Integraton of qualitative and quantitative operational risk data: a Bayesian approach

Source: Operational Risk Modelling and analysis book

Title: Integraton of qualitative and quantitative operational risk data: a Bayesian approach

Date: 2004

Author: P.Giudici

Operational risk and probabilistic networks. An application to corporate actions processing

Source: Infosys White Paper

Title: Operational risk and probabilistic networks. An application to corporate actions processing

Date: 2005

Author: S.Ramamurthy, H. Aror, A. Gosh

Methods of risk modeling in economic activities

Source: International Conference on Economics and Business Administration

Title: Methods of risk modeling in economic activities

Date: 2013

Author: S.V.Toma, C. Nistor, I-V.Alexa

Measuring operational risk using fuzzy logic modeling

Source: International Risk Management Institute

Title: Measuring operational risk using fuzzy logic modeling

Date: 2003

Author: S. Shah

This article describes how fuzzy logic modeling techniques can be used to assess operational risks when there is not enought historical data and it is not accurate information.

In classical set theory, the membership of elements in a set is assessed in binary terms according to a bivalent condition; that is to say, an element either belongs or does not belong to the set. In contrast, fuzzy sets theory are sets whose elements have degrees of membership.

The author provides with an example the steps for using this approach assess a risk on the top 10 list of a company.

These steps apply fuzzy logic techniques for developing a causal model that relates the risk to its key drivers or indicators. Then, the causal model is then used to develop a distribution of losses based on expectations for the levels of its key drivers.

These stpes are as follows:

1. Specify Key Risk Indicators. For each top risk, several key risk indicators (KRIs) are specified. 
2. Calibrate Fuzzy. Linguistic descriptors such as High, Low, Medium, Small, Large, for example, are assigned to a range of values for each KRI and the loss amount. These descriptors will form the basis for capturing expert input on the impact of KRIs on the loss amount. 
3. Specify Impact of KRIs on Loss Amount. Having specified the risk and its KRIs, the logical next step is to specify how the loss amount varies as a function of the KRIs. Experts provide fuzzy rules in the form of “if … then” statements that relate loss amounts to various levels of KRIs based on their knowledge and experience. 
4. Calculate Expected Loss Amount. Since the fuzzy rules cover all possible combinations of KRI levels, the estimated loss amount can be calculated for the current levels of each KRI. A fuzzy calculator applies the math based on the fuzzy rules to generate the expected loss. 
5. Calculate Distribution of Losses. A probability distribution of expected losses next year can be derived by representing the KRIs as a probability distribution of their levels expected next year.

Connectivity and measurement of operational risk: an input-output approach

Source: Soft Computing

Title: Connectivity and measurement of operational risk: an input-output approach

Date: 2003

Author: S. Scandizzo

The author proposes a model that focuses on cause side rather than effect side of the operational risks.

With this focus, these proposal estates that both externally and internally originated changes have effects among the different components of the organization. These effects cannot be separated: the combined effect of the changes will not be equal to the sum of the single effects, but will in general be greater.

Basically, it is an accounting framework that can be used as a framework for the analysis of the interdependencies within an institution.

Connectivity requires the modeling process to develop a ‘connectivity matrix’ that can then be used to estimate the likelihood of failure (or potential losses) for the process as a whole. And by estimating a “multiplier” created by the internal level of connectivity, it can also be a tool that can complement a statistical risk model.

To do so, it is necessary to identify the various components and the technology structure in each of their components.

The economic activities of a company can be broken up into a number of separate, but interactive individual cost centers. The data needed are flows of products and services amongst these cost centers.

We can construct this model by using the internal cost allocation model and transfer pricing information

Input–output models where firstly theorized by Leontiev and have ever since received wide attention and recognition in the world of economics. The framework is also called ‘‘inter-industry analysis’’ and focuses on modeling the interdependencies among industries in an economy.

This input-output model relies on the basic idea that as an additional unit of a product is demanded, a certain combination of other intermediate products is required to produce that unit. One of the interests in the field of input-output economics lies with the fact that it is very concrete in its use of empirical data and also very compact. All changes in the endogenous sectors of an input-output table are results of changes in the exogenous sectors.

The overall effect of these interdependencies is that a change in demand causes a change in the overall production. This is called the Leontiev multiplier.

It implies that:

• The total output depends on the final “sales” as well as on the interdependencies amongst the units.
• The impact of an external shock either a change in D (demand for one or more units’ output) or a change in M (as a consequence of technology, process or people change) cannot be understood unless all the existing linkages are taken into account.

Operational Risk in the Health Sector in Colombia

Fuente: Munich Personal RePEc Archive

Título: Operational Risk in the Health Sector in Colombia

Fecha: Marzo 2015

Autor: Luis Ceferino Franco-Arbeláez, Luis Eduardo Franco-Ceballos, Juan Guillermo Murillo-Gómez, Francisco Venegas-Martínez

En el 2008 el Ministerio de Protección Social de Colombia, emitió la Resolución 1740, la cual reglamenta la implementación del Sistema de Administración de Riesgos (SAR) para las Entidades Promotoras de Salud (EPS) del Régimen Contributivo.

En esa resolución también se definen las áreas de análisis en el marco de la implementación del Sistema de Administración de Riesgos,

• Administración de riesgos en salud
• Administración del riesgo operativo
• Administración de riesgos generales del negocio, de mercado y de crédito

El objetivo fundamental en el ámbito de la salud, además de las consideraciones financieras propias de toda organización, es que las decisiones sobre riesgo estén en función de otros factores políticos/regulatorios, incluyendo lo que en el lenguaje médico se conoce como “eventos adversos”.

Para el proceso de modelación y cuantificación del riesgo operativo, la diversidad de métodos refleja diferentes niveles de sofisticación y sensibilidad al riesgo. Los métodos AMA (Advanced Measurement Approaches), admiten flexibilidad en la cuantificación del riesgo operativo, y permiten a las entidades elaborar su propio sistema de modelación y medición del riesgo operativo. Entre los métodos de medición avanzada AMA, la técnica más utilizada es el método de distribución de pérdidas, conocido como Loss Distribution Approach (LDA). Este método se soporta en la recopilación de datos de pérdidas históricas internas que pueden ser complementados con datos externos.

El método LDA incluye la modelación separada de la distribución de probabilidad de la severidad y la distribución de probabilidad de la frecuencia de las pérdidas, y luego las combina mediante alguna técnica estadística para generar una distribución de pérdidas agregadas.  Los autores presentan dos de las alternativas más usuales para la medición del riesgo operativo asociadas a la metodología LDA: método de simulación Monte Carlo y el algoritmo de recursión de Panjer. 

Source: Munich Personal RePEc Archive

Title:: Operational Risk in the Health Sector in Colombia

Date: March 2015

Author: Luis Ceferino Franco-Arbeláez, Luis Eduardo Franco-Ceballos, Juan Guillermo Murillo-Gómez, Francisco Venegas-Martínez

In 2008, the Colombian Social Security Ministry launched a Resolution that implement a Risk Management System called “SAR” (Sistema de Administración de Riesgos) for the Health Care Service Providers.

This Resolution defines the areas for analysis:

• Health risk management
• Operational risk management
• Business, market and credit risk management

The main objective in the health arena is, beside every business financial considerations, that risk decisions are based on political/regulation factors, including what in medical language is named as “side effects”.

There range for operational risk methods for modeling, based on different levels of sophistications and risk sensitivity, is big. The Advanced Measurement Approaches, AMA, methods are flexible when quantifying operational risks, and allow organizations to build their own operational risk management model. Among these methods, one stands out: Loss Distribution Approach, LDA. This method is supported by internal loss data bases complemented by external loss data bases.

The LDA method included a distinct modellization for severity and frequency probability distribution, that later combines through some statistic technique in order to build an aggregated loss distribution. The authors present two alternatives to do so: the Monte Carlo simulation and the Panjer recursion.

Using Bayesian Networks to Model Expected and Unexpected Operational Losses

Fuente: Risk Analysis, Vol. 25, No. 4, 2005 (Society for Risk Analysis)

Título: Using Bayesian Networks to Model Expected and Unexpected Operational Losses

Fecha: 2005

Autor: Martin Neil, Norman Fenton and Manesh Tailor

Este documento describe el empleo de las redes bayesianos  para modelizar la distribución de pérdidas de los escenarios de riesgos operacionales.

Su punto de atención es a modelización de las colas largas o pérdidas inesperadas usando el mix adecuado de las distribuciones de pérdida y severidad cuando dicho mix está condicionado por variables causales que modelan la capacidad o efectividad de los controles de procesos subyacentes.

El empleo de modelos causales es discutido desde la perspectiva del aprovechamiento de la experiencia local de la confiabilidad de los procesos y su conexión con los fenómenos hipotéticos o actuales resultantes del proceso.

Esto conlleva el beneficio de añadir a los datos escasos el juicio experto, transformando el conocimiento cualitativo de los procesos en predicciones cuantitativas.

Se concluye que las redes bayesianos pueden ayudar a combinar los datos cualitativos de los expertos y los cuantitativos de las bases históricas de datos de una manera adecuada y de esta manera poder cumplir con los requerimientos de los modelos avanzados exigidos por Basilea II.

Para calcular el capital regulatorio por riesgo operacional es tentador hacerlo mediante modelos estadísticos basados en datos históricos.

Sin embargo, la insuficiencia de datos para la confección de modelos estadísticos tradicionales hace improbables que de lugar a predicciones útiles de pérdidas operacionales.

Una mezcla de los métodos cuantitativos y cualitativos es quizás el modelo que requieren los riesgos operacionales.

Los accidentes no sólo son el resultado de fallos humanos sino también de las características organizacionales que fallan en su protección frente a todo tipo de errores humanos, involuntarios o fraudulentos.

Existe una tendencia a ver los desastres financieros como súper pérdidas individuales en vez de la agregación de pérdidas pequeñas devengadas durante un período de tiempo.

Es precisamente esta atención rutinaria a las buenas prácticas, al igual que ocurre en los sectores críticos,  lo que previene la aparición de desastres. Por lo tanto, cualquier estrategia de riesgo operacional debería centrarse en la detección de las cuasi-pérdidas y las pequeñas pérdidas.

En el artículo los autores argumentan cómo las redes bayesianas proporcionan una atractiva solución a los problemas arriba mencionados ya que permite  combinar los datos estadísticos disponibles con los juicios subjetivos y los datos cualitativos de los procesos.

Por lo tanto, las redes bayesianas proporcionan un método de modelización de las pérdidas operacionales y la medición de la efectividad de los procesos operacional del negocio, como parte del enfoque de las autoevaluaciones, denominado “Bayesian Scorecard”.

Mediante las redes bayesianas se puede:

1. Combinar  los indicadores proactivos de pérdidas, relacionados con los procesos de negocio, con las mediciones reactivas de los resultados tales como los datos de cuasi-pérdidas y pérdidas.
2. Incorporara la opinión de los expertos acerca de la contribución que las estimaciones cualitativas pueden tener sobre la valoración de riesgos total.
3. Incorporar evidencias incompletas y, sin embargo, obtener predicciones
4. Llevar a cabo análisis “y-si” para comprobar la sensibilidad de las conclusiones.
5. Obtener una herramienta de inferencia visual y una mayor documentación de ayuda.
6. Obtener resultados en forma de predicciones verificables frente al desempeño actual de las mediciones y ratios de eventos de pérdida.

Source: Risk Analysis, Vol. 25, No. 4, 2005 (Society for Risk Analysis)

Title: Using Bayesian Networks to Model Expected and Unexpected Operational Losses

Date: 2005

Author: Martin Neil, Norman Fenton and Manesh Tailor

This report describes the use of Bayesian networks to model statistical loss distributions in financial operational risk scenarios.

Its focus is on modeling “long” tail, or unexpected, loss events using mixtures of appropriate loss frequency and severity distributions where these mixtures are conditioned on causal variables that model the capability or effectiveness of the underlying controls process.

The use of causal modeling is discussed from the perspective of exploiting local expertise about process reliability and formally connecting this knowledge to actual or hypothetical statistical phenomena resulting from the process. 

This brings the benefit of supplementing sparse data with expert judgment and transforming qualitative knowledge about the process into quantitative predictions. 

We conclude that Bayesian networks can help combine qualitative data from experts and quantitative data from historical loss databases in a principled way and as such they go some way in meeting the requirements of the draft Basel II Accord for an advanced measurement approach (AMA).

To calculate such a charge it is tempting to predict operational risk by building a statistical model based on historical data.

However, this general paucity of loss data means that traditional statistical approaches are unlikely to provide useful predictions of operational losses.

A mixture of qualitative and quantitative methods is perhaps needed to model operational risks.

Accidents are not solely the result of human fallibility but are supported by organizational features that fail to defend against all-too-human mistakes, slips, and (in the case of fraud) malicious acts.

There is a tendency to see financial disasters as single “ultra high loss” events rather than aggregations of smaller losses accrued over a period of time.

It is precisely this routine attention to good practice that, just as in safety critical industries, prevents disasters from occurring. Any OpRisk scheme should, therefore, focus on detecting near misses and small losses.

In this article we argue that Bayesian networks provide an attractive solution to the problems identified above. BNs enable us to combine any statistical data that are available with qualitative data and subjective judgments about the process.

Hence Bayesian networks provide a method of modeling operational losses and measuring the effectiveness of a business’s operational processes, as part of a self-assessment-oriented “Bayesian Scorecard” approach.

Using Bayesian networks we can:

1. Combine proactive loss indicators, related to the business process, with reactive outcome measures such as near miss and loss data;
2. Incorporate expert judgments about the contribution qualitative estimates can make to the overall risk assessment;
3. Enter incomplete evidence and still obtain predictions;
4. Perform powerful “what-if?” analysis to test sensitivity of conclusions;
5. Obtain a visual reasoning tool and a major documentation aid;
6. Obtain output in the form of verifiable predictions against actual performance measures and loss event rates.

UK Cyber security. The role of insurance in managing and mitigating the risk

Fuente: Gobierno inglés

Título: Ciberseguridad en Reino Unido. El papel del seguro en la gestión y mitigación del riesgo

Fecha: Marzo 2015

Autor: Gobierno inglés

La amenaza cibernética es una de las más importantes y crecientes riesgos a los que se enfrentan las empresas inglesas: el 81% de las grandes empresas y el 50% de las pymes han sufrido una brecha de ciber seguridad en el pasado año, y el coste de dicha brecha ha supuesto aproximadamente el doble que desde el año 2103.

Este informe es el resultado de un grupo de trabajo entre el gobierno inglés y el sector asegurador. Pone de manifiesto el papel que las aseguradoras y el seguro pueden jugar en la reducción del ciber riesgo.

Mediante cuestionarios con las preguntas adecuadas para valorar los ciber riesgos, las aseguradoras y los corredores de Seguros pueden colaborar en la adopción de buenas prácticas, incluyendo el denominado “Cyber Essentials Scheme” del gobierno inglés, el cual reducirá la frecuencia y coste de las brechas.

Existe la necesidad de valorar adecuadamente el riesgo de ciber ataques.

Muchas empresas están sobreestimando el papel de sus seguros en la cobertura del ciber riesgo.

Algunas empresas aún sienten que no entienden adecuadamente el ciber riesgo. Este informe proporciona una horquilla de consejos y guías para las empresas que pueden servir de inspiración para establecer criterios básicos para todas las organizaciones a través del “Cyber Essentials Scheme”.

***************************************************************

Source: UK Government

Title: UK Cyber security. The role of insurance in managing and mitigating the risk

Date: March 2015

Author: UK Government

The cyber threat remains one of the most significant and growing risks facing UK business: 81% of large businesses and 60% of small businesses suffered a cyber security breach in the last year, and the average cost of breaches to business has nearly doubled since 2013.

This report is the result of close working between the Government and the insurance sector. It highlights the role insurers and insurance can play in reducing cyber risk.

By asking the right questions in addressing cyber risks, insurers and insurance brokers can help promote the adoption of good practice, including the Government’s Cyber Essentials scheme, which will reduce the frequency and cost of breaches.

There is the need to value the risk of cyber attack properly.

Many businesses are overestimating the extent to which their existing insurance provides cover for cyber risk.

Some businesses still feel they do not fully understand cyber risk. We have provided a range of advice and guidance to business, which it can draw on, and a set of basic criteria for all organizations through the Cyber Essentials Scheme.

Operational Risk associated with the strategy implementation

Fuente: De Gruyter, Management, Vol. 18, nº 2

Título:  Operational Risk associated with the strategy implementation

Fecha: 2014

Autor: J. Radomska

La gestión estratégica es un conjunto de decisiones y acciones relativas a la estrategia. Dicho proceso de gestión estratégica consiste en:

·         Establecimiento de una estrategia: consiste en establecer objetivos a largo plazo.

·         Desarrollo de una estrategia: consiste en la selección de las opciones más óptimas y en la toma de decisiones.

·         Implantación de una estrategia: consiste en adoptar las acciones que aseguren que las decisiones son llevadas a cabo de manera adecuada y efectiva.

Cada uno de estos pasos van acompañados de varios tipos de riesgos, incluidos los operacionales.

En este contexto, el riesgo operacional está asociado con la materialización de las amenazas en la implantación de los objetivos estratégicos.

El riesgo operacional adopta dos perspectivas:

·         Perspectiva interna: relacionado con el desarrollo del proceso de gestión estratégica en el contexto de todas sus etapas individualmente consideradas.

·         Perspectiva externa: cubriendo los aspectos asociados con la implantación de la estrategia y, por tanto, determinada por el entorno y las turbulencias que en él tienen lugar.

Pero el análisis y valoración de la tipología de riesgos que afectan a las diferentes etapas del proceso de gestión estratégica no es idéntica. La identificación, análisis y valoración de los riesgos en del establecimiento y desarrollo de la estrategia es bueno, pero el interés decae durante la etapa de la implantación.

La autora ha calculado la correlación tau-b de Kendall, es decir, la relación existente entre los elementos del riesgo operacional y la efectividad en la implantación de la estrategia.

De acuerdo con este estudio, en relación al factor externo y las personas, hay una correlación negativa, lo que significa que la efectividad de la implantación de la estrategia decrece al tiempo que la resistencia de los empleados se incrementa así como de la velocidad de los cambios derivados de la modificación frecuente de la estrategia implementada.

Por el contrario, existe una correlación positiva en el cado de los procesos internos y los sistemas. Por ello, la introducción de procesos para medir periódicamente el progreso de la implantación y la construcción de sistemas de supervisión mediante la designación de personas, individuales o grupos, responsables de la coordinación del proceso de implantación de la estrategia, da como resultado un incremento en la efectividad de la implantación de la misma y en una reducción del nivel de los riesgos asociados.

++++++++++++++++++++++++++++++++++++++++++

Source: De Gruyter, Management, Vol. 18, nº 2

Title: Operational Risk associated with the strategy implementation

Date: 2014

Author: J. Radomska

Strategic management is a set of decisions and actions relating to a strategy. This strategic management process includes:

·         Establishment of the strategy: consists in establishing the long-term goals.

·         Development of the strategy: consists in the selection of optimal development options and making the decisions and

·         Implementation of the strategy: consists in taking the actions that ensure that decisions are properly and effectively put in place

Each of these steps is accompanied by various types of risk, including operational risk.

In this context, operational risk is associated with the occurrence of threats to the implementation of strategic objectives.

Operational risk takes two perspectives:

·         Internal perspective: related to the course of the strategic management process in the context of its individual stages.

·         External perspective: covering the aspects associated with the strategy implementation and therefore determined also by the environment and the turbulences occurring in it.

Individual stages of the strategic management process are not treated equally when analyzing and assessing various types of risk. The risk identification, analysis and assessment predominate during the work associated with the establishment and development of a strategy, but the interest in the risk drops at the stage of the strategy implementation.

The author has calculated the Kendall’s tau-b correlation; that is to say, the relationship between the aforementioned elements of the operational risk and the effectiveness of the strategy implementation.

According to this study, with respect to the environment and people, this relationship is negative, which means that the effectiveness of the strategy implementation decreases along with an increase in the employee resistance and the speed of changes in the environment forcing frequent modification of the strategy implemented.

In turn, a positive relationship was observed in the case of internal processes and the supervision system. Thus the introduction of the processes for regular measurements of the progress in the implementation work and building an adequate supervision system by appointing a person or a group responsible for coordinating the strategy implementation process result in an increased effectiveness of the strategy implementation and a reduced level of the accompanying risk.

Operational Risk Management for Insurers

Source: Canadian Center of Science and Education

Title: Operational Risk Management for Insurers

Date: 2013

Author: M.I. Martínez Torre-Enciso and R. Hernandez Barros

  

Definition

Operational risk is increasingly important in the management and corporate governance of insurance companies, especially to the light of the new European regulation, Solvency II.

This new regulation defines Operational risk as the risk of loss arising from inadequate or failed internal processes, personnel or systems or from external events.

Solvency II definition focuses on the source of losses, but that does not express the major risk factors operating in most companies. The events that trigger losses may have been caused by several factors.

The event types are as follows:

1. Internal fraud.
2. External fraud.
3. Employment practices and workplace safety.
4. Clients, products and business practices.
5. Damage to physical assets.
6. Business disruptions and system failures.
7. Execution, delivery and process management.

The operational risk management mission is to identify, analyze and mitigate the different risks business operations are exposed to. We can identify in the organizations two main risks business operations are exposed to:

1. The existence and integrity of management and operational controls of the company.
2. The ability to fulfill the promise made to customers. Management has always paid more attention to this risk.

The internal control

COSO defines the internal control as the process carried out by a company in order to assess, with reasonable assurance, the activities into three main categories:

1. Effectiveness and operational efficiency.
2. Reliability of financial reporting.
3. Compliance with policies, laws and regulations.

Internal control has five components:

1. Environment of control.
2. Risk assessment.
3. Control activities (policies and procedures).
4. Information and communication.
5. Supervision.

Nevertheless, the focus of risk management on internal controls is not the right path towards a long term solution to these problems that risk raises. Internal control should be regarded as a tool for making informed decisions about risk.

Quantification of the Operational Risks

Quantification and measurement of operational risk is only a tool among others.

The internal models propose a definition and measurement of capital requirements according to the characteristics of the activity of the company. The economic capital solvency is estimated based on the risk profile of each entity, taking into account the particular techniques of risk mitigation and diversification of the company.

For operational risks the models most used are the probabilistic ones; and among these, the Operational Value at Risk (OpVaR).

++++++++++++++++++++++++++++++++++++++++++

Fuente: Canadian Center of Science and Education

Título:  Operational Risk Management for Insurers

Fecha: 2013

Autor: M.I. Martínez Torre-Enciso and R. Hernandez Barros

Definición

El riesgo operacional ha adquirido una importancia creciente en la gestión y gobierno corporativo de las compañías de seguros, especialmente a la luz de la nueva regulación europea denominada Solvencia II.

Esta nueva regulación define el riesgo operacional como el riesgo de pérdida derivado de la inadecuación o de la disfunción de procesos internos, del personal o de los sistemas, o de sucesos externos.

Por tanto, Solvencia II se centra en la fuente de las pérdidas, pero no se refiere a los factores de riesgos que afectan a las compañías. Los eventos que dan lugar a pérdidas pueden traer causa de diferentes factores.

Los tipos de eventos de pérdida son:

1. Fraude interno.
2. Fraude externo.
3. Relaciones laborales y seguridad en el puesto de trabajo.
4. Prácticas con clientes, productos o negocios.
5. Daños a los activos físicos.
6. Fallos de sistemas.
7. Ejecución y gestión de los procesos.

La misión de la gestión del riesgo operacional es identificar y mitigar los diferentes riesgos a los que la operativa de negocio se encuentra expuesta. Dentro de las organizaciones, se pueden diferencias dos grandes grupos de riesgos en la operativa de negocio:

1. Existencia e integridad de controles de gestión y operativos.
2. La habilidad para cumplir la promesa adquirida con los clientes. La Dirección tradicionalmente ha prestado más atención a este riesgo.

El control interno

COSO define el control interno como el aquel proceso por el cual una compañía valora con un nivel razonable de seguridad las siguientes tres actividades:

1. Efectividad y eficiencia de las operaciones.
2. Fiabilidad de los informes financieros.
3. Cumplimiento de las políticas y requlación.

El control interno presenta cinco componentes:

1. Ambiente de control.
2. Evaluación del riesgo.
3. Actividades de control.
4. Información y comunicación.
5. Actividades de supervisión.

En cualquier caso,fijar la atención de la gestión del riesgo en los controles internos nos es el camino adecuado para dar solución a los problemas que los riesgos hacen surgir. El control interno debe ser una herramienta para tomar decisiones informadas sobre los riesgos. 

La cuantificacion del riesgo operacional

La cuantificación y medición de los riesgos operacionales sólo son una herramienta entre otras. 

Los modelos internos proponen una definición y medición de los requerimientos de capital de acuerdo a las características de la actividad de la compañía. La solvencia del capital económico es una estimación basada en el perfil de riesgo de cada organización, teniendo en cuenta sus técnicas de mitigación del riesgo y a diversificación de la compañía.

Para los riesgos operacionales los modelos más frecuentemente empleado son los probabilísticos, y entre estos, el Operational Value at Risk (OpVaR).