RIESGO OPERATIVO

Mtodo indicador bsico

Mtodo estndar
Mtodo avanzado
Contenido
RIESGO OPERACIONAL.................................................................................... 4
RIESGO........................................................................................................ 4
RIESGO OPERACIONAL................................................................................ 5
Definicin................................................................................................. 5
Definicin Segn Basilea II.......................................................................5
RIESGO OPERACIONAL EN BASILEA II..........................................................5
Mtodo del Indicador Bsico....................................................................6
Mtodo Estndar...................................................................................... 6
Mtodo de Medicin Avanzada (AMA)......................................................7
Criterios de Admisin............................................................................... 8
Criterios cualitativos................................................................................ 8
Criterios cuantitativos (solidez AMA)........................................................8
GESTIN DEL RIESGO DEL MERCADO............................................................9
GESTIN DE RIESGO OPERACIONAL SEGN EL BBVA................................12
Marco de gestin del riesgo operacional................................................12
Marco de gestin del riesgo operacional: Estructura organizativa............15
a)

IDENTIFICACIN.................................................................................. 16

PERFIL DE RIESGO..................................................................................... 16
Estructura organizacional......................................................................16
Actividades que realiza..........................................................................17
Sistemas utilizados................................................................................ 17
Relacin con externos............................................................................ 17
Normas y regulaciones...........................................................................17
Relacin con otros riesgos.....................................................................17
AUTOEVALUACIN DE RIESGOS OPERACIONALES.....................................18
EVENTOS TPICOS DE RIESGO OPERACIONAL............................................18
1

CLASES O CATEGORAS DE RIESGO OPERATIVO........................................19

Fraude Interno........................................................................................ 19
Fraude Externo....................................................................................... 19
Fallas tecnolgicas................................................................................. 19
Ejecucin y gestin de procesos............................................................20
Relaciones laborales y seguridad en el puesto de trabajo.....................20
Daos a activos materiales....................................................................20
Clientes, productos y prcticas empresariales.......................................20
b) MEDICIN........................................................................................... 22
Prdida por riesgo operacional...............................................................22
c)

SEGUIMIENTO Y CONTROL..................................................................23

TRATAMIENTO DE LOS RIESGOS OPERACIONALES.....................................24

CASOS....................................................................................................... 30
Caso Allied Irish Bank8 El Allied Irish Bank (AIB).................................30
CONCLUSIONES............................................................................................ 33
RECOMENDACIONES..................................................................................... 34
BIBLIOGRAFIA............................................................................................... 35

RIESGO OPERACIONAL

RIESGO
Los riesgos son parte de las actividades diarias de las personas ya sea en
forma individual o conjunta. La humanidad, desde su existencia y a lo largo
de la historia, ha convivido y afrontado una serie de riesgos, algunos con
consecuencias funestas o sin ellas, frecuentes o no frecuentes.
De forma anloga, la actividad empresarial, entre ellas la de las
Instituciones Financieras, est expuesta a riesgos, por lo tanto, sus
decisiones deben considerar los posibles riesgos a los que estn expuestas
as como la manera de tratarlos.
Riesgo se define como la posibilidad de que un evento ocurra y afecte
adversamente el logro de los objetivos. Como resultado de una serie de
eventos que afectaron la permanencia de grandes empresas a partir de la
dcada de los 80s, entre ellas varias instituciones financieras, es que la
gestin del riesgo operacional tom relevancia.

RIESGO OPERACIONAL

Definicin
Es aquel que puede provocar prdidas debido a errores humanos, procesos
internos inadecuados o defectuosos, fallos en los sistemas y como
consecuencia de acontecimientos externos.
Como el tecnolgico, el de fraude, el de ejecucin y procesos, o los
desastres

naturales,

esta

pluralidad

de

factores,

potencialmente

desencadenantes, pueden desencadenar prdidas operacionales dentro de

una entidad financiera por falta de educacin o de un fallo de los procesos.

Definicin Segn Basilea II

RIESGO OPERACIONAL EN BASILEA II

El Nuevo Acuerdo de Capital (Basilea II) contempla tres mtodos para
establecer los requerimientos de capital por riesgo operacional u operativo
(RO), en orden creciente de sofisticacin y sensibilidad al riesgo: el mtodo del
indicador bsico, el mtodo estndar y los mtodos de medicin avanzada.
El Comit de Basilea establece que las entidades de intermediacin financiera
(EIF) puedan emplear cada mtodo individualmente o una combinacin de
cualquiera de ellos para sus distintas actividades.

No obstante, para utilizar los mtodos estndar y de medicin avanzados,

deben obtener autorizacin del supervisor, a partir del cumplimiento de criterios
generales, cualitativos y cuantitativos.

Mtodo del Indicador Bsico

En el mtodo del indicador bsico el requerimiento de capital es equivalente a
un porcentaje (15%) del promedio de los tres ltimos aos de ingreso bruto
anual positivo, excluyendo los aos en que el ingreso anual haya sido negativo
o igual a cero.

Mtodo Estndar
En el mtodo estndar las actividades de las EIF se dividen en ocho lneas de
negocio. El requerimiento de capital de cada lnea se calcula multiplicando el
ingreso bruto anual por un factor, cuyos valores sugeridos por el Comit de
Basilea son:

Los ingresos brutos negativos de cualquier lnea de negocio pueden ser

compensados por los ingresos brutos positivos de las otras lneas de negocio.
La exigencia total de capital es igual al promedio de tres aos de la suma

simple de los requerimientos de capital en cada una de las lneas de negocio

de cada ao.
Opcionalmente, existe un mtodo estndar alternativo, en el que los ingresos
brutos de banca comercial y banca minorista se sustituyen por un 3.5% del total
de prstamos y anticipos de cada una de estas lneas.

Mtodo de Medicin Avanzada (AMA)

El requerimiento de capital en el mtodo AMA es igual a la exposicin al riesgo
generada por el modelo interno de la EIF para el clculo del RO. La utilizacin
del AMA est sujeta a la aprobacin del supervisor, a partir del cumplimiento de
criterios de admisin.

Criterios de Admisin
Para poder utilizar el Mtodo Estndar y el Mtodo AMA, las EIF deben
demostrar al supervisor que cumplen con:

Criterios generales: referidos a poseer un sistema de gestin de RO

conceptualmente slido y contar con recursos para aplicar las
metodologas de gestin de riesgo en las principales lneas de negocio y
en los mbitos de control y auditoria interna.

Adicionalmente, asegurar que el Directorio u rgano equivalente y la Alta

Gerencia de la EIF participen en la vigilancia del marco de gestin del
RO.

El Mtodo AMA, exige adems que las EIF satisfagan un conjunto de

criterios cualitativos y cuantitativos:

Criterios cualitativos.
o Contar con una unidad de gestin de RO.I
o Integrar el sistema de medicin interna del RO en los procesos
habituales de gestin de riesgos de la EIF.
o Informar peridicamente al Directorio y Alta Gerencia acerca de
las exposiciones al RO e historial de prdidas a este riesgo.
o Documentar el sistema de gestin de RO y v) realizar revisiones
peridicas del proceso de gestin y sistemas de medicin del RO.

Criterios cuantitativos (solidez AMA).

El Comit de Basilea no especifica supuestos sobre las distribuciones de
probabilidad, pero establece que el procedimiento para desarrollar el
modelo de RO debe ser riguroso considerando datos externos, datos
internos y anlisis de escenarios y debe demostrar que se identifican
los eventos de prdidas ubicados en las colas de la distribucin de
probabilidad. Estos modelos deberan basarse en cinco aos de
informacin histrica, no obstante cuando se utilizan por primera vez,
pueden basarse slo en tres aos, tiempo que incluye un ao de
funcionamiento en paralelo.

GESTIN DEL RIESGO DEL MERCADO

La implementacin de una Gestin de Riesgo Operacional integrada

permitir a la Institucin Financiera (IF) controlar a un nivel razonable los
riesgos operacionales, monitorearlos y estar adecuadamente preparados
para los cambios del negocio y el entorno, con una visin de las situaciones
que puede incrementar su exposicin.
La IF necesita disear e implementar un modelo o metodologa de gestin
de riesgo operacional bajo un enfoque de gestin integral de riesgos COSO
ERM (COSO ERM: Committee of Sponsoring Organizations - Enterprise
7

Risk Management (Comit de Organizaciones Patrocinadoras de la

Comisin Treadway Gestin de Riesgos Empresariales), por cumplimiento
regulatorio, caso contrario puede ser objeto de sanciones y/o multas.
Permitir a la IF, reducir las prdidas por riesgo operacional, por la
implementacin de acciones correctivas y preventivas, adems de lecciones
aprendidas.
La IF lograr obtener la autorizacin de la Superintendencia de Banca,
Seguros y AFPs (SBS) para la aplicacin del mtodo estndar alternativo,
que permite asignar menor capital por la ley de implementacin del Nuevo
Acuerdo de Capital Basilea, es decir, ahorro de capital, que puede ser
destinado a una mayor inversin en el negocio u otras actividades de
inversin rentables, por lo cual existe tambin un costo de oportunidad
asociado al uso del capital.
Problemtica relacionada a la gestin del riesgo operacional, la
Institucin Financiera presenta la siguiente problemtica:

Carencia de personal especializado en gestin de riesgo operacional.

En general en el mercado peruano, las IF han considerado dentro de
su gestin al riesgo operacional a partir de la regulacin publicada el
2002, y con mayor nfasis durante los ltimos tres aos.

El personal responsable de gestionar los riesgos incluyendo

Directores y Alta Gerencia, tienen conocimientos y experiencia de la
gestin de riesgos tradicional, y no del enfoque de gestin integral de
riesgos.

La Alta Direccin y la Gerencia no estn involucradas directamente

con los riesgos operacionales o situaciones que los incrementan, no
hay una cultura del riesgo.

Se valora ms lograr objetivos de volumen de negocio a costos

posiblemente ms altos que los que se podra lograr considerando
los riesgos asociados a las operaciones. Las prdidas pueden ser
mayores.
8

Mayor y ms compleja regulacin exige mayor conocimiento y

adiestramiento del personal responsable de la gestin de riesgos,
directores y alta gerencia, para lograr el objetivo de cumplimiento
regulatorio, debe ser parte de la estrategia de la IF.

La gestin del capital (patrimonio) se ve impactada por los

requerimientos del Nuevo Acuerdo de Capital Basilea 2, incluyendo
variables no consideradas en el planeamiento del capital de la IF.

Gestin centralizada de riesgos, se tienen roles definidos claramente

para el rea de Riesgos, pero no para las Gerencias y niveles medio
y operativo. Se tiene el paradigma de que el rea de Riesgos es
responsable de gestionar y mantener niveles bajos del riesgo, si
ocurren prdidas, se cree que es por la mala gestin del rea de
Riesgos.

Metodologa de gestin de riesgo operacional adoptada y escrita pero

con bajo nivel de dinamismo (no viva).

Carencia de una herramienta adecuada para soportar la gestin del

riesgo operacional de acuerdo al tamao de las operaciones de la IF.

Conforme al alcance definido en la seccin correspondiente, para el

desarrollo del Captulo III, se tomar la informacin disponible de la
IF y lo desarrollado para implementar la gestin de riesgo operacional
bajo enfoque COSO ERM.

En las secciones de identificacin, autoevaluacin y tratamiento de

riesgos, se muestra un riesgo tpico del proceso de evaluacin de
crditos, seleccionado por los siguientes criterios:
Proceso clave dentro del macroproceso de crditos,
porque una buena evaluacin asegura una alta
probabilidad de retorno y una relacin sana con el
cliente.
Se realiza previo al desembolso, por lo que se debe
tener controles altamente efectivos.

 Define el volumen de operaciones crediticias para los

procesos posteriores como son el desembolso y
seguimiento de cartera, por lo que puede hacer ms
efectivo el seguimiento en funcin de la calidad de
cartera.
Requiere

tecnologa

permanentemente

crediticia

actualizada

que

debe

conforme

ser
las

estrategias del negocio basadas en riesgo.

GESTIN DE RIESGO OPERACIONAL SEGN EL BBVA

10

Marco de gestin del riesgo operacional

El marco de gestin del riesgo operacional definido para el Grupo BBVA incluye
una estructura de governance basada en tres lneas de defensa, con
delimitacin clara de las responsabilidades; en unas polticas y procedimientos
comunes a todo el Grupo; en unos sistemas para identificar, medir, monitorear,
controlar y mitigar los riesgos y prdidas operacionales; y en unas herramientas
y metodologas para la cuantificacin del riesgo operacional en trminos de
capital.

Marco de gestin del riesgo operacional: Tres lnea de

defensa

11

La gestin del riesgo operacional en BBVA se disea y coordina desde la

unidad de Gestin Corporativa de Riesgo Operacional (GCRO), perteneciente a
GRM, y desde las unidades de Gestin de Riesgo Operacional (GRO), que se
ubican en los departamentos de Riesgos de los diferentes pases y reas de
negocio.

Las reas de negocio o de soporte tienen, a su vez, gestores de riesgo

operacional que dependen funcionalmente de las anteriores, y que son los
encargados de implantar el modelo en el da a da de las reas. De esta forma,
el Grupo dispone de una visin a pie de proceso, que es donde se identifican y
priorizan los riesgos y toman las decisiones de mitigacin, y que por agregacin
permite tener una visin macro a diferentes niveles.

Cada rea de negocio o de soporte dispone de uno o ms comits GRO que se

renen trimestralmente. En dichos comits se analiza la informacin
proporcionada por las herramientas y se toman las decisiones de mitigacin
oportunas. Por encima de los comits GRO se encuentra el Comit GRO Pas,
en el que se tratan los riesgos de mayor calado y sus correspondientes planes
de mitigacin, as como los riesgos que afectan transversalmente a diversas
reas.

Como rgano de mximo nivel en la matriz, existe el Comit Global de

Corporate Assurance (CGCA), que efecta un seguimiento general de los
principales riesgos operacionales del Grupo. Adicionalmente, est el Consejo
de Administracin que en el ejercicio de sus competencias establece la poltica
de control y gestin de riesgos y efecta el seguimiento peridico de los
sistemas internos de informacin y control.

12

13

Marco de gestin del riesgo operacional: Estructura

organizativa

BBVA est trabajando en la mejora del modelo de gestin del riesgo

operacional en dos lneas:

Incorporando a unidades especialistas de control para obtener una

visin ms independiente y experta y para unificar el governance de las
funciones de control del Grupo.

Reforzando los escenarios de riesgo operacional, con una base de

escenarios

actualizable

cada

ao,

para

los

que

se

construyen dossiers exhaustivos de cuantificacin bajo entornos diferentes, con

la colaboracin de expertos independientes y especialistas.

14

La gestin del riesgo operacional en el Grupo se construye a partir de las

palancas de valor que genera el modelo avanzado o AMA (advanced
measurement approach), y que son las siguientes:

La gestin activa del riesgo operacional y su integracin en la toma de

decisiones del da a da supone:

El conocimiento de las prdidas reales asociadas a este riesgo

(base de datos SIRO).

La identificacin, priorizacin y gestin de riesgos potenciales y

reales.

La existencia de indicadores que permiten analizar la evolucin

del riesgo operacional en el tiempo, definir seales de alerta y
verificar la efectividad de los controles asociados a los riesgos.

Todo lo anterior contribuye a un modelo anticipatorio que permite

la toma de decisiones de control y de negocio, as como priorizar
los esfuerzos de mitigacin en los riesgos relevantes para reducir
la exposicin del Grupo a eventos extremos.

Mejora el entorno de control y refuerza la cultura corporativa.

15

 Genera un impacto reputacional positivo.

a) IDENTIFICACIN
Identificacin de Riesgos Operacionales

PERFIL DE RIESGO
Estructura organizacional
1. Nombre del rea
2. Responsable
3. Organigrama
4. Roles principales

Actividades que realiza

1. Nombre del proceso / actividad
2. Entradas (actividades relacionadas, reas que envan documentos e
informacin)
3. Salidas (actividades relacionadas, reas que reciben documentos e
informacin)
4. Productos relacionados

Sistemas

utilizados

(aplicaciones,

telecomunicaciones)
1. Sistemas internos
2. Sistemas externos

16

bases

de

datos,

Relacin con externos

1. Clientes externos
2. Supervisores / Reguladores
3. Proveedores / Subcontratacin
4. Alianzas / Socios estratgicos

Normas y regulaciones
1. Normatividad interna
2. Regulacin / ley aplicable

Relacin con otros riesgos

1. Riesgo de Crdito
2. Riesgos de Mercado
3. Riesgo de Reputacin
4. Otros

AUTOEVALUACIN DE RIESGOS OPERACIONALES

Una vez identificados los riesgos, el siguiente paso es evaluarlos. Para esto, se
debe contar con informacin referente a ellos, como por ejemplo, eventos de
prdida ocurridos en la organizacin, o en el sector donde opera; factores que
pueden incrementar su ocurrencia o dao potencial; el conocimiento de la
actividad, proceso, proyecto o producto donde puede ocurrir el riesgo, as como
del funcionamiento de sus controles y su efectividad.

EVENTOS TPICOS DE RIESGO OPERACIONAL

Errores operativos
Fraudes (interno & externo)
Actividad no autorizada
17

Fugas de talento
Incumplimiento normativo
Cada de sistemas
Fallos de programacin
Sobrepasar atribuciones/lmites
Accesos indebidos a sistemas
Daos en edificios
Incumplimiento de proveedores
Prdidas por litigios

CLASES O CATEGORAS DE RIESGO OPERATIVO

Todos los eventos de Riesgo Operacional, deben tener asignada una clase
o categora de riesgo dependiendo de la causa que origin el evento; las
prdidas registradas pueden ser agrupadas atendiendo a sus causas
ltimas.
Para ello, se utilizan una serie de categoras elementales que suministran
una visin sinttica de la distribucin del riesgo global existente en la
compaa. Las clases o categoras ms usuales definidas son las
siguientes:

Fraude Interno
Prdidas derivadas de algn tipo de actuacin de empleados o terceros
vinculados contractualmente a la compaa, encaminada a defraudar,
apropiarse de bienes indebidamente o incumplir regulaciones, leyes o
polticas empresariales. Esta categora incluye eventos como: fraudes,
robos (con participacin de personal de la empresa), sobornos, entre otros.

Fraude Externo
Prdidas derivadas de algn tipo de actuacin realizadas por personas
ajenas a la compaa que buscan defraudar, apropiarse de bienes

18

indebidamente o desatender la legislacin. Esta categora incluye eventos

como: robos, falsificacin, ataques informticos, entre otros.

Fallas tecnolgicas
Prdidas o interrupciones derivadas de fallos en los sistemas de cmputo,
comunicaciones, hardware o software de la compaa. Entre los casos ms
comunes estn las cadas del sistema por tiempos prolongados, daos en
lneas telefnicas, perdida de informacin electrnica, virus informticos que
afecten el sistema, etc.

Ejecucin y gestin de procesos

Prdidas derivadas de errores en el procesamiento de operaciones o en la
gestin de procesos, as como de relaciones con contrapartes comerciales y
proveedores. Esta categora incluye eventos asociados con: captura de
transacciones, ejecucin y mantenimiento, monitoreo y reporte, entrada y
documentacin de clientes, gestin de cuentas de clientes, contrapartes de
negocio.

Relaciones laborales y seguridad en el puesto de trabajo

Prdidas derivadas de actuaciones incompatibles con la legislacin o
acuerdos laborales, sobre higiene o seguridad en el trabajo, sobre el pago
de reclamaciones por daos personales, o sobre casos relacionados con
discriminacin en el trabajo.

Daos a activos materiales

Prdidas derivadas de daos o perjuicios a activos fsicos como
consecuencia de desastres naturales u otros eventos de fuentes externas.
Ej: Incendios, terremotos, actos terroristas, falta de mantenimiento de
activos, etc.

19

Clientes, productos y prcticas empresariales

Prdidas derivadas del incumplimiento involuntario o negligente de una
obligacin profesional frente a clientes o de la naturaleza o diseo de un
producto. EJ: Competencia desleal, falsos beneficios en productos,
perjuicios a clientes, etc.

20

21

b) MEDICIN
Prdida por riesgo operacional
Cualquier impacto negativo registrado en cuentas de resultados o en la
situacin patrimonial de la Entidad, y que haya sido provocado a
consecuencia de cualquier evento de riesgo operacional.
La prdida est constituida por un registro contable contabilizado en
cuentas de resultados, en rbricas de gastos generales y/o cuentas
patrimoniales.
No se contempla el contenido de cuentas transitorias, cualquiera que
sea su naturaleza.
Si se podr registrar cualquier provisin realizada sobre eventos
acaecidos y no reconocidos en resultados.
No formarn parte de la base de datos aquellos eventos que generen un
impacto positivo para la entidad (diferencias de Caja acreedoras, errores
en la ejecucin de operaciones de valores, etc.

c) SEGUIMIENTO Y CONTROL

22

TRATAMIENTO DE LOS RIESGOS OPERACIONALES

23

En esta seccin se describe la aplicacin de los componentes Respuesta al

riesgo. Una vez elegida la respuesta considerando la efectividad en el control
del riesgo y el costo beneficio de la misma, puede requerir una o ms
Actividades de control (segunda parte de este componente), ya sea para
mejorar los controles existentes, agregar nuevos, o reemplazarlos por otros
ms efectivos.
En la IF, se aplic lo siguiente: 1. Se seleccion los riesgos residuales que
Resultaron en los niveles extremo o alto, para decidir la respuesta al riesgo
segn COSO ERM:
Reducir impacto, o nivel de dao.
Reducir probabilidad, o nivel de ocurrencia.
Compartir o transferir, a un tercero.
Aceptar.
Evitar.
En los casos en que se decidi por reducir o compartir, se document un Plan
de Accin para mitigar el riesgo, que incluy el tratamiento elegido, las
acciones a realizar, responsables y fechas en que deben ser culminadas. El
cumplimiento de estas acciones debe ser monitoreado por el rea de Riesgos.
Una vez culminada la matriz de riesgos y controles con la evaluacin y los
Planes de Accin respectivos, se comunic al rea de Auditora Interna para su
revisin.
Estos controles deben ser incluidos como parte de las pruebas de auditora
segn las actividades de su plan anual. Luego de realizar la prueba, Auditora
debe documentar el nivel de efectividad de operacin, de la siguiente manera:
si es efectivo, se asigna EFE (color verde); se es parcialmente efectivo, se
asigna PEF (color amarillo); o, si no es efectivo, se le asigna NEF (color
rojo).
Esto ayuda a 70 confirmar o poner a prueba la efectividad de los controles as
como la forma en que lo vienen aplicando, y de ser necesario, permite realizar
ajustes a la evaluacin.
24

Monitoreo de la gestin de riesgo operacional El monitoreo es el ltimo

componente del COSO ERM, siendo fundamental para vigilar los avances en la
gestin del riesgo operacional y lograr una toma de decisiones oportuna sobre
los niveles de riesgo, para cada uno de los componentes descritos y en su
conjunto.
Existe un monitoreo que se da en el da a da dentro del curso normal de las
actividades del negocio, y otro que se da mediante evaluaciones separadas o
especficas, para obtener un entendimiento ms preciso 75 sobre las
deficiencias o puntos de mejora, que una vez superados o implementados,
permiten el logro de los objetivos de la organizacin.
Segn lo indicado, en la IF se implementaron las siguientes acciones de
monitoreo.
1. Control de cada Gerencia, a travs de las evaluaciones basadas en
objetivos de desempeo, y supervisin de las actividades desarrolladas por el
personal operativo, considerando el cumplimiento de los procedimientos que
estn enfocados en la mitigacin de los riesgos asociados.
De esta supervisin, la gerencia identifica y reporta las situaciones que
incrementan la exposicin a los riesgos (issues), a travs de reportes de
indicadores clave de riesgos (key risk indicators), riesgos potenciales,
reportes de eventos de prdida, cambios en la organizacin, los procesos o
sistemas, as como cambios en las leyes o regulaciones que impacten en la
operativa de la IF.
Estas actividades complementan las evaluaciones de riesgos.
2. Evaluaciones del rea de Riesgos, que con la informacin brindada
por las gerencias, analiza, prepara y presenta reportes gerenciales al Comit
de Riesgo Operacional, Comit de Riesgos, Comit de Auditora, Directorio.
Estos reportes, incluyen: los Top Risks, reportes de eventos de prdida, y el 76
seguimiento a los planes de accin.

25

Son compartidos por medio del Comit de Riesgo Operacional con las reas de
Legal, Cumplimiento, Seguridad de Informacin, Continuidad de Negocios,
Seguridad y Prevencin de Fraudes, Operaciones, Contabilidad, Recursos
Humanos, para obtener su retroalimentacin por su conocimiento y manejo de
los riesgos relacionados.
3. Informes de Auditora Interna, resultado de las evaluaciones, que
incluyen observaciones y recomendaciones sobre la gestin de las reas
enfocadas en riesgos.
Dentro de estos informes, se incluye el reporte de deficiencias encontradas u
oportunidades de mejora, que una vez revisados con cada gerencia, son
reportados a la Gerencia General, y seguidos por el Comit de Auditora.
Adems, la gestin de riesgo operacional es auditada como mnimo una vez al
ao.
4. Informes de Auditora Externa, que incluye una revisin sobre el
cumplimiento de las normas de gestin de riesgo operacional. Adicionalmente,
si la SBS ha autorizado a la IF a utilizar el mtodo estndar alternativo para el
clculo de capital regulatorio por riesgo operacional, se requiere una revisin
independiente respecto del cumplimiento de los criterios sealados por la SBS,
al menos cada tres aos.
5. Informes de Consultoras, resultado de trabajos especializados ya sea
para implementar o actualizar metodologas, procedimientos, sistemas o
entrenamiento para mejorar la gestin del riesgo operacional, en los que se
obtiene opinin de un tercero sobre alcances especficos relacionados a la
gestin de riesgos.
6. Informe de Visita Anual de la SBS, en el cual se muestran las
debilidades encontradas en la gestin de riesgos, que deben ser subsanadas a
criterio del regulador, y que son seguidas tambin por Auditora Interna y el
Comit de Auditora.

26

Regulacin de la SBS sobre riesgo operacional Dentro del

marco del COSO ERM y el NAC B2
La SBS ha publicado las siguientes normas referentes a la gestin integral de
riesgos y gestin de riesgo operacional:
Resolucin SBS N 37-2008 Reglamento para la Gestin Integral de
Riesgos, que toma como marco de referencia al estndar internacional de
gestin de riesgos COSO ERM, e incluye lo siguiente:
Definicin de gestin integral de riesgos (GIR), adems de las
categoras de objetivos.
Componentes de la gestin integral de riesgos.
Tipos de riesgos, considerando los riesgos de crdito, estratgico, de
liquidez, de mercado, operacional, de seguro, y de reputacin, indicando
que es una lista no limitativa.
Prcticas cuestionables, referido a que se debe contar con sistemas
internos apropiados para resolver los casos de actividades ilcitas o
fraudes.
Relacin entre la GIR y el Control Interno, indicando que la GIR incluye
al control interno con un alcance ms amplio enfocado en el riesgo.
Adems, indica que el objetivo de confiabilidad de la informacin se
refiere a toda la informacin y no solamente a los estados financieros.
Responsabilidades del Directorio, Gerencia General, Gerencias, Unidad de
Riesgos y Jefe de Riesgos.
Criterios que debe cumplir el perfil del Jefe de Riesgos.
Establecimiento del Comit de Riesgos y Comit de Auditora, indicando
los requisitos mnimos para su conformacin as como sus funciones.
Subcontratacin, indicando la responsabilidad de las empresas
supervisadas de los servicios subcontratados; adems, introduce el
concepto de subcontratacin significativa indicando que para stas, se
debe realizar un anlisis formal de riesgos el cual debe ser puesto en
conocimiento del Directorio para aprobacin.
Rol de Auditora Interna y Auditora Externa.

27

Revelacin de las principales caractersticas de la gestin integral de riesgos

en la Memoria Anual.
Resolucin SBS N 2116-2009 Reglamento para la Gestin del Riesgo
Operacional, que reemplaza a la Resolucin SBS N 006- 2002 Reglamento
para la administracin de riesgos de operacin, e incluye lo siguiente:
Definicin de riesgo operacional.
Factores que originan el riesgo operacional:
o procesos internos, personal, tecnologa de informacin, y eventos
externos.
o Eventos de prdida por riesgo operacional, conforme a Basilea 2.
o Responsabilidades del Directorio, Gerencia, Comit de Riesgos, Unidad
de Riesgos.
o Aspectos mnimos del Manual de gestin del riesgo operacional.
o Metodologa para la gestin del riesgo operacional enmarcada dentro de
los componentes de la gestin integral de riesgos, as como sus criterios
de cumplimiento.
o Base de datos de eventos de prdida y sus criterios de cumplimiento. o
Sistema de gestin de la continuidad del negocio y un sistema de
gestin de la seguridad de la informacin, indicando que se debe cumplir
con lo establecido en las normas especficas correspondientes.
o Polticas y procedimientos para gestionar los riesgos operacionales
asociados a la subcontratacin, as como su alcance mnimo.
Para mayor detalle sobre estos temas, puede consultar la Circular SBS
G-139-2009 Reglamento para la Gestin de Continuidad del Negocio, y
la Circular SBS G-140-2009 Reglamento para la Gestin de la
Seguridad de la Informacin, las cuales no forman parte del alcance del
presente documento.
o Informe anual de gestin de riesgo operacional para la SBS segn
disposiciones establecidas para el contenido mnimo y forma de envo. o
Roles de Auditora Interna, Auditora Externa, y de las Empresas
Clasificadoras de Riesgos.
o Presentacin de las caractersticas principales de la gestin del riesgo
operacional en la Memoria Anual.

28

 Resolucin SBS N 2115-2009 Reglamento para el requerimiento de

patrimonio efectivo por riesgo operacional, que incluye lo siguiente:
Destinar patrimonio efectivo (capital regulatorio) por riesgo operacional
aplicando uno de los siguientes mtodos: mtodo del indicador bsico, mtodo
estndar alternativo, o mtodo avanzado. La utilizacin de los dos ltimos
requiere pasar un proceso de autorizacin establecido por la SBS. Requisitos
para solicitar autorizacin para la utilizacin del mtodo estndar alternativo o
un mtodo avanzado. Mtodo del indicador bsico o Mtodo estndar
alternativo. Para poder establecer estas reglas, previamente se modific la Ley
de Bancos en Junio 2008 incluyendo la implementacin del NAC. Esta
resolucin est basada en el NAC. Sobre esto puede consultar la columna de
Informacin General del Portal del Supervisado en 25 En el captulo 4 se
describe la aplicacin del mtodo estndar alternativo, as como su impacto en
el requerimiento de patrimonio efectivo por riesgo operacional.
Mtodos avanzados, que incluye los requisitos mnimos cualitativos y
cuantitativos para utilizarlo. Para comprender cmo es que se enmarca la
regulacin peruana dentro de lo establecido por el Comit de Basilea, se ha
preparado la siguiente tabla que muestra la relacin entre los principios para
las buenas prcticas de gestin del riesgo operacional y la regulacin de la
SBS.

CASOS
Caso Allied Irish Bank8 El Allied Irish Bank (AIB)
En su momento el segundo banco ms grande de Irlanda, revel en 2002 que
se encontraba investigando un aparente caso de fraude cambiario en su
sucursal de Baltimore, Estados Unidos llamada Allfirst.
El fraude fue perpetrado por el operador John Rusnak. El Consejo de
Administracin contrat a un consultor independiente con el fin de que
generara un reporte identificando el posible fraude. El reporte Ludwig concluy
29

que John Rusnak sistemticamente falsific registros bancarios y documentos

y haba evadido los dbiles controles existentes en la tesorera de Allfirst y de la
matriz.
Rusnak registr opciones no existentes que tenan ganancias ficticias con el fin
de ocultar las prdidas que tuvo en 1997. Aparentemente estas prdidas se
debieron a las posiciones que tom en los futuros del yen japons.
En 1999, tuvo un periodo de ganancias usando opciones reales que dejaron
grandes mrgenes de ganancia y que le permitieron eliminar algunas opciones
falsas. El Banco local del mundo Gaceta de Basilea II Basilea II 2008 HSBC
Mxico 7 Para evadir los supuestos controles y registros sobre sus actividades,
Rusnak us ingeniosas maneras para registrar las opciones falsas en los libros
y de esta forma explotar las debilidades existentes en los controles. La tcnica
que us fue registrar al mismo tiempo dos opciones falsas pretendiendo que las
transacciones envueltas no se netearn.
La primera opcin obtena un margen amplio y la segunda perda el mismo
margen, sin embargo lo que variaba era el vencimiento, la primera venca el
mismo da y la segunda venca semanas ms tarde. Allfirst no preparaba
reportes de opciones a un da y nadie pona atencin en esto. El resultado fue
que los activos falsos fueron creados en los libros y Allfirst no tuvo que pagar
por ellos.
Estas ganancias compensaban algunas posiciones que haba perdido Rusnak
en el mercado cambiario. Nadie se dio cuenta de que las opciones a un da con
amplios mrgenes no eran ejercidas por ninguna contraparte. Adicionalmente,
Rusnak tom ventaja de problemas de proceso de las reas de apoyo, en
donde consistentemente obtena confirmacin de las transacciones. Hasta
1998 sus transacciones falsas eran validadas con las confirmaciones, sin
embargo al parecer Rusnak persuadi a las reas de apoyo para que las
opciones pares no fueran confirmadas ya que no representaban una
transferencia de efectivo. De esta forma, cuando alguna opcin falsa expiraba,
esta se converta en una nueva opcin falsa.

30

Otro aspecto adicional del fraude de Rusnak, fue su habilidad para manipular
los resultados usados para monitorear sus transacciones. Sus opciones falsas
cubran sus posiciones reales, reduciendo de esta forma su valor-en-riesgo
(VaR)9. El reporte Ludwig encontr tambin que l interfera directamente con
los parmetros usados en el clculo del VaR usados por Allfirst. Se supona
que el VaR se calculaba de forma independiente, sin embargo los encargados
del clculo confiaban en la informacin tomada directamente de la
computadora de Rusnak, dndole a l la oportunidad de manipular y reducir su
VaR.
Se estima que AIB/Allfirst tuvo una prdida total por $691 millones de dlares.
Allfirst Bank de Baltimore fue vendido en 1993 a Manufacturers and Traders
Trust Company (M&T Bank). La solvencia del banco no se vio en peligro de
forma inmediata como consecuencia del descubrimiento, ya que el banco
absorbi la prdida cubrindola con las utilidades del ao anterior,
representando alrededor del 60% del total de 2001. Esto redujo su capital.
Ningn alto funcionario fue forzado a renunciar, sin embargo el escndalo
deterior fuertemente la reputacin del banco y de algunos de sus directores.
Definicin: Es la mxima prdida posible de un portafolio o activo financiero
bajo un horizonte de tiempo y un nivel de confianza. Glosario de Trminos de
Riesgo.
Las lecciones aprendidas son: - Falta de claridad en las lneas de reporte,
inadecuada supervisin, de los empleados y falta de controles por parte de la
matriz. Es necesaria una estructura slida de administracin de riesgos.
La relacin entre la matriz y las subsidiarias debe ser clara. Enrgicos controles
a las reas de apoyo son esenciales para evitar omisiones o complacencias a
saltarse procedimientos.

31

CONCLUSIONES

Para establecer, mantener y desarrollar una gestin de riesgo operacional bajo

COSO ERM es necesario que la Direccin y Alta Gerencia estn involucrados y
comprometidos con roles claramente asignados y con una filosofa de riesgo
evidenciada a travs de su aplicacin en la estructura organizacional y
procesos de la IF.
El riesgo operacional es un riesgo que est presente en todas las actividades
de la IF, en mayor o menor nivel, dependiendo de la efectividad de los controles
implementados y de las estrategias que se elijan para gestionarlo. Los
Gerentes de cada rea son responsables de mantenerlos en los niveles
aceptables segn el apetito y tolerancia definidos.
La gestin de riesgo operacional bajo COSO ERM agrega valor a la
organizacin en la medida en que contribuye al cumplimiento de los objetivos,
provee conocimiento de la ocurrencia de posibles eventos y su mitigacin,
mejora la eficiencia, asegura que los productos y servicios se brinden 90 dentro
32

del apetito de riesgo aceptado con mayor posibilidad de xito, y refuerza la

reputacin de la IF con los stakeholders.
El modelo de gestin de riesgo operacional dentro de un enfoque integrado
de gestin de riesgos permite a la IF obtener un ahorro en la asignacin de
capital regulatorio por riesgo operacional, con la posibilidad de desarrollar
mtodos avanzados que muestren un nivel de riesgo ms real y poder
establecer su propio modelo de capital econmico.
Para el caso de la IF en estudio, la aplicacin del mtodo estndar alternativo
le permitir asignar menor capital que el del mtodo bsico, habiendo logrando
un ahorro a Enero 2010 de S/ 2,395 miles (dos millones tres cientos noventa y
cinco mil nuevos soles), lo que permite aceptar mayor riesgo de crdito y/o de
mercado, al realizar una mayor inversin en productos o servicios financieros.
Este ahorro variar en funcin del crecimiento y los cambios en el portafolio,
que tenga a futuro.
RECOMENDACIONES

Para la correcta implementacin del modelo se debe realizar un diagnstico

organizacional basado en riesgos, y definir un plan por etapas que incluya
capacitacin y concientizacin, as como 91 una clara definicin de los roles y
responsabilidades en todos los niveles de la organizacin.
Dentro de la estructura organizacional se debe contar con una red de
Gestores de Riesgo, lo cuales son designados por los Gerentes por su
conocimiento, experiencia, liderazgo y capacidad analtica para integrar los
conceptos del modelo a las actividades cotidianas.
Implementar un software de gestin de riesgo operacional que permita
soportar el modelo desarrollado.
Realizar una mejora continua en el flujo de informacin y utilizar trminos de
uso comn equivalentes a los manejados en la gestin de riesgo operacional
y gestin integral de riesgos. Efectuar anlisis de las bases de datos de
33

prdidas para familiarizarse con los eventos ocurridos y observar su severidad

y frecuencia, con la finalidad de que, luego de haber pasado por un periodo
entre mediano a largo plazo, evaluar el costo beneficio de aplicar mtodos
cuantitativos que complementen el modelo expuesto, y permitan a la IF
implementar un modelo de capital econmico con medidas ms sensibles al
riesgo.

BIBLIOGRAFIA

http://www.uprh.edu/wlopez/MODULOS%20AVANZADOS/Gerencia%20de
%20Riesgos%20en%20los%20Proyectos/Tres%20Casos%20de
%20Riesgo.pdf
http://www.sbs.gob.pe/repositorioaps/0/0/jer/pres_doc_basilea/Bases_Dat
os_Eventos_Perdida_Riesgos_Operacionales%20.pdf
http://www.sbs.gob.pe/repositorioaps/0/0/jer/DT_DOCUMENTOSDTRABAJ
O/SBS-DT-04-2006.pdf
http://www.riesgooperacional.com/docs/21%20%20estfin0807.pdf
http://www.riesgooperacional.com/docs/22%20%20gacetabasilea-II-no6riesgo-operacional.pdf
https://www.sbif.cl/sbifweb/internet/archivos/publicacion_8511.pdf

34

ANEXOS

Riesgos Financieros

GREGORIO BELAUNDE

El Miedo a Decirlo, Fuente de

Riesgo Operacional

03/11/2013

06:46

Hace pocos das nos lleg la noticia de que la pgina web que deba facilitar la entrada en
aplicacin de la gran reforma promovida por el Presidente Obama de los EE.UU. para
extender los seguros de salud, estaba experimentando fallas graves que le han brindado a
esta reforma un mal comienzo. Estos problemas tomarn tiempo para ser resueltos y el
dao de un lanzamiento ms lento, as como el dao reputacional y el de debilitamiento del
Gobierno, ya est hecho. Algo llam mucho la atencin: enterarse de que se haban
efectuado pruebas que mostraban que el sistema no estaba listo, y que ni el Presidente ni
la Secretaria (Ministra) de la Salud lo saban.
Recordemos que el riesgo operacional, en su definicin ms conocida, incluye a lasfallas
del personal, como factor de ocurrencia de eventos disruptivos o de prdidas. Aqu la
falla consisti en no hacer llegar a los niveles apropiados la informacin necesaria para que
stos tomaran decisiones debidamente informadas frente a lo que poda salir mal.
Es obvio que lo que sucedi es que, al tener la Reforma una fecha de lanzamiento que en
medio de la hostilidad absoluta de la Oposicin y de su amenaza constante de dejarla sin
fondos, apareca como muy difcil de cambiar, nadie se atrevi a hacerle saber a la Ministra
que haba un problema con el flamante sistema. Cabe preguntarse hasta qu nivel
jerrquico lleg el conocimiento de que el sistema no estaba listo.
Este evento me record lo sucedido con uno de los mejores aeropuertos del Mundo en su
inauguracin, el Aeropuerto Internacional de Hong Kong, conocido tambin como Chek
Lap Kok. Se deba inaugurar a inicios de Julio de 1998, habiendo fijado las autoridades
Chinas y las de la regin administrativa especial que fuera en el primer aniversario de la
retrocesin de Hong Kong a China, por el inmenso significado histrico de dicho
evento. Fue una pesadilla operativa desde el primer vuelo comercial.
Muchos an recuerdan a las pantallas de anuncios de vuelos que no funcionaban (fue la
imagen que ms marc al pblico), lo que tambin afectaba a muchos baos, escaleras
mecnicas, sistemas de reparto de equipajes, etc. Y el pandemonio en la zona de carga, que

35

provoc la prdida de gran cantidad de mercanca perecible, y oblig a reabrir

temporalmente el antiguo aeropuerto de Kai Tak. Tom casi 6 meses terminar de estabilizar
las operaciones del aeropuerto. Me toc llegar para varios aos de estada con mi familia, 2
meses despus de la inauguracin, en un aeropuerto que todava estaba algo desordenado,
pero que ya iba felizmente camino a ser la maravilla esttica y organizacional que muchos
conocen (difcil olvidar a esa inmensa catedral de vidrio y metal y al ultra-eficiente tren
que lo liga al centro financiero).
Las investigaciones conducidas por las autoridades revelaron que en realidad muchos, en
diferentes niveles, saban que el aeropuerto no iba a estar completamente listo para la fecha
prevista. Cada uno, para la parte que corresponda, saba, pero no se lo deca a su superior,
y si lo alertaba, era ste ltimo el que no avisaba a su superior. Fue un miedo a decirlo
generalizado que impidi a los mximos niveles saber cul era la situacin real. En niveles
intermedios, algunos saban algo, pero de manera muy fragmentada y que no les pareci
grave. Ello impidi tomar las medidas apropiadas. La funcin de alerta temprana es
imprescindible cuando se tiene que lidiar con fechas-objetivo imperativas.
El conocido temor de ser el mensajero que ser ejecutado por haber trado una mala
noticia, que muchas veces puede ser simplemente un inconveniente que de ser alertado a
tiempo, puede ser tratado y solucionado a tiempo, o por lo menos permitir una reduccin
muy significativa del impacto negativo.
Este tipo de situaciones es mucho ms frecuente de lo que se cree:
Por ejemplo, incluyendo situaciones de interaccin con el riesgo crediticio,
. no alertar a tiempo de un problema con un cliente principal o proyecto grande, cualquiera
que sea el momento (al comienzo o despus), que va a deteriorar su calidad crediticia; a
veces sucede hasta con pequeas exposiciones!
. no alertar de que la situacin general del riesgo crediticio puede empeorar rpidamente;
eso es algo que se ve siempre al inicio de grandes crisis sistmicas, las voces aisladas de los
que alertan son acalladas o tomadas con escepticismo a pesar de la evidencia histrica
. no expresar sus puntos de vista, que contradicen la opinin dominante, sobre la evolucin
futura del riesgo de un pas, o sobre la de un sector econmico
. no expresar sus dudas o inquietudes sobre un aspecto particular de un proyecto, que
puede parecer menor, pero que puede resultar siendo clave para su xito o fracaso
. no decirle al superior que se puede estar equivocando en un punto de vista por
desconocimiento (es normal que no sea especialista en todo), o en una decisin clave, y no
proponerle alternativas, por ms audaces e iconoclastas que parezcan
. no alertar de que algo que la Alta Gerencia o Direccin piensa va a salir bien en cierto
plazo, tambin puede descarrilarse seriamente o atrasarse
. esconder bajo la alfombra resultados de estudios o informes, o incidentes operativos que
revelen que se tiene numerosos equipos que reemplazar (lo que supone gastar en ello), o
que se est en una edificacin insegura.
En general, los que no quieren alertar rezan o cruzan los dedos para que no pase nada o
tratan de auto-convencerse de que no va a pasar nada o de que las cosas van a mejorar
pronto o de que el riesgo es poco significativo. Es mucho ms cmodo que dar una mala
noticia o que contradecir y proponer algo diferente. A veces es peor: saben, pero les aterra
decir lo que saben, y esperan que otro lo diga. Y estn los que saben, se protegen en su

36

exclusivo provecho personal, por ejemplo cambiando de trabajo a tiempo, sin avisar a los
dems y menos an a sus superiores. Y estn los inescrupulosos motivados a la par por la
sed o el vrtigo del poder o por la angurria, el afn de lucro rpido, la idea de ganarse
alguito en poder o en riqueza de paso, pensando que las consecuencias sern para otros
(miedo combinado con maquiavelismo).
Los resultados pueden ser gravsimos, tales como:
. lanzamientos de grandes proyectos o de reformas que fracasan, como ya hemos visto; a
veces un proyecto puede terminar siendo un gran elefante blanco
. prdidas crediticias enormes que se hubieran podido evitar, con medidas ex ante o con
medidas rpidas en inicio de crisis, como ventas de exposiciones a precios todava
aceptables
. prdidas enormes y/o paralizacin de actividades claves para una empresa o para un pas,
por fallas de equipos o de sistemas, con el consiguiente problema reputacional o
consecuencias peores
. prdidas de vidas humanas, a veces a gran escala, que eran tan, pero tan evitables; como
pas en el caso del edificio Rana Plaza en Bangla-Desh.
Los bancos estn llenos de historias de gente que quiso alertar, pero la alerta no lleg
hasta el ms alto nivel, porque fue detenida a cierto nivel; o tal vez lleg al nivel debido pero
demasiado aislada para ser tomada en serio. Muchas empresas del sector no financiero
tambin, incluso en casos muy sonados como Enron.
Ahora bien, traten de imaginarse eso al nivel de un pas: cuntas veces en la
historia un gobernante y/o sus ministros no pudieron decidir bien, porque nadie quiso
decirles lo que hubieran debido saber? El problema es que las consecuencias en general no
se limitan al gobernante y a los miembros de su gobierno: afectan al pas entero o por lo
menos a una gran parte de su poblacin.
Y ello se puede ver incluso a nivel internacional: recomendara la lectura del
informe de la Oficina de evaluacin independiente del Fondo Monetario Internacional
(Enero 2011) sobre cmo, entre otras cosas, no lograron darse cuenta a tiempo de lo que
suceda en el sistema financiero europeo. Mencionan al groupthink (pensamiento de
grupo) que impide que muchos expresen otros puntos de vista. En realidad es riesgo
operacional organizacional (sobre el cual ya escrib un post el 13 de Julio de este ao) en
todo su esplendor.
Conclusin:
Nunca se debe desalentar a los que alertan, aunque a veces puedan no tener razn, porque
permiten tomar decisiones ms informadas y abrirse ms opciones, e incluso aprovechar
oportunidades de nuevos negocios o de mejoras sustanciales (no olvidar que riesgo es
tambin oportunidad). Adems, permiten tomar a tiempo medidas de reduccin del riesgo.
Lo que est en juego muchas veces es el destino de una empresa, o de mucha gente, o de un
pas, o de muchos pases, o hasta de la economa mundial.

37

38