Gestión del riesgo operativo en tiempo real en las entidades financieras (Parte 1)

Mitratech Staff |

Con esta nueva serie de artículos, exploramos y proporcionamos información sobre la Gestión del Riesgo Operacional en Tiempo Real. En este primer artículo, profundizamos en los numerosos retos de la Gestión del Riesgo Operacional en muchas instituciones financieras y en el objetivo de lograr un enfoque de Gestión Integrada del Riesgo que permita a la organización tomar decisiones conscientes del riesgo que concentren eficazmente sus recursos y aumenten la eficiencia.

Gestión del riesgo operativo en las entidades financieras

Riesgo Operativo es un término genérico acuñado oficialmente en 1991 por el COSO. En los primeros días de su concepción, era simplemente una categoría difícil de definir para los riesgos residuales que quedaban fuera del riesgo de mercado y del riesgo de crédito en las instituciones financieras. Esta nueva etiqueta abarcaba un abanico de riesgos derivados de aspectos como la cibernética o la tecnología de la información (TI), la interrupción del negocio, la responsabilidad jurídica, la motivación humana, el fraude e incluso la infraestructura. Algunos bancos utilizan el término Riesgo Operacional como sinónimo de riesgo no financiero. Hoy en día, se ha convertido en un área de gran interés para las funciones de riesgo internas y los reguladores, lo que se traduce en un mayor escrutinio de las reservas de capital mantenidas para la exposición al riesgo operacional. El riesgo operacional ocupa un lugar destacado en la agenda de gestión (tanto dentro como fuera de las instituciones financieras), y títulos como "gestor de riesgo operacional" son ahora habituales. Los crecientes riesgos cibernéticos, la dependencia de proveedores y la continua digitalización de los procesos son otros de los principales factores que contribuyen a centrar la atención en la gestión del riesgo operativo.

La creación de Basilea II, aunque se publicó en 2004, no se aplicó en la mayoría de las principales economías hasta después de la crisis financiera de 2008. El objetivo de Basilea II era mejorar las normas bancarias internacionales, mediante el establecimiento de requisitos de gestión del capital, que garanticen que un banco dispone del capital adecuado para protegerse del riesgo al que se expone. Basilea II utiliza un concepto de tres pilares:

  1. Requisitos mínimos de capital (gestión del riesgo)
  2. Revisión supervisora
  3. Disciplina de mercado

Profundizaremos en estos temas en el próximo artículo de esta serie. Basilea II reformó la supervisión bancaria y se centró en la eficacia política del riesgo operativo, junto con su aplicación. En aquel momento, y quizás todavía hoy, se debaten acaloradamente cuestiones en torno a sus definiciones, la recopilación de datos y los límites de la cuantificación.

El reto radica en el hecho de que, para muchas organizaciones, la gestión del riesgo operativo sigue estando distribuida entre numerosas herramientas, y muchas de ellas siguen dependiendo de procesos manuales para identificar, cuantificar y gestionar estos riesgos. Tanto las organizaciones como los reguladores están reconociendo que los procesos manuales actualmente establecidos ya no son suficientes, ni económicos, para gestionar este nuevo nivel de riesgo. Otro factor fundamental que contribuye a que los procesos de riesgo operativo sean tediosos es la fragmentación de las herramientas de gestión de riesgos de una organización:

  • Es probable que los distintos programas y proyectos internos utilicen sus propios registros de riesgos basados en hojas de cálculo.
  • Las unidades de negocio podrían informar sobre los riesgos principales sólo en su revisión trimestral.
  • Los gestores de riesgos de segunda línea pueden utilizar una herramienta GRC independiente.
  • Es probable que el equipo de auditoría realice un seguimiento de sus riesgos en una herramienta de gestión de auditorías.
  • Este enfoque de la gestión de riesgos hace casi imposible obtener información sobre los riesgos en tiempo real. Un último punto débil es la falta de contexto de los riesgos identificados con respecto a los controles establecidos y los requisitos normativos y legales pertinentes, lo que complica aún más los procesos de cumplimiento.

Gestión de riesgos operativos en tiempo real

En el crecimiento de muchas empresas, hay un punto de inflexión en el que surge la necesidad de gestionar los riesgos de una manera más formal, ya sea impulsada por el crecimiento de la organización, la presión normativa o unos clientes más exigentes. Con una tecnología más compleja, una mayor atención normativa y más trabajo basado en proyectos, las hojas de cálculo pueden ser una opción y durar un tiempo, pero a menudo hay un punto de inflexión en el que dejan de ser viables. Hay algunos indicadores que te dicen cuándo ha llegado el momento de cambiar:

  • Cada pregunta que haga sobre la Exposición al Riesgo actual requiere esperar a una consolidación manual de los datos para obtener una respuesta.
  • Sus hojas de cálculo de riesgos están en una unidad de red con varias versiones en la misma carpeta.
  • Existen diferentes formatos y plantillas para registrar los riesgos en toda la empresa.
  • Las autoevaluaciones de control de riesgos suponen una carga importante para la empresa cada vez que deben realizarse.

Los síntomas de la ineficacia de los procesos de gestión del riesgo operativo suelen ser que los equipos no utilizan las herramientas u hojas de cálculo definidas e intentan eludir los procesos de riesgo y cumplimiento. Un sistema de riesgos que no sea suficientemente flexible para adaptarse a los cambios organizativos también dará lugar a una mayor elusión de los procesos y, a menudo, a un esfuerzo manual adicional. Por último, si su Registro de Riesgos está poblado por la parte interesada que grita más fuerte en una reunión, usted sabe que no está identificando suficientemente los riesgos imparciales.

El éxito de la gestión del riesgo operativo permitirá a las partes interesadas y al equipo de gestión de riesgos conocer los riesgos en tiempo real. Es esencial adoptar un enfoque estructurado de identificación de riesgos, en lugar de basarse en corazonadas. En general, el objetivo es establecer procesos que:

  • Ahorrar tiempo
  • Gestión de riesgos simplificada
  • Centrarse en los principales objetivos empresariales
  • Fomentar una cultura de concienciación sobre los riesgos en toda la organización
  • Gestión integrada de riesgos

Tradicionalmente, la Gestión de Riesgos es un enfoque descendente, que conduce a silos de actividad y a que las decisiones se tomen en torres de marfil. La Gestión Integrada de Riesgos es un término que pone de manifiesto la importancia de que la Gestión de Riesgos esté en la vanguardia de la gobernanza empresarial. Se centra en que todo el mundo tenga acceso al nivel adecuado de información para su función laboral, y valora que cada unidad de negocio sea responsable de la Gestión de Riesgos en toda la empresa. Una solución de Gestión de Riesgos Operativos debe ser fácil y divertida de usar para involucrar a las partes interesadas de forma continua. Necesita transmitir un tono desde arriba, enfatizando y fomentando una cultura de riesgo activa dentro de la organización utilizando métodos ágiles de interacción.

Además, la solución también debe ser capaz de proporcionar un enfoque metódico para cuantificar la exposición y el apetito de riesgo operativo, sin ser demasiado rígida. A la hora de identificar el riesgo operativo, la solución debe ofrecer una capacidad de evaluación escalable, en lugar de depender de enfoques manuales basados en muestras. Si se ejecuta correctamente, la gestión integrada de riesgos permitirá a las organizaciones centrar su gasto en la mitigación de riesgos, en lugar de en la identificación y gestión de riesgos.

Póngase en contacto con un miembro de nuestro equipo para lobtener más información sobre las capacidades de gestión de riesgos operativos de Alyne y manténgase atento a los próximos artículos de esta serie.