El riesgo operacional es el riesgo de pérdidas causadas por procesos, políticas, sistemas o eventos defectuosos o fallidos que interrumpen las operaciones comerciales. Los errores de los empleados, la actividad delictiva como el fraude y los eventos físicos se encuentran entre los factores que pueden desencadenar el riesgo operacional. El proceso para gestionar el riesgo operacional se conoce como gestión del riesgo operacional . La definición de riesgo operacional, adoptada por la Directiva Europea Solvencia II para aseguradoras, es una variación adoptada de las regulaciones de Basilea II para bancos: "El riesgo de un cambio en el valor causado por el hecho de que las pérdidas reales, incurridas por procesos internos, personas y sistemas inadecuados o fallidos, o por eventos externos (incluido el riesgo legal), difieren de las pérdidas esperadas". [1] [2] El alcance del riesgo operacional es entonces amplio y también puede incluir otras clases de riesgos, como fraude , seguridad , protección de la privacidad , riesgos legales , físicos (por ejemplo, cierre de infraestructura) o riesgos ambientales. Los riesgos operacionales de manera similar pueden tener un impacto amplio, en el sentido de que pueden afectar la satisfacción del cliente, la reputación y el valor para los accionistas, todo ello al tiempo que aumentan la volatilidad del negocio.
Anteriormente, en Basilea I , el riesgo operacional se definía de manera negativa : es decir, que el riesgo operacional son todos los riesgos que no son riesgo de mercado ni riesgo crediticio . Por ello, algunos bancos también han utilizado el término riesgo operacional como sinónimo de riesgos no financieros . [3] En octubre de 2014, el Comité de Supervisión Bancaria de Basilea propuso una revisión de su marco de capital de riesgo operacional que establece un nuevo enfoque estandarizado para reemplazar el enfoque del indicador básico y el enfoque estandarizado para calcular el capital de riesgo operacional . [4]
A diferencia de otros riesgos (por ejemplo, riesgo de crédito , riesgo de mercado , riesgo de seguros ), los riesgos operativos no suelen asumirse voluntariamente ni están impulsados por los ingresos. Además, no son diversificables y no se pueden eliminar. Esto significa que mientras las personas, los sistemas y los procesos sigan siendo imperfectos, el riesgo operativo no se puede eliminar por completo. El riesgo operativo, no obstante, es manejable para mantener las pérdidas dentro de un cierto nivel de tolerancia al riesgo (es decir, la cantidad de riesgo que uno está dispuesto a aceptar en la búsqueda de sus objetivos), determinado al equilibrar los costos de mejora contra los beneficios esperados. Tendencias más amplias como la globalización, la expansión de Internet y el auge de las redes sociales, así como las crecientes demandas de una mayor responsabilidad corporativa en todo el mundo, refuerzan la necesidad de una gestión adecuada del riesgo .
Por lo tanto, la gestión del riesgo operacional (GRO) es una disciplina especializada dentro de la gestión del riesgo. Constituye el proceso continuo de evaluación de riesgos, toma de decisiones e implementación de controles de riesgo, lo que da como resultado la aceptación, mitigación o evitación de los diversos riesgos operacionales. La GRO se superpone en cierta medida con la gestión de calidad [5] y la función de auditoría interna .
Hasta las reformas de Basilea II a la supervisión bancaria, el riesgo operacional era una categoría residual reservada para los riesgos e incertidumbres que eran difíciles de cuantificar y gestionar de manera tradicional [6] : la canasta de “otros riesgos”.
Estas regulaciones institucionalizaron el riesgo operacional como una categoría de atención regulatoria y gerencial y conectaron la gestión del riesgo operacional con un buen gobierno corporativo .
Las empresas en general, y otras instituciones como las militares, han sido conscientes, durante muchos años, de los riesgos derivados de factores operativos, internos o externos. El objetivo principal de las fuerzas armadas es luchar y ganar guerras de manera rápida y decisiva, y con pérdidas mínimas. Para las fuerzas armadas y las empresas del mundo por igual, la gestión del riesgo operativo es un proceso eficaz para preservar los recursos mediante la anticipación.
Dos décadas (desde 1980 hasta principios de los años 2000) de globalización y desregulación ( por ejemplo, el Big Bang (de los mercados financieros) ), combinadas con la mayor sofisticación de los servicios financieros en todo el mundo, introdujeron complejidades adicionales en las actividades de los bancos, las aseguradoras y las empresas en general y, por lo tanto, en sus perfiles de riesgo.
Desde mediados de la década de 1990, los temas de riesgo de mercado y riesgo crediticio han sido objeto de mucho debate e investigación, con el resultado de que las instituciones financieras han logrado avances significativos en la identificación, medición y gestión de ambas formas de riesgo.
Sin embargo, el casi colapso del sistema financiero estadounidense en septiembre de 2008 [7] [8] es una indicación de que nuestra capacidad para medir el riesgo de mercado y de crédito está lejos de ser perfecta y eventualmente condujo a la introducción de nuevos requisitos regulatorios en todo el mundo, incluidas las regulaciones de Basilea III para los bancos y las regulaciones de Solvencia II para las aseguradoras.
Eventos como los ataques terroristas del 11 de septiembre y las pérdidas comerciales ilegales en Société Générale , Barings , AIB , UBS y National Australia Bank sirven para resaltar el hecho de que el alcance de la gestión de riesgos se extiende más allá del mero riesgo de mercado y de crédito .
Estas razones subrayan el creciente interés de los bancos y los supervisores por la identificación y medición del riesgo operacional.
La lista de riesgos (y, lo que es más importante, la escala de estos riesgos) a los que se enfrentan los bancos en la actualidad incluye fraude, fallas del sistema, terrorismo y reclamaciones de indemnización a los empleados. Estos tipos de riesgos se clasifican generalmente bajo el término "riesgo operativo".
La identificación y medición del riesgo operacional es un problema real y actual para los bancos modernos, en particular desde la decisión del Comité de Supervisión Bancaria de Basilea (BCBS) de introducir un cargo de capital para este riesgo como parte del nuevo marco de adecuación de capital ( Basilea II ).
El Comité de Basilea define el riesgo operacional en Basilea II y Basilea III como:
El riesgo de pérdida resultante de procesos, personas y sistemas internos inadecuados o fallidos o de acontecimientos externos. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y de reputación. [9]
El Comité de Basilea reconoce que el riesgo operacional es un término que tiene una variedad de significados y, por lo tanto, para fines internos, los bancos pueden adoptar sus propias definiciones de riesgo operacional, siempre que se incluyan los elementos mínimos de la definición del Comité.
La definición de riesgo operacional de Basilea II excluye, por ejemplo, el riesgo estratégico (el riesgo de pérdida resultante de una mala decisión empresarial estratégica).
Otros términos de riesgo se consideran consecuencias potenciales de eventos de riesgo operacional. Por ejemplo, el riesgo reputacional (daño a una organización por pérdida de su reputación o prestigio) puede surgir como consecuencia (o impacto) de fallas operacionales, así como de otros eventos.
A continuación se enumeran los siete tipos de eventos oficiales de Basilea II con algunos ejemplos para cada categoría:
El riesgo del proveedor se refiere al riesgo causado por la dependencia de los servicios o productos de un servicio o producto de nivel inferior proveniente de un proveedor en particular. [11] Incluye los riesgos de
Para una organización es relativamente sencillo establecer y observar niveles específicos y mensurables de riesgo de mercado y riesgo crediticio, porque existen modelos que intentan predecir el impacto potencial de los movimientos del mercado o de los cambios en el costo del crédito. Estos modelos son tan buenos como las hipótesis subyacentes, y gran parte de la reciente crisis financiera surgió porque las valoraciones generadas por estos modelos para tipos particulares de inversiones se basaban en hipótesis incorrectas.
En cambio, resulta relativamente difícil identificar o evaluar los niveles de riesgo operacional y sus múltiples fuentes. Históricamente, las organizaciones han aceptado el riesgo operacional como un costo inevitable de hacer negocios. Sin embargo, muchas ahora recopilan datos sobre pérdidas operacionales (por ejemplo, por fallas del sistema o fraude) y utilizan estos datos para modelar el riesgo operacional y calcular una reserva de capital para futuras pérdidas operacionales. Además del requisito de Basilea II para los bancos, este es ahora un requisito para las compañías de seguros europeas que están en proceso de implementar Solvencia II, el equivalente de Basilea II para el sector de seguros. [12]
Basilea II y diversos organismos supervisores de los países han prescrito diversas normas de solidez para la gestión del riesgo operacional de los bancos e instituciones financieras similares. Para complementar estas normas, Basilea II ha dado orientación sobre tres métodos generales de cálculo del capital para el riesgo operacional:
El marco de gestión del riesgo operacional debe incluir marcos de identificación, medición, seguimiento, informe, control y mitigación del riesgo operacional.
Existen varias metodologías entre las que elegir al modelar el riesgo operativo, cada una con sus ventajas y aplicaciones específicas. La elección final de la metodología o metodologías que se utilizarán en su institución depende de varios factores, entre ellos:
El Comité de Supervisión Bancaria de Basilea (BCBS) ha propuesto el " método de medición estandarizada " (SMA) como método de evaluación del riesgo operacional en sustitución de todos los métodos existentes, incluido el AMA. El objetivo es proporcionar estimaciones estables, comparables y sensibles al riesgo para la exposición al riesgo operacional y entra en vigor el 1 de enero de 2022. [14] El SMA da importancia al historial interno de pérdidas (se deben considerar las pérdidas de los últimos 10 años). Es posible considerar las pérdidas netas (después de recuperaciones y seguros).
El coeficiente marginal (α) aumenta con el tamaño del BI como se muestra en la siguiente tabla.
El ILM se define como:
donde el Componente de Pérdida (CM) es igual a 15 veces las pérdidas de riesgo operacional anuales promedio incurridas durante los 10 años anteriores. [14]