Desde que el Comité de Basilea definio formalmente el riesgo operacional como aquel que podría provocar pérdidas como consecuencia de procesos internos, recursos humanos o sistemas inadecuados o defectuosos, o por causas externas; el establecer límites (responsabilidades) en la administración del riesgo operacional en ocasiones se convierte en una acción contraproducente en las organizaciones.
El riesgo operacional no tiene fronteras que pudieran demarcarse para que una unidad especializada lo administre. Buscar limitar esta actividad a un grupo de personas que pudiera estar bien preparada desde el punto de vista académico y práctico no reducirá la exposición al riesgo, nunca podrá incorporar a tiempo toda la información necesaria para comprender los niveles de exposición en los que se encuentra y mucho menos podrá crear el ambiente de gestión que es requerido para convivir con un riesgo que es inherente a las operaciones de toda organización, no importando a que se dedique, pues no existe una organización que hoy día no use intensivamente la tecnología que apoya procesos críticos del negocio y que son utilizados por clientes o usuarios; y que además todos en conjunto se exponen a un entorno que por no podremos jamás dominar.
Conocer el tipo de riesgo al que se enfrenta la organización
Lo primero que se debe garantizar es que la Junta Directiva de las organizaciones comprendan que el riesgo operacional es un tipo de riesgo totalmente distinto al riesgo de crédito o mercado. Ya que por mucho que se asuma de este tipo de riesgo no arrojará ningún beneficio. Lo contrario a los riesgos de crédito y mercado es que el nivel de exposición en ellos determina la expectativa de beneficio. Lo cierto es que lo que se puede hacer es mantener un nivel bajo de riesgo operacional para no afectar los beneficios.
Otro elemento importante que se debe conocer es que el riesgo operacional no admite que se evalúen condiciones previas para su materialización, tal como ocurre en crédito y mercado. En el caso de crédito se puede condicionar el otorgamiento de un crédito si no se cumplen algunos pre requisitos para otorgarlo y en el caso de mercado se establecer límites de aceptación de pérdidas. En riesgo operacional, no hay límites y no se pudiese prever cuando alguién pudiera faltar al trabajo, equivocarse o irse de la organización, cargando con todo el conocimiento concentrado en él.
La estructura para administrar riesgo operacional
En principio el riesgo operacional será gestionado en toda la organización, obedeciendo a la aplicación de prácticas establecidas por la normativa de cada país y en su defecto a lo establecido por el Comité de Basilea. Esto es la existencia de un Comité de Riesgo Operacional el cual tendrá correspondencia con una Gerencia especializada en dicho riesgo y a esta gerencia le reportarán figuras de riesgo que estarán en todas las unidades en toda la organización. Lo cierto es que la mayoría de las organizaciones no tiene problema de llegar hasta la Gerencia de Riesgos, pero en lo que respecta a hacer el modelo descentralizado el modelo comienza a tener fallas. Las razones pueden ir desde la cultura hasta los costos que ello implica. Por cierto, pudiera ser una consecuencia de la otra. Sin embargo, siempre existen alternativas apropiadas.
Aprovechar la Estructura Organizativa Existente
Hoy en día todas las organizaciones que tienden a ser más exigidas por los servicios al público, tal como ocurre con las instituciones bancarias o de servicios basicos, han desarrollado unidades especializadas para luchar contra elementos adversos como lo son las amenazas externas que pueden provenir por efectos naturales, ambientales no naturales o humanas; así como productos que pueden monitorear el ambiente interno de fraudes, extracción o alteración de información y fallas tecnológicas. Todo esto a través de herramientas destinadas para tal fin.
Todas estas prácticas, técnicas y herramientas se encuentran en unidades en la estructura organizativa que atienden la gestión de prevención y control, tal como seguridad de la información, seguridad física, prevención de legitimación de capitales, tecnología de información y otros tantos comités como los de seguridad y prevención de desastres o manejo de crisis.
Lo importante es que la unidad a cargo de la gestión de riesgo operacional saque provecho de la existencia de estas estructuras y procurar construir los canales que permitan comunicar además de establecer la relación con las unidades dueñas de los datos que se derivan de las distintas actividades de gestión de dichas áreas, esta acción sin invadir las funciones o atropeyarse por efectos de lo que las normativas no necesariamente dejan claro suficientemente y que por lo general, en su interpretación pudieran conllevar a crear conflictos.
Con respecto a las unidades de negocios, el riesgo operacional debe irse ocupando de los procesos más críticos y por lo general éstos son bastante controlados y monitoreados; inclusive gozan de alta automatización. Al presentar estas características lo importante entonces es negociar la forma de como se obtendrá la información de éstas áreas. Un esquema base es recoger mediante trazas de monitoreo de los sistemas de información cualquier excepción o anomalía recogida por los sistemas de detección o registro de bitácoras.
Lo más importante es que las unidades perciban que el área de riesgo no las está presionando creando sobrecarga de trabajo, y a su vez lograr suministrar la información útil para generar y suministrar la información necesaria para llevar adelante la gestión de riesgos. Alternativamente, el proceso debe ser paulatino y los roles de administración de riesgos en toda la organización debe quedar suficientemente claro, conociendo con relativa certeza donde sería posible que puede haber algún tipo de colaboración y apoyo entre las áreas.
La mayoría de las veces hemos notado que todo lo que necesita la unidad de riesgos como insumo de información ya está siendo generado por otras unidades, por tanto lo importante es activar los procesos de comunicación que existen en la organización y procurar lo que requieren para su gestión; y si aun lo dudan, para muestra les dejamos un botón: La unidad de prevención de legitimación de capitales, seguridad de información, gestión de la continuidad de negocios, auditoría financiera y tecnológica, monitoreo de redes, seguridad integral, gestión de reclamos, service desk, entre otros tantos.
El riesgo operacional no tiene fronteras que pudieran demarcarse para que una unidad especializada lo administre. Buscar limitar esta actividad a un grupo de personas que pudiera estar bien preparada desde el punto de vista académico y práctico no reducirá la exposición al riesgo, nunca podrá incorporar a tiempo toda la información necesaria para comprender los niveles de exposición en los que se encuentra y mucho menos podrá crear el ambiente de gestión que es requerido para convivir con un riesgo que es inherente a las operaciones de toda organización, no importando a que se dedique, pues no existe una organización que hoy día no use intensivamente la tecnología que apoya procesos críticos del negocio y que son utilizados por clientes o usuarios; y que además todos en conjunto se exponen a un entorno que por no podremos jamás dominar.
Conocer el tipo de riesgo al que se enfrenta la organización
Lo primero que se debe garantizar es que la Junta Directiva de las organizaciones comprendan que el riesgo operacional es un tipo de riesgo totalmente distinto al riesgo de crédito o mercado. Ya que por mucho que se asuma de este tipo de riesgo no arrojará ningún beneficio. Lo contrario a los riesgos de crédito y mercado es que el nivel de exposición en ellos determina la expectativa de beneficio. Lo cierto es que lo que se puede hacer es mantener un nivel bajo de riesgo operacional para no afectar los beneficios.
Otro elemento importante que se debe conocer es que el riesgo operacional no admite que se evalúen condiciones previas para su materialización, tal como ocurre en crédito y mercado. En el caso de crédito se puede condicionar el otorgamiento de un crédito si no se cumplen algunos pre requisitos para otorgarlo y en el caso de mercado se establecer límites de aceptación de pérdidas. En riesgo operacional, no hay límites y no se pudiese prever cuando alguién pudiera faltar al trabajo, equivocarse o irse de la organización, cargando con todo el conocimiento concentrado en él.
La estructura para administrar riesgo operacional
En principio el riesgo operacional será gestionado en toda la organización, obedeciendo a la aplicación de prácticas establecidas por la normativa de cada país y en su defecto a lo establecido por el Comité de Basilea. Esto es la existencia de un Comité de Riesgo Operacional el cual tendrá correspondencia con una Gerencia especializada en dicho riesgo y a esta gerencia le reportarán figuras de riesgo que estarán en todas las unidades en toda la organización. Lo cierto es que la mayoría de las organizaciones no tiene problema de llegar hasta la Gerencia de Riesgos, pero en lo que respecta a hacer el modelo descentralizado el modelo comienza a tener fallas. Las razones pueden ir desde la cultura hasta los costos que ello implica. Por cierto, pudiera ser una consecuencia de la otra. Sin embargo, siempre existen alternativas apropiadas.
Aprovechar la Estructura Organizativa Existente
Hoy en día todas las organizaciones que tienden a ser más exigidas por los servicios al público, tal como ocurre con las instituciones bancarias o de servicios basicos, han desarrollado unidades especializadas para luchar contra elementos adversos como lo son las amenazas externas que pueden provenir por efectos naturales, ambientales no naturales o humanas; así como productos que pueden monitorear el ambiente interno de fraudes, extracción o alteración de información y fallas tecnológicas. Todo esto a través de herramientas destinadas para tal fin.
Todas estas prácticas, técnicas y herramientas se encuentran en unidades en la estructura organizativa que atienden la gestión de prevención y control, tal como seguridad de la información, seguridad física, prevención de legitimación de capitales, tecnología de información y otros tantos comités como los de seguridad y prevención de desastres o manejo de crisis.
Lo importante es que la unidad a cargo de la gestión de riesgo operacional saque provecho de la existencia de estas estructuras y procurar construir los canales que permitan comunicar además de establecer la relación con las unidades dueñas de los datos que se derivan de las distintas actividades de gestión de dichas áreas, esta acción sin invadir las funciones o atropeyarse por efectos de lo que las normativas no necesariamente dejan claro suficientemente y que por lo general, en su interpretación pudieran conllevar a crear conflictos.
Con respecto a las unidades de negocios, el riesgo operacional debe irse ocupando de los procesos más críticos y por lo general éstos son bastante controlados y monitoreados; inclusive gozan de alta automatización. Al presentar estas características lo importante entonces es negociar la forma de como se obtendrá la información de éstas áreas. Un esquema base es recoger mediante trazas de monitoreo de los sistemas de información cualquier excepción o anomalía recogida por los sistemas de detección o registro de bitácoras.
Lo más importante es que las unidades perciban que el área de riesgo no las está presionando creando sobrecarga de trabajo, y a su vez lograr suministrar la información útil para generar y suministrar la información necesaria para llevar adelante la gestión de riesgos. Alternativamente, el proceso debe ser paulatino y los roles de administración de riesgos en toda la organización debe quedar suficientemente claro, conociendo con relativa certeza donde sería posible que puede haber algún tipo de colaboración y apoyo entre las áreas.
La mayoría de las veces hemos notado que todo lo que necesita la unidad de riesgos como insumo de información ya está siendo generado por otras unidades, por tanto lo importante es activar los procesos de comunicación que existen en la organización y procurar lo que requieren para su gestión; y si aun lo dudan, para muestra les dejamos un botón: La unidad de prevención de legitimación de capitales, seguridad de información, gestión de la continuidad de negocios, auditoría financiera y tecnológica, monitoreo de redes, seguridad integral, gestión de reclamos, service desk, entre otros tantos.
