Introducción al riesgo operativo Estrella Perotti Investigador Senior Bolsa de Comercio de Rosario [email protected] La industria financiera ha desarrollado métodos para medir y administrar tanto el riesgo de mercado como el riesgo crediticio. La mayoría de los desastres financieros pueden ser atribuidos a una combinación de éstos así como también a fallas en los controles, lo cual es una forma de riesgo operativo. En el presente artículo trataremos de introducir al lector en el tratamiento de este tipo de riesgos. La importancia del riesgo operativo En las conclusiones de una encuesta realizada recientemente por el Comité de Basilea se resalta el importante crecimiento de riesgos diferentes a los de mercado o de crédito, tales como el operativo; causa de algunos de los más importantes problemas bancarios de los años recientes. Estos problemas pueden sumarizarse en los casos que se presentan a continuación: Allied Irish Bank (691 millones de dólares en pérdidas, febrero de 2000). Un operador ocultó pérdidas durante 3 años en operaciones de tipo de cambio yen/ dólar. La reputación del banco fue dañada. NatWest (127 millones de dólares, marzo de 1997). Un operador de swaptions, cubrió pérdidas deliberadamente subvaluando y sobrevaluando contratos de opciones. La reputación del banco fue dañada. Morgan Grenfell Asset Management (720 millones de dólares, septiembre de 1996). Un fund manager desatendió sus límites conduciendo a grandes pérdidas. Sumitomo (2.6 mil millones de dólares en pérdidas, junio de 1996). Un operador del mercado de cobre ocultó pérdidas durante 3 años seguidos. Se trataba de Yasuo Hamanaka, conocido como Mr. Five Percent, en alusión a la proporción del mercado que controlaba, fue sentenciado a prisión por falsificación y fraude. La reputación del banco fue severamente dañada. Daiwa (1.1 mil millones de dólares en pérdidas, septiembre de 1995). Un operador de bonos acumuló perdidas no reportadas durante 11 años en la subsidiaria estadounidense. El banco fue declarado insolvente. Baring (1.3 mil millones de dólares, febrero de 1995). Nick Lesson, un operador de derivados, acumuló pérdidas no reportados durante 2 años. Baring quebró. 1 Banker Trust (150 millones de dólares en pérdidas, octubre 1994). El banco se vio envuelto en un problema legal de importante magnitud con un cliente que lo acusó de prácticas de ventas impropias. Bankers respondió pero su reputación fue fuertemente dañada. Fue comprado posteriormente por Deustche Bank. Identificación del riesgo operativo El Comité de Basilea ha fijado una definición de riesgo operativo que se ha convertido en el estándar de la industria. Éste se define como: “The risk of loss from inadequate or failed internal processes, people and systems, or from external events”1. Esta definición excluye el riesgo de negocio pero incluye los eventos externos tales como frauds externos, brechas en la seguridad, efectos regulatorios o desastres naturales. Tiene en cuenta el riesgo legal pero excluye el riesgo estratégico y reputacional. British Banker’s Association (BIS) provee de una detallada lista de este tipo de riesgos. Divide al riesgo operativo en categorías: riesgos de personas, riesgo de procesos, riesgos de sistemas y riesgos externos. Entre estos, es de hacer notar que tiene en cuenta el riesgo de modelo, el cual se debe a la utilización de modelos o datos erróneos en la valuación y administración de activos. Este es un riesgo interno que combina falta de conocimiento o expertise (riesgo de personas) con productos complejos/ errores de valuación (riesgo de procesos) y tal vez con errores de programación (riesgo tecnológico). El cuadro a continuación detalla la clasificación de riesgo operativo de BIS Personas Riesgos internos Procesos Conspiración/ fraude Errores de empleados Errores contables Riesgo de capacidad Fechorías Leyes laborales Seguridad y salubridad Riesgo de contrato Fallas Productos complejos Acciones industriales Riesgo de proyecto Falta de conocimiento/ habilidades Pérdida de personal clave Error de reporte Errores de liquidación/ pago Errores de transacciones Errores de valuación Sistemas Calidad de datos Errores de programación Brecha de seguridad Riesgo estratégico Capacidad de sistema Compatibilidad de sistema Entrega de sistema Riesgos externos Externos Físicos Legal Money laudering Fuego Desastre natural Outsourcing Político Regulatorio Seguridad física Terrorismo Robo Riesgo de abastecimiento Impuestos Falla de sistema Sistema idóneo Fuente: BIS 1 El riesgo de pérdidas a causa de procesos internos inadecuados o fallas en los mismos, en las personas y sistemas o debido a eventos externos. 2 Valuación del riesgo operativo Una vez identificado el riesgo operativo debe ser medido. Varios métodos pueden ser utilizados para este fin, clasificados en modelos top- down (o generales) y modelos botton- up (específicos). Comparación Los modelos top down intentan medir el riesgo operativo a nivel general, esto es, utilizando datos a nivel empresa o industria. Los resultados son utilizados para determinar la cantidad de capital que debe ser mantenido como colchón contra este tipo de riesgos. Los modelos botton – up comienzan su análisis a nivel unidad de negocio o proceso. Los resultados son agregados para determinar el perfil de riesgo de la institución. El principal beneficio de este tipo de métodos es que conduce a un mejor entendimiento de las causas de riesgo operativo. Las herramientas utilizadas para administrar este tipo de riesgos pueden ser clasificadas en seis categorías: 1. Auditoria externa: consiste en la revisión de los procesos del negocio por un departamento de auditoria externa. 2. Auto-evaluación crítica: cada unidad de negocio identifica la naturaleza y el grado de riesgo operativo. Estas evaluaciones subjetivas incluyen frecuencia esperada y severidad de la pérdida así como también una descripción de cómo se controlará el riesgo. Las herramientas utilizadas para este tipo de procesos son checklists, cuestionarios y workshops. Los resultados son agregados a un método botton up. 3. Indicadores de riesgo claves: medidas simples que proveen un indicio de si el riesgo cambia todo el tiempo. Estas señales de advertencia pueden incluir scores de auditoria, cambio de staff, volumen de venta, entre otros. El supuesto es que los eventos de riesgo operativo son más probables de que ocurran cuando los indicadores se incrementan. Esta medida objetiva permite a los administradores de riesgo estimar pérdidas a través de la aplicación de técnicas de regresión, por ejemplo. 4. Earning volatility: puede ser utilizado después de liquidar los efectos de riesgo de mercado y de crédito para valuar el riesgo operativo. Este método consiste en tomar una serie de tiempo de ganancias y computar su volatilidad. Esta medida es simple de utilizar pero tiene numerosos problemas: incluyen fluctuaciones debido al riesgo de negocio y macroeconómico, los cuales están fuera del riesgo operativo. Además se trata de un método backward-looking. 5. Causal networks: las redes describen cómo las pérdidas pueden ocurrir debido a una serie de diferentes causas. Las causas y efectos son vinculados a través de probabilidades condicionales. Simulaciones son corridas posteriormente generando distribución de las pérdidas. Se trata de un método botton up que permite un entendimiento de las pérdidas debido a que se centra en los conductores del riesgo. 6. Modelos actuariales: las distribuciones de frecuencia de las pérdidas son combinadas con la distribución de la severidad de las mismas produciendo una distribución objetiva de las pérdidas debido al riesgo operativo. 3 Administración del riesgo operativo Al igual que cuando trabajamos el VaR de mercado, la distribución de las pérdidas operativas puede ser utilizada para estimar las pérdidas esperadas así como también la cantidad de capital requerida para hacer frente a este riesgo financiero. Las pérdida esperadas representan el tamaño de pérdidas operativas que deberían esperarse ocurran. Por lo general, está representada por eventos de alta frecuencia pero baja severidad. Este tipo de pérdidas es generalmente absorbida como costos corrientes y administradas a través de controles internos. Las pérdidas inesperadas representan la desviación entre las pérdidas esperadas y el cuartil de pérdidas a un determinado nivel de confianza. Están representadas por pérdidas de baja frecuencia pero elevada severidad. Por lo general son compensadas con reservas de capital o con seguros. Las stress loss representan a las pérdidas que exceden a las pérdidas inesperadas. Son muy infrecuentes pero extremadamente dañinas para la institución. La caída de la Baring Brothers puede ser atribuida en gran parte al riesgo operativo. Este tipo de riesgos no puede ser fácilmente compensado a través de la colocación de capital o mediante la compra de seguros. Por lo general, este tipo de situaciones toman conocimiento público. Mitigación del riesgo operativo La reducción del riesgo operativo puede ocurrir en términos de frecuencia de las pérdidas y/ o tamaño de las pérdidas cuando las mismas ocurren. El riesgo operativo puede ser minimizado en un número de formas. Los métodos de controles internos consisten en: 1. separación de funciones: los responsables de las transacciones no deberían tener funciones de liquidación y contabilización. 2. entradas duales: los inputs deberían ser controlados a través de dos fuentes diferentes, esto es, el ticket de la operación y la confirmación por el back office. 3. reconciliaciones: los resultados (outputs) deberían ser controlados a través de diferentes fuentes. 4. sistema de avisos: fechas importantes deberían ser ingresadas dentro de un sistema de calendarios que genere automáticamente alertas. 5. control de enmiendas: cualquier enmienda al acuerdo original debería estar sujeta a un estricto control como el ticket original. Métodos de controles externos: 1. confirmaciones: el ticket de operación necesita ser confirmado con la contraparte, hecho que permite un chequeo independiente de la transacción. 2. verificación de precios: para valuar posiciones, los precios deberían obtenerse de fuentes externas. Esto implica que la institución debería tener la capacidad de valuar transacciones in-house antes de concretarlas. 4 3. autorizaciones: la contraparte debería ser provista con una lista de las personas autorizadas a negociar así como también una lista de transacciones permitidas. 4. liquidación: el proceso de pago en sí mismo puede indicar si algunos de los términos de la transacción han sido incorrectamente registrado. 5. auditorias internas/ externas: estos exámenes proveen una exitosa información sobre las áreas con debilidades potenciales en la estructura organizacional. Cuestiones conceptuales El administrador de riesgos operativos está acosado por cuestiones conceptuales. Primero, contrariamente al riesgo de mercado y de crédito, el riesgo operativo es interno a las instituciones financieras. Debido a que estas por lo general son renuentes a asumir sus errores es más difícil recolectar datos sobre pérdidas operativas. Otro problema es que las pérdidas pueden no ser directamente aplicables a otras instituciones. Segundo, el riesgo de mercado y el de crédito pueden ser separados conceptualmente dentro de exposiciones y factores de riesgo. La exposición puede ser fácilmente medida y controlada. En contraste, el vínculo entre factores de riesgo y probabilidad y tamaño de las pérdidas operativas no es fácil de establecer. Tercero, pérdidas operativas muy grandes, las cuales pueden sacudir la estabilidad de una institución, son relativamente raras (afortunadamente). Esto conduce a un muy pequeño número de observaciones en la cola de la distribución. Estos problemas de thin tails hacen difícil contar con una medida robusta del Value for Operacional Risk (VOR) a un elevado nivel de confianza. Como resultado, existe aún algo de escepticismo de si el riesgo operativo puede ser sujeto a la misma cuantificación que el riesgo de mercado o el de crédito. Conclusiones Al igual que con el riesgo de mercado y el crediticio, la administración del riesgo operativo sigue una secuencia de pasos lógico: (1) identificación, (2) valuación, (3) monitoreo y (4) control o mitigación. Históricamente el riesgo operativo ha sido administrado por mecanismos de controles internos dentro de cada línea de negocio complementado con las funciones de auditoria. Actualmente, la industria está comenzando a utilizar estructuras y controles de procesos específicamente diseñados. La caída de grandes empresas (caso Baring, por ejemplo) a causa de factores diferentes a los de mercado o de crédito ha motivado este cambio hacia el análisis, medición y administración de los errores operacionales. Fiel reflejo de ello es el nuevo acuerdo de Basilea (Basel Accord II) que incorpora dentro de los requerimientos de capital, una partida especial por riesgo operativo. Fuente Philippe Jorion, Financial Risk Manager Handbook (Fourth Edition) Wiley Finance 2007 Bank for International Settlement (BIS) www.bis.org 5