Riesgo Operacional: Estado del Arte La Administración del riesgo operacional se ha popularizado en los últimos años y, este tipo de riesgo ha cobrado una importancia más notoria. Lo que inicialmente se estableció como un riesgo que debía ser administrado y gestionado por las entidades financieras empezó a ser llevado a otras industrias y servicios. Pequeñas y grandes empresas de diferentes sectores económicos hacen esfuerzos por implementar un sistema de administración de riesgos- basado en el sistema de administración de riesgo operacional – y esto es una labor digna de resaltar; que los empresarios y administradores sean conscientes que sus negocios se encuentran expuestos de alguna manera a diferentes riesgos inherentes a la actividades económica que desarrollan y traten de controlarlos y gestionarlos. La administración de riesgo es una función corporativa que protege la operación del negocio y los intereses de los accionistas y los diferentes grupos de interés de la organización. Lamentablemente el cumplimiento de este objetivo no se logra alcanzar de una manera más o menos homogénea entre las empresas, ni entre aquellas que destinan un gran presupuesto a las funciones de riesgos y control ni en las que cuentan con estructuras más básicas. Las unidades de administración de riesgos han hecho esfuerzos sostenidos durante los últimos años para avanzar en el nivel de madurez de su gestión pero el panorama muestra que aún hay un camino largo por recorrer. En la presente nota abordaremos el panorama actual de la administración del riesgo operacional en Latinoamérica. Una década de Exploración Hace ya más de una década desde que fue introducido el sistema de administración de riesgo operacional como un elemento de gestión relevante que puede afectar el desempeño de una entidad financiera e incluso la estabilidad del sistema en casos extremos. Desde la introducción del concepto en los acuerdos del Comité de supervisión Bancaria de Basilea en el año 2001, los reguladores de los diferentes países o comunidades (para el caso de la UE) han creado normatividades internas para acoger las recomendaciones del comité. Y las entidades financieras comenzaron una etapa de exploración (creación tal vez) para implementar las nuevas exigencias legales en relación con la administración del riesgo operacional. Sin embargo este tiempo parece no haber sido suficiente para madurar los estándares y buenas prácticas para la gestión del riesgo operacional, tanto desde el punto de vista de los reguladores como de los supervisados. Durante este tiempo las entidades han tratado de implementar una metodología adecuada para un riesgo tan disperso y disímil que los ha llevado a probar una metodología tras otra sin llegar a tener la certeza de estar por fin en la senda correcta. Si bien en esta etapa de exploración y ensayo -de metodologías- se han logrado avances significativos; cuando las entidades financieras miran hacia atrás y ven la evolución de su sistema de gestión del riesgo operacional, sin duda, no podrán negar que hoy están mejor que hace algunos años y aún más mejor que en los primeros años de implementación; no se puede decir que el panorama hoy en día luzca claro en cuanto a este riesgo se refiere. Durante los primeros años las entidades financieras hicieron inversiones y gastos año tras año en la implementación y mantenimiento de la Unidad (área) de Riesgo Operacional, que eran vistas como costos regulatorios, es decir una carga económica impuesta y derivada de la generación de las normas de administración de riesgo operacional, lo preocupante es que hoy en día algunos directores no logran desprenderse de esta imagen -o situación- y sus unidades de riesgo continúan siendo (o siendo vistas como) un costo regulatorio, con un enfoque exclusivamente orientado al cumplimiento de las disposiciones prudenciales contenidas en las normas pero que no logran conectar con los sistemas de generación de valor de las entidades y permear en el ADN y estructura misma de la compañía. Por eso la mejor palabra para definir este contexto es ‘exploración’, guardando las proporciones, parece que reguladores y vigilados están a la búsqueda del mitológico ‘santo grial’ de la edad media que para este caso no es más que encontrar la hoja de ruta que permita efectivamente gestionar el riesgo operacional generando valor para las compañías e integrándose adecuadamente en la cultura y estructura de la compañía. El riesgo Operacional hoy en día ocupa un lugar destacado dentro de la gestión de riesgos, sin embargo las unidades de riesgos y los reguladores no han logrado responder adecuadamente a los retos que les impone el entorno, el mercado y la naturaleza de este riesgo per se. Se pueden encontrar compañías donde la gestión del riesgo operacional esta relegada únicamente al cumplimiento de las exigencias normativas o con modelos de gestión que no logran satisfacer las expectativas de la dirección general, ni conectar realmente con los diferentes niveles jerárquicos que tienen bajo su responsabilidad la toma de decisiones y la administración de los productos, servicios, canales y procesos, elementos sobre los cuales se encuentra inmerso (o disperso el riesgo operacional). La situación no es tan sencilla y para entender bien es necesario abordar hilo por hilo cada uno de los elementos que enredan la madeja. El papel de la regulación La regulación prudencial del sistema financiero tiene por objetivo minimizar o prevenir pérdidas para las entidades financieras y garantizar la estabilidad del sistema financiero que juega un papel importante dentro del desarrollo económico y social de las naciones. Las normas prudenciales estimulan en los directores y administradores conductas responsables frente a la gestión de los riesgos que asumen en la realización de su objeto social. El papel de la regulación frente al riesgo operacional no ha sido claro, básicamente se han visto tres grandes tendencias. Primera tendencia: normatividades puramente conceptuales. En estos países los reguladores han emitido normas para la gestión del riesgo operacional que consisten básicamente en enunciar diferentes conceptos asociados al riesgo operacional (riesgo inherente, riesgo residual, severidad, frecuencia, apetito y tolerancia, eventos de riesgo, factores, entre otros), los elementos que hacen parte de un sistema de gestión (documentos, políticas, roles y responsabilidades), y a mencionar las etapas básicas de un sistema de gestión de riesgos (identificación, medición, control, mitigación y monitoreo –información en algunos casos); estos nombres pueden variar de un país a otro pero en esencia son lo mismo. En este primer grupo se tiene entonces un conjunto de instituciones que saben que deben identificar, medir, monitorear y controlar o mitigar sus riesgos pero no tienen claridad de cómo hacerlo pues los reguladores no proporcionan información detallada al respecto Si bien se puede entender que los supervisores quieran proporcionar un poco de libertad a los vigilados para desarrollar sus propios modelos, una orientación puede resultar valiosa. Segunda tendencia: normatividades enfocadas al requerimiento de capital por riesgo operacional. Algunos otros países han dado un paso más allá y han generado versiones actualizadas de las normas para administrar el riesgo operacional donde su enfoque es altamente concentrado en definir los criterios para la implementación del cálculo de capital por riesgo operacional, la construcción de la base de datos interna de eventos de pérdidas y las adecuaciones a los niveles de solvencia, sin embargo dejan de lado el sistema de gestión del riesgo; me refiero a la identificación, medición, control o mitigación y monitoreo de los riesgos operativos a los cuales se encuentra expuesta la organización, sin generar una dinámica que permita entender la naturaleza del riesgo operacional e integrar su gestión de modo que aporte a mejorar la eficiencia, seguridad en las operaciones y en la generación de valor. Tercera tendencia: La producción de normatividad conexa. La amplitud del concepto de riesgo operacional hace que muchas preocupaciones emergentes que van surgiendo en el mercado y en los reguladores puedan ser asociados a la gestión del riesgo operacional, tal puede ser el caso de temas como el riesgo reputacional, riesgo legal, riesgo tecnológico, riesgo de cumplimiento, sistemas de control, seguridad de la información, prácticas conductuales, ciber risk y todo cuanto “riesgo” (preocupación) esté de moda y pueda ser asociada a una de las 7 clasificaciones de eventos de riesgo operacional podrá encontrar un desarrollo normativo o prudencial con implicaciones operativas a la unidad de riesgo operacional. Normatividades Conceptuales Normatividades enfocadas en el capital Producción normativa Conexa La Gestión por Silos Las tres tendencias no son excluyentes y se pueden tener casos de entidades y directores de Riesgo Operacional (RO) que tengan que convivir con los tres escenarios, Si una sola de las tendencias es por si misma preocupante la combinación de una segunda o tercera lleva el ovillo a otro nivel. Imagine una unidad de riesgo operacional que está tratando de encontrar la mejor forma, metodología o procedimiento para administrar el riesgo operacional en su entidad y de manera adicional el regulador le está generando nuevas cargas operativas (y económicas) a través de la adición de responsabilidades conexas al riesgo operacional pero que no se logran integrar adecuadamente en un sistema de gestión que se encuentra en descubrimiento o maduración en los casos más optimistas. La producción de nueva especialidades en “riesgos” – o preocupaciones conexas - no parece detenerse, cada vez saldrá uno nuevo que tratará de hacer zoom en un dolor puntual del sistema financiero cuando aún no se ha encontrado la forma integral de abordar el riesgo operacional desde la generalidad. Las teorías y prácticas administrativas y la gestión por procesos vigentes le imponen un gran reto a la gestión del riesgo operacional. Las organizaciones han establecidos procesos independientes para las etapas o las herramientas de gestión del riesgo operacional. Las diferentes etapas del ciclo de administración de riesgo operacional o las herramientas para su gestión han sido definidas como procesos independientes. Es común encontrar una organización que tiene un proceso para la identificación, otro para la medición, uno completamente aparte para el control y prevención del riesgo y quizás otro adicional para el monitoreo. O posiblemente la organización tiene un proceso para autoevaluar riesgos, otro para reportar y contabilizar los eventos de pérdida por riesgo operativo y uno para la administración de los KRI (Key Risk Indicators). Esta división es natural dentro de un esquema de operación basado en procesos, donde las organizaciones documentan e implementan procesos con un alcance de principio a fin claramente definido y acordes con un objetivo determinado. Gestión por silos: se definen un conjunto de procesos para gestionar el riesgo operacional pero no existe sinergias y retroalimentaciones positivas entre ellos. Sin embargo este enfoque ha generado que las unidades de riesgo operacional cuenten con un conjunto de procesos que no logran articular para que se retroalimenten positivamente uno al otro de modo que generen sinergias positivas en la gestión del riesgo a través de la información y las particularidades que se pueden obtener dentro de cada uno de los procesos (etapas o herramientas) Hoy las organizaciones tienen implementados indicadores de riesgos (KRI), «Cuanto mayor sea el nivel de integración de los procesos de administración de riesgos, mayor será el valor generado de la información y la gestión» sistemas para recolectar y administrar la base de datos de eventos internos, autoevaluaciones de riesgos y control entre otras herramientas o procesos, pero la pregunta es ¿hasta qué punto la información de los KRI, pérdidas y evaluaciones se integra y retroalimenta positivamente para incrementar la eficacia de la gestión del riesgo operacional? Dispersión de las Responsabilidades La gestión del riesgo operacional no puede ser asumida por una sola área o departamento, al menos no de manera integral y completa. Este riesgo por naturaleza está disperso en toda la organización y requiere el esfuerzo de muchas personas para su administración. Lo primero que se debe tener claro es que el riesgo tiene diferentes niveles de gestión y responsabilidad, lo cual es desarrollado ampliamente por el modelo de las 3 Líneas de Defensa. Dentro del cual existen responsabilidades para la primera línea se encuentran las unidades operativas y de negocio quienes tienen la misión de mantener una asegurabilidad razonable sobre las operaciones que están bajo su responsabilidad, también deben de velar que los controles se encuentren en niveles eficaces y de implementar los planes de acción en caso de ser requerido. La segunda línea de defensa se encuentra conformada por los diferentes equipos especializados en la gestión del riesgo y el control con los que cuenta la organización, su rol, a diferencia de la primera línea, es transversal a toda la operación y a todos los procesos su principal responsabilidad es velar que las prácticas y métodos definidos para la gestión del riesgo sean seguidas e implementadas de manera efectiva por la gestión operativa. Finalmente tenemos la tercera línea de defensa, representada por la auditoría interna, cuya principal responsabilidad en garantizar la eficacia de los controles y la gestión del riesgo. Puede encontrar más información sobre el modelo de las 3 Líneas de defensa en el artículo “Las 3 Líneas de Defensa: Un Fino Engranaje”. Mirando la situación desde otro punto de vista, dentro del alcance de Riesgo Operacional se encuentran los riesgos clasificados en las siguientes categorías: Fraude Interno Fraude Externo Clientes, Productos y Prácticas Empresariales Relaciones Laborales y Seguridad en el trabajo Fallas Tecnológicas Fallas en la ejecución, entrega y gestión de procesos Daño en activos materiales Sin embargo algunas de estas categorías de riesgo, o parte de ellas, cuentan con una unidad o departamento que la gestiona de manera dedicada y particular. Tales pueden ser el caso de los departamentos de Seguridad para el riesgo de fraude externo, Unidades de gestión de riesgo conductual, control financiero y seguridad misma en la administración del fraude interno; unidades de salud ocupacional o seguridad en el trabajo para la categoría de relaciones laborales; una unidad de control de lavado de activos en la categoría de Clientes y Productos; áreas de calidad y mejoramiento de procesos en la categoría de Fallas en la ejecución de procesos; Unidades de continuidad del negocio y aseguramiento de IT para la categoría de Fallas tecnológica, e incluso áreas como Cumplimiento normativo que puede tener un alcance transversal a todas las categorías. Son muchas unidades, con visiones y modelos de actuación diferentes con responsabilidades sobre los riesgos que por definición son competencia de riesgo operacional, y esta situación pone de relieve un reto adicional para las organizaciones, mientras más grande sea la compañía es más probable que existan mayor número de áreas como las mencionadas anteriormente, por el contrario en empresas pequeñas puede que estas responsabilidades se encuentren concentradas en un mismo departamento. Sin embargo en la medida que vayan surgiendo estos roles o departamentos incluso es importante generar las sinergia necesarias para evitar la duplicidad de funciones y más peligroso aún los vacíos en la gestión. Los diferentes departamentos deben encontrar la forma de explotar y generar sinergias a través de sus fortalezas y especialidades. La dispersión de las funciones de riesgo es una realidad innegable en las organizaciones, la solución no es negarlo, ni llevar a cabo la gestión de espaldas a esta situación lo cual puede resultar costoso para la organización y costoso para la gestión del riesgo y el aseguramiento de los objetivos operativos de la entidad. La capacidad de negociación es una competencia imperante entre los responsables de las diferentes unidades de riesgo y control. El Dilema del Modelo Existe un dilema presente en el modelo adecuado para la gestión del Riesgo Operacional y es encontrar la medida justa y equilibrada entre “Precisión y Complejidad”, la organización demanda mayor precisión en la información generada por la Unidad de Riesgo Operacional y por ende contar con información de mayor calidad para la toma de decisiones basadas en riesgos. Sin embargo esto exige tener procesos de identificación, medición, control, monitoreo e información más complejos. Así como un equipo con unas competencias cuantitativas, de análisis y pensamiento crítico mucho más exigentes. La medición de los riesgos a través de métodos cualitativos es útil en una primera etapa de implementación de un sistema de gestión del riesgo operacional, permitirá cubrir de manera más rápida la organización y conocer los riesgos a los cuales se encuentra expuesta la compañía, también permitirá conocer el conjunto de riesgos altos, críticos o catastróficos, según la escala que se haya definido. Sin embargo este modelo limita la toma decisiones basadas en riesgos, en este punto se hace necesario dar el paso hacia métodos cuantitativos de medición del riesgo operacional; y es en este mismo punto donde surge el dilema entre la precisión y la complejidad. En un punto inicial, donde se va a empezar a construir una propuesta de medición, lo que se tiene presente es “La subjetividad”, imprimirle mayor precisión a la medición del riesgo implica reducir la subjetividad presente en la valoración, digo reducir, porque a este punto considero que es imposible eliminarla. Y para reducir la subjetividad se incorporan estimaciones basadas en información de la operación del negocio, métodos estadísticos, análisis de escenarios, cuantificación de la incertidumbre, elementos de costeos, principios financieros entre otros; sin embargo en la medida que vamos añadiendo estos elementos podemos ir disminuyendo la subjetividad e incrementando la precisión en la cifra donde se ubica la exposición al riesgo, a costas también de tener un proceso cada vez más complejo. Definitivamente las entidades deben llegar a un modelo cuantitativo con un nivel de precisión tal que les permita tomar decisiones de control, capital y aseguramiento acertados y rentables desde el punto de vista del costo del riesgo, la pregunta es ¿Cuánta complejidad puede soportar los procesos de riesgos para llegar a eso? O mejor aún ¿Cómo se pueden incorporar elementos que agreguen precisión impactando en la menor medida posible la capacidad y la operación de la unidad de riesgo? Cultura Impermeable Llegamos al último elemento que me gustaría tratar sobre el estado actual de la gestión del riesgo operacional en las compañías: La Cultura. A modo de juicio personal, parece que la cultura de las organizaciones es impermeable a los temas de Riesgo Operacional, en diferentes niveles y con diferentes implicaciones. Por un lado tenemos la falta de compromiso en el rol que cada miembro de la organización debe de desempeñar dentro del sistema de gestión del riesgo operacional. Algunas personas pueden pensar que el Riesgo Operacional es responsabilidad únicamente del equipo de la unidad de Riesgo Operacional, desconociendo la naturaleza de este riesgo y desconociendo el modelo mismo de las tres líneas de defensa, incluso más allá de estos argumentos que parecen muy internos de un área de riesgo y control, cuando una persona de la organización no se involucra con su rol dentro de la gestión del riesgo operacional desconoce que su responsabilidad no es solo ejecutar un proceso de negocio, sino garantizar que se cumplan los objetivos operacionales definidos para ese proceso y que para ello debe de asegurar la eficacia de sus controles, así como conocer y mitigar los riesgos que amenazan dicha responsabilidad. De otro lado tenemos la falta de credibilidad en la gestión del riesgo operacional. En algunos casos los empleados no se involucran porque no creen en la gestión del riesgo operacional, algunos de ellos lo ven simplemente como una carga normativa y no logran conectar la gestión del riesgo operacional con la generación de valor para la compañía. Esta falta de credibilidad se puede presentar incluso en el nivel directivo de la compañía y se puede presentar en un espiral peligroso para la gestión del riesgo, donde la unidad de riesgos no tiene resultados de valor por la falta de compromiso de la organización y la organización no está comprometida por la carencia de resultados que generen valor. La Unidad de Riesgo Operacional debe de enfocar sus procedimientos y metodologías de forma tal que permita generar valor en la gestión operativa del negocio y en la toma de decisiones, y esto se debe de ver reflejado en los informes internos y externos que genera. Hasta este punto pareciera que la gestión del riesgo operacional gira en círculos y el paso de los años no se traduce efectivamente en un proceso de madurez que se alinee con los objetivos de la organización y se pueda traducir en generación de valor real para la compañía a través de una gestión responsable y consciente del riesgo operativo. El reto de los equipos de gestión de riesgo operacional es entender estos elementos que hoy generan amenazas y debilidades, revisar los recursos internos que se tienen y transformarse para enfrentarlos y producir el cambio definitivo que requiere, salir de la exploración a la generación de valor a guiar la actuación de las unidades de negocio con una visión clara del riesgo y en condiciones que propicien la sostenibilidad y perdurabilidad de la compañía. Si está interesado en ampliar esta información, conocer más acerca de este tema o desea evaluar y mejorar su sistema de gestión del riesgo y control. Póngase en contacto con nosotros [email protected] O visite nuestro sitio: http://www.casinorisk.net/
© Copyright 2024