El riesgo operacional para las instituciones financieras ( banca y seguros ) es el riesgo de pérdida directa o indirectamente debido a la inadecuación o falla de los procedimientos de la institución (análisis o control faltante o incompleto, procedimiento inseguro), personal (error, mala intención y fraude). ), sistemas internos (fallo informático , etc.), externos (inundaciones, incendios, etc.) o riesgos emergentes. En el sistema de Basilea II se ha estandarizado la definición de riesgo operacional, los procedimientos que se deben implementar para limitarlo y los métodos de cuantificación. El objetivo de este sistema, implantado en los bancos europeos en 2008, es evitar el riesgo sistémico .
Les risques opérationnels ont pris une importance considérable dans le contexte bancaire né de la dérégulation, de l'imbrication croissante des acteurs du monde financier, de l'augmentation des capitaux manipulés et de la sophistication des produits comme l'ont montré les affaires Barings et Sociedad General.
En el marco del sistema de Basilea II, se han definido las mejores prácticas a implementar por cada institución financiera. El regulador financiero nacional es responsable de evaluarlos y controlarlos. Las instituciones financieras pueden optar por un sistema de evaluación más o menos sofisticado de estos riesgos. Desde la reforma de Basilea II, el riesgo operacional ha sido incluido en el cálculo del capital regulatorio del establecimiento bancario con un impacto proporcional a la calidad de sus procedimientos y de su sistema de seguimiento y evaluación.
Se están definiendo medidas similares a las implementadas bajo Basilea II para las compañías de seguros bajo la normativa Solvencia II .
El regulador de Basilea II define el riesgo operacional como el de las pérdidas directas o indirectas debido a una insuficiencia o falla de los procedimientos, el personal y los sistemas internos. Esta definición incluye riesgo legal; sin embargo, no se incluyen el riesgo reputacional (riesgo de pérdida resultante del daño a la reputación de la institución bancaria) y el riesgo estratégico (riesgo de pérdida resultante de una mala decisión estratégica).
Esta definición cubre en particular errores humanos, fraudes y actos maliciosos, fallas del sistema de información, problemas de gestión de personal, disputas comerciales, accidentes, incendios e inundaciones.
El Comité de Basilea ha adoptado una clasificación que establece siete categorías de eventos vinculados a este riesgo:
Desde mediados de la última década, el conocimiento de los riesgos crediticios y de mercado ha alimentado un amplio debate y ha sido objeto de numerosas investigaciones. Normalmente, este trabajo debería haber contribuido a un progreso significativo en la identificación, medición y gestión de riesgos dentro del sistema bancario. Sin embargo, no podemos dejar de preguntarse sobre el impacto real de estas contribuciones, a la luz de los acontecimientos recientes que han tenido una influencia decisiva en la crisis financiera de 2008 : por un lado, el alto riesgo de crisis , en el un lado, por el contrario, las prácticas de las agencias de calificación financiera cuya intervención es determinante en el proceso de control de los riesgos crediticios.
Sin embargo, durante el mismo período, la evolución de los mercados financieros, caracterizada en particular por la globalización de la actividad bancaria y su desregulación, hizo que estas actividades - y por tanto los correspondientes perfiles de riesgo - fueran cada vez más complejas. Los reguladores financieros también se dieron cuenta de que los riesgos se estaban volviendo cada vez más difíciles de identificar porque estaban presentes en todos los niveles de una organización, cada vez más difíciles de medir por la conjunción de pérdidas directas y pérdidas indirectas que son mucho más difíciles de cuantificar, y más y más difícil de gestionar debido a la organización cada vez más transversal de las profesiones bancarias y las dificultades para dominar adecuadamente los límites de sus perímetros. Es en parte por estas razones que tanto los reguladores como las instituciones bancarias han puesto en marcha medios para identificar, medir y controlar los riesgos operacionales: hechos como los ocurridos en Nueva York en septiembre de 2001 , o la serie de fraudes ocurridos en instituciones bancarias. ( Societe Generale , Barings , por nombrar solo los más publicitados), demuestran claramente que la gestión de los riesgos bancarios va mucho más allá de las áreas de riesgo crediticio o riesgo de mercado, y requiere tener en cuenta los riesgos operativos.
Para la determinación del capital regulatorio , que constituye uno de los elementos clave de cualquier sistema regulatorio bancario, el sistema de Basilea II establece nuevas reglas que tienen más en cuenta la realidad económica, refinando la evaluación del perfil de riesgo de las instituciones bancarias e integrando sistemas de mitigación de riesgos. Esta nueva regulación permite a los bancos que cumplen ciertas condiciones reducir sus requerimientos de capital regulatorio, sujeto a poder demostrar una organización interna eficiente en la gestión de sus riesgos.
Para afinar la gestión y el control de riesgos, el ratio McDonough, que sustituye al anterior ratio Cooke, obliga a los bancos a destinar parte de sus propios fondos a cubrir sus riesgos crediticios, sus riesgos de mercado y - novedad del ratio McDonough - de sus riesgos operativos.
Para evaluar la exposición de una institución bancaria a los riesgos operativos, el Comité de Basilea propone tres enfoques en orden creciente de complejidad y sensibilidad al riesgo:
Incluso si el cálculo de los requerimientos de capital regulatorio es relativamente simple en los dos primeros enfoques (enfoque básico y enfoque estándar), la ponderación la fija la autoridad supervisora, el uso del enfoque estándar o, a fortiori, el del enfoque avanzado está sujeto a aceptación por parte de la autoridad supervisora, sujeta ella misma al cumplimiento de ciertos criterios de elegibilidad: “… Como ocurre con el riesgo de crédito, cuanto más eficientes son las herramientas de gestión, por lo tanto, cuanto más sofisticado es el enfoque, menor es el requerimiento de capital. Cuando se cumplen las condiciones requeridas para el uso de un método, se anima al banco a utilizarlo. Se espera que un banco internacional activo y los bancos con riesgos operativos importantes utilicen un enfoque más sofisticado que el enfoque básico. Incluso es posible una combinación de los tres métodos [enfoque básico, enfoque estándar y enfoque avanzado] dependiendo de las actividades, bajo ciertas condiciones. "
Una de las novedades del sistema de Basilea II en términos de riesgos operacionales es, por tanto, incentivar a las entidades bancarias a mejorar la gestión de sus riesgos operacionales, enmarcados estos últimos en requisitos organizativos específicos de cada uno de los tres enfoques: más organización de la banca es complejos y sofisticados, a través de sistemas y prácticas más sensibles a los riesgos, además de que el enfoque propuesto por el regulador permite esperar una reducción del capital regulatorio.
Todo el sistema de Basilea II fue diseñado para fomentar un paso gradual hacia el método avanzado, que en principio consume menos capital regulatorio. Este ahorro en patrimonio encuentra su contrapartida en la implementación de una organización específica orientada a un mejor control de los riesgos operacionales y, en última instancia, a la reducción de pérdidas. Esta es probablemente la razón por la que el propio regulador ha definido un código de buenas prácticas para ser utilizado por los bancos y sus supervisores.
Partiendo del principio fijado por el regulador según el cual un riesgo se controla correctamente si es identificado, medido, evaluado y gestionado, los tres enfoques tienen como objetivo cuantificar el riesgo operacional con una sensibilidad variable y por tanto, para la pareja supervisor / banquero. , contribuir a una mejor supervisión prudencial de este último. Además de estas herramientas de medición, el regulador ha desarrollado diez principios de buenas prácticas necesarios para el control de los riesgos operacionales, recordando así la importancia de la participación del órgano ejecutivo en el establecimiento de dicho sistema, así como la identificación de los riesgos operacionales. , en particular mapeándolos.
Desarrollo de un entorno apropiado para la gestión de riesgos [operacionales]La implementación del método básico no requiere ningún requisito organizativo particular. Si las estructuras de los otros dos enfoques (estándar y AMA) son bastante diferentes, principalmente debido a la presencia o no de una entidad dedicada específicamente a la gestión de riesgos operativos, sus métodos de implementación deberían ser teóricamente bastante similares en la medida en que que, sea cual sea el enfoque, estas modalidades se basan por un lado en un modelo de procesamiento, por otro lado en funcionalidades relativamente estandarizadas para todos los bancos:
El modelo de tratamiento del riesgo operacionalEl modelo de tratamiento del riesgo operacional incluye cuatro subprocesos clave necesarios para el desarrollo de un sistema de gestión adecuado:
La identificación de riesgos operacionales requiere que el banco defina cuáles son los factores inherentes a los riesgos operacionales y sus múltiples dimensiones (codificación, aspecto interno / externo, frecuencia, membresía, severidad, tipo de pérdida, actividad (es) involucrada (s), procesos / funciones involucradas, datos y sistemas involucrados, etc.). La implementación de este primer subproceso de identificación, en el marco del sistema de Basilea II, se enfrenta en primer lugar al problema de una definición interna de riesgos operacionales coherente y compatible con la adoptada por el sistema. luego a la de su identificación: efectivamente, si las pérdidas operacionales, que materializan la ocurrencia de riesgos operacionales, fueron hasta ahora identificadas y controladas por los departamentos de control interno o auditoría interna, pasan a ser en el nuevo sistema responsabilidad de los gerentes operacionales en todos los aspectos. sectores del banco. La implementación de este primer subproceso de identificación corre el riesgo de verse influenciada por el contexto en el que opera el banco (“basado en principios” versus “basado en reglas”), especialmente porque algunos van tan lejos como para identificar el riesgo. Operacional como cualquier riesgo financiero otros que el riesgo crediticio o el riesgo de mercado. Segunda dificultad: dado que una pérdida se mide intrínsecamente haciendo uso de reglas contables, debido a su impacto en la situación financiera del banco, la aplicación de estas reglas contables puede dar lugar a interpretaciones divergentes. Es particularmente difícil evaluar ciertos impactos (pérdida de margen bruto, pérdida de clientes, por ejemplo).
ValoraciónHasta ahora, para evaluar los montos de riesgo , los expertos en gestión de riesgos han desarrollado principalmente su conocimiento en el área de riesgo de crédito y riesgo de mercado, con énfasis en la aplicación de métodos cuantitativos y estadísticos de modelado y simulación. Por lo tanto, era natural que estos mismos expertos, tanto dentro de los bancos como con las autoridades supervisoras, tendieran a aplicar estas técnicas probadas para la evaluación de los riesgos operativos. Esto podría explicar en parte la presencia en el enfoque AMA de criterios comparables a los del enfoque IRB utilizado para los riesgos crediticios. Más fundamentalmente, la aplicación de métodos de modelado estadístico para evaluar los riesgos operativos ha sido objeto de severas críticas, particularmente en el mundo académico. Así, se ha argumentado que ciertas características de los datos de pérdidas operacionales (distribuciones atípicas de montos de pérdidas extremas, eventos de pérdidas irregulares, frecuencia y severidad de pérdidas no estacionarias, existencia o no de pérdidas repetitivas) no eran consistentes con los postulados de la modelización. . A esta primera objeción se sumaría la de una cierta falta de datos, y especialmente de datos consistentes. Finalmente, muchas personas señalan las dificultades para modelar eventos de baja frecuencia y alto impacto: se recomiendan tres tipos de modelos como parte del enfoque AMA (método de método de medición interna (IMA), método de distribución de pérdidas (LDA), método de cuadro de mando). . Algunos consideran que el IMA fue concebido como una versión simplificada, practicable y estandarizada de un enfoque actuarial del tipo LDA, más completo y más satisfactorio, pero más complicado de implementar. Sería bajo la presión de ciertos bancos, en particular anglosajones, del IIR que el método Scorecard se habría integrado en el sistema de Basilea II. Es por estas críticas que se han desarrollado otros métodos más dinámicos orientados a gestionar los riesgos operacionales a través de un control más global de los procesos en los que estos riesgos están potencialmente presentes. Esto implica una simulación del funcionamiento de toda la cadena de procesos, basada tanto en escenarios reales como en realidad virtual, lo que teóricamente permite anticipar todos los elementos relacionados con un proceso específico, pero también todas las implicaciones e interrelaciones. Este método de escenarios se utiliza cada vez más (¾ de los bancos encuestados en la encuesta PRMIA de 2006 frente al 50% en la misma encuesta de 2005): supone que los riesgos operativos asociados con un proceso no pueden evaluarse por separado de la organización en la que opera este proceso; es en la interacción de un proceso con su entorno donde se encuentran los elementos clave de la evaluación del riesgo operacional. Para identificar correctamente las correlaciones entre procesos y eventos de pérdida, la dificultad consiste en aislar estos procesos entre sí para evaluar correctamente su contribución a una pérdida en particular. Sin embargo, este método aún incluye áreas de incertidumbre, por ejemplo, la elección de los supuestos subyacentes a los principales escenarios (supuestos de mercado), la evaluación de ciertos escenarios extremos (influenza aviar, por ejemplo), o incluso los tratamientos relacionados con los seguros.
VigilanciaEl seguimiento de los riesgos operacionales mediante indicadores adecuados (indicadores de alerta, indicadores de riesgo probados e indicadores de pérdidas) es el tercer proceso clave de un sistema de gestión para esta categoría de riesgo. En esta etapa surge el problema de la consolidación de indicadores, que se puede abordar con dos enfoques: de abajo hacia arriba o de arriba hacia abajo. En el enfoque bottom-up, los indicadores clave de riesgo operacional se definen y miden en niveles inferiores, donde la evaluación individual de los gerentes ejercerá el máximo apalancamiento en el seguimiento de los riesgos operacionales, para luego consolidarse gradualmente a un nivel mínimo central. En el enfoque de arriba hacia abajo, es de acuerdo con la visión estratégica global y la rentabilidad global de las operaciones que la asignación de capital regulatorio a las diversas actividades será decidida por los órganos ejecutivos de acuerdo con sus riesgos operativos. En este contexto, las decisiones tomadas en los niveles superiores de la jerarquía se reflejarán y traducirán en planes de acción monitoreados y controlados por los gerentes utilizando indicadores apropiados.
Control y mitigaciónEl control y mitigación del riesgo es probablemente el subproceso más complejo de este conjunto, ya que dependerá de la capacidad del banco para construir capacidad para prevenir riesgos identificando las palancas adecuadas para anticipar ciertos eventos o minimizar su impacto si ocurren. Este subproceso es particularmente complejo de administrar porque se basa simultáneamente en dos funciones que interactúan entre sí:
Las dos principales funcionalidades de la aplicación a implementar para dominar un sistema de gestión de riesgo operacional son, por un lado, la determinación del perfil de riesgo operacional del banco, y por otro lado, el establecimiento de un sistema de recolección de datos .
Sin embargo, para asegurar la cobertura de sus riesgos operativos, los bancos suelen utilizar modelos de asignación, siendo los dos enfoques más utilizados el enfoque ascendente y el enfoque descendente, o incluso una combinación de ambos. El principio del enfoque ascendente es calcular la necesidad de capital regulatorio al nivel más fino, por ejemplo, a nivel de una categoría de operaciones, y luego consolidar estas necesidades en niveles cada vez más centralizados hasta '' para todo el negocio. línea a la que se destinará el capital social correspondiente. Por el contrario, el principio del enfoque de arriba hacia abajo consiste en desagregar la información medida sobre todos los riesgos operativos del banco y luego asignar este capital a niveles cada vez más descentralizados.
A pesar de la simplicidad de estas dos cuestiones ( procesamiento del modelo y características de la aplicación), resulta que, en la práctica, la implementación de diferentes enfoques planteó y aún plantea muchas divergencias cuya complejidad ha ido emergiendo gradualmente con motivo de las numerosas misiones de investigación realizadas. tanto en Francia por la Comisión Bancaria como en el extranjero por las autoridades u organismos competentes.
“Además, la asignación de fondos propios únicamente para riesgos operativos sigue siendo poco común. Los grandes grupos bancarios que han optado principalmente por un enfoque AMA están considerando un cálculo del capital social para todo el grupo bancario y una asignación de este último a las distintas entidades según una clave de asignación y un proceso como el que se describe a continuación. Pocos grupos consideran calcular los requisitos a nivel de una o más de sus subsidiarias, aunque los principios establecidos por el Comité de Basilea relacionados con el reconocimiento transfronterizo de un enfoque AMA imponen tal cálculo para las subsidiarias significativas de un grupo. "
“El uso de datos históricos internos es generalmente un enfoque de arriba hacia abajo, donde los riesgos operativos primero se identifican y miden sobre una base consolidada a partir de sus pérdidas potenciales, y donde el patrimonio se asigna luego a las diversas líneas de negocio. La creciente conciencia de este modelo estadístico de los riesgos operativos se vio obstaculizada durante un tiempo por la insuficiencia de antecedentes de datos internos y problemas prácticos, en particular en relación con el nivel a partir del cual se debe recopilar cualquier pérdida y cómo. de los datos buscados (recopilación automática o declarativa) y una distribución creíble de las pérdidas. Sin embargo, se han realizado avances importantes en este ámbito, en particular debido a las normas de recaudación y medición que se están armonizando gradualmente entre bancos, y también a que se ha facilitado el uso de datos externos gracias a la madurez de las bases de datos. Consorcios (ORX se convierte en la referencia). De ahí una cierta desconfianza con respecto al uso exclusivo de estos datos históricos que justifica el uso de datos externos. "
“El uso de datos externos también plantea interrogantes sobre la necesaria corrección de sesgos estadísticos y la adaptación de datos externos a la situación interna del banco (problemas de escala). "
“Otros bancos están construyendo su modelo de medición favoreciendo datos más prospectivos, como análisis de escenarios y / o indicadores de riesgo. En este caso, se pretende que el enfoque sea de abajo hacia arriba, mapeando los riesgos a nivel de cada línea de negocio a partir de las causas, luego medidos en base a las frecuencias y severidades de las pérdidas estimadas por los expertos en cada negocio y / o indicadores de desempeño, control y riesgo. Si bien los análisis de escenarios se consideran un elemento importante en la difusión de una cultura de riesgo operacional, debido a que se basan en la experiencia de los gerentes dentro de las líneas de negocio, generalmente requieren serias precauciones antes de ser plenamente operativos: de hecho, estos análisis deben estar suficientemente estructurados. y coherente para que las cuantificaciones subjetivas de los riesgos operacionales a nivel de líneas de negocio puedan alimentar correctamente el modelo de cálculo de recursos propios a nivel consolidado. Por lo tanto, algunos bancos reservan este tipo de análisis solo para eventos de baja probabilidad y alta pérdida. "
“Otros bancos utilizan o están avanzando hacia un método de cuadro de mando (indicadores de riesgo o desempeño, en parte basados en el uso de criterios cualitativos) que permite, en particular, realizar asignaciones de capital regulatorio entre líneas de negocio o entre ubicaciones geográficas según su capacidad para controlar los riesgos operativos. Además de su aspecto más sintético, este método aporta una doble ventaja: primero introduce una dimensión prospectiva que forma parte de una gestión activa de prevención de riesgos operacionales; Luego, facilita la presentación de informes a los órganos ejecutivos al proporcionar, utilizando cuadros de mando de desempeño locales, un informe de progreso con respecto a la estrategia definida por estos órganos para garantizar el control del riesgo operativo. En la práctica, la identificación de los indicadores de riesgo se realiza en base a los riesgos identificados durante el mapeo y en relación con los indicadores existentes (calidad, indicadores de desempeño, etc.). A continuación, se seleccionan los indicadores clave de riesgo (KRI) que probablemente faciliten la toma de decisiones. Entre las dificultades encontradas en la implementación de este método se encuentra en particular la interpretación que se debe dar a los indicadores (por ejemplo los relacionados con los recursos humanos), la definición de niveles de alerta consistentes con la política general de gestión de riesgos operacionales así como los métodos de agregación de indicadores. "
“En opinión del propio regulador, los bancos [están dispuestos] a adoptar un enfoque más pragmático en términos de riesgo operativo reequilibrando el sistema hacia la gestión del riesgo en lugar de su única medida. El uso de datos prospectivos presupone tener en cuenta los cambios ocurridos o futuros en la gestión de los riesgos operativos y / o en las actividades de los establecimientos y, por tanto, una fuerte implicación de los gestores de riesgos a nivel empresarial. Sin embargo, aunque el uso de factores cualitativos del tipo de cuadro de mando se beneficia de cierta experiencia, en particular con el fin de asignar equidad entre las diferentes entidades de un grupo, la traducción cuantitativa de estos factores sigue siendo problemática y no parece realmente estabilizada. Esta traducción cuantitativa es tanto más delicada cuando los análisis de escenarios y las opiniones de los expertos no forman parte de un proceso bien estructurado y homogéneo dentro del grupo. Por tanto, es tanto más necesario que las entidades desarrollen cuestionarios precisos dirigidos a expertos en las líneas de negocio, así como indicadores de riesgo relevantes y observables de forma periódica, que puedan limitar la naturaleza subjetiva y, a veces, incluso política, del proceso de cuantificación. "
Finalmente, la implementación de un sistema eficaz de medición y gestión del riesgo operacional, independientemente de los métodos de análisis de datos, requiere un sistema de información adecuado . Esta es probablemente una de las áreas en las que los bancos aún tienen un progreso significativo por hacer, lo que probablemente no esté relacionado con el hecho de que el departamento de sistemas de información no suele estar representado en los bancos en los comités de gestión de riesgo operativo. La adaptación de los sistemas de información a los requerimientos específicos del proceso de riesgo operacional ha llevado, por tanto, a los bancos a elegir entre lanzar un proyecto completamente nuevo o realizar ampliaciones destinadas a recoger los datos necesarios. En el primer caso, se trató de implementar un procedimiento completamente nuevo para la recaudación sistemática de pérdidas y, para ello, realizar misiones de sensibilización en todos los niveles del banco. En el segundo caso, se trataba más bien de recuperar y replantear al nivel de los comercios los historiales de pérdidas existentes.
En un entorno tan complejo, es claro que la definición del perfil de riesgo real de un gran grupo bancario y la implementación de una política efectiva para reducir las pérdidas operacionales en cada entidad es un proyecto global, que requiere un despliegue a gran escala, y por ende gestión del cambio real.
Los desafíos de la gestión del cambio asociados con Basilea II se relacionan en particular con la difusión de una nueva cultura de vigilancia con respecto a los riesgos operativos y la sostenibilidad de este sistema.
El primer desafío es difundir una cultura de vigilancia ante estos riesgos en cada unidad de negocio del banco. Como tal, podemos hablar de una aculturación real de los empleados presentes en todos los métodos de implementación (mapeo de riesgos operacionales, sistema de recolección de incidencias), siendo el principal atributo de esta cuestión la implicación de cada empleado del banco.
El segundo desafío es evitar que el sistema de gestión del riesgo operacional se congele y, por tanto, que pueda evolucionar bajo el efecto de acciones correctivas , riesgos que desaparecen y nuevos riesgos que aparecen.
En general, la cuestión de la proceso de regulación de los riesgos operativos no es para obtener la certificación del supervisor de modo que el banco puede utilizar uno u otro enfoque propuesto por el regulador: es promover una mejora duradera en el control de los riesgos operativos por el. banco, al empoderar a cada uno de los grupos de interés (regulador, supervisor, empleado del banco). Aquí es donde el sistema adquiere un grado adicional de complejidad ya que, en última instancia, la implementación exitosa del sistema depende no solo de las mejores prácticas del banco sino también de la flexibilidad de la supervisión prudencial ejercida por el supervisor bancario y la adaptabilidad introducida en el dispositivo por el regulador.
Es principalmente en la aplicación del enfoque AMA donde se ejercerá la influencia de los supervisores.
Para Francia, la Comisión Bancaria ha optado por una posición "flexible" caso por caso, es decir, banco por banco. Para ello, la Comisión Bancaria primero tendrá en cuenta la forma en que cada banco ha proporcionado su enfoque AMA con su perfil de riesgo operacional. Esta autoridad no privilegiará ningún método sobre otro, reservándose únicamente para evaluar la relevancia general de las metodologías adoptadas en relación con el perfil de riesgo. La Comisión Bancaria quisiera ser ajena a cualquier enfoque excesivamente prescriptivo y rígido, incompatible con la dimensión evolutiva de las técnicas y metodologías desarrolladas por los bancos en el campo de los riesgos operacionales. Para sus procedimientos de validación, la Comisión Bancaria expresa en primer lugar una preocupación por la coherencia con la supervisión prudencial ejercida por otras autoridades supervisoras, adoptando los principios de supervisión de origen-anfitrión y los principios de un enfoque híbrido entre las filiales significativas y otras filiales, como se propone en el sistema de Basilea II. Luego especifica las líneas principales del contenido de su enfoque, en total conformidad con el contenido del dispositivo:
Finalmente, es más a través de su lógica de intervención que a través de su flexibilidad que la supervisión prudencial sufrirá un cambio significativo: la verificación exhaustiva de los criterios de elegibilidad, tanto cualitativos como cuantitativos, para AMA, por lo tanto, no encaja en una simple lógica de apreciación. de la conformidad normativa de un modelo. Se basa principalmente en una evaluación de la capacidad de los establecimientos para identificar, analizar, controlar y reducir (tanto la frecuencia como la gravedad de las pérdidas) sus riesgos operativos.