Gestión del riesgo operativo en instituciones financieras
Riesgo operativo es un término genérico acuñado oficialmente en 1991 porel COSO. En sus inicios, se trataba simplemente de una categoría difícil de definir para los riesgos residuales que quedaban fuera del riesgo de mercado y del riesgo crediticio en las instituciones financieras. Esta nueva etiqueta abarcaba una serie de riesgos derivados de factores como la tecnología de la información (TI) o cibernética, la interrupción de la actividad empresarial, la responsabilidad legal, la motivación humana, el fraude e incluso las infraestructuras. Algunos bancos utilizan el término «riesgo operativo» como sinónimo de riesgo no financiero. Hoy en día, se ha convertido en un área de gran interés para las funciones de riesgo interno y los reguladores, lo que ha dado lugar a un mayor escrutinio de las reservas de capital mantenidas para la exposición al riesgo operativo. El riesgo operativo ocupa un lugar destacado en la agenda de la dirección (tanto dentro como fuera de las instituciones financieras), y títulos como «gestor de riesgo operativo» son ahora habituales. El aumento de los riesgos cibernéticos, la dependencia de los proveedores y la digitalización continua de los procesos son otros factores que contribuyen a que se preste mayor atención a la gestión del riesgo operativo.
La creación de Basilea II, aunque se publicó en 2004, solo se implementó en la mayoría de las principales economías tras la crisis financiera de 2008. El objetivo de Basilea II era mejorar las normas bancarias internacionales mediante el establecimiento de requisitos de gestión del capital, lo que garantiza que un banco disponga del capital adecuado para protegerse del riesgo al que se expone. Basilea II utiliza un concepto de tres pilares:
- Requisitos mínimos de capital (abordaje del riesgo)
- Revisión supervisora
- Disciplina de mercado
Profundizaremos en estos temas en el próximo artículo de esta serie. Basilea II reformó la supervisión bancaria y puso el foco en la eficacia de las políticas de riesgo operativo, junto con su implementación. Las cuestiones relacionadas con sus definiciones, la recopilación de datos y los límites de la cuantificación fueron objeto de acalorados debates entonces, y quizá lo sigan siendo hoy en día.
El reto radica en el hecho de que, para muchas organizaciones, la gestión del riesgo operativo sigue estando distribuida entre numerosas herramientas, y muchas de ellas siguen dependiendo de procesos manuales para identificar, cuantificar y gestionar estos riesgos. Tanto las organizaciones como los reguladores reconocen que los procesos manuales actualmente establecidos ya no son suficientes ni económicos para gestionar este nuevo nivel de riesgo. Otro factor fundamental que contribuye a la tediosidad de los procesos de riesgo operativo es la fragmentación de las herramientas de gestión de riesgos de una organización:
- Es probable que los diferentes programas y proyectos internos utilicen sus propios registros de riesgos basados en hojas de cálculo.
- Las unidades de negocio pueden informar sobre los riesgos principales únicamente en su revisión trimestral.
- Los gestores de riesgos de segunda línea pueden utilizar una herramienta de GRC independiente.
- Es probable que el equipo de auditoría realice un seguimiento de sus riesgos en una herramienta de gestión de auditorías.
- Este enfoque de gestión de riesgos hace que sea casi imposible obtener información sobre los riesgos en tiempo real. Una última debilidad es la falta de contexto de los riesgos identificados con respecto a los controles establecidos y los requisitos normativos y legales pertinentes, lo que complica aún más los procesos de cumplimiento.
Gestión del riesgo operativo en tiempo real
En el crecimiento de muchas empresas, hay un punto de inflexión en el que surge la necesidad de gestionar los riesgos de una manera más formal, ya sea por el crecimiento de la organización, la presión normativa o unos clientes más exigentes. Con una tecnología más compleja, un mayor enfoque normativo y un trabajo más basado en proyectos, las hojas de cálculo pueden ser una opción y durar un tiempo, pero a menudo hay un punto de inflexión en el que dejan de ser viables. Hay algunos indicadores que le indican cuándo es el momento de cambiar:
- Cada pregunta que se formula sobre la exposición actual al riesgo requiere esperar a que se consoliden manualmente los datos para obtener una respuesta.
- Sus hojas de cálculo de riesgos se encuentran en una unidad de red con varias versiones en la misma carpeta.
- Existen diferentes formatos y plantillas para registrar los riesgos en toda su empresa.
- Las autoevaluaciones de control de riesgos suponen una carga significativa para la empresa cada vez que deben realizarse.
Los síntomas de unos procesos ineficaces de gestión del riesgo operativo suelen incluir que los equipos no utilicen las herramientas o hojas de cálculo definidas e intenten eludir los procesos de riesgo y cumplimiento. Un sistema de riesgo que no sea lo suficientemente flexible para adaptarse a los cambios organizativos también dará lugar a una mayor elusión de los procesos y, a menudo, a un esfuerzo manual adicional. Por último, si su registro de riesgos está rellenado por la parte interesada que grita más fuerte en una reunión, sabrá que no está identificando los riesgos de forma suficientemente imparcial.
Una gestión eficaz del riesgo operativo permitirá a las partes interesadas y al equipo de gestión de riesgos obtener información sobre los riesgos en tiempo real. Es esencial adoptar un enfoque estructurado para la identificación de riesgos, en lugar de basarse en corazonadas. En general, el objetivo es establecer procesos que:
- Ahorra tiempo
- Mantenga una gestión de riesgos ágil
- Centrarse en los objetivos empresariales fundamentales
- Fomentar una cultura de concienciación sobre los riesgos en toda la organización.
- Gestión integrada de riesgos
Tradicionalmente, la gestión de riesgos es un enfoque descendente, lo que conduce a la creación de silos de actividad y a la toma de decisiones en torres de marfil. La gestión integrada de riesgos es un término que pone de manifiesto la importancia de que la gestión de riesgos ocupe un lugar destacado en el gobierno corporativo. Se centra en que todos tengan acceso al nivel de información adecuado para su función laboral y valora que cada unidad de negocio sea responsable de la gestión de riesgos en toda la empresa. Una solución de gestión de riesgos operativos debe ser fácil y divertida de usar para involucrar a las partes interesadas de forma continua. Debe transmitir un tono desde arriba, enfatizando y fomentando una cultura de riesgo activa dentro de la organización mediante métodos ágiles de interacción.
Además, la solución también debe ser capaz de proporcionar un enfoque metódico para cuantificar la exposición al riesgo operativo y la propensión al riesgo, sin ser demasiado rígida. A la hora de identificar el riesgo operativo, la solución debe admitir una capacidad de evaluación escalable, en lugar de basarse en enfoques manuales basados en muestras. Si se ejecuta correctamente, la gestión integrada del riesgo permitirá a las organizaciones centrar su gasto en la mitigación del riesgo, en lugar de en la identificación y gestión del riesgo.
