CAPITULO I
Riesgo Operativo
Definición
Se
entiende por riesgo operativo a la posibilidad de ocurrencia de pérdidas
financieras por deficiencias o fallas en los procesos internos, en la
tecnología de información, en las personas o por ocurrencia de eventos externos
adversos. Esta definición incluye el riesgo legal, pero excluye el riesgo
estratégico y el de reputación.
Fuentes
de riesgo operativo
Procesos Internos
Posibilidad
de pérdidas financieras relacionadas con el diseño inapropiado de los procesos críticos,
o con políticas y procedimientos inadecuados o inexistentes que puedan tener
como consecuencia el desarrollo deficiente de las operaciones y servicios o la
suspensión de los mismos. En tal sentido, podrán considerarse entre otros, los
riesgos asociados a las fallas en los modelos utilizados, los errores en las
transacciones, la evaluación inadecuada de contratos o de la complejidad de
productos, operaciones y servicios, los errores en la información contable, la
inadecuada compensación, liquidación o pago, la insuficiencia de recursos para
el volumen de operaciones, la inadecuada documentación de transacciones, así
como el incumplimiento de plazos y presupuestos planeados.
Personas
Posibilidad
de pérdidas financieras asociadas con negligencia, error humano, sabotaje,
fraude, robo, paralizaciones, apropiación de información sensible, lavado de
dinero, inapropiadas relaciones interpersonales y ambiente laboral
desfavorable, falta de especificaciones claras en los términos de contratación
del personal, entre otros factores. Se puede también incluir pérdidas asociadas
con insuficiencia de personal o personal con destrezas inadecuadas, entrenamiento
y capacitación inadecuada y/o prácticas débiles de contratación.
Tecnología de Información
Posibilidad
de pérdidas financieras derivadas del uso de inadecuados sistemas de
información y tecnologías relacionadas, que pueden afectar el desarrollo de las
operaciones y servicios que realiza la institución al atentar contra la
confidencialidad, integridad, disponibilidad y oportunidad de la información. Las
instituciones pueden considerar de incluir en ésta área, los riesgos derivados
a fallas en la seguridad y continuidad operativa de los sistemas TI, a errores
en el desarrollo e implementación de dichos sistemas y su compatibilidad e
integración, problemas de calidad de información, inadecuada inversión en
tecnología y fallas para alinear los objetivos de negocio, con entre otros
aspectos. Otros riesgos incluyen la falla o interrupción de los sistemas, la
recuperación inadecuada de desastres y/o la continuidad de los planes de
negocio.
Eventos Externos
Posibilidad
de pérdidas derivadas de la ocurrencia de eventos ajenos al control de la
empresa que pueden alterar el desarrollo de sus actividades, afectando a los
procesos internos, personas y tecnología de información. Entre otros factores,
se podrán tomar en consideración los riesgos que implican las contingencias
legales, las fallas en los servicios públicos, la ocurrencia de desastres
naturales, atentados y actos delictivos, así como las fallas en servicios críticos
provistos por terceros. Otros riesgos asociados con eventos externos incluyen:
el rápido paso de cambio en las leyes, regulaciones o guías, así como el riesgo
político o del país
Eventos del Riesgo Operativo
En Basilea II se ha establecido igualmente una
tipología de riesgos operacionales a partir de categorías de "eventos de
pérdidas", que damos a continuación:
Fraude
interno el ejemplo es el empleado con acceso a la
contabilidad que logra sustraer importantes sumas de dinero, o el que al
interior de un banco hace aprobar expedientes crediticios con clientes
"fantasma"
Fraude
externo: un ejemplo conocido es el que se puede sufrir a través
de la clonación de tarjetas por terceros. El affaire Enron también tenía
características de este tipo, pues muchos inversionistas fueron engañados por
la "creatividad contable" de Enron; el valor de sus acciones no era
real
Relación
y seguridad laboral: podemos tener así las pérdidas ligadas a la
huelgas o los accidentes que se pueden producir con el personal en las fábricas
o en las minas por no haberles dado todos los implementos de protección
Los eventos
ligados a los clientes, productos y prácticas empresariales: el
ejemplo son las malas prácticas en las ventas a los clientes, como el no darles
toda la información sobre lo que se les está vendiendo, lo que puede ser
incluso hecho con traición; de eso se ha acusado en EE.UU. a varios bancos de
inversión (venta de "papeles tóxicos")
Los daños
a activos materiales : son aquellos daños producidos por
eventos naturales (como las inundaciones, terremotos o tsunamis), siendo un
buen ejemplo la destrucción de muchas fábricas de componentes automotores en el
Japón o provocados, como lo fue el ataque a las Torres Gemelas el 11/09/2001, o
más simplemente aquellos derivados de disturbios, que se traducen por
destrucción e incendios de tiendas y locales administrativos, o los debidos a
accidentes, como la explosión de una plataforma petrolera.
La interrupción
del negocio y fallas en los sistemas: lo que se produce por
ejemplo en caso de apagones, o porque hay fallas en los sistemas informáticos;
todos hemos experimentado las situaciones en que "no hay sistema" y
un banco puede así quedarse horas sin poder distribuir efectivo en sus cajeros;
o piensen lo que le pasó a R.I.M., creador del Blackberry cuando se interrumpió
su servicio por un tiempo largo por fallas en sus servidores.
Los eventos
ligados a la ejecución, entrega y gestión de procesos,
como pueden serlo errores que provocan pérdidas de cheques en un banco, o de
correspondencia en una empresa de "courrier", el no respeto de los
plazos de entrega de mercaderías, los errores de codificación que pueden
producir errores de facturación y hasta generar impagos artificiales, lo que
provoca múltiples reclamaciones. En un hospital, sería una operación mal
efectuada, por ejemplo.
Es
una tipología considerada como clásica, pero que puede ser difícil de aplicar
tal cual en algunos casos, pues en realidad puede haber combinación de varios
tipos de eventos, como en el caso de las catástrofes ambientales, donde pueden
coexistir los daños a activos materiales con malas prácticas empresariales,
fallas en los sistemas y una mala gestión de procesos; o el caso de edificios
destruidos por un terremoto donde un factor contribuyente es el fraude externo
(estafa en la calidad de los materiales utilizados, tal como varillas demasiado
delgadas).
Clasificación de eventos de
Riesgo Operacional
Un
evento de Riesgo operacional es un conjunto de incidentes o situaciones de Riesgos
que ocurren en un lugar determinado. Por ejemplo, el robo a la agencia de una entidad
financiera (evento) tiene varios
incidentes (robo de dinero, robo de un equipo de computación, daño físico a la
puerta de ingreso a la agencia, etc.).
Los
eventos del Riesgo Operacional pueden clasificarse en una de las siguientes
categorías:
ü Genera
pérdidas y afecta el estado de resultados de la entidad. Por ejemplo, el robo a
la agencia de una entidad financiera.
ü Genera
pérdidas y no afecta el estado de resultados de la entidad. Por ejemplo,
la imposibilidad de atender a los clientes por problemas con el sistema.
ü No
genera pérdidas y por lo tanto no afecta el estado de resultados de la entidad.
Por ejemplo, el guardia de seguridad encuentra que la bóveda está abierta, no
obstante, se confirma que no hubo robo.
Factores
de Riesgo Operacional
Los procesos, sistemas, equipos técnicos, recursos humanos y hechos externos son factores de Riesgo Operacional, es decir, fuentes generadoras de riesgo que pueden o no provocar pérdidas:
ü Los procesos son
el conjunto interrelacionado de actividades para la transformación de elementos
de entrada en productos o servicios.
ü Los sistemas
y equipos técnicos (la tecnología) son las herramientas empleadas para
soportar los procesos de la entidad (software, hardware y telecomunicaciones).
ü Los recursos
humanos son las personas vinculadas directa o indirectamente con la ejecución
de los procesos de una entidad financiera.
ü Los hechos
o acontecimientos externos son aquellos sobre los cuales la entidad no
tiene control, por ejemplo, desastres naturales, actos terroristas, etc.
El
riesgo Operacional posee un universo amplio,
lo que lo vuelve a veces difícil de entender
Es difícil
de identificar: puede haber una maraña de causas, de eventos
y de efectos, y a veces hay problemas para distinguirlo del riesgo de
crédito y del riesgo de mercado, lo que se llama riesgos fronterizos; ejemplo :
si hay pérdidas por una garantía mal tomada ¿es por riesgo de crédito o por
riesgo operacional ?
Es difícil
de medir, por la existencia de pérdidas atípicas, la
coexistencia de pérdidas directas e indirectas, y a menudo por la insuficiencia
de data histórica
Es difícil
de vigilar y de controlar: puede haber una coexistencia de causas
internas y externas y la frecuencia y la severidad de las pérdidas son muy
variables
El
riesgo operacional no incluye al riesgo reputaciones y riesgo estratégico, que
es un riesgo multifacético ligado a decisiones estratégicas de la empresa y a
su entorno de negocios. Pero entonces, ¿qué incluye el riesgo operacional?
Se
dice que incluye al riesgo legal, aquél que puede derivar de contratos mal
hechos.
CAPITULO II
Gestión de riesgo operacional
Como
principio general, las entidades financieras deben contar con una estrategia
aprobada por el Directorio estableciendo principios para la identificación, medición,
control, monitoreo y mitigación del riesgo operativo.
Las
estrategias y políticas deberían ser implementadas por la Función de Gestión de
Riesgo, responsable de identificar y gestionar todos los riesgos. La Función de
Gestión de Riesgo puede incluir sub-unidades especializadas por riesgos
específicos. Las entidades financieras deberían desarrollar su propio enfoque y
metodología para la gestión de riesgos, de acuerdo con su objeto social,
tamaño, naturaleza y complejidad de operaciones y otras características. La
implementación del sistema de gestión de riesgo operativo debería considerar
todas las etapas de gestión de riesgo, incluyendo la identificación,
evaluación, medición, monitoreo y control.
Identificación
La
identificación efectiva del riesgo considera tanto los factores internos como
externos que podrían afectar adversamente el logro de los objetivos
institucionales.
Evaluación
Para
todos los riesgos operativos materiales que han sido identificados, la entidad
debería decidir si usa procedimientos apropiados de control y/o mitigación de
los riesgos o asumirlos. Para aquellos riesgos que no pueden ser controlados,
el banco debería decidir si los acepta, reduce el nivel de actividad del
negocio expuesta o se retira de esta actividad completamente. Todos los riesgos
materiales deberían ser evaluados por probabilidad de ocurrencia e impacto a la
medición de la vulnerabilidad de la entidad a este riesgo. Los riesgos pueden
ser aceptados, mitigados o evitados de una manera consistente con la estrategia
y el apetito al riesgo institucional. Cuando sea posible, la entidad debería
usar controles internos apropiados u otras estrategias de mitigación, como los
seguros.
Medición
Las
entidades financieras deberían estimar el riesgo inherente en todas sus actividades,
productos, áreas particulares o conjuntos de actividades o portafolios, usando
técnicas cualitativas basadas en análisis expertos, técnicas cuantitativas que
estiman el potencial de pérdidas operativas a un nivel de confianza dado o una
combinación de ambos.
Monitoreo
Un
proceso efectivo de monitoreo es esencial para una gestión adecuada del riesgo
operativo. Un monitoreo regular de las actividades puede ofrecer la ventaja de
detectar rápidamente y corregir deficiencias en las políticas, procesos y
procedimientos de gestión del riesgo operativo. El monitoreo regular también
fomenta la identificación temprana de cambios materiales en el perfil de
riesgo, así como la aparición de nuevos riesgos. El alcance de las actividades
de monitoreo incluye todos los aspectos de la gestión del riesgo operativo en
un ciclo de vida consistente con la naturaleza de sus riesgos y el volumen,
tamaño y complejidad de las operaciones.
Control
Después
de identificar y medir los riesgos a los que está expuesta, la entidad
financiera debería concentrarse en la calidad de la estructura de control
interno. El control del riesgo operativo puede ser conducido como una parte
integral de las operaciones o a través de evaluaciones periódicas separadas, o
ambos. Todas las deficiencias o desviaciones deben ser reportadas a la
gerencia.
Reporte
Debe
existir un reporte regular de la información pertinente a la alta gerencia, al
directorio, al personal y a partes externas interesadas, como clientes,
proveedores, reguladores y accionistas. El reporte puede incluir información
interna y externa, así como información financiera y operativa.
CAPITULO III
Acuerdo de Capital (Basilea II)
¿Qué
es el Riesgo operacional según Basilea?
El
Comité de Basilea define al riesgo operacional como al riesgo de pérdidas
resultantes de la falta de adecuación o fallas en los procesos internos, de la
actuación del personal o de los sistemas o bien aquellas que sean producto de
eventos externos.
El
riesgo operacional no es un riesgo nuevo; siempre ha estado presente en todo
tipo de actividades, y no sólo las financieras, Pero ha tomado una importancia
creciente en la razón de los cambios en el entorno y en la administración de
los negocios (globalización de los mercados, desarrollo tecnológico, productos
cada vez más complejos).
Contempla
tres métodos para establecer los requerimientos de capital por riesgo
operacional u operativo en orden creciente de sofisticación y sensibilidad al
riesgo: (i) el método del indicador básico, (ii) el método estándar,
(iii) y los métodos de medición avanzada. El Comité de Basilea establece
que las entidades de intermediación financiera puedan emplear cada método
individualmente o una combinación de cualquiera de ellos para sus distintas
actividades. No obstante, para utilizar los métodos estándar y de medición
avanzados, deben obtener autorización del supervisor, a partir del cumplimiento
de criterios generales, cualitativos y cuantitativos.
Método del Indicador Básico
En el método del indicador básico el requerimiento de capital es equivalente a un porcentaje (15%) del promedio de los tres últimos años de ingreso bruto anual positivo, excluyendo los años en que el ingreso anual haya sido negativo o igual a cero.
Método Estándar
En el método estándar las actividades de las EIF se dividen en ocho líneas de negocio. El requerimiento de capital de cada línea se calcula multiplicando el ingreso bruto anual por un factor, cuyos valores sugeridos por el Comité de Basilea son:
Los
ingresos brutos negativos de cualquier línea de negocio pueden ser compensados
por los ingresos brutos positivos de las otras líneas de negocio. La
exigencia total de capital es igual al promedio de tres años de la suma simple
de los requerimientos de capital en cada una de las líneas de negocio de cada
año. Opcionalmente, existe un método estándar alternativo, en el que los
ingresos brutos de banca comercial y banca minorista se sustituyen por un 3.5%
del total de préstamos y anticipos de cada una de estas líneas.
Método de Medición Avanzada
(AMA)
El
requerimiento de capital en el método AMA es igual a la exposición al riesgo
generada por el modelo interno de la EIF para el cálculo del RO. La utilización
del AMA está sujeta a la aprobación del supervisor, a partir del cumplimiento
de criterios de admisión.
Criterios de Admisión
Para
poder utilizar el Método Estándar y el Método AMA, las EIF deben demostrar al
supervisor que cumplen con:
Criterios
generales: referidos a poseer un sistema de gestión de Riesgo Operacional
conceptualmente sólido y contar con recursos para aplicar las
metodologías de gestión de riesgo en las principales líneas de negocio y en los
ámbitos de control y auditoria interna. Adicionalmente, asegurar que el Directorio
u órgano equivalente y la Alta Gerencia de la EIF participen en la vigilancia
del marco de gestión del Riesgo operacional.
El
Método AMA, exige además que las entidades financieras satisfagan un conjunto
de criterios cualitativos y cuantitativos:
Criterios
cualitativos.
ü contar
con una unidad de gestión de Riesgo operacional.
ü integrar
el sistema de medición interna del RO en los procesos habituales de gestión de
riesgos de la Entidades Financieras.
ü informar
periódicamente al Directorio y Alta Gerencia acerca de las exposiciones al RO e
historial de pérdidas a este riesgo,
ü documentar
el sistema de gestión de Riesgo operacional
ü realizar
revisiones periódicas del proceso de gestión y sistemas de medición del Riesgo
operacional
Criterios
cuantitativos
El
Comité de Basilea no especifica supuestos sobre las distribuciones de
probabilidad, pero establece que el procedimiento para desarrollar el
modelo de Riesgo operacional debe ser riguroso considerando datos
externos, datos internos y análisis de escenarios y debe demostrar que se
identifican los eventos de pérdidas ubicados en las colas de la distribución de
probabilidad. Estos modelos deberían basarse en cinco años de información
histórica, no obstante cuando se utilizan por primera vez, pueden basarse sólo
en tres años, tiempo que incluye un año de funcionamiento en paralelo.
CAPITULO IX
Evolución del Riesgo Operativo y las
Actividades Bancarias
La desregulación y
globalización de los servicios financieros, junto con la creciente
sofisticación de la tecnología financiera están haciendo las actividades
bancarias, y en consecuencia, sus perfiles de riesgo cada vez más complejos.
Adicionalmente a los riesgos de crédito, de tasa de interés y de mercado, el riesgo
operacional puede ser sustantivo y las tendencias de pérdidas parecen indicar
que se está incrementando. Como resultado, una sólida gestión del riesgo operativo
es cada vez más importante para bancos y supervisores, con riesgos operativos
emergiendo en un número de áreas críticas, tales como las siguientes:
ü Mayor
uso de tecnología automatizada (riesgos derivados de la automatización de
procesos manuales, errores de procesamiento y riesgos de fallas en los
sistemas);
ü Proliferación
de productos nuevos y altamente complejos;
ü Crecimiento
de transacciones bancarias electrónicas y aplicaciones de negocios
relacionadas;
ü Adquisiciones
de gran escala, fusiones y consolidaciones;
ü Aparición
de bancos que actúan como proveedores de servicios a gran escala;
ü Desarrollo
y uso de técnicas de mitigación de riesgos (garantías, seguros, derivados de
crédito, arreglos de neto y titularizaciones); ,
ü Integración
global de servicios financieros. (riesgos de transacciones de pago procesadas
en múltiples monedas, crecientes transacciones comerciales, etc.).
El rango de prácticas de
negocio y áreas afectadas por los riesgos operacionales debe ser ampliamente considerado
y tratado en el desarrollo de la gestión del riesgo operativo de las entidades
financieras.
CAPITULO X Importancia
del Riesgo Operacional
¿Por
qué es importante riesgo operativo?
Aunque
para muchos este tema va ligado con los escándalos financieros de Enron, su
aplicación no es exclusiva de una empresa de la magnitud de las antes
mencionadas. Toda actividad realizada en una empresa, sea chica, mediana o
grande, tiene ciertos riesgos para las personas que la llevan a cabo, riesgos
que pueden ser minimizados o incluso eliminados si se realizan con las medidas
de control adecuadas, sin embargo, aun cuando en muchas ocasiones se asume la conveniencia
de aplicarlas, no siempre son tenidas en cuenta de forma voluntaria por los
individuos que las llevan a cabo.
Las
advertencias y recomendaciones de buenas prácticas pueden resultar
insuficientes e ineficaces, es por ello que las autoridades toman finalmente la
decisión de sustituir dichas recomendaciones por disposiciones de carácter
oficial, que aunque no siempre eliminen los riesgos, sí los minimizan y sobre
todo concientizan de su existencia. La implicación para todos es muy simple, el
entorno ha cambiado, la supervivencia de las organizaciones en un mundo globalizado
y altamente competitivo nos obliga a mejorar nuestro desempeño y la buena
gestión del riesgo se ha tornado en una decisiva ventaja competitiva; así
mismo, las empresas deben de utilizar sus procesos para estar mejor preparadas
y ser más transparentes. Para que una organización cumpla objetivos y metas, es
necesario que los sistemas y subsistemas que la componen funcionen en armonía y
de manera eficiente. Cuando se presenta alguna de las siguientes situaciones,
se puede decir que se está incurriendo en un riesgo operativo que puede originar
pérdidas a la entidad, así como un aumento de costos y gastos:
-
Incumplimiento de normas y procedimientos para la ejecución de un proceso
-
Falta de documentación de procesos
-
Falta de confidencialidad de la información
-
Fallas en los procedimientos por errores humanos
A
diferencia de otras prácticas o riesgos, el riesgo operativo no sólo se puede
erradicar, sino que es intrínseco al propio negocio, por lo que,
voluntariamente o no, se debe de aprender a vivir con él. Pero aunque sea un
mal necesario, lo que no se puede o no se debe de hacer si se quiere garantizar
la supervivencia de las entidades, es ignorar sus efectos o menospreciar su
importancia, asumiendo que es imposible evitar sus consecuencias. Por lo tanto
el presente trabajo tiene la intención de mostrar un breve panorama de lo que
es el riesgo operativo, algunos de sus elementos y sus repercusiones al no
prestarle la atención que merece debido a su importancia, así como también, se
abordan cuestionamientos de gran utilidad, que sirven como una guía para determinar
si se está teniendo o no, un control adecuado en la organización.
