RIESGO OPERACIONAL: IMPLANTACIÓN DE MODELO AMA

Transcripción

1 RIESGO OPERACIONAL: IMPLANTACIÓN DE MODELO AMA NO TODO SON MATEMÁTICAS! everis.com Consulting, IT & Outsourcing Professional Services

2 La medición y gestión de Riesgo Operacional y la migración hacia modelos avanzados de medición de su capital asociado (AMA) se han convertido en los últimos tiempos en algunos de los objetivos del sector financiero internacional. Las necesidades de optimizar el consumo de capital tanto regulatorio como económico, la exigencia regulatoria y la madurez alcanzada por las bases de datos internas de eventos de riesgo operacional han propiciado este interés en la industria. Cuando se habla de implantación de modelos avanzados de riesgos, inmediatamente se piensa en la metodología de su cálculo: Si se emplea una metodología LDA (Loss Distribution Approach), que parece ser el estándar de mercado, qué modelo matemático se empleará para la distribución de pérdidas?, cómo incluir la correlación entre las diversas tipologías de riesgo operacional? y también, cómo emplear bases de datos externas de eventos o qué tipo de escenarios utilizar allí donde sea necesario? Pero la aprobación de un modelo AMA de Riesgo Operacional conlleva no solo estos modelos matemáticos: supone más un cambio de cultura interna en la entidad y la creación de todo un ecosistema que facilite la detección, prevención y gestión del RO. El objetivo de este proceso de trasformación no debe ser que el regulador nos apruebe un modelo avanzado de cálculo de capital, el objetivo es disminuir notablemente el número e impacto de los eventos de Riesgo Operacional; la aprobación es una consecuencia de esta trasformación.

3 Según Basilea, para solicitar la aprobación de un modelo avanzado es necesario cumplir previamente tres criterios básicos y una serie de criterios cualitativos y cuantitativos. Los tres criterios básicos según el Comité de Basilea son: Implicación directa y activa de la alta dirección y del consejo de administración en la medición y gestión del riesgo operacional. Tener recursos dedicados tanto técnicos como humanos, capacitados y suficientes tanto en las diversas líneas de negocio como en las de control y auditoria. Tener implantado un sistema de gestión interno sólido e integrado en los procesos de medición de riesgo operacional. Bajo nuestro punto de vista los dos primeros requerimientos regulatorios son simplemente dos caras del mismo principio. El consejo de administración y la alta dirección de cualquier grupo financiero que solicite la incorporación de modelos avanzados de medición del riesgo operacional tienen que estar profundamente implicados en el proceso, por un lado creando las condiciones organizativas, dotaciones de medios tanto humanos como técnicos que garanticen una cultura de prevención, detección y gestión del riesgo operacional a todos los niveles y afectando toda la estructura. Por otro lado y adicionalmente a este planteamiento top down, tienen que garantizar la existencia de un proceso inverso bottom up que facilite la información necesaria para realizar un seguimiento a todos los niveles, permitiendo especialmente a la alta dirección y el consejo de administración: 1. Recibir alertas sobre eventos relevantes de RO con una severidad superior a un nivel aprobado en cada comité, sus causas, el proceso de detección y sus planes asociados de corrección. 2. Realizar un seguimiento de los planes evolutivos para prevención de RO. 3. Efectuar un seguimiento de la evolución del número de eventos, su severidad en las diferentes áreas de negocio y tipologías de riesgo operacional, permitiendo realizar todo tipo de filtros y agregaciones necesarios para su análisis, especialmente el geográfico. 4. Realizar seguimientos presupuestarios de provisiones asociadas a RO con una capacidad de análisis similar a la anterior. ALTA DIRECCIÓN INFORMACIÓN INSTITUCIÓN FINANCIERA ORGANIZACIÓN Y MEDIOS En definitiva entendemos que el problema aquí planteado es triple, por un lado el presupuestario para atender estos requerimientos, por otro la implantación de sistemas de medición y control del RO y por último la formación y gestión de talento de los RRHH que tienen que gestionarlo. Sobre el punto presupuestario nos gustaría analizar una especie de business case genérico para la industria financiera. El Comité de Basilea ha realizado varias encuestas en el sector para conocer el volumen de pérdidas ocasionadas por RO y su distribución por tipología y área de negocio.

4 TABLA I Corporate Finance Trading & Sales Retail Banking Commercial Banking Payment & Settlement Agency Services Asset Management Retali Brokerage Unallocated All Internal Fraud External F raud Employment Practices & Workplace Safety Clients Products & Business Practices Damage to Physical Assets Business Disruption & System Failures Execution, Delivery & Process Management All Business Line Loss Amount as Percent of Total 6,6 3,2 16, ,1 0,1 0,6 146, ,0% 0,2% 0,1% 0,6% 93,7% 0,0% 0,0% 5,4% 145,8 4,5 30,3 384,7 2,7 23,8 732, ,4 13,6% 11,0% 0,3% 2,3% 29,0% 0,2% 1,8% 55,3% 198,5 607,9 305, ,6 34,0 48,0 670, ,0 32,0% 6,3% 19,4% 9,8% 40,4% 1,1% 1,5% 21,4% 84,7 112,8 23,1 262,4 3,3 12,7 241,2 740,2 7,6% 11,4% 15,2% 3,1% 35,5% 0,4% 1,7% 32,6% 7,1 18,1 2,3 18,7 8,0 5,8 194,4 254,4 2,6% 2,8% 7,1% 0,9% 7,3% 3,2% 2,3% 76,4% 2,5 8,1 1,7 92,3 46,7 15,4 89,8 256,5 2,6% 1,0% 3,2% 0,7% 36,0% 18,2% 6,0% 35,0% 27,9 2,3 6,1 74,9 0,6 3,6 128,3 242,9 2,5% 11,1% 1,0% 2,5% 30,8% 0,3% 1,5% 52,8% 89,8 6,7 31,1 294,6 0,4 1,0 71,5 495,1 5,1% 18,1% 1,4% 6,3% 59,5% 0,1% 0,2% 14,4% 38,5 16,3 167,1 166,8 38,3 7,6 154,0 588,5 6.05,1% 6,5% 2,8% 28,4% 28,3% 6,5% 1,3% 26,2% 600,5 780,0 583, ,1 134,0 118, , ,5 100,0% 6,1% 8,0% 6,0% 52,4% 1,4% 1,2% 24,9% Note 1. Losses of 20,000 or more in the stable dataset. Note 2. First row for each business line: Sum of annualised loss amounts. Note 3. Second row for each business line: distribution of loss amounts across event types. En la encuesta realizada en 2008 sobre 89 entidades del sector se estiman unos 9.8 billions en pérdidas (Tabla I). Es fácil cuantificar el enorme impacto que para el sector financiero tendrían las mejoras introducidas por estos requerimientos regulatorios en la detección, control y gestión del RO. En un doble sentido: Se produciría una mejora directa en la cuenta de resultados de las entidades y una mejora indirecta en el consumo de capital regulatorio requerido para su cobertura que justificaría plenamente la posible inversión realizada. La estructura organizativa creada necesita dar cobertura a dos problemáticas que consideramos relevantes: 1. Combinar las estructuras y las responsabilidades globales de la organización, con estructuras locales que garanticen la cobertura de las especificidades geográficas, especialmente en materia legal, regulatoria y de RRHH. 2. Adaptar esta estructura organizativa interna para converger con la división del negocio bancario que realiza Basilea y los requerimientos de información en las siguientes ocho áreas de negocio, que no siempre se adaptan 100% a la estructura organizativa de las entidades financieras y que es necesario conciliar: Intermediación minorista Servicios de agencia Liquidación y pagos Banca comercial Negociación Finanzas corporativas Banca minorista Administración de activos

5 Recuperando el tercer principio básico Tener implantado un sistema de gestión interno sólido e integrado en los procesos de medición de riesgo operacional este requerimiento es bastante más susceptible de interpretación e intentaremos plasmar cuál es, bajo nuestro punto de vista, el significado y sus implicaciones. Consideramos que la organización de RRHH y los medios que dan cobertura al RO tienen por un lado que realizar una serie de funciones y tareas y por otro ser capaces de generar una información que permita detectar, medir y gestionar el RO. JOB DESCRIPTION: FUNCIONES Y TAREAS Los responsables de RO y sus respectivos equipos humanos y técnicos han de tener la suficiente experiencia y conocimiento del negocio asociado a su responsabilidad como para permitirles: 1. Realizar una revisión periódica en profundidad de las posibles fuentes de RO de su división mediante procesos de autoevaluación que abarquen todas sus facetas: Las políticas de contratación y formación, incluyendo: normativas locales sobre blanqueo de capitales, seguridad e higiene en el trabajo, medidas antidiscriminatorias, etc. Conocimiento de los procesos y sistemas informáticos de su división, así como sus análisis periódicos de capacidad, seguridad, permisos de usuario y obsolescencia. La participación en los requerimientos, implementación y migraciones de sus sistemas informáticos. El estar informados de las políticas de inmuebles y espacios físicos, y políticas de mantenimiento y seguros de cobertura de los mismos. La creación, implementación, y validación periódica de sus planes de contingencia y continuidad de negocio. El conocimiento de los aspectos legales y regulatorios que les afectan para prevenir el riesgo legal (Legislación local, MIFID, aprobación de nuevos productos, normas de defensa del consumidor, etc.) Seguimiento de los cambios regulatorios sobre RO que les afecten tanto local como globalmente. La creación de unas BBDD documentales que recojan la información sobre todos los aspectos anteriores. Implantar, enriquecer y dar seguimiento a un conjunto de métricas de RO que detecten posibles zonas calientes para prevenir la ocurrencia de eventos y su severidad (Ejemplo: % de rotación de las plantillas, periodos máximos de vacaciones, número de excesos de límites, número de documentación de contratos con errores o carencias, aumento de quejas de usuario, etc.) 2. Promover un proceso de formación a los distintos niveles de RRHH de su división sobre RO y sus técnicas de análisis y gestión. 3. Realizar un seguimiento de los eventos de RO que se produzcan en su división, implantando las medidas correctoras necesarias y realizando el seguimiento presupuestario de provisiones correspondiente. 4. Conocer los aspectos cuantitativos del modelo AMA aplicado, con las peculiaridades que puedan afectar a su división (modelo, empleo de BBDD externas y escenarios). 5. Actuar de interlocutores de su división frente a los procesos de auditoría interna, externa y regulatorias, así como los diversos comités internos de RO.

6 INFORMACIÓN Una de las condiciones regulatorias para solicitar la inclusión en modelos avanzados es disponer de una base de datos interna y madura de eventos de pérdidas de RO, con una clara metodología de asignación a las diversas áreas de negocio y tipología de eventos. Existen numerosos estándares de mercado para esta base de datos y diversas asociaciones de entidades financieras que permiten compartir la información de eventos de forma anónima. TABLA 2 Intermediación minorista Fraude Interno Fraude Externo Prácitcas de empleo y seguridad en el puesto de trabajo Clientes, Productos y prácticas de negocio Daños físicos a material o edificios Interrupción de negocio y caída de sistemas Ejecución Entrega y Gestión de procesos Servicios de agencia Liquidación y pagos Eventos Impactos Banca comercial Negociáción Finanzas corporativas Banca minorista Administración de activos Es necesario disponer de procesos automáticos de captura de esta información, cuadres contables y líneas claras de responsabilidad de registro y trazabilidad. Estos principios de calidad de información exigidos para RO son precisamente los mismos exigidos en el requerimiento regulatorio RDA & RR (Risk Data Aggregation & Risk Reporting) que la mayoría de las instituciones financieras tiene ya en marcha. Por tanto entendemos que la base de datos de Riesgo Operacional y su explotación mediante informes tiene que formar parte de las iniciativas RDA & RR. ESQUEMA II CARACTERÍSTICAS QUE DEBE DE CUMPLIR LA INFORMACIÓN PROPIETARIO REPROCESOS FLEXIBILIDAD GESTIÓN MASIVA TRAZABILIDAD FRECUENCIA INTEGRACIÓN ALMACENAMIENTO HISTORIFICACIÓN MONOTORIZACIÓN

7 La explotación de la información recogida en esta base de datos interna permitirá por un lado obtener la información para el análisis, control y seguimiento de la evolución de eventos de RO empleada en los diversos comités y, por otro, mediante la incorporación de información externas y la realización de escenarios teóricos se podrá alimentar el modelo cuantitativo de cálculo de Riesgo Operacional. Adicionalmente a la información recogida en esta base de datos así como su explotación es también necesario dar soporte técnico a informes sobre: El conjunto de métricas de riesgo operacional implementadas en cada área, comunicando en los diversos comités de seguimiento aquellas variaciones que puedan indicar un posible riesgo operacional. Aquellos eventos de riesgo de negocio y riesgo estratégico significativos, aunque no estén incluidos en la base de datos interna. CONCLUSIONES El Riesgo Operacional, a pesar de ser el último en incorporarse a los requerimientos de capital a nivel regulatorio y a su naturaleza diversa, se convierte en el tercer punto de apoyo de la gestión integral del riesgo, por detrás del Riesgo de Crédito en cuanto a capital regulatorio asociado y estadísticamente un poco por encima del Riesgo de Mercado. La estructura organizativa de información y de medios facilitada por la alta dirección tiene que asentarse dentro del genoma de la institución, generando un ambiente de detección, prevención y gestión de RO a todos los niveles, que limite su impacto económico y que permita adicionalmente la aprobación de un modelo avanzado de capital. El proceso conlleva una inversión económica sin duda notable pero que entendemos se justifica plenamente y debería autofinanciarse con la mejora en el número y severidad de eventos de RO así como en la mejora del consumo de capital. El proceso de migración hacia el modelo AMA permite que la implementación de estos principios básicos pueda realizarse de forma escalonada en las diversas geografías, siempre que se incluya un proceso de Roll out predeterminado que facilite el proceso y por tanto la financiación y la formación de recursos con experiencia en el proceso de control y gestión de RO. BIBLIOGRAFIA Basel Committee on Banking Supervision. Results from the 2008 Loss Data Collection Exercise for Operational Risk (Julio 2009). Basel Committee on Banking Supervision. Sound Practices for the Management and Supervision of Operational Risk (Diciembre 2010). everis (NTT group). El Riesgo Operacional en las entidades financieras de Latinoamética. Situación actual y Tendencias (Edición 2013)

8 Argentina Bélgica Brasil Chile Colombia EE.UU. España Italia México Perú Portugal Reino Unido Autores: Jaime Suárez García Ex Director del departamento de Sistemática Banco Santander Mª Jesús Jiménez Socio everis everis.com Consulting, IT & Outsourcing Professional Services