Desde que la gestión del riesgo operacional se fue desarrollando en el mundo de las empresas financieras y no financieras como algo que debía hacerse de una manera específicamente organizada y sistematizada con una coordinación central, al verse al riesgo operacional como tan importante como los riesgos crediticio y de mercado y liquidez, se planteó muy rápidamente el problema de dónde debía situarse el área en cuestión; y no ha sido tan fácil de resolver como se podría creer. Y esto tiene que ver con la historia misma de la gestión del riesgo operacional.

 Como lo recuerda el BCBS (el Comité de Basilea para la supervisión bancaria) en su documento del 2003 sobre las mejores prácticas  de gestión y supervisión de este riesgo, esa gestión siempre ha existido, haciéndose en cada área operativa o de línea, en general de manera no sistematizada, con prácticas que se iban desarrollando a menudo por ensayo y error y a la luz de la experiencia de la materialización de los eventos de riesgo.

Pero se pudo ver, con los casos cada vez más frecuentes de grandes pérdidas causadas por eventos de riesgo operacional, que ello no era suficiente; y menos aún con el desarrollo de nuevos riesgos, como el ligado a la importancia cada vez mayor de las tecnologías de información o el crecimiento de las acciones de terrorismo masivo o el de las actividades de mercado de capitales cada vez más sofisticadas y automatizadas.

 Entonces se empezaron a crear las áreas llamadas de gestión del riesgo operativo u operacional, con especialistas encargados de elaborar metodologías uniformes y de coordinar dicha gestión en toda la organización, también con un rol de sensibilización y capacitación interna. Insisto en la palabra “coordinar” (también se podría decir “articular”), porque ello no significaba para nada que las diferentes unidades dejaran de ser responsables de la gestión de sus propios riesgos operacionales: como lo recuerda el documento del BCBS, la gestión del riesgo operacional es un proceso que se efectúa necesariamente en toda la organización.

 Cabe mencionar también que el desarrollo de áreas especializadas se convirtió en un factor clave para el reforzamiento del control interno en las organizaciones, una preocupación que ya era muy fuerte desde los años 90, con la búsqueda de una mejor organización que permita a una entidad privada o pública tener un mejor control de sus operaciones gracias a elementos claves como un buen gobierno corporativo y diferentes técnicas de controles permanentes y ex post. Con una gestión del riesgo operacional más estructurada, el control interno se veía reforzado; y al mismo tiempo, para poder desarrollarse de manera eficaz, la gestión del riesgo operacional requiere de un buen ambiente de control interno, con un fuerte involucramiento de los más altos niveles de la organización. Por ello, en los medios especializados se dice a menudo que el control interno y la gestión del riesgo operacional, que no son lo mismo, tienen una relación muy cercana y se refuerzan mutuamente.

 Volviendo al tema del posicionamiento organizacional de esas nuevas áreas, históricamente se ha visto un poco de todo, con no pocos errores, al tratarse de algo “nuevo”:

 . al no haber en muchos casos una gran división de gestión de riesgos (no hay que olvidar que en general los bancos desarrollaron primero áreas independientes de gestión de riesgo crediticio únicamente; hasta el riesgo de mercado se veía dentro de las grandes unidades de capital markets bajo el mando final del máximo responsable del “front”, con resultados que terminaron siendo catastróficos), se pensó muchas veces en poner a dicha área bajo la dependencia de la división de operaciones, junto con los back office, o incluso bajo la dependencia de áreas de administración. Ello resultó catastrófico por una razón muy sencilla: son en esas áreas donde en muchas entidades tanto privadas como públicas se generan los mayores riesgos operacionales, porque es ahí donde se cometen más errores repetitivos de esos que exasperan a los clientes, o donde más riesgo de fraudes o de corrupción hay, por ejemplo en el manejo operativo de las cuentas de los clientes o en las áreas de abastecimiento o logística; entonces se tenía a los especialistas sin ninguna independencia frente a los mayores generadores de riesgo operacional, ahí donde se tiene todos los incentivos no para detectar los riesgos y los eventos de riesgo operacional, sino para subestimarlos y hasta esconderlos a los niveles superiores. En fin de cuentas es un error tan garrafal como el que se vio en muchos bancos que hacían numerosas operaciones de los famosos CDOs hipotecarios “basura”, con áreas de riesgo especializadas sometidas a los originadores/estructuradores comerciales de diferentes maneras (en vez de pertenecer a un área de riesgos independiente), algo que contribuyó muchísimo a la gran crisis financiera iniciada en el 2007-2008.

 . otra variante fue ponerlos bajo la autoridad del área de sistemas (o tecnologías) de la información, con la lógica de que lo más importante era la parte tecnológica; o por lo menos al no hacerlo para toda la gestión del riesgo operacional, el recurrir a ello para la gestión de la continuidad del negocio. Otro desastre, pues muchas veces los factores de riesgo son humanos, o de procesos organizativos, no tecnológicos, y las áreas de SI o TI tienden a pensar demasiado en función del factor tecnológico, olvidando esos otros aspectos que en general son aún más importantes; es ahí donde muchos suelen olvidar que la famosa automatización no es tan absoluta como se cree, a menudo hace falta una validación humana en operaciones claves “automáticas”, validación que puede necesitarse en una fase de un proceso, o en la parametrización previa…..o que sencillamente haya también personas que estén vigilando físicamente 24 horas sobre 24 sin ninguna interrupción (para poder reaccionar inmediatamente en caso de incidentes de tipo ataque de hackers o cortes de electricidad); además ahí también hay una enorme fuente de riesgos operacionales con incentivos al ocultamiento de las fallas propias y al atribuírselas a los “clientes internos” (a las otras áreas)

 . la variante que mejor ha funcionado es cuando las áreas de riesgo operacional forman parte de una gran división o vice-presidencia o gerencia general adjunta (u otros nombres) de gestión de riesgos, independiente del resto de la organización con llegada directa a los más altos niveles jerárquicos, de preferencia a través de comités de riesgos. Sobretodo que ello permite más fácilmente difundir la cultura de la gestión del riesgo operacional en toda la organización, con la presencia de “corresponsales” en cada unidad de la organización. Es lo que se vio por ejemplo en numerosos bancos europeos como consecuencia de normativas europeas y bajo la presión de los reguladores/supervisores financieros para los más reacios a darles ese estatus a dichas áreas. Además un área de riesgos independiente es mayor garantía de que no se va a buscar subestimar riesgos ni ocultar incidentes de riesgo operacional, más bien se va buscar detectarlos lo mejor posible

 . una sub-variante de la anterior, que también se desarrolló mucho en Europa, y que mencioné en un post del 2012, fue que por supuesto, hubiera un área independiente, pero junto con un área de “control interno permanente”, con la lógica de que había mucha sinergia e interacción entre ambos temas; y a nivel de unidades, eso llevó a que los “corresponsales” lo fueran no sólo de gestión del riesgo operacional, sino también del control interno permanente. Bueno, luego de varios años de experiencia, es algo que empieza a ser cada vez más cuestionado, pues lo que ha sucedido en la práctica es que los “controladores internos” terminen metiéndose cada vez más en la gestión del riesgo operacional, y en los bancos, hasta de los otros riesgos (especialmente el crediticio), muchas veces con una lógica de burocratización creciente, y de exigencias de reporting cada vez más elevadas y consumidoras de tiempo, que han terminado siendo una pesadilla para muchas áreas de riesgos y también áreas comerciales. La idea de mezclar los dos temas no ha sido tan buena como parecía, finalmente; el problema es que no es fácil retroceder en ello, porque muchos bancos, bajo la presión de reportings cada vez más fuerte de parte de los reguladores, incurren en sobrecostos y para compensar, puede resultar práctico mantener ese tipo de organización que permite ciertos ahorros. En todo caso, uno de los grandes problemas derivados de esta variante, sobre todo para la gente más joven, y aunado a interpretaciones erradas del COSO, es que hay cada vez más gente incapaz de hacer la diferencia entre control interno y gestión de riesgo operacional, y lo he podido observar en numerosos foros virtuales entre especialistas.

 Cabe mencionar también otra variante que se puede ver en países donde la gestión del riesgo operacional ya está muy desarrollada al interior de las organizaciones, en el sector público, como en Francia; el poner a las áreas de gestión de riesgo operacional y de continuidad del negocio (que pueden ser incluso dos áreas con un solo jefe a nivel superior, pero distintas) bajo la autoridad de los secretariados generales, a pesar de que bajo ellos se encuentran también las áreas donde mayor riesgo operacional se genera; y parece funcionar muy bien, incluso para la continuidad del negocio u operativa; es que estamos hablando de otro nivel de integración y concientización entre el personal y de liderazgo al más alto nivel jerárquico, de otro nivel de conocimiento técnico y de empoderamiento de los especialistas, en lo que respecta a su independencia funcional y de acción, con secretariados generales muy empoderados también en lo que respecta el control interno, muchas veces con comités de riesgos, y en lo que respecta a la coordinación con otras entidades públicas y con el sector privado (proveedores clave y otros stakeholders clave) en estos temas. Este es un tema más del sector público, pero que es clave también para la sostenibilidad de la calidad del riesgo país, en términos de resiliencia operativa del Estado y del país; por ello al sector privado debería interesarle muchísimo que el Estado tenga una buena gestión de su riesgo operacional, que de paso puede llevar a esfuerzos de simplificación burocrática, o a reforzar la lucha anti-corrupción, por ejemplo.

En conclusión: la gestión del riesgo operacional, incluyendo la continuidad del negocio u operativa, sólo puede hacerse realmente bien cuando el grado de integración por el máximo nivel jerárquico y por el conjunto del personal, o por lo menos de una parte muy significativa de éste, es muy alto, y de todas maneras, cuando esta función especializada de articulación tiene un alto posicionamiento jerárquico en la organización, con un elevado grado de independencia, con acceso directo a la alta dirección por diferentes mecanismos (comités de riesgos u otros mecanismos, como informes directos).