Principios de Gestión del Riesgo Operacional

Para empezar, hay que identificar los diferentes riesgos, lo que se suele hacer a partir de la tipología presentada la vez pasada, y luego evaluarlos en función de su importancia. 

Para hacer esta identificación y evaluación, se establece matrices de riesgos, y se les valora en función de su frecuencia e impacto, lo que permite identificar riesgos insignificantes (frecuencia baja e impacto baja), riesgos recurrentes (frecuencia alta e impacto bajo), riesgos significativos (frecuencia baja e impacto alto) y riesgos insoportables (frecuencia alta e impacto alto), que corresponden a situaciones de crisis aguda. Se trata de una visión simplificada, las matrices son algo más complejas que eso. Para facilitar ese trabajo, se recomienda constituir bases históricas de eventos de pérdidas.

Como es obvio, la manera de gestionar estos riesgos no va a ser la misma según su grado de frecuencia y de impacto (o de severidad, como se suele decir).

La primera respuesta, en presencia de riesgos vistos como insoportables, sería sencillamente de EVITAR el riesgo. Ello puede llevar a decisiones como no lanzarse en una nueva línea de negocio poco conocida y para la cual no se dispone de los sistemas adecuados, por ejemplo. Un ejemplo caricatural sería: no salir de su casa para no tener ningún riesgo de accidente o de robo afuera. Pero no olvidemos que el riesgo cero no existe, no todo se puede evitar. Y siempre pueden aparecerse riesgos insoportables. Entonces más vale tomar medidas adicionales de gestión.

Es una de las maneras de MITIGAR el riesgo que se ACEPTA.

Para ello, el control interno permanente es en sí un método preventivo de reducción del RO, entonces, de gestión. Una buena cultura de este control permanente es necesaria para tener una buena gestión del riesgo operacional.

Ayuda a reducir las pérdidas que podrían presentarse por los eventos de pérdida, al hacerlos menos frecuentes o al reducir su impacto: doble firma, check-lists para el personal operativo, controles automáticos, procedimientos claros, sistemas de alerta, medidas e implementos de seguridad, etc.

Lo que se llama el Plan de Continuidad del Negocio es también una técnica de prevención, que forma parte del sistema global de control interno: consiste en tomar por adelantado todas las medidas que permitirían seguir funcionando aún en caso de un evento grave, e incluyen en general equipos de gestión de crisis que entran en acción apenas se produce un evento que lo requiera. En los 90 un banco francés bien preparado no interrumpió sus operaciones en el mercado de capitales, a pesar del incendio de su sede, gracias a una sala de mercados alterna y al relevo tomado por sus equipos en otros grandes centros financieros. En el Perú, el problema clave son los terremotos y eventos ligados a las lluvias.

Otro tema preventivo clave es de la Seguridad de los Sistemas de Información y Comunicaciones, por la importancia cobrada por las bases de datos, por los aplicativos y las telecomunicaciones en las operaciones, y por la diversidad de ataques que pueden sufrir desde el interior y el exterior. No por nada la SBS, para las entidades financieras, ha regulado de manera más detallada este aspecto, así como el de Continuidad del Negocio.

Los otros métodos de gestión tienen más una lógica de protección y/o de financiamiento del riesgo. Se va a buscar COMPARTIR o TRANSFERIR el riesgo o sino, FINANCIARLO con recursos propios o externos.

Las coberturas financieras internas consisten primero en CONSERVAR el riesgo.

Se trata de costos menores que van siendo asumidos en la cuenta de resultados de la empresa; para esos tomar un seguro podría resultar más caro que el costo real; se financia en realidad con los márgenes y comisiones del negocio. Eso es válido si se tiene un buen sistema de seguimiento y se es capaz de detectar cambios de tendencia y tomar medidas rápidamente. 

O sino, se puede constituir una provisión para una pérdida potencial, lo que se puede hacer para temas específicos o como una provisión general estadística a partir de data de pérdidas habituales (lógica prudencial).

El patrimonio efectivo (capital) es la última línea de defensa en esa lógica: se piensa sobre todo en eventos poco frecuentes de fuerte impacto, pero es en general como último recurso, si por alguna razón no se ha podido asegurar.

A veces, como alternativa, se puede pedir en el mercado financiero una línea de crédito contingente, para el caso de siniestro (los cat bonds o “bonos catástrofe” en EE.UU.).

Y luego están, por supuesto, los seguros y productos similares. Tomar un SEGURO, es COMPARTIR o TRANSFERIR el riesgo.

Se puede también cubrir solamente una parte de un riesgo potencial muy significativo, contando con la protección de un nivel de capital elevado. Ello supone hacer cálculos de costo/beneficio; a veces no vale la pena hacerlo, por razones de costo: muchos riesgos grandes son muy difíciles de asegurar.

La gama de seguros es muy variada: para los activos físicos, para los sistemas de información de manera global, contra los fraudes y robos, para cubrir la responsabilidad civil, etc .Existen mecanismos de seguros ad-hoc igualmente, con estructuras de pago más complejas, o seguros muy específicos como los seguros condicionados a cambios climáticos, por ejemplo para El Niño.

A veces se utiliza la sub-contratación, para evitar ciertos riesgos de hacer algo mal. Pero hay que ser consciente de que ello  puede generar varios riesgos adicionales, y no sólo operacionales, pues  se controla menos el proceso y se depende de la calidad de la gestión de riesgos de otros.

Es obvio que en una empresa, la identificación de riesgos debe hacerse a nivel de todas las áreas, lo que debe ir de la mano con la “cultura” del control interno permanente en toda la organización;y gracias a ese trabajo, la empresa puede elaborar sus estrategias frente a sus riesgos (conservar, financiar, compartir, transferir, evitar….).