1. Benchmark sobre herramientas utilizadas para la identificación y evaluación de riesgos
operacionales de compañías de seguros.
Datos tomados de los Informes de Situación Financiera y de Solvencia 2016
Non Financial Risks
joseijimenez@nfrisk.com
SECTOR: SEGUROS
TEMA: Identificación y evaluación de Riesgo Operacionales

2. INTRODUCCIÓN
2
 Durante el mes de mayo de 2017, las compañías de seguros han publicado el
primer Informe sobre la Situación Financiera y de Solvencia exigido por el
artículo 51 de la Directiva 2009/138/CE (Solvencia II). Es la primera vez que
disponemos de información homogénea para todas las compañías de seguros
españolas, tanto en cuanto la mayor parte de ellas no están obligadas a hacer
pública información detallada sobre la compañía como pudiera ser un Informe
Anual.
 Tanto la Directiva sobre Solvencia II como el Reglamento que lo desarrolla
detallan la estructura y contenido de este informe, debiendo dedicar apartados
al Sistema de gestión de riesgos y al Sistema de control interno en el capítulo
sobre Sistema de gobernanza.

3. INTRODUCCIÓN
3
El capítulo Perfil de Riesgo del Informe dedica todo un apartado al Riesgo Operacional, en el que la compañía debe dar
una descripción de las medidas utilizadas para evaluar este riesgo dentro de la empresa. De acuerdo con las
diferentes normativas y recomendaciones, las herramientas y medidas a utilizar para la identificación y evaluación de
los riesgos son:
Bases de datos internas:
o EIOPA: Directrices sobre el Sistema de Gobernanza, Directriz 21- Política de gestión del riesgo operacional, apartado 1.57:
o IAIS: INSURANCE CORE PRINCIPLES, en el principio 8.2 dedicado al sistema de control interno y en el 8.4 dedicado a la identificación, evaluación, monitoreo, mitigación y reporte de sus riesgos.
Bases de datos externas:
o IAIS: INSURANCE CORE PRINCIPLES, en el principio 8.2.4
Autoevaluación de Riesgos y Controles
o IAIS: INSURANCE CORE PRINCIPLES, en el principio 8.4.4
Escenarios específicos de riesgos operacionales:
Encontramos numerosas referencias normativas sobre la necesidad de utilizar escenarios para la evaluación de riesgos, siendo la más precisa sobre la aplicación en la gestión del riesgo operacional la de,
o EIOPA: Directrices sobre el Sistema de Gobernanza Directriz 21, apartado 1.58
Hallazgos de Auditoría:
Si bien el uso de esa herramienta nos parece una mejor práctica, la referencia normativa sobre el uso de los hallazgos de auditoría para la identificación y evaluación de riesgo operacional no es tan precisa
como las anteriores, aunque consideramos que suficiente para incluirla como herramienta necesaria.
o Directiva 2009/138/CE (Solvencia II) Artículo 47.3

4. RESULTADOS DEL BENCHMARK
4
 La Autoevaluación de Riesgos y Controles (RCSA) es la herramienta más utilizada según estos informes (78% del total o 29 compañías recogen esta
herramienta en sus informes).
 Sólo una compañía recoge en su informe que utiliza 4 de las 5 herramientas: Datos de pérdidas internas, Eventos externos, Escenarios específicos
de riesgo operacional y RCSA. Ninguna dice utilizar las 5 herramientas.
 Sólo una compañía dice utilizar datos de eventos externos
 El 16% de las compañías no recogen en sus informes ninguna herramienta para la identificación y evaluación del Riesgo Operacional.
 El 67% utiliza una o dos de las cinco herramientas.
 Para las compañías que recogen más de una herramienta, la combinación más común es RCSA + Datos de eventos internos.
Gráfico2: Porcentaje y número de compañías según el número de herramientas que afirman
utilizar en el Informe de Situación Financiera y de Solvencia
Gráfico1: Porcentaje y número de compañías que afirman utilizar cada
una de las herramientas en el Informe de Situación Financiera y de
Solvencia para la identificación y evaluación del Riesgo Operacional.
Número de compañías de seguros analizadas: 37 / Fuente: elaboración propia a partir de los Informes de Situación Financiera y de Solvencia / Aunque a nuestro juicio la normativa obliga a describir todas las que la compañía utilice, del hecho de que
no describan determinadas herramientas en el informe no queremos deducir que no las tengan ni las utilicen.

5. SUMARIO
5
Es evidente que una eficaz gestión de cualquier riesgo se fundamenta en la identificación y la evaluación de los mismos, tarea que es
especialmente complicada en el caso del Riesgo Operacional. Es por esto la importancia que tiene el uso de diferentes herramientas, y no solo por
la información que aisladamente arrojan cada una de ellas, sino también por el gran valor que obtendremos al contrastar los resultados de las
diferentes herramientas
 Un RCSA tiene un gran valor pero, sin el apoyo de una base de datos de pérdidas operacionales sufridas por la
entidad con la que comparar el impacto y la frecuencia, nos deja muchas dudas acerca de su fiabilidad.
 Una base de datos de eventos internos nos da una información muy valiosa sobre las pérdidas tanto recurrentes
como extraordinarias en las que he incurrido para evaluar controles, y qué debemos hacer para evitarlas o
reducirlas en el futuro, e incluso para extrapolar resultados. Pero esos datos no me dicen nada sobre aquellos
riesgos sobre los que aún no he tenido ningún evento.
Además, debemos eliminar los sesgos inherentes que tenemos cuando identificamos y evaluamos riesgos operacionales solamente desde una
visión interna. Para ello debemos mirar qué pasa fuera, en otras compañías, y analizar si esos eventos los tenemos bien identificados
internamente y, en su caso, si nos pudiera ocurrir. Además, el intercambio de información con otros a través de los consorcios al efecto ayuda a
evaluar cómo es nuestro marco de control, a testear nuestro sistema de captura de pérdidas operacionales, a identificar diferencias de entornos o
de negocios, a retar a nuestro RCSA, etc.
En cuanto a los escenarios, su objetivo debe ser identificar situaciones comúnmente conocidas como “cisnes negros”, es decir, eventos de
muy baja probabilidad pero de un elevado impacto. No es fácil -ni cómodo- idear un escenario para nuestro trabajo o área de responsabilidad en el
que la entidad pueda perder el 30% ó el 40% ó el 60% de su capital, por ejemplo, razón por la cual se proponen también los escenarios inversos,
en el cual partimos de una pérdida extrema – como si ya se hubiese producido- y debemos analizar qué debía ocurrir para llegar a ella.
Una gestión del Riesgo Operacional, sin el uso de las herramientas necesarias, tiende a transmitir a
toda la organización una percepción de confort y seguridad que puede no corresponderse con el
riesgo real que estamos asumiendo, y que comprometería la consecución de los objetivos de la
empresa.

6. 6
Benchmark sobre herramientas utilizadas para la identificación y evaluación de riesgos operacionales de compañías de seguros
© José Ignacio Jiménez Enríquez de Salamanca 2017
Contacto:
joseijimenez@nfrisk.com