MS F B: Operational Risk

“Una vida sin riesgo es una vida gris,
pero una vida sin control probablemente será una vida corta”.
Bertrand Russel
MSC IN FINANCE AND BANKING
Operational Risk
(Riesgo Operacional)
Prof. Dr. Enrique Jiménez-Rodríguez
ejimenez@upo.es
© JIMÉNEZ, E. (2011)
El Riesgo Operacional: Metodologías para su Medición y Control
Madrid: Delta Publicaciones
https://www.linkedin.com/in/enriquejimenezrodriguez/
© JIMÉNEZ, E.
BASEL III
INTERNATIONAL REGULATORY FRAMEWORK FOR BANKS
Ø The global banking system entered the crisis with an insufficient level of
high quality capital. The crisis also revealed the inconsistency in the
definition of capital across jurisdictions and the lack of disclosure that
would have enabled the market to fully assess and compare the quality of
capital across jurisdictions. A key element of the new definition of capital is
the greater focus on common equity, the highest quality component of a
bank’s capital.
© JIMÉNEZ, E.
What is Basel III?
The BASEL III framework is a central element of the Basel

Committee’s response to the global Financial Crisis. It addresses a
number of shortcomings in the pre-crisis regulatory framework and
provides a foundation for a resilient banking system that will help
avoid the build-up of systemic vulnerabilities. The framework will
allow the banking system to support the real economy through the
economic cycle.
© JIMÉNEZ, E.
BASEL III
Finalising post-crisis reforms (December 2017)
CAPITAL LIQUIDTY
“A global regulatory framework The Liquidity Coverage Ratio

for more resilient banks and and liquidity risk monitoring
banking systems” June-2011 tools”. January 2013
FUNDING
Net Stable Funding

Ratio. October 2014
© JIMÉNEZ, E.
BASEL III
The Liquidity Coverage Ratio and liquidity risk monitoring tools”.
January 2013
The LCR has two components:
(a) the value of the stock of HQLA; and
(b) total net cash outflows,
To promote short-term resilience of a bank’s liquidity risk profile, the Basel Committee developed the
Liquidity Coverage Ratio (LCR). This standard aims to ensure that a bank has an adequate stock of
unencumbered high quality liquid assets (HQLA) which consists of cash or assets that can be
converted into cash at little or no loss of value in private markets to meet its liquidity needs for a 30
calendar day liquidity stress scenario.
© JIMÉNEZ, E.
What do the 2017 reforms do?
The Committee’s Basel III reforms complement the initial phase of the
Basel III reforms announced in 2010. The 2017 reforms seek to restore
credibility in the calculation of risk weighted assets (RWAs) and
improve the comparability of banks’ capital ratios. RWAs are an
estimate of risk that determines the minimum level of regulatory
capital a bank must maintain to deal with unexpected losses. A prudent
and credible calculation of RWAs is an integral element of the risk-
based capital framework.
© JIMÉNEZ, E.
Why are the 2017 reforms necessary?
The 2017 reforms address weaknesses that were revealed by the global financial
crisis:
• Credibility of the framework: A range of studies found an unacceptably wide
variation in RWAs across banks that cannot be explained solely by differences in the
riskiness of banks’ portfolios. The unwarranted variation makes it difficult to
compare capital ratios across banks and undermines confidence in capital ratios. The
reforms will address this to help restore the credibility of the risk-based capital
framework.
• Internal models: Internal models should allow for more accurate risk measurement
than the standardized approaches developed by supervisors. However, incentives
exist to minimise risk weights when internal models are used to set minimum capital
requirements. In addition, certain types of asset, such as low-default exposures,
cannot be modelled reliably or robustly. The reforms introduce constraints on the
estimates banks make when they use their internal models for regulatory capital
purposes, and, in some cases, remove the use of internal models..
© JIMÉNEZ, E.
BASEL III: main features
© JIMÉNEZ, E.
BASEL III
FOCUS ON RISK-WEIGHTED ASSETS
What is regulatory capital?
Banks fund their investments with capital and debt, such as customer
deposits. Capital can absorb losses in a way that reduces the likelihood
of a bank failing and the impact if it does. Regulatory capital consists
of:
• Common Equity Tier (CET) 1 – common shares, retained
earnings and other reserves.
• Additional Tier 1 – capital instruments with no fixed maturity.
• Tier 2 – subordinated debt and general loan-loss reserves.

© JIMÉNEZ, E.
BASEL III
ELEMENTS OF CAPITAL
Total regulatory capital will consist of the sum of the following elements:
1. Tier 1 Capital (going-concern capital)
a. Common Equity Tier 1

b. Additional Tier 1
2. Tier 2 Capital (gone-concern capital)
© JIMÉNEZ, E.
BASEL III
© JIMÉNEZ, E.
BASEL III
CAPITAL
Regulatory capital represents the minimum amount of equity

that larger credit-issuing entities should allocate to cover the
possible losses deriving from the different types of risk to which
they are exposed.
CREDIT RISK MARKET RISK OPERATIONAL RISK
Regulatory Capital
≥ 8%
Credit Risk (weighted assets) + 12.5 * (Market Risk + Operational Risk)
© JIMÉNEZ, E.
BASEL III
• For the Tier 1 ratio, Banco de Portugal recommends, since 2008 (Circular
letter No. 83/2008/DSB), a minimum of not less than 8%.
Common Equity Tier 1 Tier 1 Capital Total Capital

Basel II Basel III Basel II Basel III Basel II Basel III
Minimum 2% 4,5% 4% 6% 8% 8%
Capital Conservation Buffer 2,5%

Minimum Total Capital plus
7% 8,5% 10,5%
conservation buffer
Countercyclical buffer range 0 – 2,5%
© JIMÉNEZ, E.
© JIMÉNEZ, E.
BASEL III
© JIMÉNEZ, E.
© JIMÉNEZ, E.
© JIMÉNEZ, E. 19
© JIMÉNEZ, E.
¿Qué es Riesgo Operacional?
¿Todo lo que no es crédito y mercado....?
Concepción tradicional de Riesgo Operacional:

“...todo aquello que no era ni riesgo de crédito, ni riesgo
de mercado”
Jorion (2006): 60% riesgo de crédito, un
25% al operacional y un 15% al de
mercado;
Cruz (2002): 50%, 35%, 15%

Riesgo Riesgo
Operacional de Mercado
PILAR I Crouhy et al. (2001): 70%, 20% y 10%,
R. Estratégico PILAR II
respectivamente.
Cálculo de Capital
Otros Riesgos R. de Negocio Revisión
Supervisora BBVA (2006): riesgo de crédito (58%),
R. Reputacional
Riesgo de Crédito
operacional (11,4%), de mercado (27,5%) y
resto (3,2%);
SCH (2006): riesgo de crédito (55,4%),

operacional (6,8%), de mercado (27,4%) y
resto (10,4%).
© JIMÉNEZ, E.
DEFINICIÓN DE
RIESGO OPERACIONAL
Comité de Basilea: “el riesgo operacional se define

como el riesgo de pérdida resultante de una falta de
adecuación o un fallo de los procesos, el personal y los
sistemas internos o bien de acontecimientos externos”.
Esta definición incluye el riesgo legal (jurídico), pero

excluye el riesgo estratégico y el riesgo de reputación.
© JIMÉNEZ, E.
El control del riesgo operacional es una de las
preocupaciones principales de la Industria
Financiera.
“Las pérdidas derivadas de los
procesos operacionales han sido
superiores en cuantía a las más
importantes de las provocadas por el
riesgo de mercado o de crédito”
Senior Federal Reserve Bank Official.
“24% de los bancos encuestados han

experimentado pérdidas por motivos
operacionales superiores a 1,5
millones de euros en los últimos 3
años”
Encuesta de la Asociación de Bancos
Británicos.
© JIMÉNEZ, E.
Importancia del Control y Gestión
del Riesgo Operacional
Basel Committee on Banking
Supervision (1998): “Operational
Sofisticación Risk Management”. Nº42, Basilea,
Tecnológica
Gobierno Terrorismo Septiembre.
Corporativo
Pérdidas ocasionadas por

Exigencias de
los Agentes del Outsourcing riesgo operacional –a
Mercado
Riesgo
nivel mundial– dentro de
Operacional la industria financiera
Fusiones
y Competencia
desde 1992 a 1998.
Adquisiciones
7500
Automatización Globalización 6000

de
4500
Procesos
e-Banking 3000
1500
0
1992 1993 1994 1995 1996 1997 1998
© JIMÉNEZ, E.
El Fraude
Caso 2.1: El Caso Enron.
Enron –resultado de la fusión de Houston Por lo que, dichas sociedades, desde el punto
Natural Gas, Inc. e InterNorth, Inc.– en solo de vista contable, se debían de considerar
15 años, pasó de ser una pequeña empresa de
gas natural en el estado de Texas a convertirse
en la séptima compañía por capitalización de
como parte del Grupo Enron. Como resultado
de la consolidación, Enron anunció pérdidas
en el tercer trimestre por importe de 640 Corporativo
y la Banca
los Estados Unidos. Para ello Enron se apoyo millones de dólares y una reducción en su
en un conjunto de SPEs. El objetivo “lícito” capital propio de 1.200 millones de dólares.
de sus SPEs era obtener financiación y cubrir Éste hecho destapó la “caja de Pandora” del
riesgos; pero, excluyendo “ilícitamente” los caso Enron, ya que despertó la atención de la
pasivos y gastos derivados de dichas Securities and Exchange Commission (SEC) que
sociedades en la consolidación de los estados inició las investigaciones. A finales de 2001, la
contables del Grupo. Enron instrumentó su mayoría de las SPEs se encontraban en una
estrategia mediante el “arbitraje” de la difícil situación financiera, ya que los créditos
normativa contable estadounidense (US concedidos a éstas estaban garantizados con
GAAP). Concretamente, en el punto que la los títulos de Enron. Los bancos exigían como
norma explicita que: “no será necesaria la aval que la cotización de la acción se
consolidación de una sociedad participada, si mantuviese por encima de un umbral
existe un inversor externo que la controle y estipulado; además de mantener un rating
mantenga un porcentaje del capital de al crediticio determinado. Sí no se cumplían estas
menos el 3% de la compañía”. El director condiciones, Enron tendría que amortizar
financiero de Enron –con la aquiescencia de su anticipadamente. El desplome de su cotización
Consejo– adoptó personalmente el rol de y la reducción de su rating por debajo del
“inversor externo” para cumplir así el requisito “grado de inversión”, no dejaron otra salida a
del 3%. Aunque, lógicamente, no cumplía este Enron que acogerse a la “suspensión de
perfil al ser un alto directivo del Grupo. Se pagos” en diciembre de 2001.
crearon una serie de sociedades –con la ayuda
de las principales entidades financieras– 100,8
mediante préstamos millonarios garantizados INGRESOS ACTIVOS 90,00 $
con las propias acciones de Enron. Así se 90
estructuró el conocido “grupo de las Raptors”: 75,00 $

cuatro sociedades constituidas con el fin de 65
65,5
“cubrir” las inversiones en compañías de 60,00 $

47,3
nuevas tecnologías. Aunque muchos de estos 40,1
negocios procuraron suculentas plusvalías, el 40
31,3 33,4 45,00 $
29,4
ciclo bursátil bajista que desencadenó el 20,3
22,5
estallido de la burbuja tecnológica, a finales del 30,00 $

15
año 2000, convirtió en pérdidas la mayoría de -0,6
las inversiones de “capital riesgo” que Enron 15,00 $

1997 1998 1999 2000 2001
mantenía en cartera. En octubre de 2001, -10
Arthur Andersen –auditora de Enron– reveló 0,00 $

que varias de sus SPEs incumplían el requisito nov-00 dic-00 ene-01 feb-01 mar-01 abr-01 may-01 jun-01 jul-01 ago-01 sep-01 oct-01 nov-01 dic-01 ene-02 feb-02
del 3% desde el ejercicio 1997.
© JIMÉNEZ, E.
Caso 2.2.: WorldCom.
WorldCom fue fundada en 1984, desde su En abril de 2002, la dirección de WorldCom
El Fraude
Corporativ
origen, la estrategia adoptada para lograr el comunicó un fuerte descenso de sus ingresos.
crecimiento del Grupo se cimentó sobre la Al mes siguiente, la agencia de calificación
adquisición de otras compañías de telefonía. Su crediticia Moody´s rebajaba su rating por
inversión más significativa se produjo, en debajo del “grado de inversión” dentro de la
1998, con la operación de compra de MCI
Connections. El nuevo grupo se consolidó
como la segunda operadora de telefonía
estadounidense; con actividad en más de 65
zona de los conocidos “bonos basura”,
produciéndose la depreciación del valor de
mercado de dichos bonos y, por consiguiente,
los correspondiente perjuicios para sus
o y la Banca
países, 20 millones de clientes y 85.000 obligacionistas. Fue en julio de 2002 cuando
empleados. Los títulos de WorldCom, que WorldCom –tras haber hecho públicas sus
hasta 1991 se cotizaban por debajo de 5 irregularidades contables– presentó la
dólares, llegaron a negociarse en el NASDAQ solicitud de quiebra. La multinacional había
(National Association of Securities Dealers contabilizado partidas de “gastos corrientes”
Automated Quotations) a 80 dólares. Sin como “inversiones de capital” –por valor de
embargo, a finales de 1999, la demanda de 3.857 millones de dólares–, entre el periodo
servicios de telefonía de larga distancia empezó 2001 y el primer trimestre de 2002. Partidas de
a menguar, reflejándose este hecho en la gastos que, con dicho tratamiento contable, la
cotización de sus títulos. La estrategia de compañía amortizaría en periodos sucesivos.
crecimiento adoptada –necesitada de liquidez De este modo, WorldCom presentó unas
para afrontar las importantes inversiones ganancias, no acordes con su realidad
realizadas– había anegado el pasivo de financiera, pero con las que incrementó
WorldCom de préstamos y créditos sindicados artificialmente su valor bursátil.
que, con la situación económica de la Posteriormente, WorldCom notificó que, a los
compañía, corrían cierto riesgo de impago. gastos desvelados en el mes de junio, había que
Aunque en el ejercicio de 2001, la empresa agregar otros 3.833 millones de dólares.
tuvo unos ingresos de 21.300 millones, en Finalmente, la SEC incriminó a WorldCom
mayo de ese año, no podía ocultar la crisis por un fraude cercano a los 11.000 millones
financiera en la que se encontraba. Cerrado el dólares.
grifo de la financiación bancaria y con sus MCI Worldcom
Cotización
acciones a la baja, un grupo de bancos de 65
(Dólares)
60
inversión –con serios intereses en el 55
resurgimiento del holding–, estructuraron y 50
colocaron una emisión de bonos por valor de 45
12.200 millones de dólares. Es obvio, que las 40
35
entidades financieras implicadas no 30
contrastaron –u omitieron en sus 25
recomendaciones a los potenciales 20
obligacionistas e inversores– la situación 15

10
financiera de la compañía; que tampoco, en ese 5
momento, era recogida afinadamente por su 0
calificación crediticia. 1998 1999 2000 2001 2002

Figura 2.5: Evolución de la cotización de WorldCom.
Fuente: www.nasdaq.com.
© JIMÉNEZ, E.
El Fraude
Corporativo
Pérdidas por multas e indemnizaciones
para las entidades financieras.
y la Banca
ENTIDAD FINANCIERA ENRON WORLDCOM
JP Morgan Chase 2.200 2.000
Citigroup 2.000 2.650

Leman Brother 223 61,71
Bank Of America 69 460
Merril Lynch 190,5
Credit Suisse First Boston 12,54
UBS 12,54
Goldman Such 12,54
Mitsubishi Securities Int. 75

BNP Paribas 37,5
Mizuho Int. 37,5
Westlb AG 75
Canadian Imperial 2.650
Deutsche Bank 325
Toronto Dominion Bank 70
Caboto Holding Sim 37,5

© JIMÉNEZ, E.
ENTIDAD
AÑO DESCRIPCIÓN DEL SUCESO
(PÉRDIDAS)
Nick Leeson, trader del Banco británico Barings, estuvo a lo largo de 2 años,
acumulando pérdidas no reportadas y negociando contratos de derivados Operaciones
BARINGS sobre el índice japonés Nikkei´225, desde la sucursal del banco en Singapur.
BROTHERS La posición abierta por Leeson en el mercado superaba los 7.000 millones de
dólares. El 17 de Enero de 1995 un terremoto asoló el área de Kobe, al oeste
Bursátiles
1995 & Co
BANK
del Japón, traduciéndose, en términos bursátiles, en una caída del Nikkei
cercana al 15%. Lo anterior provocó en las posiciones de Leeson pérdidas
No
(1.300 M $) irrecuperables e insostenibles que conllevaron la quiebra de la entidad. Barings
fue adquirida junto con sus deudas por el banco ING por la simbólica cifra de
1 libra esterlina.
Autorizadas
El caso salió a la luz en 1995, pero se venía gestando desde 1984. 11 años
estuvo acumulando pérdidas Toshihide Igushi, operador del banco japonés
Daiwa en Nueva York. Igushi consiguió ocultar más de 30.000 operaciones
con bonos del Tesoro estadounidense, excediendo sus límites de posiciones
DAIWA para compensar las pérdidas que iba generando y vendiendo a nombre de
1995
(1.100 M $) Daiwa títulos depositados por clientes en su sucursal; para ello falsificó la lista
de valores del banco custodio (Bankers Trust). Las pérdidas finales cercanas a
los 1.100 millones de dólares absorbieron la séptima parte del capital propio
de la entidad. Daiwa fue expulsada de los Estados Unidos al intentar omitir el
hecho a las entidades reguladoras mediante cuantiosas transacciones.
Yasuo Hamanaka, también conocido como “Mister Cobre” o “Mister 5%”,
ya que controlando ese porcentaje del mercado de cobre mundial consiguió
mantener artificialmente alto el precio del metal. Su procedimiento era
SUMITOMO sencillo, compraba cobre de forma masiva para almacenarlo y crear escasez; la
disminución de la oferta provocaba un aumento del precio. Hamanaka
1996 BANK realizaba sus operaciones en la London Metal Exchange (LME) solicitando,
(2.600 M $) para ello, préstamos astronómicos sin autorización. Una vez no pudo seguir
financiando sus posiciones en el mercado, el precio del cobre se desplomo,
provocando pérdidas para Sumitomo superiores a los 2.600 millones de
dólares.
NATWEST
Kyriacos Papouis, trader del mercado no organizado de swaptions, utilizó
1997 BANK volatilidades incorrectas para valorar swaps, sobrevalorando los contratos.
(127 M $)
ALLIED John Rusnak, trader de Allfirst Financial, filial estadounidense de la entidad
irlandesa Allied Irish, falsificó documentos para encubrir malas inversiones;
2002 IRISH BANK había perdido millones de dólares para la entidad realizando operaciones en el
(691 M $) mercado de divisas entre el dólar y el yen.
© JIMÉNEZ, E.
ENTIDAD
AÑO DESCRIPCIÓN DEL SUCESO
(PÉRDIDAS)
Nick Leeson, trader del Banco británico Barings, estuvo a lo largo de 2 años,
acumulando pérdidas no reportadas y negociando contratos de derivados Operaciones
BARINGS sobre el índice japonés Nikkei´225, desde la sucursal del banco en Singapur.
BROTHERS La posición abierta por Leeson en el mercado superaba los 7.000 millones de
dólares. El 17 de Enero de 1995 un terremoto asoló el área de Kobe, al oeste
Bursátiles
1995 & Co
BANK
del Japón, traduciéndose, en términos bursátiles, en una caída del Nikkei
cercana al 15%. Lo anterior provocó en las posiciones de Leeson pérdidas
No
(1.300 M $) irrecuperables e insostenibles que conllevaron la quiebra de la entidad. Barings
fue adquirida junto con sus deudas por el banco ING por la simbólica cifra de
1 libra esterlina.
Autorizadas
El caso salió a la luz en 1995, pero se venía gestando desde 1984. 11 años
estuvo acumulando pérdidas Toshihide Igushi, operador del banco japonés
Daiwa en Nueva York. Igushi consiguió ocultar más de 30.000 operaciones
con bonos del Tesoro estadounidense, excediendo sus límites de posiciones
DAIWA para compensar las pérdidas que iba generando y vendiendo a nombre de
1995
(1.100 M $) Daiwa títulos depositados por clientes en su sucursal; para ello falsificó la lista
de valores del banco custodio (Bankers Trust). Las pérdidas finales cercanas a
los 1.100 millones de dólares absorbieron la séptima parte del capital propio
de la entidad. Daiwa fue expulsada de los Estados Unidos al intentar omitir el
hecho a las entidades reguladoras mediante cuantiosas transacciones.
Yasuo Hamanaka, también conocido como “Mister Cobre” o “Mister 5%”,
ya que controlando ese porcentaje del mercado de cobre mundial consiguió
mantener artificialmente alto el precio del metal. Su procedimiento era
SUMITOMO sencillo, compraba cobre de forma masiva para almacenarlo y crear escasez; la
disminución de la oferta provocaba un aumento del precio. Hamanaka
1996 BANK realizaba sus operaciones en la London Metal Exchange (LME) solicitando,
(2.600 M $) para ello, préstamos astronómicos sin autorización. Una vez no pudo seguir
financiando sus posiciones en el mercado, el precio del cobre se desplomo,
provocando pérdidas para Sumitomo superiores a los 2.600 millones de
dólares.
NATWEST
Kyriacos Papouis, trader del mercado no organizado de swaptions, utilizó
1997 BANK volatilidades incorrectas para valorar swaps, sobrevalorando los contratos.
(127 M $)
ALLIED John Rusnak, trader de Allfirst Financial, filial estadounidense de la entidad
irlandesa Allied Irish, falsificó documentos para encubrir malas inversiones;
2002 IRISH BANK había perdido millones de dólares para la entidad realizando operaciones en el
(691 M $) mercado de divisas entre el dólar y el yen.
© JIMÉNEZ, E.
The operational risk control is a major
concern of the Financial Industry.
YEAR ENTITY LOSS AMOUNT
1995 BARINGS BANK 1.300 M $

1996 SUMITOMO BANK 2.600 M $
1997 NATWEST BANK 127 M $
2002 ALLIED IRISH BANK 691 M $
SOCIÉTÉ
2008 GÉNÉRALE 4.900 M €
© JIMÉNEZ, E. 30
The operational risk control is a major
concern of the Financial Industry.
YEAR ENTITY LOSS AMOUNT
1995 BARINGS BANK 1.300 M $

1996 SUMITOMO BANK 2.600 M $
1997 NATWEST BANK 127 M $
2002 ALLIED IRISH BANK 691 M $
SOCIÉTÉ
2008 GÉNÉRALE 4.900 M €
© JIMÉNEZ, E. 31
El Error Humano y el Riesgo Operacional
CASO LEHMAN BROTHERS
Mayo de 2001. Un broker, empleado de Lehman Brothers, al ejecutar una orden de

venta, añadió un cero más a la derecha y realizó una operación de 300 millones de libras
esterlinas, en lugar de los 30 millones perseguidos. La venta la ejecutó sobre un conjunto
de valores del índice londinense FTSE 100, lo que provocó un descenso del índice de 120
puntos, equivalentes a unos 40 millardos de libras en pérdidas.
FTSE - 1 00 ( 5,2 42.4 , 5 , 18 7.6, 5,1 97 .2 )
6 00 0
5 95 0
5 90 0
5 85 0
5 80 0
5 75 0
Síndrome de los dedos gordos 5 70 0
23 24 25 26 27 30 1 2 3 4 8 9 10 11 14 15 16 17 18
Ma y
© JIMÉNEZ, E.
El Phishing.
Entre las técnicas delictivas utilizadas en la La vulnerabilidad de las operaciones
Red tiene especial preeminencia el
fenómeno denominado como phishing.
bancarias en la Red crea desconfianza. Esta
desconfianza aleja al cliente potencial de la
El Fraude
Éste consiste en el envío masivo de banca on-line, más rentable en términos de Bancario a través
correos electrónicos que, aparentando
provenir de una entidad bancaria
costes operativos que la banca tradicional,
y, por defecto, genera indirectamente una de Internet
determinada, intentan obtener datos pérdida, o coste de oportunidad, para la
confidenciales del usuario solicitándoles entidad o entidades afectadas. Por otro
que confirmen su clave de acceso a su lado, las pérdidas directas son evidentes,
cuenta bancaria y su clave operativa. Para según la empresa de seguridad informática
ello, incluye un vínculo que al ser pulsado Symantec1, sólo en el año 2004, este tipo
lleva a una página web falsa. Así, el usuario, de fraude acarreó a los bancos y emisores
creyendo estar en un sitio de toda de tarjetas de crédito 930 millones de euros
confianza, introduce la información en pérdidas. Según datos difundidos por
solicitada que en realidad va a parar a Symantec, el sector financiero comparado
manos del probable estafador. con otras industrias es el que experimenta
el más alto número de ataques de virus,
El phishing en las Industria alcanzando el 48% sobre el total. En lo que
Financiera. se refiere a los eventos de phishing, en
particular, el porcentaje es aún mayor,
Las incidencias por eventos de phishing, acaparando el sector financiero el 92% de
como se comentó en líneas anteriores, los ataques, según APWG (véase la figura
menoscaban la imagen de la entidad. 2.9).
3,60% 2,90%
1,50%
Servicios Financieros
Comercio On-line
Proveedores de Internet
Otros
92%
Figura 2.9: Ataques de phishing por sectores.
Fuente: www.antiphishing.org
© JIMÉNEZ, E.
“…con toda mi experiencia, nunca he visto un accidente de ninguna
clase que merezca mencionarse. Ni siquiera he visto un sólo barco con
problemas en alta mar (…) Tampoco he visto un hundimiento, ni estuve
en ninguna situación de amenaza…”
Edward J. Smith, Capitán del Titanic. Nueva York, 1907.
© JIMÉNEZ, E.
Dentro de lo que consideramos Riesgo Operacional
las causas de las pérdidas potenciales son de diferente
naturaleza.
Pérdidas por Riesgo operacional más Comunes:

Fallos en el control
Multas y Restricciones Legales
Fallos tecnológicos
Errores de Cálculo
Fraude
Problemas de Liquidación
Siniestros
© JIMÉNEZ, E.
Factores de Riesgo Operacional
1. Riesgo de personas: Pérdidas asociadas a los empleados; bien

por acciones no intencionadas o incompetentes; o causadas por
actos intencionados o fraudulentos en contra de los intereses de
la entidad.
2. Riesgo de procesos: Asociado a errores en los procesos; que al
mismo tiempo pueden derivar de:
- Riesgo de modelo: debidos a errores en las metodologías de gestión
o en el modelo de mercado.
- Riesgo de transacciones: errores en la ejecución de operaciones;
complejidad de los productos; riesgo contractual; etc.
- Riesgo de control: exceder límites (monetarios o de volumen) de
operaciones; riesgo de seguridad; etc.
3. Riesgo de sistemas: Motivado por caídas o fallos de sistemas
informáticos o de transmisión de datos; errores de programación;
etc.
4. Riesgo externo: Factores humanos o físicos ajenos a la entidad y
sobre los que esta no tiene ningún tipo de control.
© JIMÉNEZ, E.
Factores de Riesgo Operacional
FACTORES
PERSONAS PROCESOS SISTEMAS
EXTERNOS
Las Irregularidades
Bancarias x x
Los Casos Enron
y WorldCom x x
Las Operaciones
No Autorizadas x x
Los Errores
Humanos x
Riesgos y Virus
Informáticos x x
© JIMÉNEZ, E.
Tipología de Riesgos Operacionales
Prácticas Clientes Daños a Fallos Ejecución

FRAUDE Fraude de y Activos de y Gestión
Externo Empleo Productos Físicos Sistemas de
INTERNO Procesos
Pérdidas derivadas de algún tipo de ØNo informar intencionadamente de

actos encaminados a defraudar, determinadas posiciones.
apropiarse o burlar regulaciones, la ØInfidelidades de empleados.
ley o las normas internas, ØUso el de información privilegiada
excluyendo hechos por
discriminación, los cuales, como para enriquecimiento propio.
mínimo, tienen un origen en parte
interno.
© JIMÉNEZ, E.

FRAUDE Fraude de y Activos de y Gestión
Externo Empleo Productos Físicos Sistemas de
INTERNO Procesos
Pérdidas derivadas de algún tipo de ØNo informar intencionadamente de

actos encaminados a defraudar, determinadas posiciones.
apropiarse o burlar regulaciones, la ØInfidelidades de empleados.
ley o las normas internas, ØUso el de información privilegiada
excluyendo hechos por
discriminación, los cuales, como para enriquecimiento propio.
mínimo, tienen un origen en parte
interno.
© JIMÉNEZ, E.

Fraude Fraude de y Activos de y Gestión
Interno Empleo Productos Físicos Sistemas de
Externo Procesos
Pérdidas derivadas de algún ØRobos;

tipo de actuación ØFalsificación;
encaminada a defraudar,
apropiarse de bienes ØDaños de “piratas”
indebidamente o a soslayar informáticos (hackers),
legislación por parte de un
tercero.
© JIMÉNEZ, E.

Fraude Fraude y Activos de y Gestión
Interno Externo de Productos Físicos Sistemas de
Procesos
Empleo
ØCompensaciones a trabajadores
por quejas;
Pérdidas derivadas de
actuaciones incompatibles ØViolaciones a las normas de
con la legislación o acuerdos seguridad e higiene en el trabajo;
laborales, de higiene o
seguridad en el empleo, del
pago de reclamaciones por ØDemandas por discriminaciones y
daños a las personas, o de por responsabilidades generales (por
eventos de diversidad o ejemplo, DEMANDAS DE
discriminación. CLIENTES POR RESBALARSE
EN UNA OFICINA).
© JIMÉNEZ, E.
Prácticas Daños a Fallos Ejecución

Fraude Fraude de Clientes y Activos de y Gestión
Interno Externo Empleo Físicos Sistemas de
Productos Procesos
ØMal uso de la información

Pérdidas derivadas del incumplimiento confidencial de clientes;
involuntario o negligente de una obligación
profesional frente a clientes concretos (incluidos ØActividades comerciales
requisitos fiduciarios y de adecuación), o de la inadecuadas en cuentas
naturaleza o diseño de un producto. propias;
ØVenta de productos no
autorizados.
© JIMÉNEZ, E.
Prácticas Daños a Fallos Ejecución

Fraude Fraude de Clientes y Activos de y Gestión
Interno Externo Empleo Físicos Sistemas de
Productos Procesos
ØMal uso de la información

Pérdidas derivadas del incumplimiento confidencial de clientes;
involuntario o negligente de una obligación
profesional frente a clientes concretos (incluidos ØActividades comerciales
requisitos fiduciarios y de adecuación), o de la inadecuadas en cuentas
naturaleza o diseño de un producto. propias;
ØVenta de productos no
autorizados.
© JIMÉNEZ, E.

Fraude Fraude de y de y Gestión
Interno Externo Empleo Productos Activos Sistemas de
Procesos
Físicos
Pérdidas derivadas de daños o

perjuicios a activos materiales como
consecuencia de desastres naturales u
otros acontecimientos.
ØTerrorismo, vandalismo,
terremotos, fuegos e inundaciones.
© JIMÉNEZ, E.

Fraude Fraude de y de y Gestión
Interno Externo Empleo Productos Activos Sistemas de
Procesos
Físicos
Pérdidas derivadas de daños o

perjuicios a activos materiales como
consecuencia de desastres naturales u
otros acontecimientos.
ØTerrorismo, vandalismo,
terremotos, fuegos e inundaciones.
© JIMÉNEZ, E.
Prácticas Clientes Daños a Ejecución

Fraude Fraude de y Activos Fallos de y Gestión
Interno Externo Empleo Productos Físicos de
Sistemas Procesos
Ø Caídas del software; Pérdidas derivadas de

incidencias en el negocio y de
Ø Problemas de telecomunicaciones fallos en los sistemas.
(Internet);
Ø Apagones públicos
© JIMÉNEZ, E.
Prácticas Clientes Daños a Ejecución

Fraude Fraude de y Activos Fallos de y Gestión
Interno Externo Empleo Productos Físicos de
Sistemas Procesos
Ø Caídas del software; Pérdidas derivadas de

incidencias en el negocio y de
Ø Problemas de telecomunicaciones fallos en los sistemas.
(Internet);
Ø Apagones públicos
© JIMÉNEZ, E.
Fraude Fraude Prácticas Clientes Daños a Fallos Ejecución y

de y Activos de
Externo Externo Empleo Productos Físicos Sistemas Gestión de
Procesos
ØErrónea entradas de datos;
ØDocumentación legal incompleta;

Pérdidas derivadas de errores en el
ØAccesos no aprobados a las cuentas procesamiento de operaciones o en la
de clientes; gestión de procesos, así como de
relaciones con contrapartes comerciales y
ØRupturas de contratos y disputas con proveedores.
proveedores y daños colaterales.
© JIMÉNEZ, E.
LA IDENTIFICACIÓN DE LA PÉRDIDA OPERACIONAL.
BDIPO
0 ,1 2
PÉRDIDA ESPERADA
Pérdidas Pérdidas
0 ,1 0
Esperadas PÉRDIDA NO ESPERADA
Inesperadas
Frecuencia
0 ,0 8
Severas Catastróficas
0 ,0 6
0 ,0 4
Necesidad de datos externos

0 ,0 2
2 5
3 5
1 0
1 5
2 0
3 0
4 0
4 5
0 ,0 0
5
0
Severidad de la pérdida
© JIMÉNEZ, E.
BDIPO
PARÁMETROS
FRECUENCIA
FRECUENCIA con que se repite el suceso
durante un periodo de tiempo establecido Frecuente Probable Eventual
Muy poco
probable Improbable
o, dicho de otra manera, la probabilidad
de que acontezca ese evento. Catastrófico RIESGO
TRANSFERIR
EXTREMO RIESGOS
EVITAR
SEVERIDAD cuantía monetaria de
SVERIDAD Importantes ALTO
la pérdida.
Moderado MEDIO
GESTIONAR
Mitigar Frecuencia
Insignificante BAJO
ASUMIR
NIVELES DE RIESGOS
© JIMÉNEZ, E.
¿Ha causado el evento un impacto negativo en la
situación económica de la entidad y se ha registrado No es un vento a
contablemente o ha provocado un coste de oportunidad NO registrar en la BDPo.
financiero perfecta y objetivamente cuantificable?
SI
¿La merma generada supera el umbral mínimo
establecido? Riesgo
NO
Estratégico
SI
SI
¿El suceso es viene motivado de una errónea
decisión táctica o estratégica? ¿El suceso se origina por un acto intencionado
incompatible con la legislación o los acuerdos
NO laborales, de higiene o seguridad en el empleo, o
de eventos de discriminación?
SI
¿La pérdida deriva de algún tipo de acción SI NO
intencionada encaminada a defraudar,
soslayar la legislación o infringir la política de Prácticas de empleo y
la compañía? seguridad en el
NO trabajo.
SI
¿La pérdida se origina por una omisión o un
acto no intencionado contrario a la legislación ¿La actuación fraudulenta, con ánimo de lucro ha
o acuerdos laborales, de higiene o seguridad sido ejecutada por una persona vinculada a la
en el empleo, o de eventos de discriminación? entidad?
NO NO SI
¿Las pérdidas derivan de daños o perjuicios a
activos materiales como consecuencia de Daños a activos Fraude
desastres naturales u otros acontecimientos? materiales Interno
SI
NO
¿El evento de pérdida se origina por una incidencia Fraude
en el negocio o un fallo en los sistemas? Externo
SI
NO
Interrupción del ¿El impacto para el cliente deriva
¿La pérdida es el resultado negocio y fallos en de un fallo en el procesamiento
de un error involuntario o los sistemas de operaciones o en la gestión de
negligente de una procesos?
SI
obligación profesional
frente a clientes concretos,
NO
o de la naturaleza o diseño Ejecución, entrega y
SI Clientes, productos y
de un producto. gestión de los procesos prácticas comerciales
© JIMÉNEZ, E.
BDIPO
No disponibilidad de BIDPO internas
BASE DE DATOS GESTOR

ORX (Operational Riskdata eXchange Association) PriceWaterhuose.
CERO (Consorcio Español de Riesgo Operacional) Grupo de bancos españoles de ORX.
GOLD (Global Operational Loss Database) Bancos británicos.
MORE (Multinational Operational Risk Exchange) Gestionada por Netrisk
DIPO (The Database Italiano Perdite Operative) Banco de Italia. Sólo bancos italianos.
Algo OpVantage FIRST Fictch Ratings. Sólo eventos públicos.
© JIMÉNEZ, E.
Algunos casos específicos.
La retrocesión de comisiones.
- Las devoluciones de las comisiones que hayan sido cobradas al cliente de manera indebida, no deberían
registrarse como pérdidas operacionales al no materializarse merma alguna para la entidad.
- Si se debe considerar pérdida operacional la retrocesión de comisiones y ajustes de liquidaciones que hayan
sido efectuadas a un determinado cliente por razones comerciales y para lo cual el operador, en cuestión, no
tuviera la autorización pertinente. De este modo, dado que la compensación realizada por el empleado sobrepasaría
los límites de sus facultades, se catalogaría este hecho como un acto fraudulento y por ello se debería clasificar
como “fraude interno” por “actividades no autorizadas”.
Diferencias de caja.
Independientemente de la causa que las haya generado, se encuadrarán dentro del tipo de pérdida “recepción,
ejecución y mantenimiento de operaciones”. Además, en ningún caso, se podrán compensar las diferencias
negativas de caja con las positivas; de igual manera, cada desviación se debe considerar como un suceso único, no
siendo posible determinar como tal la suma de las diferencias contempladas por periodos semanales o mensuales.
Distinto tratamiento tendrán los faltantes en cajeros automáticos, ya que éstos se registraran dentro de
“sistemas”. Aunque, siempre y cuando la causa no haya sido un error en la recarga de los cajetines de billetes,
precisándose entonces también esta pérdida como “recepción, ejecución y mantenimiento de operaciones”.
© JIMÉNEZ, E.
RECOPILACIÓN DE DATOS SOBRE PÉRDIDAS POR RIESGO OPERACIONAL
Operational Risk Loss Data Collection Exercise (LDCE)
En junio de 2002, el Risk Management Group (RMG) realizó una recopilación de las
pérdidas operacionales acaecidas durante el año 2001 en el sector bancario. A este proceso,
incluido en el QIS3, se le conoce como el Operational Risk Loss Data Collection Exercise
(LDCE).
Tipo de
Riesgo
Prácticas de Clientes, Interrupción de Ejecución, Unza muestra de 89
empleo y productos y Daños a activos operaciones y entrega y
Línea (j) Fraude interno Fraude externo
de
seguridad
laboral
prácticas
comerciales
físicos fallos de
sistemas
gestión de
procesos bancos con actividad
Negocio (i)
Banca 0.04 0.04 0.19 0.19 0.04 0.02 0.47 internacional.

Corporativa 0.85 0.01 0.03 0.74 0.14 0.01 0.57
Negociación y 0.10 0.25 0.22 0.23 0.07 0.25 10.27
Ventas 0.87 0.58 0.32 1.21 0.48 0.19 8.10
Banca 2.87 38.86 5.01 4.47 0.56 0.35 11.55 Se registraron alrededor
Minorista 4.03 10.82 3.61 3.16 1.14 0.19 5.61
de 50.000 eventos de
Banca 0.19 3.68 0.17 0.60 0.11 0.09 1.96
Comercial 0.34 4.20 0.33 2.09 18.19 0.20 9.23 fallos operacionales.
Pagos y 0.05 0.81 0.13 0.03 0.01 0.14 2.91
Liquidaciones 0.31 0.29 0.18 0.01 0.16 0.05 1.39
Servicios a 0.01 0.03 0.01 0.02 0.00 0.03 2.43
Sucursales 0.01 0.06 0.01 0.01 0.00 0.01 1.98 Un montante en pérdidas
0.07 0.09 0.10 0.20 0.01 0.01 1.65
Gestión de
Activos 0.07 0.07 0.17 1.09 0.03 0.02 1.19
cercano a los 7.800
Intermediación 0.15 0.04 2.14 1.35 0.02 0.11 4.06 millones de euros.
Minorista 0.98 0.02 0.86 2.56 8.79 0.02 1.45
© JIMÉNEZ, E.
SEVERIDAD FRECUENCIA TIPO DE RIESGO
(%) (%)
7 3 Fraude interno
16 44 Fraude externo
Prácticas de empleo y
7 9 seguridad laboral
Clientes, productos y
13 7 prácticas comerciales
24 1 Daños a activos físicos

Severidad
Interrupción de operaciones Frecuencia
3 1 y fallos de sistemas
Ejecución, entrega y gestión
29 35 de procesos
© JIMÉNEZ, E.
SEVERIDAD FRECUENCIA LÍNEA DE
(%) (%) NEGOCIO
4 1 Banca Corporativa
15 12 Negociación y Ventas
30 64 Banca Minorista
29 7 Banca de Empresas
3 4 Pagos y Liquidaciones
Severidad
4 3 Servicios a Sucursales Frecuencia
3 2 Gestión de Activos
Intermediación
12 1 Minorista
© JIMÉNEZ, E.
LA GESTIÓN DEL RIESGO OPERACIONAL
"Basilea II representa un enfoque BUENAS PRÁCTICAS PARA

completo de la gestión de riesgos y la LA GESTIÓN Y SUPERVISIÓN DEL
RIESGO OPERACIONAL
supervisión bancaria”
Jean-Claude Trichet, “Sound Practices for the Management and
Presidente del Banco Central Europeo. Supervision of Operational Risk”
RIESGO BENCHMARKING
OPERACIONAL
ü Asegurar la continuidad del negocio de la

GESTIÓN
INTEGRAL
entidad a largo plazo.
(BIS II)
ü Suscitar la mejora continua de los procesos e
RIESGO RIESGO
DE DE incrementar la calidad del servicio al cliente.
CRÉDITO MERCADO
ü Cumplir el marco regulador establecido y

optimizar la asignación de capital.
© JIMÉNEZ, E.
BUENAS PRÁCTICAS PARA LA GESTIÓN Y
SUPERVISIÓN DEL ROp
RESPONSABILIDADES DE LA ALTA DIRECCIÓN:
1. Establecer políticas para la correcta gestión del riesgo operacional.

2. Asegurar y auditar el esquema de gestión del riesgo operacional.
Aspectos claves que hay que
3. Implementación del marco de gestión del riesgo operacional.
determinar en la entidad:
MARCO
1. Establecer la infraestructura
APROPIADO
DE GESTIÓN
conceptual de la gestión.
10 PRINCIPIOS
10. Los bancos deben realizar

GESTIÓN DEL RIESGO
4. Identificación y evaluación. 2. Establecer la arquitectura de
suficiente divulgación pública que OPERACIONAL
5. Indicadores de riesgos.
permita la evaluación de su enfoque DIVULGACIÓN
PROCESO
6. Control y mitigación. datos y sistemas de
para la gestión del riesgo operacional. DE GESTIÓN
7. Planes de contingencia
información.
SUPERVISORES
3. Contratar los recursos

humanos y tecnológicos
RESPONSABILIDAD DE LOS SUPERVISORES:
necesarios.
8. Exigir a todos los bancos que implementen un enfoque integral
para la gestión de riesgos.
9. Llevar a cabo una evaluación periódica de las políticas,
procedimientos y prácticas de riesgo operacional del banco.
© JIMÉNEZ, E.
EXTRUCTURA ORGANIZATIVA PARA EL CONTROL DEL ROp
EXTERNA INTERNA
Organismo
Supervisor Consejo de
Administración
Auditoría Comité de Comité de

Externa Riesgos Auditoría
Comité de Auditoría
Asesoría Riesgo Operacional Interna
Externa
Unidad de Riesgo
Operacional
Unidades de
Negocio
Unidades de
Soporte
© JIMÉNEZ, E.
© JIMÉNEZ, E.
LA IDENTIFICACIÓN DE LA PÉRDIDA
OPERACIONAL.
Proceso de Gestión
del
Riesgo Operacional
Evaluación
Control y Reportin
Identificació / Seguimie
Mitigación g
n de Riesgos Medición nto
Base de Datos Interna de Pérdidas Operacionales (BDIPO)

Elemento Sine Qua Non
© JIMÉNEZ, E.
Unidad de Riesgo Operacional
Proceso de Gestión del Riesgo Operacional
Organización
Políticas Tecnología
Infraestructura
de Gestión
Sistema de Datos de
Información Pérdidas
Herramientas
y metodologías
Identificación Evaluación Seguimiento Control Reporting

© JIMÉNEZ, E.
HERRAMIENTAS DE GESTIÓN
Enfoque Cualitativo.
- FLUJOGRAMA DE PROCESOS: El diagrama de procesos y
riesgos ilustra gráficamente, pasos a paso, los procesos
identificados en cada área de negocio, junto con los riesgos
inherentes a los mismos.
- MAPAS DE RIESGOS: Una vez identificados los riesgos
asumidos, se plasman de manera ordenada por tipología;
especificando a que procesos, productos o servicios y unidades
de negocio o de soporte afectan. De esta forma, el mapa de
riesgos permite advertir áreas con debilidades críticas donde es
necesario actuar de forma prioritaria.
- AUTO-EVALUCIONES (Self-Assessments): Son llevadas a
cabo por las propias unidades de negocio y de soporte, para
tratar de evaluar el grado de adecuación sobre el control del
riesgo, con el objeto de determinar los puntos de control que
se deben mejorar.
© JIMÉNEZ, E.
Enfoque Cuantitativo.
- BASES DE DATOS: Como ya adelantamos en el Capítulo 2,
habrá que definir e implementar un procedimiento de
identificación y recopilación de las pérdidas por riesgo
operacional, que permitan un análisis completo del perfil de
riesgo de la entidad, en términos de frecuencia y severidad de
los fallos operacionales.
- MODELOS ACTUARIALES: La adecuación de los datos
capturados y su correcto tratamiento posterior serán vitales
para el desarrollo de modelos actuariales que permitan reflejar
con robustez estadística el perfil de riesgo de la entidad. El
enfoque de Distribución de Pérdidas Agregadas (Loss
Distribution Approach, LDA) –en el que profundizaremos
metodológicamente en el Capítulo 4– es el mejor posicionado
para el tratamiento estadístico del riesgo operacional.
- REDES CAUSALES (Causal Networks): Este enfoque
bayesiano se fundamenta en los factores de riesgo operacional.
Técnicamente, describe las relaciones causa-efecto entre las
diferentes pérdidas (véase Giudici, 2004). A partir de estas
redes causales, se pueden ejecutar simulaciones que generen
distribuciones de pérdidas que se irán agregando de abajo hacia
arriba siguiendo, así, un proceso bottom-up (Jorion, 2003).
© JIMÉNEZ, E.
Enfoque Mixtos.
- INDICADORES DE RIESGO: Pueden sustentarse en variables
cuantitativas o cualitativas, si bien, por lo general suelen ser
datos estadísticos –con frecuencia financieros–. Los
indicadores se utilizan como sistemas de predicción y
seguimiento de los niveles de riesgo operacional. El
seguimiento de los indicadores en el tiempo permite observar
cambios de tendencia y, por ende, anticiparse a debilidades en
los procesos y actividades.
- ALERTAS: Están vinculadas a los indicadores de riesgo,
constituyendo un método para avisar de potenciales problemas
cuando el nivel de un indicador supera un determinado umbral.
- CUADROS DE MANDO (Scorecards): Permiten trasladar
evaluaciones cualitativas a mediciones cuantitativas,
posibilitando la ordenación de los diferentes tipos de riesgos
operacionales o la asignación del capital entre líneas de negocio
(PricewaterhouseCoopers, 2002).
© JIMÉNEZ, E.
FLUJOGRAMA DE PROCESOS
© JIMÉNEZ, E.
FLUJOGRAMA DE PROCESOS
Riesgos identificados en el flujograma.
Código Categoría Categoría

Descripción
Evento (Nivel 1 BIS) (Nivel 2 BIS)
R1 Falsificación. Fraude externo. Robo y fraude.

Errores de introducción Prácticas con clientes, Productos
R2
de datos. productos y de negocio. defectuosos.
Ausencia de
Prácticas con clientes, Selección, patrocinio y
R3 investigación a clientes
productos y de negocio. exposición.
conforme a directrices.
Captura de
Comunicación Ejecución, entrega y transacciones,
R4
defectuosa. gestión de los procesos. ejecución y
mantenimiento
Prácticas inadecuadas de Prácticas con clientes, Prácticas inadecuadas
R5
negociación. productos y de negocio. de negociación.
© JIMÉNEZ, E.
MAPA DE RIESGO OPERACIONAL
Evaluación de los Riesgos.

Siguiendo un orden metódico, una vez detallados los riesgos inherentes a
la actividad, procederemos a su evaluación y medición. Según, Taylor et
al (1998), para realizar un análisis de riesgo se deben distinguir tres pasos:
1. Estimar la amenaza o peligro: cuantificar la frecuencia e impacto del
riesgo.
2. Evaluar la vulnerabilidad: determinar la calidad de los controles
establecidos.
3. Estimar el riesgo realmente asumido como resultado de relacionar los
dos parámetros anteriores.
El modelo óptimo de valoración de riesgos operacionales se debe apoyar
tanto en variables cuantitativas como en aspectos cualitativos que
aporten los factores del riesgo potencial no contemplados en el histórico
de pérdidas.
© JIMÉNEZ, E.
IMPACTO ECONÓMICO
NIVEL RANGOS DESCRIPCIÓN
5 Catastrófica Pérdidas económicas enormes.
4 Alta Pérdidas económicas mayores.
3 Moderada Pérdidas económicas medias.
2 Baja Pérdidas económicas bajas.
1 Insignificante Pérdidas económicas mínimas.
© JIMÉNEZ, E.
FRECUENCIA
NIVEL RANGOS DESCRIPCIÓN

La expectativa de ocurrencia se da en todas las
5 Muy Alta
circunstancias.
Probabilidad de ocurrencia en la mayoría de las
4 Alta
circunstancias.
3 Moderada Puede ocurrir.
2 Baja Podría ocurrir algunas veces.
1 Muy Baja Puede ocurrir sólo bajo circunstancias excepcionales.
© JIMÉNEZ, E.
Riesgo Inherente y el Riesgo Residual
© JIMÉNEZ, E.
Una vez relativizado el riesgo en función de la cobertura establecida,

realizaremos una nueva clasificación jerárquica de los riesgos –más
afinada– en la que dicha valoración resultaría –cómo si de una cartera de
títulos se tratara– de la combinación de tres factores: el impacto, la
frecuencia y los controles implantados. Los riesgos se ordenarían ahora en
cuatro rangos:
1. Riesgo extremo: se requiere acción inmediata.
2. Riesgo alto: requiere atención de la alta dirección.
3. Riesgo moderado: aceptable, debe ser administrado con
procedimientos normales de control.
4. Riesgo bajo: se administra con procedimientos rutinarios, riesgo
insignificante.
© JIMÉNEZ, E.
Matriz de Riesgos Operacionales
Código IMPACTO FRECUENCIA

Descripción RIESGO
Evento (1-5) (1-5)
R1 Falsificación. 3 2 MODERADO
Errores de introducción
R2 de datos. 2 3 MODERADO
Ausencia de
investigación a clientes
R3 conforme a directrices. 4 1 ALTO
Comunicación
R4 defectuosa. 3 3 ALTO
Prácticas inadecuadas
R5 de negociación. 4 2 ALTO
© JIMÉNEZ, E.
-Riesgo Extremo: Rojo. - Riesgo Alto: Naranja.
- Riesgo Medio: Amarillo. - Riesgo Bajo: Verde.
Muy Alta 5
Alta 4
FRECUENCIA
Moderada 3 R2 R4
Baja 2
R1 R5
Muy Baja 1
R3
1 2 3 4 5
Insignificante Baja Moderada Alta Catastrófica
IMPACTO
© JIMÉNEZ, E.
1º Número de factores de riesgo, evaluados como riesgo alto, superior
al 25%: el tipo de riesgo analizado se evalúa en conjunto como de
riesgo alto; si no se cumple esta condición se evalúa en el siguiente
intervalo.
2º Número de factores de riesgo evaluados como riesgo alto o medio-
alto más del 25%: el tipo de riesgo analizado se evalúa en conjunto
como de riesgo medio-alto; si no se cumple esta condición se
evalúa en el siguiente intervalo
3º Número de factores de riesgo evaluados como riesgo alto, medio-
alto o medio más del 50%: el tipo de riesgo analizado se evalúa en
conjunto como de riesgo medio
4º Si no se han cumplido ninguna de las condiciones anteriores el tipo
de riesgo analizado se evalúa en conjunto como de riesgo bajo.
© JIMÉNEZ, E.
Planes de Acción
Riesgo Extremo: El riesgo es inaceptable. Es aconsejable, si es

posible, eliminar la actividad que genera el riesgo; de lo contrario
se deben implementar nuevos controles, de prevención, en
primer lugar, para reducir la probabilidad; y de protección, en
segundo término, para disminuir las consecuencias o, en su
defecto, transferir el riesgo, si es posible, por medio de contrato
de seguros.
Riesgo Alto: El riesgo es importante. Se deben tomar medidas
para bajar la severidad; que se fundamentarán en el
fortalecimiento y mejora de los controles existentes.
Riesgo Moderado: El riesgo es tolerable. Se pueden tomar
medidas para bajar la severidad; si es posible, se deben conservar
y mejorar los controles.
Riesgo Bajo: El riesgo es aceptable. La entidad puede asumir el
riesgo sin necesidad de tomar otras medidas de control diferentes
a las que se poseen.
© JIMÉNEZ, E.
Tipo de Prácticas Interrupción
Clientes, Ejecución,
Riesgo de empleo Daños a de
Fraude Fraude productos y entrega y
y activos operaciones
interno externo prácticas gestión de
Área seguridad físicos y fallos de
comerciales procesos
Organizativa laboral sistemas
Área 1
Área 2
Área 3
Área 4
Área 5
.
.
.
Área n
© JIMÉNEZ, E.
Auto-Evaluaciones
Proceso de Evaluación de los Puntos de Control
Rango de ponderación de los puntos de control.
CALIFICACIÓN CRITICIDAD MEDIDAS DE CONTROL

Opcionales
1 Muy Baja
(Análisis Coste/Beneficio)
2 Baja Deseables
3 Moderada Convenientes
4 Alta Necesarias
5 Extrema Imprescindibles
© JIMÉNEZ, E.
Auto-Evaluaciones
Adecuación de los Puntos de Control
Tras ponderar los puntos hay que valorar su adecuación. Para ello se
establece un rango comprendido entre 0 y 4, determinando la puntuación
o rating 4 el mayor grado de cumplimiento y 0 el menor. Los encargados
de cuantificar la adecuación de los puntos de control a los estándares
establecidos deben ser responsables o personal adscrito a las propias
áreas, dado que son éstos los que mejor conocimiento del área han de
tener. Sin embargo, este hecho transfiere un alto grado de subjetividad a
los resultados de la herramienta, debido a la parcialidad implícita en las
respuestas. Dado que la fiabilidad de la herramienta está fuertemente
correlacionada con la autenticidad y solidez de los inputs del modelo, se
considera necesario que las respuestas o ratings sean auditados o
confrontados por la Unidad de Riesgo Operacional o la de Control
Interno, en su defecto
© JIMÉNEZ, E.
Auto-Evaluaciones
Determinación del Nivel de Adecuación
© JIMÉNEZ, E.
Auto-Evaluaciones
Auto-evaluación del Área de Servicio Técnico.
PUNTOS DE CONTROL P R ADECUACIÓN
PC-1 ¿Se dispone de sistema informático que gestione de manera

4 1 25,00%
centralizada todas las solicitudes de servicio?
PC-2 ¿Se dispone de un teléfono de asistencia 24 horas? 3 3 75,00%
PC-3 ¿Hay establecido un control de calidad que evalúe el servicio

4 4 100,00%
de asistencia?
PC-4 ¿Se realizan revisiones periódicas del estado de conservación
3 1 25,00%
y utilidad del inventario de inmovilizado?
PC-5 ¿Se tiene establecido un servicio de mantenimiento integral
1 4 100,00%
para edificios declarados como patrimonio histórico o artístico?
PC-6¿Se ha realizado un análisis sobre la capacidad de respuesta o
5 0 0,00%
servicio de la entidad en una situación crítica?
PC-7 ¿Hay implantado un sistema de control que alerte del
5 1 25,00%
vencimiento de las revisiones?
PC-8 ¿Se responsabiliza este área de la revisión periódica? 2 2 50,00%
GRADO DE ADECUACIÓN DEL ÁREA 41,67%
© JIMÉNEZ, E.
Auto-Evaluaciones
Rango de calificaciones cualitativas.
CALIFICACIÓN INTERVALO (%) ADECUACIÓN

A 81-100 ÓPTIMA
B 61-80 BUENA
C 41-60 ADECUADA
D 21-40 DEFICIENTE
E 0-20 MUY DEFICIENTE
Ejemplo de calificaciones cualitativas.
CÓDIGO
ÁREA ADECUACIÓN CALIFICACIÓN
ÁREA
A1 Marketing 15,34% MUY DEFICIENTE (E)
Servicio
A2 41,67% ADECUADA (C)
Técnico
Servicios
A3 87,80% ÓPTIMA (A)
Jurídicos
Medios de
A4 72,67% BUENA (B)
Pago
A5 Tesorería 33,65% DEFICIENTE (D)
© JIMÉNEZ, E.
Representación gráfica de la
evaluación cualitativa de una
entidad
© JIMÉNEZ, E.
INDICADORES DE RIESGO
Área de Negocio Tipo de
Causa del Riesgo INDICADOR
o de Soporte Riesgo
Banca Minorista Acceso no autorizado Hurto y fraude Número de bloqueos de operaciones de acceso
a cuentas al servicio de Banca Telefónica.
Banca Minorista Acceso no autorizado Seguridad de Número de accesos al portal de Internet
a cuentas los sistemas bloqueados.
Banca Minorista Potenciales Actividades no Número de operaciones de activo donde se han

actividades autorizadas detectado más de 3 modificaciones de los datos
fraudulentas introducidos en los sistemas de calificación
crediticia en un periodo.
Medios de Pago Errores en la Sistemas Porcentaje de cajeros, que presentan descuadres

ejecución de tareas o incidencias en la realización de los arqueos,
sobre el total de los cajeros.
Operaciones Publicación errónea Gestión de Número de reclamaciones originadas por

de datos. cuentas de comunicaciones de letras incorrectas al RAI
clientes (Registro de Aceptaciones Impagadas).
Tesorería Incumplimiento de Actividades no Número de veces que se han superado los

límites / Fallos de autorizadas límites establecidos por el área para posiciones
modelo abiertas de divisas.
Recursos Pérdidas de Relaciones Tiempo medio de espera que tarda en cubrirse

Humanos oportunidades por laborales un puesto de personal.
carecer de los
recursos necesarios
Internacional Ineficiencias en la Recepción, Porcentajes de envíos SWIFT (Society for

gestión del proceso ejecución y Worldwide Interbank Financial Telecommunication)
mantenimiento manuales respecto al total de envíos SWIFT.
de operaciones
© JIMÉNEZ, E.
EL MODELO INTEGRAL DE GESTIÓN DEL
RIESGO OPERACIONAL
© JIMÉNEZ, E.
Metodologías de Medición del Riesgo Operacional
ØFacilitar la racionalización de las pólizas de seguros.

ØPermite su inclusión en el cálculo de la rentabilidad ajustada al riesgo.
COMPLEJIDAD MAYOR
CRECIENTE ADECUACIÓN
•Distribución de Pérdidas (LDA, Loss
Distribution Approach)
METODOLOGÍAS •Cuadros de Mando (Scorecards)
AVANZADAS
•Modelos de Medición Interna (IMA,
Internal Measurement Approach)
MÉTODO ESTÁNDAR
8
KTSA = ∑ b GI i i
i =1
MÉTODO DEL INDICADOR å (GI 1...n x a)

BÁSICO
K BIA = i =1
n
© JIMÉNEZ, E.
MÉTODO DEL INDICADOR BÁSICO
(BIA, Basic Indicator Approach)
n KBIA: Requerimiento de capital.
å (GI 1...n x a) GI: Ingresos brutos anuales medios de los tres últimos
años.
n: nº de años, entre los tres últimos, en los que los
K BIA = i =1 ingresos brutos fueron positivos.
α: 15%. Coeficiente alfa fijado por el Comité.
n
-Muy elemental y poco sensible al riesgo.

-Modelo “Top-Down”.
-No tiene en cuenta la calidad de los controles (poco incentivador).
-Método de cálculo conservador (mayor coste de capital respecto al resto de
metodologías).
© JIMÉNEZ, E.
EL COEFICIENTE ALFA
El Comité [2006a: 160] define
0,12 x MRCB ,t textualmente alfa como: “un parámetro
a B ,t = que relaciona el capital exigido al conjunto
GI B ,t del sector con el nivel del indicador en el
conjunto del sector”.
aB,t: Parámetro alfa de un banco B en el año t.

MRCB,t (Minimum Regulatory Capital): Requerimientos mínimos de capital (coeficiente
del 8%) para un banco B en el año t. El 12% representa el cómputo del riesgo operacional
sobre el total de requerimientos.
GIj,t (Gross Income): Ingresos Brutos de un banco B en el año t.
© JIMÉNEZ, E.
EL COEFICIENTE ALFA
0,12 x MRCB ,t Inicialmente, se delimitó alfa en torno al 30%; sin embargo,
a B ,t = el valor de la variable quedó finalmente establecido en el
GI B ,t
15% [Basel, 2003b: CP3].
.
Estimación con un
Estudio del Risk Management Group (RMG) escaso rigor empírico
(Cifras en tantos Media Desviación Percentil Percentil
Mediana Media
por cientos) Ponderada Típica 25 75
Total 19,0 22,1 18,6 13,5 13,7 24,6
Grupo 1 16,8 21,8 18,3 13,6 13,6 22,5
Grupo 2 20,5 22,4 22,0 13,4 13,9 25,3

© JIMÉNEZ, E.
EL INDICADOR DE EXPOSICIÓN
Riesgo de arbitraje regulador; ya que el
volumen de ingresos y, por ende, el nivel
Ingresos Brutos de riesgo dependen del marco contable
Ingresos netos de intereses.
de cada país.
Medida bruta de: Ejemplo: dos bancos “A” y “B”, donde

Provisiones dotadas;
Gastos de explotación; “A” generase mayores ingresos que
Excluya: “B”, pero, a su vez, implementase
Bº/Pª derivados de venta de mejores prácticas de gestión de riesgos;
valores (cartera de inversión);
Partidas extraordinarias; “A”, bajo este enfoque, estaría sometido
Ingresos derivados de seguros. a un mayor coste de capital, por riesgo
operacional, que “B”.
© JIMÉNEZ, E.
MÉTODO ESTÁNDAR
(SA, Standardized Approach)
KTSA: Requerimientos de capital.
GIi: Ingresos brutos por Línea de Negocio.
K SA = {å años (1-3 ) max [å (GI (1-8 ) xb (1-8 ) ),0]} 3 βi: Coeficiente establecido por el Comité.
- Las actividades de los bancos se dividen en ocho líneas de negocio.

- El ingreso bruto de cada línea negocio se utiliza como indicador (GI) para
reflejar el tamaño y el volumen de operaciones del banco en dicha área.
- El capital requerido en cada línea de negocio se calcula multiplicando el ingreso
bruto por un factor, denominado beta, que se asigna a cada una de las líneas.
- Total de capital requerido se calculará como la simple suma de las necesidades
de capital regulador de cada una de las líneas de negocio.
© JIMÉNEZ, E.
MÉTODO ESTÁNDAR
COEFICIENTES BETA
Líneas de Negocio Beta
Banca Corporativa β 1=18%

Banca de Inversión
Negociación y Ventas β 2=18%
Banca Minorista β 3=12%
Banca Comercial β 4=15%

Banca Comercial
Pagos y Liquidaciones β 5=18%
Servicios de Agencia β 6=15%
Gestión de Activos β 7=12%

Otros Servicios
Financieros
Intermediación Minorista β 8=12%
© JIMÉNEZ, E.
MÉTODO ESTÁNDAR
COEFICIENTES BETA Estudio del Risk Management Group (RMG)
0,12 x MRC B , i xOpRiskShare B , i Estimación con un
b B,i =
GI B , i escaso rigor empírico
Media
Ponderada Desviación Percentil Percentil
(Cifras en tantos por cientos) Beta Mediana Media
(por los Ingresos Típica 25 75
Brutos)
Banca Corporativa 18 13,1 23,6 12,0 24,9 6,3 36,1
Negociación y Ventas 18 17,1 24,1 20,2 18,3 12,3 39,1
Banca Minorista 12 12,5 12,7 11,0 12,7 8,7 16,8
Banca Comercial 15 13,2 16,9 15,2 11,6 9,4 21,1
Pagos y Liquidaciones 18 20,8 20,3 18,5 12,8 10,0 24,8
Servicios de Agencia 15 17,4 23,2 18,3 21,8 9,8 21,7
Gestión de Activos 12 13,3 18,5 15,2 16,7 7,9 21,0
Intermediación Minorista 12 11,3 14,9 16,1 7,3 9,7 19,9
© JIMÉNEZ, E.
EL MODELO DE DISTRIBUCIÓN DE PÉRDIDAS

(LDA, Loss Distribution Approach)
Tipo de Riesgo
Prácticas de Clientes, productos Interrupció n de Ejecución, entrega
Línea (j) Daños a activ os
Fraude interno Fraude externo empleo y seguridad y prácticas operaciones y fallos y gestión de
de físicos
laboral comerciales de sistemas procesos
Negocio (i)
Banca Corporativa
Negociación y
Ventas
B a s e DE
BASE d e DATOS
D a to s FRECUENCIA
0,25
SEVERIDAD
0,14
Banca Minorista
C a te g o r iz a c ió n d e la P é r d id a s 0,12
Categorización p ode las Pérdidas

0,20
Banca de r 0,10
L ín e a dpor
Empresas
e N eg o c io
0,15
0,08
Pagos y
Línea deyNergocio
Liquidaciones 0,06
0,10
Servicios a
T ip o d e R ie sg o O p e r a c io n a l 0,04
y
Sucursales
0,05
0,02
Gestión de Activos
Tipo de Riesgo Operacional
26 ,0
15,0
20,5
9 ,5
4,0
0,00
10
12
16
18
20
14
0,00
8
0
4
Intermediación
Frecuencia Severidad
Minorista
Distribución de Pérdidas Agregadas

Probabilidad
Pérdidas Pérdidas Pérdidas
Tipo de Riesg o
Línea (j)
Prácticas de Clientes, productos
Daños a activo s
Interrupción de Ejecución, entrega 3 , 5 Esperadas Inesperadas Extremas
de físico s
Negocio (i) 3 , 0
2 , 5
Banca Co rporativa OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR
2 , 0
Negociación y
Ventas OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR 1 , 5
OpVaR
(99,9%)
1 , 0
Banca Minorista OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR
0 , 5
- 1 0
2 0
1 0
3 0
4 0
5 0
6 0
7 0
8 0
Banca de
Empresas OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR
0
0 , 0
8 7 Media
K LDA = ∑∑ CaRij (a ) Pérdidas Agregadas (unidades monetarias)

Pago s y
Liquidaciones OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR
Servicios a
Sucursales OpVaR OpVaR OpVaR OpVaR i =1 j =1OpVaR
OpVaR OpVaR
Gestión de Activos OpVaR OpVaR OpVaR OpVaR Cómputo de OpVaR OpVaR OpVaR
Intermediación
Minorista OpVaR OpVaR OpVaR OpVaR Capital por OpVaR OpVaR OpVaR
Riesgo
Operacional © JIMÉNEZ, E.
(LDA, Loss Distribution Approach)
-Se fundamenta en la recopilación de pérdidas históricas.
-Matriz Línea de Negocio/Tipo de riesgo (56 casillas). Distribución de Pérdidas
Agregada.
-Distribuciones de la Fecuencia y de la Severidad.
Tipo de Interrupción
Prácticas de Clientes, Ejecución,
Riesgo de
Fraude empleo y productos y Daños a entrega y
Línea (j) Fraude interno operaciones y
de
Negocio (i)
externo seguridad
laboral
prácticas
comerciales
activos físicos
fallos de
sistemas
gestión de
procesos Cálculo del Capital
Banca Regulatorio:
Corporativa
Negociación y
VaR
Ventas
OpVaR
Banca
Minorista CaR (i,j;α) Capital Regulatorio para un Tipo de Riesgo (j) Riesgo
dentro de una Línea de Negocio (i) dado un Operacional
Banca de Intervalo de Confianza (α):
Empresas CaR
OpVaR º CaR(i, j;a ) = EL(i, j ) + UL(i, j;a ) [2] (Capital-at-Risk).
Pagos y
Liquidaciones
EL (Expected Loss): Pérdida Esperada.
Servicios a
UL (Unexpected Loss): Pérdida Inesperada. Si no se cubre la EL, el
Sucursales CaR debe contemplarla,
8 7
junto a la UL, para su
Gestión de
Activos K LDA = CaR (a ) = ∑∑CaR ij (a ) cómputo; de ahí la
Intermediación
Minorista
i =1 j =1 identidad entre éste y el
OpVaR. © JIMÉNEZ, E.
EL OpVaR
El Valor en Riesgo Operacional
OpVaR: Cifra (unidades monetarias) que nos informa sobre la mínima pérdida potencial en
la que podría incurrir una determinada LÍNEA DE NEGOCIO (i) por
TIPOLOGÍA DE RIESGO OPERACIONAL (j), dentro de un plazo determinado y
con un cierto nivel de confianza estadístico.
Ilustración del concepto OpVaR para un intervalo de confianza dado:
Probabilidad
Percentil de una distribución
3,5
Esperadas No Esperadas Extremas

3,0
2,5 de pérdidas, originadas por

2,0
fallos operacionales y no por
OpVaR
1,5
(99,9%) variaciones en los precios de

activos financieros.
1,0
0,5
0,0
0
10
20
30
40
50
60
70
80
-10
Media
Pérdidas Agregadas (unidades monetarias)
© JIMÉNEZ, E.
© JIMÉNEZ, E.
El Modelo de Distribución de Pérdidas Agregada (LDA)
1ER PASO: Modelación de la Frecuencia.
(Loss Frequency Distribution)
La frecuencia es una variable aleatoria discreta que representa el número

de eventos observados durante un periodo de tiempo establecido, con una
determinada probabilidad de ocurrencia.
MATEMÁTICAMENTE…
La variable aleatoria N(i,j) simbolizará el número de eventos ocurridos en una línea i debidos a un tipo
de riesgo j; en un horizonte temporal (τ) de un año; con una función de masa pi,j. Esta variable discreta
representa la frecuencia de las pérdidas, cuya función de distribución, Pi,j, se expresa como:
n
Ρi , j (n) = å pi , j (k )
k =0
© JIMÉNEZ, E.
1ER PASO: Modelación de la Frecuencia.
(Loss Frequency Distribution)
Distribución Función de Probabilidad Parámetros
lx e - l
Poisson f (x ) = l >0
x!
Distribución Poisson para λ = 10 ænö n>0
Binomial f ( x ) = çç ÷÷ p x (1 - p )n - x
0,18
èx ø 0 < p <1
0,16 æ s + x - 1ö S s>0
Binomial Negativa f ( x ) = çç ÷÷ p (1 - p )x
è x ø 0 < p <1
0,14
0,12
0,10
La distribución de Poisson es muy
0,08 intuitiva ya que se encuentra
caracterizada por un único parámetro
0,06
lambda (λ), el cual representa, por
0,04
término medio, el número de sucesos
ocurridos en un año.
0,02
0,00
© JIMÉNEZ, E.
4
10
12
14
16
18
20
El Modelo de Distribución de Pérdidas Agregada (LDA).
2º PASO: Modelación de la Severidad.
(Loss Severity Distribution)
A diferencia de la frecuencia, la severidad es una variable aleatoria continua

que representa la cuantía de pérdida operacional
Matemáticamente, se denota por X(i, j), siendo, Fi,j, su función de probabilidad.

Ajustemos distintos modelos de distribución probabilística a una serie histórica
de pérdidas operacionales, desglosadas por su tipología, para una determinada
línea de negocio. El objetivo es determinar los parámetros de la distribución que
mejor encajen con los datos observados.
ATENDIENDO A LA CURTOSIS…
Moscadelli [2004] propone comenzar por distribuciones de

cola suave como la Weibull; en segundo lugar, testar aquellas
distribuciones de cola media o moderada, entre otras la
Lognormal o la Gumbel; y, por último, distribuciones, como la
Pareto, caracterizada por presentar colas anchas (fat tails)
© JIMÉNEZ, E.
2º PASO: Modelación de la Severidad.
(Loss Severity Distribution)
Ajustemos distintos modelos de distribución probabilística a una serie histórica
de pérdidas operacionales desglosadas por su tipología para una determinada
línea de negocio. El objetivo es determinar los parámetros de la distribución
0,25
que mejor encajen con los datos observados.
Lognormal para µ=5 y Distribución Función de Densidad Parámetros

2
(ln x - µ )
0,20 σ=2. 1 -
Lognormal (LN) f ( x) = e 2s 2 µ ,s > 0
x 2ps
0,15 ax a -1 a
Weibull (W) f ( x ) = a e -( x / b ) a, b > 0
b
a -1
1 æxö a, b > 0
0,10 Gamma (G) f ( x) = ç ÷ e-x / b
bG(a ) çè b ÷ø
xaa
0,05 Pareto (Pa) f ( x) = a,l > 0
(l + x )a +1
x-µ x-µ
1 b -e b
µ, b > 0
Gumbel (Gu) f ( x) = e e
0,00
b
0
10
12
14
16
18
20
Burr (Bu) f ( x ) = tab a xt -1 ( b + xt ) - (a +1) a , b ,t > 0
© JIMÉNEZ, E.
3er PASO: La Distribución de Pérdidas Agregada.
(La Convolución)
La convolución es un proceso matemático que transforma las distribuciones
de frecuencia y severidad en una tercera distribución (Distribución Agregada,
LDA) mediante la superposición de ambas.
Probabilidad

3,5
Esperadas Inesperadas Extremas
3,0
2,5
ì¥
2,0
å n* OpVaR
ï pi , j (n)Fi , j ( x) x>0
1,5
(99,9%)
G i , j ( x) = í n =1 1,0
ï p (0) x=0
î i, j
0,5
0,0
Media
0
10
20
30
40
50
60
70
-10
Pérdidas Agregadas (unidades monetarias)
Una vez obtenida la Función de Pérdidas Agregada, para el cálculo

del OpVaR basta determinar el percentil correspondiente para el
nivel de confianza seleccionado. © JIMÉNEZ, E.
3er PASO: La Distribución de Pérdidas Agregada.
(La Convolución)
Una vez determinada la función de distribución agregada, para el cálculo del capital regulatorio
vinculado a cada casilla, basta aplicar el concepto de Valor en Riesgo Operacional (OpVaR), es decir,
el CaR debería cubrir sólo la pérdida no esperada (UL):
calcular el percentil del 99,9% de dicha distribución.
CaR = UL(i , j ;a ) En sentido riguroso
Sin embargo, en el caso de que la cobertura de la pérdida esperada no quede adecuadamente
contrastada; el supervisor tiene potestad para instar a la entidad a que contemple en el capital
regulatorio ambas pérdidas para su cómputo; de ahí la identidad entre CaR y OpVaR.
CaR º OpVaR(i , j ;a ) = Gi-1

, j (a )
= EL(i , j ) + UL(i , j ;a )
Matemáticamente, la pérdida esperada podemos definirla como:
¥
EL(i , j ) = E[L(i , j )] = ò xdGi , j ( x ) = E[ X (i , j )] x E[N(i , j )]
0
Por consiguiente, la pérdida no esperada se expresaría de la siguiente forma:
{ } ¥
UL(i , j ;a ) = Gi-,1j (a ) - Ε[L(i , j )] = inf x Gi,j ( x ) ³ a - ò xdGi , j ( x )
0 © JIMÉNEZ, E.
EL PROCESO METODOLÓGICO: RESUMEN
Tipo de Riesgo
Prácticas de Clientes, productos Interrupción de Ejecución, entrega
Línea (j) Daños a activos
de físicos
Negocio (i)
Banca Corporativa
BASE DE DATOS
1. La Transformada Rápida de
Negociación y FRECUENCIA SEVERIDAD
Ventas 0,25
0,14
Banca Minorista 0,12
Categorización de las Pérdidas Fourier, Klugman et al (2004)

0,20
0,10
Banca de
por
Empresas
0,15
0,08
Pagos y
Línea de Nergocio 2. El Algoritmo Recursivo de

Liquidaciones 0,06
0,10
Servicios a 0,04
y
Sucursales
0,05
0,02
Gestión de Activos
Tipo de Riesgo Operacional 0,00

0,00
Panjer (1981).
4,0
9,5
15,0
20,5
26,0
10
12
14
16
18
20
Intermediación
Minorista
CONVOLUCIÓN
3. Enfoque de Simulación por
Probabilidad
Montecarlo, Klugman et al
(2004)
Tipo de Riesgo
Línea (j)
Daños a activos
Interrupción de Ejecución, entrega 3,5 Esperadas Inesperadas Extremas
de físicos
Negocio (i) 3,0
4. La Aproximación de la Pérdida
2,5
Banca Corporativa OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR
2,0
Negociación y
Ventas OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR 1,5
OpVaR
(99,9%)
1,0
0,5
Simple, Böcker y Klüppelberg
Banca de
OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR
(2005).
Empresas 0,0
Media
0
10
20
30
40
50
60
70
80
-10
8 7 OpVaR
ì
¥
Pagos y
OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR Pérdidas Agregadas (unidades monetarias)
∑∑OpVaR
Liquidaciones
(a )
å
OpVaR= OpVaR
K LDA CaRijOpVaR
n*
x>0
Servicios a
OpVaR OpVaR OpVaR
ï pi , j (n)Fi , j ( x)
Sucursales
i =1 j =1
OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR
G i , j ( x) = í n =1
Gestión de Activos
Intermediación
Cómputo de
Minorista OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR
Capital por Riesgo

ï p (0) x=0
Operacional
î i, j
© JIMÉNEZ, E.
UNA APROXIMACIÓN DEL CAR POR SIMULACIÓN DE MONTECARLO
ANALICEMOS DOS POSIBLES FILAS DE LA MATRIZ

BANCA MINORISTA (BM) BANCA COMERCIAL (BC)
Hipótesis I: BM presenta un mayor volumen de negocio y transacciones que BC
Frecuencia: Poisson (λ=100) Frecuencia: Poisson (λ=10)
El parámetro lambda representa el nº medio de eventos de Pas al año
Severidad: Weibull (α=0,5; β=10) Severidad: Weibull (α=0,75; β=80)
Hipótesis II: Ambas unidades de negocio presentan, empíricamente, distribuciones de severidad

con una clara ASIMETRÍA POSITIVA y un alto grado de LEPTOCURTOSIS, lo cual se traduce en
la existencia de una elevada concentración de pérdidas de bajo impacto económico –pensemos en
las típicas diferencias de caja de las sucursales bancarias–, y una cola relativamente gruesa (fat
tail) –por ejemplo, aquellos casos aislados de banca paralela o lavado de capitales–.
© JIMÉNEZ, E.
UNA APROXIMACIÓN DEL CaR POR SIMULACIÓN DE MONTECARLO
Histograma para la Distribución de Severidad.
7
6
Frecuencia (valores x 10-2)
5
Banca Minorista
4
3
Análisis descriptivo para las
distribuciones de severidad
2
0
0 130 260 390 520 650
simuladas:
Pérdidas (miles de euros)
1,4
BANCA MINORISTA BANCA COMERCIAL
1,2
Media 20.200 euros 95.451 euros
Frecuencia (valores x 10 -2)
0,8
Banca Comercial Desviación Típica 44.721 euros 128.862 euros
0,6 4,03 2,52

Asimetría
0,4
Curtosis 22,92 10,90
0,2
0
0 130 260 390 520 650
Pérdidas (miles de euros)

© JIMÉNEZ, E.
RESULTADOS DE LA SIMULACIÓN.
Banca Minorista Banca Comercial
Distribución Poisson Poisson

Frecuencia
Parámetros λ=100 λ=10
Distribución Weibull Weibull

Severidad
Parámetros α=0,5 β=10 α=0,75 β=80
Pérdida Esperada (EL) 1.967.900 euros 856.830 euros
Pérdida No Esperada (UL) 1.885.380 euros 2.054.730 euros

CaR95% 2.846.200 euros 1.776.940 euros
LDA CaR99% 3.316.100 euros 2.196.430 euros
CaR99,9% 3.853.270 euros 2.911.550 euros
Ratio EL/CaR99,9% 51,07% 29,43%
Ratio UL/CaR99,9% 48,93% 70,57%

© JIMÉNEZ, E.
El análisis de sensibilidad desarrollado sobre el RESULTADOS DE LA SIMULACIÓN.
CaR para distintos niveles de confianza, pone
de manifiesto el fuerte impacto que, sobre el
consumo de capital, produce dicho parámetro. Banca Minorista Banca Comercial
Si bien, el Acuerdo de BasileaDistribución

pretende, con Poisson Poisson
Frecuencia
ello, cubrir posibles eventos extremos
Parámetros situados λ=100 λ=10
en la cola de la distribución, al mismo tiempo,
Severidad
este elevado grado de conservadurismo puede
convertirse en un elemento casi confiscatorio
en la estructura de capitalPérdida
de la Esperada
entidad.(EL) 1.967.900 euros 856.830 euros

CaR95% 2.846.200 euros 1.776.940 euros
CaR99,9% 3.853.270 euros 2.911.550 euros
Ratio EL/CaR99,9% 51,07% 29,43%
Ratio UL/CaR99,9% 48,93% 70,57%

© JIMÉNEZ, E.
RESULTADOS DE LA SIMULACIÓN.

Al confrontar los resultados obtenidos entre
Distribución Poisson Poisson
Frecuencia
ambas unidades de negocio, advertimos un
mayor CaR en el segmento de Banca Minorista
Distribución del
que en el Comercial, con independencia Weibull Weibull
Severidad
nivel de confianza establecido.

CaR95% 2.846.200 euros 1.776.940 euros
CaR99,9% 3.853.270 euros 2.911.550 euros
Ratio EL/CaR99,9% 51,07% 29,43%
Ratio UL/CaR99,9% 48,93% 70,57%

© JIMÉNEZ, E.
En sentido estricto, el consumo de capital debe RESULTADOS DE LA SIMULACIÓN.
contemplar tanto la pérdida esperada (EL)
como la no esperada (UL). Sin embargo, como
ya apuntamos en líneas precedentes, el Comité Banca Minorista Banca Comercial
en aquellos supuestos dondeDistribución
la entidad pueda Poisson Poisson
Frecuencia
demostrar la adecuada provisión de su pérdida
esperada, admite un cómputo de capital basado
exclusivamente en la no esperada.
Severidad

CaR95% 2.846.200 euros 1.776.940 euros
CaR99,9% 3.853.270 euros 2.911.550 euros
Ratio EL/CaR99,9% 51,07% 29,43%
Ratio UL/CaR99,9% 48,93% 70,57%

© JIMÉNEZ, E.
Esta otra acepción del CaR, nos conduce a reinterpretar de nuevo los datos. Al
ser la pérdida no esperada superior en la Banca Comercial, se observa una
jerarquía distinta, en términos de cargo de capital, entre ambas unidades. La
explicación habría que buscarla en la propia
Distribución naturaleza del negocio
Poisson pues, si
Poisson
Frecuencia
bien es cierto que, en media, se realizan unλ=100
Parámetros menor número de transacciones,
λ=10
los importes que se pueden llegar a negociar son muy superiores a los de la
Severidad
Banca Minorista, a la par que subyace una mayor desviación de dichos valores
respecto a su media.

CaR95% 2.846.200 euros 1.776.940 euros
CaR99,9% 3.853.270 euros 2.911.550 euros
Ratio EL/CaR99,9% 51,07% 29,43%
Ratio UL/CaR99,9% 48,93% 70,57%

© JIMÉNEZ, E.
Esta los ratios calculados –“EL/OpVaR” y “UL/OpVaR”– proporcionan medidas
relativas muy interesantes a la hora de reportar información financiera sobre riesgo
operacional. Se trata de magnitudes porcentuales que indican la importancia
relativa de la pérdida esperada o no esperada sobre
Distribución Poissonel capital regulatorio. Bajo las
Poisson
Frecuencia
directrices del último supuesto, en nuestro ejemplo,
Parámetros λ=100y para el caso de la λ=10
Banca
Minorista, el 51,07% del OpVaR correspondería a pérdidas esperadas (EL) que
Severidad
deberían ser cubiertas; mientras el 48,93% restante, la pérdida no esperada (UL)
representaría el porcentaje asociado al capital regulatorio; de ahí que, con buen
criterio, podamosPérdida Esperada
bautizar 1.967.900
(EL)última cifra
a esta como euros 856.830
la tasa de cobertura de euros
riesgo
operacional. Pérdida No Esperada (UL) 1.885.380 euros 2.054.730 euros
CaR95% 2.846.200 euros 1.776.940 euros

CaR99,9% 3.853.270 euros 2.911.550 euros
Ratio EL/CaR99,9% 51,07% 29,43%
Ratio UL/CaR99,9% 48,93% 70,57%

© JIMÉNEZ, E.
LOS CUADROS DE MANDO
(SCORECARDS)
RIESGO RIESGO
VERSUS
INHERENTE RESIDUAL
K ij = CaRij ´ RS ij
Kij: Capital requerido para una celda de la matriz “línea de negocio/tipo de riesgo”.
CaRij: Requerimientos de capital aproximado con el enfoque LDA o el SA. En este último
caso, el cálculo se realizará sólo por línea de negocio, sin diferenciar los tipos de riesgos
operacionales.
RSij: Puntuación o risk score de una celda (o línea de negocio) obtenida a partir de los
cuestionarios.
© JIMÉNEZ, E.
El Modelo de Distribución de Pérdidas (LDA).
Tipo de Riesgo
Prácticas de Clientes, productos Interrupción de Ejecución, entrega
Línea (j) Daños a activos
Combinación de cuatro elementos:

de físicos
Negocio (i)
Banca Corporativa
Negociación y
Ventas
Base DE
BASE de DATOS
Datos FRECUENCIA SEVERIDAD
0,25
0,14
Banca Minorista
Categorización de la Pérdidas 0,12
Categorización de las Pérdidas

0,20
Banca de por 0,10
porNegocio
Empresas
Línea de
0,15
0,08
Pagos y
Liquidaciones
Línea de y
Nergocio
0,06
0,10 w Datos Internos de Pérdidas.
Servicios a
y
Sucursales
0,05
0,02
Gestión de Activos

0,00
4,0
9,5
15,0
20,5
26,0
10
12
14
16
18
20
Intermediación
Minorista
w Datos Externos de Pérdidas

Relevantes.
Probabilidad
Tipo de Riesgo
Línea (j)
Daños a activos
Interrupción de Ejecución, entrega 3,5 Esperadas Inesperadas Extremas
de físicos
Negocio (i) 3,0
w Análisis de Escenarios.
2,5
Banca Corporativa OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR
2,0
Negociación y
Ventas OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR 1,5
OpVaR
(99,9%)
1,0
0,5
Banca de
Empresas OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR
Cómputo de
0,0
Media
0
10
20
30
40
50
60
70
80
-10
Pagos y
Liquidaciones OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR Distribución de(unidades
Pérdidas Agregadas Pérdidas
monetarias)Agregadas
w Información del Entorno de Negocio y
Servicios a
Sucursales OpVaR OpVaR OpVaR Capital
OpVaR porOpVaR
OpVaR RiesgoOpVaR
Gestión de Activos OpVaR OpVaR OpVaR
Operacional
OpVaR OpVaR OpVaR OpVaR los Controles Internos Implementados.
Intermediación
Minorista OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR OpVaR
© JIMÉNEZ, E. 127
© JIMÉNEZ, E. 128
© JIMÉNEZ, E. 129
© JIMÉNEZ, E. 130
The standardised approach
The standardised approach methodology is based on the following
components: (i) the Business Indicator (BI) which is a financial-statement-
based proxy for operational risk; (ii) the Business Indicator Component
(BIC), which is calculated by multiplying the BI by a set of regulatory
determined marginal coefficients (αi); and (iii) the Internal Loss
Multiplier (ILM), which is a scaling factor that is based on a bank’s
average historical losses and the BIC.
Minimum operational risk capital (ORC) is calculated by multiplying

the BIC and the ILM:
ORC = BIC X ILM
© JIMÉNEZ, E. 131
The Business Indicator
The Business Indicator (BI) comprises three components: the interest,
leases and dividend component (ILDC); the services component (SC),
and the financial component (FC).
The BI is defined as:. BI = ILDC + SC + FC
© JIMÉNEZ, E. 132
The Business Indicator Component
To calculate the BIC, the BI is multiplied by the marginal coefficients (αi).
The marginal coefficients increase with the size of the BI as shown in
Table 1. For banks in the first bucket (ie with a BI less than or equal to
€1bn) the BIC is equal to BI x 12%. The marginal increase in the BIC
resulting from a one unit increase in the BI is 12% in bucket 1, 15% in
bucket 2 and 18% in bucket 3. For example, given a BI = €35bn, the BIC
= (1 x 12%) + (30-1) x 15% + (35-30) x 18% = €5.37bn.:
© JIMÉNEZ, E. 133
The Internal Loss Multiplier
A bank’s internal operational risk loss experience affects the calculation of
operational risk capital through the Internal Loss Multiplier (ILM). The ILM
is defined as:
where the Loss Component (LC) is equal to 15 times average annual operational risk losses
incurred over the previous 10 years. The ILM is equal to one where the loss and business
indicator components are equal. Where the LC is greater than the BIC, the ILM is greater than
one. That is, a bank with losses that are high relative to its BIC is required to hold higher
capital due to the incorporation of internal losses into the calculation methodology. Conversely,
where the LC is lower than the BIC, the ILM is less than one. That is, a bank with losses that
are low relative to its BIC is required to hold lower capital due to the incorporation of internal
losses into the calculation methodology.
© JIMÉNEZ, E. 134
El riesgo operacional
no es propiedad de
los gestores de dicho
riesgo
está inmerso en toda la
organización
y sólo mediante un
compromiso de toda
la organización
se logrará alcanzar
las metas
perseguidas.
© JIMÉNEZ, E.
COROLARIO
No debemos
entender el riesgo,
sólo, como una
amenaza sino,
también, como una
oportunidad
...que hay que saber
gestionar y controlar
con el grado de
cobertura adecuado.
© JIMÉNEZ, E.
“Una vida sin riesgo es una vida gris,
pero una vida sin control probablemente será una vida corta”.
Bertrand Russel
MSC IN FINANCE AND BANKING
Operational Risk
(Riesgo Operacional)
Prof. Dr. Enrique Jiménez-Rodríguez
ejimenez@upo.es
© JIMÉNEZ, E. (2011)
El Riesgo Operacional: Metodologías para su Medición y Control
Madrid: Delta Publicaciones
https://www.linkedin.com/in/enriquejimenezrodriguez/

MS F B: Operational Risk

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

MS F B: Operational Risk

Uploaded by

Copyright:

Available Formats

“Una vida sin riesgo es una vida gris,

MSC IN FINANCE AND BANKING

The BASEL III framework is a central element of the Basel

“A global regulatory framework The Liquidity Coverage Ratio

Net Stable Funding

• Additional Tier 1 – capital instruments with no fixed maturity.

• Tier 2 – subordinated debt and general loan-loss reserves.

1. Tier 1 Capital (going-concern capital)

a. Common Equity Tier 1

2. Tier 2 Capital (gone-concern capital)

Regulatory capital represents the minimum amount of equity

CREDIT RISK MARKET RISK OPERATIONAL RISK

Common Equity Tier 1 Tier 1 Capital Total Capital

Capital Conservation Buffer 2,5%

Concepción tradicional de Riesgo Operacional:

Cruz (2002): 50%, 35%, 15%

SCH (2006): riesgo de crédito (55,4%),

Comité de Basilea: “el riesgo operacional se define

Esta definición incluye el riesgo legal (jurídico), pero

“24% de los bancos encuestados han

Pérdidas ocasionadas por

Automatización Globalización 6000

estructuró el conocido “grupo de las Raptors”: 75,00 $

“cubrir” las inversiones en compañías de 60,00 $

estallido de la burbuja tecnológica, a finales del 30,00 $

las inversiones de “capital riesgo” que Enron 15,00 $

Arthur Andersen –auditora de Enron– reveló 0,00 $

colocaron una emisión de bonos por valor de 45

12.200 millones de dólares. Es obvio, que las 40

recomendaciones a los potenciales 20

obligacionistas e inversores– la situación 15

calificación crediticia. 1998 1999 2000 2001 2002

JP Morgan Chase 2.200 2.000

Citigroup 2.000 2.650

Merril Lynch 190,5

Credit Suisse First Boston 12,54

Goldman Such 12,54

Mitsubishi Securities Int. 75

Mizuho Int. 37,5

Canadian Imperial 2.650

Deutsche Bank 325

Toronto Dominion Bank 70

Caboto Holding Sim 37,5

1995 BARINGS BANK 1.300 M $

1995 BARINGS BANK 1.300 M $

Mayo de 2001. Un broker, empleado de Lehman Brothers, al ejecutar una orden de

Síndrome de los dedos gordos 5 70 0

Edward J. Smith, Capitán del Titanic. Nueva York, 1907.

Pérdidas por Riesgo operacional más Comunes:

Multas y Restricciones Legales

1. Riesgo de personas: Pérdidas asociadas a los empleados; bien

Prácticas Clientes Daños a Fallos Ejecución

Pérdidas derivadas de algún tipo de ØNo informar intencionadamente de

Prácticas Clientes Daños a Fallos Ejecución

Pérdidas derivadas de algún tipo de ØNo informar intencionadamente de

Prácticas Clientes Daños a Fallos Ejecución

Pérdidas derivadas de algún ØRobos;

Prácticas Clientes Daños a Fallos Ejecución

Prácticas Daños a Fallos Ejecución

ØMal uso de la información

Prácticas Daños a Fallos Ejecución

ØMal uso de la información

Prácticas Clientes Daños a Fallos Ejecución