En el post anterior traté de darles una visión de conjunto y sintética del riesgo operacional (RO), incluyendo una tipología simplificada de los diferentes riesgos que incluye. Ahora trataré de darles una idea básica de cómo se gestiona el riesgo operacional.
Para empezar, hay que identificar los diferentes riesgos, lo que se suele hacer a partir de la tipología presentada la vez pasada, y luego evaluarlos en función de su importancia.
Para hacer esta identificación y evaluación, se establece matrices de riesgos, y se les valora en función de su frecuencia e impacto, lo que permite identificar riesgos insignificantes (frecuencia baja e impacto baja), riesgos recurrentes (frecuencia alta e impacto bajo), riesgos significativos (frecuencia baja e impacto alto) y riesgos insoportables (frecuencia alta e impacto alto), que corresponden a situaciones de crisis aguda. Se trata de una visión simplificada, las matrices son algo más complejas que eso. Para facilitar ese trabajo, se recomienda constituir bases históricas de eventos de pérdidas.
Como es obvio, la manera de gestionar estos riesgos no va a ser la misma según su grado de frecuencia y de impacto (o de severidad, como se suele decir).
La primera respuesta, en presencia de riesgos vistos como insoportables, sería sencillamente de EVITAR el riesgo. Ello puede llevar a decisiones como no lanzarse en una nueva línea de negocio poco conocida y para la cual no se dispone de los sistemas adecuados, por ejemplo. Un ejemplo caricatural sería: no salir de su casa para no tener ningún riesgo de accidente o de robo afuera. Pero no olvidemos que el riesgo cero no existe, no todo se puede evitar. Y siempre pueden aparecerse riesgos insoportables. Entonces más vale tomar medidas adicionales de gestión.
Lo primero es la PREVENCIÓN y REDUCCIÓN del riesgo.
Es una de las maneras de MITIGAR el riesgo que se ACEPTA.
Para ello, el control interno permanente es en sí un método preventivo de reducción del RO, entonces, de gestión. Una buena cultura de este control permanente es necesaria para tener una buena gestión del riesgo operacional.
Ayuda a reducir las pérdidas que podrían presentarse por los eventos de pérdida, al hacerlos menos frecuentes o al reducir su impacto: doble firma, check-lists para el personal operativo, controles automáticos, procedimientos claros, sistemas de alerta, medidas e implementos de seguridad, etc.
Lo que se llama el Plan de Continuidad del Negocio es también una técnica de prevención, que forma parte del sistema global de control interno: consiste en tomar por adelantado todas las medidas que permitirían seguir funcionando aún en caso de un evento grave, e incluyen en general equipos de gestión de crisis que entran en acción apenas se produce un evento que lo requiera. En los 90 un banco francés bien preparado no interrumpió sus operaciones en el mercado de capitales, a pesar del incendio de su sede, gracias a una sala de mercados alterna y al relevo tomado por sus equipos en otros grandes centros financieros. En el Perú, el problema clave son los terremotos y eventos ligados a las lluvias.
Otro tema preventivo clave es de la Seguridad de los Sistemas de Información y Comunicaciones, por la importancia cobrada por las bases de datos, por los aplicativos y las telecomunicaciones en las operaciones, y por la diversidad de ataques que pueden sufrir desde el interior y el exterior. No por nada la SBS, para las entidades financieras, ha regulado de manera más detallada este aspecto, así como el de Continuidad del Negocio.
Los otros métodos de gestión tienen más una lógica de protección y/o de financiamiento del riesgo. Se va a buscar COMPARTIR o TRANSFERIR el riesgo o sino, FINANCIARLO con recursos propios o externos.
Las coberturas financieras internas consisten primero en CONSERVAR el riesgo.
Se trata de costos menores que van siendo asumidos en la cuenta de resultados de la empresa; para esos tomar un seguro podría resultar más caro que el costo real; se financia en realidad con los márgenes y comisiones del negocio. Eso es válido si se tiene un buen sistema de seguimiento y se es capaz de detectar cambios de tendencia y tomar medidas rápidamente.
O sino, se puede constituir una provisión para una pérdida potencial, lo que se puede hacer para temas específicos o como una provisión general estadística a partir de data de pérdidas habituales (lógica prudencial).
El patrimonio efectivo (capital) es la última línea de defensa en esa lógica: se piensa sobre todo en eventos poco frecuentes de fuerte impacto, pero es en general como último recurso, si por alguna razón no se ha podido asegurar.
A veces, como alternativa, se puede pedir en el mercado financiero una línea de crédito contingente, para el caso de siniestro (los cat bonds o “bonos catástrofe” en EE.UU.).
Y luego están, por supuesto, los seguros y productos similares. Tomar un SEGURO, es COMPARTIR o TRANSFERIR el riesgo.
Se puede también cubrir solamente una parte de un riesgo potencial muy significativo, contando con la protección de un nivel de capital elevado. Ello supone hacer cálculos de costo/beneficio; a veces no vale la pena hacerlo, por razones de costo: muchos riesgos grandes son muy difíciles de asegurar.
La gama de seguros es muy variada: para los activos físicos, para los sistemas de información de manera global, contra los fraudes y robos, para cubrir la responsabilidad civil, etc .Existen mecanismos de seguros ad-hoc igualmente, con estructuras de pago más complejas, o seguros muy específicos como los seguros condicionados a cambios climáticos, por ejemplo para El Niño.
A veces se utiliza la sub-contratación, para evitar ciertos riesgos de hacer algo mal. Pero hay que ser consciente de que ello puede generar varios riesgos adicionales, y no sólo operacionales, pues se controla menos el proceso y se depende de la calidad de la gestión de riesgos de otros.
Es obvio que en una empresa, la identificación de riesgos debe hacerse a nivel de todas las áreas, lo que debe ir de la mano con la “cultura” del control interno permanente en toda la organización;y gracias a ese trabajo, la empresa puede elaborar sus estrategias frente a sus riesgos (conservar, financiar, compartir, transferir, evitar….).
COMENTARIOS
Entendible el artículo. Gregorio, mucho apreciaré tenga la amabilidad en proporcionar casos de eventos de pérdida operacional que hayan sucedido en el Perú.
Muchas gracias.
Es buena la informacion del articulo, pero no mencionan que el riesgo operacional tiene evaluarsre en toda la organizacion en todas las areas de la empreasa, que existe tambien un plan de accion para mitigar los riesgos identificados, y esto como parte de una estrategia.
Es claro que la gestión de control interno y por su puesto el riesgo operacional es parte de las actividades que conforman los procesos de la organización y principalmente en aquellos que soportan las iniciativas estratégicas del negocio. Visto así es fundamental en la cultura de la organización, esto es que cada uno de los empleados, desde el nivel más alto hasta el más bajo, deben gestionar los riesgos asociados a los procesos que están a su cargo e informar permanentemente sobre los resultados de su gestión (monitoreo).
En conclusión cada empleado se encarga de gestionar sus riesgos y establecer los controles en los procesos que maneja, con las directrices y metodologías que una unidad de riesgos defina.
Muy buena explicacion sobre la gestión del riesgo operativo, con ejemplos ilustrativos adecuados; sin embargo, hubiera sido interesante comentar sobre como sobrellevar las deficiencias (o carencia) en el llenado de bases historicas de eventos de perdida (muy frecuente en nuestra realidad) con el correcto funcionamiento que se desea para las matrices de riesgo operativo, para que éstas puedan funcionar como verdaderos indicadores de exposición de una Institución. Saludos cordiales.
DEJE SU COMENTARIO
La finalidad de este servicio es sumar valor a las noticias y establecer un contacto más fluido con nuestros lectores. Los comentarios deben acotarse al tema de discusión. Se apreciará la brevedad y claridad.