La crisis pandémica ha ofrecido al sector de los servicios financieros un entorno real para realizar pruebas de resistencia con el fin de evaluar su planificación, sus sistemas y sus procesos en materia de resiliencia operativa. Para analizar esta cuestión y ver cómo han respondido las instituciones hasta ahora, la asociación sectorial UK Finance organizó recientemente un seminario web sobre resiliencia operativa.
Presentaba Sam Lee, director de Riesgo Operativo para EMEA en Sumitomo Mitsui Banking Corp., Jay Fitzhugh, director de Regulación de GRC Mitratech, Andrew Rogan, director de Resiliencia Operativa en UK Finance, y yo mismo.
El concepto de resiliencia operativa —mejorar los sistemas y procesos para mantener la solidez operativa y la confianza del mercado— ha sido un tema emergente en los últimos dos o tres años en todo el mundo. Con planes para introducir un marco de cumplimiento normativo en el primer trimestre de 2021, el Reino Unido está liderando esta iniciativa, cuyo cumplimiento formal está previsto para 2024.
El panel mantuvo un intenso debate sobre si la COVID había supuesto una prueba significativa para la resiliencia operativa. A partir de numerosas conversaciones con el sector, todos coincidieron en que la COVID había puesto de manifiesto la necesidad de la resiliencia operativa de forma muy clara. Ha aumentado la importancia y el valor de ser sistemáticamente resiliente, poniendo de relieve las deficiencias y poniendo a prueba de forma rigurosa los marcos de resiliencia operativa que ya existían.
Cuando estos se han quedado cortos, las empresas han respondido con gran rapidez, acelerando la adopción de nuevos sistemas y procesos a un ritmo mucho mayor que antes. Sin embargo, también se consideró que la COVID había sido una buena prueba para la gestión de crisis, más que para la propia resiliencia operativa.
Sam Lee consideraba que el objetivo de la resiliencia operativa era ser proactivo y previsor, al tiempo que se demostraba resiliencia ante las partes interesadas. Creía que la respuesta (excelente) al COVID había sido principalmente reactiva. Una lección para la resiliencia operativa será la necesidad de ser prudente a la hora de extraer conclusiones de la respuesta al COVID. Es probable que la próxima crisis importante requiera una reacción diferente a la provocada por la pandemia.
El papel de la gestión de políticas en la resiliencia operativa
Hubo un amplio consenso en el panel sobre la forma en que las organizaciones habían gestionado la gestión de políticas. Por lo general, se trata de un tema conservador, en el que las políticas relativas a muchos aspectos de los procesos empresariales se revisan anualmente. Este año, muchas políticas se han revisado semanal o mensualmente, lo que ha ayudado a las empresas a apreciar plenamente el valor de unas políticas bien definidas y gestionadas.
Sin embargo, la carga que supone revisar, implementar y supervisar políticas en constante cambio ha sometido a muchos procesos manuales a una presión excesiva, tanto dentro de la empresa como en su cadena de suministro. Todos consideraban que la gestión automatizada de políticas y la gestión de riesgos de los proveedores eran áreas en las que se había invertido mucho tiempo y dinero en el Reino Unido y Estados Unidos en 2020. Era una tendencia que todos anticipaban que continuaría en 2021.
El reto de la proporcionalidad
El panel también consideró que la COVID había puesto de relieve la cuestión de la proporcionalidad en la forma en que las organizaciones habían configurado su respuesta. La proporcionalidad —cómo se puede abordar un problema de diferentes maneras, dado el diferente tamaño de muchas instituciones— es el núcleo del enfoque regulador basado en principios del Reino Unido. La proporcionalidad impulsa la flexibilidad, lo que permite a las organizaciones implementar diferentes sistemas y procesos que satisfacen sus requisitos únicos. También permite una mayor sensibilidad al riesgo.
Como señaló Sam Lee, puede haber situaciones en las que, por ejemplo, una institución más pequeña no sea capaz de averiguar quiénes son sus proveedores de cuarto nivel. Podrían decidir que no tener visibilidad sobre esto —dado el esfuerzo y los costes que supone y los riesgos probablemente limitados— es un riesgo empresarial aceptable. Tendría que estar dentro de los parámetros de riesgo normales y estar aprobado, documentado, ser transparente y auditable.
Uso de MRM y EUC
Una cuestión que señalé durante nuestro debate fue la gestión del riesgo de los modelos (MRM) y las aplicaciones informáticas para usuarios finales (EUC). Los modelos se han utilizado de forma eficaz durante la pandemia, ayudando a los analistas y a la dirección a evaluar el impacto potencial de la desaceleración económica, las vacunas, la inflación y el desempleo, por ejemplo, en los préstamos, los empréstitos y el balance de una institución.
Las aplicaciones EUC, especialmente las hojas de cálculo, se han utilizado ampliamente en el modelado y otras áreas durante muchos años en los bancos. El aumento del teletrabajo ha provocado un incremento aún mayor en su uso. La falta de controlesen estas aplicaciones, en comparación con las aplicaciones gestionadas por TI, expone a las instituciones a una serie de riesgos operativos, reputacionales y normativos.
En respuesta a la COVID, los equipos de riesgo y cumplimiento normativo están intensificando sus esfuerzos para integrar la gestión de sus aplicaciones corporativas de TI y EUC, especialmente en lo que respecta a la MRM. Su objetivo es mantener la flexibilidad que aportan las EUC, al tiempo que se garantiza la transparencia a las partes interesadas y a la dirección.
El panel concluyó los debates con la forma en que Mitratech estaba ayudando a los clientes a mejorar su resiliencia durante la pandemia. Las áreas clave eran la gestión de políticas, la gestión de riesgos de proveedores y la gestión de riesgos de modelos. Todas ellas eran áreas muy dinámicas en las que el ciclo de evaluación y revisión se había reducido drásticamente, ya que la situación comercial, de recursos humanos y jurídica había cambiado para reflejar los cambios en el impacto de la pandemia. La automatización que ofrecían estas soluciones estaba demostrando ser un factor de cambio para muchos.
Vea el seminario web utilizando el enlace que aparece a continuación. O obtenga más información sobre cómo mejorar su resiliencia operativa aquí.
Descubra Mitratech GRC Management
Obtenga más información sobre nuestro exclusivo conjunto de soluciones integrales de riesgo y cumplimiento normativo.
