los límites de la responsabilidad de terceros frente al banco, así como su capacidad financiera para indemnizarlo en concepto de errores, negligencia o cualquier otro fallo operativo. Los bancos, por su parte, deberán realizar una prueba preliminar para comprobar la debida diligencia y controlar las actividades de los proveedores externos, especialmente aquellos con menos experiencia en cuanto a regulación bancaria, y tendrán que revisar este proceso (incluyendo el análisis de la debida diligencia) de forma periódica. En el caso de actividades críticas, el banco tal vez deba elaborar planes de emergencia en los que se detalle la disponibilidad de recursos externos alternativos y los costes y recursos necesarios para transferirles la actividad, posiblemente con muy poca antelación.
41. En algunos casos, los bancos pueden optar por aceptar cierto nivel de riesgo operativo o bien por asegurarse frente a éste por sí mismo. Cuando así sea, si el riesgo en cuestión es sustancial, la decisión de aceptar el riesgo o asegurarse frente al mismo deberá ser adoptada con total transparencia en el seno de la organización y deberá estar en la línea de la estrategia general del banco y de su apetito por el riesgo.
Principio 7: Los bancos deberán contar con planes de contingencia y de continuidad de la actividad, que aseguren su capacidad operativa continua y que reduzcan las pérdidas en caso de interrupción grave de la actividad.
42. Por razones ajenas al banco, un acontecimiento grave puede impedirle cumplir alguna de sus obligaciones (o todas), especialmente cuando se hayan visto afectadas sus estructuras físicas, informáticas o sus telecomunicaciones. Esto, a su vez, puede provocar pérdidas significativas para el banco e incluso afectar al sistema financiero en general a través de su sistema de pagos, por lo que los bancos deben establecer tras una catástrofe planes de recuperación y de continuidad de la actividad que consideren distintos supuestos factibles que hagan más vulnerable al banco; estos planes deberán ser acordes al tamaño y complejidad de sus operaciones.
43. Los bancos deberán identificar cuáles son sus procesos más críticos, incluidos aquellos en los que se dependa de distribuidores externos u otras terceras partes, para los cuales será fundamental la reanudación inmediata del servicio. Para estos procesos, el banco deberá identificar mecanismos alternativos para reanudar el servicio en caso de una interrupción del mismo, prestando especial atención a la capacidad de recuperar archivos físicos o electrónicos indispensables para la reanudación de la actividad. Cuando se realicen copias de seguridad de estos archivos en un lugar externo al banco o cuando éste deba trasladar sus operaciones a una nueva instalación, habrá que intentar que estos lugares se encuentren a una distancia adecuada del lugar que se ha visto afectado, para evitar que ambas instalaciones estén fuera de servicio al mismo tiempo.
44. Los bancos deberán comprobar periódicamente sus planes de recuperación y de continuidad del negocio para catástrofes, para que estén en la línea de las operaciones actuales del banco y de sus estrategias de negocio. Asimismo, estos planes deberán ser puestos a prueba cada
BCBS - Gestión y supervisión del riesgo operativo 11
cierto tiempo para comprobar si el banco sería capaz de reanudar su actividad en el improbable caso de que se produjera una alteración grave de su negocio.
La función de los supervisores
Principio 8: Los supervisores bancarios deberán exigir a todos los bancos, sea cual sea su tamaño, que mantengan un marco eficaz para identificar, evaluar, seguir y controlar o mitigar sus riesgos operativos más relevantes, como parte de su aproximación general a la gestión de riesgos.
45. Los supervisores deberán exigir que los bancos desarrollen marcos para la gestión del riesgo operativo que sean acordes con las pautas recogidas en este informe y con su tamaño, complejidad y perfil de riesgo. En la medida que los riesgos operativos ponen en peligro la seguridad y solidez de los bancos, los supervisores tienen la obligación de instar a los bancos a desarrollar y utilizar las mejores técnicas posibles para la gestión de estos riesgos.
Principio 9: Los supervisores deberán realizar, directa o indirectamente, una evaluación periódica independiente de las políticas, prácticas y procedimientos con los que cuentan los bancos para gestionar sus riesgos operativos. Además, deberán cerciorarse de que se han puesto en marcha los mecanismos necesarios para estar al tanto de cualquier novedad que se produzca en un banco.
46. Cuando los supervisores evalúen independientemente el riesgo operativo, deberán examinar los siguientes aspectos:
• La eficacia del proceso de gestión del riesgo del banco y de su entorno de control global del riesgo operativo;
• Los métodos que utiliza el banco para vigilar e informar sobre su perfil de riesgo operativo, incluidos los datos sobre pérdidas operativas y otros indicadores de posibles riesgos operativos;
• Los procedimientos que sigue el banco para solucionar rápida y eficazmente los casos de riesgo operativo y subsanar su vulnerabilidad ante el riesgo.
• Los controles, auditorías y exámenes internos que realiza el banco para garantizar la integridad de la gestión general del riesgo operativo.
• La eficacia de los esfuerzos del banco para mitigar estos riesgos, por ejemplo mediante la utilización de seguros;
• La calidad y minuciosidad de los planes del banco para recuperarse de una catástrofe y continuar con sus actividades; y
• El proceso que sigue el banco para determinar si sus niveles de capital son adecuados para hacer frente al riesgo operativo teniendo en cuenta su perfil de riesgo y, si procede, sus límites internos de capital.
47. Los supervisores también deberán cerciorarse de que los bancos que forman parte de un grupo financiero cuentan con procedimientos que garanticen una gestión del riesgo operativo adecuada e integrada en todo el grupo. Para ello, puede ser necesario cooperar y compartir información con otros supervisores, en virtud de los procedimientos establecidos, e incluso algunos supervisores pueden decidir que sean auditores externos los que lleven a cabo estos procesos de evaluación.
48. Si se detectan deficiencias durante este examen supervisor, podrán subsanarse mediante una serie de mecanismos, utilizando los supervisores los que mejor se adapten a las circunstancias concretas del banco y a su entorno operativo. Para poder recibir la información reciente sobre el riesgo operativo, los supervisores podrán establecer mecanismos de transmisión de información directa con bancos y auditores externos (por ejemplo, se puede poner periódicamente a disposición de los supervisores los informes sobre la gestión interna del riesgo operativo en un banco).
49. En general, se reconoce que muchos bancos todavía están desarrollando procesos para la gestión de sus riesgos operativos, por lo que los supervisores deben promover activamente el continuo desarrollo interno de estos controles mediante su seguimiento y evaluación de los últimos avances de los bancos y de sus planes de desarrollo. Estos esfuerzos se pueden comparar después con los que estén realizando otros bancos, de modo que se obtenga así una clara impresión del estado en el que se encuentra su labor actual. Asimismo, teniendo en cuenta que se han identificado
12 BCBS - Gestión y supervisión del riesgo operativo
algunas causas por las que los esfuerzos de algunos bancos no han dado sus frutos, se podría ofrecer dicha información en términos generales para ayudar a desarrollar el proceso de planificación. Además, los supervisores deberán comprobar hasta qué punto el banco ha integrado sus procesos para la gestión del riesgo operativo en su organización con el fin de asegurar una correcta gestión de estos riesgos en todos los niveles organizativos, presentar unas líneas inequívocas de comunicación y responsabilidad, así como fomentar la auto-evaluación activa de sus prácticas y la consideración de posibles mejoras para la cobertura de riesgos.
La función de la divulgación de información
Principio 10: Los bancos deberán proporcionar información pública suficiente para que los partícipes del mercado puedan evaluar sus estratégicas de gestión del riesgo operativo.
50. El Comité estima que, cuando los bancos divulgan información relevante de forma frecuente y oportuna, se mejora sustancialmente la disciplina de mercado y, por ende, se consigue una gestión de riesgos más eficaz. Para determinar cuánta información se debe que divulgar, habrá que tener en cuenta el volumen, perfil de riesgo y complejidad de las operaciones del banco.
51. Este ámbito de divulgación todavía no está bien asentado, principalmente porque los bancos todavía están desarrollando sus técnicas de evaluación de riesgos operativos. Sin embargo, el Comité considera que los bancos deben informar acerca de su marco para la gestión de esos riesgos, de modo que los inversionistas y las contrapartes puedan determinar si dicho banco es eficaz a la hora de identificar, evaluar, vigilar y controlar o cubrir sus riesgos operativos.