Gráfico 19. Marco de gestión del riesgo operacional: tres línea de defensa
Gráfico 20. Características del modela de gestión del riesgo operacional en BBVA
Riesgo operacional tiene su origen en la probabilidad de que existan errores humanos, procesos internos inadecuados o defectuosos, fallos en los sistemas y como consecuencia de acontecimientos externos. Esta definición incluye el riesgo legal y excluye el riesgo estratégico y/o de negocio y el riesgo reputacional.
El riesgo operacional es inherente a todas las actividades, productos, sistemas y procesos, y sus orígenes son muy variados (procesos, fraudes internos y externos, tecnológicos, recursos humanos, prácticas comerciales, desastres, proveedores). La gestión del riesgo operacional está integrada en la estructura de gestión global de riesgos del Grupo BBVA.
Existe en todo el Grupo una metodología integrada de control interno y riesgo operacional. Esta metodología permite identificar los riesgos en las áreas organizativas, generar análisis en los que se priorizan los riesgos de acuerdo con su riesgo residual estimado (después de incorporar el efecto de los controles), vincular los riesgos a los procesos y establecer para cada riesgo un nivel objetivo que, por comparación con el riesgo residual, identifica gaps para su gestión. Para dar el soporte necesario a esta metodología, el Grupo dispone de una aplicación corporativa: STORM (Support Tool for Operational Risk Management), que incluye módulos de indicadores y escenarios.
El marco de gestión del riesgo operacional definido para el Grupo BBVA incluye una estructura de governance basada en: tres líneas de defensa con delimitación clara de las responsabilidades; políticas y procedimientos comunes a todo el Grupo; sistemas para identificar, medir, monitorear, controlar y mitigar los riesgos y pérdidas operacionales; y herramientas y metodologías para la cuantificación del riesgo operacional en términos de capital.
La gestión del riesgo operacional en BBVA se diseña y coordina desde la función de Gestión Corporativa de Riesgo Operacional, perteneciente a Global Risk Management, y desde las unidades de Gestión de Riesgo Operacional (GRO País), que se ubican en Riesgos de los diferentes países y áreas de negocio. Las áreas de negocio o de soporte tienen, a su vez, gestores de riesgo operacional (GRO Negocio) que dependen funcionalmente de GRO País, y que son los encargados de implantar el modelo en el día a día de las áreas. De esta forma, el Grupo dispone de una visión a pie de proceso, que es donde se identifican y priorizan los riesgos y toman las decisiones de mitigación, y que por agregación permite tener una visión macro a diferentes niveles.
Para llevar a cabo esta tarea, BBVA dispone de varias herramientas ya implantadas que cubren los aspectos cualitativos y cuantitativos del riesgo operacional:
- Herramienta de gestión de riesgo operacional. Durante 2013 se ha finalizado la implantación en todo el Grupo de la herramienta corporativa STORM. La identificación y gestión de los riesgos más relevantes han constituido la referencia para la poner foco en los Comités de Gestión de Riesgo Operacional de las unidades de negocio y soporte celebrados durante el año.
- Indicadores. Durante 2013 se han consolidado los indicadores anclados en los principales riesgos residuales y sus controles. Este modelo se halla en STORM. Los indicadores permiten medir la evolución de los riesgos y sus controles en el tiempo, generar señales de alerta y medir la efectividad de los controles de una manera continua. Estos indicadores son definidos y seguidos por los especialistas
- SIRO. Los eventos de riesgo operacional casi siempre tienen un impacto negativo en las cuentas del Grupo. Para tener un control exhaustivo de los mismos, éstos se registran en una base de datos llamada SIRO. Para que ésta sea confiable, se alimenta directamente desde la contabilidad mediante interfaces automáticas en el 95% de sus entradas. Los datos internos de SIRO se complementan con información de una base de datos externa que procede del consorcio ORX (Operational Risk Exchange). Este consorcio es una asociación sin ánimo de lucro fundada por doce bancos internacionales en 2002 y que actualmente cuenta con sesenta y cinco miembros en dieciocho países.
El Grupo dispone de herramientas adicionales que facilitan el tratamiento de los datos para el cálculo de capital y la realización de los cálculos necesarios.
Los eventos de riesgo operacional se clasifican según las categorías de riesgo establecidas por Basilea II: procesos, fraudes (interno y externo), tecnología, recursos humanos, prácticas comerciales, desastres y proveedores.
La cuantificación del riesgo operacional se realiza, para España y México, por modelos internos en base a la metodología “Loss Distribution Approach”: distribución de pérdidas determinada por la evolución de las distribuciones de frecuencia y de severidad de eventos operacionales para el período de un año y un nivel de confianza del 99,9%. Para el cálculo de capital por modelos internos se utilizan bases de datos de eventos operacionales internos, bases de datos externas, escenarios y factores de entorno de negocio y control interno.
Banco de España aprobó en 2010 la utilización del método avanzado (Método AMA) para el cálculo de los requerimientos de recursos propios consolidados por riesgo operacional en España y México, países estos que acumulan la mayor parte de los activos del Grupo. Hasta la fecha, BBVA es el único banco con autorización del Banco de España para aplicar modelos avanzados en el cálculo de requerimientos de recursos propios por riesgo operacional. Salvo alguna excepción en que aplicamos el modelo básico, el cálculo de capital para el resto de geografías se obtiene aplicando el modelo estándar.
El capital resultante de la aplicación de los modelos avanzados es corregido tanto por los factores de entorno del país como por factores de control interno que están en función del grado de mitigación de las debilidades identificadas en los controles.
Admisión de riesgo operacional
La función de GCRO ha implantado como parte de su labor, enmarcada dentro de la mejora continua de la fase de admisión de riesgo operacional, un nuevo procedimiento para la aprobación de nuevos negocios, productos y servicios. Se ha implantado a lo largo de 2013 y se finalizará en 2014 con la implantación de una herramienta work flow que facilite la gestión y documentación del procedimiento, dándole mayor fiabilidad y seguimiento y facilitando la toma de decisiones. De esta manera, BBVA profundiza en la integración de la gestión del riesgo operacional en el día a día del Grupo, adoptando las mejores prácticas y recomendaciones realizadas recientemente por organismos y reguladores europeos. Las mejoras introducidas en la aprobación de negocios, productos y servicios son:
- Una más clara distinción entre negocio y producto y/o servicio.
- Un governance más sencillo, configurado por comités con mayor nivel de representación, que unifica la visión global de los negocios y productos en las áreas de negocio y geografías.
- Una definición de las etapas y tareas que los procesos de aprobación deben superar, así como los responsables de realizarlas.
- Un fortalecimiento del seguimiento de los nuevos negocios y productos con posterioridad a su aprobación.
Un rol protagonista de la función de riesgo operacional, como coordinador y garante de la aplicación de los criterios y procesos, y de la intervención de los diferentes especialistas que toman las decisiones en sus ámbitos de especialidad.