6,4 El riesgo operativo 6.4.1.- Introducción

6,4 El riesgo operativo

6.4.1.- Introducción

El riesgo es uno de los elementos característicos de la actividad bancaria. Si en todos los negocios el afrontar el riesgo es una de las características que vienen definiendo la propia actividad e incluso el papel del empresario (recuérdese cómo desde Cantillón o Knigth, hasta los momentos presentes, muchas veces se ha identificado la labor empresarial con la asunción de riesgos) en el caso de la banca se trata de un elemento paradigmático.

Los bancos han aprendido a convivir con el riesgo, tanto el riesgo propio como el derivado de operaciones encargadas por terceros. Primero, se trató de dos de los más genuinos riesgos, que eran: la defensa de los depósitos de los clientes y por tanto la necesidad en el caso de invertir aquéllos, de hacerlo de la mejor forma posible, y segundo, el denominado de forma genérica y conectado con el anterior riesgo de crédito, esto es, la posibilidad de que el capital prestado no le fuera reembolsado al banco.

Progresivamente, las distintas instituciones financieras han aprendido por una parte a afrontar mejor estos riesgos, mediante controles de tipo preventivo y una mejor elección de los posibles destinos de sus fondos, y en segundo lugar, en momentos más recientes, mediante la transferencia del riesgo a otro tipo de agentes económicos. Así por ejemplo el aseguramiento de las operaciones o la cobertura de determinadas operaciones con otras de tipo contrario han permitido ir afrontando con una mayor seguridad todo tipo de operaciones.

Podría decirse que en el mundo actual en el que la ingeniería financiera hace que en numerosas ocasiones los bancos se enfrenten a eventos sumamente complicados, aleatorios e inesperados, lo hagan con la certeza de que los riesgos en los que se incurre en función de las operaciones están si no controlados sí al menos calculados y se es capaz de afrontar la pérdida que pudiera sobrevenir.

Pero junto al denominado riesgo de crédito al que nos venimos refiriendo y al de tipo de interés, esto es, a variaciones en los tipos activos y pasivos así como a otro tipo de riesgos que genéricamente denominaríamos junto con el de interés “riesgos de los mercados”, aparece un tercer tipo que denominaríamos riesgo operativo (operational risk). Junto con los denominados riesgo de crédito y riesgo de mercado, tendríamos este riesgo operativo o de negocio que pudiera definirse como “el riesgo de pérdida directa o indirecta que pudiera ser causada por una insuficiencia o un fallo de los procesos, de las personas, y de los sistemas internos o por un acontecimiento externo”.

La definición anterior incluye determinados riesgos como el legal y no otros como el denominado estratégico o el de reputación que también escapan al ámbito de los anteriormente denominados riesgo de mercado y riesgo de crédito. Pero en cualquier caso conforman junto con los anteriores el grupo de riesgos que las distintas instituciones encargadas del control y de la supervisión bancaria y de alguna manera representadas en el BIS (Banco Internacional de Pagos de Basilea) han venido en ser regulados y para los que se reclama un determinado volumen de capital que asegure la solvencia y la posibilidad de hacer frente a los mismos.

En términos generales, pudiéramos decir que riesgo es el potencial existente de que algún evento pueda hacer variar los resultados esperados o pueda incluso hacer que incurramos en pérdidas.

Mientras que los ya descritos, riesgo de mercado o riesgo de crédito, son claros en su expresión y en lo que abarcan, existe toda otra gran gama de riesgos que proceden de la propia operativa de las entidades, de sus procesos, y que por lo tanto son más difíciles de definir y categorizar dada su heterogeneidad.

Englobaríamos aquí desde el fraude por parte de empleados o de clientes a los fallos en controles internos o externos, los fallos en las tecnologías o en el manejo de las mismas e incluso su mala gestión y otro sinfín de posibilidades derivadas del día a día.

Pudiera pensarse que los riesgos operativos que, por otra parte, existen en cualquier tipo de negocio, deben de ser los más controlados y los más conocidos, un negocio además tan antiguo como la banca en el que se viene trabajando desde el comienzo de la vida en sociedad del ser humano, debe de conocer perfectamente el tipo de actividad que se está desarrollando y por ende la forma de controlar que se haga de la forma más adecuada. Si a esto sumamos el desarrollo de las técnicas gerenciales en general, de las técnicas de control y auditoria, y en el caso de la banca la superregulación (en opinión de algunos excesiva) a la que el negocio está sometida, difícilmente pudiera pensarse que el riesgo en los procesos y el riesgo en las operaciones, derivado de mala gestión, pudiera ser desencadenante o determinante de factores de pérdidas realmente importantes.

Cabría en, función de lo anterior, pensar que se trata de una exageración el equiparar la importancia de riesgos como las variaciones en los mercados de los tipos de interés a las posibilidades, que pudieran considerarse remotas, de fallos en los sistemas telemáticos o de errores en el proceso. Sin embargo, la realidad y los hechos nos hacen ver que el día a día demuestra cómo algunos de los mayores fracasos en el mundo de las entidades financieras han venido de la mano de errores operativos.

Quizás, los gestores de las entidades financieras muy preocupados por controlar sus riesgos típicos, esto es, inicialmente el riesgo de crédito, la solvencia y la liquidez, y posteriormente el riesgo de tipos de interés, han abandonado estos otros elementos más concretos, más cotidianos y en principio que pudieran ser considerados menores. Sirva el presente ejemplo como elemento al respecto, así suele citarse como el ejemplo más importante de pérdidas por riesgos operativos el sucedido en 1995 en el Barings Brothers una de las instituciones más emblemáticas de el reino Unido, en la que las operaciones sin control de su operador en Singapur, el tristemente famoso Nick Lesson, llevo a la institución a la pérdida de la misma (hoy integrada en el ING Bank). En idéntico sentido la introduccion de las nuevas tecnologias demasiado apresuradamente o de los nuevos y cada vez mas sofidticados productos, sin una adecuada preparacion del personal y unas pruebas piloto efectivas, en

numerosas ocasiones, al final ha sido consecuencia de importantes fracasos.

Fracasos que por otra parte las entidades silencian pues la imagen y la confianza de los clientes son elementos básicos del negocio bancario, pero que en el mejor de los casos han servido para canibalizar otros productos de la misma entidad y en el peor han sido consecuencias de importantes fracasos.

Pueden señalarse en este punto, operaciones por Internet que han derivado en la desaparición de operaciones tradicionales o en aventuras a elevados tipos de interés en las que cuanto mayor ha sido la cantidad contratada mayor ha sido la pérdida y desde luego no se ha podido consolidar en el futuro.

Ejemplos de pérdidas por riesgos operativos

Institución Actividad Año

Pérdida en mill. $ Daiwa Bank, New York Venta sin autorización de bonos a causa de controles

deficientes

1984-95 1.100

Sumitomo Corp. London Comercio sin autorización con cobre, fraude y falsificación 1986-96 1.700 Seguros de vida en UK Pensiones mal vendidas y falta de conformidad 1988-94 18.000

Standard Chartered, India Irregularidades en el Bombay Stock Exchange 1992 400

Credit Lyonnais Deficiente control de préstamos 1980s-1990s 29.000

Bancos USA Fraude en cheques 1993 12.000

London Stock Exchange y socios

Sistema Taurus de cancelación 1993 700

Kidder Peabody Comercio de bonos, carencia de controles internos 1994 200

Procter & Gamble Ausencia de conocimiento de la dirección 1994 157

Morgan Grenfell Mala representación 1990s 640

Orange County Operaciones con bonos, descuido y falta de gestión 1994 1.700 Barings, Singapore Control inadecuado del trading con futuros 1995 1.600

DB (Morgan Grenfell), Londres Autoridad afuera 1996 600

Ebay Casa de subastas por Internet, fallos en la tecnología 1999 5.000

6.4.2.- Causas del interés actual

Todo lo anterior nos hace pensar en cómo el riesgo operativo de negocio ha pasado a jugar un papel preeminente en los campos de atención de los gestores de las entidades financieras. Además, también las autoridades supervisoras y como representante de las ideas de las mismas, el comité de supervisión bancaria del BIS han acordado entrar a regular este tema. Las causas del interés de su gestión son numerosas, quizás las 6 más importantes serían:

1) La importancia cuantitativa de estos riesgos (recuérdese el cuadro anterior).

2) La dificultad de transferencia y agregación de estos riesgos que a diferencia de otros como pudieran ser el de interés e incluso el de crédito pueden ser asegurados o transferidos, en este caso la enorme multiplicidad de los mismos y diversidad hace imposible incluso los sistemas de aseguramiento.

3) Las adquisiciones y fusiones, así como los movimientos de los recursos, hacen cada vez más complejo el manejo de fondos.

4) Las presiones regulatorias también están jugando un papel importante a la hora de repensarse las cuestiones relativas al riesgo en los procesos y si a esto sumamos,

5) Los nuevos productos y servicios cada vez más complejos, cada vez en evolución más rápida y cada vez menos conocidos tanto por el público como por las personas que trabajan en el sector tendremos un panorama bastante completo.

6) Este panorama no estaría completo sin citar el proceso de integración y asimilación de lo que denominaríamos “best practices”, esto es, ese papel de imitación de aquellas entidades que van siendo capaces de controlar en alguna medida los riesgos vinculados a sus procesos, a sus operaciones, en definitiva a su negocio.

Resulta difícil definir el riesgo operativo, y ya podemos anticipar que si resulta difícil definirlo en términos generales, esto es, desde una definición no como la que se esbozaba al principio, sino de descripción de los posibles riesgos que

se engloba bajo ese concepto genérico de riesgo operativo, mucho más lo es el poder hablar de las causas del mismo. A estos efectos lo que si puede hacerse, basándose en la experiencia, es hablar de grandes grupos de causas generadoras de riesgos operativos asociándola siempre a cambios que se vienen produciendo, así hablaremos de al menos cinco apartados

:

1) los cambios tecnológicos;

2) los cambios técnicos;

3) los cambios en los mercados;

4) los cambios en los productos,y ; 5) los cambios inesperados

Las operaciones que se realizaban hace apenas pocos años estaban fuertemente limitadas por problemas tales como la velocidad de transmisión de datos, así como por la imposibilidad de consultar on line acerca de determinadas cuestiones, lo que ha dado también lugar a numerosos casos de errores en los procesos que son inevitables y consustanciales con la propia forma de operar. El aumento en la velocidad de transmisión y la comunicación on line ha permitido superar algunos de aquellos problemas, pero ha incorporado otros derivados, precisamente, del aumento de la velocidad que impide las consultas previas en ocasiones.

Los cambios en el hardware y en el software están abaratando los costes de las transacciones y haciéndolas mas seguras, pero junto a esas innegables ventajas, precisamente por la facilidad y accesibilidad, se está multiplicando de forma exponencial el número de operaciones realizadas cada día, con la consiguiente posibilidad de fallos en cada una de ellas y la dificultad de controlarlas. El almacenamiento de la información a tales efectos es sumamente costoso y los fallos en el mismo pueden dar lugar a pérdidas muy costosas.

Por otra parte, las nuevas tecnologías además de costosas, y de su rápido proceso de obsolescencia, requieren un exacto conocimiento por parte de los operadores (que por otra parte hoy son la mayoría delos empleados del sector)

de los procesos y procedimientos a seguir, y unas aplicaciones flexibles pero también lo mas seguras posibles.

Cambian también constantemente el hardware y el software relacionados con la banca, esto implica que tanto los usuarios de los distintos sistemas como incluso los responsables de los departamentos de informática, cada vez tienen mayores problemas derivados de que las diversas técnicas analíticas llevan consustancialmente una serie de riesgos asociados a las mismas.

Tanto el mundo académico como las propias instituciones crediticias desarrollan día a día nuevos procedimientos y técnicas de análisis que son profusamente aplicadas por las entidades. Así por ejemplo la sofisticación de los métodos de análisis de operaciones permite ampliar el número de variables contempladas realizar predicciones basadas en mucha mas información. Sin embargo el manejo de las nuevas técnicas analíticas lleva asociados riesgos inherentes al inadecuadol manejo de las mismas.

También los mercados nos han llevado nuevos riesgos de tipo operativo, la desregulación, la globalización, la desintermediación y las nuevas formas de supervisión han obligado a los bancos a acomodarse y sobre todo a hacer frente a unos riesgos nuevos que pudiéramos llamar riesgos de las operaciones globales. Si decíamos anteriormente que el aumento en el número de transacciones, independientemente de las diferencias que pudieran producirse en costes, tenían anejos problemas de almacenamiento, de uso de tecnologías, etc., también el aumento por vía de la globalización lleva anejos riesgos de tipo operativo.

Tendríamos por último los cambios en los productos y los servicios. Estamos en un mercado donde la innovación es la constante de cada día, donde la competencia se acrecienta y no solamente en lo relativo a los tipos de interés o a los productos ofrecidos, sino también en el número de nuevos oferentes de productos bancarios o parabancarios (compañías de seguros, financieras, grandes almacenes, etc.) y también en el tipo de productos ofrecidos por la banca que ha entrado desde la venta de localidades para espectáculos a la

venta de productos de consumo, escudada en la financiación de los mismos.

Todo ello está llevando a unos riesgos cada vez más complejos, pero es que además los productos son tan efímeros y los servicios que se ofrecen cambian de un día para otro que la propia volatilidad de los mismos hace que lo que hoy es válido no lo sea mañana y buena prueba de ello es como muchos de nosotros hemos podido comprobar cómo al dirigirnos a la oficina bancaria con la que habitualmente trabajamos y preguntarles por un determinado producto o servicio de su entidad nos hemos encontrado con la cara de perplejidad del empleado que desconocía aquello que nosotros habíamos visto ofertado en televisión, Internet o en un periódico.

El día a día avanza mucho más rápidamente que la posibilidad de formar al personal de las entidades en un perfecto conocimiento de los productos y en un argumentario de ventas acorde con aquellos. Además el deseo de ofrecer siempre lo último y estar en la “vanguardia” puede plantear problemas derivados del mal conocimiento y de la falta de experiencia en el conocimiento y manejo del producto o servicio ofertado.

En el mismo sentido hay que referirse a cómo el aumento, tanto del número deservicios y productos ofertados, como de las transacciones en general, unido a la velocidad de los procesos amplia el espectro de posibles fallos como mera probabilidad estadística de erro, fraude o fallo del sistema.

En el cuadro siguiente pueden observarse algunos de los cambios en el negocio bancario producido en las últimas décadas. Vemos cómo las tecnologías, eventos que han venido a suceder los mercados y sus cambios, los cambios en los productos y los servicios, o los cambios en las técnicas, han llevado a formas muy diferentes de operar y a riesgos muy diferentes según estemos hablando de los años 70, los 80, los 90 ó del nuevo siglo.

1970s 1980s 1990s 2000s Mercados Inc. Inflación

Desc. Margen Tipos variables

Desregulación Desintermediación Desc. Tipos

UEM

Inc. Competencia Productos Inc. Tarjetas

Futuros

Tipos variables ATMs

Inc. Ing. Financiera

Risk Metricks VAR

Inc. B. Telefónica

E. Commerce E. Banking Dinero Dig.

Técnicas T. Carteras T. Agencia T. Opciones Credit Risk

Opciones aplicadas al riesgo de mercado

Opciones exóticas Integrated Financ. Risk

Riesgo operativo Organización Virtual

Tecnologías Mainframe Calculadoras

PCs Fax Internet

Redes

Data Warehouse Web

Inc. Op. por pantalla

Asist. Virtual

Eventos Embargo OPEP Lunes negro caída URSS Crisis mercados Catástrofes naturales

¿?

TECNOLOGÍA VELOCIDAD INTERCONEXIÓN GLOBALIZACIÓN Algunos cambios en el negocio bancario

6.4.3.- Razones de su existencia y proceso de análisis

El riesgo operativo existe por una serie de razones que quizás sí podemos sintetizar. Así cabe hablar de 1) errores humanos; 2) fraudes internos o externos; 3) fallos en las técnicas y tecnologías; 4) procedimientos productivos inadecuados y 5) falta de elementos de control o controles pobres.

En realidad todo ello nos lleva a pensar que existen una serie de riesgos consustanciales con toda actividad que en el caso de la banca son amplios y que no pudiendo ser determinados exactamente, son de difícil control. Una mayor detalle nos llevaría a pensar en que hay riesgos controlables, siempre pensando en riesgos de carácter operativo, otros que lo son parcialmente, y por último, algunos incontrolables. Así, mientras que entre los últimos estarían los desastres naturales o la posición competitiva que ocupamos, serían parcialmente controlables el manejo del apalancamiento operativo o el tamaño de las operaciones y plenamente controlables el volumen y diversidad de los negocios o la velocidad y número de canales ...

Un correcto análisis de éste tipo de riesgos, como de los demás, implica un sistema procedimental en el que se contemplen, al menos, las siguientes fases:

1. Definir los objetivos perseguidos y el enfoque a adoptar.

2. Identificar los riesgos considerados críticos.

3. Medir y estimar la cuantía, frecuencia, etc. De los mismos.

4. Analizar cada riesgo según su tipo.

5. Implementar acciones de gestión, y;

6. Monitorizar el proceso y producir informes capaces de ayudar a evitación, mitigación y gestión de aquellos.

.

Riesgos controlables

Controlables Parcialmente Incontrolables

 Desarrollo de productos

 Velocidad del proceso

 Velocidad y número de canales de distribución

 Volumen y diversidad de negocios

 Políticas de riesgos

 Errores de procedimiento

 Calidad del servicio al cliente

 Apalancamiento operativo

 Complejidad de los productos

 Infraestructura

 Tamaño de las operaciones

 Nivel de automatización

 Volatilidad del mercado

 Rendimiento económico

 Posición competitiva

 Regulación

 Demandas de los clientes

 Desastres naturales

4.4.4.- El control del riesgo operativo

Vistos los tipos de riesgos que existen y visto lo que el riesgo operativo conlleva, llega ahora el momento de pensar en cómo controlarlo. Habría que distinguir aquí entre la posición de los bancos y la posición de los supervisores.

En el primero de los casos, cualquier entidad nos diría cómo está interesada en el control de sus procesos, cómo quiere minimizar el riesgo de fallos en los mismos, y cómo en ese sentido procura depurar sus procedimientos de actuación, establecer un control tanto preventivo como de supervisión y los consiguientes mecanismos de respuesta a los posibles fallos, para hacer frente a los errores en el sistema. La realidad es que estos métodos internos avanzan de forma notable

No es extraño oír hablar hoy en día de cómo ante riesgos derivados de lo que se pudiera originar un fallo (voluntario o involuntario) de un operador de una mesa de tesorería se establecen sistemas de detección y alarma inmediata.

Así, cuando las diferencias entre los tipos a los que está contratando en el mercado on line, y por tanto sin posibilidades de poder preguntar acerca de la toma de cada decisión, repetimos, cuando se detectan variaciones de un determinado rango de forma más o menos continuada so de cuantía importante, se establecen mecanismos de alarma como pueden ser incluso el aparecer un destello o un piloto en la pantalla que advierten al operador de lo que está sucediendo y al supervisor de la necesidad de intervenir.

Por parte de las autoridades supervisoras, el interés por controlar los riesgos operativos es claro, la necesidad de asegurar la solvencia del sistema pasa por el control de la posibilidad cuanto menor mejor de que los riesgos derivados en este caso de fallos en los procedimientos en las personas o en las técnicas sean asumibles por las entidades. En este caso la respuesta es clara:

incrementar los volúmenes de fondos propios y por tanto de solvencia que se les piden a las entidades. En definitiva el razonamiento es simple “si exigimos a los bancos una mayor solvencia acreditada a través de un mayor volumen de

recursos propios podrán sin duda hacer frente mejor a posibles fallos bien de carácter operativo o de cualquier otro que se les produzcan que si su solvencia y por tanto capacidad de respuesta financiera es menor”.

La diferencia de planteamientos sin duda será clara, mientras las entidades buscarán procedimientos de control que consigan de una forma eficiente mejorar la gestión de sus procesos y por tanto minimizar las pérdidas por fallos operativos, las entidades supervisoras buscarán un control basado no en la eficiencia sino en la exigencia de mayor capacidad de respuesta vía recursos propios lo que sin duda mermará la competitividad de las entidades, su rentabilidad y en definitiva no será aceptado de tan buen grado.

Hemos visto cuáles son los riesgos, hemos hablado de cómo son difíciles de poder describir al menos en su totalidad, y hemos visto cómo los cambios en el negocio han hecho que éstos se acrecienten y que sean merecedores de una mayor atención y de una regulación. Llega ahora el momento de pensar en cómo afrontarlos. Tratando de aunar posiciones tanto de los bancos directamente afectados como de las autoridades reguladoras, el banco internacional de pagos de Basilea a través del Comité de Supervisión Bancaria y más concretamente a través del nuevo acuerdo de capital, ha venido a referirse a este tema del riesgo operativo y hablarnos de al menos tres métodos para tratar de afrontarlo.

Se trata del denominado método del indicador básico; del método llamado estándar y por último, del método de medición interna. Estas tres metodologías de medición pueden utilizarse tanto por autoridades regulatorias como por las entidades, pero en cualquier caso están encaminadas a calcular las exigencias de capital por riesgo operativo. En orden a la creciente sofisticación y sensibilidad del riesgo se está estudiando la posibilidad de contar en un futuro con un método basado en la distribución de pérdidas, según el cual cada banco determinaría su función de distribución de pérdidas, actividades comerciales y tipos de riesgo.

Antes de seguir adelante conviene precisar que, así como el riesgo de crédito lo conocemos y sabemos que en función de la ley de los grandes números se puede cifrar en un determinado porcentaje de morosidad o de fallidos y por tanto actuar sobre estas cifras calculadas mediante el establecimiento no sólo de volúmenes de capital sino también la creación de provisiones, otros riesgos como el de tipos de interés presentan mayores dificultades derivadas de la posibilidad de que la incertidumbre pueda mover a aquél tanto en sentido positivo como negativo. En definitiva, mientras que el primer riesgo, el riesgo de crédito, es objetivable y puede pensarse que una afirmación como que “todos los bancos tienen morosidad y por tanto deben establecer provisiones al respecto, en el caso del riesgo de interés no sería tan general y al menos la cuantía de ese riesgo pudiera ser estimada como diferente por diferentes agentes en el mercado. Se habla entonces de cómo las técnicas para medirlos no pueden ser objetivadas y así métodos como el value at risk (VaR)” o el raroc o el stress testing no pueden ser compartidos por todas las entidades y cómo las autoridades regulatorias han preferido pensar que cada entidad puede elegir un método y ser posteriormente supervisada por el mismo de forma que se demuestre su congruencia con el método elegido.

En el caso del riesgo operativo estaríamos ante un caso, si no intermedio al menos que tiene parte de los dos anteriores. Así, riesgos operativos corren todos los bancos pero no puede decirse que los riesgos operativos sean iguales en todos ellos, entre otras cosas porque factores como el grado de desarrollo o el tamaño de los bancos y todo ello unido a la tecnología usada o a la formación de su personal o a los controles preventivos pueden hacer que el volumen de riesgo realmente asumido sea muy diferente. Por otra parte también aquí puede pensarse que la elección de un determinado procedimiento y la demostración de la actuación congruente con el mismo y posteriormente plasmada en un bajo volumen de fallos puede ser perfectamente asumido por la autoridad regulatoria y elegido por los agentes actuantes.

Quizás lo expuesto en el párrafo anterior no es excesivamente claro pero un ejemplo puede ayudar al respecto. Supongamos tres bancos de diferentes características, uno de ellos pequeño, otro mediano y otro de gran tamaño.

Mientras que el primero puede perfectamente suponerse a efectos de este ejemplo que se trata de una entidad conservadora y con métodos caducos o cuando menos arcaicos, la segunda estaría en un estadio intermedio y la tercera operaría en numerosos mercados con productos sumamente sofisticados y con una postura mucho más agresiva hacia las posibilidades de conquista de nuevos mercados y por ende de mayores resultados. Difícilmente podría pensarse que los tres pensarían lo mismo acerca de una posible regulación por parte de la autoridad de su riesgo operativo. Eso sí, los tres coincidirían en que la fijación de mayores exigencias de capital para hacer frente a posibles riesgos no sería el método elegido por todas ellas. Mayores o menores conocedores de sus posibilidades, de su historia y experiencia y de los posibles riesgos en los que se estaban incurriendo cada una de ellas pensará que es capaz de hacer frente a los riesgos mediante determinadas técnicas o controles que no tienen necesariamente que pasar por un mayor capital.

Así, mientras que probablemente el primero podía optar en algunos casos por el aseguramiento de determinados procedimientos, por el no entrar en

“aventuras” con nuevas formas de operar o con productos de la denominada ingeniería financiera, los otros dos no estarían de acuerdo con esa política. Es posible incluso que alguno de ellos pudiera asumir que dado el volumen de rentabilidad que en su mercado existiera en su conjunto de mercados, el hacer frente a una determinada cantidad de capital como forma de prevenir riesgos obligada por la autoridad supervisora sería un “peaje” de necesario pago, una tasa que nos permitiría cumplir con la regulación y que por otra parte habría que estudiar en términos de costes y ver en qué forma podíamos repercutirlo sobre nuestro mercado.

Es seguro que la mayor entidad protestaría acerca de una regulación general y esgrimiría argumentos tales como: las operaciones no son todas iguales, los bancos no son todos iguales, hay que hablar de determinadas líneas de actuación, etc. En definitiva, buscaría un tratamiento acorde con las características de cada una de sus actividades, mientras que en algunas estaría pensando lo mismo que el pequeño banco conservador, en otras es

posible que fuese proclive a aceptar una mayor regulación en beneficio propio o incluso a dar mayor información acerca de porqué o cómo se acometían dichas operaciones. Por último, es muy probable que los tres tipos de entidades preferirían a un método genérico impuesto por la autoridad y basado en la exigencia de volúmenes de capital el “autorregularse” y utilizar métodos o metodologías de medición y prevención de los riesgos operativos en base a las cuales se minimizaría la cantidad de recursos adicionales necesaria para completar ese determinado coeficiente de solvencia adicional y sobre todo daría lugar a mejoras en el propio procedimiento individualizado de control de ese negocio que nadie conoce mejor que cada uno de ellos. La autoridad monetaria consciente de estas diferencias de sensibilidades y de las posibilidades de mejora en los procedimientos de control preventivos de las entidades, ha optado por admitir la posibilidad de que la medición interna sea reconocida como una forma de controlar el riesgo operativo y sobre todo que una vez contrastada con los fallos realmente producidos permitiera rebajar los costes para las entidades. De alguna forma estaríamos hablando de un método similar a aquellos tipos de pólizas de seguros en que si no se producen fallos que el sistema tiene que hacer frente se establecen bonificaciones e incluso devoluciones parciales o totales de las primas satisfechas.

Riesgos y coberturas

Perdidas esperadas +Perdidas inesperadas Perdidas catastróficas

Probabilidad de

pérdidas

Magnitud de las pérdidas PROVISIONES

CAPITAL OPERATIVO

CAPITAL BASE

6.4.5.- La regulación del BIS

La regulación del BIS se basa en los denominados tres pilares de control del riesgo. Sería el primero de ellos la necesidad de fijación del capital mínimo requerido, el segundo la necesidad de supervisión de las entidades y el tercero la necesidad de una disciplina de mercado. El riesgo operativo dentro de ese marco es entendido como algo que debe cubrirse con incrementos de la solvencia, lo que a su vez implica unos requerimientos de capital mínimo mayor y también sobre la base de que su existencia genera necesidades de recursos y de costes, lo cual debe obligar a las entidades a la búsqueda del equilibrio y de la eficiencia.

El concepto de riesgo operativo Las causas de su existencia

 Errores humanos

 Fraudes internos o externos)

 Fallos en la tecnología

 Procedimientos productivos inadecuados

 Controles inadecuados

Riesgo de que las deficiencias en los sistemas de control interno o en los procedimientos en general produzcan una pérdida o variación negativa en el resultado (control preventivo)

En realidad, tal y como se muestra en el gráfico anterior, las pérdidas en una entidad de crédito al igual que en cualquier otro tipo de empresa, pueden clasificarse en tres grandes grupos en función de que sean pérdidas esperadas, pérdidas inesperadas o por último pérdidas de carácter catastrófico.

Mientras que las últimas suelen ser las menores, las primeras agrupan el mayor número de probabilidades. Suele también pensarse que éstas, las primeras, pueden cubrirse con provisiones, mientras que las segundas, por lo inesperado de las mismas, así como por el mayor volumen sumado a las anteriores, obliga a pensar en el capital operativo o working capital, como posible forma de asumir los mismos y por último las inesperadas darían lugar a la necesidad de utilizar el capital de base o los recursos propios para pensar en su posible cobertura ante un suceso no esperado. Estaríamos en el primer

caso, esto es en el de las provisiones, aludiendo a la cobertura mediante pérdidas y ganancias de cada uno de los ejercicios relacionando de esta manera beneficio con provisión, en el segundo estaríamos pensando en el balance y por último, en el tercero, estaríamos pensando en el endeudamiento en un sentido amplio, esto es, de la utilización de recursos propios o de terceros que de forma estable se vinculen a las empresas.

El BIS y el Riesgo Operativo Enfoques contemplados

 Enfoque del indicador básico

 Enfoque estandarizado

 Enfoque de la medida interna

 Enfoque de la distribución de pérdidas

“El enfoque del indicador básico consiste en usar un único indicador que suele ser el montante del beneficio bruto”

“ El enfoque estandarizado se basa en el establecimiento de binomios línea de negocio / tipo de riesgo y cálculo del capital requerido mediante la aplicación de un factor para cada indicador y línea”

“El método interno pondera en cada caso y por líneas la exposición, probabilidad, montante y características individuales”

“La distribución de pérdidas estima distribuciones singulares y acumuladas para cada riesgo “

Según el BIS las pérdidas directas o indirectas, los fallos en los procedimientos de las personas, en los sistemas y los eventos inesperados deben cubrirse por uno de estos tres métodos:

a) Uso del indicador básico consistente en la utilización de un indicador único relacionado con el montante del beneficio bruto (así en función de que los beneficios sean mayores o menores se aplica un determinado coeficiente que daría lugar a un determinado porcentaje de incremento del volumen de los recursos propios o del denominado “tier one”.

b) El enfoque denominado estandarizado que se basaría en el establecimiento de binomios o parejas de línea de negocio/tipos de riesgo y cálculo consecuentemente del capital requerido mediante la aplicación de un factor para indicador y cada línea. De este modo estaríamos aplicando determinados baremos en función de la calidad, cantidad, y posibilidad de suceso de cada evento. Y

c) Utilización del método interno que consistiría en la ponderación, en cada caso, y por líneas de exposición, probabilidad, montante y características individuales de cada entidad, ya que en definitiva la distribución de pérdidas estima distribuciones singulares y acumuladas para cada tipo de riesgo.

En la fórmula siguiente tendríamos la forma en la que a través de la medida interna se calcularía el capital requerido, siendo éste lo expresado en la fórmula.

       





j

i





El BIS y el Riesgo Operativo El enfoque de la medida interna

Capital requerido =  i  j (  (ij)*EL(ij)*PE(ij)*LGE(ij))

 Exposición al riesgo de cada binomio (EL)

 Probabilidad del evento (PE)

 Pérdida por el evento (LGE)

 Factor gamma por binomio ()

 I es cada línea de negocio y j cada tipo de riesgo

Algunos proponen corregir cada situación particular con un índice específico de riesgo (RPI)

Se transcribe a continuación el apartado referente al riesgo operativo que fue elaborado por el Comité de Supervisión Bancaria del Banco Internacional de Pagos de Basilea en el documento consultivo denominado “El nuevo acuerdo de capital de Basilea” que fue emitido para consulta por las entidades financieras hasta el pasado 31 de mayo de 2001.

DOCUMENTO CONSULTIVO

“El Nuevo Acuerdo de Capital de Basilea” del BIS¹ (Extracto correspondiente al Riesgo operativo)

A. DEFINICIÓN DE RIESGO OPERATIVO

El riesgo operativo es, el riesgo de pérdida directa o indirecta causada por una insuficiencia o falla de los procesos, gente y sistemas internos o por un acontecimiento externo.. Esta definición incluye el riesgo legal. Sin embargo, el riesgo estratégico y de reputación no están incluidos en esta definición para fines de exigencia de capital regulador mínimo por riesgo operativo. El Comité continuará trabajando con la industria sobre este tema.

B. LAS METODOLOGÍAS DE MEDICIÓN

Son tres los métodos que pueden utilizarse para calcular las exigencias de capital por riesgo operativo. En orden de creciente sofisticación y sensibilidad al riesgo, estos métodos son: (i) el Método de Indicador Básico; (ii) el Método Estándar y (iii) el Método de Medición Interna (IMA). Se está estudiando la posibilidad de contar en el futuro con un Método de Distribución de Pérdidas, según el cual el banco determinaría su propia forma de distribuir pérdidas, actividades comerciales y tipos de riesgo.

Lo ideal sería que los bancos vayan recorriendo la gama de posibles métodos a medida que elaboran sistemas y prácticas más sofisticados para medir el riesgo operativo. Cada método exige normas mínimas que se enumeran más abajo. Los bancos que reúnan las condiciones de un método dado podrán utilizar ese método sin tomar en cuenta el grado de sofisticación del método utilizado previamente (más o menos simple).

Los bancos internacionalmente activos y los bancos con una exposición importante al riesgo operativo, deberían normalmente utilizar un método más avanzado que el método de indicador básico. Se permitirá que los bancos utilicen el método estándar para algunas actividades comerciales y el método de medición interna para otras. Una vez que el banco es aprobado para un método más avanzado, no podrá decidir volver a un método más simple.

Los bancos deben recoger los riesgos de cada línea comercial sobre una base consolidada.

1. El Método del Indicador Básico

1 Traducción realizada por la Asociación de Supervisores Bancarios de las Américas (ASBA)

Los bancos deben cubrir el riesgo operativo con un capital equivalente a un porcentaje fijo (designado como alfa) del ingreso bruto².

2. El Método Estándar

En el Método Estándar, las actividades de los bancos se dividen en unidades comerciales y líneas comerciales. Para cada línea comercial hay un indicador amplio específico que refleja el tamaño o volumen de las actividades del banco en esa área en particular. El indicador sirve como un valor sustitutivo aproximado de la cantidad de riesgo operativo en cada línea comercial. El siguiente cuadro presenta las unidades comerciales, líneas comerciales e indicadores propuestos.

Unidades Comerciales

Líneas

Comerciales³ Indicador Factores de

Capital⁴ Gestión financiera

empresarial Ingreso bruto ß1

Banca de inversiones

Intercambio mercantil y ventas

Ingreso bruto (o VAR) ß2 Banca al detalle Promedio anual de activos ß3 Banca comercial Promedio anual de activos ß4 Banca

Pagos y liquidaciones Pagos tramitados en un año ß5 Corretaje al detalle Ingreso bruto ß6 Otros

Administración de

activos Total de fondos administrados ß7

Dentro de cada línea comercial, la exigencia de capital se calcula multiplicando el indicador por un factor de capital (beta) asignado a esa línea comercial. Beta será fijado por los supervisores y servirá como un valor sustitutivo aproximado de la relación entre la experiencia de pérdida por riesgo operativo de una línea comercial dada y el indicador para esa línea, de toda la industria.

2 Ingreso bruto = ingreso neto por concepto de intereses + ingreso neto por otros conceptos (comprende (i) cargos y comisiones por recibir menos cargos y comisiones por pagar, (ii) el resultado neto de las operaciones financieras y (iii) otros ingresos. Esto excluye partidas extraordinarias o irregulares.) Esta medida debería reflejar el ingreso antes de deducir las pérdidas de operación. El Comité continuará trabajando para perfeccionar esta definición.

3 La intención es incluir una línea comercial para los servicios de agente (incluso la custodia) en la propuesta definitiva. Una línea comercial de seguros puede ser incluida tanto en el método estándar como en el de medición interna, donde los seguros forman parte de un grupo consolidado para fines de capital.

4 Los factores beta serán calibrados cuando haya más información. En el Anexo 3 del Documento Complementario Riesgo Operativo, se presenta un método de calibración basado en un 20% del capital regulador mínimo existente.

La exigencia de capital total se calcula sumando las exigencias de capital regulador de cada una de las líneas comerciales.

3. El Método de Medición Interna

En el Método de Medición Interna, el procedimiento para determinar la exigencia de capital por riesgo operativo de los bancos es el siguiente:

• Las actividades del banco se categorizan en las mismas líneas comerciales que en el método estándar. Se define un conjunto amplio de tipos de riesgo operativo y se lo aplica a todas las líneas comerciales⁵.

• Dentro de cada combinación línea comercial/tipo de riesgo, el supervisor determina un indicador de exposición (EI) que es el valor sustitutivo del tamaño (o cantidad de riesgo) de la exposición al riesgo operativo de cada línea comercial con respecto a cada tipo de riesgo.

• Para cada combinación línea comercial/tipo de riesgo y además del indicador de exposición, los bancos miden, sobre la base de sus datos internos de pérdida, un parámetro que representa la probabilidad de una situación de pérdida (PE) y un parámetro que representa la pérdida dada esa situación (LGE). El producto de EI, PE y LGE se utiliza para calcular la pérdida prevista (EL).

• El supervisor suministra un factor (gama) para cada combinación línea comercial/tipo de riesgo. Gama convierte la pérdida prevista en una exigencia de capital y su valor lo determinan los supervisores basándose en datos de toda la industria. La exigencia de capital para cada combinación línea comercial/tipo de

riesgo es el producto de gama y EL.

• La exigencia de capital global de un banco es igual a la suma de los productos resultantes.

Como parte del proceso de validación de la supervisión, los bancos proporcionarán a su supervisor los componentes individuales del cálculo de la pérdida prevista y no solamente el producto.

A medida que los bancos y supervisores vayan adquiriendo experiencia con este método, se irá examinando también la posibilidad de dar mayor flexibilidad a los bancos para que utilicen su propia definición de líneas comerciales y tipos de riesgo.

4. El Límite Mínimo

Para los bancos que utilicen el Método de Medición Interna, el Comité fijará un límite mínimo para las exigencias de capital. La conveniencia y nivel de este límite serán revisados por el Comité dos años después de la puesta en práctica del Nuevo Acuerdo. En el Documento Complementario, Riesgo Operativo, se describen los mecanismos para fijar el límite mínimo.

5 Un ejemplo de líneas comerciales, tipos de riesgo e indicadores de exposición se encuentra en el Anexo 4 del Documento Complementario

C. CRITERIOS DE HABILITACIÓN

Las normas mínimas de cada método se explican más abajo.

1. El Método de Indicador Básico

El método de indicador básico está diseñado para ser utilizado por cualquier banco, independientemente de su complejidad o sofisticación. En efecto, no hay requisitos mínimos que cumplir. No obstante, a los bancos que utilicen este método se les recomendará seguir las pautas del Comité sobre Prácticas seguras para encarar el riesgo operativo, actualmente en preparación. Este documento servirá también como una guía para los supervisores en lo que concierne al Pilar 2.

2. El Método Estándar

Además de seguir las Prácticas seguras para encarar el riesgo operativo del Comité de Basilea, los bancos que deseen utilizar el método estándar, deberán cumplir las siguientes normas:

(i) Gestión y control eficaces del riesgo

Las normas cualitativas que deben cumplir los bancos incluyen: existencia de funciones independientes de control y fiscalización de los riesgos, uso eficaz de los sistemas de notificación de riesgos, participación activa del directorio y dirección superior y documentación apropiada de los sistemas de gestión del riesgo.

• Los bancos deben establecer un proceso independiente de gestión y control del riesgo operativo, que cubra el diseño, ejecución y revisión de su metodología de medición del riesgo operativo. Las responsabilidades incluyen establecer el marco para la medición del riesgo operativo y control sobre la elaboración de la metodología de riesgo operativo e insumos claves.

• Los grupos de fiscalización interna de los bancos deben examinar regularmente el proceso de gestión y la metodología de medición del riesgo operativo.

(ii) Medición y validación

• Los bancos deben tener sistemas apropiados de notificación del riesgo para generar datos a ser utilizados en el cálculo de las exigencias de capital y, además, la habilidad de elaborar notificación de gestión basada en los resultados.

• Los bancos deben comenzar a seguir sistemáticamente los datos relacionados con el riesgo operativo, por línea comercial.

• Los bancos deben elaborar y documentar criterios específicos para asociar las líneas y actividades comerciales actuales al marco estándar. El marco tendrá que ser revisado y adaptado en función de las actividades comerciales y riesgos nuevos o cambiantes como corresponda.

3. Método de Medición Interna

Además de satisfacer los criterios del Método Estándar, los bancos que deseen utilizar el Método de Medición Interna tendrán que cumplir las siguientes normas:

(i) Gestión y control eficaces del riesgo

La exactitud de los datos sobre pérdidas, y la confianza en los resultados de los cálculos efectuados con esos datos, (que incluyen PEs y LGEs) deberán establecerse mediante .pruebas de uso.. Los bancos deben utilizar los datos recopilados y las medidas resultantes para la notificación de riesgos, notificación gerencial, asignación interna del capital, análisis del riesgo, etc. los bancos que no integren completamente una metodología de medición interna a sus actividades diarias y decisiones comerciales importantes no calificarán para este método.

(ii) Medición y validación

• Los bancos deben elaborar prácticas seguras de notificación interna de pérdidas, sustentadas por sistemas de base de datos compatibles con el alcance de los riesgos operativos determinado por los supervisores y la industria bancaria.

• Los bancos deben contar con una metodología de medición del riesgo operativo, personal competente, y una infraestructura de sistemas apropiada, capaz de identificar y recoger datos sobre las pérdidas ligadas al riesgo operativo y crear con ellos una base de datos y calcular PEs y LGEs apropiadas. Los sistemas deben poder recopilar datos de todos los subsistemas y ubicaciones geográficas.

Los datos faltantes de los diferentes sistemas, grupos o ubicaciones deben ser explícitamente identificados y seguidos.

• Los bancos deben contar con un proceso eficiente para identificar, a lo largo del tiempo, qué acontecimientos entran en una base de datos de pérdidas y cuáles son las experiencias históricas de pérdida apropiadas para la institución y representativas de sus actividades comerciales actuales y futuras. Esto implica elaborar y definir criterios para los datos de pérdida, en cuanto al tipo y severidad de los datos que van más allá de la definición y especificaciones generales de la supervisión.

• Los bancos que deseen utilizar datos externos deben establecer procedimientos para ello. Estos incluirán procedimientos y métodos específicos para evaluar y comparar los datos de pérdida externos o internos provenientes de otras fuentes. Estas condiciones y prácticas deben ser examinadas, documentadas y sometidas a un examen independiente periódico.

• Las fuentes de datos externos deben ser examinadas regularmente para verificar su exactitud y aplicabilidad. Los bancos deben examinar y entender los supuestos utilizados en la recopilación y asignación de acontecimientos de pérdida y datos estadísticos resultantes.

• La base de datos de pérdida por riesgo operativo de un banco deberá abarcar un cierto número de años (a ser fijado por el Comité), para líneas comerciales

significativas. Además, los bancos deben elaborar criterios específicos para asignar datos de pérdida a una línea comercial y tipo de riesgo en particular. Habrá que elaborar un proceso para identificar e incorporar en la base de datos aquellos acontecimientos históricamente importantes o significativos creíbles que podrían no estar comprendidos dentro del periodo de observación. Estos procesos deben ser claramente documentados y lo suficientemente específicos como para ser sometidos a un examen y verificación independientes.

• Los bancos deben validar regularmente sus coeficientes de pérdida, indicadores de riesgo y estimaciones de tamaño, a fin de asegurar que los factores de la exigencia de capital regulador son fiables.

• Los reguladores examinarán el proceso de recopilación y validación de datos y comentarán sobre el ambiente de control de la institución.

• Los bancos deben seguir procesos rigurosos para estimar parámetros como EI, PE y LGE.

• La dirección del banco debe aportar experiencia y discernimiento al análisis de los datos de pérdida y las PEs y LGEs resultantes. Los bancos deben identificar claramente las situaciones excepcionales en que se podrán pasar por alto los resultados, determinando, al mismo tiempo, hasta qué punto y bajo qué condiciones esto es posible y quién está autorizado para tomar este tipo de decisión. Las condiciones y los registros de los cambios realizados deben ser documentados y sometidos a un examen independiente.

NOTA: buscar documento en el cual aparecen ejemplos de formas de medir el riesgo operativo.

6.4.5.-Conclusiones

Diríamos para terminar que los cambios en el negocio bancario han acrecentado los riesgos y que aun siendo importantes los financieros son los más fáciles de controlar pero que la magnitud de los operativos es a veces superior. De aquí que deban afrontarse y que la regulación busque su cobertura acrecentando las exigencias de capital. Por otra parte la buena gestión, la utilización del outsourcing, la transferencia del riesgo y el seguro de aquél, son en algunos casos medidas posibles para paliar los riesgos operativos, aunque no siempre puede acudirse a los mismos. También cabe decir que muchos de los procedimientos desarrollados para los riesgos financieros son extrapolables a los riesgos operativos y por último que el control de riesgos debe entenderse como una prioridad y formar parte de las

tareas de la dirección creándose departamentos ad hoc a tal respecto. En definitiva el riesgo operativo debe ser: 1) evaluado, prevenido y controlado, 2) en la medida de lo posible, paliado a través de fórmulas como el “outsourcing”

o la transferencia de los mismos, 3) existe la posibilidad de asegurarlo y por último siempre será necesario categorizarlo y a tal respecto el crear bases de datos que permitan una gestión más eficiente pero sobre todo más informada y por lo tanto consecuente con las características de esos riesgos en cada una de las entidades en las cuales lo estemos midiendo.

CONCLUSIONES

 Los cambios en el negocio bancario han acrecentado los riesgos

 Los más fáciles de controlar son los financieros

 La magnitud de los operativos puede ser superior a la de los financieros o de mercado

 Aunque más difíciles de gestionar cabe y debe hacerse

 La regulación busca su cobertura acrecentando las exigencias de capital

 La gestión, el outsourcing, la transferencia y el seguro del riesgo operativo son posibles

 Muchos de los procedimientos desarrollados para los riesgos financieros son extrapolables a los operativos

 El control de riesgos debe de ser una prioridad y formar parte de las tareas de la dirección (creación de departamentos ad hoc