riesgo operacional
DESCRIPTION
método indicador básico, estándar y avanzadoTRANSCRIPT
RIESGO OPERATIVO
Método indicador básico
Método estándar
Método avanzado
ContenidoRIESGO OPERACIONAL.................................................................................................................4
RIESGO.....................................................................................................................................4
RIESGO OPERACIONAL.............................................................................................................5
Definición.............................................................................................................................5
Definición Según Basilea II....................................................................................................5
RIESGO OPERACIONAL EN BASILEA II.......................................................................................5
Método del Indicador Básico................................................................................................6
Método Estándar..................................................................................................................6
Método de Medición Avanzada (AMA)................................................................................7
Criterios de Admisión...........................................................................................................8
Criterios cualitativos.............................................................................................................8
Criterios cuantitativos (solidez AMA)...................................................................................8
GESTIÓN DEL RIESGO DEL MERCADO...........................................................................................9
GESTIÓN DE RIESGO OPERACIONAL SEGÚN EL BBVA.............................................................12
Marco de gestión del riesgo operacional...........................................................................12
Marco de gestión del riesgo operacional: Estructura organizativa.........................................15
a) IDENTIFICACIÓN.............................................................................................................16
PERFIL DE RIESGO...................................................................................................................16
Estructura organizacional...................................................................................................16
Actividades que realiza.......................................................................................................17
Sistemas utilizados.............................................................................................................17
Relación con externos........................................................................................................17
Normas y regulaciones.......................................................................................................17
Relación con otros riesgos..................................................................................................17
AUTOEVALUACIÓN DE RIESGOS OPERACIONALES.................................................................18
1
EVENTOS TÍPICOS DE RIESGO OPERACIONAL.........................................................................18
CLASES O CATEGORÍAS DE RIESGO OPERATIVO.....................................................................19
Fraude Interno...................................................................................................................19
Fraude Externo...................................................................................................................19
Fallas tecnológicas..............................................................................................................19
Ejecución y gestión de procesos.........................................................................................20
Relaciones laborales y seguridad en el puesto de trabajo..................................................20
Daños a activos materiales.................................................................................................20
Clientes, productos y prácticas empresariales...................................................................20
b) MEDICIÓN.......................................................................................................................22
Pérdida por riesgo operacional..........................................................................................22
c) SEGUIMIENTO Y CONTROL.............................................................................................23
TRATAMIENTO DE LOS RIESGOS OPERACIONALES.................................................................24
CASOS.....................................................................................................................................30
Caso – Allied Irish Bank8 El Allied Irish Bank (AIB)..............................................................30
CONCLUSIONES..........................................................................................................................33
RECOMENDACIONES..................................................................................................................34
BIBLIOGRAFIA.............................................................................................................................35
2
RIESGO OPERACIONAL
RIESGO
Los riesgos son parte de las actividades diarias de las personas ya sea en
forma individual o conjunta. La humanidad, desde su existencia y a lo largo
de la historia, ha convivido y afrontado una serie de riesgos, algunos con
consecuencias funestas o sin ellas, frecuentes o no frecuentes.
De forma análoga, la actividad empresarial, entre ellas la de las
Instituciones Financieras, está expuesta a riesgos, por lo tanto, sus
decisiones deben considerar los posibles riesgos a los que están expuestas
así como la manera de tratarlos.
Riesgo se define como “la posibilidad de que un evento ocurra y afecte
adversamente el logro de los objetivos”. Como resultado de una serie de
eventos que afectaron la permanencia de grandes empresas a partir de la
década de los ‘80s, entre ellas varias instituciones financieras, es que la
gestión del riesgo operacional tomó relevancia.
3
RIESGO OPERACIONAL
Definición
Es aquel que puede provocar pérdidas debido a errores humanos, procesos
internos inadecuados o defectuosos, fallos en los sistemas y como
consecuencia de acontecimientos externos.
Como el tecnológico, el de fraude, el de ejecución y procesos, o los
desastres naturales, esta pluralidad de factores, potencialmente
desencadenantes, pueden desencadenar pérdidas operacionales dentro de
una entidad financiera por falta de educación o de un fallo de los procesos.
Definición Según Basilea II
RIESGO OPERACIONAL EN BASILEA II
El Nuevo Acuerdo de Capital (Basilea II) contempla tres métodos para
establecer los requerimientos de capital por riesgo operacional u operativo
(RO), en orden creciente de sofisticación y sensibilidad al riesgo: el método del
indicador básico, el método estándar y los métodos de medición avanzada.
El Comité de Basilea establece que las entidades de intermediación financiera
(EIF) puedan emplear cada método individualmente o una combinación de
cualquiera de ellos para sus distintas actividades.
4
No obstante, para utilizar los métodos estándar y de medición avanzados,
deben obtener autorización del supervisor, a partir del cumplimiento de criterios
generales, cualitativos y cuantitativos.
Método del Indicador Básico
En el método del indicador básico el requerimiento de capital es equivalente a
un porcentaje (15%) del promedio de los tres últimos años de ingreso bruto
anual positivo, excluyendo los años en que el ingreso anual haya sido negativo
o igual a cero.
Método Estándar
En el método estándar las actividades de las EIF se dividen en ocho líneas de
negocio. El requerimiento de capital de cada línea se calcula multiplicando el
ingreso bruto anual por un factor, cuyos valores sugeridos por el Comité de
Basilea son:
Los ingresos brutos negativos de cualquier línea de negocio pueden ser
compensados por los ingresos brutos positivos de las otras líneas de negocio.
La exigencia total de capital es igual al promedio de tres años de la suma
5
simple de los requerimientos de capital en cada una de las líneas de negocio
de cada año.
Opcionalmente, existe un método estándar alternativo, en el que los ingresos
brutos de banca comercial y banca minorista se sustituyen por un 3.5% del total
de préstamos y anticipos de cada una de estas líneas.
Método de Medición Avanzada (AMA)
El requerimiento de capital en el método AMA es igual a la exposición al riesgo
generada por el modelo interno de la EIF para el cálculo del RO. La utilización
del AMA está sujeta a la aprobación del supervisor, a partir del cumplimiento de
criterios de admisión.
Criterios de Admisión
Para poder utilizar el Método Estándar y el Método AMA, las EIF deben
demostrar al supervisor que cumplen con:
Criterios generales: referidos a poseer un sistema de gestión de RO
conceptualmente sólido y contar con recursos para aplicar las
metodologías de gestión de riesgo en las principales líneas de negocio y
en los ámbitos de control y auditoria interna.
Adicionalmente, asegurar que el Directorio u órgano equivalente y la Alta
Gerencia de la EIF participen en la vigilancia del marco de gestión del
RO.
El Método AMA, exige además que las EIF satisfagan un conjunto de
criterios cualitativos y cuantitativos:
6
Criterios cualitativos.
o Contar con una unidad de gestión de RO.I
o Integrar el sistema de medición interna del RO en los procesos
habituales de gestión de riesgos de la EIF.
o Informar periódicamente al Directorio y Alta Gerencia acerca de
las exposiciones al RO e historial de pérdidas a este riesgo.
o Documentar el sistema de gestión de RO y v) realizar revisiones
periódicas del proceso de gestión y sistemas de medición del RO.
Criterios cuantitativos (solidez AMA).
El Comité de Basilea no especifica supuestos sobre las distribuciones de
probabilidad, pero establece que el procedimiento para desarrollar el
modelo de RO debe ser riguroso –considerando datos externos, datos
internos y análisis de escenarios– y debe demostrar que se identifican
los eventos de pérdidas ubicados en las colas de la distribución de
probabilidad. Estos modelos deberían basarse en cinco años de
información histórica, no obstante cuando se utilizan por primera vez,
pueden basarse sólo en tres años, tiempo que incluye un año de
funcionamiento en paralelo.
GESTIÓN DEL RIESGO DEL MERCADO
La implementación de una Gestión de Riesgo Operacional integrada
permitirá a la Institución Financiera (IF) controlar a un nivel razonable los
riesgos operacionales, monitorearlos y estar adecuadamente preparados
para los cambios del negocio y el entorno, con una visión de las situaciones
que puede incrementar su exposición.
7
La IF necesita diseñar e implementar un modelo o metodología de gestión
de riesgo operacional bajo un enfoque de gestión integral de riesgos COSO
ERM (COSO ERM: Committee of Sponsoring Organizations - Enterprise
Risk Management (Comité de Organizaciones Patrocinadoras de la
Comisión Treadway – Gestión de Riesgos Empresariales), por cumplimiento
regulatorio, caso contrario puede ser objeto de sanciones y/o multas.
Permitirá a la IF, reducir las pérdidas por riesgo operacional, por la
implementación de acciones correctivas y preventivas, además de lecciones
aprendidas.
La IF logrará obtener la autorización de la Superintendencia de Banca,
Seguros y AFP´s (SBS) para la aplicación del método estándar alternativo,
que permite asignar menor capital por la ley de implementación del Nuevo
Acuerdo de Capital Basilea, es decir, ahorro de capital, que puede ser
destinado a una mayor inversión en el negocio u otras actividades de
inversión rentables, por lo cual existe también un costo de oportunidad
asociado al uso del capital.
Problemática relacionada a la gestión del riesgo operacional, la
Institución Financiera presenta la siguiente problemática:
Carencia de personal especializado en gestión de riesgo operacional.
En general en el mercado peruano, las IF han considerado dentro de
su gestión al riesgo operacional a partir de la regulación publicada el
2002, y con mayor énfasis durante los últimos tres años.
El personal responsable de gestionar los riesgos incluyendo
Directores y Alta Gerencia, tienen conocimientos y experiencia de la
gestión de riesgos tradicional, y no del enfoque de gestión integral de
riesgos.
La Alta Dirección y la Gerencia no están involucradas directamente
con los riesgos operacionales o situaciones que los incrementan, no
hay una cultura del riesgo.
8
Se valora más lograr objetivos de volumen de negocio a costos
posiblemente más altos que los que se podría lograr considerando
los riesgos asociados a las operaciones. Las pérdidas pueden ser
mayores.
Mayor y más compleja regulación exige mayor conocimiento y
adiestramiento del personal responsable de la gestión de riesgos,
directores y alta gerencia, para lograr el objetivo de cumplimiento
regulatorio, debe ser parte de la estrategia de la IF.
La gestión del capital (patrimonio) se ve impactada por los
requerimientos del Nuevo Acuerdo de Capital Basilea 2, incluyendo
variables no consideradas en el planeamiento del capital de la IF.
Gestión centralizada de riesgos, se tienen roles definidos claramente
para el área de Riesgos, pero no para las Gerencias y niveles medio
y operativo. Se tiene el paradigma de que el área de Riesgos es
responsable de gestionar y mantener niveles bajos del riesgo, si
ocurren pérdidas, “se cree” que es por la “mala gestión del área de
Riesgos”.
Metodología de gestión de riesgo operacional adoptada y escrita pero
con bajo nivel de dinamismo (“no viva”).
Carencia de una herramienta adecuada para soportar la gestión del
riesgo operacional de acuerdo al tamaño de las operaciones de la IF.
Conforme al alcance definido en la sección correspondiente, para el
desarrollo del Capítulo III, se tomará la información disponible de la
IF y lo desarrollado para implementar la gestión de riesgo operacional
bajo enfoque COSO ERM.
9
En las secciones de identificación, autoevaluación y tratamiento de
riesgos, se muestra un riesgo típico del proceso de evaluación de
créditos, seleccionado por los siguientes criterios:
Proceso clave dentro del macroproceso de créditos,
porque una buena evaluación asegura una alta
probabilidad de retorno y una relación sana con el
cliente.
Se realiza previo al desembolso, por lo que se debe
tener controles altamente efectivos.
Define el volumen de operaciones crediticias para los
procesos posteriores como son el desembolso y
seguimiento de cartera, por lo que puede hacer más
efectivo el seguimiento en función de la calidad de
cartera.
Requiere tecnología crediticia que debe ser
permanentemente actualizada conforme a las
estrategias del negocio basadas en riesgo.
10
GESTIÓN DE RIESGO OPERACIONAL SEGÚN EL BBVA
Marco de gestión del riesgo operacional
El marco de gestión del riesgo operacional definido para el Grupo BBVA incluye
una estructura de governance basada en tres líneas de defensa, con
delimitación clara de las responsabilidades; en unas políticas y procedimientos
comunes a todo el Grupo; en unos sistemas para identificar, medir, monitorear,
controlar y mitigar los riesgos y pérdidas operacionales; y en unas herramientas
y metodologías para la cuantificación del riesgo operacional en términos de
capital.
Marco de gestión del riesgo operacional: Tres línea de
defensa
11
La gestión del riesgo operacional en BBVA se diseña y coordina desde la
unidad de Gestión Corporativa de Riesgo Operacional (GCRO), perteneciente a
GRM, y desde las unidades de Gestión de Riesgo Operacional (GRO), que se
ubican en los departamentos de Riesgos de los diferentes países y áreas de
negocio.
Las áreas de negocio o de soporte tienen, a su vez, gestores de riesgo
operacional que dependen funcionalmente de las anteriores, y que son los
encargados de implantar el modelo en el día a día de las áreas. De esta forma,
el Grupo dispone de una visión a pie de proceso, que es donde se identifican y
priorizan los riesgos y toman las decisiones de mitigación, y que por agregación
permite tener una visión macro a diferentes niveles.
Cada área de negocio o de soporte dispone de uno o más comités GRO que se
reúnen trimestralmente. En dichos comités se analiza la información
proporcionada por las herramientas y se toman las decisiones de mitigación
oportunas. Por encima de los comités GRO se encuentra el Comité GRO País,
en el que se tratan los riesgos de mayor calado y sus correspondientes planes
de mitigación, así como los riesgos que afectan transversalmente a diversas
áreas.
Como órgano de máximo nivel en la matriz, existe el Comité Global de
Corporate Assurance (CGCA), que efectúa un seguimiento general de los
principales riesgos operacionales del Grupo. Adicionalmente, está el Consejo
de Administración que en el ejercicio de sus competencias establece la política
de control y gestión de riesgos y efectúa el seguimiento periódico de los
sistemas internos de información y control.
12
13
Marco de gestión del riesgo operacional: Estructura organizativa
BBVA está trabajando en la mejora del modelo de gestión del riesgo
operacional en dos líneas:
Incorporando a unidades especialistas de control para obtener una visión más
independiente y experta y para unificar el governance de las funciones de
control del Grupo.
Reforzando los escenarios de riesgo operacional, con una base de escenarios
actualizable cada año, para los que se construyen dossiers exhaustivos de
cuantificación bajo entornos diferentes, con la colaboración de expertos
independientes y especialistas.
La gestión del riesgo operacional en el Grupo se construye a partir de las
palancas de valor que genera el modelo avanzado o AMA (advanced
measurement approach), y que son las siguientes:
14
La gestión activa del riesgo operacional y su integración en la toma de
decisiones del día a día supone:
El conocimiento de las pérdidas reales asociadas a este riesgo
(base de datos SIRO).
La identificación, priorización y gestión de riesgos potenciales y
reales.
La existencia de indicadores que permiten analizar la evolución
del riesgo operacional en el tiempo, definir señales de alerta y
verificar la efectividad de los controles asociados a los riesgos.
Todo lo anterior contribuye a un modelo anticipatorio que permite
la toma de decisiones de control y de negocio, así como priorizar
los esfuerzos de mitigación en los riesgos relevantes para reducir
la exposición del Grupo a eventos extremos.
Mejora el entorno de control y refuerza la cultura corporativa.
Genera un impacto reputacional positivo.
a) IDENTIFICACIÓN
Identificación de Riesgos Operacionales
PERFIL DE RIESGO
Estructura organizacional
1. Nombre del área
2. Responsable
15
3. Organigrama
4. Roles principales
Actividades que realiza
1. Nombre del proceso / actividad
2. Entradas (actividades relacionadas, áreas que envían documentos e
información)
3. Salidas (actividades relacionadas, áreas que reciben documentos e
información)
4. Productos relacionados
Sistemas utilizados (aplicaciones, bases de datos,
telecomunicaciones)
1. Sistemas internos
2. Sistemas externos
Relación con externos
1. Clientes externos
2. Supervisores / Reguladores
3. Proveedores / Subcontratación
4. Alianzas / Socios estratégicos
Normas y regulaciones
1. Normatividad interna
2. Regulación / ley aplicable
Relación con otros riesgos
1. Riesgo de Crédito
16
2. Riesgos de Mercado
3. Riesgo de Reputación
4. Otros
AUTOEVALUACIÓN DE RIESGOS OPERACIONALES
Una vez identificados los riesgos, el siguiente paso es evaluarlos. Para esto, se
debe contar con información referente a ellos, como por ejemplo, eventos de
pérdida ocurridos en la organización, o en el sector donde opera; factores que
pueden incrementar su ocurrencia o daño potencial; el conocimiento de la
actividad, proceso, proyecto o producto donde puede ocurrir el riesgo, así como
del funcionamiento de sus controles y su efectividad.
EVENTOS TÍPICOS DE RIESGO OPERACIONAL
Errores operativos
Fraudes (interno & externo)
Actividad no autorizada
Fugas de talento
Incumplimiento normativo
Caída de sistemas
Fallos de programación
Sobrepasar atribuciones/límites
Accesos indebidos a sistemas
Daños en edificios
Incumplimiento de proveedores
Pérdidas por litigios
17
CLASES O CATEGORÍAS DE RIESGO OPERATIVO
Todos los eventos de Riesgo Operacional, deben tener asignada una clase
o categoría de riesgo dependiendo de la causa que originó el evento; las
pérdidas registradas pueden ser agrupadas atendiendo a sus causas
últimas.
Para ello, se utilizan una serie de categorías elementales que suministran
una visión sintética de la distribución del riesgo global existente en la
compañía. Las clases o categorías más usuales definidas son las
siguientes:
Fraude Interno
Pérdidas derivadas de algún tipo de actuación de empleados o terceros
vinculados contractualmente a la compañía, encaminada a defraudar,
apropiarse de bienes indebidamente o incumplir regulaciones, leyes o
políticas empresariales. Esta categoría incluye eventos como: fraudes,
robos (con participación de personal de la empresa), sobornos, entre otros.
Fraude Externo
Pérdidas derivadas de algún tipo de actuación realizadas por personas
ajenas a la compañía que buscan defraudar, apropiarse de bienes
indebidamente o desatender la legislación. Esta categoría incluye eventos
como: robos, falsificación, ataques informáticos, entre otros.
Fallas tecnológicas
Pérdidas o interrupciones derivadas de fallos en los sistemas de cómputo,
comunicaciones, hardware o software de la compañía. Entre los casos más
comunes están las caídas del sistema por tiempos prolongados, daños en
18
líneas telefónicas, perdida de información electrónica, virus informáticos que
afecten el sistema, etc.
Ejecución y gestión de procesos
Pérdidas derivadas de errores en el procesamiento de operaciones o en la
gestión de procesos, así como de relaciones con contrapartes comerciales y
proveedores. Esta categoría incluye eventos asociados con: captura de
transacciones, ejecución y mantenimiento, monitoreo y reporte, entrada y
documentación de clientes, gestión de cuentas de clientes, contrapartes de
negocio.
Relaciones laborales y seguridad en el puesto de trabajo
Pérdidas derivadas de actuaciones incompatibles con la legislación o
acuerdos laborales, sobre higiene o seguridad en el trabajo, sobre el pago
de reclamaciones por daños personales, o sobre casos relacionados con
discriminación en el trabajo.
Daños a activos materiales
Pérdidas derivadas de daños o perjuicios a activos físicos como
consecuencia de desastres naturales u otros eventos de fuentes externas.
Ej: Incendios, terremotos, actos terroristas, falta de mantenimiento de
activos, etc.
Clientes, productos y prácticas empresariales
Pérdidas derivadas del incumplimiento involuntario o negligente de una
obligación profesional frente a clientes o de la naturaleza o diseño de un
producto. EJ: Competencia desleal, falsos beneficios en productos,
perjuicios a clientes, etc.
19
20
b) MEDICIÓN
Pérdida por riesgo operacional
Cualquier impacto negativo registrado en cuentas de resultados o en la
situación patrimonial de la Entidad, y que haya sido provocado a
consecuencia de cualquier evento de riesgo operacional.
La pérdida está constituida por un registro contable contabilizado en
cuentas de resultados, en rúbricas de gastos generales y/o cuentas
patrimoniales.
21
No se contempla el contenido de cuentas transitorias, cualquiera que
sea su naturaleza.
Si se podrá registrar cualquier provisión realizada sobre eventos
acaecidos y no reconocidos en resultados.
No formarán parte de la base de datos aquellos eventos que generen un
impacto positivo para la entidad (diferencias de Caja acreedoras, errores
en la ejecución de operaciones de valores, etc.
c) SEGUIMIENTO Y CONTROL
22
TRATAMIENTO DE LOS RIESGOS OPERACIONALES
En esta sección se describe la aplicación de los componentes “Respuesta al
riesgo”. Una vez elegida la respuesta considerando la efectividad en el control
del riesgo y el costo beneficio de la misma, puede requerir una o más
“Actividades de control” (segunda parte de este componente), ya sea para
mejorar los controles existentes, agregar nuevos, o reemplazarlos por otros
más efectivos.
En la IF, se aplicó lo siguiente: 1. Se seleccionó los riesgos residuales que
Resultaron en los niveles extremo o alto, para decidir la respuesta al riesgo
según COSO ERM:
• Reducir impacto, o nivel de daño.
• Reducir probabilidad, o nivel de ocurrencia.
• Compartir o transferir, a un tercero.
• Aceptar.
• Evitar.
23
En los casos en que se decidió por reducir o compartir, se documentó un Plan
de Acción para mitigar el riesgo, que incluyó el tratamiento elegido, las
acciones a realizar, responsables y fechas en que deben ser culminadas. El
cumplimiento de estas acciones debe ser monitoreado por el área de Riesgos.
Una vez culminada la matriz de riesgos y controles con la evaluación y los
Planes de Acción respectivos, se comunicó al área de Auditoría Interna para su
revisión.
Estos controles deben ser incluidos como parte de las pruebas de auditoría
según las actividades de su plan anual. Luego de realizar la prueba, Auditoría
debe documentar el nivel de efectividad de operación, de la siguiente manera:
si es efectivo, se asigna “EFE” (color verde); se es parcialmente efectivo, se
asigna “PEF” (color amarillo); o, si no es efectivo, se le asigna “NEF” (color
rojo).
Esto ayuda a 70 confirmar o poner a prueba la efectividad de los controles así
como la forma en que lo vienen aplicando, y de ser necesario, permite realizar
ajustes a la evaluación.
Monitoreo de la gestión de riesgo operacional El monitoreo es el último
componente del COSO ERM, siendo fundamental para vigilar los avances en la
gestión del riesgo operacional y lograr una toma de decisiones oportuna sobre
los niveles de riesgo, para cada uno de los componentes descritos y en su
conjunto.
Existe un monitoreo que se da en el día a día dentro del curso normal de las
actividades del negocio, y otro que se da mediante evaluaciones separadas o
específicas, para obtener un entendimiento más preciso 75 sobre las
deficiencias o puntos de mejora, que una vez superados o implementados,
permiten el logro de los objetivos de la organización.
Según lo indicado, en la IF se implementaron las siguientes acciones de
monitoreo.
24
1. Control de cada Gerencia, a través de las evaluaciones basadas en
objetivos de desempeño, y supervisión de las actividades desarrolladas por el
personal operativo, considerando el cumplimiento de los procedimientos que
están enfocados en la mitigación de los riesgos asociados.
De esta supervisión, la gerencia identifica y reporta las situaciones que
incrementan la exposición a los riesgos (“issues”), a través de reportes de
indicadores clave de riesgos (“key risk indicators”), riesgos potenciales,
reportes de eventos de pérdida, cambios en la organización, los procesos o
sistemas, así como cambios en las leyes o regulaciones que impacten en la
operativa de la IF.
Estas actividades complementan las evaluaciones de riesgos.
2. Evaluaciones del área de Riesgos, que con la información brindada
por las gerencias, analiza, prepara y presenta reportes gerenciales al Comité
de Riesgo Operacional, Comité de Riesgos, Comité de Auditoría, Directorio.
Estos reportes, incluyen: los Top Risks, reportes de eventos de pérdida, y el 76
seguimiento a los planes de acción.
Son compartidos por medio del Comité de Riesgo Operacional con las áreas de
Legal, Cumplimiento, Seguridad de Información, Continuidad de Negocios,
Seguridad y Prevención de Fraudes, Operaciones, Contabilidad, Recursos
Humanos, para obtener su retroalimentación por su conocimiento y manejo de
los riesgos relacionados.
3. Informes de Auditoría Interna, resultado de las evaluaciones, que
incluyen observaciones y recomendaciones sobre la gestión de las áreas
enfocadas en riesgos.
Dentro de estos informes, se incluye el reporte de deficiencias encontradas u
oportunidades de mejora, que una vez revisados con cada gerencia, son
reportados a la Gerencia General, y seguidos por el Comité de Auditoría.
Además, la gestión de riesgo operacional es auditada como mínimo una vez al
año.
25
4. Informes de Auditoría Externa, que incluye una revisión sobre el
cumplimiento de las normas de gestión de riesgo operacional. Adicionalmente,
si la SBS ha autorizado a la IF a utilizar el método estándar alternativo para el
cálculo de capital regulatorio por riesgo operacional, se requiere una revisión
independiente respecto del cumplimiento de los criterios señalados por la SBS,
al menos cada tres años.
5. Informes de Consultorías, resultado de trabajos especializados ya sea
para implementar o actualizar metodologías, procedimientos, sistemas o
entrenamiento para mejorar la gestión del riesgo operacional, en los que se
obtiene opinión de un tercero sobre alcances específicos relacionados a la
gestión de riesgos.
6. Informe de Visita Anual de la SBS, en el cual se muestran las
debilidades encontradas en la gestión de riesgos, que deben ser subsanadas a
criterio del regulador, y que son seguidas también por Auditoría Interna y el
Comité de Auditoría.
Regulación de la SBS sobre riesgo operacional Dentro del
marco del COSO ERM y el NAC B2
La SBS ha publicado las siguientes normas referentes a la gestión integral de
riesgos y gestión de riesgo operacional:
• Resolución SBS Nº 37-2008 “Reglamento para la Gestión Integral de
Riesgos”, que toma como marco de referencia al estándar internacional de
gestión de riesgos COSO ERM, e incluye lo siguiente:
Definición de gestión integral de riesgos (GIR), además de las
categorías de objetivos.
Componentes de la gestión integral de riesgos.
Tipos de riesgos, considerando los riesgos de crédito, estratégico, de
liquidez, de mercado, operacional, de seguro, y de reputación, indicando
que es una lista no limitativa.
26
Prácticas cuestionables, referido a que se debe contar con sistemas
internos apropiados para resolver los casos de actividades ilícitas o
fraudes.
Relación entre la GIR y el Control Interno, indicando que la GIR incluye
al control interno con un alcance más amplio enfocado en el riesgo.
Además, indica que el objetivo de confiabilidad de la información se
refiere a toda la información y no solamente a los estados financieros.
Responsabilidades del Directorio, Gerencia General, Gerencias, Unidad de
Riesgos y Jefe de Riesgos.
Criterios que debe cumplir el perfil del Jefe de Riesgos.
Establecimiento del Comité de Riesgos y Comité de Auditoría, indicando
los requisitos mínimos para su conformación así como sus funciones.
Subcontratación, indicando la responsabilidad de las empresas
supervisadas de los servicios subcontratados; además, introduce el
concepto de subcontratación significativa indicando que para éstas, se
debe realizar un análisis formal de riesgos el cual debe ser puesto en
conocimiento del Directorio para aprobación.
Rol de Auditoría Interna y Auditoría Externa.
Revelación de las principales características de la gestión integral de riesgos
en la Memoria Anual.
• Resolución SBS Nº 2116-2009 “Reglamento para la Gestión del Riesgo
Operacional”, que reemplaza a la Resolución SBS Nº 006- 2002 “Reglamento
para la administración de riesgos de operación”, e incluye lo siguiente:
Definición de riesgo operacional.
Factores que originan el riesgo operacional:
o procesos internos, personal, tecnología de información, y eventos
externos.
o Eventos de pérdida por riesgo operacional, conforme a Basilea 2.
27
o Responsabilidades del Directorio, Gerencia, Comité de Riesgos, Unidad
de Riesgos.
o Aspectos mínimos del Manual de gestión del riesgo operacional.
o Metodología para la gestión del riesgo operacional enmarcada dentro de
los componentes de la gestión integral de riesgos, así como sus criterios
de cumplimiento.
o Base de datos de eventos de pérdida y sus criterios de cumplimiento. o
Sistema de gestión de la continuidad del negocio y un sistema de
gestión de la seguridad de la información, indicando que se debe cumplir
con lo establecido en las normas específicas correspondientes.
o Políticas y procedimientos para gestionar los riesgos operacionales
asociados a la subcontratación, así como su alcance mínimo.
Para mayor detalle sobre estos temas, puede consultar la Circular SBS
G-139-2009 “Reglamento para la Gestión de Continuidad del Negocio”, y
la Circular SBS G-140-2009 “Reglamento para la Gestión de la
Seguridad de la Información”, las cuales no forman parte del alcance del
presente documento.
o Informe anual de gestión de riesgo operacional para la SBS según
disposiciones establecidas para el contenido mínimo y forma de envío. o
Roles de Auditoría Interna, Auditoría Externa, y de las Empresas
Clasificadoras de Riesgos.
o Presentación de las características principales de la gestión del riesgo
operacional en la Memoria Anual.
• Resolución SBS Nº 2115-2009 “Reglamento para el requerimiento de
patrimonio efectivo por riesgo operacional”, que incluye lo siguiente:
Destinar patrimonio efectivo (capital regulatorio) por riesgo operacional
aplicando uno de los siguientes métodos: método del indicador básico, método
estándar alternativo, o método avanzado. La utilización de los dos últimos
requiere pasar un proceso de autorización establecido por la SBS. Requisitos
para solicitar autorización para la utilización del método estándar alternativo o
un método avanzado. Método del indicador básico o Método estándar
alternativo. Para poder establecer estas reglas, previamente se modificó la Ley
28
de Bancos en Junio 2008 incluyendo la implementación del NAC. Esta
resolución está basada en el NAC. Sobre esto puede consultar la columna de
“Información General” del Portal del Supervisado en 25 En el capítulo 4 se
describe la aplicación del método estándar alternativo, así como su impacto en
el requerimiento de patrimonio efectivo por riesgo operacional.
Métodos avanzados, que incluye los requisitos mínimos cualitativos y
cuantitativos para utilizarlo. Para comprender cómo es que se enmarca la
regulación peruana dentro de lo establecido por el Comité de Basilea, se ha
preparado la siguiente tabla que muestra la relación entre los principios para
las buenas prácticas de gestión del riesgo operacional y la regulación de la
SBS.
CASOS
Caso – Allied Irish Bank8 El Allied Irish Bank (AIB)
En su momento el segundo banco más grande de Irlanda, reveló en 2002 que
se encontraba investigando un aparente caso de fraude cambiario en su
sucursal de Baltimore, Estados Unidos llamada Allfirst.
El fraude fue perpetrado por el operador John Rusnak. El Consejo de
Administración contrató a un consultor independiente con el fin de que
generara un reporte identificando el posible fraude. El reporte Ludwig concluyó
que John Rusnak sistemáticamente falsificó registros bancarios y documentos
y había evadido los débiles controles existentes en la tesorería de Allfirst y de
la matriz.
Rusnak registró opciones no existentes que tenían ganancias ficticias con el fin
de ocultar las pérdidas que tuvo en 1997. Aparentemente estas pérdidas se
debieron a las posiciones que tomó en los futuros del yen japonés.
En 1999, tuvo un periodo de ganancias usando opciones “reales” que dejaron
grandes márgenes de ganancia y que le permitieron eliminar algunas opciones
29
falsas. El Banco local del mundo Gaceta de Basilea II Basilea II 2008 HSBC
México 7 Para evadir los supuestos controles y registros sobre sus actividades,
Rusnak usó ingeniosas maneras para registrar las opciones falsas en los libros
y de esta forma explotar las debilidades existentes en los controles. La técnica
que usó fue registrar al mismo tiempo dos opciones falsas pretendiendo que las
transacciones envueltas no se netearán.
La primera opción obtenía un margen amplio y la segunda perdía el mismo
margen, sin embargo lo que variaba era el vencimiento, la primera vencía el
mismo día y la segunda vencía semanas más tarde. Allfirst no preparaba
reportes de opciones a un día y nadie ponía atención en esto. El resultado fue
que los activos falsos fueron creados en los libros y Allfirst no tuvo que pagar
por ellos.
Estas ganancias compensaban algunas posiciones que había perdido Rusnak
en el mercado cambiario. Nadie se dio cuenta de que las opciones a un día con
amplios márgenes no eran ejercidas por ninguna contraparte. Adicionalmente,
Rusnak tomó ventaja de problemas de proceso de las áreas de apoyo, en
donde consistentemente obtenía confirmación de las transacciones. Hasta
1998 sus transacciones falsas eran validadas con las confirmaciones, sin
embargo al parecer Rusnak persuadió a las áreas de apoyo para que las
opciones pares no fueran confirmadas ya que no representaban una
transferencia de efectivo. De esta forma, cuando alguna opción falsa expiraba,
esta se convertía en una nueva opción falsa.
Otro aspecto adicional del fraude de Rusnak, fue su habilidad para manipular
los resultados usados para monitorear sus transacciones. Sus opciones falsas
cubrían sus posiciones reales, reduciendo de esta forma su valor-en-riesgo
(VaR)9. El reporte Ludwig encontró también que él interfería directamente con
los parámetros usados en el cálculo del VaR usados por Allfirst. Se suponía
que el VaR se calculaba de forma independiente, sin embargo los encargados
del cálculo confiaban en la información tomada directamente de la
computadora de Rusnak, dándole a él la oportunidad de manipular y reducir su
VaR.
30
Se estima que AIB/Allfirst tuvo una pérdida total por $691 millones de dólares.
Allfirst Bank de Baltimore fue vendido en 1993 a Manufacturers and Traders
Trust Company (M&T Bank). La solvencia del banco no se vio en peligro de
forma inmediata como consecuencia del “descubrimiento”, ya que el banco
absorbió la pérdida cubriéndola con las utilidades del año anterior,
representando alrededor del 60% del total de 2001. Esto redujo su capital.
Ningún alto funcionario fue forzado a renunciar, sin embargo el escándalo
deterioró fuertemente la reputación del banco y de algunos de sus directores.
Definición: Es la máxima pérdida posible de un portafolio o activo financiero
bajo un horizonte de tiempo y un nivel de confianza. Glosario de Términos de
Riesgo.
Las lecciones aprendidas son: - Falta de claridad en las líneas de reporte,
inadecuada supervisión, de los empleados y falta de controles por parte de la
matriz. Es necesaria una estructura sólida de administración de riesgos.
La relación entre la matriz y las subsidiarias debe ser clara. Enérgicos controles
a las áreas de apoyo son esenciales para evitar omisiones o complacencias a
saltarse procedimientos.
31
CONCLUSIONES
Para establecer, mantener y desarrollar una gestión de riesgo operacional bajo
COSO ERM es necesario que la Dirección y Alta Gerencia estén involucrados y
comprometidos con roles claramente asignados y con una filosofía de riesgo
evidenciada a través de su aplicación en la estructura organizacional y
procesos de la IF.
• El riesgo operacional es un riesgo que está presente en todas las actividades
de la IF, en mayor o menor nivel, dependiendo de la efectividad de los
controles implementados y de las estrategias que se elijan para gestionarlo.
Los Gerentes de cada área son responsables de mantenerlos en los niveles
aceptables según el apetito y tolerancia definidos.
• La gestión de riesgo operacional bajo COSO ERM agrega valor a la
organización en la medida en que contribuye al cumplimiento de los objetivos,
provee conocimiento de la ocurrencia de posibles eventos y su mitigación,
mejora la eficiencia, asegura que los productos y servicios se brinden 90 dentro
del apetito de riesgo aceptado con mayor posibilidad de éxito, y refuerza la
reputación de la IF con los stakeholders.
• El modelo de gestión de riesgo operacional dentro de un enfoque integrado
de gestión de riesgos permite a la IF obtener un ahorro en la asignación de
capital regulatorio por riesgo operacional, con la posibilidad de desarrollar
32
métodos avanzados que muestren un nivel de riesgo más real y poder
establecer su propio modelo de capital económico.
• Para el caso de la IF en estudio, la aplicación del método estándar alternativo
le permitirá asignar menor capital que el del método básico, habiendo logrando
un ahorro a Enero 2010 de S/ 2,395 miles (dos millones tres cientos noventa y
cinco mil nuevos soles), lo que permite aceptar mayor riesgo de crédito y/o de
mercado, al realizar una mayor inversión en productos o servicios financieros.
Este ahorro variará en función del crecimiento y los cambios en el portafolio,
que tenga a futuro.
RECOMENDACIONES
• Para la correcta implementación del modelo se debe realizar un diagnóstico
organizacional basado en riesgos, y definir un plan por etapas que incluya
capacitación y concientización, así como 91 una clara definición de los roles y
responsabilidades en todos los niveles de la organización.
• Dentro de la estructura organizacional se debe contar con una red de
Gestores de Riesgo, lo cuales son designados por los Gerentes por su
conocimiento, experiencia, liderazgo y capacidad analítica para integrar los
conceptos del modelo a las actividades cotidianas.
• Implementar un software de gestión de riesgo operacional que permita
soportar el modelo desarrollado.
• Realizar una mejora continua en el flujo de información y utilizar términos de
“uso común” equivalentes a los manejados en la gestión de riesgo operacional
y gestión integral de riesgos. • Efectuar análisis de las bases de datos de
pérdidas para familiarizarse con los eventos ocurridos y observar su severidad
y frecuencia, con la finalidad de que, luego de haber pasado por un periodo
entre mediano a largo plazo, evaluar el costo beneficio de aplicar métodos
cuantitativos que complementen el modelo expuesto, y permitan a la IF
33
implementar un modelo de capital económico con medidas más sensibles al
riesgo.
BIBLIOGRAFIA
http://www.uprh.edu/wlopez/MODULOS%20AVANZADOS/Gerencia%20de
%20Riesgos%20en%20los%20Proyectos/Tres%20Casos%20de
%20Riesgo.pdf
http://www.sbs.gob.pe/repositorioaps/0/0/jer/pres_doc_basilea/
Bases_Datos_Eventos_Perdida_Riesgos_Operacionales%20.pdf
http://www.sbs.gob.pe/repositorioaps/0/0/jer/
DT_DOCUMENTOSDTRABAJO/SBS-DT-04-2006.pdf
http://www.riesgooperacional.com/docs/21%20%20estfin0807.pdf
http://www.riesgooperacional.com/docs/22%20%20gacetabasilea-II-no6-
riesgo-operacional.pdf
https://www.sbif.cl/sbifweb/internet/archivos/publicacion_8511.pdf
34
ANEXOS
Riesgos Financieros
GREGORIO BELAUNDE
El “Miedo a Decirlo”, Fuente de Riesgo Operacional
03/11/2013
06:46
Hace pocos días nos llegó la noticia de que la página web que debía facilitar la entrada en aplicación de la gran reforma promovida por el Presidente Obama de los EE.UU. para extender los seguros de salud, estaba experimentando fallas graves que le han brindado a esta reforma un mal comienzo. Estos problemas tomarán tiempo para ser resueltos y el daño de un lanzamiento más lento, así como el daño reputacional y el de debilitamiento del Gobierno, ya está hecho. Algo llamó mucho la atención: enterarse de que se habían efectuado pruebas que mostraban que “el sistema no estaba listo”, y que ni el Presidente ni la Secretaria (Ministra) de la Salud lo sabían.
Recordemos que el riesgo operacional, en su definición más conocida, incluye a las“fallas del personal”, como factor de ocurrencia de eventos disruptivos o de pérdidas. Aquí la falla consistió en no hacer llegar a los niveles apropiados la información necesaria para que éstos tomaran decisiones debidamente informadas frente a lo que podía salir mal.
Es obvio que lo que sucedió es que, al tener la Reforma una fecha de lanzamiento que en medio de la hostilidad absoluta de la Oposición y de su amenaza constante de dejarla sin fondos, aparecía como muy difícil de cambiar, nadie se atrevió a hacerle saber a la Ministra que “había un problema” con el flamante sistema. Cabe preguntarse hasta qué nivel jerárquico llegó el conocimiento de que el sistema no estaba listo.
Este evento me recordó lo sucedido con uno de los mejores aeropuertos del Mundo en su inauguración, el Aeropuerto Internacional de Hong Kong, conocido también como Chek Lap Kok. Se debía inaugurar a inicios de Julio de 1998, habiendo fijado las autoridades Chinas y las de la “región administrativa especial” que fuera en el primer aniversario de la retrocesión de Hong Kong a China, por el inmenso significado histórico de dicho evento. Fue una pesadilla operativa desde el primer vuelo comercial.
Muchos aún recuerdan a las pantallas de anuncios de vuelos que no funcionaban (fue la imagen que más marcó al público), lo que también afectaba
35
a muchos baños, escaleras mecánicas, sistemas de reparto de equipajes, etc. Y el pandemonio en la zona de carga, que provocó la pérdida de gran cantidad de mercancía perecible, y obligó a reabrir temporalmente el antiguo aeropuerto de Kai Tak. Tomó casi 6 meses terminar de estabilizar las operaciones del aeropuerto. Me tocó llegar para varios años de estadía con mi familia, 2 meses después de la inauguración, en un aeropuerto que todavía estaba algo desordenado, pero que ya iba felizmente camino a ser la maravilla estética y organizacional que muchos conocen (difícil olvidar a esa inmensa “catedral” de vidrio y metal y al ultra-eficiente tren que lo liga al centro financiero).
Las investigaciones conducidas por las autoridades revelaron que en realidad muchos, en diferentes niveles, sabían que el aeropuerto no iba a estar completamente listo para la fecha prevista. Cada uno, para la parte que correspondía, sabía, pero no se lo decía a su superior, y si lo alertaba, era éste último el que no avisaba a su superior. Fue un “miedo a decirlo” generalizado que impidió a los máximos niveles saber cuál era la situación real. En niveles intermedios, algunos sabían algo, pero de manera muy fragmentada y que no les pareció grave. Ello impidió tomar las medidas apropiadas. La función de alerta temprana es imprescindible cuando se tiene que lidiar con fechas-objetivo imperativas.
El conocido temor de ser el mensajero que será ejecutado por haber traído una “mala noticia”, que muchas veces puede ser simplemente un inconveniente que de ser alertado a tiempo, puede ser tratado y solucionado a tiempo, o por lo menos permitir una reducción muy significativa del impacto negativo.
Este tipo de situaciones es mucho más frecuente de lo que se cree:
Por ejemplo, incluyendo situaciones de interacción con el riesgo crediticio,
. no alertar a tiempo de un problema con un cliente principal o proyecto grande, cualquiera que sea el momento (al comienzo o después), que va a deteriorar su calidad crediticia; ¡a veces sucede hasta con pequeñas exposiciones!
. no alertar de que la situación general del riesgo crediticio puede empeorar rápidamente; eso es algo que se ve siempre al inicio de grandes crisis sistémicas, las voces aisladas de los que alertan son acalladas o tomadas con escepticismo a pesar de la evidencia histórica
. no expresar sus puntos de vista, que contradicen la opinión dominante, sobre la evolución futura del riesgo de un país, o sobre la de un sector económico
. no expresar sus dudas o inquietudes sobre un aspecto particular de un proyecto, que puede parecer menor, pero que puede resultar siendo clave para su éxito o fracaso
. no decirle al superior que se puede estar equivocando en un punto de vista por desconocimiento (es normal que no sea especialista en todo), o en una decisión clave, y no proponerle alternativas, por más audaces e iconoclastas que parezcan
. no alertar de que algo que la Alta Gerencia o Dirección piensa va a salir bien en cierto plazo, también puede descarrilarse seriamente o atrasarse
36
. “esconder bajo la alfombra” resultados de estudios o informes, o incidentes operativos que revelen que se tiene numerosos equipos que reemplazar (lo que supone gastar en ello), o que se está en una edificación insegura.
En general, los que no quieren alertar rezan o “cruzan los dedos” para que no pase nada o tratan de auto-convencerse de que no va a pasar nada o de que las cosas van a mejorar pronto o de que el riesgo es poco significativo. Es mucho más cómodo que “dar una mala noticia” o que contradecir y proponer algo diferente. A veces es peor: saben, pero les aterra decir lo que saben, y “esperan que otro lo diga”. Y están los que saben, “se protegen” en su exclusivo provecho personal, por ejemplo cambiando de trabajo a tiempo, sin avisar a los demás y menos aún a sus superiores. Y están los inescrupulosos motivados a la par por la sed o el vértigo del poder o por la angurria, el afán de lucro rápido, la idea de “ganarse alguito” en poder o en riqueza de paso, pensando que las consecuencias serán para otros (miedo combinado con maquiavelismo…).
Los resultados pueden ser gravísimos, tales como:
. lanzamientos de grandes proyectos o de reformas que fracasan, como ya hemos visto; a veces un proyecto puede terminar siendo un gran “elefante blanco”
. pérdidas crediticias enormes que se hubieran podido evitar, con medidas ex ante o con medidas rápidas en inicio de crisis, como ventas de exposiciones a precios todavía aceptables
. pérdidas enormes y/o paralización de actividades claves para una empresa o para un país, por fallas de equipos o de sistemas, con el consiguiente problema reputacional o consecuencias peores
. pérdidas de vidas humanas, a veces a gran escala, que eran tan, pero tan evitables; como pasó en el caso del edificio Rana Plaza en Bangla-Desh.
Los bancos están llenos de historias de gente que “quiso alertar”, pero la alerta no llegó hasta el más alto nivel, porque fue detenida a cierto nivel; o tal vez llegó al nivel debido pero demasiado aislada para ser tomada en serio. Muchas empresas del sector no financiero también, incluso en casos muy sonados como Enron.
Ahora bien, traten de imaginarse eso al nivel de un país: ¿cuántas veces en la historia un gobernante y/o sus ministros no pudieron decidir bien, porque nadie quiso decirles lo que hubieran debido saber? El problema es que las consecuencias en general no se limitan al gobernante y a los miembros de su gobierno: afectan al país entero o por lo menos a una gran parte de su población.
Y ello se puede ver incluso a nivel internacional: recomendaría la lectura del informe de la “Oficina de evaluación independiente” del Fondo Monetario Internacional (Enero 2011) sobre cómo, entre otras cosas, no lograron darse cuenta a tiempo de lo que sucedía en el sistema financiero europeo. Mencionan al “groupthink” (pensamiento de grupo) que impide que muchos expresen otros puntos de vista. En realidad es “riesgo operacional organizacional” (sobre el cual ya escribí un post el 13 de Julio de este año) en todo su esplendor.
37
Conclusión:
Nunca se debe desalentar a los que alertan, aunque a veces puedan no tener razón, porque permiten tomar decisiones más informadas y abrirse más opciones, e incluso aprovechar oportunidades de nuevos negocios o de mejoras sustanciales (no olvidar que riesgo es también oportunidad). Además, permiten tomar a tiempo medidas de reducción del riesgo . Lo que está en juego muchas veces es el destino de una empresa, o de mucha gente, o de un país, o de muchos países, o hasta de la economía mundial.
38