miércoles, 15 de mayo de 2013


CAPITULO I
Riesgo Operativo

Definición
Se entiende por riesgo operativo a la posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas en los procesos internos, en la tecnología de información, en las personas o por ocurrencia de eventos externos adversos. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y el de reputación.

Fuentes de riesgo operativo

Procesos Internos
Posibilidad de pérdidas financieras relacionadas con el diseño inapropiado de los procesos críticos, o con políticas y procedimientos inadecuados o inexistentes que puedan tener como consecuencia el desarrollo deficiente de las operaciones y servicios o la suspensión de los mismos. En tal sentido, podrán considerarse entre otros, los riesgos asociados a las fallas en los modelos utilizados, los errores en las transacciones, la evaluación inadecuada de contratos o de la complejidad de productos, operaciones y servicios, los errores en la información contable, la inadecuada compensación, liquidación o pago, la insuficiencia de recursos para el volumen de operaciones, la inadecuada documentación de transacciones, así como el incumplimiento de plazos y presupuestos planeados.

Personas
Posibilidad de pérdidas financieras asociadas con negligencia, error humano, sabotaje, fraude, robo, paralizaciones, apropiación de información sensible, lavado de dinero, inapropiadas relaciones interpersonales y ambiente laboral desfavorable, falta de especificaciones claras en los términos de contratación del personal, entre otros factores. Se puede también incluir pérdidas asociadas con insuficiencia de personal o personal con destrezas inadecuadas, entrenamiento y capacitación inadecuada y/o prácticas débiles de contratación.

Tecnología de Información
Posibilidad de pérdidas financieras derivadas del uso de inadecuados sistemas de información y tecnologías relacionadas, que pueden afectar el desarrollo de las operaciones y servicios que realiza la institución al atentar contra la confidencialidad, integridad, disponibilidad y oportunidad de la información. Las instituciones pueden considerar de incluir en ésta área, los riesgos derivados a fallas en la seguridad y continuidad operativa de los sistemas TI, a errores en el desarrollo e implementación de dichos sistemas y su compatibilidad e integración, problemas de calidad de información, inadecuada inversión en tecnología y fallas para alinear los objetivos de negocio, con entre otros aspectos. Otros riesgos incluyen la falla o interrupción de los sistemas, la recuperación inadecuada de desastres y/o la continuidad de los planes de negocio.

Eventos Externos
Posibilidad de pérdidas derivadas de la ocurrencia de eventos ajenos al control de la empresa que pueden alterar el desarrollo de sus actividades, afectando a los procesos internos, personas y tecnología de información. Entre otros factores, se podrán tomar en consideración los riesgos que implican las contingencias legales, las fallas en los servicios públicos, la ocurrencia de desastres naturales, atentados y actos delictivos, así como las fallas en servicios críticos provistos por terceros. Otros riesgos asociados con eventos externos incluyen: el rápido paso de cambio en las leyes, regulaciones o guías, así como el riesgo político o del país

Eventos del Riesgo Operativo
En  Basilea II se ha establecido igualmente una tipología de riesgos operacionales a partir de categorías de "eventos de pérdidas", que damos a continuación:

Fraude interno el ejemplo es el empleado con acceso a la contabilidad que logra sustraer importantes sumas de dinero, o el que al interior de un banco hace aprobar expedientes crediticios con clientes "fantasma"
Fraude externo: un ejemplo conocido es el que se puede sufrir a través de la clonación de tarjetas por terceros. El affaire Enron también tenía características de este tipo, pues muchos inversionistas fueron engañados por la "creatividad contable" de Enron; el valor de sus acciones no era real

Relación y seguridad laboral: podemos tener así las pérdidas ligadas a la huelgas o los accidentes que se pueden producir con el personal en las fábricas o en las minas por no haberles dado todos los implementos de protección

Los eventos ligados a los clientes, productos y prácticas empresariales: el ejemplo son las malas prácticas en las ventas a los clientes, como el no darles toda la información sobre lo que se les está vendiendo, lo que puede ser incluso hecho con traición; de eso se ha acusado en EE.UU. a varios bancos de inversión (venta de "papeles tóxicos")
Los daños a activos materiales : son aquellos daños producidos por eventos naturales (como las inundaciones, terremotos o tsunamis), siendo un buen ejemplo la destrucción de muchas fábricas de componentes automotores en el Japón o provocados, como lo fue el ataque a las Torres Gemelas el 11/09/2001, o más simplemente aquellos derivados de disturbios, que se traducen por destrucción e incendios de tiendas y locales administrativos, o los debidos a accidentes, como la explosión de una plataforma petrolera.

La interrupción del negocio y fallas en los sistemas: lo que se produce por ejemplo en caso de apagones, o porque hay fallas en los sistemas informáticos; todos hemos experimentado las situaciones en que "no hay sistema" y un banco puede así quedarse horas sin poder distribuir efectivo en sus cajeros; o piensen lo que le pasó a R.I.M., creador del Blackberry cuando se interrumpió su servicio por un tiempo largo por fallas en sus servidores.

Los eventos ligados a la ejecución, entrega y gestión de procesos, como pueden serlo errores que provocan pérdidas de cheques en un banco, o de correspondencia en una empresa de "courrier", el no respeto de los plazos de entrega de mercaderías, los errores de codificación que pueden producir errores de facturación y hasta generar impagos artificiales, lo que provoca múltiples reclamaciones. En un hospital, sería una operación mal efectuada, por ejemplo.

Es una tipología considerada como clásica, pero que puede ser difícil de aplicar tal cual en algunos casos, pues en realidad puede haber combinación de varios tipos de eventos, como en el caso de las catástrofes ambientales, donde pueden coexistir los daños a activos materiales con malas prácticas empresariales, fallas en los sistemas y una mala gestión de procesos; o el caso de edificios destruidos por un terremoto donde un factor contribuyente es el fraude externo (estafa en la calidad de los materiales utilizados, tal como varillas demasiado delgadas).



Clasificación de eventos de Riesgo Operacional
Un evento de Riesgo operacional es un conjunto de incidentes o situaciones de Riesgos que ocurren en un lugar determinado. Por ejemplo, el robo a la agencia de una entidad financiera  (evento) tiene varios incidentes (robo de dinero, robo de un equipo de computación, daño físico a la puerta de ingreso a la agencia, etc.).
Los eventos del Riesgo Operacional pueden clasificarse en una de las siguientes categorías:
ü  Genera pérdidas y afecta el estado de resultados de la entidad. Por ejemplo, el robo a la agencia de una entidad financiera.
ü  Genera pérdidas y no afecta el estado de resultados de la entidad. Por ejemplo, la imposibilidad de atender a los clientes por problemas con el sistema.
ü  No genera pérdidas y por lo tanto no afecta el estado de resultados de la entidad. Por ejemplo, el guardia de seguridad encuentra que la bóveda está abierta, no obstante, se confirma que no hubo robo.
Factores de Riesgo Operacional


Los procesos, sistemas, equipos técnicos, recursos humanos y hechos externos son factores de Riesgo Operacional, es decir, fuentes generadoras de riesgo que pueden o no provocar pérdidas:
ü  Los procesos son el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios.
ü  Los sistemas y equipos técnicos (la tecnología) son las herramientas empleadas para soportar los procesos de la entidad (software, hardware y telecomunicaciones).
ü  Los recursos humanos son las personas vinculadas directa o indirectamente con la ejecución de los procesos de una entidad financiera.
ü  Los hechos o acontecimientos externos son aquellos sobre los cuales la entidad no tiene control, por ejemplo, desastres naturales, actos terroristas, etc.

El riesgo Operacional posee un  universo amplio, lo que lo vuelve a veces difícil de entender  
Es difícil de identificar: puede haber una maraña de causas, de eventos y de efectos, y a veces hay  problemas para distinguirlo del riesgo de crédito y del riesgo de mercado, lo que se llama riesgos fronterizos; ejemplo : si hay pérdidas por una garantía mal tomada ¿es por riesgo de crédito o por riesgo operacional ?
Es difícil de medir, por la existencia de pérdidas atípicas, la coexistencia de pérdidas directas e indirectas, y a menudo por la insuficiencia de data histórica 
Es difícil de vigilar y de controlar: puede haber una coexistencia de causas internas y externas y la frecuencia y la severidad de las pérdidas son muy variables 

El riesgo operacional no incluye al riesgo reputaciones y riesgo estratégico, que es un riesgo multifacético ligado a decisiones estratégicas de la empresa y a su entorno de negocios. Pero entonces, ¿qué incluye el riesgo operacional? 
Se dice que incluye al riesgo legal, aquél que puede derivar de contratos mal hechos.

CAPITULO II
Gestión de riesgo operacional



Como principio general, las entidades financieras deben contar con una estrategia aprobada por el Directorio estableciendo principios para la identificación, medición, control, monitoreo y mitigación del riesgo operativo.
Las estrategias y políticas deberían ser implementadas por la Función de Gestión de Riesgo, responsable de identificar y gestionar todos los riesgos. La Función de Gestión de Riesgo puede incluir sub-unidades especializadas por riesgos específicos. Las entidades financieras deberían desarrollar su propio enfoque y metodología para la gestión de riesgos, de acuerdo con su objeto social, tamaño, naturaleza y complejidad de operaciones y otras características. La implementación del sistema de gestión de riesgo operativo debería considerar todas las etapas de gestión de riesgo, incluyendo la identificación, evaluación, medición, monitoreo y control.
Identificación
La identificación efectiva del riesgo considera tanto los factores internos como externos que podrían afectar adversamente el logro de los objetivos institucionales.
Evaluación
Para todos los riesgos operativos materiales que han sido identificados, la entidad debería decidir si usa procedimientos apropiados de control y/o mitigación de los riesgos o asumirlos. Para aquellos riesgos que no pueden ser controlados, el banco debería decidir si los acepta, reduce el nivel de actividad del negocio expuesta o se retira de esta actividad completamente. Todos los riesgos materiales deberían ser evaluados por probabilidad de ocurrencia e impacto a la medición de la vulnerabilidad de la entidad a este riesgo. Los riesgos pueden ser aceptados, mitigados o evitados de una manera consistente con la estrategia y el apetito al riesgo institucional. Cuando sea posible, la entidad debería usar controles internos apropiados u otras estrategias de mitigación, como los seguros.

Medición
Las entidades financieras deberían estimar el riesgo inherente en todas sus actividades, productos, áreas particulares o conjuntos de actividades o portafolios, usando técnicas cualitativas basadas en análisis expertos, técnicas cuantitativas que estiman el potencial de pérdidas operativas a un nivel de confianza dado o una combinación de ambos.
Monitoreo
Un proceso efectivo de monitoreo es esencial para una gestión adecuada del riesgo operativo. Un monitoreo regular de las actividades puede ofrecer la ventaja de detectar rápidamente y corregir deficiencias en las políticas, procesos y procedimientos de gestión del riesgo operativo. El monitoreo regular también fomenta la identificación temprana de cambios materiales en el perfil de riesgo, así como la aparición de nuevos riesgos. El alcance de las actividades de monitoreo incluye todos los aspectos de la gestión del riesgo operativo en un ciclo de vida consistente con la naturaleza de sus riesgos y el volumen, tamaño y complejidad de las  operaciones.
Control
Después de identificar y medir los riesgos a los que está expuesta, la entidad financiera debería concentrarse en la calidad de la estructura de control interno. El control del riesgo operativo puede ser conducido como una parte integral de las operaciones o a través de evaluaciones periódicas separadas, o ambos. Todas las deficiencias o desviaciones deben ser reportadas a la gerencia.

Reporte
Debe existir un reporte regular de la información pertinente a la alta gerencia, al directorio, al personal y a partes externas interesadas, como clientes, proveedores, reguladores y accionistas. El reporte puede incluir información interna y externa, así como información financiera y operativa.



CAPITULO III
Acuerdo de Capital (Basilea II)

  
¿Qué es el Riesgo operacional según Basilea?
El Comité de Basilea define al riesgo operacional como al riesgo de pérdidas resultantes de la falta de adecuación o fallas en los procesos internos, de la actuación del personal o de los sistemas o bien aquellas que sean producto de eventos externos.
El riesgo operacional no es un riesgo nuevo; siempre ha estado presente en todo tipo de actividades, y no sólo las financieras, Pero ha tomado una importancia creciente en la razón de los cambios en el entorno y en la administración de los negocios (globalización de los mercados, desarrollo tecnológico, productos cada vez más complejos).

Contempla tres métodos para establecer los requerimientos de capital por riesgo operacional u operativo en orden creciente de sofisticación y sensibilidad al riesgo: (i) el método del indicador básico, (ii) el método estándar, (iii) y los métodos de medición avanzada. El Comité de Basilea establece que las entidades de intermediación financiera puedan emplear cada método individualmente o una combinación de cualquiera de ellos para sus distintas actividades. No obstante, para utilizar los métodos estándar y de medición avanzados, deben obtener autorización del supervisor, a partir del cumplimiento de criterios generales, cualitativos y cuantitativos.

Método del Indicador Básico

En el método del indicador básico el requerimiento de capital es equivalente a un porcentaje (15%) del promedio de los tres últimos años de ingreso bruto anual positivo, excluyendo los años en que el ingreso anual haya sido negativo o igual a cero.



Método Estándar


En el método estándar las actividades de las EIF se dividen en ocho líneas de negocio. El requerimiento de capital de cada línea se calcula multiplicando el ingreso bruto anual por un factor, cuyos valores sugeridos por el Comité de Basilea son:


Los ingresos brutos negativos de cualquier línea de negocio pueden ser compensados por los ingresos brutos positivos de las otras líneas de negocio. La exigencia total de capital es igual al promedio de tres años de la suma simple de los requerimientos de capital en cada una de las líneas de negocio de cada año. Opcionalmente, existe un método estándar alternativo, en el que los ingresos brutos de banca comercial y banca minorista se sustituyen por un 3.5% del total de préstamos y anticipos de cada una de estas líneas.



Método de Medición Avanzada (AMA)


El requerimiento de capital en el método AMA es igual a la exposición al riesgo generada por el modelo interno de la EIF para el cálculo del RO. La utilización del AMA está sujeta a la aprobación del supervisor, a partir del cumplimiento de criterios de admisión.


Criterios de Admisión


Para poder utilizar el Método Estándar y el Método AMA, las EIF deben demostrar al supervisor que cumplen con:
Criterios generales: referidos a poseer un sistema de gestión de Riesgo Operacional  conceptualmente sólido y contar con recursos para aplicar las metodologías de gestión de riesgo en las principales líneas de negocio y en los ámbitos de control y auditoria interna. Adicionalmente, asegurar que el Directorio u órgano equivalente y la Alta Gerencia de la EIF participen en la vigilancia del marco de gestión del Riesgo operacional.
El Método AMA, exige además que las entidades financieras satisfagan un conjunto de criterios cualitativos y cuantitativos:
Criterios cualitativos. 
ü  contar con una unidad de gestión de Riesgo operacional.
ü  integrar el sistema de medición interna del RO en los procesos habituales de gestión de riesgos de la Entidades Financieras.
ü  informar periódicamente al Directorio y Alta Gerencia acerca de las exposiciones al RO e historial de pérdidas a este riesgo,
ü  documentar el sistema de gestión de Riesgo operacional
ü  realizar revisiones periódicas del proceso de gestión y sistemas de medición del Riesgo operacional


Criterios cuantitativos
El Comité de Basilea no especifica supuestos sobre las distribuciones de probabilidad, pero establece que el procedimiento para desarrollar el modelo de Riesgo operacional debe ser riguroso considerando datos externos, datos internos y análisis de escenarios y debe demostrar que se identifican los eventos de pérdidas ubicados en las colas de la distribución de probabilidad. Estos modelos deberían basarse en cinco años de información histórica, no obstante cuando se utilizan por primera vez, pueden basarse sólo en tres años, tiempo que incluye un año de funcionamiento en paralelo.



CAPITULO IX
Evolución del Riesgo Operativo y las Actividades Bancarias








La desregulación y globalización de los servicios financieros, junto con la creciente sofisticación de la tecnología financiera están haciendo las actividades bancarias, y en consecuencia, sus perfiles de riesgo cada vez más complejos. Adicionalmente a los riesgos de crédito, de tasa de interés y de mercado, el riesgo operacional puede ser sustantivo y las tendencias de pérdidas parecen indicar que se está incrementando. Como resultado, una sólida gestión del riesgo operativo es cada vez más importante para bancos y supervisores, con riesgos operativos emergiendo en un número de áreas críticas, tales como las siguientes:
ü  Mayor uso de tecnología automatizada (riesgos derivados de la automatización de procesos manuales, errores de procesamiento y riesgos de fallas en los sistemas);
ü  Proliferación de productos nuevos y altamente complejos;
ü  Crecimiento de transacciones bancarias electrónicas y aplicaciones de negocios relacionadas;
ü  Adquisiciones de gran escala, fusiones y consolidaciones;
ü  Aparición de bancos que actúan como proveedores de servicios a gran escala;
ü  Desarrollo y uso de técnicas de mitigación de riesgos (garantías, seguros, derivados de crédito, arreglos de neto y titularizaciones); ,
ü  Integración global de servicios financieros. (riesgos de transacciones de pago procesadas en múltiples monedas, crecientes transacciones comerciales, etc.).

El rango de prácticas de negocio y áreas afectadas por los riesgos operacionales debe ser ampliamente considerado y tratado en el desarrollo de la gestión del riesgo operativo de las entidades financieras. 


CAPITULO X  Importancia del Riesgo Operacional
  

¿Por qué es importante  riesgo operativo?
Aunque para muchos este tema va ligado con los escándalos financieros de Enron, su aplicación no es exclusiva de una empresa de la magnitud de las antes mencionadas. Toda actividad realizada en una empresa, sea chica, mediana o grande, tiene ciertos riesgos para las personas que la llevan a cabo, riesgos que pueden ser minimizados o incluso eliminados si se realizan con las medidas de control adecuadas, sin embargo, aun cuando en muchas ocasiones se asume la conveniencia de aplicarlas, no siempre son tenidas en cuenta de forma voluntaria por los individuos que las llevan a cabo.
Las advertencias y recomendaciones de buenas prácticas pueden resultar insuficientes e ineficaces, es por ello que las autoridades toman finalmente la decisión de sustituir dichas recomendaciones por disposiciones de carácter oficial, que aunque no siempre eliminen los riesgos, sí los minimizan y sobre todo concientizan de su existencia. La implicación para todos es muy simple, el entorno ha cambiado, la supervivencia de las organizaciones en un mundo globalizado y altamente competitivo nos obliga a mejorar nuestro desempeño y la buena gestión del riesgo se ha tornado en una decisiva ventaja competitiva; así mismo, las empresas deben de utilizar sus procesos para estar mejor preparadas y ser más transparentes. Para que una organización cumpla objetivos y metas, es necesario que los sistemas y subsistemas que la componen funcionen en armonía y de manera eficiente. Cuando se presenta alguna de las siguientes situaciones, se puede decir que se está incurriendo en un riesgo operativo que puede originar pérdidas a la entidad, así como un aumento de costos y gastos:
- Incumplimiento de normas y procedimientos para la ejecución de un proceso
- Falta de documentación de procesos
- Falta de confidencialidad de la información
- Fallas en los procedimientos por errores humanos
A diferencia de otras prácticas o riesgos, el riesgo operativo no sólo se puede erradicar, sino que es intrínseco al propio negocio, por lo que, voluntariamente o no, se debe de aprender a vivir con él. Pero aunque sea un mal necesario, lo que no se puede o no se debe de hacer si se quiere garantizar la supervivencia de las entidades, es ignorar sus efectos o menospreciar su importancia, asumiendo que es imposible evitar sus consecuencias. Por lo tanto el presente trabajo tiene la intención de mostrar un breve panorama de lo que es el riesgo operativo, algunos de sus elementos y sus repercusiones al no prestarle la atención que merece debido a su importancia, así como también, se abordan cuestionamientos de gran utilidad, que sirven como una guía para determinar si se está teniendo o no, un control adecuado en la organización.




Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)