Historia n Enero 2001, el Comité de Basilea publicó un documento de consulta en el que se desarrolla el Nuevo Acuerdo de Capital, que ha supuesto la introducción de requerimientos de capital por Riesgo Operacional. n El Acuerdo de Capital definitivo se publicará a finales de 2003 y su aplicación efectiva está prevista para 31 de diciembre de 2006 n Solvencia II estudiará la posibilidad de incluir requerimientos de capital por Riesgo Operacional en el sector asegurador. No obstante reconoce que es un riesgo difícil de cuantificar, por lo que de forma alternativa estudiaría su cobertura por otras vías (mejores prácticas de gestión y revisión supervisora - Pilar 2) n Enero 2001, el Comité de Basilea publicó un documento de consulta en el que se desarrolla el Nuevo Acuerdo de Capital, que ha supuesto la introducción de requerimientos de capital por Riesgo Operacional. n El Acuerdo de Capital definitivo se publicará a finales de 2003 y su aplicación efectiva está prevista para 31 de diciembre de 2006 n Solvencia II estudiará la posibilidad de incluir requerimientos de capital por Riesgo Operacional en el sector asegurador. No obstante reconoce que es un riesgo difícil de cuantificar, por lo que de forma alternativa estudiaría su cobertura por otras vías (mejores prácticas de gestión y revisión supervisora - Pilar 2)

Riesgo de sufrir pérdidas debido a fallos en ç Procesos Internos: órdenes no ejecutadas, reclamaciones de clientes, ç Humanos : fraude interno, errores.. ç Sistemas : caída de sistemas, pérdida de datos, fallos en cálculos, etc. ç Factores externos : fraude externo, terrorismo, ataques informáticos Riesgo de sufrir pérdidas debido a fallos en ç Procesos Internos: órdenes no ejecutadas, reclamaciones de clientes, ç Humanos : fraude interno, errores.. ç Sistemas : caída de sistemas, pérdida de datos, fallos en cálculos, etc. ç Factores externos : fraude externo, terrorismo, ataques informáticos Definición PERDIDAS: Directas: quebranto financiero Indirectas: Reputación, clientela Coste de Oportunidad: no entrar en nuevos negocios

Objetivos Definir e implantar un sistema de gestión del riesgo operacional tiene los siguientes objetivos: –Objetivos cualitativos Detectar los riesgos (actuales y potenciales) para tomar decisiones acerca de los que no desea mantener y desea reducir Mejorar continuamente los procesos y sistemas de control para minimizar los riesgos en los que se puede incurrir –Objetivos cuantitativos Asignar fondos para la cobertura del mismo Medir correctamente la eficiencia de las líneas de negocio (RAROC) Incorporar este coste en el precio de sus productos –Objetivos mixtos Evaluar la eficacia de las medidas reductoras de riesgo Definir e implantar un sistema de gestión del riesgo operacional tiene los siguientes objetivos: –Objetivos cualitativos Detectar los riesgos (actuales y potenciales) para tomar decisiones acerca de los que no desea mantener y desea reducir Mejorar continuamente los procesos y sistemas de control para minimizar los riesgos en los que se puede incurrir –Objetivos cuantitativos Asignar fondos para la cobertura del mismo Medir correctamente la eficiencia de las líneas de negocio (RAROC) Incorporar este coste en el precio de sus productos –Objetivos mixtos Evaluar la eficacia de las medidas reductoras de riesgo

Importancia de Riesgos Las entidades financieras señalas como riesgo mas frecuente el fraude externo, y en orden de frecuencia: (*) Fraude externo: multirriesgo, autos, vida riesgo Clientes, Productos y Practicas Comerciales (fallos en la definición de productos, inadecuada selección de riesgos, prácticas comerciales desleales, etc.). Interrupción de operaciones principalmente por fallos de sistemas Ejecución, entrega y gestión de procesos Fraude Interno Daños a activos físicos (incendio instalaciones,...) Las entidades financieras señalas como riesgo mas frecuente el fraude externo, y en orden de frecuencia: (*) Fraude externo: multirriesgo, autos, vida riesgo Clientes, Productos y Practicas Comerciales (fallos en la definición de productos, inadecuada selección de riesgos, prácticas comerciales desleales, etc.). Interrupción de operaciones principalmente por fallos de sistemas Ejecución, entrega y gestión de procesos Fraude Interno Daños a activos físicos (incendio instalaciones,...) (*): FUENTE: Estudio de PWC de Gestion del RO en las entidades financieras españolas

Importancia de Riesgos Sin embargo, desde el punto de vista de la cuantía de pérdidas los riesgos derivados de clientes, productos y prácticas comerciales son los mas destacados: 1)Clientes, productos y prácticas comerciales 2)Fraude Externo 3)Fraude Interno 4)Ejecución, entrega y gestión de procesos 5)Interrupción de Operaciones o Fallos de Sistemas 6)Daños a Activos Físicos. Sorprende la menor importancia del riesgo de ejecución, entrega y gestión de procesos en banca, sin embargo, en seguros este riesgo, entendemos, se incrementa notablemente al no estar los procesos tan sistematizados y ser menos estandarizables. Sin embargo, desde el punto de vista de la cuantía de pérdidas los riesgos derivados de clientes, productos y prácticas comerciales son los mas destacados: 1)Clientes, productos y prácticas comerciales 2)Fraude Externo 3)Fraude Interno 4)Ejecución, entrega y gestión de procesos 5)Interrupción de Operaciones o Fallos de Sistemas 6)Daños a Activos Físicos. Sorprende la menor importancia del riesgo de ejecución, entrega y gestión de procesos en banca, sin embargo, en seguros este riesgo, entendemos, se incrementa notablemente al no estar los procesos tan sistematizados y ser menos estandarizables.

Capital por RO Basilea contempla tres enfoques alternativos para determinar el capital por RO: n Básico : el mas sencillo  el capital es un porcentaje (17%-20%) de la exposición al riesgo de la entidad medido sobre el margen ordinario. Pequeños Bancos con estructura sencilla de negocios n Estándar : por líneas de negocio  Se aplica un porcentaje determinado para cada línea de negocio sobre el margen ordinario de esa línea. Mas flexible n Avanzado : implica unos requerimientos de integración de procesos de RO en la gestión diaria. Tres alternativas: Basilea contempla tres enfoques alternativos para determinar el capital por RO: n Básico : el mas sencillo  el capital es un porcentaje (17%-20%) de la exposición al riesgo de la entidad medido sobre el margen ordinario. Pequeños Bancos con estructura sencilla de negocios n Estándar : por líneas de negocio  Se aplica un porcentaje determinado para cada línea de negocio sobre el margen ordinario de esa línea. Mas flexible n Avanzado : implica unos requerimientos de integración de procesos de RO en la gestión diaria. Tres alternativas:

Capital por RO – Aproximación por Medición Interna (IMA): Se obtiene la pérdida esperada por cada combinación de unidad de negocio / tipo de riesgo. Se parte de bases de datos históricas para cuantificar los tipos de incidencia por línea de negocio. También se utilizan fuentes externas. Se aplica un porcentaje gamma que indica la relación entre perdida esperada / inesperada sobre el capital BIS. – Aproximación por Distribución de Pérdidas (LDA): se apoya en información interna sobre perdidas históricas completada por datos externos, para establecer una distribución de los fallos por frecuencia y severidad. Como resultado se obtiene una distribución de pérdidas esperadas por unidad de negocio / tipo de riesgo (enfoque VaR) – Aproximación por Scorecards: se parte de un capital inicial por RO a nivel entidad o línea de negocio, y posteriormente se va modificando en función de unos scorecards que intentan reflejar el perfil de riesgo subyacente, el control existente y las variaciones que se produzcan en estos aspectos. – Aproximación por Medición Interna (IMA): Se obtiene la pérdida esperada por cada combinación de unidad de negocio / tipo de riesgo. Se parte de bases de datos históricas para cuantificar los tipos de incidencia por línea de negocio. También se utilizan fuentes externas. Se aplica un porcentaje gamma que indica la relación entre perdida esperada / inesperada sobre el capital BIS. – Aproximación por Distribución de Pérdidas (LDA): se apoya en información interna sobre perdidas históricas completada por datos externos, para establecer una distribución de los fallos por frecuencia y severidad. Como resultado se obtiene una distribución de pérdidas esperadas por unidad de negocio / tipo de riesgo (enfoque VaR) – Aproximación por Scorecards: se parte de un capital inicial por RO a nivel entidad o línea de negocio, y posteriormente se va modificando en función de unos scorecards que intentan reflejar el perfil de riesgo subyacente, el control existente y las variaciones que se produzcan en estos aspectos.

Requerimientos de Basilea para los distintos enfoques ENFOQUE BASICOENFOQUE ESTANDARENFOQUE AVANZADO Capital como porcentaje del Margen Ordinario Total Cumplimiento deSound Practices Capital en función de Betas por Unidad de Negocio Identificación y Categorización Políticas y Procedimientos Herramienta de Auto-evaluación Uso de Indicadores Inicio de Recogida de Pérdidas Capital en función de modelos internos Identificación y Categorización Políticas y Procedimientos Herramienta de Auto-evaluación Indicadores y alertas Base de Datos de Pérdidas Modelo Interno AMA de Capital Análisis de Escenarios Los requerimientos regulatorios de desarrollo de infraestructura, procesos de gestión y mantenimiento, varían dependiendo del tipo de enfoque seleccionado Las diferencias entre el estándar y avanzado son mínimas (solo se requiere mas profundidad en los datos de pérdidas, introducción de alertas y desarrollo de modelos de medición de capital) en relación al ahorro de capital que se produce en el avanzado.

Exigencias cualitativas de los distintos enfoques

Capital por RO El enfoque avanzado si bien es mas costoso de montar y mantener es mas efectivo porque reduce los requerimientos de capital y potencia la mitigación de estos riesgos:

Herramientas para la Gestión del RO Documento “Sound Practices for the Management and Supervision of Operational Risk” publicado por el Comité de Basilea recomienda la identificación y evaluación del riesgo en los productos, actividades, procesos y sistemas. Para ello, se recomiendan una serie de herramientas a emplear por las entidades: n Auto-evaluaciones, para detectar las fortalezas y debilidades del entorno de control en las operaciones y actividades, según un listado de potenciales riesgos operacionales a los que están expuestas. n Mapas de riesgos ordenan los tipos de riesgo que afectan a los procesos, departamentos o unidades de negocio y permiten la identificación de áreas con debilidades, donde sea necesario actuar de forma prioritaria. n Indicadores de riesgos, cuyo seguimiento durante un periodo de tiempo permite observar cambios de tendencia, con lo que se pueden anticipar debilidades en los procesos y actividades. Documento “Sound Practices for the Management and Supervision of Operational Risk” publicado por el Comité de Basilea recomienda la identificación y evaluación del riesgo en los productos, actividades, procesos y sistemas. Para ello, se recomiendan una serie de herramientas a emplear por las entidades: n Auto-evaluaciones, para detectar las fortalezas y debilidades del entorno de control en las operaciones y actividades, según un listado de potenciales riesgos operacionales a los que están expuestas. n Mapas de riesgos ordenan los tipos de riesgo que afectan a los procesos, departamentos o unidades de negocio y permiten la identificación de áreas con debilidades, donde sea necesario actuar de forma prioritaria. n Indicadores de riesgos, cuyo seguimiento durante un periodo de tiempo permite observar cambios de tendencia, con lo que se pueden anticipar debilidades en los procesos y actividades.

Herramientas para la Gestión del RO n Cuadros de mando para trasladar las evaluaciones cualitativas a mediciones cuantitativas, posibilitando la ordenación de los diferentes tipos de riesgos operacionales o la asignación del capital entre líneas de negocio. n Alertas vinculadas a los indicadores de riesgo. Constituyen un sistema para avisar de potenciales problemas cuando el nivel de un indicador supera un determinado valor predefinido. n Recopilación de datos de pérdidas y técnicas de medición que, permiten un análisis más completo del perfil de riesgo de la entidad, en términos de frecuencia y severidad de los fallos operacionales. n Cuadros de mando para trasladar las evaluaciones cualitativas a mediciones cuantitativas, posibilitando la ordenación de los diferentes tipos de riesgos operacionales o la asignación del capital entre líneas de negocio. n Alertas vinculadas a los indicadores de riesgo. Constituyen un sistema para avisar de potenciales problemas cuando el nivel de un indicador supera un determinado valor predefinido. n Recopilación de datos de pérdidas y técnicas de medición que, permiten un análisis más completo del perfil de riesgo de la entidad, en términos de frecuencia y severidad de los fallos operacionales.

Cuestionarios de Autoevaluación n El 50% de las entidades basa sus auto-evaluaciones en más de cuatro fuentes de análisis: –Reuniones de trabajo –Cuestionarios –Mapas de procesos –Análisis de riesgos y controles –Información de pérdidas operacionales recopiladas –Revisar los cambios realizados –Comparación riesgos y acciones mitigadoras –Revisar los cambios planeados n El 50% de las entidades basa sus auto-evaluaciones en más de cuatro fuentes de análisis: –Reuniones de trabajo –Cuestionarios –Mapas de procesos –Análisis de riesgos y controles –Información de pérdidas operacionales recopiladas –Revisar los cambios realizados –Comparación riesgos y acciones mitigadoras –Revisar los cambios planeados n Las unidades de negocio, de forma subjetiva: –Identifican los riesgos inherentes a sus actividades –Los priorizan en función de su severidad y probabilidad de ocurrencia –Evalúan el nivel de control existentes y su efectividad –Determinan los puntos de mejora que se deben de realizar. n Las unidades de negocio, de forma subjetiva: –Identifican los riesgos inherentes a sus actividades –Los priorizan en función de su severidad y probabilidad de ocurrencia –Evalúan el nivel de control existentes y su efectividad –Determinan los puntos de mejora que se deben de realizar.

Indicadores de Riesgo y Performance PERMITEN : n Identificar las causas de los eventos operacionales. n Medir la eficacia de los controles y mejoras efectuadas en los mismos. n Establecer alertas para la toma de acciones 4 Indicadores utilizados en las Areas de Negocio son reclamaciones de clientes, incidencias operativas, rotación de recursos, litigios con clientes, etc. 4 Indicadores utilizados en las Areas de Operaciones: número de errores en la ejecución de procesos, los ajustes en la Cuenta de Resultados, las cuentas no conciliadas, etc. 4 El Area Legal es la que utiliza en menor medida este tipo de herramienta de gestión. PERMITEN : n Identificar las causas de los eventos operacionales. n Medir la eficacia de los controles y mejoras efectuadas en los mismos. n Establecer alertas para la toma de acciones 4 Indicadores utilizados en las Areas de Negocio son reclamaciones de clientes, incidencias operativas, rotación de recursos, litigios con clientes, etc. 4 Indicadores utilizados en las Areas de Operaciones: número de errores en la ejecución de procesos, los ajustes en la Cuenta de Resultados, las cuentas no conciliadas, etc. 4 El Area Legal es la que utiliza en menor medida este tipo de herramienta de gestión.

Construcción del Modelo Cuantitativo Distintas metodología en desarrollo. En cualquier caso, deberían pasar por: I) Por cada Línea de Negocio : –Identificación de procesos, productos y riesgos –Identificación de Indicadores de Riesgo y Alertas –Recopilación de información sobre eventos de pérdida y factores causantes –Distribución estadística de las frecuencias + impactos de cada tipo de eventos = distribución de pérdidas II) Agregación de líneas de negocio considerando las correlaciones entre eventos y entre los eventos y los factores de riesgo. Dada la dificultad de establecer estas correlaciones, el Comité de Basilea propone la agregación considerando correlación 1 entre los tipos de eventos. Distintas metodología en desarrollo. En cualquier caso, deberían pasar por: I) Por cada Línea de Negocio : –Identificación de procesos, productos y riesgos –Identificación de Indicadores de Riesgo y Alertas –Recopilación de información sobre eventos de pérdida y factores causantes –Distribución estadística de las frecuencias + impactos de cada tipo de eventos = distribución de pérdidas II) Agregación de líneas de negocio considerando las correlaciones entre eventos y entre los eventos y los factores de riesgo. Dada la dificultad de establecer estas correlaciones, el Comité de Basilea propone la agregación considerando correlación 1 entre los tipos de eventos.

Organización Distintos enfoques organizativos para una Unidad Independiente de Riesgo Operacional: n Centralizada dependiendo de la Dirección de Control Interno n Centralizada dependiendo de Auditoría Interna n Mixta integrando personal especializado de las líneas de negocio Basilea define que debe ser independiente la función de Control Interno y de Auditoría Interna, y que esta última debe realizar revisiones periódicas de la gestión de riesgo operacional así como de la metodología seguida para su medición y valoración. Distintos enfoques organizativos para una Unidad Independiente de Riesgo Operacional: n Centralizada dependiendo de la Dirección de Control Interno n Centralizada dependiendo de Auditoría Interna n Mixta integrando personal especializado de las líneas de negocio Basilea define que debe ser independiente la función de Control Interno y de Auditoría Interna, y que esta última debe realizar revisiones periódicas de la gestión de riesgo operacional así como de la metodología seguida para su medición y valoración.

Organización. Papel del Consejo de Administración En el documento “Sound Practices for the Managment and Supervision of Operational Risk” publicado por el Comité de Basilea en Julio 2002 se establece las funciones del Consejo de Administración y el papel de Auditoría Interna: n El Consejo de Administración deberá tener conocimiento de los principales aspectos relativos al RO. n Debería aprobar y revisar periódicamente el Marco de Gestión de este riesgo que incluya la definición y establezca los principios para si identificación, evaluación, seguimiento, control y mitigación. n Ha de definir las responsabilidades de identificación, análisis, medición, gestión, mitigación y reporting del RO. n Debe garantizar que este riesgo estar sujeto a una efectiva y exhaustiva revisión por personal interno, competente e independiente. En el documento “Sound Practices for the Managment and Supervision of Operational Risk” publicado por el Comité de Basilea en Julio 2002 se establece las funciones del Consejo de Administración y el papel de Auditoría Interna: n El Consejo de Administración deberá tener conocimiento de los principales aspectos relativos al RO. n Debería aprobar y revisar periódicamente el Marco de Gestión de este riesgo que incluya la definición y establezca los principios para si identificación, evaluación, seguimiento, control y mitigación. n Ha de definir las responsabilidades de identificación, análisis, medición, gestión, mitigación y reporting del RO. n Debe garantizar que este riesgo estar sujeto a una efectiva y exhaustiva revisión por personal interno, competente e independiente.

Organización. Papel de Auditoría Interna En el documento mencionado se indica: n Auditoría Interna debería verificar que las políticas y procedimientos operativos están efectivamente implantados. n Para que la supervisión de Auditoria sea efectivamente independiente, este área no debería ser responsable directo de la gestión activa del RO. En el documento mencionado se indica: n Auditoría Interna debería verificar que las políticas y procedimientos operativos están efectivamente implantados. n Para que la supervisión de Auditoria sea efectivamente independiente, este área no debería ser responsable directo de la gestión activa del RO.