Riesgo operacional

Factor de análisis de modos de falla y efectos (FMEA)

El riesgo operacional es el riesgo de pérdidas causadas por procesos, políticas, sistemas o eventos defectuosos o fallidos que interrumpen las operaciones comerciales. Los errores de los empleados, la actividad delictiva como el fraude y los eventos físicos se encuentran entre los factores que pueden desencadenar el riesgo operacional. El proceso para gestionar el riesgo operacional se conoce como gestión del riesgo operacional . La definición de riesgo operacional, adoptada por la Directiva Europea Solvencia II para aseguradoras, es una variación adoptada de las regulaciones de Basilea II para bancos: "El riesgo de un cambio en el valor causado por el hecho de que las pérdidas reales, incurridas por procesos internos, personas y sistemas inadecuados o fallidos, o por eventos externos (incluido el riesgo legal), difieren de las pérdidas esperadas". ^{[1] [2]} El alcance del riesgo operacional es entonces amplio y también puede incluir otras clases de riesgos, como fraude , seguridad , protección de la privacidad , riesgos legales , físicos (por ejemplo, cierre de infraestructura) o riesgos ambientales. Los riesgos operacionales de manera similar pueden tener un amplio impacto, en el sentido de que pueden afectar la satisfacción del cliente, la reputación y el valor para los accionistas, todo ello al tiempo que aumentan la volatilidad del negocio.

Anteriormente, en Basilea I , el riesgo operacional se definía de manera negativa : es decir, que el riesgo operacional son todos los riesgos que no son riesgo de mercado ni riesgo de crédito . Por ello, algunos bancos también han utilizado el término riesgo operacional como sinónimo de riesgos no financieros . ^[3] En octubre de 2014, el Comité de Supervisión Bancaria de Basilea propuso una revisión de su marco de capital de riesgo operacional que establece un nuevo enfoque estandarizado para reemplazar el enfoque del indicador básico y el enfoque estandarizado para calcular el capital de riesgo operacional . ^[4]

A diferencia de otros riesgos (por ejemplo, riesgo de crédito , riesgo de mercado , riesgo de seguro ), los riesgos operativos no suelen asumirse voluntariamente ni están impulsados ​​por los ingresos. Además, no son diversificables y no se pueden eliminar. Esto significa que mientras las personas, los sistemas y los procesos sigan siendo imperfectos, el riesgo operativo no se puede eliminar por completo. No obstante, el riesgo operativo es manejable para mantener las pérdidas dentro de un cierto nivel de tolerancia al riesgo (es decir, la cantidad de riesgo que uno está dispuesto a aceptar en la búsqueda de sus objetivos), determinado al equilibrar los costos de mejora con los beneficios esperados. Tendencias más amplias como la globalización, la expansión de Internet y el auge de las redes sociales, así como las crecientes demandas de una mayor responsabilidad corporativa en todo el mundo, refuerzan la necesidad de una gestión adecuada del riesgo .

Por lo tanto, la gestión del riesgo operacional (GRO) es una disciplina especializada dentro de la gestión del riesgo. Constituye el proceso continuo de evaluación de riesgos, toma de decisiones e implementación de controles de riesgo, lo que da como resultado la aceptación, mitigación o evitación de los diversos riesgos operacionales. La GRO se superpone en cierta medida con la gestión de calidad ^[5] y la función de auditoría interna .

Fondo

Hasta las reformas de Basilea II a la supervisión bancaria, el riesgo operacional era una categoría residual reservada para los riesgos e incertidumbres que eran difíciles de cuantificar y gestionar de manera tradicional ^[6] : la canasta de “otros riesgos”.

Estas regulaciones institucionalizaron el riesgo operacional como una categoría de atención regulatoria y gerencial y conectaron la gestión del riesgo operacional con un buen gobierno corporativo .

Las empresas en general, y otras instituciones como las militares, han sido conscientes, durante muchos años, de los riesgos derivados de factores operativos, internos o externos. El objetivo principal de las fuerzas armadas es luchar y ganar guerras de manera rápida y decisiva, y con pérdidas mínimas. Para las fuerzas armadas y las empresas del mundo por igual, la gestión del riesgo operativo es un proceso eficaz para preservar los recursos mediante la anticipación.

Dos décadas (desde 1980 hasta principios de los años 2000) de globalización y desregulación ( por ejemplo, el Big Bang (de los mercados financieros) ), combinadas con la mayor sofisticación de los servicios financieros en todo el mundo, introdujeron complejidades adicionales en las actividades de los bancos, las aseguradoras y las empresas en general y, por lo tanto, en sus perfiles de riesgo.

Desde mediados de la década de 1990, los temas de riesgo de mercado y riesgo crediticio han sido objeto de mucho debate e investigación, con el resultado de que las instituciones financieras han logrado avances significativos en la identificación, medición y gestión de ambas formas de riesgo.

Sin embargo, el casi colapso del sistema financiero estadounidense en septiembre de 2008 ^{[7] [8]} es una indicación de que nuestra capacidad para medir el riesgo de mercado y de crédito está lejos de ser perfecta y eventualmente condujo a la introducción de nuevos requisitos regulatorios en todo el mundo, incluidas las regulaciones de Basilea III para los bancos y las regulaciones de Solvencia II para las aseguradoras.

Eventos como los ataques terroristas del 11 de septiembre y las pérdidas comerciales ilegales en Société Générale , Barings , AIB , UBS y National Australia Bank sirven para resaltar el hecho de que el alcance de la gestión de riesgos se extiende más allá del mero riesgo de mercado y de crédito .

Estas razones subrayan el creciente interés de los bancos y los supervisores por la identificación y medición del riesgo operacional.

La lista de riesgos (y, lo que es más importante, la escala de estos riesgos) a los que se enfrentan los bancos en la actualidad incluye fraude, fallas del sistema, terrorismo y reclamaciones de indemnización a empleados. Estos tipos de riesgos se clasifican generalmente bajo el término "riesgo operativo".

La identificación y medición del riesgo operacional es un problema real y actual para los bancos modernos, en particular desde la decisión del Comité de Supervisión Bancaria de Basilea (BCBS) de introducir un cargo de capital para este riesgo como parte del nuevo marco de adecuación de capital ( Basilea II ).

Definición

El Comité de Basilea define el riesgo operacional en Basilea II y Basilea III como:

El riesgo de pérdida resultante de procesos, personas y sistemas internos inadecuados o fallidos o de acontecimientos externos. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y de reputación. ^[9]

El Comité de Basilea reconoce que el riesgo operacional es un término que tiene una variedad de significados y, por lo tanto, para fines internos, los bancos pueden adoptar sus propias definiciones de riesgo operacional, siempre que se incluyan los elementos mínimos de la definición del Comité.

Exclusiones del ámbito de aplicación

La definición de riesgo operacional de Basilea II excluye, por ejemplo, el riesgo estratégico (el riesgo de pérdida resultante de una mala decisión empresarial estratégica).

Otros términos de riesgo se consideran consecuencias potenciales de eventos de riesgo operacional. Por ejemplo, el riesgo reputacional (daño a una organización por pérdida de su reputación o prestigio) puede surgir como consecuencia (o impacto) de fallas operacionales, así como de otros eventos.

Tipos de eventos

A continuación se enumeran los siete tipos de eventos oficiales de Basilea II con algunos ejemplos para cada categoría:

1. Fraude interno: apropiación indebida de activos, evasión fiscal, manipulación intencional de posiciones, soborno ^[10]
2. Fraude externo: robo de información, daños por piratería, robo de terceros y falsificación.
3. Prácticas laborales y seguridad en el trabajo: discriminación, compensación laboral, salud y seguridad de los empleados
4. Clientes, productos y prácticas comerciales: manipulación del mercado , antimonopolio, comercio indebido, defectos de productos, violaciones fiduciarias, manipulación de cuentas
5. Daños a activos físicos: desastres naturales, terrorismo, vandalismo
6. Interrupciones comerciales y fallas de sistemas: interrupciones de servicios públicos, fallas de software, fallas de hardware
7. Ejecución, entrega y gestión de procesos: errores de ingreso de datos, errores contables, falta de presentación de informes obligatorios, pérdida negligente de activos de clientes

Riesgo del proveedor

El riesgo del proveedor se refiere al riesgo causado por la dependencia de los servicios o productos de un servicio o producto de nivel inferior proveniente de un proveedor en particular. ^[11] Incluye los riesgos de

• el proveedor ya no proporciona el producto o servicio requerido,
• aumentando sustancialmente el coste de dicho o
• realizar modificaciones al producto o servicio proporcionado de tal manera que las nuevas versiones del producto ya no cumplan con los requisitos funcionales o no funcionales.

Dificultades

Para una organización es relativamente sencillo establecer y observar niveles específicos y mensurables de riesgo de mercado y riesgo crediticio, porque existen modelos que intentan predecir el impacto potencial de los movimientos del mercado o de los cambios en el costo del crédito. Estos modelos son tan buenos como las hipótesis subyacentes, y gran parte de la reciente crisis financiera surgió porque las valoraciones generadas por estos modelos para tipos particulares de inversiones se basaban en hipótesis incorrectas.

En cambio, resulta relativamente difícil identificar o evaluar los niveles de riesgo operacional y sus múltiples fuentes. Históricamente, las organizaciones han aceptado el riesgo operacional como un costo inevitable de hacer negocios. Sin embargo, muchas ahora recopilan datos sobre pérdidas operacionales (por ejemplo, por fallas del sistema o fraude) y utilizan estos datos para modelar el riesgo operacional y calcular una reserva de capital para futuras pérdidas operacionales. Además del requisito de Basilea II para los bancos, este es ahora un requisito para las compañías de seguros europeas que están en proceso de implementar Solvencia II, el equivalente de Basilea II para el sector de seguros. ^[12]

Métodos para calcular el capital de riesgo operacional

Basilea II y diversos organismos supervisores de los países han prescrito diversas normas de solidez para la gestión del riesgo operacional de los bancos e instituciones financieras similares. Para complementar estas normas, Basilea II ha dado orientación sobre tres métodos generales de cálculo del capital para el riesgo operacional:

• Enfoque de Indicadores Básicos – basado en los ingresos anuales de la Institución Financiera
• Enfoque estandarizado : basado en los ingresos anuales de cada una de las amplias líneas de negocio de la institución financiera
• Enfoques de medición avanzados : basados ​​en el marco de medición de riesgos desarrollado internamente por el banco que cumple con los estándares prescritos (los métodos incluyen IMA, LDA, basado en escenarios, cuadro de mando, etc.)

El marco de gestión del riesgo operacional debe incluir marcos de identificación, medición, seguimiento, informe, control y mitigación del riesgo operacional.

Existen varias metodologías entre las que elegir al modelar el riesgo operativo, cada una con sus ventajas y aplicaciones específicas. La elección final de la metodología o metodologías que se utilizarán en su institución depende de varios factores, entre ellos:

• Sensibilidad temporal para el análisis;
• Recursos deseados y/o disponibles para la tarea;
• Enfoques utilizados para otras medidas de riesgo;
• Uso esperado de los resultados (por ejemplo, asignar capital a las unidades de negocios, priorizar proyectos de mejora del control, satisfacer a los reguladores de que su institución está midiendo el riesgo, proporcionar un incentivo para una mejor gestión del riesgo operacional, etc.);
• Comprensión y compromiso de la alta dirección; y
• Procesos complementarios existentes, como la autoevaluación ^[13]

Enfoque de medición estandarizado (Basilea III)

El Comité de Supervisión Bancaria de Basilea (BCBS) ha propuesto el " método de medición estandarizada " (SMA) como método de evaluación del riesgo operacional en sustitución de todos los métodos existentes, incluido el AMA. El objetivo es proporcionar estimaciones estables, comparables y sensibles al riesgo para la exposición al riesgo operacional y entra en vigor el 1 de enero de 2022. ^[14] El SMA da peso al historial interno de pérdidas (se deben considerar las pérdidas de los últimos 10 años). Es posible considerar las pérdidas netas (después de recuperaciones y seguros).

El coeficiente marginal (α) aumenta con el tamaño del BI como se muestra en la siguiente tabla.

El ILM se define como:

${\textstyle ILM=\ln(\exp(1)-1+(LC/BIC)^{0.8})}$

donde el Componente de Pérdida (CM) es igual a 15 veces las pérdidas de riesgo operacional anuales promedio incurridas durante los 10 años anteriores. ^[14]

Véase también

• Gestión de crisis
• Instituto de Riesgo Operacional
• Auditoría interna § Tres líneas de defensa
• Revista de Riesgo Operacional
• Indicadores clave de riesgo
• Gestión del riesgo operacional
• Gestión de riesgos
• Herramientas de gestión de riesgos
• Modelado de riesgos

Referencias

1. "Basilea II: marco internacional revisado del capital". Bis.org. 2004-06-10 . Consultado el 2013-06-06 .
2. "Glosario Solvencia II – Comisión Europea" (PDF) . CEA – Groupe Consultatif . Consultado el 29 de abril de 2014 .
3. Hida, Edward; Pieper, Michael. "El futuro del riesgo no financiero en los servicios financieros". Deloitte . Consultado el 16 de septiembre de 2020 .
4. "Capital de riesgo operacional: ningún lugar donde esconderse" (PDF) . Práctica regulatoria de servicios financieros de PwC, noviembre de 2014.
5. "Riesgos operacionales en los servicios financieros: un viejo desafío en un nuevo entorno" (PDF) . Grupo Credit Suisse. Archivado desde el original (PDF) el 2016-03-04 . Consultado el 2014-04-29 .
6. "La invención del riesgo operacional" (PDF) . CARR – ESRC Centro de Análisis de Riesgo y Regulación . Consultado el 30 de abril de 2014 .
7. Crisis financiera de 2007-2008
8. Crisis de las hipotecas de alto riesgo
9. Convergencia internacional de medidas y normas de capital (PDF) . Banco de Pagos Internacionales. 2006. pág. 144. ISBN 92-9197-720-9.
10. "Liontrust Asset Management: Informe anual y estados financieros 2020". MarketScreener . 21 de julio de 2020.
11. Beale (1 de enero de 2017). "Mejores prácticas de gestión de riesgos de proveedores en el mundo interconectado de hoy". Revista de planificación de emergencias y contingencias empresariales . 11 (2). PMID  29256382.
12. "Solvencia – Comisión Europea". Ec.europa.eu. 2012-11-26 . Consultado el 2013-06-06 .
13. Sanchez, Luis; Ceske, Robert; Hernandez, Jose (1 de diciembre de 2000). "Cuantificación del riesgo de eventos: la próxima convergencia". Journal of Risk Finance (primavera de 2000). CiteSeerX 10.1.1.454.372 . 
14. Basilea III: Finalización de las reformas post-crisis (PDF) . Banco de Pagos Internacionales. 2017. ISBN 978-92-9259-022-2.

Enlaces externos

• Gestión y control bancario, Springer – Gestión para profesionales, 2020
• Principios para la gestión adecuada del riesgo operacional
• El riesgo operacional en el marco de Basilea II
• Gestión y control bancario, Springer – Gestión para profesionales, 2014
• Instituto de Riesgo Operacional El instituto proporciona reconocimiento profesional y permite a los miembros mantener la competencia en la disciplina del riesgo operacional.
• OpRisk & Regulation es la página de inicio del principal recurso educativo sobre riesgo operacional, que incluye una revista, capacitación, conferencias, libros, etc.
• El marco internacional de capital revisado es el texto del nuevo Acuerdo de Basilea II.
• Blog de Riesgo Operacional es un recurso para contenidos sobre riesgo operacional.
• El índice de riesgo estratégico Archivado el 9 de noviembre de 2013 en Wayback Machine es un índice que cuantifica el nivel de riesgo estratégico en los mercados de todo el mundo.
• Limitaciones de la medición y regulación consistentes del riesgo operacional: recopilación de datos e informes de pérdidas, Andreas A. Jobst, 2007 (Journal of Financial Regulation and Compliance)
• La crisis crediticia y el riesgo operacional: implicaciones para los profesionales y los reguladores, Andreas A. Jobst, 2010 (Journal of Operational Risk, vol. 5, n.º 2)
• La Asociación de Gestión de Riesgos: organización líder en la industria para profesionales del riesgo operativo
• Artículos prácticos sobre BIS2 y modelado de riesgos, presentados por profesionales para ayudar a crear un estándar de la industria
• Documento de la Reserva Federal de Boston sobre la medición del riesgo operacional
• Riesgo operacional: el aguijón sigue estando en la cola, pero el veneno depende de la dosis, Andreas A. Jobst, 2007 (Journal of Operational Risk)
• Tyson Macaulay (2008). "Convergencia del riesgo operacional y crediticio" (PDF) . Archivado desde el original (PDF) el 17 de junio de 2013.
• Tyson Macaulay (2008). "Continuidad operativa y aditividad del riesgo operativo" (PDF) . Archivado desde el original (PDF) el 17 de junio de 2013.
• Tyson Macaulay (2008). "Métricas y continuidad operativa" (PDF) . Archivado desde el original (PDF) el 17 de junio de 2013.
• Operational Risk Consortium es un consorcio que recopila y analiza datos de pérdidas por riesgo operativo para la industria de seguros.
• El Journal of Operational Risk es una revista trimestral que publica investigaciones sobre la teoría y la práctica del riesgo operacional.