Está creciendo la necesidad de redefinir el Marco para la Gestión del Riesgo Operacional, tanto por los nuevos enfoques de los “stakeholders” como por el esquema regulatorio en cuanto a las exigencias de capital
2. Hacia un nuevo marco para la gestión del Riesgo Operacional
@José Ignacio Jiménez Enríquez de Salamanca Página 1
¿Por qué es necesario un nuevo marco para la gestión del Riesgo Operacional?
Desde hace algún tiempo está creciendo la necesidad de redefinir el Marco para la Gestión del Riesgo
Operacional: el governance, la cultura, las políticas y los procedimientos, la identificación de riesgos , el apetito al
riesgo, la clasificación de eventos, el monitoreo y el reporting, los perfiles del personal, los sistemas. Esta
necesidad, quizás ocultada por tantas urgencias regulatorias y financieras recientes, creemos que debe ser
abordada para que las entidades puedan alcanzar sus objetivos y proteger los resultados y su patrimonio.
La revisión del marco la enfocamos desde dos vertientes. En primer lugar está el enfoque que el Consejo de
administración, los accionistas, inversores, supervisores, analistas, stakeholders en general, porque manejan
nuevas dimensiones o subcategorías para el entendimiento, el análisis de exposiciones e impactos, y la gestión y
reporting de Riesgo operacional. La otra vertiente, pero no menos importante, es la evolución del esquema
regulatorio en cuanto a las exigencias de capital por el riesgo operacional sobre el que se han dado ya los
primeros pasos.
Está creciendo la necesidad de redefinir el Marco para la Gestión del Riesgo
Operacional, tanto por los nuevos enfoques de los “stakeholders” como por el
esquema regulatorio en cuanto a las exigencias de capital
3. Hacia un nuevo marco para la gestión del Riesgo Operacional
@José Ignacio Jiménez Enríquez de Salamanca Página 2
Aparición de nuevas dimensiones o subcategorías para el análisis, gestión y reporting de Riesgo
operacional
La forma clásica del análisis, gestión y reporting del riesgo operacional se fundamenta en las siete clases de
eventos operacionales definidos por Basilea II y también recogidos en la CRR IV: Fraude interno, Fraude externo,
Relaciones laborales y seguridad en el puesto de trabajo, Clientes, productos y prácticas empresariales, Daños a
activos materiales, Incidencias en el negocio y fallos en los sistemas, Ejecución, entrega y gestión de procesos.
Todos los bancos han venido utilizando estas clases y otras subclases para la identificación de los riesgos, para la
clasificación de los eventos y las pérdidas, y también para el monitoreo y reporte tanto interno como público.
Estas dimensiones o clases de eventos clásicas han venido dirigiendo no solo la identificación de riesgos y la
recolección y clasificación de pérdidas operacionales, sino también, toda la gestión del riesgo operacional: desde
el governance y la cultura, hasta el apetito al riesgo, y las actividades de control o el reporting.
Sin embargo, vamos viendo cómo nuevas dimensiones o subcategorías se van incorporando no solo al lenguaje
interno y especializado de los bancos y reguladores, sino que algunas incluso están dando el salto a la esfera del
conocimiento público, cosa que no había ocurrido antes con el Riesgo Operacional. Con estas nuevas dimensiones
nos referimos a conceptos como el Riesgo de Conducta, Ciberriesgos, Outsourcing, Riesgos legales, Riesgos
de Modelo, etc.
Estos son los conceptos que están en las agendas – y también en las cabezas- de los consejeros de las entidades,
de los reguladores, analistas, etc, mucho más que las clases de eventos clásicos que antes mencionábamos. Pero
esto no significa que haya que eliminar aquellas clases de eventos y sustituirlas por estos nuevos conceptos: las
clases de eventos deben permanecen ya que identifican el origen de la pérdida, solo que añadiremos – en su caso-
un nuevo atributo que nos permita identificar los riesgos, establecer el apetito/tolerancia, monitorear y reportar
también sobre estas nuevas dimensiones.
El nuevo enfoque para la gestión del Riesgo Operacional añade conceptos como el
Riesgo de Conducta, Gobierno de productos, Ciberriesgos, Outsourcing, Riesgos
legales o Riesgos de modelo
4. Hacia un nuevo marco para la gestión del Riesgo Operacional
@José Ignacio Jiménez Enríquez de Salamanca Página 3
Ciberriesgo y Riesgo de Conducta como ejemplos de la complementariedad entre las clases de eventos de
riesgo operacional clásicas y las nuevas dimensiones para la gestión del riesgo operacional
La complementariedad necesaria entre las clases de eventos de riesgo operacional clásicas y las nuevas dimensiones o
atributos de los que venimos hablando es evidente si observamos que esas nuevas dimensiones compreden varias
clases de eventos, y también con que no podemos identificar una clase de evento con uno de esas dimensiones o
atributos.
Por ejemplo, un ciberataque puede tener diferentes objetivos: robo de información, robo de dinero, colapsar los
sistemas para una suspensión de las actividades, espionaje industrial, etc. O un fraude masivo con tarjetas de crédito
por clonación de las mismas puede tener su origen en un ciberataque o en otras causas como pueda ser la actuación
fraudulenta de un empleado con acceso a esa información. Es difícil encontrar una relación biunívoca entre las clases
de eventos clásicas y las nuevas dimensiones para la gestión del riesgo operacional. Para cada uno de los ejemplos
anteriores necesitaremos de distintos departamentos responables para llevara a cabo los análisis de los riesgos
inherentes, para la definición de los controles y de los riesgos residuales.
Lo mismo ocurre con el ejemplo del riesgo de conducta. Esta categoría de riesgo operacional tiene tres vertientes:
consumidores, competencia e integridad en los mercados; y además varias causas origen (información asimétrica,
sesgos, cultura financiera inadecuada, conflictos de interés, incentivos, evolución del entorno, etc). Siguiendo con
ejemplos explicativos, la entidad puede sufrir una multa por una venta de un producto inadecuado a un cliente, pero
la razón bien puede ser una incorrecta definición del mercado objetivo del producto, o puede ser debida a un error de
programación que permite a los clientes operar con productos no idóneos. Aunque la multa o indemnización pudiera
ser la misma, ¿son ambos riesgo de conducta?, ¿los gestionaremos de igual manera?.
LA EBA en sus directrices sobre procedimientos y metodologías comunes para el proceso de revisión y evaluación
supervisora dice que “El riesgo de conducta abarca un gran número de aspectos y puede surgir de muchos productos y
procesos empresariales, las autoridades competentes deberán aprovechar el resultado del modelo de negocio y
analizar las políticas de incentivos para obtener una visión de alto nivel de las fuentes del riesgo de conducta”
5. Hacia un nuevo marco para la gestión del Riesgo Operacional
@José Ignacio Jiménez Enríquez de Salamanca Página 4
Nueva orientación del Capital Regulatorio
El nuevo modelo para el cálculo de capital regulatorio por Riesgo Operacional, va a venir acompañado de un
mayor recurso al Pilar II por parte de los supervisores, y serán más frecuentes las exigencias de capital
adicional al que resulte del nuevo modelo estándar. Y entendemos que será así dado que el nuevo método
estándar para el cálculo de capital por el Pilar I reconoce escaso valor a la mejor o peor calidad de los marcos de
gestión del riesgo operacional, y dado que en ningún caso es intención de los reguladores y supervisores
desmotivar la activa gestión de este riesgo, los supervisores utilizarán los suplementos de capital basándose en
aspectos cuantitativos pero sobre todo cualitativos de la gestión del riesgo.
El nuevo modelo para el cálculo de capital regulatorio por Riesgo Operacional de
BIS va a venir acompañado de un mayor recurso al Pilar II por parte de los
supervisores y serán más frecuentes las exigencias de capital adicional al que
resulte del nuevo modelo estándar (Pilar I)
6. Hacia un nuevo marco para la gestión del Riesgo Operacional
@José Ignacio Jiménez Enríquez de Salamanca Página 5
Las directrices sobre el proceso de revisión y evaluación supervisora publicadas por la EBA menciona algunas de
estas nuevas dimensiones para evaluar la gestión de riesgo operacional como la gestión del riesgo de conducta y
el riesgo de modelo, o el riesgo operacional derivado de las actividades y servicios externalizados.
En una primera fase, y tras la recopilación de datos cuantitativos, el supervisor utilizará información cualitativa
y el juicio experto para determinar el riesgo operacional inherente de la entidad, incluyendo las subcategorías de
riesgo operacional riesgo de conducta; riesgo de TIC – sistemas; y riesgo de modelo. El conjunto de los
factores cuantitativos y los cualitativos determinará una calificación inicial sobre la exposición del riesgo
operacional de la entidad.
El análisis del Marco de Control que sigue a la evaluación del riesgo inherente engloba el marco organizativo,
las políticas, los procedimientos, el marco de apetito al riesgo, gestión de riesgos y controles, planes de
contingencia, etc El resultado final será una puntuación que valore el riesgo operacional de la entidad,
combinando el análisis del riesgo inherente y el del marco de control.
7. Hacia un nuevo marco para la gestión del Riesgo Operacional
@José Ignacio Jiménez Enríquez de Salamanca Página 6
Sobre el nuevo marco para la gestión del Riesgo Operacional
Elementos del
Marco de
Gestión
Modificaciones en el Marco de Gestión del Riesgo Operacional
Governance Políticas y Procedimientos
Definiciones claras y alcance de las nuevas dimensiones
Roles y responsabilidades para la identificación de los riesgos, la gestión de los riesgos, su
monitoreo y reporting, y el assurance, teniendo en cuenta la multiplicidad de eventos, procesos,
especialistas, etc involucrados en cada dimensión.
Reglas, órganos y procesos para la toma de decisiones
Política de conflictos de interés, Código de conducta, Gobierno de productos y actividades, Políticas
de remuneración, etc
Personas: disponer de personas con los perfiles, conocimientos y experiencia adecuados a las nuevas
dimensiones
Identificación y
Evaluación de
Riesgos
Aplicar el esquema de identificación de riesgos a las nuevas dimensiones que se definan: riesgo de
conducta, ciberriesgo, riesgo de modelo, etc
Habilitar atributos en los riesgos y procesos para identificar las nuevas dimensiones definidas
Apetito /
Tolerancia al
Riesgo
Niveles de las variables de apetito/tolerancia: consejo, alta dirección, negocios, …
Declaración de variables cualitativas para estas nuevas dimensiones
Declaración de variables cuantitativas: límites, umbrales
Actividades de
Control y
Mitigación
Articular atributos para poder relacionar controles, riesgos inherentes y residuales a las nuevas
dimensiones
Assurance Integrar las nuevas dimensiones en el assurance y así poder evaluar la calidad, adecuación y efectividad del
marco de gestión de riesgos: las políticas, procedimientos, programas, prácticas, controles, etc
Monitoring Dotar a los sistemas de los atributos, y disponer de los perfiles de personas necesario para poder:
Analizar los eventos internos y externos para estas dimensiones o subcategorías nuevas
Identificar cambios en la exposición
Analizar riesgos emergentes
Identificar la superación de límites y umbrales relacionados con las nuevas dimensiones
Definir KRI y KPI
Reporting Diseñar e integrar las nuevas dimensiones en el reporte de toda la estructura de governance
La políticas y procedimientos deben incluir la clara definición y delimitación de las
nuevas dimensiones, así como de los roles y responsabilidades para su gestión
considerando la multiplicidad de clases de eventos y procesos involucrados en cada
dimensión. Estas dimensiones deberán ser parte del marco de apetito y del proceso
de assurance, monitoreo y reporting. Los sistemas deberán adaptarse para poder
integrar todas estas novedades