Análisis y gestión del riesgo operacional en las entidades financieras y aseguradoras

Una comparativa

María José Pérez Frutuoso*
Jessica Gragera Cubero**

1. Introducción [arriba] 

Según el Comité de Basilea, el Riesgo Operacional es el riesgo de pérdida cuyo origen puede tener relación con una deficiencia o un error relacionado con los procesos, con el personal o los sistemas internos de una entidad o con acontecimientos externos, incluyendo el riesgo legal y excluyendo el riesgo estratégico y el reputacional[1].

El riesgo operacional es una clase más de riesgo al que se exponen las distintas compañías en función de la naturaleza de su negocio. Anteriormente, otros tipos de riesgo tales como el de liquidez, de crédito o de mercado le restaron importancia. Sin embargo, en la última década, como consecuencia de la globalización de los mercados y del apogeo tecnológico, se ha originado una transformación en el entendimiento del riesgo operacional que ha motivado la creación de un marco de gestión propio en el que se encuentran registrados los hechos que pueden generar pérdidas significativas de tipo operacional.

Dada su importancia, con el objetivo de protegerse frente al riesgo operacional, las empresas promovieron la aplicación de dicho concepto en primer lugar en el ámbito bancario. Para garantizar la solvencia de las entidades y por ende salvaguardar a sus clientes, la Comisión Europea desarrolló un primer acuerdo conocido como “Basilea”, en el cuál se establecieron las bases de un sistema regulatorio con instrumentos para asegurar la solidez financiera de las entidades bancarias. A este respecto, la propia Comisión notificó: “La crisis financiera de 2007 y 2008 puso al descubierto graves deficiencias en la supervisión financiera, tanto en casos concretos como en relación con el sistema financiero en su conjunto. Los sistemas de supervisión de alcance nacional han quedado superados por la globalización financiera y por la integración e interconexión de los mercados financieros europeos, donde muchas entidades financieras desarrollan su actividad de forma transfronteriza. La crisis ha puesto de relieve carencias en la cooperación, la coordinación, la coherencia en la aplicación del Derecho de la Unión y la confianza entre las autoridades competentes nacionales.”[2]

El documento homólogo a Basilea en al sector asegurador es Solvencia. Dicho documento se formuló en 2009 con el objetivo de garantizar una gestión efectiva y eficaz de las actividades de las aseguradoras.

En el presente trabajo se analizan las características particulares del riesgo operacional y de su gestión tanto en las entidades bancarias como en las aseguradoras y se determinan los motivos que llevan a estas diferencias. La primera parte del trabajo se dedica al estudio de la importancia del riesgo operacional, su función y las pérdidas asociadas al mismo. Seguidamente se estudia el marco regulatorio en el que se produce a partir de los documentos de Basilea para el sector bancario y de Solvencia para el sector seguros. A continuación examinamos los mecanismos de gestión del riesgo operacional en cumplimiento con la normativa vigente y analizamos los diferentes métodos de cálculo existentes. Finalmente, a partir de la información expuesta en los puntos anteriores, se concluye el documento estableciendo analíticamente las diferencias en cuanto a riesgo operacional de los sectores financiero y asegurador así como las causas que provocan dichas diferencias.

2. El riesgo operacional: Clasificación, función de su gestión y pérdidas derivadas [arriba] 

2.1. Clasificación de los eventos de riesgo operacional

La situación actual derivada de los acontecimientos ocurridos en los mercados, especialmente financieros, en los últimos años, ha provocado que el riesgo operacional, y más concretamente su gestión, se convierta en una pieza fundamental de la sociedad económico-financiera internacional, determinante para comprender el proceso de los riesgos en el ámbito empresarial.

La relevancia que ha adquirido dicho riesgo, ha incrementado los esfuerzos por unificar los diferentes eventos operacionales bajo una categoría específica de riesgo de forma que, a día de hoy, la categorización de los distintos tipos de riesgos operacionales vigente es[3]:

- Fraude Interno: Pérdidas ocasionadas por actos deliberados que tienen origen dentro de la empresa y que están encaminados a defraudar, apropiarse de bienes indebidamente o saltarse regulaciones, leyes o políticas de la compañía.

- Fraude Externo: Pérdidas ocasionadas por actos deliberados que tienen origen en terceras partes fuera de la empresa y están encaminados a defraudar, apropiarse de bienes indebidamente o saltarse regulaciones o leyes.

- Prácticas laborales y seguridad en el puesto de trabajo: Pérdidas procedentes del incumplimiento de la legislación laboral, de las obligaciones contractuales con los empleados, de la legislación de prevención de riesgos laborales o de sanciones por actos de discriminación (por razón de raza, sexo, etc.)

- Prácticas de negocio, de gestión de clientes o de productos: Pérdidas procedentes del incumplimiento (negligente o involuntario) de las obligaciones profesionales con los clientes o como consecuencia del origen de los productos.

- Daños a activos físicos: Pérdidas originadas por los daños o perjuicios a la integridad física de activos de la organización como consecuencia de desastres naturales o catástrofes.

- Discontinuidad del negocio y fallos de sistemas: Pérdidas derivadas de la interrupción del negocio o de fallos en los sistemas informáticos.

- Ejecución, resolución y gestión de procesos: Pérdidas derivadas de fallos en las transacciones o la gestión de procesos, o de relaciones con las contrapartidas o proveedores.

2.2. Función de la gestión del riesgo operacional

La función[4] principal de la gestión de riesgo operacional es asegurar la administración y el reconocimiento eficaz de los riesgos operacionales de modo beneficioso para la empresa aunando el cumplimiento de la normativa vigente y el apetito de riesgo de la entidad.

Dado que todas las definiciones propuestas de riesgo operacional se establecen, fundamentalmente, a partir de las pérdidas financieras provocadas por personas, procesos y/o sistemas fallidos, así como de los sucesos externos que afectan adversamente a la organización, se pueden identificar los siguientes aspectos comunes del riesgo operacional en todos los sectores económicos:

- El modelo de negocio promueve la importancia de las personas, procesos y sistemas y su influencia en los eventos de riesgo operacional.

- Dado que los sucesos extremos suelen ser no lineales y dependientes, las técnicas de estimación de dichos sucesos basada en la media y la varianza tienden a ser muy inestables. Una manera práctica de abordar estas restricciones es especificar las siguientes categorías principales de entradas y salidas:

* Entradas: Trabajo, capital, procesos utilizados, regulaciones, entorno político y legal, tecnología, cultura del riesgo.

* Salidas: Alta frecuencia/baja severidad, frecuencia media/severidad media, baja frecuencia/alta severidad.

- La necesidad de combinar evaluaciones cualitativas y cuantitativas.

- La exigencia de vincular los resultados de riesgo operacional con quienes los crearon y un determinado horizonte temporal en función de su causa y el tiempo de su resolución.
Por consiguiente, para afrontar el riesgo operacional, es necesario tener en cuenta los siguientes puntos:

- Precisar cómo están vinculados los resultados de riesgo operacional con las personas, los procesos, los sistemas y los eventos externos que los originan.

- Diferenciar si el objetivo principal es la gestión del riesgo operacional o su cuantificación para traducir dicha cuantificación en una carga de capital.

- Evaluar qué herramientas son necesarias para gestionar o valorar el riesgo operacional incorporando consideraciones tanto cuantitativas como cualitativas.

- Debido a que los factores que determinan los eventos clasificados de alta severidad suelen no ser estables a largo plazo, la provisión de capital destinada a la cobertura del riesgo operacional puede resultar insuficiente o excesiva en relación con el impacto financiero de dicho evento.

- La gestión y gobernanza de los comportamientos debe centrarse en la mitigación de las consecuencias de los sucesos de riesgo operacional.

2.3. Pérdidas

El riesgo operacional debe contemplar la cobertura de las pérdidas[5] esperadas (EL, expected losses) y de la pérdida inesperada (UL, unexpected losses). Las pérdidas esperadas se cubren mediante provisiones mientras que las pérdidas inesperadas lo hacen mediante el capital regulatorio.

En la siguiente ilustración (Figura 1) se muestra la probabilidad de sucesos operacionales con pérdidas en base al alcance de las mismas.

Como se observa en la Figura, la mayor fuente de eventos de riesgo operacional está incluida en la zona de pérdidas de menor cuantía. Este tipo de eventos son los más sencillos de estimar porque suelen ser aquellos relacionados con el negocio diario de la entidad. Sin embargo, en la zona de los eventos inesperados, se consideran aquellos sucesos cuya probabilidad de ocurrencia es muy baja, pero cuando suceden dan lugar a pérdidas importantes. En la zona de pérdidas catastróficas (aquellas que superan el percentil 99,9%), se sitúan los sucesos cuyas consecuencias son imposibles de asumir por las entidades y se consideran un riesgo residual aceptado.

3. Marco regulatorio [arriba] 

3.1. Basilea I, II y III

El acuerdo de Basilea I[6] comenzó siendo una recomendación de buenas prácticas en la gestión de las entidades del sector bancario. El comité de Basilea, constituido por representantes de los bancos centrales que componen el G-10[7], se centró en formular un acuerdo internacional que equiparara las normativas de regulación entre las entidades bancarias de diferentes países. De dicho acuerdo nació el concepto de “capital regulatorio” como un acercamiento al mínimo capital que una entidad debe poseer dependiendo de los riesgos a los que se exponga. Estos riesgos eran básicamente el riesgo de crédito, de mercado y de tipo de cambio aunque el principal de ellos era el riesgo de crédito, por lo que los primeros métodos de cálculo de capital regulatorio agrupaban las exposiciones de riesgo en 5 categorías según la contraparte y le asignaban una ponderación diferente a cada categoría. La suma de los riesgos multiplicados por su coeficiente de ponderación daba lugar a los activos de riesgo y el 8% de dicho valor era el capital mínimo exigido al banco o capital regulatorio. Pero, en cualquier caso, al tratarse únicamente de una recomendación, las entidades eran libres de utilizar esta fórmula o una diferente para llevar a cabo dicho cálculo.

Aunque esta primera aproximación al cálculo del capital regulatorio tenía bastantes deficiencias técnicas, como primer paso fue clave para dotar al sistema bancario de una mayor fortaleza y estandarización.

El primer acuerdo de Basilea fue sustituido por Basilea II[8] en 2004 con la intención de evadir sus limitaciones, completando y vigorizando las metodologías que se proponían en el primer documento. Debido al Nuevo Acuerdo de Capital se cambió el concepto de riesgo de crédito, desarrollando nuevas fórmulas para su cálculo y añadiendo un nuevo tipo de riesgo a los ya existentes; el riesgo operacional.

Dentro del nuevo marco de Basilea II se diferenciaron tres pilares: Pilar I o los requisitos de capital, Pilar II o las técnicas de investigación del regulador y Pilar III o la disciplina de mercado. Esta división no es más que un modo de ordenar las etapas que la entidad y el regulador deben tener en cuenta y realizar para asegurarse de que el banco puede afrontar los diferentes riesgos asumidos.

El Pilar I no contiene modificaciones en cuanto a la regulación del capital para el riesgo de mercado, ya que supone que dicho riesgo se encuentra debidamente cubierto por lo establecido en el acuerdo anterior. En cambio, sí plantea modificaciones sustanciales para la cobertura del riesgo de crédito y además añade la gestión del riesgo operacional, en los siguientes términos:

- Requisitos de capital para el riesgo de crédito: Existen diversos métodos de cálculo:

* Método estándar definido como el cociente de los rating de las agencias calificadoras de riesgo entre el tipo de crédito y sobre el que se aplica un coeficiente ponderador de riesgo definido por Basilea.

* Método basado en ratings internos (IRB) en el que se debe considerar la probabilidad de incumplimiento, determinada a partir de la probabilidad de que el deudor no pague completamente su crédito, y el grado de morosidad.

* Método IRB avanzado en el que se utiliza como ponderador de riesgo la tasa de recuperación de los créditos de la propia entidad bancaria. En este método se contempla como pérdida económica aquella que tiene relación con las obligaciones principales e intereses no cobrados, los descuentos realizados y los costes incurridos en la recuperación de los activos.

Para todos estos métodos indicados anteriormente, Basilea tiene un amplio abanico de mitigadores de riesgo que incluyen garantías, colaterales financieros y compensación de créditos y deudas de una misma contraparte.

- Requisitos de capital para el riesgo operacional: En este caso, los requerimientos de capital mínimo se calculan a través de los métodos de cálculo básico (BIA), estándar (SA) o modelos avanzados (AMA) que se expondrán con más detalle en la sección 5 del presente documento.

El proceso de examen supervisor, recogido en el Pilar II de Basilea II, exige a las entidades bancarias que se implemente un mecanismo permanente de evaluación de la existencia de capital suficiente en la entidad, dotando a los supervisores bancarios de facultades de fiscalización y de la capacidad para imponer medidas correctivas en caso de ser necesario e incluso pudiendo intervenir las entidades en situaciones de no cumplimiento de los requisitos de capital.

En lo referente a la disciplina de mercado, recogida en el Pilar III, se instaura la necesidad de que exista una política formal de difusión de los datos que posibilite a los interesados valorar aspectos básicos relacionados con el marco de aplicación, la exposición al riesgo, las técnicas de evaluación del riesgo y la existencia de capital suficiente en la entidad.

Sin embargo, haciendo hincapié en los efectos de la crisis, se llega a la conclusión de la necesidad de revisar la normativa en cuestiones de solvencia. Las carencias en regulación y supervisión de las entidades bancarias han estimulado el origen de Basilea III.

El acuerdo de Basilea II se emitió definitivamente el 16 de diciembre de 2010, pero el Comité Europeo consideró que el modo de realizar las modificaciones debía ser paulatino. La fecha límite que tienen las entidades bancarias para cumplir completamente con todas las exigencias es el 1 de enero de 2019. A día de hoy se siguen publicando documentos consultivos.

Finalmente, el acuerdo de Basilea III[9] es compatible con la normativa anterior, e igual que Basilea II modifica a su acuerdo predecesor en lo referente al cálculo de requisitos mínimos de capital (entre otras cosas) e introduce nuevas ratios de liquidez.

En resumen, el Comité Europeo halló en Basilea el complicado modo de crear una normativa estándar para el sector bancario, labor que a día de hoy continúa perfeccionándose.

3.2. Solvencia I y II

La elaboración de la Directiva de Solvencia I se inició en 1970 y se basaba en los siguientes principios:

- Exposición de reglas de cálculo de provisiones técnicas dentro de un marco prudencial.

- Declaración de los activos que son garantía de las provisiones técnicas.

- Cómputo del margen de solvencia y el fondo de garantía.

Los criterios que definían los requerimientos de capital que debían exigirse a las compañías no estaban muy claros y no se proporcionaba una herramienta de aplicación uniforme en todos los países, lo que podía provocar importantes diferencias en las cantidades inmovilizadas como requerimientos de capital por la existencia de normativas locales diversas en cada territorio.

Posteriormente, el día 25 de noviembre de 2009, el Parlamento Europeo y el Consejo de la Unión Europea aprueban la Directiva 2009/138/CE sobre el seguro de vida, el acceso a la actividad de seguro y reaseguro y su ejercicio, más conocida como Solvencia II, cuyo objetivo es conseguir un sistema eficiente capaz de garantizar procedimientos robustos y conservadores dentro de la actividad aseguradora, incluyendo aspectos relacionados con la gestión de riesgos, controles internos y requisitos de capital desde una visión cualitativa y cuantitativa.

Al igual que Basilea II y III, Solvencia II se basa en tres pilares. El Pilar I, o de requerimientos cuantitativos, se basa en el mantenimiento de ciertas provisiones para cada entidad que aseguren la capacidad de afrontar los compromisos asumidos con sus asegurados. Supone la iniciación del término capital regulatorio que tiene como objetivos:

- Disminuir el riesgo de que las aseguradoras no cumplan con sus obligaciones.

- Aminorar las pérdidas en caso de que se materialicen los riesgos.

- Ofrecer una señal de alerta para el supervisor en caso de alcanzar niveles de capital inferiores a los exigidos para tener capacidad de actuación.

- Servir como indicador de confianza hacia el sector asegurador.

El Pilar II, o de los requerimientos cualitativos, se materializa mediante el proceso de supervisión y sienta las bases de las actividades de control que el regulador deberá llevar a cabo para evaluar la gestión del riesgo de las compañías y realizar una correcta gestión empresarial. Dentro de estas actividades están incluidos los métodos de gestión del riesgo de las entidades, los programas de reaseguro, los medios de gobierno corporativo, etc.

Finalmente el Pilar III, o de la disciplina de mercado, concreta principios de estandarización para posibilitar la comparación objetiva de las entidades del sector, y la transparencia entre organizaciones.

Solvencia II tiene como objetivo facilitar la autoevaluación de riesgos a traves de ORSA[10] (“Own Risk and Solvency Assessment”). La European Insurance and Occupational Pensions Authority (EIOPA) define a ORSA como el conjunto de procedimientos utilizados para reconocer, valorar, monitorear, gestionar y comunicar los riesgos a corto y largo plazo de una empresa a los que se enfrenta o puede enfrentarse. Para ello es necesario establecer los fondos propios necesarios para certificar que las necesidades de solvencia siempre se cumplen.

ORSA es, por tanto, una herramienta que permite cuantificar y gestionar los riesgos asumidos por las entidades en su día a día y es considerado el punto más importante de Solvencia II. El propósito fundamental de ORSA es asegurar que la entidad se implica en el proceso de evaluación de todos los riesgos propios de su negocio y determina las necesidades de capital correspondientes y los fondos propios existentes en la empresa para cubrirlos.

4. Mecanismos de gestión del riesgo operacional en cumplimiento con la normativa vigente [arriba] 

La gestión del riesgo operacional[11] (Operational Risk Management, ORM) se especifica como un procedimiento exhaustivo y general que influye, en su aplicación y desarrollo, a toda la organización. El propósito principal de este procedimiento es disminuir las pérdidas operacionales a las que está sometida la entidad y el constante perfeccionamiento en las revisiones.

Tal como se refleja en la Figura 2, según PWC, existen tres grandes fases a abordar en la gestión del riesgo operacional. Inicialmente es necesario instaurar una cultura de riesgo en la entidad, posteriormente, se debe realizar una gestión cualitativa en la que se implemente una estructura organizativa y unos procedimientos de identificación y síntesis del riesgo operacional adecuados y por último se debe consolidar una gestión cuantitativa que mejore la eficacia en la determinación de los recursos, con el objetivo de aminorar la repercusión de las pérdidas operacionales.

4.1. Primera fase: Cultura de riesgo

Esta primera fase[12] cobra notable importancia dado que supone persuadir a la alta dirección de las ventajas y la necesidad de implantar en su entidad la gestión del riesgo operacional. Existen una serie de acciones que fortalecen e incentivan dicha cultura de riesgo, tales como coloquios, cursos, seminarios y talleres en los cuales se explique al personal de la entidad la trascendencia de la gestión de los riesgos y otorguen mecanismos y conocimientos que posibiliten, de forma proactiva, la colaboración en la gestión de los riesgos.

También son necesarias las acciones de divulgación continuas a través de boletines o emails, entre otros, de modo que se anuncien noticias, maniobras y beneficios de la gestión de riesgos.

4.2. Segunda Fase: Gestión cualitativa

Esta segunda fase de gestión cualitativa[13] implica el desarrollo de estos tres elementos: un modelo organizativo, una técnica para identificar los riesgos y unas herramientas de gestión óptimas según las circunstancias.

Dentro del modelo organizativo, es fundamental crear una sección independiente responsable de la gestión del riesgo operacional ya que dicha área será la encargada de administrar las políticas, procesos, técnicas y métodos para reconocer, estimar, atenuar y monitorear el riesgo. Este modelo organizativo se adecuará a cada entidad en base a su distribución y táctica propias.

La Figura 3 a continuación, muestra las responsabilidades que cubriría cada una de las áreas organizativas. Como puede observase, es el Comité Integral de Riesgos quien determina las acciones a llevar a cabo a partir de las definiciones, políticas e informes que propone con cierta periodicidad. Dichas acciones han de ser ratificadas por la Junta Directiva. También existe la figura de auditoría interna para contrastar el cumplimiento normativo mediante el Comité de Auditoría.

4.3. Tercera Fase: Gestión cuantitativa

Esta tercera fase de gestión cuantitativa[14] es el punto de unión entre el enfoque cualitativo revisado anteriormente y una visión cuantitativa de la gestión del riesgo operacional mediante la creación de una base de datos de pérdidas operacionales.

Las entidades deben llevar a cabo la creación de dichas bases de datos de pérdidas, en base a un proceso homogéneo y bien recopilado de las mismas que incluya su categorización en función de las distintas áreas de negocio y las diferentes clases de riesgos. Un proceso homogéneo tiene dos fines, reconocer las pérdidas y sintetizarlas para comprender su origen.

Una vez terminada la creación de dicha bases de datos, las entidades tienen que desarrollar la aplicación de un método de cuantificación del riesgo operacional, cuya descripción se realiza en detalle en el siguiente apartado de este documento.

5. Métodos de cálculo de riesgo operacional [arriba] 

Cada entidad puede desarrollar su propio método de medición del riesgo operacional según los datos disponibles y siempre que el método de cálculo aplicado sea autorizado por el regulador[15]. En caso de que la entidad no posea un método propio de cálculo del riesgo operacional aprobado, puede recurrir a alguno de los modelos estándar que se van a desarrollar a continuación.

Según Basilea podemos encontrar los siguientes métodos de cálculo de aplicación en las entidades financieras[16]: Método del Indicador Básico (BIA), Método Estándar (SA) y Método Estándar Alternativo (ASA).

Según la normativa de Solvencia II[17], el método estándar es el Método de Requerimientos de Capital de Solvencia (SCR) y como métodos complementarios se encuentran los modelos de cálculo avanzado específicos de cada entidad o modelos AMA.

Los cuatro primeros métodos, se aplican de forma rápida pero tienen menor sensibilidad al riesgo y por tanto precisan de más requerimientos en recursos propios. En ellos, los parámetros utilizados en el cálculo del capital no tienen mucha relación con la forma en que la entidad afronta sus procesos de riesgo, por lo que se genera una sobrevaloración del importe de capital requerido, disminuyendo, consecuentemente, los beneficios obtenidos por las inversiones y empeorando los resultados de la compañía. Si por el contrario, la entidad se inclina por la creación de un modelo avanzado, el regulador debe realizar un exhaustivo examen del mismo con el objetivo de verificar que no se están cometiendo irregularidades para provisionar cantidades menores de capital que inflen los resultados de la entidad.

Para calcular el Capital de Solvencia Obligatorio en las entidades aseguradoras se tiene en cuenta el riesgo operacional pero en relación con el resto de riesgos de la compañía. La no existencia de fórmulas para el cálculo de este riesgo en Solvencia II, se debe fundamentalmente a la gran complejidad que supone la cuantificación de este riesgo, debido al ineludible grado de personalización necesario en los modelos de cálculo de cada entidad. Por ello, Solvencia II plantea como alternativa la cuantificación del riesgo operacional a través de modelos internos, más fieles a los riesgos de las operaciones de cada entidad y no basados en fórmulas establecidas ajenas al modelo de negocio de la empresa. Bajo estas circunstancias, las aseguradoras se ven prácticamente restringidas a adoptar dichos modelos internos con el objetivo de que sus operaciones se vean representadas en sus resultados.

A continuación se detallan las fórmulas propuestas por el supervisor para calcular el capital por riesgo operacional, tanto en el caso de las entidades financieras como aseguradoras.

5.1. Métodos de cálculo para entidades financieras

5.1.1. El método del Indicador Básico (BIA)

El método del indicador básico[18] está basado en la cobertura del riesgo operacional a partir de un capital que tiene que ser similar al promedio de los tres últimos años de un porcentaje fijo de los ingresos anuales brutos positivos de la entidad, excluyéndose, por tanto, la información de aquellos años en los que el ingreso bruto anual sea negativo o cero.

El requerimiento total de capital se calcula como sigue, donde, K es la exigencia del capital correspondiente al cálculo del indicador básico, IR son los ingresos anuales medios positivos de los tres últimos años, n es el número de años (entre los tres últimos) en que los ingresos brutos fueron positivos y α es un parámetro establecido por el regulador que se sitúa en el 15 %.

5.1.2. El método estándar (SA)

En este caso, el capital exigido en cada línea de negocio será el producto de los ingresos relevantes generados por un factor asignado a cada línea. El capital global requerido será el resultante del promedio de los tres últimos años del sumatorio de capital regulador en cada una de las líneas de negocio que posee la entidad[19].

Para un año concreto, la exigencia de capital negativa, que es el resultado de ingresos brutos negativos en cualquiera de las líneas de negocio de la entidad, puede ser compensada por las exigencias positivas de otras líneas de negocio sin ningún tipo de limitación. En cambio, cuando dentro de un año específico, la exigencia de capital agregado para todas las líneas de negocio sea negativo, entonces, el valor del numerador para dicho año será cero.

El requerimiento total de capital se calcula como sigue, donde K es la exigencia del capital correspondiente al cálculo del método estándar, IR son los ingresos brutos de cada año y para cada una de las dimensiones de negocio de la entidad y βj es un porcentaje fijo que relaciona la cuantía de capital requerido con el ingreso bruto de cada una de las dimensiones de negocio.

En base a las distintas líneas de negocio, los valores del parámetro β recogidos en el acuerdo de Basilea[20] son los que se muestran en el siguiente cuadro:

5.1.3. El método estándar alternativo (ASA)

El método estándar alternativo es una variante del método estándar cuyo uso está supeditado a la autorización de las autoridades.[21]

Según la propuesta Directiva 2000/12/CE del parlamento europeo y del consejo, de 20 de marzo de 2000, relativa al acceso de la actividad de las entidades de crédito y su ejercicio, para aplicar este método, existen una serie de requisitos adicionales que se detallan a continuación:

- La entidad debe operar mayoritariamente en banca minorista y/o comercial cuya actividad debe representar al menos el 90% de sus ingresos.

- La entidad debe ser capaz de demostrar a las autoridades competentes que una parte de sus actividades en banca minorista y/o comercial incluye préstamos con una alta probabilidad de impago y que el uso del método estándar alternativo implica una mayor precisión para evaluar el riesgo operacional.

El requisito de capital se calcula como el promedio de los tres últimos años del volumen total de préstamos nominales multiplicado por 0,035.

5.2. Método de cálculo para entidades aseguradoras

5.2.1. Cálculo de Requerimientos de Capital de Solvencia (SCR)

El modelo estándar que propone la directiva de Solvencia II[22] para calcular los requisitos de capital (SCR, Solvency Capital Requirement) para el sector seguros es, donde BSCR es el capital de solvencia obligatorio básico (Basic Solvency Capital Requirement), Adj es un ajuste por absorber el riesgo que suponen las provisiones técnicas y los impuestos diferidos y SCRop son los requisitos de capital debidos al riesgo operacional que se obtiene aplicando la fórmula, donde Op es la carga de riesgo operacional básico para todas aquellas líneas de negocio diferentes de las unit-linked y teniendo en cuenta el reaseguro y Expul es la cuantía de los gastos asociados a las líneas de seguros unit-linked durante los 12 meses previos al cálculo del requermiento de capital.

5.3. Método para entidades financieras y aseguradoras: El método de Medición Avanzada (AMA)

Debido a la gran variedad de entidades en los dos sectores analizados se debe considerar que los riesgos que asume cada una de ellas no son iguales, por lo que crear una fórmula estándar que los refleje fielmente a todos es prácticamente imposible. Además, en el caso del riesgo operacional, dicha labor es aún más compleja ya que este riesgo está directamente relacionado con el modelo propio de ejecución de los procesos de cada una de las entidades.

Un modelo avanzado de exposición al riesgo operacional debe cumplir una serie de requisitos:

- Considerar todas las posibles fuentes de información para representar lo más fielmente posible la realidad de riesgo operacional de la compañía.

- Realizar una estimación estadística específica para cada función de severidad y de frecuencia.

- Aplicar métodos de estadística avanzada para implementar un procedimiento de evaluación cuantitativa del riesgo.

Un ejemplo de modelo avanzado es el el LDA[23] (Loss Distribution Approach, distribución de pérdidas agregadas), cuya implementación es muy compleja, motivo por el cual no se utiliza demasiado en el sector asegurador aunque sí en el sector bancario donde diariamente se procesan millones de transacciones y se desarrollan tantos procesos que suministran elevadas pérdidas derivadas de fallos operacionales. La existencia de información posibilita la construcción de modelos de frecuencia y severidad que permite valorar la función de distribución de pérdidas provocadas por el riesgo operacional y las necesidades de capital para cubrirlas.

Adicionalmente, el modelo confeccionado debe considerar los siguientes elementos[24]:

- Información de las pérdidas internas de la entidad.

- Información de las pérdidas externas a la entidad.

- Datos de estimaciones cualitativas de situaciones con baja probabilidad de suceder pero de gran impacto.

- Datos importantes del contexto de negocio y del ámbito de control interno de la entidad.

- Cobertura de pérdidas esperadas (EL) y pérdidas inesperadas (UL).

- Registro de los métodos de mitigación de riesgos mediante seguros. 

6. Conclusiones [arriba] 

Durante los últimos años del siglo pasado, la escasa preocupación por la gestión del riesgo operacional de los sectores financiero y asegurador propició el desarrollo de fórmulas para su cuantificación por parte de los organismos reguladores que poca relación guardaban con la magnitud real de este riesgo obligando a las empresas a inmovilizar una cantidad de capital superior al necesario comprometiendo los resultados de las mismas. Ello se ha debido en parte a que el riesgo operacional es muy difícil de prever y su cuantificación es bastante complicada. A través de las metodologías de cálculo descritas anteriormente es viable aproximarse a la magnitud del riesgo a través de una base estadística cuyos resultados pueden extrapolarse de manera que se formule una método estándar para su cálculo. Pero precisamente en este punto es donde radica el problema: conocer los datos estadísticos en cantidad y calidad suficientes para conseguir un modelo sólido y que sea bien considerado por los supervisores. En este sentido hay que mencionar que la banca lleva muchos años recopilando datos de series estadísticas mientras el sector asegurador, especialmente en España, ha incluido este cambio de cultura en su modelo de negocio de manera mucho más tardía.

Aunque los dos sectores analizados tienden a adoptar definiciones de riesgo operacional ligeramente particularizadas, en esencia dichas definiciones se basan en los fallos ocasionados por los sistemas, las personas y los procesos, tanto de origen interno como externo.

Atendiendo a la naturaleza de las entidades afectadas por eventos de riesgo operacional, en el caso de las entidades bancarias, se procesan millones de transacciones cada día por lo que los mecanismos de gestión de dichas transacciones, tales como las transferencias de dinero y pagos, son fundamentales por lo que un mal funcionamiento de los mismos de forma persistente tendría graves consecuencias tanto para el banco que los aplica como para otros bancos involucrados en las operaciones.

Por otro lado, el fraude también ha sido un fenómeno de vital importancia en los últimos años para la industria bancaria sibre todo en su vertiente comercial y pero también para la industria aseguradora aunque la naturaleza del mismo ha sido diferente debido a las particularidades de cada negocio. En este sentido, miembros de la Asociación Nacional de Comisionados de Seguros Americana aseveran que la definición de riesgo operacional publicada por el Comité de Basilea para las entidades bancarias no es apropiada para la industria del seguro debido a las diferencias entre los modelos de negocio para la banca y para los seguros. Fundamentalmente argumentan que las fuentes de riesgo operacional no son las mismas ya que los bancos basan su actividad en la conceción de préstamos y la realización de inversiones mientras que las aseguradoras cubren los riesgos cedidos por los asegurados y ceden parte de dichos riesgos en el negocio de retrocesión. En general, la banca es un negocio fundamentalmente transaccional que se cubre a través de los mercados de capital con financiación a corto plazo mientras que el negocio asegurador no es transaccional su exposición al riesgo se cubre a través del reaseguro.

Existe una gran variedad de documentación relacionada con la gestión del riesgo operacional en el sector bancario. Dichos documentos, en su mayor parte teóricos, presenta una gran variedad de métodos que se utilizan para cuantificar el riesgo operacional o muestran los resultados de estudios basados en experiencias históricas para una entidad concreta y otros con origen datos agregados correspondientes a varias instituciones. En cambio, encontrar documentación actualizada y de aplicación específica a la cuantificación del riesgo operacional para las entidades aseguradoras es todo un desafío. La información en este sector es escasa y está poco desarrollada.

A pesar de haber sido el último en incorporarse a los requerimientos de capital a nivel regulatorio, el riesgo operacional se convierte en uno de los tres primeros apoyos de la gestión integral del riesgo, inmediatamente después del riesgo de crédito en lo que se refiere a capital regulatorio vinculado y estadísticamente un poco superior al riesgo de mercado. La correcta gestión dicho riesgo supone un profundo cambio de filosofía dentro de las entidades que debe iniciarse en los cargos de dirección y conseguir su extensión a todas las áreas de la empresa.

Referencias bibliográficas [arriba] 

- Basel Committee on Banking Supervision (2011). Principles for the Sound Management of Operational Risk. Bank for International Settlements. Basel, Switzerland. Disponible en http://www.bis.org /publ/bcb s195.htm

- Basel Committee on Banking Supervision (2004). International Convergence of Capital Measurement and Capital Standards: a revised framework, nº 107. Basilea. Suiza. Disponible en: http://www.bis.org/publ/ bcbs107 htm

- Basel Committee on Banking Supervision (2003). Sound Practices for the Management and Supervision of operational risk. Bank for International Settlements. Disponible en: http://www.bis.org/publ/bcbs96.htm

- Boller, P., Grégoire, C. y Kawano, T. (2016). Operational Risk en IAA Risk Book. International Actuarial Association. Disponible en: http://www.actua ies.org/index.cfm?l ang=EN& DSP=PUBLICATIONS& ACT=RISKBOOK

- Comité de Supervisión Bancaria de Basilea (2005). Convergencia Internacional de Medidas y Normas de Capital. Marco Revisado. Disponible en: http://www.bis.org/publ/bcbs107esp.htm

- Committee of European Insurance and Occupational Pensions Supervisors (2009). Advice for Level 2 Implementing Measures on Solvency II: SCR standard formula - Article 111 (f) Operational Risk. CEIOPS-DOC-45/09.

- Cooper, B., Piwcewicz, B. y Warren, N. (2014). Operational risk modeling: how far have we progressed? Actuaries Institute. Financial Services Forum. Sydney

- European Insurance and Occupational Pensions Authority (2014). Guidelines on Own Risk and Solvency Assessment (ORSA). EIOPA-BoS-14/259 EN. Disponible en: https://eiopa.europa.eu/p ublications /eiopa-guidelin es/guidelines-on-own-risk- solvency-asses sment-(orsa)

- Oesterreichische Nationalbank (2016). Guidelines on Operational Risk Management. Vienna. Disponible en: https://www.oenb.at

- Pacheco López, D. (2009). Riesgo operacional: Conceptos y mediciones. Superintendencia de Bancos e Instituciones Financieras de Chile. Disponible en: https://www.sbif.cl/sbif web/internet/archivos /publicacio n_8 511.pdf

Notas [arriba] 

* Doctora Europera en Economía. Doctora en Ciencias Económicas y Empresariales. Licenciada en Ciencias Actuariales y Financieras. Licenciada en Ciencias Económicas y Empresariales. ORCID: 0000-0002-3252-1631, Profesora Titular del Área de Economía Financiera y Contabilidad, Madrid Open University (UDIMA). Contacto: mariajose.perez@udima.es
** Graduada en Economía. Team Leader del Área Banking: Compliance, Treasury & Capital Markets Everis. Contacto: Jessica.gragera.cubera@everis.com

[1] Oesterreichische Nationalbank (2016). Guidelines on Operational Risk Management. Vienna. Disponible en: https://www.oenb.at
[2] Directiva 2014/51/UE del Parlamento Europeo y del Consejo, de 16 de abril de 2014, por la que se modifican las Directivas 2003/71/CE y 2009/138/CE y los Reglamentos (CE) nº 1060/2009, (UE) nº 1094/2010 y (UE) nº 1095/2010 en lo que respecta a los poderes de la Autoridad Europea de Supervisión (Autoridad Europea de Seguros y Pensiones de Jubilació) y de la Autoridad Europea de Supervisión (Autoridad Europea de Valores y Mercados). Publicada en el Diario Oficial de la Unión Europea el 22/05/2015.
[3] Cooper, B., Piwcewicz, B. y Warren, N. (2014). Operational risk modeling: how far have we progressed?. Actuaries Institute. Financial Services Forum. Sydney.
[4] Boller, P., Grégoire, C. y Kawano, T. (2016). Operational Risk en IAA Risk Book. International Actuarial Association. Disponible en: http://www.actuaries.org/index.cfm?lang=EN &DSP=PUBLI CATIONS&A CT=RISK BOOK
[5] Basel Committee on Banking Supervision (2011). Principles for the Sound Management of Operational Risk. Bank for International Settlements. Basel, Switzerland. Disponible en: http://www.bis.org/publ/bcbs195.htm
[6] Pacheco López, D. (2009). Riesgo operacional: Conceptos y mediciones. Superintendencia de Bancos e Instituciones Financieras de Chile. Disponible en: https://www.sbi f.cl/sbifweb /internet/arch ivos/publicacion_8511.pdf
[7] El G-10 es un grupo de 11 países que accedieron participar en el Acuerdo General de Préstamos (GAB) en el año 1962. Está constituido por Alemania, Bélgica, Canadá, EEUU, Francia, Italia, Japón, Países Bajos, Reino Unido, Suecia, Suiza y Luxemburgo como miembro asociado.
[8] Comité de Supervisión Bancaria de Basilea (2005). Convergencia Internacional de Medidas y Normas de Capital. Marco Revisado. Disponible en: http://www. bis.org/pub l/bcbs107es p.htm
[9] Comité de Supervisión Bancaria de Basilea (2011). Basilea III: Marco regulador global para reforzar los bancos y sistemas bancarios. Banco de Pagos Internacionales. Basilea, Suiza. Disponible en: http://www. bis.org/publ/bc bs189_es.p df
[10] European Insurance and Occupational Pensions Authority (2014). Guidelines on Own Risk and Solvency Assessment (ORSA). EIOPA-BoS-14/259 EN
[11] Basel Committee on Banking Supervision (2011). Principles for the Sound Management of Operational Risk. Bank for International Settlements. Basel, Switzerland. Disponible en http://www.bis.org/publ/bcbs195.htm
[12] Boller, P., Grégoire, C. y Kawano, T. (2016). Operational Risk en IAA Risk Book. International Actuarial Association. Disponible en: http://www.act uaries.org/index. cfm?lang= EN&DSP=P UBLICATIO NS&ACT=RIS KBOOK
[13] Oesterreichische Nationalbank (2016). Guidelines on Operational Risk Management. Vienna. Disponible en: https://www.oenb.at
[14] Oesterreichische Nationalbank (2016). Guidelines on Operational Risk Management. Vienna. Disponible en: https://www.o enb.at
[15] Boller, P., Grégoire, C. y Kawano, T. (2016). Operational Risk en IAA Risk Book. International Actuarial Association. Disponible en: http://www.ac tuaries.org/ind ex.cfm?lang=E N&DSP=PUB LICATIONS& ACT=RISKBOO K
[16] Comité de Supervisión Bancaria de Basilea (2005). Convergencia Internacional de Medidas y Normas de Capital. Marco Revisado. Disponible en: http://www.bis.org/p ubl/bcb s107esp.htm
[17] Committee of European Insurance and Occupational Pensions Supervisors (2009). Advice for Level 2 Implementing Measures on Solvency II: SCR standard formula - Article 111 (f) Operational Risk. CEIOPS-DOC-45/09.
[18]Oesterreichische Nationalbank (2016). Guidelines on Operational Risk Management. Vienna. Disponible en: https://www.oenb.at
[19] Oesterreichische Nationalbank (2016). Guidelines on Operational Risk Management. Vienna. Disponible en: https://www.oenb.at
[20] Basel Committee on Banking Supervision (2004). International Convergence of Capital Measurement and Capital Standards: a revised framework, nº 107. Basilea. Suiza
[21] Oesterreichische Nationalbank (2016). Guidelines on Operational Risk Management. Vienna. Disponible en: https://www.oenb.at
[22] Committee of European Insurance and Occupational Pensions Supervisors (2009). Advice for Level 2 Implementing Measures on Solvency II: SCR standard formula - Article 111 (f) Operational Risk. CEIOPS-DOC-45/09.
[23] Basel Committee on Banking Supervision (2003). Sound Practices for the Management and Supervision of operational risk. Bank for International Settlements. Disponible en: http://www.bis.org/p ubl/bcbs9 6.htm
[24] Basel Committee on Banking Supervision (2003). Sound Practices for the Management and Supervision of operational risk. Bank for International Settlements. Disponible en: http://www.biso rg/publ/b cbs96 .htm