Riesgo Operacional

casinorisk2015

Riesgo%20Operacional%20-%20Estado%20del%20Arte

Riesgo Operacional:

Estado del Arte


La Administración del riesgo operacional se

ha popularizado en los últimos años y, este

tipo de riesgo ha cobrado una importancia

más notoria. Lo que inicialmente se

estableció como un riesgo que debía ser

administrado y gestionado por las entidades

financieras empezó a ser llevado a otras

industrias y servicios. Pequeñas y grandes

empresas de diferentes sectores económicos

hacen esfuerzos por implementar un sistema

de administración de riesgos- basado en el

sistema de administración de riesgo

operacional – y esto es una labor digna de

resaltar; que los empresarios y

administradores sean conscientes que sus

negocios se encuentran expuestos de alguna

manera a diferentes riesgos inherentes a la

actividades económica que desarrollan y

traten de controlarlos y gestionarlos.

La administración de riesgo es una función

corporativa que protege la operación del

negocio y los intereses de los accionistas y

los diferentes grupos de interés de la

organización.

Lamentablemente el cumplimiento de este

objetivo no se logra alcanzar de una manera

más o menos homogénea entre las

empresas, ni entre aquellas que destinan un

gran presupuesto a las funciones de riesgos y

control ni en las que cuentan con estructuras

más básicas.

Las unidades de administración de riesgos

han hecho esfuerzos sostenidos durante los

últimos años para avanzar en el nivel de

madurez de su gestión pero el panorama

muestra que aún hay un camino largo por

recorrer. En la presente nota abordaremos el

panorama actual de la administración del

riesgo operacional en Latinoamérica.

Una década de Exploración

Hace ya más de una década desde que fue

introducido el sistema de administración de

riesgo operacional como un elemento de

gestión relevante que puede afectar el

desempeño de una entidad financiera e

incluso la estabilidad del sistema en casos

extremos.

Desde la introducción del concepto en los

acuerdos del Comité de supervisión Bancaria

de Basilea en el año 2001, los reguladores de

los diferentes países o comunidades (para el

caso de la UE) han creado normatividades

internas para acoger las recomendaciones

del comité. Y las entidades financieras

comenzaron una etapa de exploración

(creación tal vez) para implementar las

nuevas exigencias legales en relación con la

administración del riesgo operacional.

Sin embargo este tiempo parece no haber

sido suficiente para madurar los estándares y

buenas prácticas para la gestión del riesgo

operacional, tanto desde el punto de vista de

los reguladores como de los supervisados.

Durante este tiempo las entidades han

tratado de implementar una metodología

adecuada para un riesgo tan disperso y

disímil que los ha llevado a probar una

metodología tras otra sin llegar a tener la

certeza de estar por fin en la senda correcta.

Si bien en esta etapa de exploración y ensayo

-de metodologías- se han logrado avances

significativos; cuando las entidades

financieras miran hacia atrás y ven la

evolución de su sistema de gestión del riesgo

operacional, sin duda, no podrán negar que

hoy están mejor que hace algunos años y


aún más mejor que en los primeros años de

implementación; no se puede decir que el

panorama hoy en día luzca claro en cuanto a

este riesgo se refiere.

Durante los primeros años las entidades

financieras hicieron inversiones y gastos año

tras año en la implementación y

mantenimiento de la Unidad (área) de Riesgo

Operacional, que eran vistas como costos

regulatorios, es decir una carga económica

impuesta y derivada de la generación de las

normas de administración de riesgo

operacional, lo preocupante es que hoy en

día algunos directores no logran

desprenderse de esta imagen -o situación- y

sus unidades de riesgo continúan siendo (o

siendo vistas como) un costo regulatorio, con

un enfoque exclusivamente orientado al

cumplimiento de las disposiciones

prudenciales contenidas en las normas pero

que no logran conectar con los sistemas de

generación de valor de las entidades y

permear en el ADN y estructura misma de la

compañía.

Por eso la mejor palabra para definir este

contexto es ‘exploración’, guardando las

proporciones, parece que reguladores y

vigilados están a la búsqueda del mitológico

‘santo grial’ de la edad media que para este

caso no es más que encontrar la hoja de ruta

que permita efectivamente gestionar el

riesgo operacional generando valor para las

compañías e integrándose adecuadamente

en la cultura y estructura de la compañía.

El riesgo Operacional hoy en día ocupa un

lugar destacado dentro de la gestión de

riesgos, sin embargo las unidades de riesgos

y los reguladores no han logrado responder

adecuadamente a los retos que les impone el

entorno, el mercado y la naturaleza de este

riesgo per se.

Se pueden encontrar compañías donde la

gestión del riesgo operacional esta relegada

únicamente al cumplimiento de las

exigencias normativas o con modelos de

gestión que no logran satisfacer las

expectativas de la dirección general, ni

conectar realmente con los diferentes

niveles jerárquicos que tienen bajo su

responsabilidad la toma de decisiones y la

administración de los productos, servicios,

canales y procesos, elementos sobre los

cuales se encuentra inmerso (o disperso el

riesgo operacional).

La situación no es tan sencilla y para

entender bien es necesario abordar hilo por

hilo cada uno de los elementos que enredan

la madeja.

El papel de la regulación

La regulación prudencial del sistema

financiero tiene por objetivo minimizar o

prevenir pérdidas para las entidades

financieras y garantizar la estabilidad del

sistema financiero que juega un papel

importante dentro del desarrollo económico

y social de las naciones.

Las normas prudenciales estimulan en los

directores y administradores conductas

responsables frente a la gestión de los

riesgos que asumen en la realización de su

objeto social.


El papel de la regulación frente al riesgo

operacional no ha sido claro, básicamente se

han visto tres grandes tendencias.

Primera tendencia: normatividades

puramente conceptuales. En estos países los

reguladores han emitido normas para la

gestión del riesgo operacional que consisten

básicamente en enunciar diferentes

conceptos asociados al riesgo operacional

(riesgo inherente, riesgo residual, severidad,

frecuencia, apetito y tolerancia, eventos de

riesgo, factores, entre otros), los elementos

que hacen parte de un sistema de gestión

(documentos, políticas, roles y

responsabilidades), y a mencionar las etapas

básicas de un sistema de gestión de riesgos

(identificación, medición, control, mitigación

y monitoreo –información en algunos casos-

); estos nombres pueden variar de un país a

otro pero en esencia son lo mismo.

En este primer grupo se tiene entonces un

conjunto de instituciones que saben que

deben identificar, medir, monitorear y

controlar o mitigar sus riesgos pero no tienen

claridad de cómo hacerlo pues los

reguladores no proporcionan información

detallada al respecto

Si bien se puede entender que los

supervisores quieran proporcionar un poco

de libertad a los vigilados para desarrollar

sus propios modelos, una orientación puede

resultar valiosa.

Segunda tendencia: normatividades

enfocadas al requerimiento de capital por

riesgo operacional. Algunos otros países han

dado un paso más allá y han generado

versiones actualizadas de las normas para

administrar el riesgo operacional donde su

enfoque es altamente concentrado en definir

los criterios para la implementación del

cálculo de capital por riesgo operacional, la

construcción de la base de datos interna de

eventos de pérdidas y las adecuaciones a los

niveles de solvencia, sin embargo dejan de

lado el sistema de gestión del riesgo; me

refiero a la identificación, medición, control

o mitigación y monitoreo de los riesgos

operativos a los cuales se encuentra

expuesta la organización, sin generar una

dinámica que permita entender la naturaleza

del riesgo operacional e integrar su gestión

de modo que aporte a mejorar la eficiencia,

seguridad en las operaciones y en la

generación de valor.

Tercera tendencia: La producción de

normatividad conexa. La amplitud del

concepto de riesgo operacional hace que

muchas preocupaciones emergentes que van

surgiendo en el mercado y en los reguladores

puedan ser asociados a la gestión del riesgo

operacional, tal puede ser el caso de temas

como el riesgo reputacional, riesgo legal,

riesgo tecnológico, riesgo de cumplimiento,

sistemas de control, seguridad de la

información, prácticas conductuales, ciber

risk y todo cuanto “riesgo” (preocupación)

esté de moda y pueda ser asociada a una de

las 7 clasificaciones de eventos de riesgo

operacional podrá encontrar un desarrollo

normativo o prudencial con implicaciones

operativas a la unidad de riesgo operacional.


Normatividades

Conceptuales

Normatividades enfocadas

en el capital

Producción normativa

Conexa

Las tres tendencias no son excluyentes y se

pueden tener casos de entidades y directores

de Riesgo Operacional (RO) que tengan que

convivir con los tres escenarios, Si una sola

de las tendencias es por si misma

preocupante la combinación de una segunda

o tercera lleva el ovillo a otro nivel.

Imagine una unidad de riesgo operacional

que está tratando de encontrar la mejor

forma, metodología o procedimiento para

administrar el riesgo operacional en su

entidad y de manera adicional el regulador le

está generando nuevas cargas operativas (y

económicas) a través de la adición de

responsabilidades conexas al riesgo

operacional pero que no se logran integrar

adecuadamente en un sistema de gestión

que se encuentra en descubrimiento o

maduración en los casos más optimistas.

La producción de nueva especialidades en

“riesgos” – o preocupaciones conexas - no

parece detenerse, cada vez saldrá uno nuevo

que tratará de hacer zoom en un dolor

puntual del sistema financiero cuando aún

no se ha encontrado la forma integral de

abordar el riesgo operacional desde la

generalidad.

La Gestión por Silos

Las teorías y prácticas administrativas y la

gestión por procesos vigentes le imponen un

gran reto a la gestión del riesgo operacional.

Las organizaciones han establecidos procesos

independientes para las etapas o las

herramientas de gestión del riesgo

operacional.

Las diferentes etapas del ciclo de

administración de riesgo operacional o las

herramientas para su gestión han sido

definidas como procesos independientes. Es

común encontrar una organización que tiene

un proceso para la identificación, otro para la

medición, uno completamente aparte para el

control y prevención del riesgo y quizás otro

adicional para el monitoreo. O posiblemente

la organización tiene un proceso para

autoevaluar riesgos, otro para reportar y

contabilizar los eventos de pérdida por riesgo

operativo y uno para la administración de los

KRI (Key Risk Indicators). Esta división es

natural dentro de un esquema de operación

basado en procesos, donde las

organizaciones documentan e implementan

procesos con un alcance de principio a fin

claramente definido y acordes con un

objetivo determinado.


Gestión por silos: se definen un conjunto de procesos para gestionar el riesgo operacional pero no existe sinergias y

retroalimentaciones positivas entre ellos.

Sin embargo este enfoque ha generado que

las unidades de riesgo operacional cuenten

con un conjunto de procesos que no logran

articular para que se retroalimenten

positivamente uno al otro de modo que

generen sinergias positivas en la gestión del

riesgo a través de la información y las

particularidades que se pueden obtener

dentro de cada uno de los procesos (etapas o

herramientas)

sistemas para recolectar y administrar la

base de datos de eventos internos,

autoevaluaciones de riesgos y control entre

otras herramientas o procesos, pero la

pregunta es ¿hasta qué punto la información

de los KRI, pérdidas y evaluaciones se integra

y retroalimenta positivamente para

incrementar la eficacia de la gestión del

riesgo operacional?

Hoy las organizaciones tienen

implementados indicadores de riesgos (KRI),

«Cuanto mayor sea

el nivel de

integración de los

procesos de

administración de

riesgos, mayor será

el valor generado

de la información y

la gestión»


Dispersión de las

Responsabilidades

La gestión del riesgo operacional no puede

ser asumida por una sola área o

departamento, al menos no de manera

integral y completa.

Este riesgo por naturaleza está disperso en

toda la organización y requiere el esfuerzo

de muchas personas para su administración.

Lo primero que se debe tener claro es que el

riesgo tiene diferentes niveles de gestión y

responsabilidad, lo cual es desarrollado

ampliamente por el modelo de las 3 Líneas

de Defensa. Dentro del cual existen

responsabilidades para la primera línea se

encuentran las unidades operativas y de

negocio quienes tienen la misión de

mantener una asegurabilidad razonable

sobre las operaciones que están bajo su

responsabilidad, también deben de velar que

los controles se encuentren en niveles

eficaces y de implementar los planes de

acción en caso de ser requerido. La segunda

línea de defensa se encuentra conformada

por los diferentes equipos especializados en

la gestión del riesgo y el control con los que

cuenta la organización, su rol, a diferencia de

la primera línea, es transversal a toda la

operación y a todos los procesos su principal

responsabilidad es velar que las prácticas y

métodos definidos para la gestión del riesgo

sean seguidas e implementadas de manera

efectiva por la gestión operativa. Finalmente

tenemos la tercera línea de defensa,

representada por la auditoría interna, cuya

principal responsabilidad en garantizar la

eficacia de los controles y la gestión del

riesgo. Puede encontrar más información

sobre el modelo de las 3 Líneas de defensa

en el artículo “Las 3 Líneas de Defensa: Un

Fino Engranaje”.

Mirando la situación desde otro punto de

vista, dentro del alcance de Riesgo

Operacional se encuentran los riesgos

clasificados en las siguientes categorías:

Fraude Interno

Fraude Externo

Clientes, Productos y Prácticas

Empresariales

Relaciones Laborales y Seguridad en el

trabajo

Fallas Tecnológicas

Fallas en la ejecución, entrega y gestión

de procesos

Daño en activos materiales

Sin embargo algunas de estas categorías de

riesgo, o parte de ellas, cuentan con una

unidad o departamento que la gestiona de

manera dedicada y particular. Tales pueden

ser el caso de los departamentos de

Seguridad para el riesgo de fraude externo,

Unidades de gestión de riesgo conductual,

control financiero y seguridad misma en la

administración del fraude interno; unidades

de salud ocupacional o seguridad en el

trabajo para la categoría de relaciones

laborales; una unidad de control de lavado

de activos en la categoría de Clientes y

Productos; áreas de calidad y mejoramiento

de procesos en la categoría de Fallas en la

ejecución de procesos; Unidades de

continuidad del negocio y aseguramiento de

IT para la categoría de Fallas tecnológica, e

incluso áreas como Cumplimiento normativo

que puede tener un alcance transversal a

todas las categorías.

Son muchas unidades, con visiones y

modelos de actuación diferentes con


esponsabilidades sobre los riesgos que por

definición son competencia de riesgo

operacional, y esta situación pone de relieve

un reto adicional para las organizaciones,

mientras más grande sea la compañía es más

probable que existan mayor número de

áreas como las mencionadas anteriormente,

por el contrario en empresas pequeñas

puede que estas responsabilidades se

encuentren concentradas en un mismo

departamento. Sin embargo en la medida

que vayan surgiendo estos roles o

departamentos incluso es importante

generar las sinergia necesarias para evitar la

duplicidad de funciones y más peligroso aún

los vacíos en la gestión.

Los diferentes departamentos deben

encontrar la forma de explotar y generar

sinergias a través de sus fortalezas y

especialidades.

La dispersión de las funciones de riesgo es

una realidad innegable en las organizaciones,

la solución no es negarlo, ni llevar a cabo la

gestión de espaldas a esta situación lo cual

puede resultar costoso para la organización y

costoso para la gestión del riesgo y el

aseguramiento de los objetivos operativos de

la entidad. La capacidad de negociación es

una competencia imperante entre los

responsables de las diferentes unidades de

riesgo y control.

El Dilema del Modelo

Existe un dilema presente en el modelo

adecuado para la gestión del Riesgo

Operacional y es encontrar la medida justa y

equilibrada entre “Precisión y Complejidad”,

la organización demanda mayor precisión en

la información generada por la Unidad de

Riesgo Operacional y por ende contar con

información de mayor calidad para la toma

de decisiones basadas en riesgos. Sin

embargo esto exige tener procesos de

identificación, medición, control, monitoreo

e información más complejos. Así como un

equipo con unas competencias cuantitativas,

de análisis y pensamiento crítico mucho más

exigentes.

La medición de los riesgos a través de

métodos cualitativos es útil en una primera

etapa de implementación de un sistema de

gestión del riesgo operacional, permitirá

cubrir de manera más rápida la organización

y conocer los riesgos a los cuales se

encuentra expuesta la compañía, también

permitirá conocer el conjunto de riesgos

altos, críticos o catastróficos, según la escala

que se haya definido. Sin embargo este

modelo limita la toma decisiones basadas en

riesgos, en este punto se hace necesario dar

el paso hacia métodos cuantitativos de

medición del riesgo operacional; y es en este

mismo punto donde surge el dilema entre la

precisión y la complejidad.

En un punto inicial, donde se va a empezar a

construir una propuesta de medición, lo que

se tiene presente es “La subjetividad”,

imprimirle mayor precisión a la medición del

riesgo implica reducir la subjetividad

presente en la valoración, digo reducir,

porque a este punto considero que es

imposible eliminarla. Y para reducir la

subjetividad se incorporan estimaciones

basadas en información de la operación del

negocio, métodos estadísticos, análisis de

escenarios, cuantificación de la

incertidumbre, elementos de costeos,

principios financieros entre otros; sin


embargo en la medida que vamos añadiendo

estos elementos podemos ir disminuyendo la

subjetividad e incrementando la precisión en

la cifra donde se ubica la exposición al riesgo,

a costas también de tener un proceso cada

vez más complejo.

Definitivamente las entidades deben llegar a

un modelo cuantitativo con un nivel de

precisión tal que les permita tomar

decisiones de control, capital y

aseguramiento acertados y rentables desde

el punto de vista del costo del riesgo, la

pregunta es ¿Cuánta complejidad puede

soportar los procesos de riesgos para llegar a

eso? O mejor aún ¿Cómo se pueden

incorporar elementos que agreguen

precisión impactando en la menor medida

posible la capacidad y la operación de la

unidad de riesgo?

Cultura Impermeable

Llegamos al último elemento que me

gustaría tratar sobre el estado actual de la

gestión del riesgo operacional en las

compañías: La Cultura.

A modo de juicio personal, parece que la

cultura de las organizaciones es

impermeable a los temas de Riesgo

Operacional, en diferentes niveles y con

diferentes implicaciones.

Por un lado tenemos la falta de compromiso

en el rol que cada miembro de la

organización debe de desempeñar dentro del

sistema de gestión del riesgo operacional.

Algunas personas pueden pensar que el

Riesgo Operacional es responsabilidad

únicamente del equipo de la unidad de

Riesgo Operacional, desconociendo la

naturaleza de este riesgo y desconociendo el

modelo mismo de las tres líneas de defensa,

incluso más allá de estos argumentos que

parecen muy internos de un área de riesgo y

control, cuando una persona de la

organización no se involucra con su rol

dentro de la gestión del riesgo operacional

desconoce que su responsabilidad no es solo

ejecutar un proceso de negocio, sino

garantizar que se cumplan los objetivos

operacionales definidos para ese proceso y

que para ello debe de asegurar la eficacia de

sus controles, así como conocer y mitigar los

riesgos que amenazan dicha responsabilidad.

De otro lado tenemos la falta de credibilidad

en la gestión del riesgo operacional. En

algunos casos los empleados no se

involucran porque no creen en la gestión del

riesgo operacional, algunos de ellos lo ven

simplemente como una carga normativa y no

logran conectar la gestión del riesgo

operacional con la generación de valor para

la compañía. Esta falta de credibilidad se

puede presentar incluso en el nivel directivo

de la compañía y se puede presentar en un

espiral peligroso para la gestión del riesgo,

donde la unidad de riesgos no tiene

resultados de valor por la falta de

compromiso de la organización y la

organización no está comprometida por la

carencia de resultados que generen valor.

La Unidad de Riesgo Operacional debe de

enfocar sus procedimientos y metodologías

de forma tal que permita generar valor en la

gestión operativa del negocio y en la toma de

decisiones, y esto se debe de ver reflejado en

los informes internos y externos que genera.


Hasta este punto pareciera que la gestión del

riesgo operacional gira en círculos y el paso

de los años no se traduce efectivamente en

un proceso de madurez que se alinee con los

objetivos de la organización y se pueda

traducir en generación de valor real para la

compañía a través de una gestión

responsable y consciente del riesgo

operativo.

El reto de los equipos de gestión de riesgo

operacional es entender estos elementos

que hoy generan amenazas y debilidades,

revisar los recursos internos que se tienen y

transformarse para enfrentarlos y producir el

cambio definitivo que requiere, salir de la

exploración a la generación de valor a guiar

la actuación de las unidades de negocio con

una visión clara del riesgo y en condiciones

que propicien la sostenibilidad y

perdurabilidad de la compañía.

Si está interesado en ampliar esta

información, conocer más acerca de

este tema o desea evaluar y mejorar su

sistema de gestión del riesgo y control.

Póngase en contacto con nosotros

contacto@casinorisk.net

O visite nuestro sitio:

http://www.casinorisk.net/

Similar magazines