ANÁLISIS EMPÍRICO DEL RIESGO OPERACIONAL EN ENTIDADES FINANCIERAS: IMPORTANCIA DEL RIESGO OPERATIVO Cristina Gutiérrez López Universidad de León [email protected] Tfno: 987.29.10.00 Ext 54.72 Fax: 987.29.14.54 Área temática: B) Valoración y finanzas Palabras clave: entidades financieras, riesgo operacional, riesgo operativo, procesos, Basilea II Análisis empírico del riesgo operacional en entidades financieras: importancia del riesgo operativo Resumen El reciente interés por el riesgo operacional que afrontan las entidades financieras se ha acentuado con el Nuevo Acuerdo de Capitales (Basilea II), que exige capital para su cobertura y el diseño de métodos para su gestión. Entre las categorías incluidas en él se encuentran los riesgos por fallos en procesos operativos característicos de la banca al detalle, correspondientes al tradicional riesgo operativo. A través de un análisis empírico se comprueba su importancia tanto por la frecuencia de su aparición como por las pérdidas que genera en una entidad española de dimensión media. También se proponen herramientas para su control. 1. El riesgo en las entidades financieras Toda actividad empresarial ocasiona un conjunto de incertidumbres que las empresas asumen voluntaria o involuntariamente para conseguir sus objetivos. En cualquier caso, se enfrentan a riesgos de negocio (variaciones en el volumen de ventas e ingresos) y a riesgos financieros, tanto explícitos (de mercado) como implícitos (de crédito y de liquidez). Además, es posible que por la propia gestión empresarial y las actividades típicas de la entidad surjan otros peligros conocidos como riesgo operacional. Esta variada tipología de riesgos es especialmente significativa si hablamos de entidades financieras. Así, las entidades de crédito, agentes protagonistas de la intermediación financiera, afrontan una amplia gama de riesgos asociados a sus productos de activo y también de forma inconsciente por factores tan diversos como el personal, los procesos establecidos, sistemas instalados o factores externos. El interés se ha centrado tradicionalmente en los riesgos de crédito y mercado, dentro de los cuales pueden ubicarse finalmente todas las demás incertidumbres en estas empresas (falta de liquidez, variaciones inesperadas de tipos de interés, alteración del precio de las acciones, etc.). El riesgo de crédito considera la posibilidad de que la contrapartida de una operación de activo (préstamo, crédito, leasing, renting, etc.) no asuma sus obligaciones al devolver la financiación concedida, ya sea en tiempo, en forma, o por ambos motivos; se refiere pues al concepto de solvencia. El riesgo de mercado, por su parte, es la probabilidad de sufrir los cambios adversos en el precio de un instrumento, normalmente debido a la volatilidad y liquidez del mercado. Según el impacto financiero, puede distinguirse entre riesgo de tipo de interés, tipo de cambio, mercancías y acciones. Ambas categorías están interrelacionadas y sus límites, en ocasiones, se solapan. Así, ante fluctuaciones en los tipos de mercado (subida de los tipos de interés), se eleva la exposición al riesgo crediticio, al dificultarse la devolución de los intereses. Estos dos riesgos, conocidos habitualmente como riesgos financieros, han sido y continúan siendo muy estudiados por la economía financiera, que ha pasado de utilizar métodos estadísticos a desarrollar herramientas de inteligencia artificial, y ha empleado modelos de valoración a mercado (cálculo del valor en riesgo), trasladando de unos riesgos a otros los enfoques de medición y gestión. Además, la exigencia de mantener recursos propios para su cobertura ha apoyado este proceso continuo de evaluación y cuantificación, desde la publicación del Acuerdo Internacional de Medición y Estándares de Capital en 1988, centrado en riesgos de crédito, y su modificación más significativa (1996), dedicada a riesgos de mercado. Sin embargo, los cambios regulatorios recientes y los problemas financieros de algunas entidades, de especial trascendencia mediática1, han desviado la atención hacia riesgos operacionales, protagonistas de los esfuerzos de gestión más destacados en la actualidad. 2. El riesgo operacional Llegar a un consenso sobre qué se entiende por riesgo operacional no ha sido fácil2. Finalmente, su definición por exclusión (todo lo que no sea riesgo de crédito o mercado) ha sido superada por la aproximación causal que el nuevo acuerdo de Basilea (2004), Basilea I , elaboró en el segundo de los tres documentos consultivos publicados en el proceso conducente a su redacción final. Así, riesgo operacional es “el riesgo de pérdidas derivadas de procesos internos inadecuados o fallidos, personas o sistemas, o de eventos externos”, incluyendo el riesgo legal pero no los riesgos estratégico, sistemático y reputacional, así como el coste de oportunidad asociado a los fallos operativos y las pérdidas indirectas. También se excluyen los riesgos de modelo, negocio y las pérdidas extremas crediticias o de mercado. De esta definición destacan varios aspectos clave: v Se distingue entre riesgos internos o endógenos (procesos, sistemas, personas), para los que será posible desarrollar mecanismos de gestión, y riesgos externos, de carácter mucho más impredecible (factores ambientales adversos, fraude externo, actos terroristas, vandalismo, etc.). v La definición se restringe a los riesgos que se pueden medir, ya que el objetivo es calcular el capital a mantener por riesgo (capital económico). v Supera a los fallos operacionales del back-office (área de administración y operaciones), o riesgo operativo, que no es sino una parte del total. Además de esta definición, Basilea II incluye un conjunto de eventos resultantes de las cuatro causas anteriores, así como sus efectos o consecuencias. De este modo, se reflejan los tres elementos relacionados con las pérdidas: por qué suceden (causa), qué ocurre (evento) y cuál es su impacto (efecto) (Cuadro 1). 1 Casos como Bankers Trust (1994), Barings (1995), Daiwa (1995), Deutsche Morgan Grenfell (1995), Sumimoto (1996), Natwest (1997), Enron (2001), Allied Irish Bank (2002) o Parmalat (2003). 2 La literatura dedicada al riesgo operacional se centró inicialmente en el sector manufacturero (ingeniería, agencias de defensa y agencias espaciales en los años 50), trasladándose al sector financiero a partir de los años 90. En un principio se consideró como la relación entre las actividades de negocio y la variación en los resultados de la empresa. Posteriormente se asoció a pequeños, predecibles y frecuentes eventos (errores de procesamiento, fallos técnicos del sistema, etc.), además de una gran pérdida que acontece una única vez cada 5 ó 10 años. También se ha definido como el riesgo surgido en las operaciones, o como todo riesgo no cuantificable al que se enfrenta una entidad de crédito. Finalmente, en sentido amplio, se catalogó como toda incertidumbre no calificada como de crédito o mercado, y en sentido estricto, como una amplia tipología de aspectos asociados a recursos humanos, sistemas, procedimientos o documentos. Cuadro 1. Clasificación del Riesgo Operacional CAUSA v PERSONAS Espionaje industrial Uso de información privilegiada v SISTEMAS Fallos en hardware/software Interrupción de sistemas Fraude de empleados Asesoramiento deficiente a clientes Prácticas comerciales inapropiadas Virus informático Fallos en telecomunicaciones No disponibilidad de datos v CONTROLES Incorrecta captura-registro de operaciones Error en liquidación de operaciones v EVENTOS EXTERNOS Error de proveedores Fallos en externalización de actividades Pérdida de activos del cliente Falta de separación de funciones Actividades delictivas externas Desastres naturales EVENTOS EFECTOS I. Quebrantos II. Pérdida de recurso III. Restitución IV. Contingencias legales V. Regulatorio y normativo VI. Pérdidas o daños en activos 1. Fraude interno 2. Fraude externo 3. Relaciones laborales y seguridad en el puesto de trabajo 4. Clientes, productos y prácticas empresariales 5. Daños a activos materiales 6. Incidencias en el negocio y fallos en los sistemas 7. Ejecución, entrega y gestión de procesos A partir de las categorías anteriores, es preciso diseñar un sistema de identificación, medición y gestión de riesgos operacionales 3. Para ello, el punto de partida será la construcción de una base de datos interna que permita definir un perfil de riesgos. Incluirá información al menos sobre el tipo de evento y descripción del mismo, cantidad de la pérdida, unidad de negocio correspondiente, fecha de la pérdida y del momento en que se tuvo constancia de ella, acciones de gestión emprendidas y posibles recuperaciones. Además, es conveniente informar sobre aquellos errores que se advirtieron justo a tiempo para evitar su coste (near-misses), ya que serán un indicador de pérdidas futuras. En los casos en que las pérdidas ocurran de forma poco frecuente, la escasez de datos hará conveniente acudir a bases de datos externas 3 Esto es especialmente difícil por las características distintivas de este riesgo: i) se relaciona más con los procesos que con el producto, ii) no siempre se basa en transacciones, ni aparece en cuentas de resultados, ni se audita, iii) las pérdidas históricas no son un referente para futuras pérdidas, lo que dificulta el diseño de escenarios, iv) es difícil especificar un horizonte temporal, dependiendo de la frecuencia de la pérdida, v) el efecto de la diversificación es incierto: ante la confluencia de varios riesgos operacionales, las pérdidas pueden multiplicarse, vi) los riesgos de crédito o mercado deben ser asumidos para lograr beneficios, no así el operacional, vii) su componente subjetivo es mucho más destacado que en otros riesgos, especialmente por la ausencia de datos en aquellos eventos que tienen lugar de forma esporádica. (información del sector) o participar en consorcios, en los que las entidades asociadas comparten información. Del análisis de esta base de datos se concluirá cuáles son los elementos de riesgo operacional más significativos y, por tanto, aquellos sobre los que la entidad financiera debe centrar sus esfuerzos de control o, en caso de que esto no sea posible, transferirlos contratando una póliza de seguros o diseñando un plan de contingencias que se ponga en marcha ante sucesos que pongan en peligro la continuidad de la actividad. Todo ello es imprescindible para poner en marcha un sistema avanzado acorde a las exigencias del Acuerdo de Basilea II que se describe a continuación. 3. El riesgo operacional en Basilea II Dado que el fin de la supervisión bancaria no es evitar el fracaso de las entidades a nivel individual, sino garantizar la estabilidad del sistema, se precisa de un esquema internacional que suministre reglas comunes y homogéneas. El Comité de Supervisión Bancaria (Basel Comittee on Banking Supervisión – BCBS), uno de los foros permanentes del Banco de Pagos Internacionales, es el encargado de garantizar una supervisión eficaz de la actividad bancaria mundial y de mejorar las normas de solvencia, reforzando así la estabilidad bancaria internacional. En 1988 elaboró el Acuerdo de Capitales de Basilea. Su objetivo era lograr la convergencia internacional en el nivel de adecuación de capital de los bancos. Para ello, requería mantener un capital mínimo del 8% de los activos ajustados al riesgo, situando esa cifra en dos bandas y considerando sólo riesgos de crédito. La importancia de la innovación financiera y los avances que la banca había desarrollado en labores de gestión motivaron sucesivas modificaciones, destacando la enmienda de 1996, que incorporó el tratamiento de los riesgos de mercado. En este caso, era posible que las entidades aplicaran no sólo un modelo estándar sino también sus propios modelos de gestión, elaborados en torno al cálculo del valor en riesgo. Dada la continuidad de la regulación bancaria internacional y su necesaria adaptación a las condiciones del sector, el Acuerdo pronto se quedó obsoleto. En 1999 el Comité comenzó a trabajar en su revisión a través de un proceso de consultas con la industria y los supervisores regionales y nacionales. El camino que ha llevado al Nuevo Acuerdo, Basilea II, se vertebra a través de sucesivos documentos consultivos (en junio de 1999, enero de 2001, abril de 2003) hasta su publicación, el 26 de junio de 2004. Basilea II es un acuerdo de notable complejidad. Se estructura en tres pilares dedicados respectivamente al cálculo del capital mínimo, su revisión por parte del supervisor y la disciplina de mercado. En el pilar 1, el capital depende desde ahora de la consideración de las tres principales tipologías de riesgo: crédito, mercado y operacional. El tratamiento del riesgo de mercado no se altera, en el riesgo de crédito se incorporan los modelos internos, y el riesgo operacional se convierte en la gran novedad. En todos los casos, para utilizar modelos propios, las entidades deberán verificar ciertos requisitos cuantitativos y/o cualitativos. Se espera que el capital requerido en ese caso sea inferior al motivado por los enfoques estándar. El pilar 2 es el complemento necesario del pilar 1. Esto significa que el cálculo anterior es una cifra mínima que el supervisor comprobará si corresponde al perfil de riesgos del banco. El papel discrecional de éste adquiere pues notable importancia. El pilar 3 se refiere al suministro y transparencia informativa, bajo el supuesto de que inducirá a las entidades a adoptar políticas más seguras. La entrada en vigor de Basilea, a partir de 2007, es dispar para los distintos modelos, en función de la complejidad de éstos. Además, los Acuerdos de Basilea no son obligatorios en origen, ya que el Banco de Pagos no tiene fuerza legal, pero acaban siéndolo dada la participación de los reguladores en su elaboración y su final trasposición a las normativas nacionales, en el caso español, a través de la normativa europea. La directiva bancaria consolidada (2000/12) y la directiva relativa a la adecuación de capital de empresas de inversión y entidades de crédito (93/6) han sido modificadas por las directivas 2006/48 y 2006/49 respectivamente. La diferencia es que en el caso europeo, bajo el principio de que idénticas actividades deben someterse a las mismas normas, el ámbito de aplicación incluye a entidades de crédito y empresas de inversión. Los efectos del Nuevo Acuerdo para las entidades financieras se dejan notar en términos de esfuerzos de gestión y desarrollo de modelos propios. Obviamente, las posibilidades dependerán de la dimensión y de los recursos disponibles, tecnológicos y humanos. En cuanto al impacto sobre el sistema, la cuestión es si se acentuará la prociclicidad, ya que existe una relación negativa entre el ciclo económico y el capital mantenido. Así, en épocas de expansión económica la menor percepción del riesgo eleva la exposición, que luego se reduce ante la actitud pesimista de las fases recesivas. Si el capital es sensible al riesgo, este efecto se destacará, exigiendo más capital del necesario en las recesiones, con la consiguiente restricción del crédito y fomento así del ciclo económico, y menos del preciso en las expansiones. En lo que al riesgo operacional respecta, por primera vez Basilea II reconoce su importancia: tiene un coste y se exige capital para su cobertura (pilar 1), el regulador controla la gestión llevada a cabo por la entidad (pilar 2) y tiene importantes consecuencias sobre la reputación (pilar 3). El pilar 1 recoge tres métodos de cálculo: § El método del indicador básico estima que existe una relación lineal entre el riesgo y un indicador de la exposición a éste, exigiendo capital por el 15% de la media de ingresos brutos anuales de los últimos tres años. § El método estándar subdivide la actividad de un banco en un conjunto de líneas de negocio estandarizadas y con cargas de capital diversas a las que una entidad deberá ajustarse4. § Finalmente, los métodos de medición avanzada o modelos internos combinan el empleo de datos internos, externos, análisis de escenarios y factores del entorno de negocio y del control interno para definir un sistema de gestión más sofisticado y adaptado a esa entidad concreta. En este caso, es posible además reconocer la mitigación del riesgo a través de su transferencia con seguros. Basilea II recoge expresamente dos modelos internos alternativos: en primer lugar, el método de medición interno es similar al enfoque para riesgos de crédito, combinando categorías de riesgo y líneas de negocio para definir la pérdida esperada e inesperada. Por otro lado, el enfoque de distribución de pérdidas estima la distribución de pérdidas operacionales para cada combinación línea/evento, integrándolas posteriormente mediante una simulación de Montecarlo. En ambos casos, es posible aplicar una metodología complementaria considerada como una de las mejores prácticas: el scorecard5. 4 Dada la notable simplicidad de estos enfoques frente a los modelos internos, se cuestiona la inclusión de las tres modalidades, proponiendo i) eliminar el método del indicador básico, o ii) suprimir el método estándar, aplicando el método del indicador básico a aquella parte del indicador de líneas de negocio no cubiertas por el método avanzado (Nash, 2003). 5 El Comité de Basilea hizo alusión a este enfoque en sus documentos de 2001 (BCBS 2001b, 2001c), pero no en el acuerdo final. Se trata de una metodología de medición del riesgo operacional y cálculo del capital que pretende valorar diversos indicadores y controles de riesgo, convirtiéndose en algo más que Se anima al desarrollo de metodologías propias y se permite la combinación de varios esquemas. No obstante, también se exigen ciertos requisitos para la aplicación de todos los modelos, excepto el indicador básico. En resumen, podemos afirmar que los modelos avanzan en complejidad y sensibilidad al riesgo. 4. Análisis empírico: importancia del riesgo de procesos Según datos de la Asociación de Gestión del Riesgo (Risk Management Association) en noviembre de 2002, la principal causa de riesgo operacional en bancos se debe a procesos internos (64%), seguido de personas (25%), eventos externos (7%) y sistemas (2%). Antes de que el Comité de Supervisión Bancaria de Basilea se planteara incluir el riesgo operacional para calcular la exigencia de fondos propios a las entidades financieras, elaboró varios estudios de impacto (QIS - Quantitative Impact Study) a fin de definir el panorama de las líneas de negocio y tipo de eventos donde se presentaban las pérdidas más frecuentes y/o más cuantiosas. Cuadro 2. Número /Cuantía de pérdidas (%) Finanzas corporativas Negociación y ventas Líneas de negocio 1998-2000 20016 Número Cuantía Número Cuantía 0,29% 7,43% 0,89% 3,51% 4,87% 19,11% 10,86% 14,92% Banca minorista 67,43% 39,41% 61,10% 29,36% Banca comercial 13,21% 22,91% 7,22% 28,95% 6,96% 4,79% 3,92% 3,25% Servicios de agencia 1,75% 2,16% 3,15% 4,25% Administración de activos 1,57% 2,09% 2,35% 2,78% Intermediación minorista 3,91% 2,09% 6,91% 11,72% Liquidación y pagos Fraude interno Fraude externo Relaciones laborales y seguridad en el puesto de trabajo Clientes, productos y prácticas empresariales Daños a activos materiales Incidencias en el negocio y fallos en los sistemas Ejecución, entrega y gestión de procesos Eventos operacionales 1998-2000 2001 Número Cuantía Número Cuantía 2,72% 10,66% 3,31% 7,23% 36,39% 20,32% 42,39% 15,54% 2,71% 2,92% 8,52% 6,76% 6,39% 27,51% 7,17% 13,14% 4,48% 3,02% 1,40% 24,29% 5,32% 0,82% 1,14% 2,73% 41,99% 34,76% 35,07% 29,41% un mero listado de indicadores o informes de riesgo. Es también un modelo estructural de indicadores clave de riesgo que cubre todos los procesos de negocio del banco, y se utiliza como herramienta de seguimiento del riesgo operacional. 6 Los porcentajes no suman 100 en el caso del estudio elaborado a partir de los datos recogidos en 2001, ya que el Comité deja abierta la posibilidad a otras líneas de negocio y otros eventos no incluidos en los predefinidos en el cuadro. Así, a través de encuestas, el QIS-2 y su ampliación posterior recogieron datos obtenidos en 1998-2000 y 2001 de 30 y 89 bancos, respectivamente7, como resume el cuadro 2. De los resultados anteriores podemos extraer las siguientes conclusiones: v La línea de negocios donde se producen eventos operacionales con mayor frecuencia es la banca minorista, superando el 60% del total en ambos estudios. También es el área en que las pérdidas son más cuantiosas (supone el 39,41% y 29,36% del total), seguida de cerca por la banca comercial (22,91% y 28,95%). De acuerdo a la definición del Comité, el área de banca minorista incluye las actividades más tradicionales de ésta (prestamos y depósitos de clientes minoristas, servicios bancarios, fideicomisos y testamentarias), así como banca privada y servicios de tarjetas. v Los eventos de riesgo operacional más frecuentes están relacionados con fraude externo y fallos en los procesos, alternando el primer puesto en los dos estudios realizados, y alcanzando entre ambos casi el 80% del total de errores asumidos. En cuanto al impacto, las mayores pérdidas se derivan de errores en procesos en ambos casos. Para el Comité, los errores en procesos (fallos en la ejecución, entrega y gestión de procesos) surgen en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores: errores en la recepción, ejecución y mantenimiento de operaciones (actividades de front-office, errores en la introducción de datos, incumplimiento de plazos, errores contables, fallos en la gestión de colaterales, etc.), seguimiento y comunicación de informes (incumplir la obligación de informar, inexactitud de informes externos que generan pérdidas), admisión de clientes y documentación (falta de autorizaciones, inexistencia de documentos jurídicos o que éstos sean incompletos), gestión de cuentas de clientes (acceso no autorizado a cuentas, pérdidas de activos de clientes por negligencia), contrapartidas comerciales, y distribuidores y proveedores. Estos resultados ofrecen una idea de la situación de los bancos internacionales previa a Basilea II. Es interesante comprobar la posición relativa de las entidades financieras españolas, que nos permitirá concretar el ámbito en que deben centrar sus labores de gestión. Por ello, se han analizado los datos de pérdidas operacionales facilitados por una entidad financiera, obtenidos durante 2004 y 2005 a través de su base de datos. La información facilitada corresponde a seis sucursales de variado tamaño y 7 El Comité ha realizado posteriores estudios de impacto, no específicos sobre riesgo operacional: QIS-3 (finales de 2002), QIS-4 (durante 2004 y la primera mitad de 2005) y QIS-5 (octubre-diciembre 2005), a fin de evaluar el impacto de la carga de capital de Basilea II; estos análisis no hacen referencia a la distribución d e riesgo operacional por tipos de evento y líneas de negocio. características (cuadro 3) centradas en la banca minorista, ya que ésta es la línea de negocio que ocasiona los principales riesgos operacionales y representa el perfil más habitual en las entidades de crédito españolas. Cuadro 3. Muestra de oficinas Empleados Clientes 971 Pasivo (miles €) 2.601,70 Activo (miles €) 16.156,33 Productos parafinancieros (miles €) 1.353,36 Mínimo 3 Máximo 14 18.235 121.328,46 158.297,16 39.331,32 8 En total se han registrado 198 eventos que han generado un volumen de pérdidas total de 42.845,27 €, antes de posibles recuperaciones. Siguiendo el esquema de siete eventos definido antes, los resultados sobre la cuantía y frecuencia de las pérdidas se reparten como recoge el cuadro 4: Cuadro 4. Distribución de eventos operacionales Fraude interno Fraude externo Relaciones laborales y seguridad en el puesto de trabajo Clientes, productos y prácticas empresariales Daños a activos materiales Incidencias en el negocio y fallos en los sistemas Ejecución, entrega y gestión de procesos Total 2004 3,06 Frecuencia (%) 2005 5,00 Total 4,04 2004 7,00 Cuantía (%) 2005 1,07 - - - - - 1,02 5,00 3,03 8,62 5,89 3,86 4,08 11,00 7,57 3,41 36,55 21,86 7,14 7,00 7,07 0,59 2,83 2,04 84,69 72,00 78,28 88,13 53,65 64,23 100 100 100 100 100 100 Total 8,00 - De este modo, en las seis oficinas analizadas, los principales riesgos se deben a fallos en los procesos operativos llevados a cabo9. En concreto, 155 eventos que han supuesto un volumen total de pérdidas brutas de 57.520,74 euros. Sin embargo, conviene matizar que, en algunos casos, es posible recuperar el importe de la pérdida inicial (pérdida bruta), como ocurre en el caso de los errores en sistemas o en procesos. En concreto, en 12 ocasiones durante el período considerado se 8 Los productos parafinancieros o parabancarios actúan como productos financieros, pero no lo son porque no forman parte del balance de la entidad financiera. Es el caso de fondos de inversión, planes de pensiones, seguros de vida y ahorro. 9 No sólo la aparición de los distintos tipos de riesgo es diferente. Según Gustafsson et al. (2005), la información facilitada sobre ellos también es distinta. En opinión del autor, la categoría “ejecución, entrega y gestión de procesos” es aquella con menos posibilidades de darse a conocer, mientras que “clientes, productos y fallo de sistemas” tiene una probabilidad muy superior. recuperó la pérdida surgida por un fallo de procesos, siendo finalmente nula la pérdida neta. Analizando los riesgos de procesos de forma más desagregada, la mayor parte de ellos se debe a fallos operativos (recepción, ejecución y mantenimiento de operaciones), lo que justifica su análisis particular. Sólo tres de los seis tipos de riesgos de proceso definidos se han presentado en algún momento, no habiéndose recogido en la base de datos fallos en el seguimiento y comunicación de informes, errores debidos a contrapartes comerciales, ni por distribuidores y proveedores. La distribución porcentual en términos de frecuencia y severidad figura en el cuadro 5. Cuadro 5. Distribución de riesgos en procesos (%) Frecuencia Severidad 2004 2005 2004 2005 Recepción, ejecución y mantenimiento de operaciones 92,77 65,28 88,41 61,99 - 4,17 - 11,80 Gestión de cuentas de clientes 7,23 30,56 11,59 26,21 Total riesgo procesos 100 100 100 100 Admisión de clientes y documentación A la vista de las cifras anteriores, centrados en los fallos operativos, ya que han demostrado ser los más habituales, copando siempre cifras en torno al 90% de los fallos totales en procesos, además de suponer cuantiosas pérdidas (superiores al 60%), es posible analizar su correlación con el resto de indicadores 10. En primer lugar, es interesante comprobar la correlación entre los fallos operativos y otro tipo de riesgos operacionales. En este punto, lógicamente se han considerado sólo aquellos eventos que han ocurrido durante los años de estudio. Cuadro 6. Fallos operativos: correlaciones (I) Fraude externo Defectos de producto Error asesoramiento a clientes Daño a activos materiales Sistemas Error formalización documentos Gestión cuentas de clientes 10 General 2004 2005 48,29 55,11 57,04 27,65 48,55 58,01 62,30 52,35 64,20 55,51 68,58 65,83 Para ello se ha trabajado con el programa Butterfly 3.1. Positiva 2004 2005 42,90 34,06 22,80 17,77 25,60 48,44 38,29 50,08 64,20 32,16 44,61 29,87 Negativa 2004 2005 4,39 21,05 34,25 9,88 22,95 9,57 24,01 2,27 0 21,35 23,97 35,96 Por tanto, la mayor vinculación general se produce con otros fallos en procesos (error en la gestión de cuentas de clientes: indemnización en gestión de recibos, cheques, pagarés, transferencias, seguros sociales o impuestos). La correlación positiva más significativa se da con fallos en sistemas (fallos informáticos, cajero automático sin fondos, etc.) y la negativa con los fallos en procesos. Además, en 2005 el nivel de correlaciones negativas aumenta considerablemente respecto al año anterior. En segundo lugar, se analiza la correlación con las variables indicativas de las características de las sucursales: Cuadro 7. Fallos operativos: correlaciones (II) Empleados Clientes Pasivo Activo Parafinancieros General 2004 2005 89,27 50,18 81,76 57,52 86,55 47,31 63,95 56,97 91,04 45,57 Positiva 2004 2005 89,27 50,18 81,76 57,52 86,55 47,31 32,75 40,49 91,04 45,57 Negativa 2004 2005 0 0 0 0 0 0 31,20 16,48 0 0 A la vista de los datos, existe una relación positiva muy notable entre el hecho de que se produzca un fallo operativo y el número de trabajadores, número de clientes, volumen de productos parafinancieros y volumen de pasivos bancarios (depósitos y cuentas de clientes), especialmente de acuerdo a los datos de 2004, ya que los valores se sitúan siempre por encima de 80 sobre 100 puntos. Sin embargo, la correlación no es tan elevada con el volumen de activos, siendo ésta además parcialmente positiva y negativa, de modo que ambas variables se mueven tanto en la misma dirección como en sentido contrario. En este sentido, y para apoyar el esquema anterior, es interesante observar la relación existente entre el volumen de pérdidas operativas en cada oficina, a fin de evaluar su posible relación con las dimensiones de ésta, resultando los datos del cuadro 8 (2004) y cuadro 9 (2005). Cuadro 8. Riesgo operativo - Ratios (2004) Pérdida unitaria (€/evento) Pérdidas brutas/trabajadores Pérdidas brutas/clientes Pérdidas brutas/activo (%) Pérdidas brutas/pasivo (%) Pérdidas brutas/parafin. (%) OF1 401,4348 602,1529 0,7196 0,0085 0,0092 0,0223 OF2 24,1364 24,1364 0,0185 0,0003 0,0003 0,0012 OF3 65,5000 65,5000 0,0656 0,0013 0,0028 0,0031 OF4 87,6593 131,4890 0,1282 0,0023 0,0032 0,0037 OF5 86,2688 138,0300 0,1119 0,0015 0,0066 0,0055 OF6 569,0800 758,7733 2,3443 0,0875 0,0106 0,1682 Cuadro 9. Riesgo operativo - Ratios (2005) Pérdida unitaria (€/evento) Pérdidas brutas/trabajadores Pérdidas brutas/clientes Pérdidas brutas/activo (%) Pérdidas brutas/pasivo (%) Pérdidas brutas/parafin. (%) OF1 387,9289 249,3829 0,3216 0,0029 0,0035 0,0089 OF2 53,5000 15,2857 0,0129 0,0001 0,0002 0,0007 OF3 84,8393 181,7986 0,1778 0,0065 0,0035 0,0070 OF4 84,6755 93,1430 0,0873 0,0014 0,0014 0,0024 OF5 169,3100 84,6550 0,0673 0,0035 0,0009 0,0028 OF6 116 116 0,2992 0,0011 0,0116 0,0204 De los cuadros anteriores se deducen notables diferencias en la eficiencia operativa de las seis oficinas incluidas en el estudio, ya que los ratios difieren tanto entre las oficinas como para los dos años del estudio. A nivel de oficinas, la segunda es la que afronta menos pérdidas operativas y alcanza los mejores resultados en los dos años considerados. En el extremo opuesto, las oficinas 1 y 6 muestran los peores datos. La primera de ellas es la que cuenta con mayor número de empleados (14) y la segunda presenta la situación opuesta (3). La primera arroja también importantes cifras en su volumen de activos, pasivos y productos parafinancieros, mientras que la última es la de menor volumen en todas las variables analizadas, aunque en 2005 sus datos mejoran notablemente. Por tanto, en contra de lo esperado y según el estudio, el tamaño de la oficina no define el volumen de pérdidas operativas asumidas por cada sucursal. Analizando la evolución temporal de las seis oficinas, las conclusiones son diversas. En la mitad de los casos, la situación es peor (oficinas 2, 3 y 5), mejorando en la mitad restante. Cabe preguntarse si el incremento en el volumen de pérdidas es real u obedece sólo a cuestiones de registro, tal que el establecimiento y consolidación de la base de datos haya propiciado una consideración más cuidada de las pérdidas ocurridas en 2005, de modo que éstas se hayan contabilizado en mayor medida que el año anterior, aunque su aparición no sea necesariamente más frecuente. 5. Gestión de fallos en procesos La gestión de riesgos operacionales implica un conjunto de retos a los que las entidades deberán dar respuesta si quieren ajustarse a Basilea II, debiendo proceder de acuerdo a la siguiente secuencia: § Identificación, de especial dificultad ante la falta de reflejo contable de la mayoría de eventos operacionales. Requerirá la puesta en marcha de bases de datos y, por tanto, un importante esfuerzo tecnológico y humano. § 11 Categorización de eventos operacionales, según su frecuencia y cuantía 11. Así, la atención se centra en los riesgos medios. Aquellos eventos de baja frecuencia y alta severidad o cuantía deben transferirse a terceros, y los más habituales y de poca magnitud se controlarán § Definición de un mapa de riesgos que permita centrar la atención en los eventos más significativos. § Emprender acciones de gestión: si los riesgos son de poca importancia se consideran un coste de negocio y su impacto se habrá incluido en el precio de los productos bancarios. Si pueden arrojar pérdidas muy elevadas, será conveniente asegurarlos. Si son muy frecuentes, como ocurre con los riesgos en procesos, debe reducirse su aparición. El papel del control interno será determinante en este sentido12. § Desarrollar mecanismos que permitan avanzar hacia la aplicación de metodologías estándar o avanzadas según Basilea. En el primer caso, exige un esfuerzo de encaje entre la estructura funcional de la entidad y las líneas de negocio del Acuerdo. En el segundo, requiere un paso más a través de sofisticadas herramientas que combinen datos históricos de pérdidas operacionales, datos externos del sector, diseño de escenarios y, por tanto, elementos prospectivos y factores ambientales, cuantitativos y cualitativos. Todo ello podrá tenerse en cuenta con el apoyo de indicadores de riesgos y/o el establecimiento de relaciones causales. En el caso de los riesgos en procesos, KÜHNERT y STUBBS (2001) establecen sus principales características: alta frecuencia, severidad media, impacto en términos de pagos por compensación o baja de elementos en el activo de la entidad, siendo sus medidas de mitigación mejorar los sistemas de tecnologías de información y los sistemas de seguridad. Así pues, en la banca al detalle los fallos en procesos se caracterizan por su alta probabilidad y suponen pérdidas individuales de poca cuantía 13. En ocasiones se asocian con la pérdida esperada o media de la distribución estadística de pérdidas de internamente. También es conveniente modelizar la distribución de pérdidas: para la frecuencia suele emplearse una distribución de Poisson y para la cuantía distribuciones continuas (weibull, lognormal, exponencial, gamma, pareto, pareto generalizada, burr, loglosítica, uniforme, exponencial, binomial y beta) (Álvarez, 2004; de Fontnouvelle et al., 2004; Chapelle et al., 2004, Allen et al., 2004). 12 Entre las medidas de control interno aplicables destaca la separación de tareas, basada en el principio de especialización y la estructura de la cadena de valor de la organización, así como los intereses contrapuestos de los trabajadores. Se segregan las actividades de autorización, salvaguarda, registro y ejecución, lo que implica la separación entre i) front y back -office, ii) back/front-office frente a contabilidad y control, iii) mantenimiento de datos estadísticos frente a proceso de transacciones (Van den Brink, 2002; FDIC, 2003). 13 Esta afirmación es genérica, ya que Alexander (2003) observa que el comportamiento de los riesgos de procesos diverge según la línea de negocios considerada: se trata de eventos de alta frecuencia-alta severidad en finanzas corporativas, alta frecuencia-baja severidad en las áreas de negociación y ventas y banca minorista, alta frecuencia-baja severidad en liquidación y pagos, y de frecuencia media-alta severidad en el resto de casos (banca comercial, agencia y custodia, gestión de activos e intermediación minorista). la entidad. Por ello, pueden cubrirse contablemente a través de provisiones 14, suponiendo un coste habitual para la entidad y considerándose al elaborar el presupuesto, ya que los gestores esperan que esos fallos ocurran y los aceptan como parte del negocio. Se incluyen pues en el precio de los productos y servicios (comisiones, gastos y tipos cobrados). Sin embargo, su impacto final, debido a su elevada frecuencia, es considerable, por lo que requieren un esfuerzo de gestión. El primer objetivo es que estén documentados adecuadamente para permitir su tratamiento con herramientas cuantitativas, siendo posible generar una distribución estadística de pérdidas. A continuación, el análisis de procesos requerirá una auto-evaluación, así como la definición de indicadores y umbrales de pérdidas, pudiendo avanzar posteriormente hacia el diseño de redes bayesianas que permitan observar las relaciones causales entre los eventos de riesgo, y entre éstos y sus consecuencias. El cuadro 10 recoge un conjunto de indicadores para medir el riesgo en los procesos operativos tanto con carácter general como específicos para actividades diversas. Una vez obtenidos esos valores, deberá vigilarse que se sitúen dentro de niveles aceptables. Para ello es útil diseñar gráficos de control tomados del control estadístico de procesos, que definirán si el proceso está o no bajo control. En la segunda opción, la entidad recibe una señal de alarma clara que le invita a mejorar el control sobre el factor analizado. En todo caso, será necesario desarrollar un esquema integral de gestión de riesgos que ocasionará un importante esfuerzo en términos de recursos humanos y tecnológicos. El diseño de una adecuada base de datos no es un problema menor. Tampoco lo es contar con la colaboración del personal de la entidad, que debe sentirse parte de un proyecto global en el que su labor no está siendo cuestionada sino que se valora para mejorar cómo se hacen las cosas. 14 Desde este punto de vista, el capital debería destinarse únicamente a la cobertura de pérdidas inesperadas. Además, éste no puede tomars e como referencia en igual medida para los riesgos de crédito y mercado, o para los operacionales. Así, mientras que en caso de acontecer las pérdidas tanto esperadas como inesperadas por riesgos de crédito o mercado, esto llevaría teóricamente al agotamiento del capital y la desaparición de la entidad, en el caso del riesgo operacional, el capital se acabaría pero el negocio, en cierto modo, persistiría. Por eso, pérdidas por riesgos operacionales no están directamente relacionadas con el capital, y la exigencia de éste se entiende más como una coartada de los bancos para no afrontar las medidas de prevención o gestión apropiadas. De hecho, parece razonable que el desarrollo de sistemas y controles seguros pueda ser suficiente sin necesidad de recurrir a capital adicional. La opinión generalizada es que la estimación de una carga de capital por riesgo operacional viene a suplir los cambios propuestos para el riesgo de crédito. Cuadro 10. Indicadores de riesgo en procesos Indicadores genéricos 15 §Volúmenes procesados §Número de incidencias/Errores §Partidas en investigación §Frecuencia de los cuadres de partidas (conciliación de cuentas) §Cuadres entre aplicativos (en qué medida las aplicaciones se adecúan a las tareas que deberían realizar) §Frecuencia de arqueos y cuadres 16 §Edad media de partidas conciliatorias §Operaciones pendientes de liquidar (%) §Segregación funcional §Manualidad de los procesos §Cruce de confirmaciones §Contratos: - Calidad jurídica de los contratos - Antigüedad del modelo - Poderes de los firmantes - Custodia del contrato §Cumplimiento normativa bancaria §Segregación funcional17 §Número reclamaciones de clientes §Número de sanciones del supervisor bancario Actividades de back-office (área de administración y operaciones) Actividades de front-office (área de contratación) Indicadores específicos Factor de riesgo Riesgo Indicador Procesos actuales pueden gestionar todos los casos Procesos adecuados Procesos adecuados no disponibles Fallos Incapacidad para logra aceptación operación Retrasos en los procesos Proceso no disponible (fallo de copia de seguridad) para cerrar una operación Fraude Número nuevos productos introducidos Tiempo para confirmar operaciones Proceso alternativo para aprobar operación Puntuación Procesos actuales pueden gestionar todos los casos Procesos adecuados Procesos adecuados no disponibles Fallos Incapacidad procesos (escasas reuniones de personal aprobación préstamos) Errores en proceso de desembolso Inhabilidad de los procesos Comportamiento no autorizado Transacciones aprobadas/ presentadas Tasa de error ¿Existen alternativas? (copia de seguridad) Puntuación auditoría 6. Conclusiones En los últimos años, las entidades financieras han sido conscientes de que las pérdidas más significativas sufridas por sus cuentas de resultados no procedían necesariamente del impago de sus clientes o de cambios no deseados en el valor de los activos, o al menos esos factores eran sólo el aspecto visible que ocultaba otro tipo de fallos. Esas incertidumbres, de difícil medición por su variedad, carácter cualitativo y especificidad para cada empresa, han recibido últimamente una atención especial bajo la denominación de riesgo operacional. 15 Volumen es el número de transacciones que procesa una unidad, sin incluir horas extras y cumpliendo todos los pasos que marcan los procedimientos (controles incluidos). 16 Son operaciones de control y comprobación de que las existencias que componen los saldos de las cuentas son correctas, coincidiendo entre los distintos sistemas/aplicaciones. Realizar un cuadre significa identificar las diferencias existentes, y un arqueo permitirá comprobar la existencia de inventarios físicos de valores (caja, efectos depositados, pagarés) para verificar que coinciden con los saldos contables. 17 Tareas a valorar: Introducir datos y liberar pagos/ Realizar pagos y controlar las incidencias/Realizar pagos y conciliar cuentas/Definir perfiles de usuario e introducirlos en sistemas/Acceder a las claves y a la sala de comunicaciones/Aprobar préstamos y abonar los fondos en cuenta/Aprobar préstamos y firmar los contratos/Firmar contratos con proveedores y aprobar pagos de facturas/Aprobar facturas y realizar los pagos/Aprobar indemnizaciones a clientes y abonarlas en su cuenta/Aprobar precios (intereses/comis iones) e introducirlos en los sistemas. La preocupación por esta categoría es aún muy reciente y dificulta la elaboración de conclusiones claras sobre los mejores mecanismos para facilitar su prevención y colaborar en la mitigación de sus efectos. Sin embargo, el proceso de Basilea II ha acelerado la preocupación de las entidades de crédito por la necesidad de poner en marcha una unidad de gestión del riesgo operacional que siga los pasos de las establecidas para los riesgos de crédito y mercado, en los que las empresas cuentan con mayor experiencia. Para ello, se precisa de un notable esfuerzo, sobre en términos de identificación de riesgos. Por eso, es preciso distinguir entre factores endógenos y exógenos. Asociados a los primeros, destacan los riesgos en los procesos operativos de la entidad, cuya importancia se ha puesto de manifiesto en las páginas anteriores. Hacia su identificación y control deben enfocarse gran parte de los esfuerzos de gestión. Este tipo de fallos suelen ser habituales, y aunque en términos individuales no suponen impactos muy elevadas, dada su altísima frecuencia, en total agrupan el mayor volumen de pérdidas. El objetivo es reducir su aparición a través de su control, algo complicado dado que este tipo de riesgos se eleva cuanto mayor es el número de clientes, número de transacciones y volumen de operaciones. Sin embargo, los resultados empíricos extraídos a partir de datos reales de varias sucursales bancarias no son concluyentes. Reafirman, eso sí, la importancia de estos riesgos en cuantía y frecuencia, pero nada definitivo concluyen sobre los mecanismos más idóneos para su tratamiento, ya que su vinculación con otro tipo de riesgos no arroja grandes diferencias. Podemos afirmar, no obstante, que es conveniente vigilar los fallos acaecidos en los sistemas, ya que existe relación entre las dos categorías. También que la dimensión de la oficina (volumen de operaciones, número de trabajadores, etc.) puede condicionar el nivel de estas pérdidas. En este sentido, ni las oficinas grandes ni las más pequeñas del estudio demuestran buenos niveles de eficacia operativa, siendo las de dimensión media las que alcanzan mejores ratios de pérdidas (es decir, más bajos). En resumen, las limitaciones que rodean la gestión del riesgo operacional son también las que condicionan el análisis empírico de este trabajo: los datos son escasos y muy recientes, dificultando la amplitud del análisis e impidiendo la comparación de resultados. Será preciso esperar al perfeccionamiento de las bases de datos y su puesta en marcha no sólo para la red de sucursales sino también para los servicios centrales de las entidades financieras. De igual modo, llevará años obtener información suficiente para diseñar modelos complejos y avanzados que permitan anticiparse adecuadamente a todos aquellos riesgos susceptibles de control. Habrá que esperar también a observar el impacto final de la aplicación de Basilea II, en el que aún persisten algunas cuestiones abiertas. En esa línea, es previsible que los modelos que diseñen las entidades financieras se perfilen finalmente como los estándares de la industria. Por el momento, la mera toma de conciencia acerca del riesgo operacional es el primer y fundamental paso para caminar hacia su gestión eficiente. 7. Referencias bibliográficas AKKIZIDIS, I.S.; BOUCHEREAU, V. (2005): Guide to optimal operational risk and Basel II. Auerbach Publications, Boca Raton FL. ALEXANDER, C. (2003): “Statistical models of operational loss”, en ALEXANDER (editor): Operational Risk. Regulation, analysis and management. Prentice Hall Financial Times, London, pp. 129-170. ALLEN, L.; BOUDOUKH, J.; SAUNDERS, A. (2004): Understanding market, credit and operational risk: the value at risk approach. Blackwell Publishing, Oxford ÁLVAREZ, G. (2004) [en línea]: “Operational risk quantification. Mathematical solutions for analyzing loss data”, http://www.gloriamundi.org/picsresources/ga_1.pdf BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (1988): “International convergence of capital measurement and capital standards”, Bank for International Settlements, July, Basel. BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (1996): “Amendment to the capital accord to incorporate market risks”, Bank for International Settlements, January, Basel. BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (1999): “A new capital adequacy framework. Consultative paper, issued by the Basel Committee on Banking Supervision. Issued for comment by 31 March 2000”, Bank for International Settlements, June, Basel. BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (2001a): “Basel II: the new Basel Capital Accord – Second Consultative Paper”, Bank for International Settlements, January, Basel. BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (2001b): “Working paper on the regulatory treatment of operational risk”, Bank for International Settlements, April, Basel. BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (2001c): “Sound practices for the management and supervision of operational risk”, Bank for International Settlements, December, Basel. BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (2002): “The quantitative impact study of operational risk: overview of individual loss data and lessons learned”, Risk Management Group of the BCBS, January. BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (2003a): “The loss data collection exercise for operational risk: survey of the data collected”, Risk Management Group of the BCBS, March. BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (2003b): “The new Basel Capital Accord. Consultative document”, Bank for International Settlements, April, Basel. BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (2003c): “Quantitative Impact Study 3. Overview of Global Results”, May. BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (2004): “International convergence of capital measurement and capital standards: a revised framework”, Bank for International Settlements, June, Basel. BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (2006): “Results of the fifth quantitative impact study (QIS 5)”, Bank for International Settlements, June. CHAPELLE, A.; CRAMA, Y.; HÜBNER, G.; PETERS, J-P. (2004) [en línea]: “Basel II and operational risk: implications for risk measurement and management in the financial sector”. National Bank of Belgium Working Papers – Research Series núm. 51, May, http://www.bnb.be/Sg/En/Produits/publication/working/WP51.pdf CHORAFAS, D.N. (2004): Operational risk control with Basel II. Basic principles and capital requirements. Elsevier Finance, Oxford. CRUZ, M. G. (2002): Modeling, measuring and hedging operational risk. Wiley Finance, Chichester. DAVIS, E. (editor) (2005): Operational Risk. Practical approaches to implementation. Risk books, London. DE FONTNOUVELLE, P.; ROSENGREN, E.; JORDAN, J. (2004) [en línea]: “Implications of alternative operational risk modelling techniques”, papers.ssrn.com/sol3/papers.cfm?abstract_id=556823 Directiva 2006/48/CE del Parlamento Europeo y del Consejo, 14 de junio de 2006, relativa al acceso a la actividad de las entidades de crédito y a su ejercicio. Directiva 2006/49/CE del Parlamento Europeo y del Consejo, 14 de junio de 2006, sobre la adecuación del capital de las empresas de inversión y las entidades de crédito. FEDERAL DEPOSIT INSURANCE CORPORATION (FDIC) (2003) [en línea]: “Supervisory guidance on operational risk advanced measurement approaches for regulatory capital”, http://www.fdic.gov/regulations/laws/publiccomments/basel/oprisk.pdf GUSTAFSSON, J.; GUILLÉN, M.; NIELSEN, J.P.; PRITCHARD, P. (2005) [en línea]: "Using External Data in the Calculation of Operational Risk Capital Requirements with Particular Reference to Under-reporting”, http://ssrn.com/abstract=871181 HOFFMAN, D.G. (2002): Managing operational risk. 20 firm-wide best practice strategies. John Wiley & Sons, New York. KING, J.L. (2001): Operational risk. John Wiley & Sons, Chichester. MARSHALL, C. (2001): Measuring and managing operational risks in financial institutions. Tools, techniques and other resources. John Wiley & Sons, Singapur. NASH, R.A. (2003): “The three pillars of operational risk”, en ALEXANDER (editor): Operational risk. Regulation, analysis and management. Prentice Hall Financial Times, London, pp. 3-13. VAN DEN BRINK, G.J. (2002): Operational risk: the new challengue for banks. Ed. Palgrave, New York.