Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Delfiner Miguel - Buenas Prácticas en
Delfiner Miguel - Buenas Prácticas en
Enero 2007
Resumen
El Comit de Supervisin Bancaria de Basilea (BCBS) defini al riesgo operacional (RO) como el riesgo
de prdidas resultantes de la inadecuacin o fallas en los procesos internos, las personas, los sistemas o
por eventos externos. Esa definicin incluye al riesgo legal, pero excluye el riesgo estratgico y
reputacional. Tradicionalmente, la gestin de los ROs individuales ha sido una parte importante del
esfuerzo de los bancos por evitar el fraude y mantener la integridad de los controles internos, entre otros
aspectos. Sin embargo, lo que resulta relativamente nuevo es considerar a la gestin del RO como una
prctica integral comparable a la gestin de otros riesgos (como riesgo crediticio o de mercado) a la vez
que medir las prdidas provenientes de eventos de RO y exigir capital regulatorio para afrontarlas.
Habindose consolidado el RO como una categora integral de riesgo, el BCBS ha dictado una serie de
principios o buenas prcticas internacionalmente aceptadas para su gestin y supervisin en entidades
financieras. Este documento analiza esas mejores prcticas y su aplicacin en las estructuras de bancos
internacionales. Asimismo, se analizan las regulaciones de una muestra de pases latinoamericanos que
han emitido normas sobre buenas prcticas en la materia. Se debe destacar que los principales pases de la
regin han elaborado normativa tendiente a implementar estructuras de gestin del RO en las entidades
financieras, basada en las recomendaciones y principios del BCBS.
Indice
1. Introduccin
2. Los estndares internacionales
2.1. Las buenas prcticas de administracin y supervisin del RO propuestas por el
Comit de Supervisin Bancaria de Basilea
2.2. Principios Bsicos para una Supervisin Bancaria Efectiva
2.3. El tratamiento del RO en Basilea II
2.3.1. Pilar I: Criterios de admisin para el uso de los distintos mtodos
2.3.2. Pilar II: Proceso de revisin del supervisor
2.3.3. Pilar III: Disciplina de mercado
3. La gestin del RO en las entidades financieras
3.1. Prcticas observadas en la administracin del RO
3.2. Evaluacin del RO a travs del uso de datos internos
3.3. Evaluacin del riesgo a travs del uso de factores claves del control interno y
del entorno de negocios
3.4. Mitigacin del RO y estimacin del capital
4. Las regulaciones sobre buenas prcticas en pases latinoamericanos
4.1. Brasil
4.2. Chile
4.3. Colombia
4.3.1. Etapas de la administracin del RO
4.3.2. Elementos del sistema de administracin del RO
4.4. Mxico
4.5. Per
4.5.1. Administracin de los aspectos que originan el RO
4.5.2. Requerimientos de informacin
5. Conclusiones
Anexo: Resumen de requisitos establecidos por la Superintendencia Financiera de
Colombia
Referencias bibliogrficas
1. Introduccin
Hasta hace tiempo atrs, era usual que se definiese al Riesgo Operacional (RO) de
forma imprecisa, comprendiendo a una serie de otros riesgos no explcitamente
tratados, entendidos y administrados en las entidades financieras de manera integral,
como tradicionalmente lo han sido por ejemplo el riesgo de crdito (RC) y el riesgo de
mercado (RM). Las ideas y aspectos individuales que estn detrs del concepto de RO
no son nuevos en el sistema financiero, sino que forman parte de un conocimiento
gerencial ya existente y las entidades financieras tradicionalmente han descansado en
procesos internos, programas de auditora, uso de plizas de seguros y otras
herramientas de administracin de riesgos, para atacar distintos aspectos que estn
dentro del mbito de lo que hoy comprende el concepto de RO.
En los ltimos tiempos ha habido una creciente preocupacin por el RO y sus
consecuencias, tanto por parte de las propias entidades financieras como por parte de los
reguladores. El Comit de Supervisin Bancaria de Basilea (el Comit o BCBS,
por sus siglas en ingls) ha sealado 2 que la desregulacin y la globalizacin de los
servicios financieros, junto con la creciente sofisticacin de las tecnologas financieras,
han tornado ms complejas las actividades de los bancos a la vez que han aumentado
sus perfiles de riesgo, lo que hace que se vean expuestos a nuevos riesgos que surgen de
factores tales como:
BCBS (2003).
eventos externos. Esa definicin incluye al riesgo legal, pero excluye el riesgo
estratgico y reputacional 3 . Adems de incluir el aspecto particular de la medicin del
capital regulatorio por RO, Basilea II marca un hito, ya que seala como precondicin
para la cuantificacin de ese riesgo, la aplicacin efectiva de las buenas prcticas
contenidas en el documento de 2003. 4 Adicionalmente, en octubre 2006, el BCBS
public la versin revisada de los Principios Bsicos para una Supervisin Bancaria
Efectiva, 5 la cual contiene un principio especfico dedicado al RO.
Al revisar la evolucin de los estndares internacionales y las prcticas de la industria a
lo largo de los ltimos aos, puede afirmarse que son principalmente dos los aspectos
que han surgido como novedosos en el tratamiento del RO: el primero, como se
expresara anteriormente, es el de considerarlo como una categora de riesgo bien
definida que requiere una gestin integral al igual que ocurre con otros tpicos riesgos
bancarios. El segundo aspecto que es novedoso es el hecho de medir las prdidas
ocasionadas por el RO y requerir capital para afrontarlas. La publicacin de Basilea II
hizo que muchas veces las discusiones se centraran en el aspecto especfico de la
medicin y en los mtodos all propuestos. Sin embargo, no debe perderse de vista que,
como se expres antes, Basilea II tambin incorpora la primera de las cuestiones, esto
es, la necesidad de contar con buenas prcticas de gestin y supervisin del RO como
precondicin para aplicar metodologas de medicin.
El objetivo de este trabajo es revisar las buenas prcticas sugeridas por los estndares
internacionales para la administracin y supervisin del RO y la manera en que esos
principios se han plasmado en la regulacin de una serie de pases, as como la forma
concreta en que se reflejan en la estructura y organizacin de las entidades financieras.
No se profundizar aqu en los aspectos relacionados con la medicin del RO en funcin
de los enfoques propuestos por Basilea II, ms all de los aspectos puntuales que se
relacionan con las buenas prcticas en la materia.6
El documento est organizado de la siguiente manera. En la seccin 2 se recopilan las
recomendaciones del BCBS, exponiendo los principios especficos aplicables a la
gestin y supervisin del RO, como as tambin lo dispuesto en los Principios Bsicos
para una Supervisin Bancaria Efectiva y el tratamiento que se dispensa a las buenas
prcticas de gestin y supervisin del RO en cada uno de los Pilares de Basilea II. La
seccin 3 expone resultados de relevamientos internacionales respecto de las estructuras
organizacionales que las entidades financieras han desarrollado para la gestin del RO.
Estas estructuras dependen de varios factores, entre ellos de cmo las entidades definen
el RO y su vinculacin con el ambiente de control del banco. A ello se agrega, una vez
definidas las estructuras, la manera en que los bancos pueden medir el RO.
La seccin 4 refiere al estudio de la regulacin sobre buenas prcticas para la
administracin y supervisin del RO en una muestra de pases latinoamericanos que ha
dictado normativa especfica al respecto, la mayora de las cuales recogen los principios
del BCBS. Por ltimo, en la Seccin 5 se exponen las conclusiones.
BCBS (2004).
Excepto para el mtodo de medicin ms sencillo (Enfoque de Indicador Bsico) para el cual se
recomienda la adopcin de los principios contenidos en BCBS (2003).
5
BCBS (2006-a y 2006-b).
6
Para una revisin de metodologas de medicin del RO, ver BCRA (2006-a).
4
A pesar de que existan diferencias de criterio entre los bancos en cuanto a sus
definiciones internas del RO, es importante que abarquen el amplio abanico de RO a los
que se enfrentan y que recojan las principales causas de prdidas operativas graves. Los
principales eventos de RO que ha identificado el BCBS, en conjunto con la banca, como
posibles causantes de prdidas sustanciales son:
BCBS (2003).
BCBS (2003), versin en espaol. El Comit aclara que se hace referencia a una estructura de gestin
bancaria compuesta por un consejo de administracin y una alta direccin, aunque se entiende que los
marcos jurdicos y regulatorios difieren entre pases en cuanto a las funciones que ostenta cada uno.
10
BCBS (2006-a).
BCBS (2006-a y 2006-b).
12
BCBS (2006-a) y (2006-b).
13
BCBS (2003).
14
Joint Forum (2005). El Joint Forum fue establecido en 1996 y est conformado por el Basel Committee
on Banking Supervision (BCBS), la International Organization of Securities Commissions (IOSCO) y la
International Association of Insurance Supervisors (IAIS) para tratar aspectos comunes a los sectores de
bancos, valores y seguros, incluyendo la regulacin de los conglomerados financieros.
11
2.
3.
4.
5.
6.
7.
8.
El supervisor exige que los bancos cuenten con polticas y procesos de gestin de riesgos para
identificar, evaluar, vigilar y mitigar el RO. Dichas polticas y procedimientos han de ser acordes a
las dimensiones y complejidad de las operaciones del banco, debiendo confirmar el supervisor que se
ajustan peridicamente segn cambia el perfil de riesgo del banco y las condiciones en el mercado
externo.
El supervisor exige que las estrategias, polticas y procesos de los bancos para la gestin del RO sean
aprobados y revisados peridicamente por el consejo. Tambin exige que el consejo vigile a la
direccin del banco al asegurar que dichas polticas y procesos se aplican adecuadamente.
El supervisor tiene constancia de que la direccin del banco aplica en la prctica la estrategia
aprobada y las polticas y procesos significativos para el RO.
El supervisor comprueba la calidad y exhaustividad de los planes de contingencia y de reanudacin
de la actividad del banco para tener constancia de que en caso de alteraciones graves de la actividad,
el banco es capaz de operar sin interrupciones y con prdidas mnimas (incluidas las que pueden
producirse a raz de alteraciones en los sistemas de pago y liquidacin).
El supervisor determina que los bancos cuentan con polticas y procesos adecuados para las
tecnologas informticas sobre aspectos como la seguridad de la informacin y el desarrollo de los
sistemas y que han invertido en dichas tecnologas en proporcin al tamao y complejidad de sus
operaciones.
El supervisor exige que haya mecanismos de notificacin adecuados que le mantengan al da de
cualquier cambio que afecte al RO de los bancos de su jurisdiccin.
El supervisor confirma que el riesgo legal se tiene en cuenta en los procesos del banco para la gestin
del RO.
El supervisor determina que el banco ha establecido polticas y procesos adecuados para evaluar,
gestionar y vigilar las actividades subcontratadas. El programa para gestionar el riesgo de
subcontratacin deber:
aplicar la debida diligencia al seleccionar posibles proveedores de servicios;
estructurar el mecanismo de subcontratacin;
gestionar y vigilar los riesgos relacionados con los mecanismos de subcontratacin;
asegurar un entorno eficaz de control y;
establecer planes de contingencia viables.
Las polticas y procesos de subcontratacin deben exigir que la institucin cuente con exhaustivos
contratos y/u otros acuerdos de prestacin de servicios que distribuyan claramente las responsabilidades
entre la empresa subcontratada y el banco.
Criterios Adicionales
1.
15
El supervisor determina que las polticas y procesos de gestin de riesgos cubren los principales
aspectos del RO, incluyendo un marco adecuado al respecto que se aplica en todo el grupo. Estas
polticas y procesos han de incluir otros riesgos que predominan en determinadas actividades con un
gran componente operativo, como la actividad de custodia y de corresponsala, al tiempo que debern
cubrir perodos en los que aumente el riesgo operacional.
16
10
b) Como parte integrante del sistema de evaluacin interna del RO del banco, ste
deber analizar de manera sistemtica la informacin disponible sobre dicho riesgo,
incluidas las prdidas relevantes en cada lnea de negocio. Su sistema de evaluacin del
RO deber estar integrado dentro de los procesos de gestin del riesgo del banco. Los
resultados que arroje dicho sistema debern ser parte integral del proceso de
seguimiento y control del perfil de RO del banco. Por ejemplo, esta informacin debe
ser parte importante de la presentacin de informacin sobre el riesgo y su gestin, as
como para el anlisis del riesgo. El banco deber implantar tcnicas que generen
incentivos para mejorar la gestin del RO en toda la entidad.
c) Deber existir un sistema peridico que informe sobre la exposicin al RO, incluidas
las prdidas operativas ms importantes, que est dirigido a la direccin de las unidades
de negocio, a la alta direccin y al consejo de administracin. El banco deber contar
con procedimientos que permitan adoptar las acciones necesarias de acuerdo con el
tenor de la informacin contenida en los informes de gestin.
d) El sistema de gestin de RO deber estar bien documentado. El banco deber contar
con un mecanismo que permita garantizar regularmente el cumplimiento de un conjunto
documentado de polticas, controles y procedimientos internos relativos al sistema de
gestin del RO, que deber incluir polticas para el tratamiento de los aspectos que se
incumplen.
e) Los procesos de gestin y sistemas de evaluacin del RO debern someterse a un
procedimiento de validacin y a un examen peridico independiente. Estos exmenes
debern incluir tanto las operaciones de las unidades de negocio como las actividades de
la unidad de gestin del RO.
f) El sistema de evaluacin del RO (incluidos los procesos de validacin interna) deber
someterse a exmenes peridicos realizados por auditores externos y/o por los
supervisores.
Por ltimo, los criterios de admisin establecidos para los Enfoques de Medicin
Avanzada (AMA) son los ms exigentes, en funcin de la mayor complejidad asociada a
ellos. Para estos mtodos, se establecen i) criterios generales; ii) criterios cualitativos;
iii) criterios cuantitativos y; iv) aspectos de mitigacin del riesgo, que deben satisfacer
las entidades a efectos de que se les permita el uso de los AMA. Sin tratar de hacer una
enumeracin exhaustiva de las condiciones establecidas por Basilea II 19 , algunos de los
principales aspectos se enumeran a continuacin.
i) Criterios generales
A los efectos de poder utilizar los AMA, el banco deber demostrar a su supervisor que,
como mnimo:
19
11
cuenta con recursos suficientes para utilizar la metodologa en las principales lneas
de negocio, as como en los mbitos de control y auditora.
El AMA estar sometido a un perodo de seguimiento inicial por parte del supervisor
antes de que pueda utilizarse a efectos de capital regulatorio, lo que permitir al
supervisor determinar si el mtodo es adecuado. El sistema de medicin interna de un
banco deber estimar de forma razonable las prdidas inesperadas, combinando datos
relevantes de prdidas tanto internos como externos, anlisis de escenarios, as como el
entorno del negocio y los factores de control interno que son especficos al banco. El
sistema de medicin del banco tambin deber poder llevar a cabo la asignacin de
capital econmico por RO entre las distintas lneas de negocio de un modo que genere
incentivos para la mejora de la gestin del RO en esas lneas.
12
tanto las operaciones de las unidades de negocio como las actividades de la unidad
independiente de gestin del RO.
f) La validacin del sistema de medicin del RO que lleven a cabo los auditores
externos y/o las autoridades supervisoras deber incluir los siguientes aspectos:
20
Para una descripcin de los criterios cuantitativos, ver BCBS (2004) prrafos 667 a 676. Cabe aclarar
que los requisitos all contenidos deberan ser considerados como la gua de buenas prcticas para
aplicacin de los AMA.
21
BCBS (2004), prrafos 677 a 679.
22
BCBS (2004).
13
Todos los riesgos que enfrenta una entidad deberan tenerse en cuenta en el proceso de
evaluacin del capital, incluyendo por supuesto al RO. Aunque el Comit reconoce que
no todos los riesgos pueden medirse con exactitud, es necesario desarrollar un proceso
que los estime.
Refirindonos estrictamente al RO, en este tema debera aplicarse un rigor similar al
utilizado para gestionar otros riesgos significativos 24 . La entidad debe desarrollar un
marco para gestionar el RO y evaluar la suficiencia de capital en ese marco. El mismo
deber cubrir la propensin y tolerancia del banco al RO, incluyendo el grado y modo
en que el RO es transferido fuera de la entidad. Deber incluir adems, polticas a seguir
por la entidad para identificar, evaluar, monitorear y controlar / mitigar el riesgo.
Principio 2: Los supervisores debern examinar y evaluar las estrategias y
evaluaciones internas de la suficiencia de capital de los bancos, as como la
capacidad de stos para vigilar y garantizar el cumplimiento de los ratios de capital.
Los supervisores deben intervenir cuando no estn satisfechos con el resultado de este
proceso.
El supervisor deber regularmente revisar el proceso por el que una entidad evala la
suficiencia de capital, la posicin de riesgo, los niveles de capital resultante y la calidad
del capital mantenido. Los supervisores tambin debern evaluar en qu medida los
bancos cuentan con un slido proceso interno de evaluacin de la suficiencia de capital.
El anlisis deber centrarse en la calidad de gestin y control del riesgo de la entidad y
no podr suponer que los supervisores realicen las funciones de la direccin de la
entidad.
Principio 3: Los supervisores debern esperar que las entidades operen por encima
del ratio mnimo de capital regulatorio y debern ser capaces de exigirles que
mantengan capital por encima de este mnimo.
En este sentido, existen varias razones por las cuales los bancos debern mantener este
margen, tales como que la entidad decida, por una cuestin de competitividad, operar
por encima de los niveles mnimos; en el curso de la actividad bancaria el volumen y
23
24
14
tipo de actividades irn cambiando, al igual que los diferentes tipos de exposicin al
riesgo, lo que generar fluctuaciones en el coeficiente de capital de la entidad; el hecho
de obtener capital adicional puede ser costoso para las entidades especialmente si ello se
hace en un momento donde las condiciones del mercado son desfavorables, entre otros.
Principio 4: Los supervisores debern intervenir con prontitud para prevenir que el
capital descienda por debajo de los niveles mnimos requeridos para cubrir las
caractersticas de una entidad determinada y deben requerir acciones correctivas
inmediatas si el capital no se mantiene en el nivel requerido o no se recupera ese
nivel.
Los supervisores debern considerar diversas alternativas en el caso que crean que la
entidad no pueda cumplir los requisitos incorporados en los principios de supervisin.
Debern contar con discrecionalidad para utilizar los instrumentos que mejor se adapten
a las circunstancias de la entidad y a su entorno operativo.
Adems de cumplir con estos principios, el supervisor deber evaluar el requerimiento
de capital generado por el Pilar I para asegurar que aporta una imagen coherente del
funcionamiento individual del banco. Para tal fin, el supervisor debe tener en cuenta el
documento de Basilea sobre Buenas prcticas para la Administracin y Supervisin
del RO 25 y tener en consideracin los bancos de tamaos y operaciones similares.
Dentro del proceso de supervisin existen elementos discrecionales, es por ello que los
supervisores debern esforzarse por cumplir sus obligaciones de manera transparente y
responsable. Debern hacerse pblicos los criterios que utilizarn los supervisores para
examinar las evaluaciones internas de capital de las entidades. Si el supervisor no est
conforme con los clculos del requerimiento de capital por RO realizados por la entidad,
puede tomar medidas tales como solicitar a la entidad que tenga un mayor
requerimiento de capital por RO, que reduzca la exposicin a las actividades que
implican un alto RO, que mejore la planificacin de contingencias, actualice los
sistemas informticos, entre otras posibilidades. En el caso que se fijen requerimientos
de capital superiores al mnimo para una determinada entidad, el supervisor deber
explicar cules fueron las caractersticas de riesgo especficas que dieron origen a esos
requerimientos, como as tambin cualquier medida correctiva.
25
BCBS (2003).
15
estrategias y procesos;
estructura y organizacin de la unidad encargada de la gestin de riesgo;
alcance y naturaleza de los sistemas de medicin de riesgos;
polticas de cobertura y / o mitigacin del riesgo y las estrategias y procesos
para controlar la continua eficiencia de las coberturas.
16
que los ahorros resultantes en algunos procesos debidos a una reduccin en la tasa de
errores pueden sobrepasar en gran medida los beneficios generados a travs de una
poltica tradicional de reduccin de costos. 30
Si las autoridades del banco slo visualizan la administracin del RO como un requisito
regulatorio, y no como una iniciativa que agrega valor a la empresa, los esfuerzos de
implementacin se vern dificultados.
Los gerentes de las lneas de negocio suelen ser escpticos respecto a iniciativas corporativas que
requieren tiempo y recursos, pero no tengan como contrapartida beneficios tangibles. Por ello es
importante que a cambio de su participacin reciban feedback en cuanto a los beneficios de las
iniciativas implementadas.
Funcin centralizada de RO
Falta de una cultura orientada al riesgo. Para imponerla en la organizacin resulta importante
remunerar los esfuerzos orientados a mitigar los riesgos, por ejemplo a travs de una reduccin
del capital econmico imputado al rea.
Las iniciativas existentes pueden incluir procesos de revisin y control de riesgos, auditora
interna, compliance con IFRS, SOX 33 y otros requisitos regulatorios.
Por otro lado, un reciente informe del BCBS 35 destaca ciertas prcticas observadas en
las entidades financieras vinculadas con la administracin del RO 36 . En lo referido a la
participacin del directorio, se observan grandes variaciones entre los bancos: abarcan
desde un compromiso absoluto, hasta un mnimo esfuerzo orientado al mero
30
McKinsey (2006).
Mc Kinsey (2006).
32
KPMG (2003).
33
IFRS: International Financial Reporting Standards, SOX: Sarbannes Oxley Act 2002.
34
Mc Kinsey (2006).
35
BCBS (2006-c).
36
El estudio comprende a aquellos bancos que se estn orientando a implementar mtodos avanzados
para la medicin del RO (AMA).
31
17
37
38
BCBS (2006-c).
BCBS (2006-c).
18
El trabajo del BCBS 39 antes mencionado sobre prcticas de la industria, dedica una
seccin a temas vinculados con datos internos. Comienza tratando el tema del registro
de la fecha de ocurrencia de un evento operativo, destacando que los bancos tienden a
favorecer el da de ocurrencia o el da del descubrimiento del evento por encima del
39
BCBS (2006-c).
19
correspondiente a su registro contable. Una excepcin notable son los litigios judiciales,
en cuyo caso se tiende a usar la opcin contable. Con respecto a los mtodos para
evaluar el monto de prdida por daos materiales a activos fsicos, los bancos se hallan
divididos en forma homognea entre los que eligen registrarlos a su valor de libros, a su
valor de mercado o a su costo de reposicin. Muchas entidades validan estas prdidas
concilindolas con el mayor general o a travs de una auditora interna. Otro tema
considerado es el de los eventos de prdida que se materializan a lo largo del tiempo; la
prctica habitual entre las entidades es retrotraer todas las prdidas sucesivas a la fecha
de ocurrencia del incidente. Respecto a la asignacin de un evento a una lnea de
negocios, los bancos han elegido entre: i) asignar toda la prdida a la lnea de negocios
ms afectada o ii) asignar las prdidas sobre una base pro-rata en las lneas de negocio
afectadas
En cuanto al tratamiento de los recuperos a efectos de determinar la prdida asociada a
un evento, se destaca que pueden ocurrir inmediatamente o aos despus de ocurrido el
evento de RO. El neteo de los recuperos sera el procedimiento adecuado en el caso de
tener certeza respecto a ellos. La mayora de los bancos registra en sus bases la prdida
bruta neteada de los recuperos obtenidos durante un perodo previamente especificado
(el que suele ser desde uno hasta algunos das de ocurrido el evento). En casos en donde
se obtiene un recupero total, algunos bancos registran una casi-prdida (near miss).
Los bancos que registran estos datos no los usan para cuantificar el riesgo, aunque
algunos los incorporan para la construccin de escenarios. Generalmente estos datos son
usados para identificar tendencias en el RO y con otros propsitos de administracin del
riesgo.
En lo referente al uso de umbrales mnimos para el registro de una prdida por RO, se
debe tener en cuenta que su eleccin afecta a las distribuciones de prdidas y a las
estimaciones de prdidas inesperadas. La mayora de los bancos se apoya en opiniones
expertas para fijar estos umbrales y suelen elegir los mismos umbrales para todos los
tipos de evento, aunque unas cuantas entidades han decidido adaptar los umbrales a las
distintas lneas de negocio.
Un tema fundamental es el de la validacin de los datos internos de prdida, esto es, los
pasos que los bancos deben realizar para garantizar la integridad y completitud de los
datos de prdida interna y de los procesos de recoleccin de datos. Dado que la mayora
de los bancos recientemente han comenzado a recolectar datos, los procesos de
validacin todava se encuentran en etapa de desarrollo y se deber esperar para
observar una prctica comn en esta rea. Las siguientes prcticas son usadas por las
entidades financieras a tales efectos:
Cuando las entidades juzgan insuficientes sus datos internos a efectos de administrar sus
riesgos, recurren a datos externos o anlisis de escenarios, lo cual implicar un trabajo
adicional de validacin.
20
3.3. Evaluacin del riesgo a travs del uso de factores claves del control
interno y del entorno de negocios
A pesar del rol fundamental de las bases de datos internas, stas tienen limitaciones 40 ,
entre ellas, el hecho de que los controles se van mejorando con el paso del tiempo a la
luz de las experiencias de prdida. Con ello resultara que el RO actual es menor al
estimado a partir de los datos histricos ya que estos no reflejan las acciones posteriores
de mitigacin y prevencin del RO que implementa la entidad bancaria. Por otro lado,
muchas veces los datos en s mismos no permiten establecer claramente las causas que
generaron la prdida. Otra dificultad de carcter conductual reside en el tema de los
incentivos: pueden existir desincentivos para informar eventos relevantes, p.ej. si estos
tienen como consecuencia aumentar el cargo de capital a la lnea de negocios reportante.
Por otro lado, ciertos agentes internos (RRHH, auditora, o el rea legal) pueden estar
incentivados en reportar eventos o casi-prdidas, si ello tiene como consecuencia realzar
la importancia de sus tareas.
Todas estas circunstancias pueden haber motivado a que el BCBS recomiende que la
metodologa de estimacin del RO del banco tambin incluya el uso de informacin
complementaria a los datos de prdida, entre los que se encuentran factores claves del
control interno y del entorno de negocios. Ello contribuye a una evaluacin del riesgo
ms forward-looking, reflejando mejor la calidad de los controles del banco y su
entorno operativo, ayudando a alinear la estimacin del capital econmico con los
objetivos de administracin del RO del propio banco.
La evaluacin del RO provee al banco un criterio para identificar potenciales riesgos de
naturaleza severa a travs del diseo de escenarios estructurados con representantes de
todas las lneas de negocio. Como una herramienta que permite la identificacin y en
forma limitada, hasta una posible cuantificacin del RO es complementaria al proceso
de recoleccin de datos. Efectivamente, permite cerrar la brecha de conocimiento entre
datos histricos de prdida (generalmente escasos) de carcter backward-looking e
intentos de establecer mtodos forward-looking sensibles al riesgo para la
identificacin del RO. A pesar que los detalles varan, generalmente la estructura bsica
de la evaluacin del riesgo es universal. Est basada en un conjunto de matrices que
identifican y evalan el RO y sus subcomponentes en trminos de su probabilidad de
ocurrencia e impacto. El perfil de riesgos resultante presenta un panorama de reas de
riesgos por unidad de negocio, gerencia u otro nivel de agregacin.
Un elemento clave en la evaluacin del RO son los KRIs; factores que pueden proveer
seales de alerta temprana respecto a sistemas, procesos, productos, personas y entornos
ms amplios. Al igual que los datos de prdida, estn basados en datos existentes pero, a
diferencia de stos, no se concentran en el valor nominal de la informacin, sino que a
travs de ellos se busca predecir determinados comportamientos futuros (p.ej. la
rotacin de personal, variable que no est asociada con alguna prdida actual, pero s
con potenciales prdidas futuras vinculadas con la renuncia de personal clave).
Identificar los KRIs puede ser una tarea ardua, dado que la presunta correlacin con
exposiciones actuales slo puede ser verificada a lo largo del tiempo usando datos de
40
Power, M (2003).
21
prdida reales. Para simplificar su uso, muchos bancos slo usan una serie genrica
limitada de KRIs para cada unidad de negocio.
4.1. Brasil
En junio de 2006 el Banco Central de Brasil (BCB) dict una Resolucin 42 por la que
estableci que las instituciones financieras y dems instituciones autorizadas a funcionar
por el BCB deben implementar una estructura de gerenciamiento del RO, definiendo a
ese riesgo y a una clasificacin de eventos operativos de acuerdo con lo establecido en
Basilea II.
En lnea con las buenas prcticas para la gestin y supervisin del RO sugeridas por el
BCBS, el BCB establece que la estructura de gerenciamiento de RO debe prever:
41
42
BCRA (2006-a)
BCB (2006), Resolucin 3.380.
22
4.2. Chile
En agosto de 2005, la Superintendencia de Bancos e Instituciones Financieras de Chile
(SBIF) elabor disposiciones 43 relativas a la clasificacin que la SBIF debe mantener en
forma permanente respecto a las instituciones financieras, segn su nivel de solvencia y
gestin 44 . Adicionalmente se incorporan aspectos esenciales de gestin del capital
incluidos en el acuerdo de Basilea II, considerando al RO como una categora distinta
de los riesgos bancarios tradicionales.
La evaluacin de una entidad se realiza a travs de visitas de inspeccin, por lo menos
una vez al ao. En ella se revisan los controles internos, los sistemas de informacin
para la toma de decisiones, el seguimiento oportuno de los riesgos y su clasificacin as
como la capacidad para enfrentar escenarios de contingencia. La evaluacin se efecta
por temas, uno de los cuales es especficamente la administracin del RO. 45
43
23
La institucin tiene una definicin de lo que entiende por RO y lo ha reconocido como un riesgo
gestionable.
Existen una funcin encargada de la administracin de RO.
La entidad mantiene polticas para la administracin de los RO aprobadas por el directorio o la
administracin superior.
La estrategia de administracin del RO es consistente con el volumen y complejidad de sus actividades y
tiene en cuenta el nivel de tolerancia al riesgo del banco, incluyendo lneas especficas de responsabilidad.
Esta estrategia ha sido implementada a travs de toda la organizacin bancaria y todos los niveles del
personal asumen y comprenden sus responsabilidades respecto a la administracin de este riesgo.
La entidad administra los RO considerando los impactos que pudieran provocar (severidad de la prdida) y
la probabilidad de ocurrencia de los eventos.
La entidad evala el RO inherente a todos los tipos de productos, actividades, procesos y sistemas.
Se asegura que antes de introducir nuevos productos, emprender nuevas actividades o establecer nuevos
procesos y sistemas, se evala el RO inherente.
El banco ha integrado a sus actividades normales el monitoreo del RO y ha identificado indicadores
apropiados que brinden alertas de un aumento del riesgo y de futuras prdidas.
La institucin es capaz de cuantificar los impactos de las prdidas asociadas al RO y constituir
prudencialmente los resguardos necesarios.
Los sistemas de informacin permiten hacer un monitoreo continuo de la exposicin a los RO. Poseen la
cobertura y profundidad necesarias para servir en forma eficiente al proceso de toma de decisiones de la
alta administracin y directorio.
El banco cuenta con polticas para administrar los riesgos asociados a las actividades entregadas a terceras
partes y lleva a cabo verificaciones y monitoreos de las actividades de dichas partes.
El banco realiza inversiones en tecnologa de procesamiento y seguridad de la informacin, que permiten
mitigar los RO y que son concordantes con el volumen y complejidad de las actividades y operaciones que
realiza.
La institucin cuenta con una adecuada planificacin a largo plazo para la infraestructura tecnolgica y
dispone de los recursos necesarios para el desarrollo normal de sus actividades y para que los nuevos
proyectos previstos se concreten oportunamente.
El banco cuenta con una estructura que permite administrar la seguridad de la informacin en trminos de
resguardar su confidencialidad, integridad y disponibilidad.
El banco considera en sus planes de continuidad del negocio y contingencia, diversos escenarios y
supuestos que pudieran impedir que cumpla toda o parte de sus obligaciones y en ese sentido ha
desarrollado una metodologa formal que considera en sus etapas, la evaluacin de impacto y criticidad de
sus servicios y productos, la definicin de estrategias de prevencin, contencin y recuperacin, as como
pruebas peridicas de tales estrategias.
La institucin ha implementado un proceso para controlar permanentemente la incorporacin de nuevas
polticas, procesos y procedimientos, que permiten detectar y corregir sus eventuales deficiencias de
manera de reducir la frecuencia y severidad de los eventos de prdida. Asimismo, la entidad emite reportes
con la informacin pertinente a la alta administracin y directores.
La entidad bancaria ha adoptado una estrategia y sistema de gestin de calidad respecto de sus productos,
servicios, e informacin que suministra a sus clientes, reguladores y a otros entes.
La extensin y profundidad de las auditoras es proporcional al nivel de riesgo y al volumen de actividad.
La funcin de auditora est en posicin de evaluar en forma independiente el cumplimiento de las
polticas, la eficacia de los procedimientos y los sistemas de informacin.
24
4.3. Colombia
La Superintendencia Financiera de Colombia (SFC) a travs de una Circular Externa 46
fij las bases y los lineamientos mnimos que deben ser implementados para el
desarrollo de un Sistema de Administracin del Riesgo Operativo (SARO). Definen al
RO como la posibilidad de incurrir en prdidas por deficiencias, fallas o inadecuaciones,
en los recursos humanos, los procesos, la tecnologa, la infraestructura o por la
ocurrencia de acontecimientos externos. Esta definicin incluye el riesgo legal y (a
diferencia de Basilea II) tambin el riesgo reputacional.
La SFC establece que las entidades sometidas a su supervisin se exponen al RO y por
lo tanto debern desarrollar, establecer, implementar y mantener un SARO, acorde con
su estructura, tamao, objeto social y actividades de apoyo, estas ltimas realizadas
directamente o a travs de terceros, que les permita identificar, medir, controlar y
monitorear eficazmente el RO.
Una vez concluida la etapa de identificacin, las entidades deben medir la probabilidad
de ocurrencia de un evento de RO y su impacto en caso de materializarse. Esta medicin
podr ser cualitativa y, cuando se cuente con datos histricos, cuantitativa. Para la
determinacin de la probabilidad se debe considerar un horizonte de tiempo de un ao.
En el proceso de medicin del RO las entidades deben desarrollar, como mnimo, los
siguientes pasos:
46
SFC (2006).
25
Las entidades deben tomar medidas para controlar el riesgo inherente a que se ven
expuestas con el fin de disminuir la probabilidad de ocurrencia y/o el impacto en caso
de que el riesgo se materialice. Durante esta etapa las entidades deben como mnimo:
Sin perjuicio de lo anterior, las entidades podrn decidir si transfieren, aceptan o evitan
el riesgo, en los casos en que esto sea posible. Debe tenerse en cuenta que la utilizacin
de ciertas medidas, como la contratacin de seguros, puede ser una fuente generadora de
nuevos eventos de RO, los cuales deben ser a su vez administrados.
De acuerdo con su estructura, tamao, objeto social y actividades de apoyo, las
entidades deben definir, implementar, probar y mantener un proceso para administrar la
continuidad del negocio que incluya elementos como: prevencin y atencin de
emergencias, administracin de la crisis, planes de contingencia y capacidad de retorno
a la operacin normal. Los planes de continuidad del negocio deben cumplir, como
mnimo, con los siguientes requisitos:
Las entidades deben hacer un monitoreo peridico de los perfiles de riesgo y de las
exposiciones a prdidas. En ese sentido, stas deben cumplir como mnimo, con los
siguientes requisitos:
26
La SFC establece toda una serie de caractersticas mnimas que debe cumplir dicho
registro de eventos de RO (ver Anexo).
Tambin, se deben establecer instancias responsables de efectuar una evaluacin del
SARO, las que informarn, de forma oportuna, los resultados a los rganos
competentes. Los rganos de control no deben ser responsables de la administracin del
RO y sern por lo menos la revisora fiscal y la auditora interna o quien ejerza el
control interno.
Las entidades, de acuerdo con sus actividades y tamao, deben contar con la tecnologa
y los sistemas necesarios para garantizar el adecuado funcionamiento del SARO.
Asimismo se establece que la divulgacin de la informacin debe hacerse en forma
peridica y estar disponible, cuando as se requiera. Se debe disear un sistema
adecuado de reportes tanto internos como externos, que garantice el funcionamiento de
los propios procedimientos y el cumplimiento de los requerimientos normativos.
Por ltimo, se deben disear, programar y coordinar planes de capacitacin sobre el
SARO dirigidos a todas las reas y funcionarios, los que deben cumplir tambin con los
requisitos establecidos por la SFC.
4.4. Mxico
La Circular Unica de Bancos, en su Captulo IV 47 establece que las instituciones deben
observar los lineamientos mnimos sobre la Administracin Integral de Riesgos (AIR) e
instituir mecanismos que les permitan realizar sus actividades con niveles de riesgo
acordes con su capital neto y capacidad operativa. Clasifica a los riesgos en
47
CNBV (2005).
27
28
A su vez, el consejo deber constituir un comit que administrar los riesgos y vigilar
que la realizacin de las operaciones se ajuste a objetivos, polticas y procedimientos
para administrarlos. El comit de riesgos deber reunirse cuando menos una vez al mes
y todas las sesiones y acuerdos se harn constar en actas debidamente circunstanciadas
y suscritas por todos y cada uno de los asistentes. El comit de riesgos para llevar a
cabo la AIR contar con una unidad especializada cuyo objeto ser identificar, medir,
vigilar e informar los riesgos cuantificables que enfrenta la institucin en sus
operaciones, ya sea que stos se registren dentro o fuera del balance, incluyendo, en su
caso, los riesgos de sus subsidiarias financieras. Esta unidad ser independiente de las
UN, a fin de evitar conflictos de inters y asegurar una adecuada separacin de
responsabilidades.
En materia de administracin por tipo de riesgo, la Circular establece las funciones que
las instituciones debern desarrollar para la administracin del RO. Debern como
mnimo:
4.5. Per
En enero de 2002 la Superintendencia de Bancos y Seguros (SBS) aprob el
Reglamento para la Administracin de los Riesgos de Operacin 48 . All se define
riesgo de operacin (RO) como la posibilidad de ocurrencia de prdidas financieras por
48
SBS (2002-a).
29
La entidad deber contar con una estructura organizacional y administrativa que permita
una adecuada administracin del RO y deber establecer polticas y procedimientos
claramente definidos y consistentes con el tamao y naturaleza de la entidad y con la
complejidad de sus operaciones y servicios. Dicha estructura deber establecerse de
manera que exista independencia entre la unidad de riesgos y aquellas otras unidades de
negocio, as como una clara delimitacin de funciones, responsabilidades y perfil de
puestos en todos sus niveles. Estos aspectos debern encontrarse recogidos en el manual
de organizacin y funciones del banco.
El manual de control de riesgos deber contener una seccin especial sobre los riesgos
de operacin. Dicha seccin deber contemplar por lo menos los siguientes aspectos:
Las propuestas debern contar, entre otros aspectos, con una descripcin general de la nueva operacin,
producto o servicio de que se trate, los riesgos identificados y las acciones a tomar para su control.
30
los mismos. En tal sentido, podrn considerarse entre otros, los riesgos asociados a las
fallas en los modelos utilizados, los errores en las transacciones, la evaluacin
inadecuada de contratos o de la complejidad de productos, operaciones y servicios, los
errores en la informacin contable, la inadecuada compensacin, liquidacin o pago, la
insuficiencia de recursos para el volumen de operaciones, la inadecuada documentacin
de transacciones, as como el incumplimiento de plazos y costos planeados.
Del mismo modo debern administrar apropiadamente los riesgos asociados a la
tecnologa de informacin, de tal modo que se minimice la posibilidad de prdidas
financieras derivadas del uso de sistemas informticos inadecuados y tecnologas
relacionadas a ellos, que pueden afectar el desarrollo de las operaciones y servicios al
atentar contra la confidencialidad, integridad y disponibilidad de la informacin. Para
este fin, las entidades podrn considerar los riesgos vinculados a las fallas en la
seguridad y continuidad operativa de los sistemas informticos, los errores en el
desarrollo e implementacin de dichos sistemas y la compatibilidad e integracin de los
mismos, problemas de calidad de informacin, la inadecuada inversin en tecnologa,
as como las fallas en la adecuacin a los objetivos del negocio, entre otros aspectos. En
febrero de 2002 se establecieron criterios mnimos para la identificacin y
administracin de los riesgos asociados a la tecnologa de informacin, donde se ampla
sustancialmente este tem 50 .
Las entidades deben administrar apropiadamente los riesgos asociados a las personas,
de tal modo que se minimice la posibilidad de prdidas financieras asociadas a
inadecuada capacitacin del personal, negligencia, error humano, sabotaje, fraude, robo,
paralizaciones, apropiacin de informacin sensible, lavado de dinero y similares.
Adems, debern considerar la posibilidad de prdidas derivada de la ocurrencia de
eventos externos, ajenos al control de la entidad, que pudiesen alterar el desarrollo de
sus actividades. En tal sentido, entre otros factores, se podrn tomar en consideracin
los riesgos que implican las contingencias legales, las fallas en los servicios pblicos, la
ocurrencia de desastres naturales, atentados y actos delictivos, as como las fallas en
servicios crticos provistos por terceros.
50
31
5. Conclusiones
Una serie de factores llevaron a que tanto la comunidad reguladora internacional como
la industria financiera comenzaran a manifestar una preocupacin creciente por prdidas
provenientes de eventos de RO. As fue que a lo largo de los ltimos aos, el RO se ha
consolidado como una categora de riesgo abordada en s misma, que comprende toda
una serie de riesgos que tradicionalmente se trataban de manera parcial. En el ao 2003,
el BCBS public una serie de principios sobre buenas prcticas para la administracin
del RO, lo que sent uno de los principales precedentes del tratamiento integral del RO
como categora de riesgo. Posteriormente, en junio de 2004 con la publicacin de
Basilea II se marca otro hito importante ya que se fija por primera vez un cargo de
capital explcito para atender a las prdidas provenientes de eventos de RO. Adems de
incluir el aspecto particular de la medicin del capital regulatorio, Basilea II seala
como precondicin para la cuantificacin de ese riesgo, a la aplicacin efectiva de las
buenas prcticas dictadas en la materia. Asimismo, la versin revisada de los Principios
Bsicos para una Supervisin Bancaria Efectiva, del ao 2006, incorpora un principio
especfico dedicado al RO.
Al revisar la evolucin de los estndares internacionales y las prcticas de la industria a
lo largo de los ltimos aos, puede afirmarse que son principalmente dos los aspectos
que han surgido como novedosos en el tratamiento del RO: el primero, es el de
considerarlo como una categora de riesgo bien definida que requiere una gestin
integral al igual que ocurre con otros tpicos riesgos bancarios. El segundo, es el hecho
de medir las prdidas ocasionadas por el RO y requerir capital para afrontarlas. La
publicacin de Basilea II hizo que muchas veces las discusiones se centraran en el
aspecto especfico de la medicin y en los mtodos all propuestos. Sin embargo, no
debe perderse de vista que, como se expres antes, Basilea II tambin incorpora la
necesidad de contar con buenas prcticas de gestin y supervisin del RO como
precondicin para aplicar metodologas de medicin.
Este trabajo realiz una recopilacin de las buenas prcticas sugeridas por los estndares
del BCBS y la manera en que esos principios se han plasmado en la regulacin de una
serie de pases, as como la forma en que se reflejan en las estructuras y organizacin de
las entidades financieras. El concepto de gestin del RO adoptado por el BCBS
comprende a la identificacin, evaluacin, monitoreo y mitigacin/control de ese riesgo.
Estos cuatro aspectos se reflejan claramente en los principios dictados por el BCBS y
son recogidos por las regulaciones de los pases latinoamericanos analizados, con
algunas variantes. En este trabajo se puso especial atencin en aquellos pases
latinoamericanos que han emitido regulaciones vinculadas con el RO (como es el caso
de Brasil, Chile, Colombia, Mxico y Per), tendientes a implementar procedimientos,
documentacin, responsabilidades y creacin de estructuras adecuadas para una
eficiente administracin del RO en las entidades financieras; todo ello previo a la
instauracin de cargos de capital para la cobertura del RO.
32
33
Anexo
Resumen de requisitos establecidos por la Superintendencia Financiera
de Colombia
Colombia: Requisitos mnimos establecidos por la SFC
Polticas
Procedimientos
Documentos y registros
iii.
c. Permitir
prevenir
y
resolver
conflictos de inters en el acopio de
informacin en las diferentes etapas
del SARO, especialmente para el
registro de eventos de RO.
d. Permitir la identificacin de cambios
en los controles y los perfiles de
riesgo.
e. Desarrollar e implementar planes de
continuidad del negocio.
iv.
v.
vi.
Las
polticas
para
la
administracin del RO.
Las
metodologas
para
la
identificacin, medicin y control
y los niveles de aceptacin del
RO.
La estructura organizacional del
SARO, como tambin los roles y
responsabilidades de quienes
participan en la administracin del
RO.
Las medidas necesarias para
asegurar el cumplimiento de las
polticas y objetivos del SARO.
Los procedimientos que deben
implementar los rganos de
control frente al SARO.
Las estrategias de capacitacin y
divulgacin del SARO
b. Los
procedimientos
para
identificar, medir, controlar y
monitorear el RO.
c.
Cada entidad debe tener su propio y nico registro de eventos de RO. La entidad con matriz internacional
debe tener disponible y centralizada en Colombia, la informacin relacionada con los eventos de RO locales.
Comprender la totalidad de los eventos de RO.
Contener los siguientes campos mnimos, que corresponden a la informacin de los eventos de RO :
i. Cdigo interno que relacione el evento en forma secuencial.
ii. Fechas en que se inicia, finaliza, se descubre, y se registra contablemente el evento.
iii. Moneda extranjera en la que se materializa el evento.
iv. El monto de dinero a que asciende la prdida.
v. El monto de dinero recuperado por accin directa de la entidad, discriminando el monto recuperado
por coberturas a travs de un seguro.
vi. Producto o servicio afectado.
vii. Cuentas del Plan nico de Cuentas (PUC) afectadas.
viii. Identificar el proceso afectado.
ix. Tipo de prdida segn el registro de eventos por RO de la entidad.
x. Descripcin detallada del evento: canal de servicio o atencin al cliente (cuando aplica), y zona
geogrfica
xi. Identificacin de la lnea operativa donde se produjo el evento segn clasificacin suministrada por la
SFC (coincide con la que fue propuesta por Basilea).
34
Colombia
Estructura organizacional: funciones requeridas por la SFC
Junta Directiva
Representante Legal
Unidad de RO
35
Colombia
Instancias responsables de efectuar una evaluacin del SARO
a.
Revisora Fiscal: deber elaborar un reporte al cierre de cada ejercicio contable en el que informe acerca de
las conclusiones obtenidas en el proceso de evaluacin del cumplimiento de las normas e instructivos sobre el
SARO. A su vez debe poner en conocimiento del Representante Legal los incumplimientos del SARO sin
perjuicio de la obligacin de informar sobre ellos a la Junta Directiva u rgano que haga sus veces.
b.
Auditora Interna o quien ejerza el control interno: deber evaluar peridicamente la efectividad y
cumplimiento de todas y cada una de las etapas y los elementos del SARO con el fin de determinar las
deficiencias y sus posibles soluciones. As mismo debe informar los resultados de la evaluacin a la Unidad
de RO y al Representante Legal. Tambin debe realizar una revisin peridica del registro de eventos de RO e
informar al Representante Legal sobre el cumplimiento de las condiciones sealadas en los registros de
eventos de RO.
Colombia
Divulgacin de la informacin
a.
b.
c.
Informacin interna: Como resultado del monitoreo deben elaborarse reportes semestrales que permitan establecer
de forma individual y consolidada el perfil de riesgo residual de la entidad. Los administradores de la entidad en su
informe de gestin al cierre de cada ejercicio contable deben incluir una indicacin sobre la gestin adelantada en
materia de administracin de RO.
Informacin externa: en concordancia con las disposiciones legales vigentes sobre la materia las entidades deben
suministrar al pblico la informacin necesaria con el fin de que el mercado pueda evaluar las estrategias de gestin
del RO adoptadas por la entidad. Las caractersticas de la informacin divulgada estarn relacionadas con el
volumen la complejidad y el perfil de riesgo de las operaciones de la entidad.
Revelacin contable: los eventos de RO cuando no afecten el estado de resultados deben ser revelados en cuentas de
orden de acuerdo con la metodologa para su cuantificacin establecida por cada entidad. Las prdidas cuando
afecten el estado de resultados deben registrarse en cuentas de gastos en el perodo en el que se materializ la
prdida. En las notas a los estados financieros se deben sealar las causas que originaron los eventos de RO
revelados en cuentas de orden o registrados en el estado de resultados.
Colombia
Planes de capacitacin
a.
b.
c.
d.
e.
Periodicidad anual.
Ser impartidos durante el proceso de induccin de los nuevos funcionarios.
Ser impartidos a los terceros, cuando exista una relacin contractual con stos.
Ser constantemente revisados y actualizados.
Contar con los mecanismos de evaluacin de los resultados obtenidos para determinar la eficacia de los
programas y el alcance de los objetivos propuestos.
36
Referencias bibliogrficas
-
BCBS (2003) Basel Committee on Banking Supervision: Sound practices for the
management and supervision of operational risk y versin en espaol: Buenas
prcticas para la gestin y supervisin del riesgo operativo, Febrero.
FSI Connect.
37
Power, M (2003): The invention of operational Risk, ESCR Center for analysis of
risk and regulation, London School of Economics Discussion Paper 16, June.
38