ANÁLISIS EMPÍRICO DEL RIESGO OPERACIONAL EN

Anuncio
ANÁLISIS EMPÍRICO DEL RIESGO OPERACIONAL EN ENTIDADES
FINANCIERAS: IMPORTANCIA DEL RIESGO OPERATIVO
Cristina Gutiérrez López
Universidad de León
cristina.gutierrez.lopez@unileon.es
Tfno: 987.29.10.00 Ext 54.72
Fax: 987.29.14.54
Área temática: B) Valoración y finanzas
Palabras clave: entidades financieras, riesgo operacional, riesgo operativo, procesos,
Basilea II
Análisis empírico del riesgo operacional en entidades financieras: importancia
del riesgo operativo
Resumen
El reciente interés por el riesgo operacional que afrontan las entidades financieras se
ha acentuado con el Nuevo Acuerdo de Capitales (Basilea II), que exige capital para
su cobertura y el diseño de métodos para su gestión. Entre las categorías incluidas en
él se encuentran los riesgos por fallos en procesos operativos característicos de la
banca al detalle, correspondientes al tradicional riesgo operativo. A través de un
análisis empírico se comprueba su importancia tanto por la frecuencia de su aparición
como por las pérdidas que genera en una entidad española de dimensión media.
También se proponen herramientas para su control.
1. El riesgo en las entidades financieras
Toda actividad empresarial ocasiona un conjunto de incertidumbres que las empresas
asumen voluntaria o involuntariamente para conseguir sus objetivos. En cualquier
caso, se enfrentan a riesgos de negocio (variaciones en el volumen de ventas e
ingresos) y a riesgos financieros, tanto explícitos (de mercado) como implícitos (de
crédito y de liquidez). Además, es posible que por la propia gestión empresarial y las
actividades típicas de la entidad surjan otros peligros conocidos como riesgo
operacional.
Esta variada tipología de riesgos es especialmente significativa si hablamos de
entidades financieras. Así, las entidades de crédito, agentes protagonistas de la
intermediación financiera, afrontan una amplia gama de riesgos asociados a sus
productos de activo y también de forma inconsciente por factores tan diversos como el
personal, los procesos establecidos, sistemas instalados o factores externos.
El interés se ha centrado tradicionalmente en los riesgos de crédito y mercado, dentro
de los cuales pueden ubicarse finalmente todas las demás incertidumbres en estas
empresas (falta de liquidez, variaciones inesperadas de tipos de interés, alteración del
precio de las acciones, etc.). El riesgo de crédito considera la posibilidad de que la
contrapartida de una operación de activo (préstamo, crédito, leasing, renting, etc.) no
asuma sus obligaciones al devolver la financiación concedida, ya sea en tiempo, en
forma, o por ambos motivos; se refiere pues al concepto de solvencia. El riesgo de
mercado, por su parte, es la probabilidad de sufrir los cambios adversos en el precio
de un instrumento, normalmente debido a la volatilidad y liquidez del mercado. Según
el impacto financiero, puede distinguirse entre riesgo de tipo de interés, tipo de
cambio, mercancías y acciones. Ambas categorías están interrelacionadas y sus
límites, en ocasiones, se solapan. Así, ante fluctuaciones en los tipos de mercado
(subida de los tipos de interés), se eleva la exposición al riesgo crediticio, al dificultarse
la devolución de los intereses.
Estos dos riesgos, conocidos habitualmente como riesgos financieros, han sido y
continúan siendo muy estudiados por la economía financiera, que ha pasado de utilizar
métodos estadísticos a desarrollar herramientas de inteligencia artificial, y ha
empleado modelos de valoración a mercado (cálculo del valor en riesgo), trasladando
de unos riesgos a otros los enfoques de medición y gestión. Además, la exigencia de
mantener recursos propios para su cobertura ha apoyado este proceso continuo de
evaluación y cuantificación, desde la publicación del Acuerdo Internacional de
Medición y Estándares de Capital en 1988, centrado en riesgos de crédito, y su
modificación más significativa (1996), dedicada a riesgos de mercado.
Sin embargo, los cambios regulatorios recientes y los problemas financieros de
algunas entidades, de especial trascendencia mediática1, han desviado la atención
hacia riesgos operacionales, protagonistas de los esfuerzos de gestión más
destacados en la actualidad.
2. El riesgo operacional
Llegar a un consenso sobre qué se entiende por riesgo operacional no ha sido fácil2.
Finalmente, su definición por exclusión (todo lo que no sea riesgo de crédito o
mercado) ha sido superada por la aproximación causal que el nuevo acuerdo de
Basilea (2004), Basilea I , elaboró en el segundo de los tres documentos consultivos
publicados en el proceso conducente a su redacción final. Así, riesgo operacional es
“el riesgo de pérdidas derivadas de procesos internos inadecuados o fallidos, personas
o sistemas, o de eventos externos”, incluyendo el riesgo legal pero no los riesgos
estratégico, sistemático y reputacional, así como el coste de oportunidad asociado a
los fallos operativos y las pérdidas indirectas. También se excluyen los riesgos de
modelo, negocio y las pérdidas extremas crediticias o de mercado. De esta definición
destacan varios aspectos clave:
v Se distingue entre riesgos internos o endógenos (procesos, sistemas,
personas), para los que será posible desarrollar mecanismos de gestión, y
riesgos externos, de carácter mucho más impredecible (factores ambientales
adversos, fraude externo, actos terroristas, vandalismo, etc.).
v La definición se restringe a los riesgos que se pueden medir, ya que el
objetivo es calcular el capital a mantener por riesgo (capital económico).
v Supera a los fallos operacionales del back-office (área de administración y
operaciones), o riesgo operativo, que no es sino una parte del total.
Además de esta definición, Basilea II incluye un conjunto de eventos resultantes de las
cuatro causas anteriores, así como sus efectos o consecuencias. De este modo, se
reflejan los tres elementos relacionados con las pérdidas: por qué suceden (causa),
qué ocurre (evento) y cuál es su impacto (efecto) (Cuadro 1).
1
Casos como Bankers Trust (1994), Barings (1995), Daiwa (1995), Deutsche Morgan Grenfell (1995),
Sumimoto (1996), Natwest (1997), Enron (2001), Allied Irish Bank (2002) o Parmalat (2003).
2
La literatura dedicada al riesgo operacional se centró inicialmente en el sector manufacturero (ingeniería,
agencias de defensa y agencias espaciales en los años 50), trasladándose al sector financiero a partir de
los años 90. En un principio se consideró como la relación entre las actividades de negocio y la variación
en los resultados de la empresa. Posteriormente se asoció a pequeños, predecibles y frecuentes eventos
(errores de procesamiento, fallos técnicos del sistema, etc.), además de una gran pérdida que acontece
una única vez cada 5 ó 10 años. También se ha definido como el riesgo surgido en las operaciones, o
como todo riesgo no cuantificable al que se enfrenta una entidad de crédito. Finalmente, en sentido
amplio, se catalogó como toda incertidumbre no calificada como de crédito o mercado, y en sentido
estricto, como una amplia tipología de aspectos asociados a recursos humanos, sistemas, procedimientos
o documentos.
Cuadro 1. Clasificación del Riesgo Operacional
CAUSA
v PERSONAS
Espionaje industrial
Uso de información privilegiada
v SISTEMAS
Fallos en hardware/software
Interrupción de sistemas
Fraude de empleados
Asesoramiento deficiente a clientes
Prácticas comerciales inapropiadas
Virus informático
Fallos en telecomunicaciones
No disponibilidad de datos
v CONTROLES
Incorrecta captura-registro de operaciones
Error en liquidación de operaciones
v EVENTOS EXTERNOS
Error de proveedores
Fallos en externalización de actividades
Pérdida de activos del cliente
Falta de separación de funciones
Actividades delictivas externas
Desastres naturales
EVENTOS
EFECTOS
I. Quebrantos
II. Pérdida de recurso
III. Restitución
IV. Contingencias legales
V. Regulatorio y normativo
VI. Pérdidas o daños en activos
1. Fraude interno
2. Fraude externo
3. Relaciones laborales y seguridad en el
puesto de trabajo
4. Clientes, productos y prácticas
empresariales
5. Daños a activos materiales
6. Incidencias en el negocio y fallos en los
sistemas
7. Ejecución, entrega y gestión de procesos
A partir de las categorías anteriores, es preciso diseñar un sistema de identificación,
medición y gestión de riesgos operacionales 3. Para ello, el punto de partida será la
construcción de una base de datos interna que permita definir un perfil de riesgos.
Incluirá información al menos sobre el tipo de evento y descripción del mismo,
cantidad de la pérdida, unidad de negocio correspondiente, fecha de la pérdida y del
momento en que se tuvo constancia de ella, acciones de gestión emprendidas y
posibles recuperaciones. Además, es conveniente informar sobre aquellos errores que
se advirtieron justo a tiempo para evitar su coste (near-misses), ya que serán un
indicador de pérdidas futuras. En los casos en que las pérdidas ocurran de forma poco
frecuente, la escasez de datos hará conveniente acudir a bases de datos externas
3
Esto es especialmente difícil por las características distintivas de este riesgo: i) se relaciona más con los
procesos que con el producto, ii) no siempre se basa en transacciones, ni aparece en cuentas de
resultados, ni se audita, iii) las pérdidas históricas no son un referente para futuras pérdidas, lo que
dificulta el diseño de escenarios, iv) es difícil especificar un horizonte temporal, dependiendo de la
frecuencia de la pérdida, v) el efecto de la diversificación es incierto: ante la confluencia de varios riesgos
operacionales, las pérdidas pueden multiplicarse, vi) los riesgos de crédito o mercado deben ser
asumidos para lograr beneficios, no así el operacional, vii) su componente subjetivo es mucho más
destacado que en otros riesgos, especialmente por la ausencia de datos en aquellos eventos que tienen
lugar de forma esporádica.
(información del sector) o participar en consorcios, en los que las entidades asociadas
comparten información.
Del análisis de esta base de datos se concluirá cuáles son los elementos de riesgo
operacional más significativos y, por tanto, aquellos sobre los que la entidad financiera
debe centrar sus esfuerzos de control o, en caso de que esto no sea posible,
transferirlos contratando una póliza de seguros o diseñando un plan de contingencias
que se ponga en marcha ante sucesos que pongan en peligro la continuidad de la
actividad.
Todo ello es imprescindible para poner en marcha un sistema avanzado acorde a las
exigencias del Acuerdo de Basilea II que se describe a continuación.
3. El riesgo operacional en Basilea II
Dado que el fin de la supervisión bancaria no es evitar el fracaso de las entidades a
nivel individual, sino garantizar la estabilidad del sistema, se precisa de un esquema
internacional que suministre reglas comunes y homogéneas. El Comité de Supervisión
Bancaria (Basel Comittee on Banking Supervisión – BCBS), uno de los foros
permanentes del Banco de Pagos Internacionales, es el encargado de garantizar una
supervisión eficaz de la actividad bancaria mundial y de mejorar las normas de
solvencia, reforzando así la estabilidad bancaria internacional.
En 1988 elaboró el Acuerdo de Capitales de Basilea. Su objetivo era lograr la
convergencia internacional en el nivel de adecuación de capital de los bancos. Para
ello, requería mantener un capital mínimo del 8% de los activos ajustados al riesgo,
situando esa cifra en dos bandas y considerando sólo riesgos de crédito.
La importancia de la innovación financiera y los avances que la banca había
desarrollado en labores de gestión motivaron sucesivas modificaciones, destacando la
enmienda de 1996, que incorporó el tratamiento de los riesgos de mercado. En este
caso, era posible que las entidades aplicaran no sólo un modelo estándar sino también
sus propios modelos de gestión, elaborados en torno al cálculo del valor en riesgo.
Dada la continuidad de la regulación bancaria internacional y su necesaria adaptación
a las condiciones del sector, el Acuerdo pronto se quedó obsoleto. En 1999 el Comité
comenzó a trabajar en su revisión a través de un proceso de consultas con la industria
y los supervisores regionales y nacionales. El camino que ha llevado al Nuevo
Acuerdo, Basilea II, se vertebra a través de sucesivos documentos consultivos (en
junio de 1999, enero de 2001, abril de 2003) hasta su publicación, el 26 de junio de
2004.
Basilea II es un acuerdo de notable complejidad. Se estructura en tres pilares
dedicados respectivamente al cálculo del capital mínimo, su revisión por parte del
supervisor y la disciplina de mercado.
En el pilar 1, el capital depende desde ahora de la consideración de las tres principales
tipologías de riesgo: crédito, mercado y operacional. El tratamiento del riesgo de
mercado no se altera, en el riesgo de crédito se incorporan los modelos internos, y el
riesgo operacional se convierte en la gran novedad. En todos los casos, para utilizar
modelos propios, las entidades deberán verificar ciertos requisitos cuantitativos y/o
cualitativos. Se espera que el capital requerido en ese caso sea inferior al motivado
por los enfoques estándar.
El pilar 2 es el complemento necesario del pilar 1. Esto significa que el cálculo anterior
es una cifra mínima que el supervisor comprobará si corresponde al perfil de riesgos
del banco. El papel discrecional de éste adquiere pues notable importancia. El pilar 3
se refiere al suministro y transparencia informativa, bajo el supuesto de que inducirá a
las entidades a adoptar políticas más seguras.
La entrada en vigor de Basilea, a partir de 2007, es dispar para los distintos modelos,
en función de la complejidad de éstos. Además, los Acuerdos de Basilea no son
obligatorios en origen, ya que el Banco de Pagos no tiene fuerza legal, pero acaban
siéndolo dada la participación de los reguladores en su elaboración y su final
trasposición a las normativas nacionales, en el caso español, a través de la normativa
europea. La directiva bancaria consolidada (2000/12) y la directiva relativa a la
adecuación de capital de empresas de inversión y entidades de crédito (93/6) han sido
modificadas por las directivas 2006/48 y 2006/49 respectivamente. La diferencia es
que en el caso europeo, bajo el principio de que idénticas actividades deben
someterse a las mismas normas, el ámbito de aplicación incluye a entidades de crédito
y empresas de inversión.
Los efectos del Nuevo Acuerdo para las entidades financieras se dejan notar en
términos de esfuerzos de gestión y desarrollo de modelos propios. Obviamente, las
posibilidades dependerán de la dimensión y de los recursos disponibles, tecnológicos
y humanos. En cuanto al impacto sobre el sistema, la cuestión es si se acentuará la
prociclicidad, ya que existe una relación negativa entre el ciclo económico y el capital
mantenido. Así, en épocas de expansión económica la menor percepción del riesgo
eleva la exposición, que luego se reduce ante la actitud pesimista de las fases
recesivas. Si el capital es sensible al riesgo, este efecto se destacará, exigiendo más
capital del necesario en las recesiones, con la consiguiente restricción del crédito y
fomento así del ciclo económico, y menos del preciso en las expansiones.
En lo que al riesgo operacional respecta, por primera vez Basilea II reconoce su
importancia: tiene un coste y se exige capital para su cobertura (pilar 1), el regulador
controla la gestión llevada a cabo por la entidad (pilar 2) y tiene importantes
consecuencias sobre la reputación (pilar 3).
El pilar 1 recoge tres métodos de cálculo:
§
El método del indicador básico estima que existe una relación lineal entre el
riesgo y un indicador de la exposición a éste, exigiendo capital por el 15% de la
media de ingresos brutos anuales de los últimos tres años.
§
El método estándar subdivide la actividad de un banco en un conjunto de
líneas de negocio estandarizadas y con cargas de capital diversas a las que
una entidad deberá ajustarse4.
§
Finalmente, los métodos de medición avanzada o modelos internos combinan
el empleo de datos internos, externos, análisis de escenarios y factores del
entorno de negocio y del control interno para definir un sistema de gestión más
sofisticado y adaptado a esa entidad concreta. En este caso, es posible
además reconocer la mitigación del riesgo a través de su transferencia con
seguros.
Basilea II recoge expresamente dos modelos internos alternativos: en primer
lugar, el método de medición interno es similar al enfoque para riesgos de
crédito, combinando categorías de riesgo y líneas de negocio para definir la
pérdida esperada e inesperada. Por otro lado, el enfoque de distribución de
pérdidas estima la distribución de pérdidas operacionales para cada
combinación
línea/evento,
integrándolas
posteriormente
mediante
una
simulación de Montecarlo.
En ambos casos, es posible aplicar una metodología complementaria
considerada como una de las mejores prácticas: el scorecard5.
4
Dada la notable simplicidad de estos enfoques frente a los modelos internos, se cuestiona la inclusión de
las tres modalidades, proponiendo i) eliminar el método del indicador básico, o ii) suprimir el método
estándar, aplicando el método del indicador básico a aquella parte del indicador de líneas de negocio no
cubiertas por el método avanzado (Nash, 2003).
5
El Comité de Basilea hizo alusión a este enfoque en sus documentos de 2001 (BCBS 2001b, 2001c),
pero no en el acuerdo final. Se trata de una metodología de medición del riesgo operacional y cálculo del
capital que pretende valorar diversos indicadores y controles de riesgo, convirtiéndose en algo más que
Se anima al desarrollo de metodologías propias y se permite la combinación de varios
esquemas. No obstante, también se exigen ciertos requisitos para la aplicación de
todos los modelos, excepto el indicador básico. En resumen, podemos afirmar que los
modelos avanzan en complejidad y sensibilidad al riesgo.
4. Análisis empírico: importancia del riesgo de procesos
Según datos de la Asociación de Gestión del Riesgo (Risk Management Association)
en noviembre de 2002, la principal causa de riesgo operacional en bancos se debe a
procesos internos (64%), seguido de personas (25%), eventos externos (7%) y
sistemas (2%).
Antes de que el Comité de Supervisión Bancaria de Basilea se planteara incluir el
riesgo operacional para calcular la exigencia de fondos propios a las entidades
financieras, elaboró varios estudios de impacto (QIS - Quantitative Impact Study) a fin
de definir el panorama de las líneas de negocio y tipo de eventos donde se
presentaban las pérdidas más frecuentes y/o más cuantiosas.
Cuadro 2. Número /Cuantía de pérdidas (%)
Finanzas
corporativas
Negociación
y ventas
Líneas de negocio
1998-2000
20016
Número Cuantía Número Cuantía
0,29%
7,43%
0,89%
3,51%
4,87%
19,11%
10,86%
14,92%
Banca
minorista
67,43%
39,41%
61,10%
29,36%
Banca
comercial
13,21%
22,91%
7,22%
28,95%
6,96%
4,79%
3,92%
3,25%
Servicios de
agencia
1,75%
2,16%
3,15%
4,25%
Administración
de activos
1,57%
2,09%
2,35%
2,78%
Intermediación
minorista
3,91%
2,09%
6,91%
11,72%
Liquidación
y pagos
Fraude
interno
Fraude
externo
Relaciones
laborales y
seguridad en
el puesto de
trabajo
Clientes,
productos y
prácticas
empresariales
Daños a
activos
materiales
Incidencias
en el negocio
y fallos en los
sistemas
Ejecución,
entrega y
gestión de
procesos
Eventos operacionales
1998-2000
2001
Número Cuantía Número Cuantía
2,72%
10,66%
3,31%
7,23%
36,39%
20,32%
42,39%
15,54%
2,71%
2,92%
8,52%
6,76%
6,39%
27,51%
7,17%
13,14%
4,48%
3,02%
1,40%
24,29%
5,32%
0,82%
1,14%
2,73%
41,99%
34,76%
35,07%
29,41%
un mero listado de indicadores o informes de riesgo. Es también un modelo estructural de indicadores
clave de riesgo que cubre todos los procesos de negocio del banco, y se utiliza como herramienta de
seguimiento del riesgo operacional.
6
Los porcentajes no suman 100 en el caso del estudio elaborado a partir de los datos recogidos en 2001,
ya que el Comité deja abierta la posibilidad a otras líneas de negocio y otros eventos no incluidos en los
predefinidos en el cuadro.
Así, a través de encuestas, el QIS-2 y su ampliación posterior recogieron datos
obtenidos en 1998-2000 y 2001 de 30 y 89 bancos, respectivamente7, como resume el
cuadro 2. De los resultados anteriores podemos extraer las siguientes conclusiones:
v La línea de negocios donde se producen eventos operacionales con mayor
frecuencia es la banca minorista, superando el 60% del total en ambos
estudios. También es el área en que las pérdidas son más cuantiosas (supone
el 39,41% y 29,36% del total), seguida de cerca por la banca comercial
(22,91% y 28,95%). De acuerdo a la definición del Comité, el área de banca
minorista incluye las actividades más tradicionales de ésta (prestamos y
depósitos de clientes minoristas, servicios bancarios, fideicomisos y
testamentarias), así como banca privada y servicios de tarjetas.
v Los eventos de riesgo operacional más frecuentes están relacionados con
fraude externo y fallos en los procesos, alternando el primer puesto en los dos
estudios realizados, y alcanzando entre ambos casi el 80% del total de errores
asumidos. En cuanto al impacto, las mayores pérdidas se derivan de errores
en procesos en ambos casos.
Para el Comité, los errores en procesos (fallos en la ejecución, entrega y gestión de
procesos) surgen en el procesamiento de operaciones o en la gestión de procesos, así
como de relaciones con contrapartes comerciales y proveedores: errores en la
recepción, ejecución y mantenimiento de operaciones (actividades de front-office,
errores en la introducción de datos, incumplimiento de plazos, errores contables, fallos
en la gestión de colaterales, etc.), seguimiento y comunicación de informes (incumplir
la obligación de informar, inexactitud de informes externos que generan pérdidas),
admisión de clientes y documentación (falta de autorizaciones, inexistencia de
documentos jurídicos o que éstos sean incompletos), gestión de cuentas de clientes
(acceso no autorizado a cuentas, pérdidas de activos de clientes por negligencia),
contrapartidas comerciales, y distribuidores y proveedores.
Estos resultados ofrecen una idea de la situación de los bancos internacionales previa
a Basilea II. Es interesante comprobar la posición relativa de las entidades financieras
españolas, que nos permitirá concretar el ámbito en que deben centrar sus labores de
gestión.
Por ello, se han analizado los datos de pérdidas operacionales facilitados por una
entidad financiera, obtenidos durante 2004 y 2005 a través de su base de datos. La
información facilitada corresponde a seis sucursales de variado tamaño y
7
El Comité ha realizado posteriores estudios de impacto, no específicos sobre riesgo operacional: QIS-3
(finales de 2002), QIS-4 (durante 2004 y la primera mitad de 2005) y QIS-5 (octubre-diciembre 2005), a fin
de evaluar el impacto de la carga de capital de Basilea II; estos análisis no hacen referencia a la
distribución d e riesgo operacional por tipos de evento y líneas de negocio.
características (cuadro 3) centradas en la banca minorista, ya que ésta es la línea de
negocio que ocasiona los principales riesgos operacionales y representa el perfil más
habitual en las entidades de crédito españolas.
Cuadro 3. Muestra de oficinas
Empleados
Clientes
971
Pasivo
(miles €)
2.601,70
Activo
(miles €)
16.156,33
Productos parafinancieros
(miles €)
1.353,36
Mínimo
3
Máximo
14
18.235
121.328,46
158.297,16
39.331,32
8
En total se han registrado 198 eventos que han generado un volumen de pérdidas total
de 42.845,27 €, antes de posibles recuperaciones. Siguiendo el esquema de siete
eventos definido antes, los resultados sobre la cuantía y frecuencia de las pérdidas se
reparten como recoge el cuadro 4:
Cuadro 4. Distribución de eventos operacionales
Fraude interno
Fraude externo
Relaciones laborales y
seguridad en el puesto
de trabajo
Clientes, productos y
prácticas empresariales
Daños a activos
materiales
Incidencias en el
negocio y fallos en los
sistemas
Ejecución, entrega y
gestión de procesos
Total
2004
3,06
Frecuencia (%)
2005
5,00
Total
4,04
2004
7,00
Cuantía (%)
2005
1,07
-
-
-
-
-
1,02
5,00
3,03
8,62
5,89
3,86
4,08
11,00
7,57
3,41
36,55
21,86
7,14
7,00
7,07
0,59
2,83
2,04
84,69
72,00
78,28
88,13
53,65
64,23
100
100
100
100
100
100
Total
8,00
-
De este modo, en las seis oficinas analizadas, los principales riesgos se deben a fallos
en los procesos operativos llevados a cabo9. En concreto, 155 eventos que han
supuesto un volumen total de pérdidas brutas de 57.520,74 euros.
Sin embargo, conviene matizar que, en algunos casos, es posible recuperar el importe
de la pérdida inicial (pérdida bruta), como ocurre en el caso de los errores en sistemas
o en procesos. En concreto, en 12 ocasiones durante el período considerado se
8
Los productos parafinancieros o parabancarios actúan como productos financieros, pero no lo son
porque no forman parte del balance de la entidad financiera. Es el caso de fondos de inversión, planes de
pensiones, seguros de vida y ahorro.
9
No sólo la aparición de los distintos tipos de riesgo es diferente. Según Gustafsson et al. (2005), la
información facilitada sobre ellos también es distinta. En opinión del autor, la categoría “ejecución, entrega
y gestión de procesos” es aquella con menos posibilidades de darse a conocer, mientras que “clientes,
productos y fallo de sistemas” tiene una probabilidad muy superior.
recuperó la pérdida surgida por un fallo de procesos, siendo finalmente nula la pérdida
neta.
Analizando los riesgos de procesos de forma más desagregada, la mayor parte de
ellos se debe a fallos operativos (recepción, ejecución y mantenimiento de
operaciones), lo que justifica su análisis particular.
Sólo tres de los seis tipos de riesgos de proceso definidos se han presentado en algún
momento, no habiéndose recogido en la base de datos fallos en el seguimiento y
comunicación de informes, errores debidos a contrapartes comerciales, ni por
distribuidores y proveedores. La distribución porcentual en términos de frecuencia y
severidad figura en el cuadro 5.
Cuadro 5. Distribución de riesgos en procesos (%)
Frecuencia
Severidad
2004
2005
2004
2005
Recepción, ejecución y mantenimiento de operaciones 92,77
65,28
88,41
61,99
-
4,17
-
11,80
Gestión de cuentas de clientes
7,23
30,56
11,59
26,21
Total riesgo procesos
100
100
100
100
Admisión de clientes y documentación
A la vista de las cifras anteriores, centrados en los fallos operativos, ya que han
demostrado ser los más habituales, copando siempre cifras en torno al 90% de los
fallos totales en procesos, además de suponer cuantiosas pérdidas (superiores al
60%), es posible analizar su correlación con el resto de indicadores 10.
En primer lugar, es interesante comprobar la correlación entre los fallos operativos y
otro tipo de riesgos operacionales. En este punto, lógicamente se han considerado
sólo aquellos eventos que han ocurrido durante los años de estudio.
Cuadro 6. Fallos operativos: correlaciones (I)
Fraude externo
Defectos de producto
Error asesoramiento a clientes
Daño a activos materiales
Sistemas
Error formalización documentos
Gestión cuentas de clientes
10
General
2004 2005
48,29 55,11
57,04
27,65 48,55
58,01 62,30
52,35 64,20
55,51
68,58 65,83
Para ello se ha trabajado con el programa Butterfly 3.1.
Positiva
2004
2005
42,90 34,06
22,80
17,77 25,60
48,44 38,29
50,08 64,20
32,16
44,61 29,87
Negativa
2004
2005
4,39 21,05
34,25
9,88 22,95
9,57 24,01
2,27
0
21,35
23,97 35,96
Por tanto, la mayor vinculación general se produce con otros fallos en procesos (error
en la gestión de cuentas de clientes: indemnización en gestión de recibos, cheques,
pagarés, transferencias, seguros sociales o impuestos). La correlación positiva más
significativa se da con fallos en sistemas (fallos informáticos, cajero automático sin
fondos, etc.) y la negativa con los fallos en procesos. Además, en 2005 el nivel de
correlaciones negativas aumenta considerablemente respecto al año anterior.
En segundo lugar, se analiza la correlación con las variables indicativas de las
características de las sucursales:
Cuadro 7. Fallos operativos: correlaciones (II)
Empleados
Clientes
Pasivo
Activo
Parafinancieros
General
2004
2005
89,27 50,18
81,76 57,52
86,55 47,31
63,95 56,97
91,04 45,57
Positiva
2004
2005
89,27 50,18
81,76 57,52
86,55 47,31
32,75 40,49
91,04 45,57
Negativa
2004
2005
0
0
0
0
0
0
31,20 16,48
0
0
A la vista de los datos, existe una relación positiva muy notable entre el hecho de que
se produzca un fallo operativo y el número de trabajadores, número de clientes,
volumen de productos parafinancieros y volumen de pasivos bancarios (depósitos y
cuentas de clientes), especialmente de acuerdo a los datos de 2004, ya que los
valores se sitúan siempre por encima de 80 sobre 100 puntos. Sin embargo, la
correlación no es tan elevada con el volumen de activos, siendo ésta además
parcialmente positiva y negativa, de modo que ambas variables se mueven tanto en la
misma dirección como en sentido contrario.
En este sentido, y para apoyar el esquema anterior, es interesante observar la relación
existente entre el volumen de pérdidas operativas en cada oficina, a fin de evaluar su
posible relación con las dimensiones de ésta, resultando los datos del cuadro 8 (2004)
y cuadro 9 (2005).
Cuadro 8. Riesgo operativo - Ratios (2004)
Pérdida unitaria (€/evento)
Pérdidas brutas/trabajadores
Pérdidas brutas/clientes
Pérdidas brutas/activo (%)
Pérdidas brutas/pasivo (%)
Pérdidas brutas/parafin. (%)
OF1
401,4348
602,1529
0,7196
0,0085
0,0092
0,0223
OF2
24,1364
24,1364
0,0185
0,0003
0,0003
0,0012
OF3
65,5000
65,5000
0,0656
0,0013
0,0028
0,0031
OF4
87,6593
131,4890
0,1282
0,0023
0,0032
0,0037
OF5
86,2688
138,0300
0,1119
0,0015
0,0066
0,0055
OF6
569,0800
758,7733
2,3443
0,0875
0,0106
0,1682
Cuadro 9. Riesgo operativo - Ratios (2005)
Pérdida unitaria (€/evento)
Pérdidas brutas/trabajadores
Pérdidas brutas/clientes
Pérdidas brutas/activo (%)
Pérdidas brutas/pasivo (%)
Pérdidas brutas/parafin. (%)
OF1
387,9289
249,3829
0,3216
0,0029
0,0035
0,0089
OF2
53,5000
15,2857
0,0129
0,0001
0,0002
0,0007
OF3
84,8393
181,7986
0,1778
0,0065
0,0035
0,0070
OF4
84,6755
93,1430
0,0873
0,0014
0,0014
0,0024
OF5
169,3100
84,6550
0,0673
0,0035
0,0009
0,0028
OF6
116
116
0,2992
0,0011
0,0116
0,0204
De los cuadros anteriores se deducen notables diferencias en la eficiencia operativa
de las seis oficinas incluidas en el estudio, ya que los ratios difieren tanto entre las
oficinas como para los dos años del estudio.
A nivel de oficinas, la segunda es la que afronta menos pérdidas operativas y alcanza
los mejores resultados en los dos años considerados. En el extremo opuesto, las
oficinas 1 y 6 muestran los peores datos. La primera de ellas es la que cuenta con
mayor número de empleados (14) y la segunda presenta la situación opuesta (3). La
primera arroja también importantes cifras en su volumen de activos, pasivos y
productos parafinancieros, mientras que la última es la de menor volumen en todas las
variables analizadas, aunque en 2005 sus datos mejoran notablemente. Por tanto, en
contra de lo esperado y según el estudio, el tamaño de la oficina no define el volumen
de pérdidas operativas asumidas por cada sucursal.
Analizando la evolución temporal de las seis oficinas, las conclusiones son diversas.
En la mitad de los casos, la situación es peor (oficinas 2, 3 y 5), mejorando en la mitad
restante. Cabe preguntarse si el incremento en el volumen de pérdidas es real u
obedece sólo a cuestiones de registro, tal que el establecimiento y consolidación de la
base de datos haya propiciado una consideración más cuidada de las pérdidas
ocurridas en 2005, de modo que éstas se hayan contabilizado en mayor medida que el
año anterior, aunque su aparición no sea necesariamente más frecuente.
5. Gestión de fallos en procesos
La gestión de riesgos operacionales implica un conjunto de retos a los que las
entidades deberán dar respuesta si quieren ajustarse a Basilea II, debiendo proceder
de acuerdo a la siguiente secuencia:
§
Identificación, de especial dificultad ante la falta de reflejo contable de la
mayoría de eventos operacionales. Requerirá la puesta en marcha de bases de
datos y, por tanto, un importante esfuerzo tecnológico y humano.
§
11
Categorización de eventos operacionales, según su frecuencia y cuantía 11.
Así, la atención se centra en los riesgos medios. Aquellos eventos de baja frecuencia y alta severidad o
cuantía deben transferirse a terceros, y los más habituales y de poca magnitud se controlarán
§
Definición de un mapa de riesgos que permita centrar la atención en los
eventos más significativos.
§
Emprender acciones de gestión: si los riesgos son de poca importancia se
consideran un coste de negocio y su impacto se habrá incluido en el precio de
los productos bancarios. Si pueden arrojar pérdidas muy elevadas, será
conveniente asegurarlos. Si son muy frecuentes, como ocurre con los riesgos
en procesos, debe reducirse su aparición. El papel del control interno será
determinante en este sentido12.
§
Desarrollar mecanismos que permitan avanzar hacia la aplicación de
metodologías estándar o avanzadas según Basilea. En el primer caso, exige un
esfuerzo de encaje entre la estructura funcional de la entidad y las líneas de
negocio del Acuerdo. En el segundo, requiere un paso más a través de
sofisticadas herramientas que combinen datos históricos de pérdidas
operacionales, datos externos del sector, diseño de escenarios y, por tanto,
elementos prospectivos y factores ambientales, cuantitativos y cualitativos.
Todo ello podrá tenerse en cuenta con el apoyo de indicadores de riesgos y/o
el establecimiento de relaciones causales.
En el caso de los riesgos en procesos, KÜHNERT y STUBBS (2001) establecen sus
principales características: alta frecuencia, severidad media, impacto en términos de
pagos por compensación o baja de elementos en el activo de la entidad, siendo sus
medidas de mitigación mejorar los sistemas de tecnologías de información y los
sistemas de seguridad.
Así pues, en la banca al detalle los fallos en procesos se caracterizan por su alta
probabilidad y suponen pérdidas individuales de poca cuantía 13. En ocasiones se
asocian con la pérdida esperada o media de la distribución estadística de pérdidas de
internamente. También es conveniente modelizar la distribución de pérdidas: para la frecuencia suele
emplearse una distribución de Poisson y para la cuantía distribuciones continuas (weibull, lognormal,
exponencial, gamma, pareto, pareto generalizada, burr, loglosítica, uniforme, exponencial, binomial y
beta) (Álvarez, 2004; de Fontnouvelle et al., 2004; Chapelle et al., 2004, Allen et al., 2004).
12
Entre las medidas de control interno aplicables destaca la separación de tareas, basada en el principio
de especialización y la estructura de la cadena de valor de la organización, así como los intereses
contrapuestos de los trabajadores. Se segregan las actividades de autorización, salvaguarda, registro y
ejecución, lo que implica la separación entre i) front y back -office, ii) back/front-office frente a contabilidad
y control, iii) mantenimiento de datos estadísticos frente a proceso de transacciones (Van den Brink, 2002;
FDIC, 2003).
13
Esta afirmación es genérica, ya que Alexander (2003) observa que el comportamiento de los riesgos de
procesos diverge según la línea de negocios considerada: se trata de eventos de alta frecuencia-alta
severidad en finanzas corporativas, alta frecuencia-baja severidad en las áreas de negociación y ventas y
banca minorista, alta frecuencia-baja severidad en liquidación y pagos, y de frecuencia media-alta
severidad en el resto de casos (banca comercial, agencia y custodia, gestión de activos e intermediación
minorista).
la entidad. Por ello, pueden cubrirse contablemente a través de provisiones 14,
suponiendo un coste habitual para la entidad y considerándose al elaborar el
presupuesto, ya que los gestores esperan que esos fallos ocurran y los aceptan como
parte del negocio. Se incluyen pues en el precio de los productos y servicios
(comisiones, gastos y tipos cobrados). Sin embargo, su impacto final, debido a su
elevada frecuencia, es considerable, por lo que requieren un esfuerzo de gestión.
El primer objetivo es que estén documentados adecuadamente para permitir su
tratamiento con herramientas cuantitativas, siendo posible generar una distribución
estadística de pérdidas.
A continuación, el análisis de procesos requerirá una auto-evaluación, así como la
definición de indicadores y umbrales de pérdidas, pudiendo avanzar posteriormente
hacia el diseño de redes bayesianas que permitan observar las relaciones causales
entre los eventos de riesgo, y entre éstos y sus consecuencias.
El cuadro 10 recoge un conjunto de indicadores para medir el riesgo en los procesos
operativos tanto con carácter general como específicos para actividades diversas. Una
vez obtenidos esos valores, deberá vigilarse que se sitúen dentro de niveles
aceptables. Para ello es útil diseñar gráficos de control tomados del control estadístico
de procesos, que definirán si el proceso está o no bajo control. En la segunda opción,
la entidad recibe una señal de alarma clara que le invita a mejorar el control sobre el
factor analizado.
En todo caso, será necesario desarrollar un esquema integral de gestión de riesgos
que ocasionará un importante esfuerzo en términos de recursos humanos y
tecnológicos. El diseño de una adecuada base de datos no es un problema menor.
Tampoco lo es contar con la colaboración del personal de la entidad, que debe
sentirse parte de un proyecto global en el que su labor no está siendo cuestionada
sino que se valora para mejorar cómo se hacen las cosas.
14
Desde este punto de vista, el capital debería destinarse únicamente a la cobertura de pérdidas
inesperadas. Además, éste no puede tomars e como referencia en igual medida para los riesgos de
crédito y mercado, o para los operacionales. Así, mientras que en caso de acontecer las pérdidas tanto
esperadas como inesperadas por riesgos de crédito o mercado, esto llevaría teóricamente al agotamiento
del capital y la desaparición de la entidad, en el caso del riesgo operacional, el capital se acabaría pero el
negocio, en cierto modo, persistiría. Por eso, pérdidas por riesgos operacionales no están directamente
relacionadas con el capital, y la exigencia de éste se entiende más como una coartada de los bancos para
no afrontar las medidas de prevención o gestión apropiadas. De hecho, parece razonable que el
desarrollo de sistemas y controles seguros pueda ser suficiente sin necesidad de recurrir a capital
adicional. La opinión generalizada es que la estimación de una carga de capital por riesgo operacional
viene a suplir los cambios propuestos para el riesgo de crédito.
Cuadro 10. Indicadores de riesgo en procesos
Indicadores genéricos
15
§Volúmenes procesados
§Número de incidencias/Errores
§Partidas en investigación
§Frecuencia de los cuadres de partidas
(conciliación de cuentas)
§Cuadres entre aplicativos (en qué medida las
aplicaciones se adecúan a las tareas que
deberían realizar)
§Frecuencia de arqueos y cuadres 16
§Edad media de partidas conciliatorias
§Operaciones pendientes de liquidar (%)
§Segregación funcional
§Manualidad de los procesos
§Cruce de confirmaciones
§Contratos: - Calidad jurídica de los contratos
- Antigüedad del modelo
- Poderes de los firmantes
- Custodia del contrato
§Cumplimiento normativa bancaria
§Segregación funcional17
§Número reclamaciones de clientes
§Número de sanciones del supervisor bancario
Actividades de
back-office (área de
administración y
operaciones)
Actividades de
front-office (área
de contratación)
Indicadores específicos
Factor de riesgo
Riesgo
Indicador
Procesos actuales
pueden gestionar todos
los casos
Procesos adecuados
Procesos adecuados no
disponibles
Fallos
Incapacidad para logra
aceptación operación
Retrasos en los procesos
Proceso no disponible (fallo
de copia de seguridad) para
cerrar una operación
Fraude
Número nuevos productos
introducidos
Tiempo para confirmar
operaciones
Proceso alternativo para aprobar
operación
Puntuación
Procesos
actuales
pueden gestionar todos
los casos
Procesos adecuados
Procesos adecuados no
disponibles
Fallos
Incapacidad procesos
(escasas reuniones de
personal aprobación
préstamos)
Errores en proceso de
desembolso
Inhabilidad de los procesos
Comportamiento no
autorizado
Transacciones aprobadas/
presentadas
Tasa de error
¿Existen alternativas? (copia de
seguridad)
Puntuación auditoría
6. Conclusiones
En los últimos años, las entidades financieras han sido conscientes de que las
pérdidas más significativas sufridas por sus cuentas de resultados no procedían
necesariamente del impago de sus clientes o de cambios no deseados en el valor de
los activos, o al menos esos factores eran sólo el aspecto visible que ocultaba otro tipo
de fallos. Esas incertidumbres, de difícil medición por su variedad, carácter cualitativo
y especificidad para cada empresa, han recibido últimamente una atención especial
bajo la denominación de riesgo operacional.
15
Volumen es el número de transacciones que procesa una unidad, sin incluir horas extras y cumpliendo
todos los pasos que marcan los procedimientos (controles incluidos).
16
Son operaciones de control y comprobación de que las existencias que componen los saldos de las
cuentas son correctas, coincidiendo entre los distintos sistemas/aplicaciones. Realizar un cuadre significa
identificar las diferencias existentes, y un arqueo permitirá comprobar la existencia de inventarios físicos
de valores (caja, efectos depositados, pagarés) para verificar que coinciden con los saldos contables.
17
Tareas a valorar: Introducir datos y liberar pagos/ Realizar pagos y controlar las incidencias/Realizar
pagos y conciliar cuentas/Definir perfiles de usuario e introducirlos en sistemas/Acceder a las claves y a la
sala de comunicaciones/Aprobar préstamos y abonar los fondos en cuenta/Aprobar préstamos y firmar los
contratos/Firmar contratos con proveedores y aprobar pagos de facturas/Aprobar facturas y realizar los
pagos/Aprobar indemnizaciones a clientes y abonarlas en su cuenta/Aprobar precios
(intereses/comis iones) e introducirlos en los sistemas.
La preocupación por esta categoría es aún muy reciente y dificulta la elaboración de
conclusiones claras sobre los mejores mecanismos para facilitar su prevención y
colaborar en la mitigación de sus efectos. Sin embargo, el proceso de Basilea II ha
acelerado la preocupación de las entidades de crédito por la necesidad de poner en
marcha una unidad de gestión del riesgo operacional que siga los pasos de las
establecidas para los riesgos de crédito y mercado, en los que las empresas cuentan
con mayor experiencia.
Para ello, se precisa de un notable esfuerzo, sobre en términos de identificación de
riesgos. Por eso, es preciso distinguir entre factores endógenos y exógenos.
Asociados a los primeros, destacan los riesgos en los procesos operativos de la
entidad, cuya importancia se ha puesto de manifiesto en las páginas anteriores. Hacia
su identificación y control deben enfocarse gran parte de los esfuerzos de gestión.
Este tipo de fallos suelen ser habituales, y aunque en términos individuales no
suponen impactos muy elevadas, dada su altísima frecuencia, en total agrupan el
mayor volumen de pérdidas. El objetivo es reducir su aparición a través de su control,
algo complicado dado que este tipo de riesgos se eleva cuanto mayor es el número de
clientes, número de transacciones y volumen de operaciones.
Sin embargo, los resultados empíricos extraídos a partir de datos reales de varias
sucursales bancarias no son concluyentes. Reafirman, eso sí, la importancia de estos
riesgos en cuantía y frecuencia, pero nada definitivo concluyen sobre los mecanismos
más idóneos para su tratamiento, ya que su vinculación con otro tipo de riesgos no
arroja grandes diferencias. Podemos afirmar, no obstante, que es conveniente vigilar
los fallos acaecidos en los sistemas, ya que existe relación entre las dos categorías.
También que la dimensión de la oficina (volumen de operaciones, número de
trabajadores, etc.) puede condicionar el nivel de estas pérdidas. En este sentido, ni las
oficinas grandes ni las más pequeñas del estudio demuestran buenos niveles de
eficacia operativa, siendo las de dimensión media las que alcanzan mejores ratios de
pérdidas (es decir, más bajos).
En resumen, las limitaciones que rodean la gestión del riesgo operacional son también
las que condicionan el análisis empírico de este trabajo: los datos son escasos y muy
recientes, dificultando la amplitud del análisis e impidiendo la comparación de
resultados. Será preciso esperar al perfeccionamiento de las bases de datos y su
puesta en marcha no sólo para la red de sucursales sino también para los servicios
centrales de las entidades financieras. De igual modo, llevará años obtener
información suficiente para diseñar modelos complejos y avanzados que permitan
anticiparse adecuadamente a todos aquellos riesgos susceptibles de control.
Habrá que esperar también a observar el impacto final de la aplicación de Basilea II,
en el que aún persisten algunas cuestiones abiertas. En esa línea, es previsible que
los modelos que diseñen las entidades financieras se perfilen finalmente como los
estándares de la industria. Por el momento, la mera toma de conciencia acerca del
riesgo operacional es el primer y fundamental paso para caminar hacia su gestión
eficiente.
7. Referencias bibliográficas
AKKIZIDIS, I.S.; BOUCHEREAU, V. (2005): Guide to optimal operational risk and
Basel II. Auerbach Publications, Boca Raton FL.
ALEXANDER, C. (2003): “Statistical models of operational loss”, en ALEXANDER
(editor): Operational Risk. Regulation, analysis and management. Prentice Hall
Financial Times, London, pp. 129-170.
ALLEN, L.; BOUDOUKH, J.; SAUNDERS, A. (2004): Understanding market, credit and
operational risk: the value at risk approach. Blackwell Publishing, Oxford
ÁLVAREZ, G. (2004) [en línea]: “Operational risk quantification. Mathematical solutions
for analyzing loss data”, http://www.gloriamundi.org/picsresources/ga_1.pdf
BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (1988): “International
convergence of capital measurement and capital standards”, Bank for International
Settlements, July, Basel.
BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (1996): “Amendment to
the capital accord to incorporate market risks”, Bank for International Settlements,
January, Basel.
BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (1999): “A new capital
adequacy framework. Consultative paper, issued by the Basel Committee on Banking
Supervision. Issued for comment by 31 March 2000”, Bank for International
Settlements, June, Basel.
BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (2001a): “Basel II: the
new Basel Capital Accord – Second Consultative Paper”, Bank for International
Settlements, January, Basel.
BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (2001b): “Working paper
on the regulatory treatment of operational risk”, Bank for International Settlements,
April, Basel.
BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (2001c): “Sound practices
for the management and supervision of operational risk”, Bank for International
Settlements, December, Basel.
BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (2002): “The quantitative
impact study of operational risk: overview of individual loss data and lessons learned”,
Risk Management Group of the BCBS, January.
BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (2003a): “The loss data
collection exercise for operational risk: survey of the data collected”, Risk Management
Group of the BCBS, March.
BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (2003b): “The new Basel
Capital Accord. Consultative document”, Bank for International Settlements, April,
Basel.
BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (2003c): “Quantitative
Impact Study 3. Overview of Global Results”, May.
BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (2004): “International
convergence of capital measurement and capital standards: a revised framework”,
Bank for International Settlements, June, Basel.
BASEL COMMITTEE ON BANKING SUPERVISION (BCBS) (2006): “Results of the
fifth quantitative impact study (QIS 5)”, Bank for International Settlements, June.
CHAPELLE, A.; CRAMA, Y.; HÜBNER, G.; PETERS, J-P. (2004) [en línea]: “Basel II
and operational risk: implications for risk measurement and management in the
financial sector”. National Bank of Belgium Working Papers – Research Series núm. 51, May,
http://www.bnb.be/Sg/En/Produits/publication/working/WP51.pdf
CHORAFAS, D.N. (2004): Operational risk control with Basel II. Basic principles and
capital requirements. Elsevier Finance, Oxford.
CRUZ, M. G. (2002): Modeling, measuring and hedging operational risk. Wiley
Finance, Chichester.
DAVIS, E. (editor) (2005): Operational Risk. Practical approaches to implementation.
Risk books, London.
DE FONTNOUVELLE, P.; ROSENGREN, E.; JORDAN, J. (2004) [en línea]:
“Implications
of
alternative
operational
risk
modelling
techniques”,
papers.ssrn.com/sol3/papers.cfm?abstract_id=556823
Directiva 2006/48/CE del Parlamento Europeo y del Consejo, 14 de junio de 2006,
relativa al acceso a la actividad de las entidades de crédito y a su ejercicio.
Directiva 2006/49/CE del Parlamento Europeo y del Consejo, 14 de junio de 2006,
sobre la adecuación del capital de las empresas de inversión y las entidades de
crédito.
FEDERAL DEPOSIT INSURANCE CORPORATION (FDIC) (2003) [en línea]:
“Supervisory guidance on operational risk advanced measurement approaches for
regulatory capital”, http://www.fdic.gov/regulations/laws/publiccomments/basel/oprisk.pdf
GUSTAFSSON, J.; GUILLÉN, M.; NIELSEN, J.P.; PRITCHARD, P. (2005) [en línea]:
"Using External Data in the Calculation of Operational Risk Capital Requirements with
Particular Reference to Under-reporting”, http://ssrn.com/abstract=871181
HOFFMAN, D.G. (2002): Managing operational risk. 20 firm-wide best practice
strategies. John Wiley & Sons, New York.
KING, J.L. (2001): Operational risk. John Wiley & Sons, Chichester.
MARSHALL, C. (2001): Measuring and managing operational risks in financial
institutions. Tools, techniques and other resources. John Wiley & Sons, Singapur.
NASH, R.A. (2003): “The three pillars of operational risk”, en ALEXANDER (editor):
Operational risk. Regulation, analysis and management. Prentice Hall Financial Times,
London, pp. 3-13.
VAN DEN BRINK, G.J. (2002): Operational risk: the new challengue for banks. Ed.
Palgrave, New York.
Descargar