viernes, 10 de octubre de 2008

16. Riesgo Operacional

La creciente sofisticación de las actividades de intermediación financiera, producto de la innovación tecnológica y de comunicaciones, así como de los avances en la ingeniería financiera, ha originado que las operaciones que a diario realizan las entidades de intermediación financiera (EIF) sean cada vez más complejas y estén expuestas al riesgo operacional u operativo (RO). En este sentido, actualmente la gestión del RO constituye una práctica comparable a la gestión de riesgo de crédito o de mercado, dados los casos de cuantiosas pérdidas por RO que sufrieron varias instituciones financieras en el mundo.

Definición

Inicialmente, el RO fue definido como cualquier forma de riesgo que no sea considerado como riesgo de mercado o riesgo de crédito. Posteriormente, el Comité de Basilea (CSBB) definió el RO como la probabilidad de sufrir pérdidas como consecuencia de la aplicación de inadecuados procesos, sistemas, equipos técnicos o humanos, o por fallos en los mismos, así como por hechos externos. Para el CSBB el RO incluye al riesgo legal, no así al riesgo estratégico y al riesgo reputacional, ya que estos últimos son difícilmente cuantificables.

El RO de acuerdo a la definición del CSBB, es un concepto amplio que va más allá de las actividades del área de operaciones de una EIF (back-office) y que incorpora eventos de riesgo que afectan a toda la entidad.

Factores de Riesgo Operacional

Los procesos, sistemas, equipos técnicos, recursos humanos y hechos externos son factores de RO, es decir, fuentes generadoras de riesgo que pueden o no provocar pérdidas:
  • los procesos son el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios,
  • los sistemas y equipos técnicos (la tecnología) son las herramientas empleadas para soportar los procesos de la entidad (software, hardware y telecomunicaciones),
  • los recursos humanos son las personas vinculadas directa o indirectamente con la ejecución de los procesos de una EIF,
  • los hechos o acontecimientos externos son aquellos sobre los cuales la entidad no tiene control, por ejemplo, desastres naturales, actos terroristas, etc.
Clasificación de eventos de Riesgo Operacional

Un evento de RO es un conjunto de incidentes o situaciones de RO que ocurren en un lugar determinado. Por ejmeplo, el robo a la agencia de una EIF (evento) tiene varios incidentes (robo de dinero, robo de un equipo de computación, daño físico a la puerta de ingreso a la agencia, etc.).

Los eventos de RO pueden clasificarse en una de las siguientes categorías:

  • Genera pérdidas y afecta el estado de resultados de la entidad. Por ejemplo, el robo a la agencia de una EIF.
  • Genera pérdidas y no afecta el estado de resultados de la entidad. Por ejemplo, la imposibilidad de atender a los clientes por problemas con el sistema (lucro cesante).
  • No genera pérdidas y por lo tanto no afecta el estado de resultados de la entidad (near misses). Por ejemplo, el guardia de seguridad encuentra que la bóveda está abierta, no obstante, se confirma que no hubo robo.
Buenas prácticas de Riesgo Operacional

En el 2003, el CSBB publicó el documento Buenas Prácticas para la Gestión y Supervisión del Riesgo Operacional, el cual recoge una serie de principios para la gestión y supervisión del RO. El documento contempla: el desarrollo de un entorno adecuado para la gestión del RO, el proceso de gestión de RO, la función de los supervisores de RO y la divulgación de información relacionada con RO.

En este documento, el CSBB identificó siete categorías en las que pueden clasificarse las pérdidas:
  1. fraude interno: errores intencionados en la información sobre posiciones, robos por parte de empleados, utilización de información confidencial en beneficio del empleado, etc.
  2. fraude externo: atraco, falsificación, circulación de cheques en descubierto, daños por intrusión en los sistemas informáticos, etc.
  3. relaciones laborales y seguridad en el puesto de trabajo: solicitud de indemnizaciones por parte de los empleados, infracción de las normas laborales de seguridad e higiene, acusaciones de discriminación, responsabilidades generales, etc.
  4. prácticas con los clientes, productos y negocios: abusos de confianza, abuso de información confidencial sobre el cliente, negociación fraudulenta con las cuentas del banco, lavado de activos, venta de productos no autorizados, etc.
  5. daños a activos físicos: terrorismo, vandalismo, terremotos, incendios, inundaciones, etc.
  6. alteración de la actividad y fallas de los sistemas: fallos del hardware o del software, problemas en las telecomunicaciones, interrupción en la prestación de servicios públicos, etc.
  7. ejecución, entrega y procesamiento: errores en la introducción de datos, fallos en la administración del colateral, documentación jurídica incompleta, concesión de acceso no autorizado a las cuentas de los clientes, prácticas inadecuadas de contrapartes distintas de clientes, litigios con distribuidores, etc.