Norma vigente
El Capítulo 8 de la Circular 3/2008 de 22 de mayo, sobre determinación y control de los recursos propios mínimos, relativo a los requerimientos de recursos propios por riesgo operacional establece en el punto 1 de la Norma nonagésima quinta que las “Entidades” deberán calcular dichos requerimientos por uno de los siguientes métodos: Indicador Básico, Estándar o Avanzado.
El presente documento se configura como una guía para aquellas “Entidades” que hayan optado por aplicar el Método Estándar y tiene por objeto orientar a esas “Entidades” para el mejor cumplimiento de los criterios y requisitos que, a efectos de la utilización de ese método, se contienen en la Norma nonagésima séptima de la Circular 3/2008. Se excluye de esta guía el apartado 3 de la citada Norma, relativo al Método Estándar Alternativo, cuyo posible uso necesita la autorización previa del Banco de España.
A estos efectos, esta guía contiene un conjunto de indicaciones y, en algunos casos, de ejemplos prácticos, elaborados por el Banco de España con la finalidad de profundizar y aclarar algunos aspectos exigidos para la aplicación de este método, con el objetivo final de incrementar el nivel de calidad, homogeneidad y consistencia de la información proporcionada por las “Entidades”.
La utilización del Método Estándar para el cálculo de los requerimientos mínimos de capital por riesgo operacional deberá ser acordada por el Consejo de Administración u órgano equivalente de la “Entidad”. Dicho acuerdo deberá ser comunicado a la Dirección General de Supervisión del Banco de España por el Consejero Delegado o el Director General de la “Entidad” no más tarde de la fecha de envío de los primeros estados de recursos propios que recojan la aplicación de este método.
En dicha comunicación se indicará que se cumplen los criterios y requisitos exigidos por la Norma nonagésima séptima de la Circular 3/2008 para la aplicación del Método Estándar, manteniendo a disposición de la Dirección General de Supervisión, de conformidad con lo dispuesto en el apartado 1 de esa Norma, la documentación justificativa del cumplimiento de esos criterios y requisitos. A estos efectos, se acompaña a esta guía, como anexo nº 1, un documento en el que se recoge la información mínima que el Banco de España considera necesario mantener a su disposición para la acreditación de los referidos requisitos y criterios. También se acompaña, como anexo nº 2, otro documento en el que se detalla la estructura y contenido mínimo del informe de auditoría en el que se reflejará el proceso de revisión periódica a que se refieren los apartados 3d) y 3e vii) de la Norma nonagésima séptima de la Circular 3/2008.
Finalmente, se adjunta como anexo nº 3 una relación de los apartados de la Circular 3/2008 que sirven de referencia para este método.
II.1 Principios generales
Tal y como establece el apartado 1.1 de la Norma nonagésima séptima, las “Entidades” que apliquen el Método Estándar deberán desarrollar y documentar políticas y criterios específicos para la asignación de sus actividades entre las siguientes 8 líneas de negocio:
1) Financiación empresarial:
Se incluirán en esta línea las siguientes actividades:
i) Suscripción de instrumentos financieros o colocación con aseguramiento de instrumentos financieros.
ii) Servicios relacionados con las operaciones de suscripción.
iii) Asesoramiento en materia de inversión.
iv) Asesoramiento a empresas en materia de estructura del capital, estrategia industrial y cuestiones afines, y asesoramiento y servicios relacionados con fusiones y adquisiciones de empresas.
v) Estudios de inversiones y análisis financiero y otras formas de recomendación general relacionadas con las operaciones en instrumentos financieros.
2) Negociación y ventas:
Se incluirán en esta línea de negocio las siguientes actividades:
i) Negociación por cuenta propia.
ii) Intermediación en los mercados monetarios.
iii) Recepción y transmisión de órdenes de clientes en relación con uno o más instrumentos financieros.
iv) Ejecución de órdenes en nombre de clientes.
v) Colocación de instrumentos financieros sin aseguramiento.
vi) Gestión de sistemas de negociación multilateral.
3) Intermediación minorista:
Se incluirán en esta línea de negocio las siguientes actividades realizadas con personas físicas o PYMES que cumplan los criterios establecidos en la normativa para las exposiciones incluidas en la categoría de Minoristas:
i) Recepción y transmisión de órdenes de clientes en relación con uno o más instrumentos financieros.
ii) Ejecución de órdenes en nombre de clientes.
iii) Colocación de instrumentos financieros sin aseguramiento.
4) Banca comercial:
Se incluirán en esta línea de negocio las siguientes actividades, en tanto en cuanto no cumplan los criterios para su incorporación a la de banca minorista:
i) Aceptación de depósitos y otros fondos reembolsables del público.
ii) Préstamos.
iii) Arrendamiento financiero.
iv) Garantías personales y compromisos.
5) Banca minorista:
Se incluirán en esta línea de negocio las siguientes actividades realizadas con personas físicas o PYMES que cumplan los criterios establecidos en la normativa para las exposiciones incluidas en la categoría de Minoristas:
i) Aceptación de depósitos y otros fondos reembolsables del público.
ii) Préstamos.
iii) Arrendamiento financiero.
iv) Garantías personales y compromisos.
6) Pago y liquidación:
Se incluirán en esta línea de negocio las siguientes actividades:
i) Operaciones de pago.
ii) Emisión y administración de medios de pago.
7) Servicios de agencia:
Se incluirán en esta línea de negocio las siguientes actividades:
i) Custodia y administración de instrumentos financieros por cuenta de clientes, incluidos el depósito y servicios conexos como la gestión de efectivo y de garantías reales.
8) Gestión de activos:
Se incluirán en esta línea de negocio las siguientes actividades
i) Gestión de carteras.
ii) Gestión de Instituciones de Inversión Colectiva.
iii) Otras formas de gestión de activos.
El siguiente cuadro muestra el detalle de las citadas 8 líneas de negocio y sus correspondientes coeficientes de ponderación a efectos de la determinación de los requerimientos de recursos propios de carácter regulatorio por riesgo operacional, tal y como se detalla en el apartado IV de la presente guía:
El apartado 2 de la Norma nonagésima séptima establece que la Alta Dirección será responsable de las políticas de asignación, que estarán bajo el control de los órganos directivos.
Asimismo señala que dichas políticas y criterios deberán revisarse y ajustarse, según el caso, a los nuevos riesgos y actividades económicas que pudieran surgir, así como a los cambios resultantes de la evolución de los ya existentes. Además, el proceso de asignación a las líneas de negocio será objeto de una revisión, al menos anual, por parte de la unidad de Auditoría Interna.
Finalmente, establece que esta asignación deberá realizarse con arreglo a los siguientes requisitos:
1) Todas las actividades deberán asignarse exclusivamente a una línea de negocio, de manera que no quede ninguna de ellas sin asignar ni exista ninguna actividad asignada a más de una línea de negocio.
2) Las actividades que no puedan asignarse con facilidad a alguna de las líneas de negocio, pero que desarrollen una función auxiliar de alguna de las actividades incluidas en dichas líneas, se asignarán a la línea de negocio correspondiente a la actividad a la que sirvan de apoyo. Si la actividad auxiliar sirve de apoyo a más de una línea de negocio, deberá utilizarse un criterio de asignación objetivo.
3) Si una actividad no puede ser asignada a una determinada línea de negocio conforme a lo dispuesto en los apartados anteriores, se asignará a la línea que genere el coeficiente de ponderación más elevado. Las actividades auxiliares asociadas también deberán asignarse a esa línea de negocio.
II.2 Criterios adicionales
A efectos de lo dispuesto en el apartado 3e) de la Norma nonagésima séptima de la Circular 3/2008, se detallan a continuación una serie de ejemplos prácticos y criterios orientadores sobre la forma en que habrá de realizarse el proceso de asignación para un mejor cumplimiento de los requisitos y criterios establecidos al efecto en la citada Circular. La aplicación de estos criterios deberá ajustarse, en todo caso, al tamaño y escala de las actividades de las “Entidades”:
A) Asignación de los componentes de las actividades compuestas
Independientemente de cómo se hayan definido y organizado internamente por las “Entidades”, las actividades compuestas deberían separarse en sus distintos componentes, cuando éstos sean significativos en términos de los ingresos relevantes.
A efectos de la asignación a las líneas de negocio, no deberían considerarse las actividades compuestas, sino que sus componentes deberían asignarse a las líneas de negocio más convenientes, de acuerdo con su naturaleza y características, de forma que se aplicasen los coeficientes de ponderación adecuados.
Los Ingresos Relevantes de las actividades compuestas deberían asignarse a las líneas de negocio considerando los criterios que se establecen en el apartado III.2 de la presente guía.
Ejemplos:
− Las actividades de Banca de Empresas y Renta Variable Privada suelen ser actividades compuestas cuyos componentes relevantes podrían ser, por ejemplo, Asesoramiento y análisis financiero, Suscripción, Financiación a clientes no minoristas y Gestión de activos.
En estos casos, las “Entidades” deberían asignar los componentes relevantes de dichas actividades a las líneas de negocio más adecuadas: por ejemplo, Asesoramiento y análisis financiero y Suscripción podrían asignarse a la línea de Financiación Empresarial; la Financiación a clientes no minoristas a la línea de Banca Comercial; y la Gestión de activos a la línea de Gestión de Activos.
− Banca Privada suele ser una actividad compuesta cuyos componentes podrían ser Asesoramiento, Financiación, Colocación de instrumentos financieros y Gestión de activos.
En este caso, la Financiación a clientes minoristas debería asignarse a la línea de Banca Minorista; la Colocación de instrumentos financieros podría asignarse a la línea de Intermediación Minorista; y la Gestión de activos a la línea de Gestión de Activos.
B) Actividades relacionadas con más de una línea de negocio
Las actividades que están relacionadas con más de una línea de negocio deberían asignarse a la línea más predominante o, si no existe línea predominante, a la/s más adecuada/s de acuerdo a su naturaleza y características (por ejemplo, en función de la contraparte y de su instrumentación jurídica).
Ejemplos de líneas de negocio predominantes:
− Las actividades de Arrendamiento Financiero y Factoring deberían asignarse a la línea de Banca Minorista o a la línea de Banca Comercial, en función de que las transacciones principales se efectúen con clientes que cumplan o no con los criterios establecidos en la normativa para las exposiciones incluidas en la categoría de Minoristas.
− Las Tarjetas de Débito y Crédito podrán asignarse en su totalidad a la línea de Banca Minorista, al ser una actividad realizada predominantemente con clientes minoristas (incluso en el caso de contratos con clientes que no cumplen con los criterios establecidos en la normativa para las exposiciones incluidas en la categoría de Minoristas, las tarjetas son usadas normalmente por clientes minoristas).
− Si los servicios de Intermediación Unificada son proporcionados de acuerdo a un contrato de agencia y, por lo tanto, predominan los servicios de gestión de efectivo y custodia, deberían asignarse a la línea de Servicios de Agencia. En caso contrario deberían asignarse a la línea de Negociación y Ventas.
Ejemplos de líneas de negocio no predominantes:
− La actividad de Titulización debería asignarse a la línea de Financiación Empresarial si los servicios son por cuenta de terceros (esto es, cuando se actúa como entidad inversora) y en la línea de Negociación y Ventas si son por cuenta propia (si se actúa como entidad originadora). La actividad de las sociedades gestoras de los fondos de titulización se asignarán a la línea de Gestión de Activos.
− La actividad relacionada con la gestión de la Morosidad debería asignarse a las líneas de Banca Minorista y Banca Comercial de acuerdo con la composición fundamental de su cartera crediticia.
C) Actividades auxiliares y actividades especializadas
Cuando una actividad apoya firmemente, forma parte o es auxiliar de otra actividad, se debería asignar a la misma línea de negocio de la actividad a la que presta soporte.
No obstante, si se lleva a cabo la actividad como un negocio específico (actividades especializadas), se debería asignar a la línea de negocio más adecuada de acuerdo con su naturaleza y características.
Ejemplos:
− La actividad de Préstamo de Valores, cuando es soporte de la actividad de
Intermediación Unificada, debería seguir el criterio de asignación seguido para esta última (ver ejemplos en el punto B) anterior).
− El Asesoramiento de Inversiones puede ser considerada como una actividad soporte cuando se dirige, por ejemplo, a colocar instrumentos financieros o de seguro a inversores institucionales o al resto de clientes, cumplan o no con los criterios establecidos en la normativa para las exposiciones incluidas en la categoría de Minoristas. En esos casos, debería seguirse el criterio de asignación a las líneas de negocio adoptado para las colocaciones de los instrumentos financieros o de seguro (ver más abajo).
Sin embargo, si el Asesoramiento de Inversiones es un negocio específico, especializado, proporcionado a sus clientes corporativos, debería asignarse a la línea de Financiación empresarial.
− Las actividades como Servicios de pagos, Transferencias de fondos, etc., que no puedan ser fácilmente asignadas a las líneas de negocio existentes y sean servicios auxiliares a clientes deberían asignarse a la línea de Banca Minorista o a la de Banca Comercial, en función de que los clientes cumplan o no con los criterios establecidos en la normativa para las exposiciones incluidas en la categoría de Minoristas.
No obstante, si las citadas actividades representan un negocio específico, especializado de la Entidad (por ejemplo, Compensación de tarjetas de débito y crédito, Transferencia de fondos como negocio específico, Corresponsales bancarios, etc.) deberían asignarse a la línea de Liquidación y Pagos.
− Las actividades como Custodia o Gestión de efectivo o de garantías que no puedan ser fácilmente asignadas a una de las líneas de negocio existentes y constituyan servicios auxiliares de clientes deberían asignarse a la línea de Banca Minorista o a la de Banca Comercial, en función de que los clientes cumplan o no con los criterios establecidos en la normativa para las exposiciones incluidas en la categoría de Minoristas.
Sin embargo, si las citadas actividades constituyen un negocio específico, especializado de la Entidad (por ejemplo, Custodia Global, Depositaría, etc.) deberían asignarse a la línea de Servicios de Agencia.
− Si por su naturaleza y características las actividades de Recepción, transmisión y ejecución de órdenes y de Colocación de instrumentos financieros o de seguro están más próximas a ser actividades especializadas que actividades auxiliares, entonces deberían ser asignadas a la línea de Intermediación Minorista, si la contraparte son clientes que cumplen con los criterios establecidos en la normativa para las exposiciones incluidas en la categoría de Minoristas, y a la línea de Negociación y Ventas, si la contraparte son inversores institucionales o clientes que no cumplen con los criterios establecidos en la normativa para las exposiciones incluidas en la categoría de Minoristas.
II.3 Cuadro de asignación
Teniendo en cuenta los principios generales recogidos en el apartado II.1 y los criterios de asignación adicionales expuestos en el apartado II.2, un esquema para la asignación a las líneas de negocio de una lista de actividades sería la siguiente:
III.1 Determinación de los Ingresos Relevantes
El apartado 2 de la Norma nonagésima séptima de la Circular 3/2008 establece que los Ingresos Relevantes en el Método Estándar se determinarán siguiendo lo dispuesto para el Método del Indicador Básico en los apartados 2 y 3 de la Norma nonagésima sexta. Para concretar esta definición se han tenido en cuenta en esta guía las precisiones establecidas por el Banco de España en las Aplicaciones Técnicas para la elaboración de los estados que cubren el detalle de los requerimientos de recursos propios por riesgo operacional, considerando dos principios básicos:
- Que el cálculo de los requerimientos por riesgo operacional quede referenciado a una magnitud contable, lo que facilita su implantación y hace que los datos sean más fiables, auditables y comparables entre diferentes “Entidades”.
- Que sea una magnitud similar a la habitualmente utilizada por las “Entidades” para su gestión como reflejo del resultado de su actividad típica y habitual, lo que coincidiría con la finalidad de la nueva normativa de solvencia al buscar un indicador para la evaluación del riesgo operacional.
Por ello, se determina que los Ingresos Relevantes se corresponden con los siguientes epígrafes que la Circular del Banco de España 4/2004 establece en la Cuenta de Pérdidas y Ganancias Consolidada Reservada, Estado C.3-1, para el cálculo a nivel consolidado, y en la Cuenta de Pérdidas y Ganancias Reservada, Estado T.1-1, para el cálculo a nivel individual:
1. Intereses y rendimientos asimilados
2. Intereses y cargas asimiladas
3. Rendimiento de instrumentos de capital
5. Comisiones percibidas
6. Comisiones pagadas
8. Resultados de operaciones financieras (neto)
9. Diferencias de cambio (neto)
12. Otros productos de explotación
III.2 Asignación de los Ingresos Relevantes a las líneas de negocio
El apartado 2 de la Norma nonagésima séptima establece que las “Entidades” que apliquen el Método Estándar deberán desarrollar y documentar políticas y criterios específicos para la asignación de los componentes de los Ingresos Relevantes a las respectivas líneas de negocio, que deberán ser consistentes con la asignación de actividades descrita en el apartado II.1, siendo la Alta Dirección igualmente responsable de estas políticas de asignación, y que estarán bajo el control de los órganos directivos.
De manera análoga a lo indicado en el apartado II.1 dichas políticas y criterios deberán revisarse y ajustarse, según el caso, a los nuevos riesgos y actividades económicas que pudieran surgir, así como a los cambios resultantes de la evolución de los ya existentes.
Además, el proceso de asignación de los Ingresos Relevantes será objeto de una revisión, al menos anual, por parte de la unidad de Auditoría Interna.
Asimismo establece que las “Entidades” podrán utilizar sus cifras de gestión para la asignación de los Ingresos Relevantes a cada línea de negocio. Los ingresos y costes generados en una línea que sean imputables a otra línea de negocio distinta deberán reasignarse a la línea de negocio a la que pertenezcan.
Además, deberán identificar los costes por la financiación ajena de los activos asignados a cada una de las líneas de negocio y que procedan de pasivos imputables a otras líneas de negocio, teniendo presente que:
a) Los procedimientos para llevar a cabo dicha imputación deberán estar convenientemente aprobados, documentados, actualizados e integrados en los sistemas de gestión internos.
b) Los parámetros financieros a utilizar estarán en consonancia con las condiciones de mercado.
c) Los procedimientos se aplicarán consistentemente en cada momento y a lo largo del tiempo.
En todo caso, la redistribución de ingresos y costes entre líneas de negocio no debe alterar el importe global de los Ingresos Relevantes de las “Entidades”.
Tal y como establece el apartado 1.2 de la Norma nonagésima séptima, en el Método Estándar los requerimientos de recursos propios por riesgo operacional vienen determinados por la media simple de los tres últimos años de la agregación, para cada año, de la suma de los Ingresos Relevantes de cada una de las 8 líneas de negocio en que se divide la actividad de las “Entidades” multiplicados por sus correspondientes coeficientes de ponderación, sin que esa suma pueda ser negativa.
Su expresión matemática es:
Por tanto, en el Método Estándar se admiten compensaciones entre los requerimientos imputables a las distintas líneas de negocio en cada ejercicio, de forma que, para cada año, los requerimientos de recursos propios negativos en cualquiera de las líneas de negocio pueden compensar los requerimientos positivos en otras líneas de negocio, con el límite de que esa compensación no puede dar lugar a un importe agregado negativo, en cuyo caso se tomaría valor cero.
Para aclarar el procedimiento de cálculo en el Método Estándar se ofrece un Ejemplo:
En el siguiente cuadro se muestran los Ingresos Relevantes en 3 años distribuidos en las 8 líneas de negocio y se calcula su valor ponderado, multiplicando cada importe por el coeficiente correspondiente, de forma que, para cada año, se tendrían unos ingresos ponderados agregados:
Para calcular los recursos propios requeridos por riesgo operacional hay que tener en cuenta el límite establecido por la normativa para permitir la compensación entre los requerimientos en diferentes líneas.
Por ello, al determinar los Ingresos Relevantes ponderados agregados empleados para el cálculo de los recursos propios ha de sustituirse el importe del año 2, que es negativo, por el valor cero. A partir de ahí, el cálculo de los recursos propios se realiza mediante la media simple para los 3 años de los importes considerados, tal y como se muestra en el siguiente cuadro, en el que, además, se incluye el cálculo de los requerimientos a través del Método del Indicador Básico, a fin de comprobar la diferencia en la consideración de los Ingresos Relevantes negativos en ambos métodos.
Obsérvese que en el Método del Indicador Básico se consideran únicamente los Ingresos Relevantes positivos de los 3 últimos ejercicios, calculándose los requerimientos de recursos propios por riesgo operacional como la media simple para esos dos ejercicios con datos positivos de dichos Ingresos Relevantes multiplicados por el 15%.
Uno de los aspectos fundamentales que diferencian al Método Estándar del Método del Indicador Básico es que las “Entidades” que pretendan aplicarlo deberán acreditar ante el Banco de España que cumplen con los requisitos cualitativos establecidos en el apartado 2 de la Norma nonagésima séptima, requisitos que son muy similares a los requeridos en el apartado 2 de la Norma nonagésima octava para aquellas “Entidades” que pretenden aplicar Modelos Avanzados (AMA).
En todo caso, las “Entidades” que decidan aplicar el Método Estándar deben acreditar que se ha implantado un sistema integrado de gestión del riesgo operacional, no resultando admisible un sistema que se limite a desarrollar simplemente el procedimiento de cálculo de los requerimientos de recursos propios por riesgo operacional contemplado en este Método.
En el anexo nº 1 se detalla la información mínima que el Banco de España considera necesario mantener a su disposición para la justificación del cumplimiento de los requisitos exigidos por la Circular 3/2008 para la aplicación del Método Estándar.
Los requisitos cualitativos exigidos son:
1. La Alta Dirección es responsable de aprobar el marco de gestión del riesgo operacional.
2. Tal y como se ha señalado en los apartados II.1 y III.2 de esta guía, las “Entidades” han de definir, implantar y revisar políticas, instrucciones y criterios de asignación de sus actividades y de los componentes de los Ingresos Relevantes a las respectivas líneas de negocio, siendo la Alta Dirección responsable de las políticas de asignación. Dichas políticas, instrucciones y criterios estarán bajo el control de los órganos directivos.
Los criterios definidos deberán ser claros y detallados de forma que permitan a una tercera parte replicar la asignación realizada. Las “Entidades” deberán registrar y justificar debidamente cualquier excepción del proceso de asignación definido.
3. Las “Entidades” han de tener un sistema de gestión del riesgo operacional con responsabilidades claramente definidas. A tal efecto, es recomendable que cuenten con una unidad específica para la gestión del riesgo operacional.
4. Las “Entidades” han de registrar los datos relevantes del riesgo operacional, incluyendo las pérdidas derivadas de ese tipo de riesgo que sobrepasen el umbral establecido internamente, identificando, además, el tipo de evento de pérdida por riesgo operacional, que deberá corresponderse con una de las 7 categorías definidas en la norma centésima, esto es:
1) Fraude interno: pérdidas derivadas de algún tipo de actuación encaminada a cometer fraude, apropiarse de bienes indebidamente o soslayar regulaciones, leyes o políticas empresariales en los que se encuentran implicados, al menos, un representante de la alta administración, un cargo directivo, o un empleado de la ”Entidad”.
2) Fraude externo: pérdidas derivadas de algún tipo de actuación encaminada a cometer fraude, apropiarse de bienes indebidamente o soslayar la legislación por parte de terceros ajenos a la "Entidad".
3) Relaciones laborales y seguridad en el puesto de trabajo: pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales sobre empleo, higiene o seguridad en el trabajo, así como las derivadas de reclamaciones por daños personales, físicos o síquicos, incluidas las relativas a casos de acoso y discriminación.
4) Clientes, productos y prácticas empresariales: pérdidas derivadas del incumplimiento involuntario, negligente o doloso de una obligación profesional frente a clientes concretos, incluido el incumplimiento de requisitos fiduciarios y de adecuación, o de la naturaleza o diseño de un producto.
5) Daños a activos materiales: pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales u otros eventos.
6) Incidencias en el negocio y fallos en los sistemas: pérdidas derivadas de interrupciones inesperadas de la actividad y/o de la prestación de servicios motivadas por fallos en los sistemas.
7) Ejecución, entrega y gestión de procesos: pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores.
Por otra parte, sería recomendable que las “Entidades” recopilen información sobre la fecha de ocurrencia del evento, la fecha de su registro en la base de pérdidas, cualquier recuperación con respecto a los importes brutos, así como información de carácter descriptivo sobre los factores desencadenantes o las causas del evento que da lugar a la pérdida.
Igualmente sería recomendable que las “Entidades” contasen con criterios específicos de asignación de las pérdidas procedentes de eventos sucedidos en una unidad centralizada o en una actividad que incluya más de una línea de negocio, así como de las procedentes de eventos relacionados a lo largo del tiempo.
5. Las “Entidades” han de tener un sistema de evaluación que identifique sus exposiciones significativas al riesgo operacional.
6. Las “Entidades” han de tener el sistema de evaluación totalmente integrado en sus procesos de gestión de riesgos, y sus resultados deben utilizarse activamente en el proceso de seguimiento y control de su perfil de riesgo operacional.
7. Las “Entidades” deberán disponer de un sistema que facilite informes sobre el riesgo operacional a los responsables de las funciones pertinentes dentro de las mismas y deberán contar con procedimientos que permitan adoptar las acciones necesarias a tenor de la información contenida en los referidos informes de gestión.
8. Tanto el sistema de gestión como el sistema de evaluación del riesgo operacional deberán estar bien documentados.
9. El sistema de gestión y evaluación del riesgo operacional deberá ser objeto de una revisión periódica, al menos anual, por parte de la unidad de Auditoría Interna. Esa revisión debe contemplar el proceso de asignación de actividades y de ingresos relevantes a las líneas de negocio, tal y como se ha expuesto en los apartados II.1 y V de esta guía. En el anexo nº. 2 se detalla la estructura y contenido mínimo del informe de auditoría en el que se reflejará el proceso de revisión periódica a que se refieren los apartados 3d) y 3e vii) de la Norma nonagésima séptima de la Circular 3/2008.
10. Además, tal y como se establece con carácter general en la Norma centésima quinta 2, d), (vii), las “Entidades” deberían establecer por escrito planes de emergencia y de continuidad de la actividad que les permitan mantener esta última y limitar las pérdidas en caso de incidencias graves en el negocio.
11. Las “Entidades” deben efectuar una autoevaluación del cumplimiento de los requisitos 1 a 10. En dicha evaluación se tendrá en cuenta el tamaño y la escala de sus actividades considerando el principio de proporcionalidad entre los costes generados y los beneficios obtenidos de las mejoras marginales en el grado de cumplimiento de los citados requisitos.
La utilización del Método Estándar para el cálculo de los requerimientos mínimos de recursos propios por riesgo operacional deberá ser acordada por el Consejo de Administración u órgano equivalente de la “Entidad”. Dicho acuerdo deberá ser comunicado a la Dirección General de Supervisión del Banco de España por el Consejero Delegado o el Director General de la “Entidad” indicando que se cumplen los criterios y requisitos establecidos en la Circular 3/2008 y que se mantiene a disposición de la Dirección General de Supervisión la información que figura en este documento, así como cualquier información adicional a la aquí señalada que se considere relevante a efectos de que se pueda evaluar el cumplimiento de los requisitos mínimos para utilizar dicho método.
En la información que se ponga a disposición del Banco de España deberá distinguirse claramente entre la situación de implantación en el momento actual y los planes de mejoras previstas. La información estará disponible preferentemente en formato electrónico y se estructurará en los siguientes apartados:
A. Cálculo de requerimientos de recursos propios
B. Asignación de actividades y de ingresos relevantes
C. Otros requisitos cualitativos
C.1. Alta Dirección
C.2. Estructura interna de gestión
C.3. Base de pérdidas por riesgo operacional
C.4. Sistema de gestión del riesgo operacional
C.5. Información de gestión
C.6. Soporte tecnológico
C.7. Revisión independiente
C.8. Planes de contingencia
C.9. Autoevaluación
A. Cálculo de requerimientos de recursos propios
1. Organigrama del Grupo. Relación de entidades que lo componen, con especificación de su actividad, relación de dependencia e importancia relativa en términos de activos totales, margen ordinario, resultados del ejercicio y número de empleados.
2. Detalle de las entidades y/o unidades incluidas en el cálculo de los recursos propios por el Método Estándar. Para las entidades no incluidas, en las que se aplicará el Método del Indicador Básico, se especificará:
a. justificación de que se cumplen los requisitos establecidos en el punto 10 de la Norma nonagésima quinta para poder aplicar una combinación de los dos métodos
b. plan detallado de roll-out para la aplicación del Método Estándar
3. Resultados del proceso de cálculo de los requerimientos de recursos propios de carácter regulatorio por riesgo operacional. Distribución entre las distintas entidades del Grupo.
B. Asignación de actividades y de ingresos relevantes
4. Definición y descripción de líneas de negocio internas y asignación a las líneas establecidas en la Circular 3/2008.
5. Definición y descripción de tipos de eventos y asignación a los establecidos en la Circular 3/2008.
6. Políticas y criterios específicos desarrollados para la asignación de actividades y de los ingresos relevantes a las líneas de negocio.
7. Justificación del papel de la Alta Dirección y de los órganos directivos en las políticas de asignación.
8. Revisiones que se hayan efectuado de dichas políticas y criterios.
9. En caso de utilizar datos de gestión en la asignación de los ingresos relevantes a las líneas de negocio, justificación de que los procedimientos para efectuar dicha imputación están aprobados, documentados, actualizados e integrados en los sistemas de gestión internos.
C. Otros requisitos cualitativos
C.1. Alta Dirección
10. Descripción y justificación documental del papel del Consejo de Administración y de la Alta Dirección en la aprobación y revisión periódica del marco de gestión.
11. Manuales corporativos de políticas y procedimientos de riesgo operacional; última fecha de actualización, responsables de su elaboración y fecha y órganos a los que se haya ya sometido su aprobación.
12. Listado de resto de documentos internos considerados relevantes, con breve descripción de su contenido.
C.2. Estructura interna de gestión
13. Composición y funciones de las áreas, departamentos y comités involucrados en la gestión, evaluación y control del riesgo operacional, incluyendo, además, para estos últimos, periodicidad de las reuniones y fecha de creación.
14. Composición y funciones de los comités que, aun no gestionando directamente el riesgo operacional, pudieran estar relacionados con este riesgo.
C.3. Base de pérdidas
15. Fichero de base de datos internos de pérdidas.
16. Descripción de:
a. Responsables de la alimentación, mantenimiento y validación de las bases de datos.
b. Procedimiento de captura automática y manual de datos.
17. Procedimientos de control de la calidad e integridad de los datos efectuados por la unidad de riesgo operacional. Resultados de las últimas pruebas efectuadas.
18. Informes de análisis de las bases de datos. Evolución histórica y distribución de eventos por unidades, líneas de negocio y tipo de eventos. Explicación de las variaciones y de la distribución de los datos.
19. Plan contable interno. Relación de cuentas contables que reflejan total o parcialmente riesgo operacional.
20. Registro de eventos reputacionales o de negocio significativos excluidos de la base de datos.
C.4. Sistema de gestión del riesgo operacional
21. Herramientas corporativas usadas para la gestión del riesgo operacional. Manuales metodológicos y de usuario, última fecha de actualización, responsables de su elaboración y fecha y órganos a los que se haya sometido su aprobación.
22. Implantación de las herramientas corporativas de gestión del riesgo operacional en las distintas entidades del grupo. Para cada entidad se especificarán:
a. unidades, áreas o departamentos en los que se han implantado las herramientas, con indicación de su importancia relativa dentro de la entidad en términos de riesgo operacional (utilizando el margen ordinario u otra/s magnitud/es cuando la anterior no sea suficientemente indicativa).
b. unidades, áreas o departamentos en los que no se aplican las herramientas cualitativas de gestión indicando los motivos que justifican dicha falta de aplicación.
23. Mapa de procesos de primer nivel de la entidad.
24. Identificación de las fuentes de riesgo operacional significativas de la “Entidad” y medidas que permitan evaluar la exposición a los principales tipos de eventos.
25. En el caso de haber realizado ejercicios cualitativos de autoevaluación de riesgos, aportar el detalle de los procedimientos internos para la construcción y para el control de la calidad de las autoevaluaciones, la base de datos de las autoevaluaciones finalizadas y el calendario de los ejercicios previstos.
26. Relación y breve descripción de planes y recomendaciones de mitigación del riesgo efectivamente implantadas y previstas.
27. Relación y breve descripción de indicadores de riesgo implantados y calendario de implantación de dichos indicadores.
C.5. Información de gestión
28. Relación de informes periódicos y puntuales, destinados a las líneas de negocio y soporte y en particular los elevados a la Alta Dirección. Identificación de sus destinatarios y del grado de manualidad o automatización en su elaboración. Contenido y frecuencia de dichos informes.
C.6. Soporte tecnológico
29. Descripción del soporte tecnológico, sistemas de información y aplicaciones que posibilitan la utilización efectiva de las bases de datos, herramientas de gestión y evaluación del riesgo.
30. Descripción de controles y procedimientos internos establecidos para asegurar la consistencia y fiabilidad de las fuentes de información del sistema de gestión indicando quienes son los responsables de estos controles y la periodicidad de los mismos.
C.7. Revisión independiente
31. Descripción del papel de la Auditoría Interna. Detalle de los estudios realizados y resultados de los mismos que, como mínimo, deberá incluir el informe con el contenido y estructura detallado en el anexo nº 2.
32. Relación de revisiones o colaboraciones independientes (auditoría externa, consultores...). Objetivos de las mismas y conclusiones obtenidas.
C.8. Planes de contingencia
33. Relación de planes de emergencia y continuidad de la actividad de la “Entidad”.
34. Periodicidad de las pruebas realizadas. Resultados de las últimas pruebas efectuadas.
C.9. Autoevaluación
35. Evaluación del grado de cumplimiento de los requerimientos cualitativos mínimos para acceder al enfoque elegido, en la actualidad, con indicación de los puntos débiles conocidos y calendario previsto para subsanarlos.
36. Detalle y calendario de implantación de cambios previstos y futuros desarrollos del sistema de gestión.
1. Plan de auditoria
La Auditoría Interna deberá desarrollar un plan para revisar de manera continuada el sistema de gestión y evaluación del riesgo operacional de la “Entidad”.
Dicho plan deberá abarcar todas las actividades significativas que expongan a la “Entidad” a riesgos operacionales sustanciales. Además, deberá ser actualizado periódicamente para considerar:
• El desarrollo de procedimientos internos para la identificación, evaluación, seguimiento, control y mitigación del riesgo operacional
• La implantación de nuevos productos, procedimientos y sistemas que expongan a la “Entidad” a riesgos operacionales significativos
2. Informe de auditoría interna
La Auditoría Interna deberá emitir, al menos anualmente, un informe específico, en el que se pronunciará explícitamente sobre los aspectos enumerados a continuación, documentando todas sus conclusiones. Asimismo, deberá aportar una relación de las pruebas de auditoría realizadas, para fundamentar cada una de las opiniones emitidas.
En el caso de que no se pueda emitir opinión sobre alguno de los aspectos mencionados, por no estar suficientemente desarrollados, se informará del calendario de implantación y, posteriormente, de su grado de cumplimiento.
2.1. Proceso de asignación de las actividades y de los ingresos relevantes a las líneas de negocio
La Auditoría Interna tendrá que revisar el procedimiento diseñado por la “Entidad” para asignar sus actividades y los ingresos relevantes a las ocho líneas de negocio definidas en la normativa de solvencia. Como mínimo deberá comprobar que:
1. La documentación interna es completa.
2. Las líneas de negocio internas se encuentran adecuadamente definidas y asignadas a las líneas establecidas en la nueva normativa de solvencia.
3. Los tipos de eventos internos se encuentran adecuadamente definidos y asignados a los establecidos en la nueva normativa de solvencia.
4. Existen políticas y criterios específicos desarrollados para la asignación de actividades y de los Ingresos Relevantes a las líneas de negocio.
5. Se cumplen los requisitos normativos en caso de utilizar cifras de gestión en la asignación de los Ingresos Relevantes a las líneas de negocio.
6. La Alta Dirección y los órganos directivos asumen la responsabilidad en el establecimiento de dichas políticas y criterios.
7. Las políticas y criterios se revisan y ajustan adecuadamente
2.2 Sistema de gestión y evaluación del riesgo operacional
2.2.1 Integración del sistema de evaluación en la gestión
1. La Auditoría Interna deberá verificar que el sistema de evaluación interno del riesgo operacional está adecuadamente integrado en los procedimientos de gestión diaria de dicho riesgo.
2.2.2 Procedimientos y herramientas de gestión del riesgo operacional
La Auditoría Interna tendrá que verificar el cumplimiento de la normativa interna relativa a este riesgo. Como mínimo deberá comprobar que:
1. La documentación interna es completa.
2. Datos internos. En especial, deberá verificarse que la información capturada:
i. es íntegra y completa
ii. es consistente en toda la organización
iii. se asigna adecuadamente a la matriz establecida en la normativa con siete tipos de evento y ocho líneas de negocio
3. Se identifican adecuadamente las fuentes de riesgo operacional significativas de la “Entidad”, se han desarrollado medidas para evaluar la exposición a los principales tipos de eventos y esas medidas de exposición son usadas en la gestión.
4. En el caso de que se hayan realizado ejercicios de autoevaluación, verificará que los indicadores de riesgo/datos de pérdidas/informes de cumplimiento y las estimaciones de riesgo están en línea con los resultados de la autoevaluación cualitativa.
5. Las acciones de seguimiento se llevan a cabo de una forma efectiva y oportuna.
6. Se siguen los procedimientos para revisar y actualizar el marco de gestión del riesgo operacional.
7. Se siguen los procedimientos de reporting de la información de gestión.
8. Existen planes de emergencia y continuidad de la actividad y se prueban periódicamente
2.2.3 Entorno tecnológico y las aplicaciones
La actividad de la Auditoría Interna deberá también cubrir aspectos como la adecuación de las infraestructuras tecnológicas y la captura y mantenimiento de los datos, a fin de verificar la utilización efectiva del sistema de gestión. Como mínimo deberá comprobar:
1. El grado de integración interna (entre componentes del sistema de gestión) y externa (con otros sistemas de información de la entidad), identificando procedimientos manuales, debilidades tecnológicas y posibles carencias en otros sistemas externos que pudieran afectar al sistema de gestión.
2. Respecto de las aplicaciones:
a. La disponibilidad de datos y la replicabilidad de las bases de datos utilizadas a lo largo del tiempo.
b. El grado de automatización de los procesos periódicos para el uso regulatorio propuesto.
c. La adecuada programación de las metodologías de cálculo utilizadas.
d. La replicabilidad de la obtención de los outputs.
3. Sobre el sistema de información:
a. Procesos de mantenimiento.
b. Plan de sistemas.
c. Gestión de las bases de datos.
d. Planes de contingencias.
e. Suficiencia de recursos (humanos, de software y de hardware).
4. La documentación técnica existente.
- Capítulo 8: Requerimientos de recursos propios por riesgo operacional:
- Norma nonagésima quinta:
- Apartado 1: métodos aplicables
- Apartados 6 al 10: uso combinado de métodos
- Norma nonagésima sexta, apartado 2: definición de los Ingresos Relevantes
- Norma nonagésima séptima:
- Apartado 1: cálculo de los requerimientos de recursos propios
- Apartado 2: requisitos cualitativos
- Norma centésima: tipos de eventos de pérdida
