La gestión del riesgo operacional en el Grupo BBVA debe:
- Alinearse con la declaración de Apetito al Riesgo formulada por el Consejo de Administración de BBVA.
- Prever los riesgos operacionales potenciales a los que quedaría expuesto el Grupo como resultado de la aparición o modificación de nuevos productos, actividades, procesos o sistemas y decisiones de outsourcing y establecer procedimientos que permitan su evaluación y mitigación de forma razonable con anterioridad a su implantación.
- Establecer las metodologías y procedimientos que permitan reevaluar periódicamente los riesgos operacionales relevantes a los que el Grupo está expuesto para adoptar las medidas de mitigación convenientes en cada caso, una vez considerado el riesgo identificado y el coste de la mitigación (análisis coste/beneficio) y preservando en todo momento la solvencia del Grupo.
- Identificar las causas de las pérdidas operacionales que sufra el Grupo y establecer las medidas que permitan su reducción. Para ello deberán existir procedimientos que permitan la captura y el análisis de los eventos operacionales que ocasionan las citadas pérdidas.
- Analizar los eventos que hayan producido pérdidas por riesgo operacional en otras entidades del sector financiero e impulsar, en su caso, la implantación de las medidas necesarias para evitar su ocurrencia en el Grupo.
- Identificar, analizar y cuantificar eventos de baja probabilidad de ocurrencia y alto impacto, que por su naturaleza excepcional, es muy posible que no estén recogidos en la base de datos de pérdidas o si lo están, sea con impactos poco representativos con objeto de asegurar su mitigación.
- Contar con una gobernanza efectiva, en la que las funciones y responsabilidades de las Áreas y Órganos que intervienen en la gestión del RO estén claramente definidas.
TABLA 52: Características del modelo de gestión de Riesgo Operacional
| Solidez | Consejo - Holding - País -Unidad |
|---|---|
| Profundidad | Modelo iniciado en 1999 con base de datos desde 2002 |
| Integrado de gestión | Capital, presupuestos, incentivación, benchmark interno, cultura |
| Forward looking | Utiliza variables futuras para análisis, cálculos y mitigaciones |
| Mejora continua | Función de mejores prácticas y actualización permanente |
Estos principios reflejan la visión que el Grupo BBVA tiene del RO y que se basa en que los eventos que se producen como consecuencia del mismo tienen una causa última que siempre debe identificarse. El control de las causas reduce significativamente el impacto de los eventos. Las herramientas de gestión de RO han de proporcionar información acerca del origen de los RO y ayudar a encontrar el camino de su mitigación.
Con independencia de la adopción de todas las medidas y controles posibles para evitar o disminuir tanto la frecuencia como la severidad de los eventos de RO, BBVA tiene que asegurarse de que en todo momento cuenta con el capital suficiente para hacer frente a las pérdidas esperadas o inesperadas que puedan suceder.
En este sentido, el Grupo BBVA apuesta por aplicar preferentemente los modelos avanzados para el cálculo de los consumos de capital por RO definidos por el BIS, a menos que el perfil de riesgo de una unidad concreta, no justifique la correspondiente asunción de los costes que conlleva su implantación. Aquellos ámbitos que no se encuentran en modelos avanzados deberán estar un nivel por debajo del avanzado (modelo estándar o equivalente).
Gestión Corporativa de Riesgo Operacional (GCRO) propone las políticas generales que orientan la gestión y permiten el control del riesgo operacional del Grupo.
A partir de estos principios, el Grupo BBVA ha elaborado la presente política de gestión del riesgo operacional que tiene como objetivo asegurar de forma razonable (análisis coste/ beneficio) que los riesgos operacionales relevantes a los que el Grupo está expuesto al desarrollar sus actividades se identifican, evalúan y gestionan de forma consistente con la declaración de apetito al riesgo formulada por el Consejo de Administración de BBVA, preservando la solvencia del Grupo.
Para alcanzar este objetivo, la gestión del RO en el Grupo BBVA se ha de efectuar desde dos ópticas distintas y complementarias:
- El punto de vista “ex ante” que consiste en identificar, evaluar y priorizar los riesgos operacionales potenciales para su mitigación.
Desde esta óptica, se efectúa una gestión anticipatoria y preventiva del RO por las Áreas y Unidades que lo soportan. Gestión que se integra en la toma de decisiones del día a día (test de uso) y que se centra en el análisis de las causas del RO para su mitigación. - El punto de vista “ex post” que consiste en evaluar la exposición al RO, midiendo las consecuencias del mismo, es decir el coste histórico de los eventos que nos han ocurrido. Desde esta perspectiva, la gestión del RO utiliza herramientas asociadas a consecuencias del RO que se utilizan no sólo para complementar la gestión del RO sino también para alimentar el cálculo del consumo de capital por RO para aquellas áreas del Grupo que operan bajo modelos avanzados de RO.
Los elementos que permiten que la gestión del RO en el Grupo BBVA se efectúe desde estas dos ópticas se describen a continuación.
6.4.1. Parámetros de Gestión del Riesgo Operacional
Con objeto de alinear la gestión del riesgo operacional con la declaración de apetito al Riesgo formulada por el Consejo de Administración, es necesario definir los parámetros de gestión del Riesgo Operacional y/o de las distintas clases de riesgos operacionales a las que se enfrenta el Grupo en el ejercicio de sus actividades.
Estos parámetros de gestión deberán incorporar indicadores tanto cuantitativos como cualitativos que permitan evaluar periódicamente el perfil de riesgo operacional del Grupo y constituyan palancas para la gestión de este riesgo.
GCRO es el área responsable de definir estos parámetros de gestión y de reportar periódicamente sobre su grado de cumplimiento.
6.4.2. Proceso Admisión de Riesgo Operacional
Aunque en sentido estricto no pueda hablarse de un verdadero proceso de admisión del RO, tal como, por ejemplo, se lleva a cabo en el Riesgo de Crédito, el Grupo BBVA considera que la asimilación que se recoge en este apartado resulta útil para controlar este Riesgo y favorece su mitigación. Así, este proceso tiene como objetivo: anticipar los riesgos operacionales potenciales a los que quedaría expuesto el Grupo como resultado de la aparición o modificación de nuevos productos, actividades, procesos o sistemas y decisiones de outsourcing y asegurar que su implantación sólo se lleva a cabo una vez adoptadas las medidas de mitigación convenientes en cada caso.
El Grupo dispondrá de un modelo de gobernanza específico para la admisión del RO que se concretará en diferentes Comités que actuarán como vehículos de admisión en las diferentes instancias en las que se concentra la entrada del RO: nuevos negocios, nuevos productos, sistemas, decisiones de outsourcing, etc.
Existirán procedimientos eficaces y ágiles en cada uno de los ámbitos anteriores que permitan el crecimiento y desarrollo de las actividades enmarcadas en las mejores prácticas. Dichos procedimientos tendrán una visión de proceso que distinga entre la decisión estratégica y la decisión técnica, y contarán con una gobernanza sencilla con la representación adecuada.
La eficacia en el procedimiento de admisión requerirá de una evaluación completa del RO, y un seguimiento de incidencias, condicionantes, eventos, pérdidas operacionales, reparos, etc. que puedan manifestarse con posterioridad a la admisión.
La responsabilidad de elaborar los procedimientos corporativos relativos a la aprobación de los riesgos operacionales asumidos como resultado de:
- Nuevos productos, actividades y procesos, corresponde a GCRO
- Decisiones de outsourcing, corresponde Control de la Operativa*) (I&T Tecnología)
- Nuevos sistemas corresponde, a IT Risk, Fraud & Security (I&T Tecnología)
6.4.3. Herramientas de seguimiento y gestión/mitigación de Riesgo Operacional
6.4.3.1. Autoevaluaciones de Riesgo Operacional (Risk and Control Self Assessment)
Una adecuada gestión del RO requiere que se establezcan metodologías y procedimientos que permitan identificar, evaluar y seguir esta clase de riesgos para implementar las medidas de mitigación convenientes en cada caso. Todo ello se realizará comparando el nivel de riesgo asumido y el coste de la mitigación.
La metodología de gestión del RO del Grupo BBVA tiene las fases siguientes:
- Establecimiento del perímetro del modelo, que identifica las sociedades y actividades que pueden dar lugar a RO significativos. Éstas sociedades y actividades se asocian a sus procesos utilizando la taxonomía establecida por el Grupo. Los procesos son el punto de partida para la identificación de los factores de RO.
- Identificación de factores de RO potenciales y reales a partir de la revisión de los procesos aplicando técnicas de autoevaluación que se completan y contrastan con otra información relevante.
- Priorización de factores de RO a través del cálculo del riesgo inherente: estimación de la exposición al riesgo en un entorno adverso y conservador sin considerar la existencia de posibles controles. La priorización se utiliza para separar los factores críticos de los no críticos aplicando puntos de corte.
- Para los riesgos críticos se identifican, documentan y prueban los controles que contribuyen a su reducción, y en función de su efectividad se calcula el riesgo residual (que incorpora el efecto reductor de los controles, si aplica),
- Para cada riesgo crítico se establece un riesgo objetivo que configura el nivel de riesgo que se considera asumible. En aquellos riesgos en los que el riesgo residual es superior al riesgo objetivo existe un gap entre ambos que supone la necesidad de mitigar el riesgo a través de un plan de mitigación.
El objetivo es contar con un modelo de gestión de RO vivo y dinámico que refleje lo esencial de la situación de este riesgo en cada momento.
La gestión del RO se ha de realizar de manera coordinada con otros riesgos considerando aquellas consecuencias de crédito o mercado que puedan tener un origen operacional.
6.4.3.2. Indicadores de Riesgo Operacional
Una gestión dinámica del RO requiere no sólo la realización periódica del ejercicio de autoevaluación de RO sino de la definición de un conjunto de indicadores que permita medir la evolución en el tiempo tanto de los factores de riesgo como de la efectividad de los controles y de esta manera tener información de evoluciones no esperadas que permitan realizar una gestión preventiva del Riesgo Operacional.
Podemos asociar indicadores a riesgos (Key Risk Indicators, KRI) o a controles (Key Control Indicators, KCI). Para aportar valor, los KRI deben asociarse con las causas del riesgo operacional, lo que les conferirá una naturaleza predictiva y anticipatoria. Un indicador asociado a consecuencias de riesgo operacional, reclamaciones, pérdidas, etc., en general se solapa con la base de datos SIRO y con sus análisis periódicos de tendencias, por lo que aporta escaso valor.
Los KCI generan el valor adicional de medir la efectividad del control en el tiempo, y permite una gestión del RO más eficiente y dinámica.
6.4.3.3. Base de datos de pérdidas operacionales
En línea con las mejores prácticas y recomendaciones de BIS, BBVA cuenta con procedimientos de recogida de pérdidas operacionales ocurridas tanto en las distintas entidades del Grupo como en otros Grupos financieros (base de pérdidas ORX, servicio ORX News, etc).
- Base de datos de pérdidas operacionales internas - SIRO.
Esta herramienta, a través de interfaces automáticos con la contabilidad y aplicaciones de gastos y de procedimientos de captura manual, recoge las pérdidas contables asociadas a eventos de RO. Las pérdidas se capturan sin límite de importe, y constituyen un input para el cálculo del consumo de capital por RO en modelos avanzados y una referencia para el Risk and Control Self Assessment, siendo objeto de análisis periódicos en cuanto a tendencias y seguimiento de pérdidas esperadas.
- Base de datos de pérdidas operacionales externas – ORX
El Banco junto con otras entidades de primera línea a nivel mundial, suscribió con el consorcio ORX, como socio fundador, la creación de una Base de Datos externa para intercambio, de forma anónima, de información relativa a eventos operacionales.
Este consorcio facilita información tanto cuantitativa como cualitativa de los eventos operacionales que experimentan las entidades que forman parte del mismo. La información obtenida por este medio se utiliza tanto para identificar RO potenciales y analizar si se cuenta con las medidas de mitigación oportunas como a efectos de cálculo de capital por modelos avanzados.
6.4.3.4. Escenarios de Riesgo Operacional
Reflejan la exposición a un número limitado de situaciones que pueden dar lugar a pérdidas muy significativas con una frecuencia estimada de ocurrencia reducida. Los escenarios alimentan el cálculo de capital en aquellas áreas del Grupo que operan bajo modelos avanzados y además constituyen una referencia para la gestión del RO.
6.4.4. Planes de Mitigación
La mitigación significa reducir el nivel de exposición al RO. Aun cuando siempre existe la opción de eliminar el RO mediante el abandono de una determinada actividad, la política del Grupo es tratar de mitigar antes el riesgo mediante la mejora del entorno de control u otras medidas, llevando a cabo un riguroso análisis coste/beneficio. Las distintas formas de mitigación llevan asociados casi siempre unos costes. Por consiguiente, es fundamental tener bien evaluado el coste del RO antes de tomar cualquier decisión.
Siempre que el riesgo residual supere el nivel de riesgo objetivo definido, será necesario que se establezcan las medidas de mitigación para mantenerlo dentro del mismo. El responsable de RO impulsará su implantación a través del Comité de Gestión de Riesgo Operacional.
6.4.5. Herramientas
Los procedimientos y metodologías asociados a esta Política de Gestión del Riesgo Operacional, se encontrarán embebidos en herramientas corporativas que garanticen su cumplimiento. GCRO es responsable de su desarrollo e implantación en todo el ámbito descrito en el apartado 1.
Se deberá contar con herramientas que permitan elaborar un reporting de calidad a la Dirección y Órganos de Gobierno del Grupo, Reguladores, etc.
Toda la información estará sometida a un proceso de mejora continua para adaptarse a las necesidades de las Áreas, de los órganos decisorios del Grupo, del Regulador, o de los nuevos requerimientos que se contemplen en el futuro.
Las Unidades de Gestión de RO (GCRO, Gestión Riesgo Operacional País y Gestión Riesgo Operacional en Áreas) son las responsables del reporting del modelo de RO.