Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en
  • Inicio
  • BOE
  • 06/07/2018
  • Documento DOUE-L-2018-81125

Documento DOUE-L-2018-81125

Reglamento Delegado (UE) 2018/959 de la Comisión, de 14 de marzo de 2018, por el que se completa el Reglamento (UE) nº 575/2013 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación para la especificación del método de evaluación con arreglo al cual las autoridades competentes autorizan a las entidades a utilizar métodos avanzados de cálculo para el riesgo operativo.

TEXTO

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) n.o 575/2013 del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre los requisitos prudenciales de las entidades de crédito y las empresas de inversión, y por el que se modifica el Reglamento (UE) n.o 648/2012 (1), y en particular su artículo 312, apartado 4, párrafo tercero,

Considerando lo siguiente:

(1)

A efectos de los requisitos de fondos propios por riesgo operativo, el artículo 312, apartado 2, párrafo primero, del Reglamento (UE) n.o 575/2013 establece que las autoridades competentes autorizarán a las entidades a utilizar métodos avanzados de cálculo (en lo sucesivo, «AMA») basados en sus propios sistemas de medición del riesgo operativo, siempre y cuando se cumplan todos los criterios cualitativos y cuantitativos que figuran en dicho artículo, lo que implica que las entidades deben cumplir estos requisitos en todo momento. En consecuencia, tal apreciación no solo se refiere a la solicitud inicial de autorización de una entidad para utilizar un AMA, sino que también se aplica con carácter permanente.

(2)

Los distintos elementos que constituyen el marco AMA de una entidad no deben considerarse aisladamente, sino analizarse y evaluarse como un conjunto de elementos interrelacionados, de modo que las autoridades competentes adquieran la seguridad de que existe un nivel de cumplimiento adecuado en relación con cada aspecto de este marco.

(3)

La evaluación por las autoridades competentes de si una entidad cumple los requisitos contemplados en el artículo 312, apartado 4, letras a) y b), del Reglamento (UE) n.o 575/2013 para utilizar un AMA no debe efectuarse de manera uniforme. La naturaleza de los elementos que han de evaluarse varía según el tipo de evaluación realizada, que, a su vez, depende del tipo de solicitud presentada. Las autoridades competentes deben evaluar este cumplimiento cuando una entidad solicite por primera vez utilizar un AMA, cuando solicite ampliar el AMA de conformidad con el plan de aplicación secuencial aprobado, cuando solicite ampliar o modificar el AMA que haya sido autorizada a utilizar y cuando solicite volver a utilizar métodos menos complejos de conformidad con el artículo 313 del Reglamento (UE) n.o 575/2013. Por otra parte, las autoridades competentes deben examinar de forma continua la utilización de los AMA por las entidades. En consecuencia, las autoridades competentes deben evaluar el cumplimiento por una entidad de los requisitos para utilizar un AMA en función de la naturaleza de los elementos que han de evaluarse, en el marco del método de evaluación pertinente.

(4)

El artículo 85, apartado 1, de la Directiva 2013/36/UE del Parlamento Europeo y del Consejo (2) obliga a las entidades a definir lo que constituye riesgo operativo a efectos de la aplicación de políticas y procedimientos para evaluar y gestionar la exposición al riesgo operativo. El Reglamento (UE) n.o 575/2013 establece una definición de «riesgo operativo» que incluye tanto el riesgo jurídico como el riesgo de modelo. Según el artículo 3, apartado 1, de la Directiva 2013/36/UE, el riesgo de modelo se refiere a las pérdidas potenciales por errores en la concepción, aplicación o utilización de modelos internos, pero no incluye las pérdidas potenciales debidas a ajustes de valoración derivados del riesgo de modelo contemplados en el artículo 105 del Reglamento (UE) n.o 575/2013, relativo a una valoración prudente, o en el Reglamento Delegado (UE) 2016/101 de la Comisión (3), ni se refiere al riesgo de modelo asociado a la utilización de un método de valoración potencialmente incorrecto contemplado en el artículo 105, apartado 13, del Reglamento (UE) n.o 575/2013. El Reglamento (UE) n.o 575/2013 tampoco especifica la forma en que las autoridades competentes deben verificar el cumplimiento del requisito de definir todo riesgo operativo relacionado con el riesgo jurídico y el riesgo de modelo. Así pues, las normas que detallen el método que deben utilizar las autoridades competentes a la hora de evaluar si las entidades pueden utilizar AMA deben incluir dicha especificación.

(5)

Resulta igualmente necesario armonizar los métodos de supervisión con respecto a la correcta definición del riesgo operativo en las operaciones financieras, incluidas las relacionadas con el riesgo de mercado, ya que se ha demostrado que los riesgos operativos de estas operaciones son considerables y sus factores determinantes, normalmente de carácter polifacético, pueden no ser siempre detectables e identificables como tales en toda la Unión.

(6)

Los criterios que debe respetar el marco de gobernanza y de gestión de riesgos de las entidades figuran en el artículo 74 de la Directiva 2013/36/UE y en el artículo 321 del Reglamento (UE) n.o 575/2013. En consecuencia, el método para evaluar si las entidades pueden utilizar AMA debe prever la verificación, por las autoridades competentes, de que la entidad dispone de una estructura organizativa clara de gobernanza y de gestión del riesgo operativo, con líneas de responsabilidad bien definidas, transparentes y coherentes, que tengan en cuenta la naturaleza, la escala y la complejidad de sus actividades. En particular, debe confirmarse que la función de gestión del riesgo operativo desempeña un papel clave a la hora de detectar, medir, evaluar, vigilar, controlar y reducir los riesgos operativos a que se expone la entidad y que es suficientemente independiente de las unidades de negocio de la entidad, a fin de garantizar la independencia e imparcialidad de su criterio profesional y sus recomendaciones. También debe determinarse que la alta dirección es responsable de la elaboración y aplicación del marco de gobernanza y de gestión del riesgo operativo que ha sido aprobado por el órgano de dirección y que dicho marco se aplica de modo coherente en toda la organización de la entidad. Asimismo, las autoridades competentes deben evaluar si se proporcionan los instrumentos y la información adecuados en todos los niveles del personal, a fin de que todos los miembros del personal entiendan sus responsabilidades con respecto a la gestión del riesgo operativo.

(7)

Unos sistemas de información internos eficaces constituyen un requisito indispensable para la buena gobernanza interna. Por consiguiente, las autoridades competentes deben velar por que las entidades que soliciten autorización para utilizar AMA adopten sistemas eficaces de notificación de riesgos no solo al órgano de dirección y a la alta dirección, sino también a todas las funciones responsables de la gestión de los riesgos operativos a los que la entidad esté o pueda estar expuesta. El sistema de notificación debe reflejar la situación actualizada en cuanto al riesgo operativo en la entidad y tener en cuenta todos los aspectos importantes de la gestión y medición del riesgo operativo.

(8)

De conformidad con el artículo 321, letra a), del Reglamento (UE) n.o 575/2013, el sistema interno de medición del riesgo operativo con que cuente la entidad debe estar perfectamente integrado en sus procesos de gestión cotidiana de riesgos. Como consecuencia de ello, el método de evaluación de los AMA debe prever que las autoridades competentes se cercioren de que la entidad que solicite autorización para aplicar un AMA utilice realmente su sistema de medición del riesgo operativo en sus procesos de negocio cotidianos y a efectos de gestión de riesgos de forma permanente y no solo para el cálculo de los requisitos de fondos propios por riesgo operativo. Las normas relativas a la evaluación supervisora de los AMA deben, por tanto, incluir normas sobre las expectativas en materia de supervisión que debe satisfacer la entidad que solicite autorización para utilizar un AMA en lo que respecta a la «prueba de uso».

(9)

A fin de que tanto las entidades como las autoridades competentes puedan disponer de pruebas que demuestren que el sistema de medición del riesgo operativo de una entidad es fiable y robusto y genera requisitos de fondos propios por riesgo operativo más creíbles que un método reglamentario más sencillo, las autoridades competentes deben comprobar si la entidad ha comparado el sistema de medición del riesgo operativo con el método del indicador básico o el método estándar para el riesgo operativo previstos en los artículos 315, 317 y 319 del Reglamento (UE) n.o 575/2013 durante un determinado período de tiempo. Dicho período debe ser suficientemente largo para que la autoridad competente pueda confirmar que la entidad satisface los criterios cualitativos y cuantitativos previstos en el Reglamento (UE) n.o 575/2013 para la utilización de un AMA.

(10)

De conformidad con el artículo 321, letra g), del Reglamento (UE) n.o 575/2013, los flujos y el procesamiento de datos asociados al sistema de medición del riesgo de una entidad deben ser transparentes y accesibles. Los datos relativos al riesgo operativo no están disponibles inmediatamente, puesto que primero deben identificarse en los libros y archivos de la entidad y, a continuación, recopilarse y conservarse debidamente. Además, el sistema de medición suele ser muy complejo y contempla una serie de etapas lógicas y de cálculo para la generación de los requisitos de fondos propios mediante el AMA. El método de evaluación de los AMA debe, por tanto, verificar que los sistemas informáticos y de calidad de los datos estén debidamente diseñados y correctamente implementados en el seno de una entidad, a fin de cumplir el propósito para el que se crearon.

(11)

El marco AMA de una entidad está sometido a controles de auditoría y a procesos de validación interna de conformidad con el artículo 321, letras e) y f), del Reglamento (UE) n.o 575/2013. Aunque la estructura organizativa de las funciones de validación interna y auditoría puede variar dependiendo de la naturaleza, la complejidad y las actividades de la entidad, debe velarse por que, en lo que respecta a las revisiones que lleven a cabo estas funciones, el método de evaluación de los AMA se atenga a criterios comunes en cuanto a los términos y al alcance de dichas revisiones.

(12)

La modelización del riesgo operativo es una disciplina relativamente nueva y en evolución. Por consiguiente, el artículo 322 del Reglamento (UE) n.o 575/2013 ofrece una flexibilidad significativa a las entidades a la hora de elaborar el sistema de medición del riesgo operativo para calcular los requisitos de fondos propios mediante AMA. No obstante, esta flexibilidad no debe dar lugar a diferencias significativas entre entidades por lo que se refiere a los componentes clave del sistema de medición, en particular la utilización de datos internos, datos externos, análisis de escenarios y factores que reflejen el entorno del negocio y los controles internos (denominados «los cuatro elementos»), las hipótesis básicas de modelización que permiten reflejar eventos severos en las colas de la distribución y los correspondientes factores de riesgo (la elaboración del conjunto de datos de cálculo, la granularidad, la identificación de las distribuciones de pérdidas y la determinación de las distribuciones de pérdidas agregadas y las medidas de riesgo) o la pérdida esperada, la correlación y los criterios para la asignación de capital, que deben garantizar la coherencia interna del sistema de medición. Por lo tanto, con el fin de garantizar que el sistema de medición del riesgo tenga una sólida base metodológica, sea comparable entre las entidades, refleje efectivamente el riesgo operativo potencial y real de las entidades y sea fiable y robusto en la generación de los requisitos de capital reglamentario mediante AMA, el método de evaluación de los AMA debe establecer que las autoridades competentes apliquen los mismos criterios y requisitos en el conjunto de la Unión. Ese método también debe tomar en consideración los componentes idiosincrásicos del riesgo operativo que guarden relación con las diferencias de tamaño, naturaleza y complejidad de las entidades.

(13)

Por lo que se refiere en concreto a los datos internos, debe tenerse presente el hecho de que, a pesar de que una pérdida por riesgo operativo solo puede resultar de un evento de riesgo operativo, su existencia puede revelarse a través de diferentes elementos, entre ellos gastos directos, gastos, provisiones e ingresos no percibidos. Si bien algunos eventos de riesgo operativo tienen un impacto cuantificable y se reflejan en los estados financieros de la entidad, otros no son cuantificables ni afectan a los estados financieros de la entidad y pueden, por tanto, detectarse por otras fuentes, como los archivos administrativos y los datos sobre incidentes. Así pues, las normas que especifiquen el método de evaluación de las autoridades competentes con el fin de autorizar a las entidades a utilizar AMA deben precisar lo que constituye pérdida por riesgo operativo y el importe que debe consignarse a efectos del AMA y, de forma más general, todos los elementos que pudieran indicar que se han producido eventos de riesgo operativo.

(14)

A veces, las entidades pueden recuperar rápidamente las pérdidas por riesgo operativo que surjan. Las pérdidas de rápida recuperación no deben tenerse en cuenta a efectos del cálculo de los requisitos de fondos propios mediante el AMA, aunque pueden ser útiles con fines de gestión. Dado que las entidades utilizan diversos criterios para calificar una pérdida como de rápida recuperación, las normas relativas al método de evaluación de los AMA deben precisar criterios adecuados para considerar que una pérdida es de rápida recuperación.

(15)

Las autoridades competentes pueden admitir técnicas de reducción del riesgo en el AMA siempre y cuando se cumplan determinadas condiciones, establecidas en el artículo 323 del Reglamento (UE) n.o 575/2013. A fin de aplicar eficazmente las normas relativas a estas técnicas, las autoridades competentes deben respetar criterios específicos al evaluar la aplicación de dichas normas por una entidad. En particular, cuando esas técnicas consistan en un seguro, es necesario garantizar que el seguro sea proporcionado por empresas de seguros autorizadas en la Unión o en territorios con normas de regulación aplicables a estas empresas que sean equivalentes a las de la Unión.

(16)

Cuando las técnicas de reducción del riesgo consistan en otros mecanismos de transferencia de riesgo, distintos de los seguros, las autoridades competentes deben velar por que dichos mecanismos transfieran realmente el riesgo y no se utilicen para eludir los requisitos de fondos propios calculados mediante el AMA. Esta condición es esencial a la vista de las peculiaridades del riesgo operativo, en relación con el cual no existen activos subyacentes de referencia claros y las pérdidas inesperadas desempeñan un papel más importante que en otros tipos de riesgo. Lo anterior se ve agravado por la falta de un mercado eficiente, líquido y estructurado para los «productos» con riesgo operativo, que hasta ahora han sido negociados fuera del sector bancario, incluidos los bonos de catástrofe y los derivados climáticos. Por último, a menudo resulta sumamente difícil evaluar el riesgo jurídico de tales mecanismos, incluso cuando los términos y condiciones de los contratos están establecidos de forma clara y minuciosa.

(17)

A fin de garantizar una transición fluida para las entidades que ya hayan obtenido una autorización para utilizar AMA o que la hayan solicitado antes de la entrada en vigor del presente Reglamento, conviene prever que las autoridades competentes apliquen el presente Reglamento en relación con la evaluación de los AMA de estas entidades solo después de un determinado período transitorio. Dado que la revisión regular de los AMA a que se refiere el artículo 101, apartado 1, de la Directiva 2013/36/UE suele efectuarse anualmente, la duración de dicho período transitorio debe ser de un año a contar desde la fecha de entrada en vigor del presente Reglamento.

(18)

Las entidades que utilicen distribuciones gaussianas o normales para el reconocimiento de la correlación en la totalidad o en partes de su AMA deben dejar de utilizarlas en el marco de dichos métodos, puesto que estas hipótesis implicarían independencia en las colas de la distribución entre las categorías de riesgo operativo, excluyendo así la posibilidad de que se produzcan simultáneamente grandes pérdidas de diferentes tipos, una hipótesis que no es ni prudente ni realista. Por consiguiente, debe concederse tiempo suficiente para una transición fluida de estas entidades a un nuevo sistema en el que se introduzcan hipótesis más prudentes, que impliquen una dependencia positiva en las colas, en el sistema de medición del riesgo operativo. Dado que la implementación de estas hipótesis podría requerir la modificación de algunos elementos clave y los procedimientos conexos del marco AMA, sería conveniente prever un período transitorio de dos años.

(19)

El presente Reglamento se basa en los proyectos de normas técnicas de regulación presentados por la Autoridad Bancaria Europea a la Comisión.

(20)

La Autoridad Bancaria Europea ha llevado a cabo consultas públicas abiertas sobre los proyectos de normas técnicas de regulación en que se basa el presente Reglamento, ha analizado los costes y beneficios potenciales conexos y ha recabado el dictamen del Grupo de Partes Interesadas del Sector Bancario establecido de conformidad con el artículo 37 del Reglamento (UE) n.o 1093/2010 del Parlamento Europeo y del Consejo (4).

HA ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO 1

DISPOSICIONES GENERALES

Artículo 1

Evaluación de métodos avanzados de cálculo

1.   La evaluación con arreglo a la cual las autoridades competentes permiten a las entidades utilizar métodos avanzados de cálculo (AMA) confirmará lo siguiente:

a)

que se cumple lo dispuesto en los artículos 3 a 6;

b)

que se cumple lo dispuesto en los capítulos 2 y 3;

c)

que se cumple lo dispuesto en el capítulo 4 cuando la entidad haya recurrido a un seguro y a otros mecanismos de transferencia de riesgo contemplados en el mismo.

2.   Los capítulos 1 a 4 se tendrán en cuenta cuando las autoridades competentes lleven a cabo:

a)

una evaluación de la importancia de las ampliaciones y modificaciones del AMA utilizado por una entidad;

b)

una evaluación del plan de aplicación secuencial del AMA utilizado por una entidad;

c)

una evaluación del retorno de una entidad a la aplicación de métodos menos complejos, de conformidad con el artículo 313 del Reglamento (UE) n.o 575/2013;

d)

las revisiones continuas del AMA utilizado por una entidad.

Artículo 2

Definiciones

A efectos del presente acto delegado, se aplicarán las definiciones siguientes:

1)   «umbral de modelización cuerpo-cola»: el valor de las pérdidas que separa el cuerpo de la cola de las distribuciones de pérdidas;

2)   «conjunto de datos de cálculo»: la parte de los datos recogidos, ya sean reales o elaborados, que cumple las condiciones necesarias para ser utilizada en el sistema de medición del riesgo operativo;

3)   «umbral de recogida de datos»: el valor de las pérdidas a partir del cual una entidad detecta pérdidas por riesgo operativo y recoge datos al respecto con fines de gestión y medición;

4)   «fecha de contabilización»: la fecha en que una pérdida o una provisión frente a un evento de riesgo operativo se reconoce por primera vez en la cuenta de resultados;

5)   «umbral mínimo de modelización»: el valor de las pérdidas a partir del cual las distribuciones de frecuencia y severidad, ya sean empíricas o paramétricas, se ajustan a las pérdidas por riesgo operativo;

6)   «pérdida bruta» o «pérdida»: pérdida derivada de un evento de riesgo operativo antes de cualquier tipo de recuperación;

7)   «evento de conducta indebida»: evento de riesgo operativo derivado de una conducta indebida, deliberada o negligente, incluida una prestación inadecuada de servicios financieros;

8)   «categoría de riesgo operativo»: el nivel, por ejemplo el tipo de evento y la línea de negocio, al que el sistema de medición del riesgo operativo de una entidad genera distribuciones de frecuencia y severidad independientes;

9)   «perfil de riesgo operativo»: la representación en cifras absolutas del riesgo operativo real y potencial de una entidad en un momento dado;

10)   «tolerancia al riesgo operativo»: visión prospectiva de una entidad, representada en cifras absolutas, del nivel agregado y los tipos de riesgo operativo que la entidad está dispuesta o preparada para asumir sin comprometer sus objetivos estratégicos y su plan de negocio;

11)   «recuperación»: un hecho relacionado con la pérdida inicial que es independiente de dicha pérdida y separado en el tiempo por el que se reciben fondos o entradas de recursos económicos de los propios interesados o de terceros;

12)   «medida del riesgo»: una estadística única sobre el riesgo operativo extraída de la distribución de las pérdidas agregadas en el nivel de confianza deseado, incluido el valor en riesgo (VaR), o medidas de pérdida (por ejemplo, pérdida esperada, pérdida mediana);

13)   «ciclo de desarrollo de un sistema» o «SDLC»: el proceso de planificación, creación, prueba y despliegue de una infraestructura informática;

14)   «pérdidas por periodificación»: los efectos económicos negativos registrados en un ejercicio contable debidos a un evento de riesgo operativo que repercute en los flujos de efectivo o los estados financieros de ejercicios contables anteriores.

Artículo 3

Eventos de riesgo operativo relacionados con el riesgo jurídico

1.   Las autoridades competentes se cerciorarán de que una entidad identifica, recoge y trata los datos sobre los eventos y pérdidas por riesgo operativo relacionados con el riesgo jurídico, a efectos tanto de gestión del riesgo operativo como de cálculo de los requisitos de fondos propios mediante el AMA, verificando al menos todo lo siguiente:

a)

que la entidad identifica y clasifica claramente como riesgo operativo las pérdidas u otros gastos derivados de eventos que den lugar a procedimientos judiciales, entre ellos como mínimo los siguientes:

i)

la inacción, cuando sea necesario actuar para dar cumplimiento a una norma jurídica,

ii)

la adopción de medidas para evitar el cumplimiento de una norma jurídica,

iii)

eventos de conducta indebida;

b)

que la entidad identifica y clasifica claramente como riesgo operativo las pérdidas u otros gastos derivados de acciones voluntarias destinadas a evitar o reducir riesgos jurídicos resultantes de eventos de riesgo operativo, entre ellos los reembolsos o descuentos en futuros servicios ofrecidos a clientes de forma voluntaria cuando tales reembolsos no se ofrezcan como consecuencia de reclamaciones de los consumidores;

c)

que la entidad identifica y clasifica claramente como riesgo operativo las pérdidas debidas a errores y omisiones en los contratos y documentos;

d)

que la entidad no clasifica como riesgo operativo:

i)

los reembolsos a terceros o a empleados y los pagos de compensaciones derivados de oportunidades de negocio, cuando no se haya vulnerado ninguna norma ni regla de conducta ética y cuando la entidad haya cumplido puntualmente las obligaciones que le incumben,

ii)

gastos jurídicos externos cuando el hecho subyacente no sea un evento de riesgo operativo.

A efectos de la letra a), se considerarán procedimientos judiciales todas las resoluciones de litigios, incluidas las transacciones judiciales y extraprocesales.

2.   A efectos del presente artículo, las normas jurídicas incluirán, como mínimo, lo siguiente:

a)

cualquier requisito derivado de disposiciones legislativas o reglamentarias nacionales o internacionales;

b)

cualquier requisito derivado de acuerdos contractuales, normas internas y códigos de conducta establecidos de conformidad con normas y prácticas nacionales o internacionales;

c)

normas deontológicas.

Artículo 4

Eventos de riesgo operativo relacionados con el riesgo de modelo

Al evaluar si una entidad identifica, recoge y trata los datos sobre los eventos y pérdidas por riesgo operativo relacionados con el riesgo de modelo, tal como se define en el artículo 3, apartado 1, punto 11, de la Directiva 2013/36/UE, a efectos tanto de gestión del riesgo operativo como de cálculo de los requisitos de fondos propios mediante el AMA, las autoridades competentes se cerciorarán de lo siguiente:

a)

que al menos los siguientes eventos, y las pérdidas correspondientes, resultantes de los modelos utilizados para la toma de decisiones, se clasifican como riesgo operativo:

i)

definición incorrecta de un modelo seleccionado y sus características,

ii)

verificación inadecuada de la idoneidad de un modelo seleccionado para el instrumento financiero que vaya a evaluarse o el producto para el que vaya a fijarse un precio, o de su idoneidad para las condiciones de mercado aplicables,

iii)

errores en la aplicación de un modelo seleccionado,

iv)

valoración a precio de mercado y medición del riesgo incorrectas como consecuencia de un error al anotar una operación en el sistema de negociación,

v)

utilización de un modelo seleccionado o de sus resultados para una finalidad para la que no estaba previsto o diseñado, incluida la manipulación de los parámetros de modelización,

vi)

seguimiento intempestivo e inefectivo del rendimiento del modelo para confirmar si sigue siendo adecuado para sus fines;

b)

que los eventos relacionados con la infravaloración de los requisitos de fondos propios mediante modelos internos autorizados por las autoridades competentes no se incluyen en la identificación, recogida y tratamiento de los datos sobre los eventos y las pérdidas por riesgo operativo relacionados con el riesgo de modelo.

Artículo 5

Eventos de riesgo operativo relacionados con operaciones financieras, incluidos los relacionados con el riesgo de mercado

Las autoridades competentes se cerciorarán de que al menos los eventos siguientes, y las pérdidas correspondientes, se clasifican como riesgo operativo al evaluar si una entidad identifica, recoge y trata los datos sobre los eventos y las pérdidas por riesgo operativo relacionados con operaciones financieras y el riesgo de mercado, a efectos tanto de gestión del riesgo operativo como de cálculo de los requisitos de fondos propios mediante el AMA:

a)

eventos debidos a errores operativos y en la introducción de datos, entre ellos:

i)

fallos y errores durante la introducción o ejecución de órdenes,

ii)

pérdida de datos o interpretación errónea de los flujos de datos entre la sala de operaciones (front office), la sala de análisis y control de riesgos (middle office) y la sala de formalización de operaciones (back office) de la entidad,

iii)

errores de clasificación,

iv)

especificación incorrecta de las operaciones en la hoja de condiciones, incluidos errores relacionados con el importe, los vencimientos y las características financieras de la operación;

b)

eventos debidos a fallos en los controles internos, entre ellos:

i)

fallos en la correcta ejecución de una orden para deshacer una posición en el mercado en caso de evolución desfavorable del precio,

ii)

posiciones no autorizadas tomadas por encima de los límites asignados, independientemente del tipo de riesgo a que se refieran;

c)

eventos debidos a una calidad inadecuada de los datos y a la indisponibilidad del entorno informático, incluida la imposibilidad técnica de acceder al mercado con la incapacidad consiguiente de cerrar contratos.

Artículo 6

Calidad y auditabilidad de la documentación

1.   Las autoridades competentes verificarán la calidad de la documentación relativa al AMA utilizado por una entidad cerciorándose al menos de lo siguiente:

a)

que la documentación se aprueba al nivel de dirección adecuado de la entidad;

b)

que la entidad ha establecido políticas que definen los criterios para garantizar la elevada calidad de la documentación interna, incluida una rendición de cuentas específica para garantizar la integridad, coherencia, exactitud, actualidad, aprobación y seguridad de la documentación conservada;

c)

que la presentación de la documentación establecida en las políticas a que se refiere la letra b) indica, como mínimo, los elementos siguientes:

i)

el tipo de documento,

ii)

el autor,

iii)

el revisor,

iv)

el mandatario y el propietario,

v)

las fechas de elaboración y aprobación,

vi)

el número de versión,

vii)

el historial de modificaciones del documento;

d)

que la entidad documenta minuciosamente sus políticas, procedimientos y métodos.

2.   Las autoridades competentes verificarán la auditabilidad de la documentación relativa al AMA utilizado por una entidad cerciorándose al menos de lo siguiente:

a)

que la documentación es lo suficientemente precisa y detallada como para permitir el examen del AMA por terceros, en particular:

i)

la comprensión del razonamiento y los procedimientos en que se basa su elaboración,

ii)

la comprensión del sistema de medición del riesgo operativo, a fin de determinar cómo funcionan los requisitos de fondos propios del AMA, sus limitaciones e hipótesis fundamentales y de poder reproducir la elaboración del modelo.

CAPÍTULO 2

CRITERIOS CUALITATIVOS

SECCIÓN 1

Gobernanza

Artículo 7

Proceso de gestión del riesgo operativo

1.   Las autoridades competentes evaluarán la eficacia del marco AMA de una entidad para la gobernanza y la gestión del riesgo operativo, así como si existe una estructura organizativa clara, con líneas de responsabilidad bien definidas, transparentes y coherentes, cerciorándose al menos de lo siguiente:

a)

que el órgano de dirección de la entidad debate y aprueba la gobernanza del riesgo operativo, el proceso de gestión del riesgo operativo y el sistema de medición del riesgo operativo;

b)

que el órgano de dirección de la entidad define y determina claramente lo siguiente, como mínimo una vez al año:

i)

la tolerancia al riesgo operativo de la entidad,

ii)

la declaración escrita de tolerancia al riesgo operativo de la entidad en relación con el nivel agregado de pérdidas por riesgo operativo y los tipos de eventos de riesgo operativo, que contendrá medidas tanto cualitativas como cuantitativas, en particular umbrales y límites basados en medidas de pérdidas por riesgo operativo que la entidad está dispuesta o preparada para asumir con el fin de lograr sus objetivos estratégicos y su plan de negocio, asegurándose de que está disponible y se comprende en toda la entidad;

c)

que el órgano de dirección de la entidad controla permanentemente el cumplimiento, por esta, de la declaración escrita de tolerancia al riesgo operativo mencionada en la letra b), inciso ii);

d)

que la entidad aplica un proceso continuo de gestión del riesgo operativo para detectar, evaluar y medir, vigilar y comunicar los riesgos operativos, incluidos los eventos de conducta indebida, y es capaz de identificar al personal responsable de la gestión de este proceso;

e)

que la información resultante del proceso a que se refiere la letra d) se transmite a los comités y órganos ejecutivos pertinentes de la entidad, y que las decisiones que emanen de dichos comités se comunican a las instancias de la entidad responsables de la recogida, el control, el seguimiento y la gestión del riesgo operativo, así como a las responsables de gestionar las actividades que dan lugar al riesgo operativo;

f)

que la entidad evalúa la eficacia de su gobernanza del riesgo operativo, del proceso de gestión del riesgo operativo y del sistema de medición del riesgo operativo como mínimo una vez al año;

g)

que la entidad notifica a la autoridad competente pertinente los resultados de la evaluación a que se refiere la letra f) como mínimo una vez al año.

2.   A efectos de la evaluación contemplada en el apartado 1, las autoridades competentes tendrán en cuenta el impacto de la estructura de gobernanza del riesgo operativo sobre el nivel de implicación del personal de la entidad en la cultura y la gestión del riesgo operativo, considerando, al menos, lo siguiente:

a)

el nivel de conocimiento, por parte del personal de la entidad, de las políticas y procedimientos relativos al riesgo operativo;

b)

el proceso interno de la entidad para refutar el diseño y la eficacia del marco AMA.

Artículo 8

Independencia de la función de gestión del riesgo operativo

1.   Las autoridades competentes evaluarán la independencia de la función de gestión del riesgo operativo respecto de las unidades de negocio de la entidad cerciorándose al menos de lo siguiente:

a)

que la función de gestión del riesgo operativo desempeña las siguientes tareas de forma separada de las líneas de negocio de la entidad:

i)

el diseño, desarrollo, implementación, mantenimiento y vigilancia del proceso de gestión del riesgo operativo y el sistema de medición del riesgo operativo,

ii)

el análisis del riesgo operativo asociado a la introducción y desarrollo de nuevos productos, mercados, líneas de negocio, procesos, sistemas y modificaciones significativas de productos existentes,

iii)

la vigilancia de las actividades que puedan dar lugar a una exposición al riesgo operativo que pudiera superar el nivel de tolerancia al riesgo de la entidad;

b)

que la función de gestión del riesgo operativo cuenta con el respaldo adecuado del órgano de dirección y la alta dirección y tiene una envergadura suficiente dentro de la organización para el desempeño de sus tareas;

c)

que la función de gestión del riesgo operativo no es también responsable de la función de auditoría interna;

d)

que el jefe de la función de gestión del riesgo operativo cumple como mínimo los siguientes requisitos:

i)

dispone de un nivel de experiencia adecuado para gestionar el riesgo operativo real y potencial indicado en el perfil de riesgo operativo,

ii)

se comunica regularmente con el órgano de dirección y sus comités con arreglo a lo establecido en la estructura de gestión del riesgo de la entidad,

iii)

participa activamente en la elaboración de la tolerancia al riesgo operativo de la entidad y en la estrategia para su gestión y reducción,

iv)

es independiente de las unidades y funciones operativas examinadas por la función de gestión del riesgo operativo,

v)

dispone de un presupuesto para la función de gestión del riesgo operativo asignado por el jefe de la función de gestión de riesgos a que se refiere el artículo 76, apartado 5, párrafo cuarto, de la Directiva 2013/36/UE, o un miembro del órgano de dirección en su función de supervisión y no por una unidad de negocio o función ejecutiva.

Artículo 9

Implicación de la alta dirección

Las autoridades competentes evaluarán el grado de implicación de la alta dirección de una entidad cerciorándose al menos de lo siguiente:

a)

que la alta dirección es responsable de la implementación del marco de gobernanza y gestión del riesgo operativo aprobado por el órgano de dirección;

b)

que la alta dirección ha sido facultada por el órgano de dirección para elaborar políticas, procesos y procedimientos de gestión del riesgo operativo;

c)

que la alta dirección implementa las políticas, procesos y procedimientos de gestión del riesgo operativo a que se refiere la letra b).

Artículo 10

Comunicación de información

Las autoridades competentes evaluarán si la comunicación de información sobre el perfil y la gestión del riesgo operativo de una entidad es suficientemente regular, oportuna y robusta, cerciorándose al menos de lo siguiente:

a)

que los problemas relacionados con los sistemas de información y los controles internos de la entidad se detectan con rapidez y precisión;

b)

que los informes sobre el riesgo operativo de la entidad se distribuyen en los niveles adecuados de la dirección y en las áreas de la entidad señaladas como problemáticas en los informes;

c)

que la alta dirección de la entidad recibe como mínimo informes trimestrales sobre la situación más reciente en cuanto al perfil de riesgo operativo de la entidad y los utiliza en el proceso de toma de decisiones;

d)

que los informes sobre el riesgo operativo de la entidad contienen información de gestión pertinente y, como mínimo, una síntesis general de los principales riesgos operativos de la entidad y de las filiales pertinentes, así como de las unidades de negocio;

e)

que la entidad recurre a informes ad hoc en caso de deficiencias en las políticas, procesos y procedimientos de gestión del riesgo operativo, a fin de detectar y subsanar rápidamente estas deficiencias y reducir, por ende, sustancialmente la frecuencia y la severidad potenciales de un evento de pérdida.

SECCIÓN 2

Prueba de uso

Artículo 11

Utilización del AMA

Las autoridades competentes evaluarán si una entidad utiliza el AMA para fines internos cerciorándose al menos de lo siguiente:

a)

que el sistema de medición del riesgo operativo de la entidad se utiliza para gestionar los riesgos operativos en las distintas líneas y unidades de negocio o entidades jurídicas dentro de la estructura organizativa;

b)

que el sistema de medición del riesgo operativo está integrado en los diferentes entes del grupo y que, cuando se utilice a nivel consolidado, el marco AMA de la entidad matriz se hace extensivo a las filiales, y que el riesgo operativo y los factores que reflejan el entorno del negocio y los controles internos de esas filiales a que se refiere el artículo 322, apartados 1 y 6, del Reglamento (UE) n.o 575/2013 se han incorporado a los cálculos del AMA a escala del grupo;

c)

que el sistema de medición del riesgo operativo se utiliza también a efectos del proceso de evaluación de la adecuación del capital interno a que se refiere el artículo 73 de la Directiva 2013/36/UE.

Artículo 12

Integración continua del AMA

Las autoridades competentes evaluarán si una entidad garantiza la integración continua de su sistema de gestión del riesgo operativo en sus procesos de gestión cotidiana de riesgos, cerciorándose al menos de lo siguiente:

a)

que el sistema de medición del riesgo operativo se actualiza periódicamente y se desarrolla a medida que aumentan la experiencia y el perfeccionamiento en materia de gestión y cuantificación del riesgo operativo;

b)

que la naturaleza y el equilibrio de los datos utilizados en el sistema de medición del riesgo operativo son pertinentes y reflejan la naturaleza de la actividad, la estrategia, la organización y la exposición al riesgo operativo de la entidad en todo momento.

Artículo 13

Utilización del AMA en apoyo de la gestión del riesgo operativo de la entidad

Las autoridades competentes evaluarán si una entidad utiliza el AMA para apoyar su gestión del riesgo operativo, cerciorándose al menos de lo siguiente:

a)

que el sistema de medición del riesgo operativo se utiliza efectivamente para la comunicación periódica y rápida de información coherente que refleja de forma precisa la naturaleza de la actividad y el perfil de riesgo operativo de la entidad;

b)

que la entidad adopta medidas correctoras para mejorar los procesos internos tras la recepción de información sobre los resultados del sistema de medición del riesgo operativo.

Artículo 14

Utilización del AMA para mejorar la organización y el control del riesgo operativo de la entidad

Las autoridades competentes evaluarán si una entidad utiliza el AMA para mejorar su organización y control del riesgo operativo, cerciorándose al menos de lo siguiente:

a)

que la definición de la entidad de la tolerancia al riesgo operativo y sus objetivos y actividades correspondientes de gestión del riesgo operativo se comunican de manera clara dentro de ella;

b)

que la relación entre la estrategia de negocio de la entidad y su gestión del riesgo operativo, en particular en lo que se refiere a la aprobación de nuevos productos, sistemas y procesos, se comunica claramente dentro de la entidad;

c)

que el sistema de medición del riesgo operativo aumenta la transparencia, la sensibilización sobre los riesgos y los conocimientos en materia de gestión del riesgo operativo y crea incentivos para mejorar la gestión del riesgo operativo en toda la entidad;

d)

que los datos empleados en el sistema de medición del riesgo operativo y sus resultados se utilizan en las decisiones y planes pertinentes, en particular en los planes de acción, los planes de continuidad de la actividad, los planes de trabajo de auditoría interna, las decisiones de asignación de capital, los planes de seguros y las decisiones presupuestarias de la entidad.

Artículo 15

Comparación del AMA con métodos menos complejos

1.   Las autoridades competentes evaluarán si una entidad demuestra la estabilidad y robustez de los resultados del AMA, cerciorándose al menos de lo siguiente:

a)

que, antes de que se le concediese la autorización para utilizar el AMA a efectos reglamentarios, la entidad calculaba sus requisitos de fondos propios por riesgo operativo tanto con arreglo al AMA como con arreglo al método menos complejo anteriormente aplicable, y que llevaba a cabo ese cálculo:

i)

con una frecuencia periódica razonable y, como mínimo, trimestral,

ii)

teniendo en cuenta a todas las entidades jurídicas pertinentes que utilizarían el AMA en la fecha de aplicación inicial,

iii)

teniendo en cuenta todos los riesgos operativos que cubriría el AMA en la fecha de aplicación inicial;

b)

que la entidad cumple como mínimo lo siguiente:

i)

el proceso de gestión del riesgo operativo y el sistema de medición del riesgo operativo se han desarrollado y probado,

ii)

se han resuelto los posibles problemas y se han perfeccionado el sistema y el proceso asociado,

iii)

la entidad se ha asegurado de que el sistema de medición del riesgo operativo genera resultados que responden a sus expectativas, en particular teniendo en cuenta información de sus sistemas actuales y anteriores,

iv)

la entidad ha demostrado que puede cambiar rápidamente los parámetros del modelo para comprender el impacto de nuevas hipótesis, con un nivel mínimo de intervenciones manuales o ajustes en los sistemas,

v)

la entidad es capaz de proceder a ajustes de capital adecuados en los requisitos de fondos propios antes del primer uso «real» del AMA,

vi)

la entidad ha demostrado durante un plazo razonable que los nuevos sistemas y procesos de información son robustos y generan información de gestión que puede utilizar para detectar y gestionar el riesgo operativo.

A efectos de la letra a), la evaluación del cálculo efectuado cubrirá al menos dos trimestres consecutivos.

2.   Las autoridades competentes podrán conceder autorización para utilizar el AMA siempre que la entidad demuestre que compara de forma continua el cálculo de sus requisitos de fondos propios por riesgo operativo con arreglo al AMA con el método menos complejo anteriormente aplicable, durante un año después de la concesión de la autorización.

SECCIÓN 3

Auditoría y validación interna

Artículo 16

Funcionamiento de la auditoría y la validación interna

1.   Las autoridades competentes evaluarán en qué medida las funciones de auditoría y validación interna de una entidad confirman que los procesos de gestión y medición del riesgo operativo implementados a efectos del AMA son fiables y eficaces para gestionar y medir el riesgo operativo dentro de la organización, verificando al menos lo siguiente:

a)

que, al menos una vez al año, la función de validación interna emite un dictamen motivado y bien fundado sobre si el sistema de medición del riesgo operativo funciona según lo previsto, y el resultado del modelo es adecuado para sus diversos fines internos y de supervisión;

b)

que la función de auditoría verifica, al menos una vez al año, la integridad de las políticas, procesos y procedimientos en materia de riesgo operativo, evaluando si cumplen los requisitos reglamentarios aplicables, así como los controles establecidos, y, en particular, que la función de auditoría evalúa la calidad de las fuentes y los datos utilizados con fines de medición y gestión del riesgo operativo;

c)

que las funciones de auditoría y validación interna disponen de un programa de revisión que cubre los aspectos del AMA incluidos en el presente Reglamento y que se actualiza con regularidad en lo que respecta:

i)

al desarrollo de procesos internos para detectar, medir y evaluar, vigilar, controlar y reducir el riesgo operativo,

ii)

a la introducción de nuevos productos, procesos y sistemas que expongan a la entidad a un riesgo operativo significativo;

d)

que la validación interna se lleva a cabo mediante recursos cualificados, independientes de las unidades validadas;

e)

que, en caso de que las actividades de auditoría las lleven a cabo funciones de auditoría interna o externa o partes externas cualificadas, estas son independientes del proceso o sistema que se examina, y que, cuando se externalicen, el órgano de dirección y la alta dirección de la entidad siguen siendo responsables de garantizar que las funciones externalizadas se realicen de conformidad con el plan de auditoría aprobado de la entidad;

f)

que las revisiones mediante auditoría y validación interna del marco AMA están debidamente documentadas y sus resultados se distribuyen a los destinatarios adecuados dentro de las entidades, incluidos, en su caso, los comités de riesgos, la función de gestión del riesgo operativo, los directivos de las líneas de negocio y demás personal pertinente;

g)

que los resultados de las revisiones mediante auditoría y validación interna se resumen y se comunican, al menos una vez al año, al órgano de dirección de la entidad o a un comité designado por este para su aprobación;

h)

que la revisión y la aprobación de la eficacia del marco AMA de la entidad se llevan a cabo como mínimo una vez al año.

Artículo 17

Gobernanza de la auditoría y la validación interna

Las autoridades competentes evaluarán si la gobernanza de la auditoría y la validación interna de una entidad es de alta calidad, cerciorándose al menos de lo siguiente:

a)

que los programas de auditoría para revisar el marco AMA abarcan todas las actividades significativas que podrían exponer a la entidad a un riesgo operativo importante, incluidas las actividades externalizadas;

b)

que las técnicas de validación interna son proporcionadas a la evolución de las condiciones operativas y del mercado y que sus resultados son objeto de auditoría.

SECCIÓN 4

Calidad de los datos e infraestructura informática

Artículo 18

Calidad de los datos

1.   Las autoridades competentes evaluarán en qué medida se mantiene la calidad de los datos utilizados por una entidad en el marco AMA y si los procedimientos de elaboración y mantenimiento son analizados periódicamente por dicha entidad, comprobando si esta dispone, como mínimo, de los siguientes conjuntos de datos:

a)

datos para elaborar y hacer un seguimiento de su historial de riesgo operativo, con datos internos y externos, análisis de escenarios y factores que reflejen el entorno del negocio y los controles internos;

b)

datos complementarios, incluidos los parámetros del modelo, los resultados del modelo y los informes.

2.   A efectos del apartado 1, las autoridades competentes se cerciorarán de que la entidad ha definido unos criterios adecuados de calidad de los datos para apoyar de forma efectiva su proceso de gestión y su sistema de medición del riesgo operativo, y que cumple regularmente los criterios fijados.

3.   A efectos del apartado 1, las autoridades competentes se cerciorarán de que los datos de la entidad cumplen al menos las siguientes condiciones:

a)

son de suficiente amplitud, profundidad y alcance para la tarea en cuestión;

b)

responden a las necesidades actuales y potenciales de los usuarios;

c)

se actualizan con prontitud;

d)

son adecuados para su ámbito de utilización y coherentes con este;

e)

reflejan con fidelidad el fenómeno real que pretenden representar;

f)

no infringen ninguna norma de trabajo de una base de datos que deba mantenerse de manera estática y dinámica.

4.   A efectos del apartado 1, las autoridades competentes se cerciorarán de que la entidad posee documentación apropiada para el diseño y mantenimiento de las bases de datos utilizadas en el marco AMA de la entidad y que la documentación contiene, como mínimo, lo siguiente:

a)

un mapa global de las bases de datos que intervienen en el sistema de medición del riesgo operativo, con su descripción;

b)

una política de datos y una declaración de responsabilidad;

c)

descripciones de los flujos de trabajo y los procedimientos relacionados con la recogida y el almacenamiento de datos;

d)

una declaración de todas las insuficiencias detectadas en las bases de datos de los procesos de validación y revisión y una declaración sobre el modo en que la entidad tiene previsto corregirlas o reducirlas.

5.   Las autoridades competentes se cerciorarán de que las políticas en materia de SDLC respecto del AMA son aprobadas por el órgano de dirección y la alta dirección de la entidad.

6.   Cuando la entidad utilice fuentes de datos externas, deberá velar por el cumplimiento de las disposiciones del presente artículo.

Artículo 19

Evaluación supervisora de la infraestructura informática

1.   Las autoridades competentes evaluarán en qué grado una entidad garantiza la solidez, la robustez y el rendimiento de la infraestructura informática utilizada a efectos del AMA, cerciorándose al menos de lo siguiente:

a)

que la infraestructura y los sistemas informáticos de la entidad a efectos del AMA son sólidos y resilientes y que estas características pueden mantenerse de forma continuada;

b)

que el SDLC a efectos el AMA es sólido y adecuado en relación con:

i)

la gestión de proyectos, la gestión de riesgos y la gobernanza,

ii)

la ingeniería, el aseguramiento de la calidad y la planificación de pruebas,

iii)

la modelización y el desarrollo de sistemas,

iv)

el aseguramiento de la calidad en todas las actividades, incluidas las revisiones de códigos y, en su caso, la verificación de códigos,

v)

la realización de pruebas, incluidas pruebas sobre la aceptación por los usuarios;

c)

que la infraestructura informática de la entidad implementada a efectos del AMA está sujeta a procesos de gestión de la configuración, gestión de cambios y gestión de versiones;

d)

que el SDLC y los planes de contingencia a efectos del AMA son aprobados por el órgano de dirección o la alta dirección de la entidad y que tanto uno como la otra son informados periódicamente acerca del rendimiento de la infraestructura informática a efectos del AMA.

2.   Cuando la entidad externalice parte del mantenimiento de la infraestructura informática a efectos del AMA, deberá garantizar el cumplimiento de las disposiciones del presente artículo.

CAPÍTULO 3

CRITERIOS CUANTITATIVOS

SECCIÓN 1

Utilización de datos internos, datos externos, análisis de escenarios y factores que reflejen el entorno del negocio y los controles internos («los cuatro elementos»)

Artículo 20

Principios generales

Las autoridades competentes evaluarán si una entidad cumple los criterios relativos a la utilización de datos internos, datos externos, análisis de escenarios y factores que reflejen el entorno del negocio y los controles internos (en lo sucesivo, «los cuatro elementos») a que se refiere el artículo 322 del Reglamento (UE) n.o 575/2013, verificando al menos lo siguiente:

a)

que la entidad dispone de documentos internos en los que se detalla la forma en que los cuatro elementos se recopilan, se combinan y/o se ponderan, incluida una descripción del proceso de modelización que ilustre el uso y la combinación de los cuatro elementos y la justificación de las opciones de modelización;

b)

que la entidad tiene una visión clara de la forma en que cada uno de los cuatro elementos influye en los requisitos de fondos propios calculados mediante el AMA;

c)

que la combinación de los cuatro elementos utilizados por la entidad se basa en una metodología estadística sólida, suficiente para estimar percentiles elevados;

d)

que la entidad aplica al menos los siguientes criterios a la hora de recopilar, generar y tratar los cuatro elementos:

i)

los criterios previstos en los artículos 21 a 24, en relación con los datos internos;

ii)

los criterios previstos en el artículo 25, en relación con los datos externos;

iii)

los criterios previstos en el artículo 26, en relación con el análisis de escenarios;

iv)

los criterios previstos en el artículo 27, en relación con los factores que reflejen el entorno del negocio y los controles internos.

SUBSECCIÓN 1

Datos internos

Artículo 21

Características de los datos internos

Las autoridades competentes evaluarán si una entidad cumple los criterios relativos a las características de los datos internos a que se refiere el artículo 20, letra d), inciso i), verificando al menos lo siguiente:

a)

que la entidad recoge todos los elementos siguientes dentro del grupo de manera clara y coherente:

i)

las pérdidas brutas provocadas por el acaecimiento de un evento de riesgo operativo,

ii)

las recuperaciones;

b)

que la entidad es capaz de identificar por separado el importe de las pérdidas brutas, las recuperaciones procedentes de seguros y otros mecanismos de transferencia de riesgo y las recuperaciones no procedentes de seguros y otros mecanismos de transferencia de riesgo tras un evento de riesgo operativo, salvo en el caso de las pérdidas que se recuperen, total o parcialmente, en un plazo de cinco días hábiles;

c)

que la entidad aplica un sistema para definir y justificar umbrales adecuados de recogida de datos basados en el importe de las pérdidas brutas;

d)

que la categoría de riesgo operativo es razonable y no omite datos de pérdidas que sean importantes para la medición efectiva del riesgo operativo y la gestión de riesgos;

e)

que, en relación con cada pérdida individual, la entidad puede identificar y registrar al menos los siguientes elementos en la base de datos interna:

i)

la fecha en que sucedió o se inició el evento de riesgo operativo, cuando se conozca,

ii)

la fecha de descubrimiento del evento de riesgo operativo,

iii)

la fecha de contabilización.

Artículo 22

Ámbito de las pérdidas por riesgo operativo

1.   Las autoridades competentes se cerciorarán de que una entidad identifica, recoge y trata las pérdidas generadas por un evento de riesgo operativo, según se contempla en el artículo 20, letra d), inciso i), comprobando si incluye al menos lo siguiente en el ámbito de las pérdidas por riesgo operativo tanto a efectos de gestión del riesgo operativo como a efectos de cálculo de los requisitos de fondos propios mediante el AMA:

a)

los gastos directos, incluidos los deterioros de valor y los gastos de liquidación, contabilizados en la cuenta de resultados y las depreciaciones debidas al evento de riesgo operativo;

b)

los costes ocasionados como consecuencia del evento de riesgo operativo, entre ellos los siguientes:

i)

los gastos externos vinculados directamente al evento de riesgo operativo, incluidos los gastos jurídicos y los honorarios pagados a asesores, abogados o proveedores,

ii)

los costes de reparación o sustitución para restablecer la situación existente antes del evento de riesgo operativo, ya sea en cifras exactas o, cuando no estén disponibles, en estimaciones;

c)

las provisiones o reservas contabilizadas en la cuenta de resultados frente a pérdidas probables por riesgo operativo, incluidas las derivadas de eventos de conducta indebida;

d)

las pérdidas pendientes, en forma de pérdidas derivadas de un evento de riesgo operativo, que se contabilicen de forma temporal en cuentas transitorias y que todavía no se reflejen en la cuenta de resultados pero que se prevea incluir en un plazo acorde con el tamaño y la antigüedad del elemento pendiente;

e)

los ingresos significativos no percibidos, relativos a obligaciones contractuales con terceros, incluida la decisión de compensar a un cliente tras el evento de riesgo operativo, no mediante reembolso o pago directo, sino a través de un ajuste de los ingresos con arreglo al cual no se cobren honorarios contractuales, o estos se reduzcan, durante un determinado período de tiempo en el futuro;

f)

las pérdidas por periodificación, cuando abarquen más de un ejercicio contable y generen un riesgo jurídico.

2.   A efectos del apartado 1, las autoridades competentes podrán, en la medida oportuna, cerciorarse de que la entidad identifica, recoge y trata, a efectos de la gestión del riesgo operativo, cualquier elemento adicional cuando tenga su origen en un evento de riesgo operativo significativo, en particular los siguientes:

a)

los cuasiincidentes en forma de pérdida nula causados por un evento de riesgo operativo, incluida una interrupción del sistema informático en la sala de negociación fuera del horario de negociación;

b)

las ganancias ocasionadas por un evento de riesgo operativo;

c)

los costes de oportunidad, en forma de incremento de los costes o de reducción de los ingresos, resultantes de eventos de riesgo operativo que impidan llevar a cabo una actividad futura indeterminada, incluidos gastos de personal no presupuestados, pérdidas de ingresos y costes de proyecto relativos a la mejora de procesos;

d)

los costes internos, incluidos bonus y horas extraordinarias.

3.   A efectos del apartado 1, las autoridades competentes se cerciorarán asimismo de que la entidad excluye los siguientes elementos del ámbito de las pérdidas por riesgo operativo:

a)

los costes de los contratos de mantenimiento general del inmovilizado material;

b)

los gastos internos o externos para mejora del negocio tras producirse un evento de riesgo operativo, incluidas actualizaciones, mejoras e iniciativas de evaluación del riesgo;

c)

las primas de seguros.

Artículo 23

Importe de las pérdidas registradas de los elementos de riesgo operativo

1.   Las autoridades competentes se cerciorarán de que una entidad registra el importe de las pérdidas generadas por un evento de riesgo operativo, de conformidad con el artículo 20, letra d), inciso i), verificando al menos lo siguiente:

a)

que el importe total de las pérdidas o los gastos ocasionados, incluidas las provisiones, los costes de liquidación, los importes pagados para reparar los perjuicios, las sanciones, los intereses de demora y los gastos jurídicos, se considera pérdida registrada tanto a efectos de gestión del riesgo operativo como a efectos de cálculo de los requisitos de fondos propios mediante el AMA, salvo que se especifique lo contrario;

b)

que, cuando el evento de riesgo operativo se refiera a un riesgo de mercado, la entidad incluye los costes de deshacer las posiciones de mercado en el importe de las pérdidas registradas de los elementos de riesgo operativo; y que, cuando la posición se mantenga intencionadamente abierta tras el reconocimiento del evento de riesgo operativo, cualquier parte de las pérdidas debida a condiciones desfavorables del mercado tras la decisión de mantener abierta la posición no se incluye en el importe de las pérdidas registradas de los elementos de riesgo operativo;

c)

que, cuando los pagos de impuestos guarden relación con fallos o procesos inadecuados de la entidad, esta incluye en el importe de las pérdidas registradas de los elementos de riesgo operativo los gastos ocasionados como consecuencia del evento de riesgo operativo, en particular las multas, los recargos e intereses de demora y los gastos jurídicos, con exclusión del importe del impuesto adeudado en un principio;

d)

que, en caso de que existan pérdidas por periodificación y el evento de riesgo operativo afecte directamente a terceros, entre ellos a clientes, proveedores y empleados de la entidad, esta incluye también en el importe de las pérdidas registradas de los elementos de riesgo operativo la corrección del estado financiero.

2.   A efectos del apartado 1, cuando el evento de riesgo operativo conduzca a un evento de pérdida y esta se recupere en parte rápidamente, las autoridades competentes considerarán adecuado que la entidad incluya, en el importe de las pérdidas registradas, solo la parte de las pérdidas que no se recupere rápidamente de conformidad con el artículo 21, letra b).

Artículo 24

Pérdidas por riesgo operativo relacionadas con el riesgo de crédito

1.   Las autoridades competentes se cerciorarán de que una entidad identifica, recoge y trata las pérdidas por riesgo operativo relacionadas con el riesgo de crédito, de conformidad con el artículo 20, letra d), inciso i), verificando si la entidad incluye al menos lo siguiente en el ámbito de las pérdidas por riesgo operativo a efectos de gestión del riesgo operativo:

a)

los fraudes cometidos por un cliente de la entidad por cuenta propia, en relación con un producto o proceso crediticio en la fase inicial del ciclo de vida de una relación crediticia, incluida la incitación a conceder préstamos sobre la base de documentos falsos o estados financieros inexactos, como garantías reales inexistentes o sobreestimadas o certificaciones salariales falsas;

b)

los fraudes cometidos usurpando la identidad de otra persona sin su conocimiento, incluidas las solicitudes de préstamos a través de usurpación electrónica de identidad, utilizando datos de clientes o identidades ficticias, o el uso fraudulento de tarjetas de crédito de clientes.

2.   A efectos del apartado 1, las autoridades competentes se cerciorarán de que la entidad toma al menos las siguientes medidas:

a)

que ajusta el umbral de recogida de datos relativo a los eventos de pérdida descritos en el apartado 1 hasta niveles comparables a los de las demás categorías de riesgo operativo del marco AMA, cuando proceda;

b)

que incluye en las pérdidas brutas de los eventos descritos en el apartado 1 el importe total pendiente en el momento o después del descubrimiento del fraude, así como cualesquiera otros gastos conexos, incluidos los intereses de demora y los gastos jurídicos.

Artículo 25

Datos externos

Las autoridades competentes evaluarán si una entidad cumple los criterios relativos a las características de los datos externos a que se refiere el artículo 20, letra d), inciso ii), verificando al menos lo siguiente:

a)

que, en caso de que participe en iniciativas de consorcios para la recogida de eventos de riesgo operativo y pérdidas por riesgo operativo, la entidad es capaz de proporcionar datos de la misma calidad, en términos de alcance, integridad y exhaustividad, que la de los datos internos que cumplen los criterios contemplados en los artículos 21, 22, 23 y 24 y que lo hace de forma coherente con el tipo de datos solicitados por las normas de información de los consorcios;

b)

que la entidad dispone de un proceso de filtrado de datos que permite la selección de datos externos pertinentes, sobre la base de los criterios específicos establecidos, y que los datos externos utilizados son pertinentes y se adecuan al perfil de riesgo de la entidad;

c)

que, a fin de evitar un sesgo en las estimaciones de los parámetros, el proceso de filtrado conduce a una selección coherente de los datos, con independencia del importe de las pérdidas, y que, cuando autorice excepciones a este procedimiento de selección, la entidad cuenta con una política que establece los criterios aplicables a las excepciones y la documentación que las justifique;

d)

que, cuando la entidad adopte un proceso de reescalado de datos que implique el ajuste de los importes de pérdidas notificados en los datos externos, o de las distribuciones correspondientes, para adecuarse a las actividades, naturaleza y perfil de riesgo de la entidad, ese proceso es sistemático, tiene base estadística y ofrece resultados que son coherentes con el perfil de riesgo de la entidad;

e)

que el proceso de reescalado de la entidad es constante a lo largo del tiempo y que su validez y eficacia se revisan periódicamente.

Artículo 26

Análisis de escenarios

1.   Las autoridades competentes evaluarán si una entidad cumple los criterios relativos al análisis de escenarios a que se refiere el artículo 20, letra d), inciso iii), verificando al menos lo siguiente:

a)

que la entidad cuenta con un marco de gobernanza robusto en relación con el proceso de análisis de escenarios que genera estimaciones creíbles y fiables, con independencia de si el escenario se utiliza para evaluar eventos de gran severidad o exposiciones al riesgo operativo en general;

b)

que el proceso de análisis de escenarios está claramente definido y bien documentado, es repetible y su objetivo es reducir lo más posible la subjetividad y los sesgos, en particular:

i)

la subestimación del riesgo, debido al bajo número de eventos observados,

ii)

el suministro de información incorrecta debido a conflictos de intereses de los asesores en materia de escenarios con los objetivos y las consecuencias de la evaluación,

iii)

la sobreestimación de eventos con proximidad temporal a los asesores en materia de escenarios,

iv)

la distorsión de la evaluación debido a las categorías en las que están representadas las respuestas,

v)

el sesgo en la información presentada en el material de base de las preguntas de la encuesta o en las propias preguntas;

c)

que facilitadores cualificados y experimentados aportan consistencia al proceso;

d)

que las hipótesis utilizadas en el proceso de análisis de escenarios se basan, en la medida de lo posible, en los datos internos y externos pertinentes, con un proceso de selección objetivo e imparcial;

e)

que el número de escenarios elegido y el nivel al que se estudian, o las unidades en las que se estudian, los escenarios son realistas y se explican debidamente, y que las estimaciones de los escenarios tienen en cuenta los cambios pertinentes del entorno interior y exterior que puedan afectar a la exposición de la entidad al riesgo operativo;

f)

que las estimaciones de los escenarios se generan teniendo en cuenta los posibles o probables eventos de riesgo operativo que todavía no se han materializado, total o parcialmente, en una pérdida por riesgo operativo;

g)

que el proceso de análisis de escenarios y sus estimaciones están sujetos a vigilancia y a un proceso de impugnación robusto e independiente.

Artículo 27

Factores que reflejan el entorno del negocio y los controles internos

Las autoridades competentes evaluarán si una entidad cumple los criterios relativos a los factores que reflejan el entorno del negocio y los controles internos a que se refiere el artículo 20, letra d), inciso iv), verificando al menos lo siguiente:

a)

que los factores que reflejan el entorno del negocio y los controles internos de la entidad son de tipo prospectivo y tienen en cuenta las fuentes potenciales de riesgo operativo, en particular un crecimiento rápido, la introducción de nuevos productos, la rotación de los empleados y averías del sistema;

b)

que la entidad cuenta con unas directrices de actuación claras que limitan la magnitud de las reducciones de los requisitos de fondos propios calculados mediante el AMA derivadas de ajustes de los factores que reflejan el entorno del negocio y los controles internos;

c)

que los ajustes de los factores que reflejan el entorno del negocio y los controles internos contemplados en la letra b) están justificados y que la adecuación de su nivel se confirma mediante la comparación, a lo largo del tiempo, con la dirección y magnitud de los datos internos de pérdidas reales, las condiciones del entorno del negocio y las modificaciones de la eficacia validada de los controles.

SECCIÓN 2

Hipótesis básicas de modelización del sistema de medición del riesgo operativo

Artículo 28

Evaluación general

Las autoridades competentes evaluarán los criterios de una entidad relativos a las hipótesis básicas de modelización del sistema de medición del riesgo operativo a que se refiere el artículo 322, apartado 2, letras a) y c), del Reglamento (UE) n.o 575/2013, verificando al menos lo siguiente:

a)

que la entidad elabora, implementa y mantiene un sistema de medición del riesgo operativo que tiene una sólida base metodológica, es eficaz para tener en cuenta el riesgo operativo potencial y real de la entidad, y es fiable y robusto a la hora de generar los requisitos de fondos propios mediante el AMA;

b)

que la entidad dispone de políticas adecuadas para la constitución del conjunto de datos de cálculo, de conformidad con el artículo 29;

c)

que la entidad aplica el nivel adecuado de granularidad en su modelo, de conformidad con el artículo 30;

d)

que la entidad cuenta con un proceso adecuado para la determinación de las distribuciones de pérdidas, de conformidad con el artículo 31;

e)

que la entidad determina las distribuciones de pérdidas agregadas y las medidas de riesgo de forma adecuada, de conformidad con el artículo 32.

Artículo 29

Constitución del conjunto de datos de cálculo

A fin de evaluar si una entidad cuenta con políticas adecuadas para la constitución del conjunto de datos de cálculo a que se refiere el artículo 28, letra b), las autoridades competentes se cerciorarán al menos de lo siguiente:

a)

que la entidad define criterios y ejemplos específicos para la clasificación y el tratamiento de los eventos y pérdidas por riesgo operativo en el conjunto de datos de cálculo y que dichos criterios y ejemplos implican un tratamiento coherente de los datos de pérdidas en toda la entidad;

b)

que la entidad no utiliza en el conjunto de datos de cálculo las pérdidas una vez deducidas las recuperaciones por seguros y otros mecanismos de transferencia de riesgo;

c)

que la entidad ha adoptado, con respecto a las categorías de riesgo operativo con baja frecuencia de eventos, un período de observación superior al mínimo a que se refiere el artículo 322, apartado 3, letra a), del Reglamento (UE) n.o 575/2013;

d)

que, al constituir el conjunto de datos de cálculo a fin de estimar las distribuciones de frecuencia y severidad, la entidad utiliza la fecha de descubrimiento o la fecha de contabilización únicamente, y utiliza una fecha no posterior a la fecha de contabilización para incluir en el conjunto de datos de cálculo las pérdidas o provisiones relacionadas con el riesgo jurídico;

e)

que el umbral mínimo de modelización elegido por la entidad no afecta negativamente a la exactitud de las medidas de riesgo operativo y que la utilización de umbrales mínimos de modelización mucho más altos que los umbrales de recogida de datos es limitada y, en su caso, está debidamente justificada por un análisis de sensibilidad de los diferentes umbrales llevado a cabo por la entidad;

f)

que la entidad incluye en el conjunto de datos de cálculo todas las pérdidas por riesgo operativo que superan el umbral mínimo de modelización elegido y que, independientemente de su nivel, las utiliza para generar los requisitos de fondos propios mediante el AMA;

g)

que, cuando los efectos de la inflación o deflación sean importantes, la entidad aplica a los datos tipos de ajuste adecuados;

h)

que la entidad agrupa e incluye en el conjunto de datos de cálculo, como pérdida unitaria, las pérdidas causadas por un evento raíz consistente en un evento común de riesgo operativo o por eventos múltiples vinculados a un evento inicial de riesgo operativo que genere eventos o pérdidas;

i)

que cualquier posible excepción al tratamiento previsto en la letra h) está debidamente documentada y justificada por el objetivo de evitar una reducción injustificada de los requisitos de fondos propios calculados mediante el AMA;

j)

que la entidad no descarta del conjunto de datos de cálculo del AMA ajustes significativos de las pérdidas por riesgo operativo de eventos únicos o vinculados, cuando la fecha de referencia de estos ajustes se sitúe dentro del período de observación y la fecha de referencia del evento único inicial o del evento raíz mencionado en la letra h) quede fuera de dicho período;

k)

que, para cada año de referencia incluido en el período de observación, la entidad puede diferenciar los importes de pérdidas correspondientes a eventos descubiertos o contabilizados ese año de los importes de pérdidas correspondientes a ajustes o a la agrupación de eventos descubiertos o contabilizados en años anteriores.

Artículo 30

Granularidad

A fin de evaluar si una entidad aplica en su modelo el nivel adecuado de granularidad a que se refiere el artículo 28, letra c), las autoridades competentes se cerciorarán al menos de lo siguiente:

a)

que, cuando agrupe los riesgos que tengan factores comunes y defina las categorías de riesgo operativo de un AMA, la entidad tiene en cuenta la naturaleza, la complejidad y las características de sus actividades y los riesgos operativos a que se ve expuesta;

b)

que la entidad justifica el nivel elegido de granularidad de sus categorías de riesgo operativo de manera cualitativa y cuantitativa, y que clasifica estas categorías basándose en datos homogéneos, independientes y estables;

c)

que el nivel de granularidad de las categorías de riesgo operativo elegido por la entidad es realista y no afecta desfavorablemente a la prudencia de los resultados del modelo o de sus partes;

d)

que la entidad revisa regularmente el nivel elegido de granularidad de las categorías de riesgo operativo con vistas a garantizar que siga siendo adecuado.

Artículo 31

Determinación de las distribuciones de pérdidas

A fin de evaluar si una entidad cuenta con un proceso adecuado para determinar la frecuencia y la severidad de las distribuciones de pérdidas a que se refiere el artículo 28, letra d), las autoridades competentes se cerciorarán al menos de lo siguiente:

a)

que la entidad sigue un proceso muy preciso, documentado y rastreable para la selección, actualización y revisión de las distribuciones de pérdidas y la estimación de sus parámetros;

b)

que el proceso de selección de las distribuciones de pérdidas permite a la entidad adoptar decisiones claras y coherentes, refleja adecuadamente el perfil de riesgo en la cola e incluye al menos los siguientes elementos:

i)

un proceso de utilización de instrumentos estadísticos, incluidos gráficos, medidas de tendencia central, de dispersión, de asimetría y de leptocurtosis para examinar el conjunto de datos de cálculo de cada categoría de riesgo operativo, con el fin de entender mejor el perfil estadístico de los datos y seleccionar la distribución más idónea,

ii)

técnicas adecuadas para la estimación de los parámetros de distribución,

iii)

herramientas de diagnóstico adecuadas para evaluar el ajuste de las distribuciones a los datos, dando preferencia a las más sensibles a la cola;

c)

que, en el marco de la selección de una distribución de pérdidas, la entidad tiene muy en cuenta la asimetría positiva y la leptocurtosis de los datos;

d)

que, cuando los datos sean muy dispersos en la cola, no se utilizan curvas empíricas para estimar la región de las colas, sino distribuciones subexponenciales, cuya cola desciende más lentamente que en las distribuciones exponenciales, salvo que existan razones excepcionales para aplicar otras funciones, las cuales se examinarán, en todo caso, adecuadamente y se justificarán plenamente para evitar una reducción indebida de los requisitos de fondos propios calculados mediante el AMA;

e)

que, cuando se utilicen distribuciones de pérdidas distintas para el cuerpo y la cola, la entidad analiza con atención la elección del umbral de modelización cuerpo-cola;

f)

que se prevé un apoyo estadístico documentado, complementado, en su caso, por elementos cualitativos, para el umbral de modelización cuerpo-cola seleccionado;

g)

que, al estimar los parámetros de la distribución, la entidad refleja el carácter incompleto del conjunto de datos de cálculo debido a la presencia de umbrales mínimos de modelización en el modelo o bien justifica la utilización de un conjunto de datos de cálculo incompleto por el hecho de que no afecta desfavorablemente a la precisión de las estimaciones de los parámetros ni a los requisitos de fondos propios calculados mediante el AMA;

h)

que la entidad cuenta con métodos para reducir la variabilidad de las estimaciones de los parámetros y prevé medidas del error en torno a estas estimaciones, incluidos intervalos de confianza y valores p;

i)

que, cuando adopte estimadores robustos en forma de generalizaciones de estimadores clásicos, con buenas propiedades estadísticas, en particular alta eficiencia y bajo sesgo para toda la vecindad de la distribución subyacente desconocida de los datos, la entidad puede demostrar que su utilización no subestima el riesgo en la cola de la distribución de pérdidas;

j)

que la entidad evalúa la bondad del ajuste entre los datos y la distribución seleccionada utilizando herramientas de diagnóstico de naturaleza tanto gráfica como cuantitativa, que son más sensibles a la cola que al cuerpo de los datos, sobre todo si los datos están muy dispersos en la cola;

k)

que, cuando proceda, en particular cuando las herramientas de diagnóstico no permitan elegir con claridad la distribución más ajustada o a fin de atenuar el efecto del tamaño de la muestra y el número de parámetros estimados en las pruebas de la bondad del ajuste, la entidad utiliza métodos de evaluación que comparan los resultados relativos de las distribuciones de pérdidas, incluido el cociente de verosimilitud, el criterio de información de Akaike y el criterio de información bayesiano de Schwarz;

l)

que la entidad cuenta con un ciclo periódico de control de las hipótesis en que se basan las distribuciones de pérdidas seleccionadas, y que, en caso de que se invaliden las hipótesis, en particular cuando generen valores fuera de los rangos establecidos, la entidad ha probado métodos alternativos y ha clasificado correctamente todas las modificaciones introducidas en las hipótesis, de conformidad con el Reglamento Delegado (UE) n.o 529/2014 de la Comisión (5).

Artículo 32

Determinación de las distribuciones de pérdidas agregadas y las medidas de riesgo

A fin de evaluar si una entidad determina debidamente las distribuciones de pérdidas agregadas y las medidas de riesgo a que se refiere el artículo 28, letra e), las autoridades competentes se cerciorarán al menos de lo siguiente:

a)

que las técnicas elaboradas por la entidad a tal efecto garantizan niveles adecuados de precisión y estabilidad de las medidas de riesgo;

b)

que las medidas de riesgo se complementan con información sobre su nivel de exactitud;

c)

que, con independencia de las técnicas utilizadas para agregar las distribuciones de frecuencia y severidad de las pérdidas, incluidas las simulaciones de Montecarlo, los métodos relacionados con la transformada de Fourier, el algoritmo de Panjer y las aproximaciones de la pérdida unitaria, la entidad adopta criterios que atenúan los errores numéricos y muestrales y ofrece una medida de la magnitud de estos errores;

d)

que, cuando se utilicen simulaciones de Montecarlo, el número de pasos que deben darse es coherente con la forma de las distribuciones y con el nivel de confianza que debe alcanzarse;

e)

que, cuando la distribución de pérdidas tenga colas gruesas y se mida con un alto nivel de confianza, el número de pasos es suficientemente importante para reducir la variabilidad del muestreo a un nivel aceptable;

f)

que, cuando se utilice el método de la transformada de Fourier u otros métodos numéricos, se tienen muy en cuenta los problemas de estabilidad del algoritmo y de propagación de errores;

g)

que la medida de riesgo de la entidad generada por el sistema de medición del riesgo operativo cumple el principio de monotonicidad del riesgo, que puede observarse en la generación de requisitos de fondos propios más elevados cuando el perfil de riesgo subyacente aumenta y en la generación de menores requisitos de fondos propios cuando el perfil de riesgo subyacente disminuye;

h)

que la medida de riesgo de la entidad generada por el sistema de medición del riesgo operativo es realista desde una perspectiva económica y de gestión, y que la entidad aplica técnicas apropiadas para evitar limitar la pérdida unitaria máxima, a menos que aporte una motivación clara y objetiva para la existencia de un límite máximo, y para evitar implicar la inexistencia del primer momento estadístico de la distribución;

i)

que la entidad evalúa explícitamente la robustez de los resultados del sistema de medición del riesgo operativo mediante la realización de un análisis de sensibilidad adecuado sobre los datos de cálculo o sus parámetros.

SECCIÓN 3

Pérdida esperada y correlación

Artículo 33

Pérdidas esperadas

Las autoridades competentes evaluarán los criterios de una entidad relativos a las pérdidas esperadas a que se refiere el artículo 322, apartado 2, letra a), del Reglamento (UE) n.o 575/2013, cerciorándose de que la entidad cumple al menos los siguientes requisitos en caso de que calcule los requisitos de fondos propios mediante el AMA únicamente en relación con las pérdidas no esperadas:

a)

que el método utilizado por la entidad para la estimación de las pérdidas esperadas es coherente con el sistema de medición del riesgo operativo para la estimación de los requisitos de fondos propios mediante el AMA que abarca tanto las pérdidas esperadas como las no esperadas, y que el proceso de estimación de las pérdidas esperadas se realiza por categoría de riesgo operativo y es constante a lo largo del tiempo;

b)

que la entidad define la pérdida esperada utilizando estadísticas menos influidas por las pérdidas extremas, incluida la mediana y la media truncada, especialmente en el caso de datos con colas gruesas o medias;

c)

que la compensación máxima por pérdida esperada que aplica la entidad se limita a la pérdida esperada total y que la compensación máxima por pérdida esperada en cada categoría de riesgo operativo se limita a la pérdida esperada pertinente, calculada según el sistema de medición del riesgo operativo de la entidad aplicado a esa categoría;

d)

que las compensaciones por pérdida esperada que prevea la entidad en cada categoría de riesgo operativo son sustitutos de capital o que están disponibles de otra forma para cubrir pérdidas esperadas con un alto grado de certeza a lo largo de un período de un año;

e)

que, en los casos en que la compensación no consista en provisiones, la entidad limita la disponibilidad de la compensación a aquellas operaciones con pérdidas altamente previsibles, estables y habituales;

f)

que la entidad no utiliza como compensaciones por pérdidas esperadas reservas específicas para eventos excepcionales de pérdida por riesgo operativo que ya han ocurrido;

g)

que la entidad documenta claramente la forma de medir y reflejar su pérdida esperada, en particular la forma en que las compensaciones por pérdidas esperadas cumplen las condiciones indicadas en las letras a) a f).

Artículo 34

Correlación

Las autoridades competentes evaluarán los criterios de una entidad relativos a la correlación a que se refiere el artículo 322, apartado 2, letra d), del Reglamento (UE) n.o 575/2013, cerciorándose de que la entidad cumple al menos los siguientes requisitos en caso de que calcule los requisitos de fondos propios mediante el AMA reconociendo una correlación no absoluta entre las diferentes estimaciones del riesgo operativo:

a)

que la entidad tiene muy en cuenta cualquier forma de dependencia lineal o no lineal, en relación con todos los datos, respecto del cuerpo o de la cola, entre dos o más categorías de riesgo operativo o dentro de una categoría de riesgo operativo;

b)

que la entidad basa sus hipótesis de correlación, en la mayor medida posible, en una combinación adecuada de análisis de datos empíricos y opiniones de expertos;

c)

que las pérdidas dentro de cada categoría de riesgo operativo son independientes entre sí;

d)

que, en los casos en que la condición prevista en la letra c) no se cumpla, se agregan las pérdidas dependientes;

e)

que, solo en el caso de que ninguna de las condiciones de las letras c) y d) pueda cumplirse, la dependencia dentro de las categorías de riesgo operativo se modeliza adecuadamente;

f)

que la entidad tiene muy en cuenta la dependencia entre eventos situados en las colas;

g)

que la entidad no basa la estructura de dependencia en distribuciones normales o gaussianas;

h)

que todas las hipótesis relativas a la dependencia utilizadas por la entidad son prudentes, habida cuenta de las incertidumbres relativas a la modelización de la dependencia por riesgo operativo, y que el grado de prudencia aplicado por la entidad aumenta cuanto menores son el rigor de las hipótesis de dependencia y la fiabilidad de los requisitos de fondos propios resultantes;

i)

que la entidad justifica debidamente las hipótesis de dependencia que utiliza y procede regularmente a análisis de sensibilidad con el fin de evaluar el impacto de estas hipótesis en sus requisitos de fondos propios calculados mediante el AMA.

SECCIÓN 4

Mecanismo de asignación de capital

Artículo 35

Coherencia del sistema de medición del riesgo operativo

Las autoridades competentes evaluarán los criterios de una entidad relativos a la coherencia interna del sistema de medición del riesgo operativo a que se refiere el artículo 322, apartado 2, letra e), del Reglamento (UE) n.o 575/2013, cerciorándose al menos de lo siguiente:

a)

que el mecanismo de asignación de capital es coherente con el perfil de riesgo de la entidad y con el diseño general del sistema de medición del riesgo operativo;

b)

que la asignación de los requisitos de fondos propios calculados mediante el AMA tiene en cuenta las posibles diferencias internas en el riesgo y la calidad de la gestión y el control interno del riesgo operativo entre las partes del grupo a las que se asignen los requisitos de fondos propios con arreglo al AMA;

c)

que no existe impedimento práctico o jurídico observable, actual o previsto, para la transferencia inmediata de fondos propios o el reembolso de pasivos;

d)

que la asignación de los requisitos de fondos propios calculados mediante el AMA partiendo del nivel de grupo consolidado y descendiendo hasta las partes del grupo implicadas en el sistema de medición del riesgo operativo se basa en métodos sólidos y, en la medida de lo posible, sensibles al riesgo.

CAPÍTULO 4

SEGUROS Y OTROS MECANISMOS DE TRANSFERENCIA DE RIESGO

Artículo 36

Principios generales

Las autoridades competentes evaluarán si una entidad cumple los requisitos relativos a los efectos de los seguros y otros mecanismos de transferencia de riesgo en un AMA a que se refieren el artículo 322, apartado 2, letra e), última frase, y el artículo 323 del Reglamento (UE) n.o 575/2013, cerciorándose al menos de lo siguiente:

a)

que el proveedor de seguro cumple los requisitos de autorización a que se refiere el artículo 323, apartado 2, del Reglamento (UE) n.o 575/2013, de conformidad con el artículo 37;

b)

que el proveedor de seguro es un tercero, según lo contemplado en el artículo 323, apartado 3, letra e), del Reglamento (UE) n.o 575/2013, de conformidad con el artículo 38;

c)

que la entidad evita la reiteración en la aplicación de técnicas de reducción del riesgo, según lo contemplado en el artículo 322, apartado 2, letra e), del Reglamento (UE) n.o 575/2013, de conformidad con el artículo 39;

d)

que el cálculo de la reducción del riesgo refleja adecuadamente la cobertura de seguro, según lo contemplado en el artículo 323, apartado 3, letra d), del Reglamento (UE) n.o 575/2013, y que la metodología para el reconocimiento del seguro está debidamente razonada y documentada, según lo contemplado en el artículo 323, apartado 3, letra f), de dicho Reglamento, y en particular:

i)

que la cobertura de seguro se corresponde con el perfil de riesgo operativo de la entidad, de conformidad con el artículo 40,

ii)

que la entidad utiliza un cálculo complejo de la reducción del riesgo, de conformidad con el artículo 41,

iii)

que el cálculo de la reducción del riesgo se ajusta al perfil de riesgo operativo de la entidad de manera oportuna, de conformidad con el artículo 42;

e)

que el método de la entidad para reconocer el seguro tiene en cuenta todos los elementos pertinentes, mediante descuentos o recortes en el importe de reconocimiento del seguro, según lo contemplado en el artículo 323, apartado 3, letras a) y b), y en el artículo 323, apartado 4, del Reglamento (UE) n.o 575/2013, de conformidad con el artículo 43;

f)

que la entidad demuestra que se logra un efecto sensible de reducción del riesgo con la introducción de otros mecanismos de transferencia de riesgo, según lo contemplado en el artículo 323, apartado 1, segunda frase, del Reglamento (UE) n.o 575/2013, de conformidad con el artículo 44.

Artículo 37

Equivalencia de la autorización del proveedor de seguro

A fin de evaluar los requisitos de autorización del proveedor de seguro a que se refiere el artículo 36, letra a), las autoridades competentes considerarán que una empresa autorizada en un tercer país cumple los requisitos de autorización cuando dicha empresa cumpla requisitos prudenciales que sean equivalentes a los que se aplican en la Unión, incluidos los requisitos a que se refiere el artículo 323 del Reglamento (UE) n.o 575/2013.

Artículo 38

Provisión del seguro a través de un tercero

1.   A fin de evaluar si la cobertura de seguro a efectos de los requisitos de fondos propios calculados mediante el AMA la proporciona un tercero, según lo contemplado en el artículo 36, letra b), las autoridades competentes, basándose en una visión global de la situación consolidada de una entidad, en el sentido del artículo 4, apartado 1, punto 47, del Reglamento (UE) n.o 575/2013, se cerciorarán de que ni la entidad ni ningún otro de los entes incluidos en el ámbito de consolidación posee una participación o una participación cualificada, en el sentido del artículo 4, apartado 1, puntos 35 y 36, respectivamente, del Reglamento (UE) n.o 575/2013, en la parte proveedora del seguro.

2.   Cuando los requisitos del apartado 1 se cumplan parcialmente, solo se considerará seguro proporcionado a través de un tercero la parte del seguro en la que la responsabilidad última recaiga en un tercero admisible en virtud del hecho de que el riesgo se transfiere de forma efectiva fuera de los entes consolidados.

Artículo 39

Reiteración en la aplicación de técnicas de reducción del riesgo

A fin de evaluar si la cobertura de seguro a efectos de los requisitos de fondos propios calculados mediante el AMA evita la reiteración en la aplicación de técnicas de reducción del riesgo, según lo contemplado en el artículo 36, letra c), las autoridades competentes se cerciorarán de que una entidad ha tomado medidas razonables para garantizar que ni la entidad ni ninguno de los entes incluidos en el ámbito de consolidación reasegura a sabiendas contratos que cubren eventos de riesgo operativo que constituyen el objeto del contrato de seguro inicial suscrito por la entidad.

Artículo 40

Establecimiento de una correspondencia entre seguros y riesgos

1.   A fin de evaluar si la cobertura de seguro se corresponde con el perfil de riesgo de una entidad, según lo contemplado en el artículo 36, letra d), inciso i), las autoridades competentes se cerciorarán de que una entidad ha realizado una labor bien documentada y motivada de establecimiento de una correspondencia entre seguros y riesgos, a raíz de la cual la entidad adquiere una cobertura de seguro que es acorde con la probabilidad y el impacto de todas las pérdidas por riesgo operativo que pueda afrontar.

2.   A efectos del apartado 1, las autoridades competentes se cerciorarán de que la entidad lleva a cabo al menos las acciones siguientes:

a)

estimar la probabilidad de recuperación del seguro y el posible plazo para la recepción de los pagos de los aseguradores, incluida la probabilidad de que la reclamación sea objeto de litigio, la duración de dicho proceso y los porcentajes y condiciones actuales de liquidación, sobre la base de la experiencia de su equipo de gestión de riesgos de seguros, asistido, cuando sea necesario, por el oportuno asesoramiento externo, incluidos asesores, corredores y compañías de seguros;

b)

utilizar las estimaciones resultantes de la letra a) para evaluar la ejecución del seguro en caso de pérdida por riesgo operativo y diseñar este proceso con el fin de evaluar la respuesta del seguro a todos los datos pertinentes sobre pérdidas y escenarios introducidos en el sistema de medición del riesgo operativo;

c)

basándose en la evaluación de las pólizas de seguro resultante de la letra b), establecer una correspondencia entre dichas pólizas y los propios riesgos operativos de la entidad con el máximo nivel de detalle, utilizando todas las fuentes de información disponibles, en particular datos internos, datos externos y estimaciones de los escenarios;

d)

recurrir a los conocimientos especializados adecuados y llevar a cabo esta labor de establecimiento de una correspondencia de manera transparente y coherente;

e)

asignar una ponderación adecuada a la ejecución pasada y prevista del seguro mediante una evaluación de los componentes de la póliza de seguro;

f)

obtener la aprobación formal del correspondiente órgano o comité de riesgos;

g)

reexaminar periódicamente el proceso de establecimiento de una correspondencia de los seguros.

Artículo 41

Utilización de un cálculo complejo de la reducción del riesgo

A fin de evaluar si una entidad utiliza un cálculo complejo de la reducción del riesgo, según lo contemplado en el artículo 36, letra d), inciso ii), las autoridades competentes se cerciorarán de que el método de modelización para la incorporación de la cobertura de seguro en el AMA cumple como mínimo lo siguiente:

a)

es coherente con el sistema de medición del riesgo operativo adoptado para cuantificar las pérdidas brutas antes de deducir las recuperaciones de seguros;

b)

es transparente en su relación con la probabilidad real y el efecto de las pérdidas utilizadas en la determinación global por la entidad de sus requisitos de fondos propios mediante el AMA, y es también coherente con dicha relación.

Artículo 42

Adaptación del cálculo de la reducción del riesgo al perfil de riesgo operativo

A fin de evaluar si el cálculo de la reducción del riesgo se adapta al perfil de riesgo operativo de una entidad de manera oportuna, según lo contemplado en el artículo 36, letra d), inciso iii), las autoridades competentes se cerciorarán al menos de lo siguiente:

a)

que la entidad ha revisado la utilización del seguro y ha recalculado los requisitos de fondos propios mediante el AMA, según proceda, cuando la naturaleza del seguro haya cambiado significativamente o cuando se produzca un cambio de calado en el perfil de riesgo operativo de la entidad;

b)

que, cuando se incurra en pérdidas importantes que afecten a la cobertura de seguro, la entidad recalcula los requisitos de fondos propios mediante el AMA con un margen de prudencia adicional;

c)

que, en caso de rescisión o reducción imprevista de la cobertura de seguro, la entidad está preparada para sustituir inmediatamente la póliza de seguro con unos términos, condiciones y cobertura equivalentes o mejorados, o a aumentar sus requisitos de fondos propios calculados mediante el AMA a un nivel que excluya las posibles recuperaciones de seguros;

d)

que la entidad calcula su capital, antes y después de deducir las recuperaciones de seguros, a un nivel de granularidad tal que cualquier disminución del importe disponible del seguro, debida por ejemplo al pago de una pérdida importante, o modificación de la cobertura de seguro pueda reconocerse inmediatamente en lo que respecta a sus efectos en los requisitos de fondos propios calculados mediante el AMA.

Artículo 43

Consideración de todos los elementos pertinentes

1.   A fin de evaluar si el método de una entidad para el reconocimiento del seguro tiene en cuenta todos los elementos pertinentes, mediante descuentos o recortes en el importe de reconocimiento del seguro, según lo contemplado en el artículo 36, letra e), las autoridades competentes se cerciorarán al menos de lo siguiente:

a)

que la entidad examina los diferentes factores que generan el riesgo de que el proveedor de seguro no proceda a los pagos según lo previsto y restan eficacia a la transferencia de riesgo, en particular la capacidad del asegurador de pagar puntualmente y la capacidad de la entidad de identificar, analizar y comunicar la reclamación oportunamente;

b)

que la entidad examina la forma en que los distintos factores mencionados en la letra a) han incidido en el efecto reductor del seguro sobre el perfil de riesgo operativo en el pasado y pueden incidir en él en el futuro;

c)

que la entidad refleja las incertidumbres a que se refiere la letra a) en sus requisitos de fondos propios calculados mediante el AMA, a través de recortes suficientemente prudentes;

d)

que la entidad tiene debidamente en cuenta las características de las pólizas de seguro, en particular si dichas pólizas cubren únicamente las pérdidas que se reclaman o se notifican al asegurador durante el período de vigencia de la póliza y, por consiguiente, cualquier pérdida que se descubra después de la expiración de la póliza no está cubierta, o si cubren las pérdidas que se producen durante el período de vigencia de la póliza, aunque no se descubran y no se presente la reclamación hasta después de la expiración de la póliza, o si las pérdidas son pérdidas directas del asegurado o pérdidas por responsabilidad civil frente a terceros;

e)

que la entidad considera y documenta plenamente los datos sobre desembolsos de los aseguradores por tipo de pérdida en sus bases de datos sobre pérdidas y establece los recortes en consecuencia;

f)

que la entidad dispone de procedimientos para la identificación de pérdidas, su análisis y la tramitación de reclamaciones, con el fin de verificar el alcance real de la protección ofrecida por el asegurador o la posibilidad de recibir las indemnizaciones en un plazo razonable;

g)

que la entidad explícitamente cuantifica y modeliza por separado los recortes en relación con cada una de las incertidumbres pertinentes detectadas en lugar de aplicar en el cálculo un único recorte para todas las incertidumbres o un recorte ex post;

h)

que la entidad tiene en cuenta el reconocimiento del riesgo relativo a la capacidad de pago de siniestros del asegurador en la mayor medida posible, aplicando los recortes adecuados en el método de modelización del seguro;

i)

que la entidad garantiza que el riesgo relativo a la capacidad de pago de siniestros del asegurador por impago de la contraparte se evalúa sobre la base de la calidad crediticia de la empresa de seguros responsable en el marco de un determinado contrato de seguros, con independencia de que la entidad matriz de la empresa de seguros tenga una mejor calificación o de que el riesgo se transfiera a un tercero;

j)

que la entidad formula hipótesis prudentes en relación con la renovación de las pólizas de seguro con arreglo a unos términos, condiciones y cobertura equivalentes a los del contrato original o en vigor;

k)

que la entidad dispone de procedimientos para garantizar que el agotamiento potencial de los límites de la póliza de seguro y el precio y la disponibilidad de reposiciones de la cobertura, así como los casos en que la cobertura del contrato de seguro no concuerda con el perfil de riesgo operativo de la entidad, se reflejan debidamente en el método que apliquen para tener en cuenta los seguros en el AMA.

2.   A efectos del apartado 1, las autoridades competentes podrán considerar que el requisito de que la entidad aplique recortes por el vencimiento residual del contrato de seguro o por las condiciones de cancelación no es necesario cuando la cobertura vaya a renovarse sin ninguna interrupción y cuando se cumpla al menos una de las condiciones siguientes:

a)

que la entidad pueda demostrar la existencia de cobertura continua con unos términos, condiciones y cobertura equivalentes o mejorados durante 365 días como mínimo;

b)

que la entidad disponga de una póliza que no pueda ser anulada por el asegurador, excepto por impago de la prima, o que tenga un plazo de anulación de más de un año.

Artículo 44

Otros mecanismos de transferencia de riesgo

A fin de evaluar si una entidad ha demostrado que con la introducción de otros mecanismos de transferencia de riesgo a que se refiere el artículo 36, letra f), se consigue un efecto notable de reducción del riesgo, las autoridades competentes aplicarán, como mínimo, lo siguiente:

a)

se cerciorarán de que la entidad tiene experiencia en la aplicación de otros mecanismos de transferencia de riesgo y sus características, incluida la probabilidad de cobertura y la puntualidad del pago, antes de que estos instrumentos puedan reconocerse en el sistema de medición del riesgo operativo de la entidad;

b)

rechazarán otros mecanismos de transferencia de riesgo como instrumentos admisibles de reducción del riesgo de los requisitos de fondos propios calculados mediante el AMA cuando estos otros mecanismos de transferencia de riesgo se mantengan o se utilicen con fines de negociación y no con fines de gestión de riesgos;

c)

verificarán la admisibilidad del vendedor de protección, comprobando entre otras cosas si se trata de un ente regulado o no regulado, y la naturaleza y características de la protección ofrecida, si se trata de cobertura con garantías reales o instrumentos similares, titulización, mecanismo de garantía o instrumentos derivados;

d)

se cerciorarán de que las actividades externalizadas no se consideran parte de otros mecanismos de transferencia de riesgo;

e)

se cerciorarán de que la entidad calcula los requisitos de fondos propios mediante el AMA incluyendo y excluyendo los otros mecanismos de transferencia de riesgo para cada cálculo de capital, a un nivel de granularidad tal que cualquier disminución del importe de la protección disponible pueda ser inmediatamente reconocida en lo que respecta a sus efectos en los requisitos de capital;

f)

se cerciorarán de que, cuando se incurra en pérdidas importantes que afecten a la cobertura que proporcionan los otros mecanismos de transferencia de riesgo o cuando las modificaciones de los contratos de otros mecanismos de transferencia de riesgo generen una incertidumbre importante en cuanto a su cobertura, la entidad recalcula sus requisitos de fondos propios mediante el AMA con un margen adicional de prudencia.

CAPÍTULO 5

DISPOSICIÓN FINAL

Artículo 45

Disposición transitoria

Por lo que respecta a la evaluación del AMA, contemplada en el artículo 1, de las entidades que, en la fecha de entrada en vigor del presente Reglamento, ya estén utilizando un AMA a efectos del cálculo de sus requisitos de fondos propios por riesgo operativo, o de las entidades que ya hayan solicitado autorización para utilizar un AMA a tal efecto, serán de aplicación las disposiciones siguientes:

a)

el presente Reglamento será aplicable un año después de su entrada en vigor;

b)

el artículo 34, letra g), será aplicable dos años después de su entrada en vigor.

Artículo 46

Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 14 de marzo de 2018.

Por la Comisión

El Presidente

Jean-Claude JUNCKER

_______________

(1)  DO L 176 de 27.6.2013, p. 1.

(2)  Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito y las empresas de inversión, por la que se modifica la Directiva 2002/87/CE y se derogan las Directivas 2006/48/CE y 2006/49/CE (DO L 176 de 27.6.2013, p. 338).

(3)  Reglamento Delegado (UE) 2016/101 de la Comisión, de 26 de octubre de 2015, por el que se completa el Reglamento (UE) n.o 575/2013 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la valoración prudente en el marco del artículo 105, apartado 14 (DO L 21 de 28.1.2016, p. 54).

(4)  Reglamento (UE) n.o 1093/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad Europea de Supervisión (Autoridad Bancaria Europea), se modifica la Decisión n.o 716/2009/CE y se deroga la Decisión 2009/78/CE de la Comisión (DO L 331 de 15.12.2010, p. 12).

(5)  Reglamento Delegado (UE) n.o 529/2014 de la Comisión, de 12 de marzo de 2014, por el que se completa el Reglamento (UE) n.o 575/2013 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación para evaluar la importancia de las ampliaciones y modificaciones del método basado en calificaciones internas y del método avanzado de cálculo (DO L 148 de 20.5.2014, p. 36).

Análisis

  • Rango: Reglamento
  • Fecha de disposición: 14/03/2018
  • Fecha de publicación: 06/07/2018
Referencias anteriores
Materias
  • Armonización de legislaciones
  • Auditoria de Cuentas
  • Contabilidad
  • Control financiero
  • Entidades aseguradoras
  • Entidades financieras
  • Estados financieros
  • Información
  • Normas de calidad
  • Redes de telecomunicación
  • Riesgos
  • Seguros
  • Sistema financiero

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid - Tel.: (+34) 91 111 4000