Riesgo Operacional

Riesgo Operacional:
Estado del Arte
La Administración del riesgo operacional se
ha popularizado en los últimos años y, este
tipo de riesgo ha cobrado una importancia
más notoria. Lo que inicialmente se
estableció como un riesgo que debía ser
administrado y gestionado por las entidades
financieras empezó a ser llevado a otras
industrias y servicios. Pequeñas y grandes
empresas de diferentes sectores económicos
hacen esfuerzos por implementar un sistema
de administración de riesgos- basado en el
sistema de administración de riesgo
operacional – y esto es una labor digna de
resaltar;
que
los
empresarios
y
administradores sean conscientes que sus
negocios se encuentran expuestos de alguna
manera a diferentes riesgos inherentes a la
actividades económica que desarrollan y
traten de controlarlos y gestionarlos.
La administración de riesgo es una función
corporativa que protege la operación del
negocio y los intereses de los accionistas y
los diferentes grupos de interés de la
organización.
Lamentablemente el cumplimiento de este
objetivo no se logra alcanzar de una manera
más o menos homogénea entre las
empresas, ni entre aquellas que destinan un
gran presupuesto a las funciones de riesgos y
control ni en las que cuentan con estructuras
más básicas.
Las unidades de administración de riesgos
han hecho esfuerzos sostenidos durante los
últimos años para avanzar en el nivel de
madurez de su gestión pero el panorama
muestra que aún hay un camino largo por
recorrer. En la presente nota abordaremos el
panorama actual de la administración del
riesgo operacional en Latinoamérica.
Una década de Exploración
Hace ya más de una década desde que fue
introducido el sistema de administración de
riesgo operacional como un elemento de
gestión relevante que puede afectar el
desempeño de una entidad financiera e
incluso la estabilidad del sistema en casos
extremos.
Desde la introducción del concepto en los
acuerdos del Comité de supervisión Bancaria
de Basilea en el año 2001, los reguladores de
los diferentes países o comunidades (para el
caso de la UE) han creado normatividades
internas para acoger las recomendaciones
del comité. Y las entidades financieras
comenzaron una etapa de exploración
(creación tal vez) para implementar las
nuevas exigencias legales en relación con la
administración del riesgo operacional.
Sin embargo este tiempo parece no haber
sido suficiente para madurar los estándares y
buenas prácticas para la gestión del riesgo
operacional, tanto desde el punto de vista de
los reguladores como de los supervisados.
Durante este tiempo las entidades han
tratado de implementar una metodología
adecuada para un riesgo tan disperso y
disímil que los ha llevado a probar una
metodología tras otra sin llegar a tener la
certeza de estar por fin en la senda correcta.
Si bien en esta etapa de exploración y ensayo
-de metodologías- se han logrado avances
significativos;
cuando
las
entidades
financieras miran hacia atrás y ven la
evolución de su sistema de gestión del riesgo
operacional, sin duda, no podrán negar que
hoy están mejor que hace algunos años y
aún más mejor que en los primeros años de
implementación; no se puede decir que el
panorama hoy en día luzca claro en cuanto a
este riesgo se refiere.
Durante los primeros años las entidades
financieras hicieron inversiones y gastos año
tras año en la implementación y
mantenimiento de la Unidad (área) de Riesgo
Operacional, que eran vistas como costos
regulatorios, es decir una carga económica
impuesta y derivada de la generación de las
normas de administración de riesgo
operacional, lo preocupante es que hoy en
día
algunos
directores
no
logran
desprenderse de esta imagen -o situación- y
sus unidades de riesgo continúan siendo (o
siendo vistas como) un costo regulatorio, con
un enfoque exclusivamente orientado al
cumplimiento
de
las
disposiciones
prudenciales contenidas en las normas pero
que no logran conectar con los sistemas de
generación de valor de las entidades y
permear en el ADN y estructura misma de la
compañía.
Por eso la mejor palabra para definir este
contexto es ‘exploración’, guardando las
proporciones, parece que reguladores y
vigilados están a la búsqueda del mitológico
‘santo grial’ de la edad media que para este
caso no es más que encontrar la hoja de ruta
que permita efectivamente gestionar el
riesgo operacional generando valor para las
compañías e integrándose adecuadamente
en la cultura y estructura de la compañía.
El riesgo Operacional hoy en día ocupa un
lugar destacado dentro de la gestión de
riesgos, sin embargo las unidades de riesgos
y los reguladores no han logrado responder
adecuadamente a los retos que les impone el
entorno, el mercado y la naturaleza de este
riesgo per se.
Se pueden encontrar compañías donde la
gestión del riesgo operacional esta relegada
únicamente al cumplimiento de las
exigencias normativas o con modelos de
gestión que no logran satisfacer las
expectativas de la dirección general, ni
conectar realmente con los diferentes
niveles jerárquicos que tienen bajo su
responsabilidad la toma de decisiones y la
administración de los productos, servicios,
canales y procesos, elementos sobre los
cuales se encuentra inmerso (o disperso el
riesgo operacional).
La situación no es tan sencilla y para
entender bien es necesario abordar hilo por
hilo cada uno de los elementos que enredan
la madeja.
El papel de la regulación
La regulación prudencial del sistema
financiero tiene por objetivo minimizar o
prevenir pérdidas para las entidades
financieras y garantizar la estabilidad del
sistema financiero que juega un papel
importante dentro del desarrollo económico
y social de las naciones.
Las normas prudenciales estimulan en los
directores y administradores conductas
responsables frente a la gestión de los
riesgos que asumen en la realización de su
objeto social.
El papel de la regulación frente al riesgo
operacional no ha sido claro, básicamente se
han visto tres grandes tendencias.
Primera
tendencia:
normatividades
puramente conceptuales. En estos países los
reguladores han emitido normas para la
gestión del riesgo operacional que consisten
básicamente
en
enunciar
diferentes
conceptos asociados al riesgo operacional
(riesgo inherente, riesgo residual, severidad,
frecuencia, apetito y tolerancia, eventos de
riesgo, factores, entre otros), los elementos
que hacen parte de un sistema de gestión
(documentos,
políticas,
roles
y
responsabilidades), y a mencionar las etapas
básicas de un sistema de gestión de riesgos
(identificación, medición, control, mitigación
y monitoreo –información en algunos casos); estos nombres pueden variar de un país a
otro pero en esencia son lo mismo.
En este primer grupo se tiene entonces un
conjunto de instituciones que saben que
deben identificar, medir, monitorear y
controlar o mitigar sus riesgos pero no tienen
claridad de cómo hacerlo pues los
reguladores no proporcionan información
detallada al respecto
Si bien se puede entender que los
supervisores quieran proporcionar un poco
de libertad a los vigilados para desarrollar
sus propios modelos, una orientación puede
resultar valiosa.
Segunda
tendencia:
normatividades
enfocadas al requerimiento de capital por
riesgo operacional. Algunos otros países han
dado un paso más allá y han generado
versiones actualizadas de las normas para
administrar el riesgo operacional donde su
enfoque es altamente concentrado en definir
los criterios para la implementación del
cálculo de capital por riesgo operacional, la
construcción de la base de datos interna de
eventos de pérdidas y las adecuaciones a los
niveles de solvencia, sin embargo dejan de
lado el sistema de gestión del riesgo; me
refiero a la identificación, medición, control
o mitigación y monitoreo de los riesgos
operativos a los cuales se encuentra
expuesta la organización, sin generar una
dinámica que permita entender la naturaleza
del riesgo operacional e integrar su gestión
de modo que aporte a mejorar la eficiencia,
seguridad en las operaciones y en la
generación de valor.
Tercera tendencia: La producción de
normatividad conexa. La amplitud del
concepto de riesgo operacional hace que
muchas preocupaciones emergentes que van
surgiendo en el mercado y en los reguladores
puedan ser asociados a la gestión del riesgo
operacional, tal puede ser el caso de temas
como el riesgo reputacional, riesgo legal,
riesgo tecnológico, riesgo de cumplimiento,
sistemas de control, seguridad de la
información, prácticas conductuales, ciber
risk y todo cuanto “riesgo” (preocupación)
esté de moda y pueda ser asociada a una de
las 7 clasificaciones de eventos de riesgo
operacional podrá encontrar un desarrollo
normativo o prudencial con implicaciones
operativas a la unidad de riesgo operacional.
Normatividades
Conceptuales
Normatividades enfocadas
en el capital
Producción normativa
Conexa
La Gestión por Silos
Las tres tendencias no son excluyentes y se
pueden tener casos de entidades y directores
de Riesgo Operacional (RO) que tengan que
convivir con los tres escenarios, Si una sola
de las tendencias es por si misma
preocupante la combinación de una segunda
o tercera lleva el ovillo a otro nivel.
Imagine una unidad de riesgo operacional
que está tratando de encontrar la mejor
forma, metodología o procedimiento para
administrar el riesgo operacional en su
entidad y de manera adicional el regulador le
está generando nuevas cargas operativas (y
económicas) a través de la adición de
responsabilidades
conexas
al
riesgo
operacional pero que no se logran integrar
adecuadamente en un sistema de gestión
que se encuentra en descubrimiento o
maduración en los casos más optimistas.
La producción de nueva especialidades en
“riesgos” – o preocupaciones conexas - no
parece detenerse, cada vez saldrá uno nuevo
que tratará de hacer zoom en un dolor
puntual del sistema financiero cuando aún
no se ha encontrado la forma integral de
abordar el riesgo operacional desde la
generalidad.
Las teorías y prácticas administrativas y la
gestión por procesos vigentes le imponen un
gran reto a la gestión del riesgo operacional.
Las organizaciones han establecidos procesos
independientes para las etapas o las
herramientas de gestión del riesgo
operacional.
Las diferentes etapas del ciclo de
administración de riesgo operacional o las
herramientas para su gestión han sido
definidas como procesos independientes. Es
común encontrar una organización que tiene
un proceso para la identificación, otro para la
medición, uno completamente aparte para el
control y prevención del riesgo y quizás otro
adicional para el monitoreo. O posiblemente
la organización tiene un proceso para
autoevaluar riesgos, otro para reportar y
contabilizar los eventos de pérdida por riesgo
operativo y uno para la administración de los
KRI (Key Risk Indicators). Esta división es
natural dentro de un esquema de operación
basado
en
procesos,
donde
las
organizaciones documentan e implementan
procesos con un alcance de principio a fin
claramente definido y acordes con un
objetivo determinado.
Gestión por silos: se definen un conjunto de procesos para gestionar el riesgo operacional pero no existe sinergias y
retroalimentaciones positivas entre ellos.
Sin embargo este enfoque ha generado que
las unidades de riesgo operacional cuenten
con un conjunto de procesos que no logran
articular para que se retroalimenten
positivamente uno al otro de modo que
generen sinergias positivas en la gestión del
riesgo a través de la información y las
particularidades que se pueden obtener
dentro de cada uno de los procesos (etapas o
herramientas)
Hoy
las
organizaciones
tienen
implementados indicadores de riesgos (KRI),
«Cuanto mayor sea
el nivel de
integración de los
procesos de
administración de
riesgos, mayor será
el valor generado
de la información y
la gestión»
sistemas para recolectar y administrar la
base de datos de eventos internos,
autoevaluaciones de riesgos y control entre
otras herramientas o procesos, pero la
pregunta es ¿hasta qué punto la información
de los KRI, pérdidas y evaluaciones se integra
y
retroalimenta
positivamente
para
incrementar la eficacia de la gestión del
riesgo operacional?
Dispersión de las
Responsabilidades
La gestión del riesgo operacional no puede
ser asumida por una sola área o
departamento, al menos no de manera
integral y completa.
Este riesgo por naturaleza está disperso en
toda la organización y requiere el esfuerzo
de muchas personas para su administración.
Lo primero que se debe tener claro es que el
riesgo tiene diferentes niveles de gestión y
responsabilidad, lo cual es desarrollado
ampliamente por el modelo de las 3 Líneas
de Defensa. Dentro del cual existen
responsabilidades para la primera línea se
encuentran las unidades operativas y de
negocio quienes tienen la misión de
mantener una asegurabilidad razonable
sobre las operaciones que están bajo su
responsabilidad, también deben de velar que
los controles se encuentren en niveles
eficaces y de implementar los planes de
acción en caso de ser requerido. La segunda
línea de defensa se encuentra conformada
por los diferentes equipos especializados en
la gestión del riesgo y el control con los que
cuenta la organización, su rol, a diferencia de
la primera línea, es transversal a toda la
operación y a todos los procesos su principal
responsabilidad es velar que las prácticas y
métodos definidos para la gestión del riesgo
sean seguidas e implementadas de manera
efectiva por la gestión operativa. Finalmente
tenemos la tercera línea de defensa,
representada por la auditoría interna, cuya
principal responsabilidad en garantizar la
eficacia de los controles y la gestión del
riesgo. Puede encontrar más información
sobre el modelo de las 3 Líneas de defensa
en el artículo “Las 3 Líneas de Defensa: Un
Fino Engranaje”.
Mirando la situación desde otro punto de
vista, dentro del alcance de Riesgo
Operacional se encuentran los riesgos
clasificados en las siguientes categorías:
 Fraude Interno
 Fraude Externo
 Clientes,
Productos
y
Prácticas
Empresariales
 Relaciones Laborales y Seguridad en el
trabajo
 Fallas Tecnológicas
 Fallas en la ejecución, entrega y gestión
de procesos
 Daño en activos materiales
Sin embargo algunas de estas categorías de
riesgo, o parte de ellas, cuentan con una
unidad o departamento que la gestiona de
manera dedicada y particular. Tales pueden
ser el caso de los departamentos de
Seguridad para el riesgo de fraude externo,
Unidades de gestión de riesgo conductual,
control financiero y seguridad misma en la
administración del fraude interno; unidades
de salud ocupacional o seguridad en el
trabajo para la categoría de relaciones
laborales; una unidad de control de lavado
de activos en la categoría de Clientes y
Productos; áreas de calidad y mejoramiento
de procesos en la categoría de Fallas en la
ejecución de procesos; Unidades de
continuidad del negocio y aseguramiento de
IT para la categoría de Fallas tecnológica, e
incluso áreas como Cumplimiento normativo
que puede tener un alcance transversal a
todas las categorías.
Son muchas unidades, con visiones y
modelos de actuación diferentes con
responsabilidades sobre los riesgos que por
definición son competencia de riesgo
operacional, y esta situación pone de relieve
un reto adicional para las organizaciones,
mientras más grande sea la compañía es más
probable que existan mayor número de
áreas como las mencionadas anteriormente,
por el contrario en empresas pequeñas
puede que estas responsabilidades se
encuentren concentradas en un mismo
departamento. Sin embargo en la medida
que vayan surgiendo estos roles o
departamentos incluso es importante
generar las sinergia necesarias para evitar la
duplicidad de funciones y más peligroso aún
los vacíos en la gestión.
Los diferentes departamentos deben
encontrar la forma de explotar y generar
sinergias a través de sus fortalezas y
especialidades.
La dispersión de las funciones de riesgo es
una realidad innegable en las organizaciones,
la solución no es negarlo, ni llevar a cabo la
gestión de espaldas a esta situación lo cual
puede resultar costoso para la organización y
costoso para la gestión del riesgo y el
aseguramiento de los objetivos operativos de
la entidad. La capacidad de negociación es
una competencia imperante entre los
responsables de las diferentes unidades de
riesgo y control.
El Dilema del Modelo
Existe un dilema presente en el modelo
adecuado para la gestión del Riesgo
Operacional y es encontrar la medida justa y
equilibrada entre “Precisión y Complejidad”,
la organización demanda mayor precisión en
la información generada por la Unidad de
Riesgo Operacional y por ende contar con
información de mayor calidad para la toma
de decisiones basadas en riesgos. Sin
embargo esto exige tener procesos de
identificación, medición, control, monitoreo
e información más complejos. Así como un
equipo con unas competencias cuantitativas,
de análisis y pensamiento crítico mucho más
exigentes.
La medición de los riesgos a través de
métodos cualitativos es útil en una primera
etapa de implementación de un sistema de
gestión del riesgo operacional, permitirá
cubrir de manera más rápida la organización
y conocer los riesgos a los cuales se
encuentra expuesta la compañía, también
permitirá conocer el conjunto de riesgos
altos, críticos o catastróficos, según la escala
que se haya definido. Sin embargo este
modelo limita la toma decisiones basadas en
riesgos, en este punto se hace necesario dar
el paso hacia métodos cuantitativos de
medición del riesgo operacional; y es en este
mismo punto donde surge el dilema entre la
precisión y la complejidad.
En un punto inicial, donde se va a empezar a
construir una propuesta de medición, lo que
se tiene presente es “La subjetividad”,
imprimirle mayor precisión a la medición del
riesgo implica reducir la subjetividad
presente en la valoración, digo reducir,
porque a este punto considero que es
imposible eliminarla. Y para reducir la
subjetividad se incorporan estimaciones
basadas en información de la operación del
negocio, métodos estadísticos, análisis de
escenarios,
cuantificación
de
la
incertidumbre, elementos de costeos,
principios financieros entre otros; sin
embargo en la medida que vamos añadiendo
estos elementos podemos ir disminuyendo la
subjetividad e incrementando la precisión en
la cifra donde se ubica la exposición al riesgo,
a costas también de tener un proceso cada
vez más complejo.
Definitivamente las entidades deben llegar a
un modelo cuantitativo con un nivel de
precisión tal que les permita tomar
decisiones
de
control,
capital
y
aseguramiento acertados y rentables desde
el punto de vista del costo del riesgo, la
pregunta es ¿Cuánta complejidad puede
soportar los procesos de riesgos para llegar a
eso? O mejor aún ¿Cómo se pueden
incorporar elementos que
agreguen
precisión impactando en la menor medida
posible la capacidad y la operación de la
unidad de riesgo?
Cultura Impermeable
Llegamos al último elemento que me
gustaría tratar sobre el estado actual de la
gestión del riesgo operacional en las
compañías: La Cultura.
A modo de juicio personal, parece que la
cultura
de
las
organizaciones
es
impermeable a los temas de Riesgo
Operacional, en diferentes niveles y con
diferentes implicaciones.
Por un lado tenemos la falta de compromiso
en el rol que cada miembro de la
organización debe de desempeñar dentro del
sistema de gestión del riesgo operacional.
Algunas personas pueden pensar que el
Riesgo Operacional es responsabilidad
únicamente del equipo de la unidad de
Riesgo Operacional, desconociendo la
naturaleza de este riesgo y desconociendo el
modelo mismo de las tres líneas de defensa,
incluso más allá de estos argumentos que
parecen muy internos de un área de riesgo y
control, cuando una persona de la
organización no se involucra con su rol
dentro de la gestión del riesgo operacional
desconoce que su responsabilidad no es solo
ejecutar un proceso de negocio, sino
garantizar que se cumplan los objetivos
operacionales definidos para ese proceso y
que para ello debe de asegurar la eficacia de
sus controles, así como conocer y mitigar los
riesgos que amenazan dicha responsabilidad.
De otro lado tenemos la falta de credibilidad
en la gestión del riesgo operacional. En
algunos casos los empleados no se
involucran porque no creen en la gestión del
riesgo operacional, algunos de ellos lo ven
simplemente como una carga normativa y no
logran conectar la gestión del riesgo
operacional con la generación de valor para
la compañía. Esta falta de credibilidad se
puede presentar incluso en el nivel directivo
de la compañía y se puede presentar en un
espiral peligroso para la gestión del riesgo,
donde la unidad de riesgos no tiene
resultados de valor por la falta de
compromiso de la organización y la
organización no está comprometida por la
carencia de resultados que generen valor.
La Unidad de Riesgo Operacional debe de
enfocar sus procedimientos y metodologías
de forma tal que permita generar valor en la
gestión operativa del negocio y en la toma de
decisiones, y esto se debe de ver reflejado en
los informes internos y externos que genera.
Hasta este punto pareciera que la gestión del
riesgo operacional gira en círculos y el paso
de los años no se traduce efectivamente en
un proceso de madurez que se alinee con los
objetivos de la organización y se pueda
traducir en generación de valor real para la
compañía a través de una gestión
responsable y consciente del riesgo
operativo.
El reto de los equipos de gestión de riesgo
operacional es entender estos elementos
que hoy generan amenazas y debilidades,
revisar los recursos internos que se tienen y
transformarse para enfrentarlos y producir el
cambio definitivo que requiere, salir de la
exploración a la generación de valor a guiar
la actuación de las unidades de negocio con
una visión clara del riesgo y en condiciones
que
propicien
la
sostenibilidad
y
perdurabilidad de la compañía.
Si está interesado en ampliar esta
información, conocer más acerca de
este tema o desea evaluar y mejorar su
sistema de gestión del riesgo y control.
Póngase en contacto con nosotros
[email protected]
O visite nuestro sitio:
http://www.casinorisk.net/