Gestión del riesgo operativo en las entidades de crédito
Enviado por • 11 de Febrero de 2014 • 9.511 Palabras (39 Páginas) • 360 Visitas
Gestión del riesgo operativo en las entidades
de crédito: un camino sin retorno
Operational risk management in financial
institutions: A dead-end journey
JOSÉ IGNACIO LLAGUNO MUSONS
Departamento Economía Financiera II.
Universidad del País Vasco/Euskal Herriko Unibertsitatea
Recibido en mayo de 2005; aceptado en noviembre de 2005
Resumen:
Este trabajo presenta la problemática de la gestión del riesgo operativo en las entidades de crédito en el ámbito
europeo. Aprobado el texto definitivo del denominado Comité de Supervisión Bancaria (Basilea II), con especial y
novedosa regulación del riesgo operativo, amanece como inminente su integración e la regulación bancaria de la
UE, y, por tanto, su pronta implantación y supervisión por las autoridades monetarias y financieras. Esta nueva normativa,
de carácter flexible y profesional, introduce en el seno del gobierno corporativo de las entidades de crédito
nuevos elementos que afectarán a su cultura interna (cultura de gestión de los riesgos), afectando a las decisiones
estratégicas y a la organización de las entidades, incentivando a la mejora de la calidad de sus procesos, servicios y
operaciones. Todo lo cual supone una acicate para perseguir la eficiencia continua a nivel individual y a nivel del
sistema financiero, con visos de adquirir dimensión estratégica. De esta manera, se abre un espacio para la investigación
y creatividad en la aplicación y desarrollo de los postulados científicos de la Economía de la Empresa, con
posibilidades de incorporarlos a otros sectores empresariales de similar afectación por los riesgos operativos.
Palabras clave:
riesgo operativo, regulación bancaria (BasileaII), gestión riesgo operativo (identificación, evaluación, mitigación,
información y control).
Abstract:
This article is about operational risk management in credit firms around the the European area. The text of
Bank Supervision Committee (Basilea II) has been already approved including some important changes about
operational risk, so it is time to UE´s bank regulations were adopted and changes applied by monetary and
financial authorities. This flexible and proffesional new regulation introduces some elements on Corporative
Government of credit firms affecting it´s internal culture (risk management culture), it’s strategics decisions and
entities organization, encouraging to improve the quality of process, services and operations. So this is a good
reason to follow the good way of continuous efficiency in an strategic dimension on individual level and on finance
system as well. We have the opportunity to research and apply the principles of Business Administration in this
field now, but what is better, we would do it on others economic sectors affected by operational risks as well.
Keywords:
Operational risk, banks regulation (Basilea II); risk management (identification, evaluation, coverage and
reduction, reports, information and control).
ISSN: 1131 - 6837 Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 53
«Fortissimus quisque tutissimus»
«Son los más valientes los que están mejor protegidos»
(Salustio, Iugartha 87,2)
1. INTRODUCCIÓN: IMPORTANCIA DEL RIESGO OPERATIVO
En líneas generales y para todo tipo de actividad económica existe el denominado
riesgo operacional, el cual se deriva de las decisiones que en el seno de la empresa se
toman diariamente, ya sea en relación a la producción, distribución, precios, etc. Es a
través del subsistema operativo donde se gestionan, compensan, se acumulan, aceleran,...
se realizan todas las virtudes y riesgos de las organizaciones. Por tanto, en todo
tipo de actividad económica estará siempre presente el riesgo operativo y su gestión,
identificación, evaluación, mitigación, etc. deberá formar parte de la cotidiana, también
operativa, gestión de mejora en aras al siempre deseado progreso en eficiencia y buen
hacer empresarial.
En el caso de las entidades de crédito, en tanto que empresas especializadas históricamente
en la gestión de los riesgos financieros inherentes a su actividad, los denominados
riesgos de crédito o de inversión, junto al riesgo de mercado, el riesgo de liquidez, y,
desde la nueva filosofía de supervisión bancaria, habrán de enfrentarse a determinada
concepción del riesgo operativo. De todos estos tipos de riesgos, aparte de las concomitancias
con otras entidades, como las empresas aseguradoras y financieras, por ejemplo,
es en los gestión de los riesgos operativos donde mayores similitudes se producen con
todo tipo de organizaciones industriales y servicios.
Exponemos en el Cuadro siguiente una visión global de la afectación de los riesgos
en las entidades de crédito (ver Figura n.º 1).
Apreciaremos la mutua interrelación de los diferentes tipos de riesgos en el seno
de las entidades de crédito, muchas veces originados, transmitidos, ejecutados, etc. a
través del subsistema operativo. Algunos riesgos crediticios pueden originarse en deficientes
operaciones de análisis y de concesión; los riesgos de liquidez guardan estrecha
relación con la calidad de la gestión operativa de la tesorería de las entidades; etc.
En muchas ocasiones resulta difícil deslindar las causas de los diferentes riesgos y en
más de una será necesario compartir factores causales de diferente procedencia. Extrapolando
al máximo, podríamos afirmar que la mayoría de los riesgos financieros,
tienen un componente operacional por acción u omisión en el sentido amplio de estos
términos.
Numerosos factores externos y el propio dinamismo del sector financiero afectan a la
gestión operativa de las entidades de crédito y a sus resultados. Los procesos de fusión e
integración, así como su internacionalización, dentro de mercados cada vez más globalizados,
la incorporación de nuevas tecnologías (TIC)de las entidades de las que son cada
día más dependientes, los contratos de outsourcing, de tercerización o externalización de
las operaciones, promovidos por el ahorro de costes e inversiones, etc.; están transformando
la cultura interna y la estructura operativa de las entidades de crédito. La dinámica
de la competencia a nivel nacional e internacional, alentada desde los órganos reguladores,
a fin de mejorar la eficacia de las entidades, propicia nuevas estrategias y el
desarrollo de la innovación no solo en productos y servicios, también en canales de distribución,
en procesos operativos, y en estilos y modelos de gestión empresarial.
Gestión del riesgo operativo en las entidades de crédito: un camino sin retorno
Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 ISSN: 1131 - 6837 54
Elaboración propia
Figura 1
Este ambiente de cambio, alta competencia, y nuevos estilos y contenidos de la regulación,
afecta a la gestión interna de las entidades, de una manera profunda y multiforme,
alcanzando a todos los niveles y áreas de la organización. Tal magnitud del
cambio y la trascendencia del mismo, constituye un reto y una de las principales preocupaciones,
si no es la principal, de la gestión integral de las entidades de crédito. Se
trata, por tanto, de un planteamiento de escala estratégica con ramificaciones que afectan
a todo tipo de operaciones, a sus activos y a los recursos empleados por las entidades
de crédito.
La inserción, por el regulador, del riesgo operativo en los requisitos de capital (recursos
propios) de las entidades de crédito, es un reconocimiento de la importancia que está
tomando y puede llegar a tomar las pérdidas originadas dentro y por el subsistema operativo
de estas entidades1.
Nuestro trabajo se encamina de forma especializada a considerar el riesgo operativo
de las entidades de crédito como eje de nuestra investigación, sin olvidar, en ningún momento,
su ubicación dentro del marco general y más alto de la responsabilidad de la gestión
corporativa de las entidades. Pretendemos descubrir nuevas áreas de investigación
por donde podrá transcurrir la gestión empresarial de las entidades de crédito.
ISSN: 1131 - 6837 Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 55
José Ignacio Llaguno Musons
1 La Consultora KPMG estimaba el riesgo operacional en los años 80s y 90s en un 20% (15% riesgo operativo,
y 5% riesgo tecnológico), para los años 2000s, este riesgo podría alcanzar al 35% de la totalidad de riesgos
de una entidad (10% riesgo de operaciones más 25% riesgo tecnológico). Ver KPMG 2004, La Gestión del
Riesgo Empresarial.
2. CONCEPTO DE RIESGO OPERACIONAL DESDE LA PERSPECTIVA
DEL REGULADOR
Sin perder la visión global de la gestión de las entidades de crédito, nos centraremos
de nuevo en el concepto y la problemática del riesgo operacional. Concretamente, para
nuestro caso y según los diferentes documentos de trabajo del Comité de Supervisión
Bancaria de Basilea (BCBS)2 (BANK FOR INTERNATIONAL SETTLEMENTS), que
expresaremos como Comité de Basilea, define el riesgo operacional por «644. El riesgo
operativo se define como el riesgo de pérdida debido a la inadecuación o a fallos de los
procesos, el personal y los sistemas internos o bien a causa de acontecimientos externos.
Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y el de reputación.
»3 En nuestra opinión, esta definición incluye directamente el denominado riesgo
tecnológico de indudable presencia, y crecimiento, en las entidades de crédito.
Una primera apreciación nos alerta de la presencia de un concepto amplio, no exento de
ambigüedad, que incluye el denominado «riesgo legal»4, pero que no llega a alcanzar el denominado
riesgo de «reputación»5 de enorme importancia en las entidades de crédito, ni los
denominados riesgos «estratégicos», también «de negocio», derivados de deficientes elecciones
de la estrategia o del negocio por los responsables de las entidades de crédito.
La figura anterior, nos permite apreciar algunas dificultades para evaluar las consecuencias
o efectos del riesgo operacional. Vemos que este tipo de riesgos queda parcialmente
reflejado en la contabilidad de las entidades en algunas ocasiones, cuando es posible
vincular las pérdidas, o gastos (quebrantos) extraordinarios a causas relacionadas con
la actividad operativa. En otros casos, ante procesos ineficientes, duplicación y solapamiento
de actividades, los efectos del riesgo operativo se diluyen como mayores gastos o
menores ingresos que los esperados, es decir se reflejan en medidas de ineficiencia, detectables
mediante bench market con las mejores prácticas del mercado, o mediante análisis
críticos de los procesos operativos. Lo que si parece más difícil de evaluar son los
costes y pérdidas de oportunidad, menores ingresos futuros, mayores costes que la competencia,
etc. (pérdidas de clientes y de operaciones inducidas, por ejemplo) debidas a
deficiencias operativas.
Esta visión del riesgo operativo muestra que las evaluaciones cuantitativas basadas en
la aplicación de técnicas estadísticas sobre bases de datos históricos, siendo elemento necesario
no es suficiente; pues no sería posible evaluar las nuevas operaciones y los procesos
innovadores. Tampoco la incorporación de experiencias externas sería suficiente,
Gestión del riesgo operativo en las entidades de crédito: un camino sin retorno
Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 ISSN: 1131 - 6837 56
2 Formado por los gobernadores de los bancos centrales y los jefes de los Organismos de Supervisión de:
Alemania, Canadá, Bélgica, España, Estados Unidos, Francia, Italia, Japón, Luxemburgo, Países Bajos, Reino
Unido, Suecia y Suiza
3 Comité de Supervisión Bancaria. Convergencia Internacional de medidas y normas de Capital. Marco revisado.
Junio 2004. Banco de Pagos Internacionales. Pág. 128
4 El riesgo legal, «se refiere a la pérdida que se sufre en caso de que exista incumplimiento de una contraparte
y no se pueda exigir, por la vía jurídica, cumplir con los compromisos de pago. Se refieren a operaciones
que tengan algún error de interpretación jurídica o alguna omisión en la documentación.» A. De Lara Haro.
«Medicion y control de riesgos financieros». Ed. LIMUSA. México 2003, pág 17
5 «La reputación corporativa se basa en el comportamiento agregado de una multitud de individuos que toman
innumerables decisiones que acaban siendo contempladas en una gran cantidad de observadores». J.
Mascareñas, «El riesgo en la empresa». Ed. Pirámide. Madrid 2004, pág. 185
aparte de las dificultades de trasposición de experiencias individuales de una a otra entidad,
seguiríamos sin datos de las innovaciones. Ademas de las bases de datos históricas
externas e internas, la gestión del riesgo operativo necesita de un análisis crítico y cualitativo
de los procesos operativos. Vemos, pues, la necesidad de recurrir al recurso del conocimiento
implícito en el seno de las entidades y a utilizar la creatividad (otra manifestación
de la gestión del conocimiento) para descubrir causas y efectos del riesgo
operacional a través de estudios cualitativos, contrastando y cuantificando «juicios» subjetivos
(indicadores clave), para incorporarlos tras su contraste empírico a la gestión cotidiana
de este tipo de riesgo. Todo lo cual supone implicar a toda la organización en la
gestión del riesgo operacional.
El riesgo operativo, asentado en el subsistema de actuación día a día, tiene unos componentes
ordinarios, de posible detección a través de la experiencia, y tiene otros componentes
de naturaleza extraordinaria ajenos o no a la gestión operativa de la entidad. El
ejemplo más elocuente que muestra el carácter extraordinario y poco previsible, es el de las
pérdidas de Lloyd’s, Berkshire-Hathaway, Allianz, y otros, por más de 44.000 MM de $,
debidas al 11S. Evidentemente, en estos casos extremos puede afectarse, sin limitaciones,
la solvencia de las entidades de crédito.
A modo de resumen, reflejamos en la tabla siguiente algunas características del riesgo
operacional según el concepto propuesto por Basilea II
Tabla 1
Características
Concepción «parcial»
de las causas y de los
efectos «ocasionados»
Riesgo personal y único,
e ilimitado en efectos
Complejidad de causas
y heterogeneidad de
efectos
Difícil de vincular a
precios, costes de productos
y servicios
Determinante y multiplicador
de otros riesgos
Afecta a la estrategia
de la entidad.
Descripción
No incluye riesgo de reputación,
ni estratégico o de negocio.
Depende del tipo, dimensión, historia,
y experiencia de cada entidad.
Escasamente relacionado con segmentos,
productos, e inversiones.
Diversidad de factores internos
(procesos, organización, sistemas,
equipo humano, etc.) y externos
(fraudes, otros)
El riesgo operativo, históricamente
no ha sido vinculado a precios o
costes. Hay procesos operativos
internos no vinculables a precios.
Algunos riesgos de crédito, de
mercado, de iliquidez, se motivan
en deficiencias operativas.
Afecta a la operatoria tradicional,
a la innovación, a los cambios estratégicos.
Observaciones
—Posibilidad de que la Alta dirección
de cada entidad «añada»
objetivos más amplios que los
que propone BASILEA II.
—Necesidad de abordar procesos,
operaciones y modelos de gestión
únicos, adaptados a cada entidad.
—Problemas de investigación de
causas, de contraste con otras entidades,
de descubrir en el seno
de la organización.
—Puede afectar a la parte «baja»
de la cuenta de resultados, como
pérdidas extraordinarias, mayores
gastos de explotación, etc.
—Necesidad de gestión independiente,
pero coordinada con un
enfoque global del riesgo.
—Responsabilidad de la alta dirección.
Atención especial a las innovaciones
y cambios estratégicos.
ISSN: 1131 - 6837 Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 57
José Ignacio Llaguno Musons
Parece, pues, justificado que el regulador responsable de la solvencia y eficacia del
sistema financiero en su conjunto, proponga, regule y controle, el riesgo operacional de
una manera firme y profesional, que complete y motive la gestión individual del riesgo
operativo en las entidades de crédito.
3. BASILEA II: UN TRAMPOLÍN ESTRATÉGICO PARA LAS ENTIDADES
La reciente evolución del sector financiero, junto algunas experiencias dañinas en entidades
de crédito del denominado riesgo operativo, ha motivado más de seis años de trabajos
del Comité de Basilea, para proponer, aprobar (26 de junio del 2004, en Madrid) y
publicar el denominado «El Nuevo Acuerdo de Capital (Basilea II)». Esta propuesta, «en
la Unión europea... dará lugar a una nueva directiva de adecuación de capital de las entidades
de crédito y empresas de inversión, que, a su vez, se transpondrá a las normativas
nacionales para su entrada en vigor a partir de diciembre del 2006.»6
Un factor externo a la gestión de las entidades de crédito, denominado factor regulación,
manifiesta a través de Basilea II su capacidad de irrupción en el seno de la gestión
empresarial, introduciendo nuevas disciplinas y procesos de control / información, que
afectarán con distinta intensidad la gestión y la cultura de estas entidades.
El Nuevo Acuerdo de Capital, se estructura en tres pilares de recomendaciones:
—Pilar I. Requerimientos mínimos de capital. Define el capital mínimo de las entidades
de crédito en función de los niveles de riesgos asumidos de crédito, de mercado y
operativos. Se establecen una ponderación de los riesgos vigentes, evaluados según
metodologías estándares (con parámetros predefinidos por Basilea II) o con métodos
avanzados (desarrollados por las entidades y aceptados por los supervisores). El capital
mínimo exigido a cada entidad ha de ser el 8% de la suma de la evaluación de los
riesgos de crédito, de mercado (mantiene la evaluación propuesta en 1998) y operacional.
La novedad, entre otras, consiste en considerar al riesgo operativo como un
riesgo importante, de similar tratamiento y evaluación, con consumo de capital.
—Pilar II. Proceso de Supervisión bancaria. Que determina las relaciones periódicas
y sistemáticas de cada entidad con los responsables de su supervisión (bancos centrales,
Banco España en nuestro caso). Cuatro principios encauzan estas relaciones: 1)
las entidades deberán contar con un proceso suficiente para evaluar sus requerimiento
de capital (control de riesgo) y con una estrategia coherente para su mantenimiento;
2) los supervisores juzgarán los procesos y estrategias de las entidades para verificar
su cumplimiento satisfactorio con posibilidades de intervenir, caso contrario; 3)
los supervisores podrán exigir un cumplimiento por encima del capital mínimo; y 4)
posibilidad de intervención inmediata y con prontitud cuando el capital requerido
esté por debajo del mínimo, exigiendo medidas correctivas eficaces.
—Pilar III. Disciplina de mercado. Establece requisitos para la divulgación de información
sobre los riesgos y su gestión para que los participantes y agentes del
mercado conozcan el perfil de riesgo de las entidades a nivel particular.
Gestión del riesgo operativo en las entidades de crédito: un camino sin retorno
Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 ISSN: 1131 - 6837 58
6 Cristina Iglesias-Sarría y Fernando Vargas. «El nuevo acuerdo de capital «BasileaII» y su transposición
europea. El proceso y la implementacion». Banco España. Estabilidad Financiera n.º 7, Pág. 11
Basilea II, con el Nuevo Acuerdo de Capital propone tres métodos de evaluación del
riesgo operacional7:
—Método del Indicador Básico. «649. Los bancos que utilicen el Método del Indicador
Básico deberán cubrir el riesgo operativo con un capital equivalente al promedio
de los tres últimos años de un porcentaje fijo (denotado como alfa [15%])
de sus ingresos brutos anuales positivos. Al calcular este promedio, se excluirán
tanto del numerador como del denominador los datos de cualquier año en el que
el ingreso bruto anual haya sido negativo o igual a cero.»8
—Método Estándar. Las actividades de los bancos se dividen en ocho líneas de negocios
y el requerimiento de capital de cada línea se calcula multiplicando el ingreso
bruto por un factor (denominado beta ), que se asigna a cada línea. Estas son las líneas
de negocio y sus «betas»: Finanzas corporativas 18%; Negociación y ventas 18%;
Banca minorista 12%; Banca comercial 15%; Liquidación y pagos 18%; Servicios
de agencia 15%; Administración de activos 12%; Intermediación minorista 12%.
—Método de medición avanzado (A.M.A.) Advanced Measurement Approaches.
Las entidades podrán elegir su propia metodología en tanto sea lo suficientemente
amplia y sistemática, y se atenga a un conjunto satisfactorio de criterios de calificación
basado en principios. Los criterios mínimos son: 1) El Consejo de administración
o alta dirección se encuentran altamente involucrados en la vigilancia de su política
de gestión de riesgo operativo. 2) Posee un sistema de gestión de riesgo
operativo conceptualmente sólido y aplicado en su integridad. 3) Cuenta con recursos
suficientes para aplicarlo en las principales líneas de negocio, así como en las
áreas de control y auditoría. Además se añaden las siguientes exigencias:
• Este sistema debe ser verificado (incluyendo «stress test») por los auditores internos
y externos del banco y por el supervisor y deberá demostrar que su calidad
es comparable al exigido en el método IRB de riesgo de crédito.
• Se admite el cómputo de los seguros que les permitirá reducir hasta el 20% de la
exigencia de capital, con la condición de que las compañías aseguradoras cuenten
con una calificación «A» o superior, y no estén vinculadas a la entidad. La póliza
de seguros deberá tener un plazo residual mayor a un año (si es menor se reduce el
descuento proporcionalmente hasta 0% para plazos residuales inferiores a noventa
días) incluyendo además un período de preaviso de cancelación y renovación.
• El supervisor puede autorizar a utilizar parcialmente el método AMA en ciertas
áreas y en otras el método del indicador básico y/o el método estándar,
• No se admite que un banco que emplea un método de cálculo sofisticado pase a
uno más sencillo.
Vemos una gradación en los sistemas de evaluación del riesgo operativo, desde la
menor participación de la gestión (método del indicador básico), pasando el método estándar
para una organización estructurada en líneas de negocio, hasta llegar al método
avanzado, que exige establecer un sistema de gestión con metodología propia, cualitativa
y cuantitativa, contrastada profesionalmente y por el propio supervisor.
ISSN: 1131 - 6837 Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 59
José Ignacio Llaguno Musons
7 Ver. Linette Field, «Basilea II: tercer documento consultivo y últimos avances». Banco España. Estabilidad
Financiera n.º 5
8 Comité de Supervisión Bancaria. Junio 2004 Ob. Cit. Pág. 128
Tal parece que la gestión del riesgo operativo supone iniciar un camino sin retorno
(no se puede retroceder a métodos menos sofisticados), de mejora continua, mediante el
cual la entidad reduce sus pérdidas y mejora su gestión interna. Evidentemente, dado que
será «obligatorio» cumplir con los requisitos en materia de gestión del riesgo operativo:
consumo de recursos propios, supervisión por la autoridad bancaria, y divulgación ante
el mercado de la gestión realizada; todo parece sugerir y motivar la opción 3: el método
de medición avanzada (AMA). Esta metodología, aunque comporta costes iniciales, tangibles
(recursos específicos) e intangibles (cambios en la cultura interna, gestión del conocimiento),
aporta gran potencial de consecución de objetivos en términos de creación
de valor, competitividad. y reputación profesional.
También Basilea II aportó un enfoque basado en «principios» para la gestión del riesgo
operativo que exponemos a continuación.
Tabla 2
Principios de «Prácticas Adecuadas para la Gestión
y Supervisión de los Riesgos de Operación»
Principio N.º 1 El Directorio [Consejo de Administración] debe ser consciente de
Responsabilidad los principales aspectos de los riesgos de operación del banco, como
alta dirección una categoría de riesgo distinta que debe ser gestionada, y debe aprobar
y revisar periódicamente el esquema de gestión del riesgo operativo
del banco. El esquema debe proporcionar una definición a nivel
corporativo del riesgo operativo y establecer los principios sobre la
manera como los riesgos de operación serán identificados, evaluados,
monitoreados, y controlados/mitigados
2. Aseguramiento El Directorio debe asegurar que el esquema de gestión del riesgo
efectivo del control operativo del banco esté sujeto a una auditoría interna efectiva e integral
por parte de personal competente, operativamente independiente y
apropiadamente entrenado. La función de auditoría interna no debe ser
directamente responsable de la gestión de los riesgos de operación.
3. Gestión integral La Alta Gerencia debe tener la responsabilidad de implementar el
toda la organización esquema de gestión del riesgo operativo aprobado por el Directorio.
El esquema debe ser implementado en toda la organización bancaria,
y todos los niveles del personal deben entender sus responsabilidades
con relación a la gestión de los riesgos de operación. La alta gerencia
también debe tener la responsabilidad de desarrollar políticas, procesos
y procedimientos para la gestión de los riesgos de operación en
todos los productos, actividades, procesos y sistemas del banco.
Gestión de riesgos: Identificación, Evaluación, Monitoreo, y Mitigación/
Control
4. Tanto para las Los bancos deben identificar y evaluar el riesgo operativo inherente
actividades actuales a todos los productos, actividades, procesos y sistemas relevantes.
como las nuevas Los bancos también deben asegurar que antes de introducir o emprender
nuevos productos, actividades, procesos y sistemas, el riesgo operativo
inherente a los mismos esté sujeto a procedimientos de evaluación
adecuados.
Gestión del riesgo operativo en las entidades de crédito: un camino sin retorno
Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 ISSN: 1131 - 6837 60
5. Gestión permanente Los bancos deben implementar un proceso para monitorear regularsistemática
y proactiva mente los perfiles de riesgos de operación y su exposición material a
pérdidas. Debe existir un reporte permanente de información pertinente
a la Alta Gerencia y al Directorio que apoye la gestión proactiva
de los riesgos de operación
6. Coherencia entre Los bancos deben tener políticas, procesos y procedimientos para
estrategias y objetivos controlar o mitigar los riesgos de operación significativos. Los bancos
deben evaluar la viabilidad de estrategias alternativas de control y limitación
de riesgos, y deben ajustar su perfil de riesgo operativo empleando
estrategias apropiadas, de conformidad con su apetito y perfil
integral de riesgo
7. Existencia de planes Los bancos deben implementar planes de contingencia y de contide
contingencia nuidad del negocio a fin de garantizar su capacidad para operar en
forma continua y minimizar las pérdidas en caso de una interrupción
severa del negocio
8. Supervisión Los supervisores bancarios deben exigir a todos los bancos, sin imobligada
todo portar su tamaño, que implementen un esquema eficaz para identifitipo
de entidades car, evaluar, monitorear y controlar o mitigar los riesgos de operación
materiales como parte de un enfoque integral para la gestión de riesgos.
9. Supervisión Los supervisores deben llevar a cabo, de manera directa o indirecta,
periódica una evaluación periódica independiente de las políticas, procedie
independiente mientos y prácticas de un banco relacionadas con los riesgos de operación.
Los supervisores deben asegurarse de contar con mecanismos
apropiados de reporte que les permitan mantenerse informados de los
avances en los bancos.
10. Transparencia Los bancos deben hacer suficiente divulgación pública para permitir
y divulgación que los participantes del mercado evalúen su enfoque para la gestión
de los riesgos de operación.
Comité de Supervisión Bancaria de Basilea BANK FOR INTERNATIONAL SETTLEMENTS. Julio 2002
De esta manera Basilea II organiza la gestión del riesgo operativo de las entidades de
crédito, junto a las gestiones de los riesgos de crédito y de mercado, dotando a esta gestión
de, al menos, las siguientes disciplinas:
—Disciplina financiera de asignación de recursos. El riesgo operativo, y su evaluación
cuantitativa (un porcentaje de los ingresos) consume un 8% del capital económico
del banco o entidad de crédito. Este recurso escaso es el más caro de las entidades
y es una medida de las pérdidas (no esperadas, las esperadas se dotan o
reducen los resultados) estimadas por la entidad en concepto de riesgo operativo9.
ISSN: 1131 - 6837 Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 61
José Ignacio Llaguno Musons
9 El sistema estándar de evaluación del riesgo operativo cuantifica a éste en el 15% de los ingresos operativos
netos de intereses, media de los 3 últimos años, prácticamente supone el 15% del denominado Margen Ordinario.
De esta manera la exigencia de capital mínimo en base del riesgo operativo (8% del 15%) supone el
1,2% del Margen Ordinario medio.
Este sistema aporta una motivación para controlar y gestionar el riesgo operativo,
elevando su importancia estratégica para hacer de este tipo de gestión una fuente
de creación de valor para las entidades.
—Disciplina interna de gestión y control del riesgo operativo, donde la gestión y
la organización de la entidades han de comprometerse con medidas permanentes
de mejora continua, mediante procesos de identificación, evaluación, gestión, mitigación,
información y control de estos tipos de riesgos, que sean eficientes y aceptables
por el Supervisor. Disciplina que supone dotar a la organización interna de
medios para mejorar constantemente, controlando sus potenciales fuentes de pérdidas
operativas. Se exige compromisos de los órganos de gobierno, la creación de
unidades de gestión con objeto exclusivo, y la confección de informes ordinarios y
extraordinarios.
—Seguimiento y control periódico y sistemático. El organismo supervisor se compromete
a controlar y seguir periódicamente los sistemas, estructuras, y modelos
de gestión del riesgo operativo de cada entidad en concreto. Por tanto, los sistemas
de gestión de este tipo de riesgo se convierten en una función permanente y perfeccionable
de la estructura organizativa de cada entidad de crédito.
—Disciplina de transparencia con el mercado. Informando periódica y sistemáticamente
al mercado, para que este evalúe y compare las mejores prácticas empresariales.
Lo que demanda desarrollar la transparencia sobre la gestión del riesgo
tanto interna como externamente, es decir la gestión del riesgo operativo ha de
asentarse en el seno de la cultura interna de las entidades.
—El riesgo operativo, y su control, se convierten en un instrumento con enfoque
financiero (consumo de capital) imprescindible para gestionar la creación de valor
en el seno de las entidades.
—En definitiva, disciplina ante la competencia, donde las mejores prácticas en la
gestión interna del riesgo operativo, aportaran ventajas competitivas en términos
de eficacia (menores costos y pérdidas, menores necesidades de capital)), en términos
de reputación (profesionalidad y control de riesgos) y en términos de adaptabilidad
a las nuevas condiciones del mercado.
Apreciamos como a la mera gestión administrativa individual de los riesgos operativos,
el Supervisor añade elementos que inciden en las dimensiones estratégicas de las entidades
de crédito. Pues, los niveles de riesgo operativo afectan a la asignación de capital
de responsabilidad de los altos órganos de gestión, con trascendencia sobre los mismos
(posibilidad de intervención, con efectos jurídicos y pecuniarios sobre la entidad y sobre
sus administradores) y afectando también a la «imagen» y reputación que la entidad genera
en los mercados.
Tanto por la forma como por el contenido, Basilea II, es la base, a la vez que una propuesta
internacional, para gestionar el riesgo operativo en las entidades de crédito, junto a
los riesgos de crédito y de mercado, que afecta a las entidades europeas y a las del resto del
mundo, en la medida que los reguladores y supervisores de otros países, para poder competir
en los mercados globalizados, interioricen el contenido del Nuevo Acuerdo de Capital.
Esta segunda dimensión del Acuerdo, presiona sobre otro nivel de la gestión estratégica
de las entidades de crédito: su competencia nacional e internacional. He aquí la importancia
que reviste este tipo de gestión del riesgo operativo, que constituirá una amena-
Gestión del riesgo operativo en las entidades de crédito: un camino sin retorno
Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 ISSN: 1131 - 6837 62
za para las entidades menos preparadas y una oportunidad de crear valor para las mejor
preparadas y dispuestas.
Si como hemos visto Basilea II, con su innovación en materia de gestión del riesgo
operacional, aumenta la los requisitos de capital de las entidades de crédito, cabe la pregunta
si este incremento de lo requisitos puede afectar al mercado y a los clientes de las
entidades de crédito en el sentido de que un mayor aumento de los requisitos de los recursos
más onerosos afectaría a la oferta de fondos prestables y al coste de la financiación.
Para contestar a esta cuestión debemos consultar el artículo de C. Lozano. «El
estudio del impacto cuantitativo en España de la propuesta (CP3) de Nuevo Acuerdo de
Capital de Basilea»10, en el que el autor simula dentro del sistema financiero español los
efectos de aplicar la propuesta del momento (CP3), del año 2003. De este trabajo extraemos
el cuadro siguiente (pág. 129):
Tabla 3
Resultados España QIS3 (% de variación de los requerimientos de capital)
Método estándar Método IRB básico Método IRB avanzado
Media simple
Riesgo de crédito –5 –16 –22
Riesgo operativo 9 9 9
Total 4 –8 –13
Media ponderada
Riesgo de crédito –3 –6 –16
Riesgo operativo 10 10 10
Total 7 4 –7
Apreciamos que se produce una «compensación», cuando la simulación estudia la
utilización del método estándar para evaluar tanto el riesgo de crédito como el operativo.
En efecto, según expresa el Cuadro para el método estándar se reducen los requerimientos
de capital en razón del riesgo crediticio en un 5% y se aumenta un 9% por la novedad
del capital exigido para el riesgo operativo, generándose un aumento neto del 4% de exigencias
de capital respecto a la situación anterior. Ciertamente, parece deducirse tanto a
nivel de media simple y media ponderada, que inmediatamente aumentan los requisitos
de capital, aunque dicho aumento cambia de signo a medida de que las entidades de crédito
perfeccionan su metodología de evaluación del riesgo, y discurren por los métodos
avanzados. Todo lo cual nos vuelve a evidenciar la dimensión estratégica de la aplicación
del Nuevo Acuerdo de Capital (Basilea II): en la medida en la que las entidades mejoren
el control de sus riesgos podría reducirse el nivel de recurso propios requerido por
el regulador. Es decir, las entidades más eficientes en la gestión de los riesgos podrían
serlo, también, en términos de competencia en el mercado.
ISSN: 1131 - 6837 Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 63
José Ignacio Llaguno Musons
10 Lozano. El estudio del impacto cuantitativo en España de la propuesta (CP3) de Nuevo Acuerdo de Capital
de Basilea. Banco España. Revista Estabilidad Financiera n.º 5, pág. 129
4. UNA APROXIMACIÓN A LA REALIDAD DEL RIESGO OPERATIVO
Ahora abordaremos la información pública existentes sobre los diferentes eventos de
riesgo operativos en su afectación a las diferentes actividades de las entidades de crédito.
Reconocemos que nos aproximamos una realidad sesgada, poco representativa, y sin
vincular a tipologías de entidades. Sin embargo, este original trabajo, nos permitirá observar
algunas característica del riesgo operacional.
Este tipo de riesgo debe ser definido y acotado por los órganos rectores de las entidades
de crédito, deben decidir qué son y hasta donde alcanzan los riesgos operativos que
pretenden gestionar. Ya vimos la parcialidad y ambigüedad del concepto propuesto por
el Comité de Basilea, por lo que no sería extraño, que a la hora de adquirir compromisos
en desarrollar una línea de gestión se ampliara el concepto de forma que se incluyera el
riesgo reputacional, y otros relacionados con el riesgo operativo. Necesariamente, estas
primeras decisiones que afectan a la definición del riesgo operacional deben inscribirse
dentro de un plan de actuación de naturaleza global en el que hay que considerar la estructura
y los recursos con que se pretende abordar la gestión del riesgo operativo. «El
Comité reconoce que el término riesgos de operación tiene una variedad de significados
al interior de la industria, y en consecuencia, para propósitos internos, los bancos pueden
elegir adoptar sus propias definiciones de riesgos de operación. Cualquiera sea la
definición exacta, una clara comprensión por parte de los bancos del significado de los
riesgos de operación es crítica para la gestión y control eficaces de esta categoría de
riesgos. También es importante que la definición elegida considere todo el rango de
riesgos de operación materiales que el banco enfrente y capture las causas más significativas
de pérdida operacional»11.
El propio Comité ha establecido un conjunto de eventos asociados al riesgo operativo
de las entidades de crédito. Estos eventos de distinta naturaleza, provienen del
seno de las organizaciones y conviven con otros eventos de procedencia externa. En
el caso de las entidades de crédito, como organizaciones prestadoras de servicios, estas
prestaciones se ejecutan con la intervención de proveedores y clientes que aportan,
también factores externos generadores de riesgo. Muy importante, en grado creciente,
es el factor tecnológico (información y telecomunicaciones) como factor de riesgo al
que las entidades dependen en gran medida para realizar sus operaciones. El factor
humano, directo o indirecto, es generador de factores de riesgo operativo de la misma
manera que constituye el elemento a considerar para gestionar este tipo de riesgo.
Nuestro trabajo remitirá escuetamente a la tipología de eventos de riesgo definidos
por el Comité.
Exponemos a continuación los eventos considerados por el Comité de Basilea, entendiendo
que su descripción es meramente orientativa, y que la definición concreta será heredera
de la cultura interna de cada entidad individual:
Gestión del riesgo operativo en las entidades de crédito: un camino sin retorno
Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 ISSN: 1131 - 6837 64
11 BIS. Ob. citada
Tabla 4
Eventos de pérdidas según el Comité de Basilea12
Evento Descripción
1. Fraude interno No informar intencionadamente de determinadas posiciones, infidelidades
de empleados y uso el de información privilegiada para enriquecimiento
propio.
2. Fraude externo Robo, falsificación, daños de fanáticos informáticos (hackers), etc.
3. Empleo y seguridad Compensaciones a trabajadores por quejas, violaciones a las normas
de seguridad e higiene en el trabajo, demandas en el puesto de trabajo
por discriminaciones y por responsabilidades generales.
4. Daños a los activos Terrorismo, vandalismo, terremotos, fuegos e inundaciones.
5. Interrupciones de Caídas del software, problemas de telecomunicaciones y apagones
negocios y sistemas públicos.
6. Ejecución y procesos Errónea entradas de datos, documentación legal incompleta, accesos
de gestión no aprobados a las cuentas de clientes, rupturas de contratos, disputas
con proveedores y daños colaterales.
En la práctica, para evaluar el riesgo operativo se utilizan dos variables: 1) la frecuencia
o probabilidad, que consiste en el número de ocasiones en la se detecta la presencia de
eventos causales de riesgo, y 2) la severidad, o importancia del impacto de los eventos de
riesgo sobre los resultados o el patrimonio de la empresa. Estas dos variables permiten conformar
un espacio de dos dimensiones con cuatro zonas que permite clasificar los riesgos a
fin de establecer prioridades en la gestión y mitigación de los mismos (ver figura siguiente).
Figura 2
ISSN: 1131 - 6837 Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 65
José Ignacio Llaguno Musons
12 BIS. Ob. citada
Distinguiremos, en primer lugar, la zona de ubicación de aquellas actividades sometidas
a eventos de riesgo operativo de frecuencia y severidad alta. Esta zona es la más peligrosa,
y prácticamente insostenible a corto y medio plazo, donde los eventos tienen alta
probabilidad (frecuencia) de acontecer con graves consecuencias (severidad) para los resultados
o el patrimonio de la entidad. La gestión del riesgo operativo en esta zona estará
dirigida a reducir frecuencias (con controles preventivos) y la severidad (protecciones y
cobertura), en muchos casos habrá de pensarse en seguir o transferir esas actividades
arriesgadas a terceros (venta, cesión, outsourcing) con mayor capacidad de soportar este
tipo de riesgo.
Otra zona peligrosa es la delimitada por eventos de baja frecuencia o probabilidad de
acontecimiento y alta severidad. En esta zona veremos que la gestión interna, el establecimiento
de controles, vigilancia de procesos, no es muy eficiente debido a la baja probabilidad,
lo que no evita el peligro de su gran impacto. El ejemplo para este tipo de riesgos
son los habituales objeto de aseguramiento por compañías de seguros: incendios, catástrofes,
fuerza mayor, robos, etc. Por ello en esta zona serán de interés la búsqueda de coberturas
satisfactorias y la prevención de aquellos casos que no gozan de coberturas
apropiadas.
Lo habitual en la gestión del riesgo operativo es situarse en la zona de eventos con
alta frecuencia de acontecimiento pero de severidad media baja. Esta es la zona donde
la gestión del riesgo operacional debe obtener resultados reduciendo frecuencias e impactos.
La zona ideal o deseable, también el objetivo a alcanzar, es aquella en que tanto la
frecuencia como la severidad de los eventos son bajas, aquí el gestor del riesgo se encuentra
relajado, centrando sus problemas en la posibilidad de un cambio de las condiciones
externas o internas que le aleje de esta zona oasis.
Aplicaremos esta matriz de doble entrada (frecuencia y severidad) a la recopilación
de datos utilizada por el Comité en el año 200213. Se solicitaron datos internos de
eventos de pérdidas en el año 2001 a 89 bancos, de 11 países, y se recopilaron 47.000
datos de pérdidas por riesgo operacional14. Estos eventos se evaluaron en el Comité de
Basilea, por el RMG (Risk Managemen Group), dando lugar a varios trabajos denominados
QIS (Quatitative Impact Study). Baste destacar que se estudiaron (mayo de
2002) más de 47.000 eventos de riesgo operativo con pérdidas censadas de 7.795,5 millones
de €.15
Exponemos a continuación estos datos clasificados en dos tablas: 1) que presenta el
número de eventos de pérdida (frecuencia) y su correspondiente severidad (pérdidas en
miles de €) observados sobre 8 líneas de actividad operativa de los bancos que facilitaron
los datos; y 2) en base la misma estructura de eventos y severidad esta vez lo consideramos
sobre 8 tipos de eventos.
Gestión del riesgo operativo en las entidades de crédito: un camino sin retorno
Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 ISSN: 1131 - 6837 66
13 BIS. Risk Management Group The Quantitative Impact Study for Operational Risk: Overview of Individual
Loss Data and Lessons Learned. January 2002.
14 Ver M.ª Angeles Nieto Jiménez-Montesinos. «El tratamiento del riesgo operacional en Basilea» Ii. Revista
del Banco España. Estabilidad financiera. N.º 8. Mayo 2005
15 Santiago Carrillo Menéndez RiskLab-Madrid Universidad Autónoma de Madrid. Introducción a los riesgos
financieros: el riesgo operacional, pág 4
Tabla 5
Línea negocio
Frecuencia Severidad
N.º Eventos % Total Pérdidas 000€ % Total Sev.Unit €
Banca de empresas 423 0,89% 273.500 3,51% 646.572
Trading y ventas 5.132 10,86% 1.163.100 14,92% 226.637
Banca detalle 28.882 61,10% 2.289.000 29,36% 79.254
Banca comercial 3.414 7,22% 2.256.600 28,95% 660.984
Medios de pago 1.852 3,92% 253.500 3,25% 136.879
Servicios agencia 1.490 3,15% 331.700 4,26% 222.617
Gestión activos 1.109 2,35% 216.050 2,77% 194.815
Agencia minorista 3.268 6,91% 913.700 11,72% 279.590
Otros negocios 1.699 3,59% 98.000 1,26% 57.681
Total 47.269 100,00% 7.795.150 100,00% 164.910
Fuente: QIS 3 y elaboración propia.
Desde el punto de vista de las actividades operativas de los bancos analizados destacamos
que más de la mitad de los eventos, el 61,10%,se han registrado en la actividad de
«Banca detalle», pero con una severidad menos que proporcional (29,36%) debido al
modesto importe unitario medio de las pérdidas (79.254 €). Le sigue en importancia
«Banca Comercial» con poca frecuencia de eventos (7,22%) de mayor severidad media
unitaria (660.984 €). El resto de actividades lo reflejaremos más adelante.
Tabla 6
Eventos causa
Frecuencia Severidad
N.º Eventos % Total Pérdidas 000€ % Total Sev.Unit €
Fraude interno 1.564 3,31% 563.600 7,23% 360.358
Fraude externo 20.039 42,39% 1.211.500 15,54% 60.457
Prácticas inseguras 4.028 8,52% 526.500 6,75% 130.710
Prácticas negligentes 3.390 7,17% 1.024.400 13,14% 302.183
Daños físicos 662 1,40% 1.893.500 24,29% 2.860.272
Fallos sistemas 541 1,14% 212.500 2,73% 392.791
Fallos procesos 16.578 35,07% 2.292.500 29,41% 138.286
Otras causas 467 0,99% 70.650 0,91% 151.285
Total eventos 47.269 100,00% 7.795.150 100,00% 164.910
Fuente: QIS 3 y elaboración propia.
En cuanto a los eventos apreciamos que los más numerosos son los denominados
«Fraude externo» (22,39%) pero que por su modestia en severidad, explican tan solo el
15,54% de las pérdidas observadas. Otra consideración hay que tener con los denominados
«Daños físicos», de escasa frecuencia (1,40% del total de eventos) pero de gran impacto
unitario medio en términos de pérdidas: 2,86 millones de € por evento, lo que
aporta el 24,29% de la severidad observada.
ISSN: 1131 - 6837 Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 67
José Ignacio Llaguno Musons
Con estos datos pasaremos a posicionar las líneas de actividad en términos de frecuencia
y severidad:
Fuente: BCBS, QIS 3 y elaboración propia.
Figura 3
Banca al Detalle se ubica en el cuadrante superior. Se caracteriza por presentar alta
frecuencia con severidades unitarias modestas, lo que refleja ser una gran fuente de pérdidas.
Muchos pocos hacen un riesgo operativo importante, lo que demanda un modelo
de gestión del riesgo operativo singular y complejo, especialmente preocupado en reducir
el número de eventos negativos. Se necesita, por tanto, de la presencia de numerosos
controles y de implicar al mayor número de personas.
Destacamos también la actividad de Banca Comercial, con una frecuencia significativamente
inferior a Banca al detalle, pero con un impacto final de similar magnitud dada
la alta severidad unitaria observada. Ahora estamos en la antitesis de la posición anterior:
se tratará de realizar una gestión muy selectiva con controles específicos de los importes
puestos en riesgo.
Salvo las actividades de Trading y Ventas, y Agencia minorista, el resto de actividades
se ubica en una zona de baja frecuencia y modesta severidad. Sobre estas actividades
deberá procederse a la gestión del riesgo operativo aunque con menor prioridad que las
citadas en primer lugar.
Veamos ahora el posicionamiento de los eventos estudiados por el QIS:
Gestión del riesgo operativo en las entidades de crédito: un camino sin retorno
Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 ISSN: 1131 - 6837 68
Fuente: BCBS, QIS 3 y elaboración propia.
Figura 4
Los eventos que han generado mayores pérdidas dentro del colectivo estudiado son:
Daños Físicos (de escasa frecuencia y gran impacto unitario); Fraude Externo (gran frecuencia
y reducido impacto unitario); Fallos en los Procesos (gran frecuencia e impacto
unitario medio); y Prácticas negligentes ( de frecuencia e impacto unitario medios). Los
otros eventos considerados se ubican en zonas medias bajas de frecuencia y de severidad.
Este posicionamiento de los eventos distribuye casi al 50% los de procedencia interna
(Fallos en los procesos y Prácticas negligentes) respecto a los de procedencia externa
(Fraude Externo, y Daños sobre activos). De estos últimos, destacamos las dificultades
de controlar la actuación de clientes y proveedores en materia de servicios, donde se necesita
su colaboración para culminar las prestaciones de servicios. Y, reconocemos que
los eventos denominados Daños físicos son los que encuentran mayor posibilidad de cobertura
en el sector seguros.
Estas observaciones nos indican la intensidad de los controles a realizar para descubrir
las causas de los riesgos operativos. Así en banca al detalle, los tipos de controles
han de ser extensos y masivos, atendiendo al volumen de operaciones y a su frecuencia
de fallo o error. Otro es el modelo de control a aplicar en banca de empresas y en banca
comercial, de menor volumen de operaciones, pero de mayor complejidad.
Desde la óptica que nos sugiere el QIS, basado en una muestra «voluntaria» que no es
representativa en términos estadísticos, nos ha servido para vislumbrar la complejidad de
tratamiento de los eventos de riesgos operativo, y cómo en cada actividad bancaria ha de
procederse de manera diferente y condicionada a las características del negocio.
ISSN: 1131 - 6837 Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 69
José Ignacio Llaguno Musons
5. ¿LA GESTION DEL RIESGO OPERATIVO: ARTE O CIENCIA?
Evidentemente la gestión del riesgo operativo con ser una preocupación «especializada
» de la alta dirección de las entidades financieras, no puede separarse del contexto general
en el que se celebra en el management de las entidades. Este tipo de gestión específica
debe ubicarse en el contexto cultural general y basarse en las capacidades y
habilidades de las entidades para convivir y colaborar con la estrategia general. Todo ello
hace que la gestión del riesgo operacional deba, también, planificarse, asistiéndola con
los puntos fuertes de la entidad.
Hasta ahora nuestro trabajo nos ha permitido destacar algunas características del riesgo
operativo, su cotidianidad e inercia, su especificidad según tipos de actividades y
eventos, la innovación introducida por el regulador: «Basilea II supondrá una de los más
grandes shocks estructurales de la industria bancaria en las últimas décadas16» que nos
imposibilitan proponer modelos de gestión específicos y que nos sugieren apelar al
«arte» de crear modelos y procedimientos específicos para cada entidad.
El Comité de Supervisión Bancaria propone una definición de la gestión del riesgo
operativo: «gestión» de riesgos de operación significa la «identificación, evaluación,
monitoreo y control mitigación» de riesgos»17. Definición que aporta un programa por
fases para llegar a la gestión de los riesgos. Pero este enfoque por fases, dada la inmediatez
de la aplicación del Acuerdo, tampoco se puede demorar, como lo muestran algunas
entidades españolas que han comenzado a gestionar este tipo de riesgo.
Las entidades de crédito en España se enfrentan a la gestión del riesgo de gestión desde
diferentes posiciones iniciales. Diversos estudios18 confirman la existencia de áreas
organizativas especializadas en la gestión del riesgo operativo de forma adaptada a la
propuesta del BIS, otras entidades muestran su interés y han comenzado a prepararse
para la dotarse de un sistema de análisis, evaluación, gestión, mitigación y control del
riesgo operativo. Algunas, más rezagadas, reconocen la necesidad de conformar un área
especializada ante la próxima entrada en vigor a finales del 2006.
Se necesitan en nuestro país bases de datos que recojan las experiencias del sector
en materia de riesgo operacional. A esta cuestión están respondiendo las entidades
tanto de forma individual como colectiva (ABE de los bancos, CECA de las cajas de
ahorros, etc.), sin embargo reconocemos que este trabajo deberá madurar a largo plazo.
Cuando se obtengan bases de datos consistentes el siguiente paso será determinar
las funciones de densidad de mayor representatividad y precisión para estimar las pérdidas
inesperadas (desviación estándar de las pérdidas) y de las pérdidas en caso de
crisis (bajo supuestos de stress, y de grandes pérdidas). Tal y como se expresa en el
gráfico 5 de la siguiente página.
Ahora bien, debido a que los estudios cuantitativos, basados en datos y experiencias,
no tienen suficiente base estadística y no cubren las innovaciones (operativas, de proce-
Gestión del riesgo operativo en las entidades de crédito: un camino sin retorno
Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 ISSN: 1131 - 6837 70
16 Ver Gonzalo Gil, subgobernador del Banco España en «Los retos de la supervisión bancaria y las nuevas
perspectivas del Acuerdo Basilea II». Pazo de Mariñan (A Coruña). Septiembre 2003
17 Comité de Supervisión Bancaria de Basilea. BIS. Prácticas Adecuadas para la Gestión y Supervisión de
los Riesgos de Operación. Julio del 2002, pág. 9
18 Ver Price Waterhouse Coopers. Gestión del Riesgo Operacional en las Entidades Financieras Españolas.
Acuerdo de Basilea. Madrid 2 de octubre de 2002
Figura 5
sos, de nuevas tecnologías, etc.) a las que acuden las entidades de crédito en su supervivencia
competitiva; se necesitan completar con estudios cualitativos, de prevención de
eventos de riesgo, y de estimación subjetiva (y perfeccionable) de los mismos.
Figura 6
Nuestra figura muestra el recorrido del análisis de las cusas, eventos, y efectos del
riesgo operativo. Recorrido a analizar en detalle y con actitud crítica para abordar la gestión
del citado riesgo dentro del marco de la gestión integral de las entidades de crédito.
Este sistema de identificación y evaluación del riesgo a través de estudios cuantitativos
y cualitativos estará sujeto a constante revisión y perfeccionamiento. A manera que
ISSN: 1131 - 6837 Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 71
José Ignacio Llaguno Musons
se vaya incrementando la bases de datos y se afinen en el diseño y control de los indicadores
clave del riesgo operativo, las entidades de crédito afinarán sus sistemas de gestión
del riesgo operacional, en vías de aproximarse al método A.M.A. Advanced Measurement
Approaches, para reducir los requisitos de capital regulatorio y obtener eficiencia
en términos financieros y en términos de gestión en general.
Por lo cual las entidades financieras en general, y las españolas en particular, con mayor
o menor urgencia, se enfrentan con la puesta en marcha de un sistema nuevo de gestión
del riesgo operativo, complejo, cuya aprobación definitiva trasciende la responsabilidad
de la máxima autoridad de las entidades porque será supervisada periódica y
sistemáticamente por el Banco de España.
Figura 7
A tal enumeración de cuestiones que afectan a la gestión del riesgo operativo apreciables
en el esquema anterior, debemos recordar las recomendaciones del Acuerdo de Basilea para
reconocer las características que debe revestir un sistema de gestión del riesgo operativo. El
Comité de supervisión Bancaria propuso en el año 200219 un conjunto de directrices y recomendaciones
para la gestión del riesgo operativo. La propuesta considera un modelo de gestión
basado en principios. Un resumen de los mismos exponemos en el cuadro siguiente:
Gestión del riesgo operativo en las entidades de crédito: un camino sin retorno
Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 ISSN: 1131 - 6837 72
19 Comité de Supervisión Bancaria de Basilea. Prácticas Adecuadas para la Gestión y Supervisión de los
Riesgos de Operación Julio de 2002
Características recomendadas Comentarios e implicaciones
Responsabilidad La alta dirección será responsable del diseño, características y
Alta dirección funcionamiento del sistema.
(Consejo Administración) Deberá definir conceptos, estrategias y políticas.
Es necesario establecer canales de comunicación e interrelación
con la alta dirección.
Sistema efectivo Sistema bien diseñado, probado, dotado de recursos competentes e
independientes de la operatoria, y entrenados.
No debe ser competencia de los departamentos de auditoría interna.
Afecta a toda Debe tratarse de un sistema integral, especializado, que afecta a
la organización toda la organización.
Cabe organizarlo de forma centralizada o descentralizada para
siempre integrando la totalidad de las actividades
Actividades actuales Aparte del sugerido proceso de diagnóstico y revisión de los proy
nuevas cesos y actividades actuales, el sistema de intervenir en las novedades,
innovaciones y modificaciones de las actividades de las entidades
de crédito.
Gestión permanente El sistema ha de contar con estructura permanente, y actuar de
sistematica y forma sistemática, ágil y flexiblemente, previendo y actuando anproactiva
ticipadamente antes las sospechas o intuiciones de riesgo operativo.
Con planes Lo que supone trabajar con escenarios pesimistas, de estrés, y conde
contingencia tar con planes de contingencia.
De obligada El sistema debe ser validado por el Supervisor, al cual rendirá insupervisión
formes y memorias, cumpliendo sus recomendaciones y requisitos.
Estas características y la interpretación de los principios propuestos por Basilea II sugieren
organizar la gestión de los riesgos en las entidades de crédito, a través de órganos
especializados en conexión directa con la máxima autoridad, tal y como exponemos en la
siguiente figura:
Figura 8
ISSN: 1131 - 6837 Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 73
José Ignacio Llaguno Musons
El área de gestión de los riesgos operativos, según tamaño y características en las que
se ubique deberá centrarse en las relaciones habituales de la organización con el subsistema
operativo, tal y como lo reflejamos en el cuadro siguiente:
Figura 9
Entendemos y sugerimos, por tanto, —sea cual sea las características de la entidad de
crédito— la necesidad de crear una nuevo área de gestión del riesgo operacional, independiente
de las áreas comerciales, estratégicas, y de auditoría (aunque sujeta a su revisión),
suficiente en términos de medios, con capacidad de gestionar directamente, o través
de delegaciones internas, el riesgo operativo. El perfil de tal órgano, entre otras,
debiera contar con las siguientes características:
—Visión global e integrada con las grandes decisiones de la entidad de crédito. En
contacto directo con la máxima autoridad y bien informado de las decisiones estratégicas.
—Amplio conocimiento interno de la organización, de la cultura interna, y de las
operaciones actuales y futuras. Con canales de comunicaciones horizontales y verticales.
—Contar con un equipo humano motivado, capacitado en las técnicas cuantitativas y
cualitativas de gestión del riesgo. Que integre el conocimiento explícito e implícito
de la organización y aborde la innovación y la creatividad en todos los aspectos de
las operaciones: productos, procesos, sistemas, etc.
—Con capacidad de informar sistemáticamente a la alta dirección; proponer acciones
de mejora y de cobertura de riesgos operativos, y con capacidad de ejecución de
las directrices emanadas por la alta dirección.
Fundamentalmente el área de gestión del riesgo operativo debe concebirse como una
estructura dinámica, flexible y adaptativa, con capacidad de progreso continuo. Todo lo
cual nos lleva a sugerir que la creación y desenvolvimiento de dicha área debiera graduarse
en el tiempo, considerando su evolución en términos de coste eficiencia.
Los cometidos de esta unidad los reflejamos en el esquema dibujado a continuación.
Gestión del riesgo operativo en las entidades de crédito: un camino sin retorno
Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 ISSN: 1131 - 6837 74
Figura 10
6. CONCLUSIONES: LA GESTION DEL RIESGO OPERATIVO
UNA DISCIPLINA DINAMICA Y ABIERTA A LA MEJORA CONTINUA
A la hora de establecer conclusiones generales de cómo se debe gestionar el riesgo
operativo en las entidades de crédito y cómo afectará esta gestión al management general
de las entidades, hemos de ser precavidos, y partir de una filosofía científica de tipo «situacionista
» que nos permita ir centrando cuestiones para aplicar las soluciones pertinentes
según circunstancias, entornos, y características de cada entidad de crédito.
Esta posición intelectual, lejos de apelar a ningún tipo de escepticismo, reconoce la
complejidad de este tipo gestión, su especificidad y cotidianidad, y confía tanto en el saber
hacer de las entidades como en las aportaciones científicas de la comunidad, para que
se produzca un progreso notable en el tiempo para este tipo de gestión en cada entidad en
concreto, enmarcada como está en un entorno dinámico y de alta competencia.
Esta visión, coincide, o pretende coincidir, con las decisiones adoptadas por el Comité
de Basilea, asesor de los supervisores financieros, cuando reconoce la importancia del
riesgo operacional, al cual ha dedicado largos años de estudios, y al que propone regular
desde la idiosincrasia del sistema, como si se tratara de un riesgo de crédito habitual en
las entidades, reservando a la iniciativa y profesionalidad individual la metodología del
control y gestión internos, comprometiéndose en el seguimiento y verificación periódicas
de las gestiones y sus instrumentos, y proponiendo la permanente transparencia de los
hechos para su evaluación definitiva por el mercado.
Por lo cual, consideramos la gestión del riesgo operativo como un reto profesional y
científico, que afecta a los gestores de las entidades de crédito en particular, también a
los supervisores de los sistemas financieros como responsables de la eficiencia de los
mismos, y a la comunidad científica en general para que colabore con la investigación y
propuesta de metodologías eficientes.
ISSN: 1131 - 6837 Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 75
José Ignacio Llaguno Musons
Desde nuestra modesta perspectiva, y en base al trabajo realizado, presentamos, algunas
conclusiones:
—El riesgo operativo se inscribe en el subsistema operativo de las entidades de crédito,
en el que se ejecutan todas las transformaciones y resultados, positivos y negativos
de estas entidades. La gestión de este riesgo pertenece por antonomasia a
la denominada dirección operativa de la empresa. Por tanto, el bagaje intelectual
de la Economía de la Empresa, en todas sus dimensiones, de producción, de gestión
del conocimiento, etc., aporta y aportará nociones y recomendaciones de utilidad.
—Los supervisores financieros y los bancos centrales han reconocido la importancia
de este tipo de riesgos, exigiendo requerimientos de recursos propios para hacer
frente a los peores eventos, sometiendo a las entidades a una doble disciplina de
supervisión activa, periódica y sistemática, y a la derivada de aportar la debida
transparencia informativa a la comunidad. Esta regulación del riesgo operativo se
ha formulado de manera abierta, respetando la iniciativa individual, y convocando
la asistencia de la comunidad científica para incorporar nuevos instrumentos y modelos
tanto de gestión, como de análisis y de control.
—Todo ello supone una invitación a la investigación continua en la investigación
aplicada de la disciplina de la Economía de la Empresa, abriéndose un horizonte
práctico para encauzar observaciones sobre el comportamiento y evolución de las
entidades de crédito, sus estrategias, sus éxitos y sus errores, para su perfeccionamiento,
con la evidencia que algo de lo experimentado podría ser útil, además,
para a otros tipos de organizaciones.
BIBLIOGRAFIA
ALEXANDER, C. (2003): The present and future of Financial Risk Management, ISMA Centre,
Discussion Papers in Finance, septiembre.
BANCO CENTRAL EUROPEO, Comentario al Documento de Consulta del Nuevo Acuerdo. Julio
2003.
BCBS (1983): Principles for the Supervision of Banks Foreign Establishments, Compendium of
Documents, vol. 3.
—, (2003): Sound Practices for the Management and the Supervision of Operational Risk.
—, (2003): The 2002 Loss Data Collection Exercise for Operational Risk (2002 LDCE).
—, (2003): Operational risk transfer across financial sectors, The Joint Forum.
—, (2003): Quantitative Impact Study 3 (QIS 3).
—, (2003): High-level principles for the cross-border implementation of the New Accord.
—, (2004): Principles for the home-host recognition of AMA operational risk capital.
—, (2004): International Convergence of Capital Measurement and Capital Standards: a Revised
Framework.
BANCO DE ESPAÑA. Revista Estabilidad Financiera. Números 1, 2, 5, 6, 7, y 8.
BANCO DE PAGOS INTERNACIONALES. Comité de Supervisión Bancaria. CONVERGENCIA
INTERNACIONAL DE MEDIDAS Y NORMAS DE CAPITAL. Marco revisado. Junio 2004.
BANCO DE PAGOS INTERNACIONALES - Comité de Supervisión Bancaria de Basilea, «Update
on Work on the New Basel Capital Accord», Documento de Consulta («Segunda Ronda»).
Enero 2001.
Gestión del riesgo operativo en las entidades de crédito: un camino sin retorno
Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 ISSN: 1131 - 6837 76
BANCO DE PAGOS INTERNACIONALES - Comité de Supervisión Bancaria de Basilea,«Presentación
del Nuevo Acuerdo de Capital de Basilea», Documento de Consulta («Tercera Ronda
»). Abril de 2003.
BANCO DE PAGOS INTERNACIONALES - Comité de Supervisión Bancaria de Basilea, «El Nuevo
Acuerdo de Capital de Basilea», Documento de Consulta («Tercera Ronda»). Abril de 2003.
BANCO DE PAGOS INTERNACIONALES. Comité de Supervisión Bancaria de Basilea. Prácticas
Adecuadas para la Gestión y Supervisión de los Riesgos de Operación Julio de 2002.
Santiago CARRILLO MENÉNDEZ RiskLab-Madrid Universidad Autónoma de Madrid 2004. Introducción
a los riesgos financieros: el riesgo operacional.
CAURUANA, J. Notes for the testimony before the Committee on Economic and Monetary Affairs,
European Parliament. Discurso en el Parlamento Europeo. Bruselas 18.01.05.
DE FONTNOUVELLE, P., E. ROSENGREN y J. JORDAN (2004): Implications of Alternative
Operational Risk Modelling Techniques, Reserva Federal de Boston.
DE FONTNOUVELLE, P., V. DE JESUS-RUEFF, E. ROSENGREN y J. JORDAN (2003): Using
loss data to quantify Operational Risk, Reserva Federal de Boston.
EMBRETCHTS, P., H. FERRER y R. KAUFMANN (2003): «Quantifying regulatory capital for
operational risk». Derivativesuse, trading and regulation.
FEDERAL RESERVE BULLETIN, «Capital Standards for Banks: The Evolving Basel Accord».
September 2003.
Linette FIELD, «Basilea II: tercer documento consultivo y últimos avances». Banco España. Estabilidad
Financiera n.º 5.
FONDO MONETARIO INTERNACIONAL, Comentario al Documento de Consulta del Nuevo
Acuerdo. Julio 2003.
FRACHOT, A., O. MOUDOULAUD y T. RONCALLI (2003): Loss Distribution Approach in
Practice, Group de Reserche Operationelle, Crédit Lyonnais, mayo.
GONZÁLEZ MOSQUERA, L. (2002): «Capital regulatorio y capital económico: prociclicidad del
Nuevo Acuerdo de Capitaly análisis de escenarios de crisis», Estabilidad Financiera, n.º 2.
Cristina IGLESIAS-SARRÍA y Fernando VARGAS. «El nuevo acuerdo de capital «BasileaiI» y
su transposición europea. El proceso y la implementacion». Banco España. Estabilidad Financiera
n.º 7.
DE LARA HARO (2003): Medición y control de riesgos financieros. Ed. LIMUSA. México.
C. LOZANO (2003): «El estudio del impacto cuantitativo en España del proyecto CP3», Banco
España. Estabilidad Financiera, n.º 5.
J. MASCAREÑAS (2004): El riesgo en la empresa. Ed. Pirámide. Madrid.
MOSCADELLI, M. (2004): «The Modelling of Operational Risk: experience with the analysis of
the data collected by the Basel Committee, Banco de Italia», Temi di discussione, n.º 517.
PRICE WATERHOUSE COOPERS Gestión del Riesgo Operacional en las Entidades Financieras
Españolas. Acuerdo de Basilea. Madrid 2 de octubre de 2002.
PRICE WATERHOUSE COOPERS. BASILEA II. 2NUEVO MARCO REVISADO DE ADECUACION
DE CAPITAL. 2004.
RONCALLI, T. (2001): Introduction à la gestion des risques, Group de Reserche Operationelle,
Crédit Lyonnais, octubre.
THE FINANCIAL REGULATOR (2003): Can Europe cope with Basel II. Vol. 8 N.º 2, September.
YASUDA, Y. (2003): Application of Bayesian Inference to Operational Risk Management, University
of Tsukuba.
ISSN: 1131 - 6837 Cuadernos de Gestión Vol. 5. N.º 1 (Año 2005), pp. 53-77 77
José Ignacio Llaguno Musons
...