:quality(75)/blogs.gestion.pe/riesgosfinancieros/wp-content/uploads/sites/50/2017/11/25-Blog-Riesgos-Financieros-GREGORIO-BELAUNDE-MATOS.jpg)
Una reflexión sobre las “Matrices” de Riesgo Operacional
En la gestión del riesgo operacional (RO), se suele utilizar, para su identificación y su valoración unas matrices que tienen como ejes esenciales el de Frecuencia o Probabilidad (según que sea baja o alta), y el de Impacto o Severidad (según que sea débil o fuerte/severo), y además se suelen usar cuadrantes con colores para resumir el resultado de ese doble análisis, que luego sirven para valorar cada riesgo identificado. Y en base a eso, se elabora una gestión diferenciada, en función del grado de riesgo involucrado. Parece simple, pero no es tan obvio.
Para empezar podemos, para simplificar, graficarlo así, para el caso de una entidad financiera, por ejemplo:
Por supuesto, en la práctica el grado de detalle de los cuadrantes puede ser mucho mayor se suelen usar escalas de frecuencia y de impacto de 3 a 5 valores para cada eje, es decir que pueden haber más posibilidades que las mostradas acá; cabe sin embargo mencionar que en el resultado final se suele calificar con 4 o 5 colores, usándose el verde, el amarillo, el anaranjado, el rojo, y en algunos países hasta el negro. A menudo se usa la expresión “mapas de calor”.
Como podrán observar, si la frecuencia de un evento de riesgo es baja pero su impacto es severo, se consideraría que es un riesgo elevado/considerable. No será valorado como tan grave como uno de frecuencia alta y de impacto severo (los de la zona “negra”, en este caso, que debería llevar a tomar medidas inmediatas, por su carácter insoportable para la entidad). Esto resulta de la aplicación, en general, de fórmulas aritméticas donde a cada combinación frecuencia/severidad se le asigna un valor numérico que atribuye un color a cada riesgo identificado.
Pues lamento decirles que en la vida real, no es así. Un evento de riesgo de baja frecuencia, incluso de muy baja frecuencia, al tener un impacto fuerte, puede ser tan grave como uno de alta frecuencia de fuerte impacto.
¿El ejemplo más ilustrativo? Los eventos más graves que pueden afectar la continuidad de las operaciones (o del Negocio, como se suele decir) de una entidad u organización. Tales como sismos de gran magnitud u otras catástrofes naturales de gran magnitud, incendios con alto grado de destrucción de un local clave, bombardeos en el marco de guerras, atentados terroristas de gran escala….
Se trata de eventos de muy baja frecuencia, en principio (salvo en ciertos países), y sin embargo: ¿no deberían estar clasificados también como “insoportables”, es decir en la “zona negra”, que requiere tomar medidas inmediatas para poder hacerles frente de la mejor manera posible? Para mí la respuesta es sí.
Pues, si no se les da la importancia debida, hay un riesgo de que la priorización de las medidas a tomar, que tienen que ver con la pronta adopción de un dispositivo de continuidad operativa (o del Negocio), que proteja los procesos, información y personal críticos de la entidad, no sea suficiente: se tenderá a tratar el tema como algo que puede hacerse con tiempo, en vez de verlo con un genuino “sentido de urgencia”.
Desgraciadamente, lo que se ve con mayor frecuencia, es que las organizaciones “se tomen su tiempo” para organizar estos dispositivos, cuando en realidad deberían hacerlo con la mayor premura posible, pues no es algo que se logre en poco tiempo, es muy complejo en la práctica. Peor: frente a eventos de baja frecuencia/probabilidad aparente, tienden a subestimarlos, y a tener un menor sentido de urgencia, aún. En la práctica, ni siquiera los ven como en “zona roja”, sino, como en zona “naranja”, como una suerte de riesgo medianamente grave. Hasta hay mucha gente que se focaliza en la baja frecuencia/probabilidad y piensa: “¿para qué diablos voy a gastar plata en esto y dedicarle energías y apurarme en hacer algo? Tengo todo el tiempo del mundo, esto no es prioritario”.
El despertar suele producirse solamente cuando el evento tan poco frecuente o supuestamente tan poco probable (gran sismo, atentado terrorista, incendio, etc.) se materializa…y no se tenía ningún dispositivo o éste era aún muy insuficiente. Pero ya es muy tarde. Esto recuerda lo que sucede con la disposición a contratar seguros o con las medidas para prevenir las crisis financieras. Muchas veces se olvida que un evento supuestamente poco frecuente en realidad es bastante probable en un momento dado a la luz de las circunstancias: se razona en función de su probabilidad teórica y no de un análisis basado en la realidad (ej.: es como si basándose en el hecho de que uno nunca se ha caído en un hueco o sólo le pasó una vez en su vida, ante el escenario inhabitual de un camino plagado de grandes huecos, uno dijera, “pero no, la probabilidad de caer en uno es bajísima, no hace falta que tenga especial cuidado al pasar por ahí”).
La tendencia a subestimar los riesgos para justificarse a sí mismo la inacción es incorregible; tomar acción es a menudo mentalmente incómodo, lo saca a uno de su “zona de confort”. Las consecuencias para una empresa u otro tipo de entidad pueden ser extremadamente graves, peor aún a nivel “macro” cuando ello se multiplica por muchas empresas y entidades estatales. Y no todas tienen regulaciones para obligarlas a gestionar ciertos riesgos operacionales de alto impacto, como es el caso para las entidades financieras, cuyos supervisores, como la SBS en el Perú, suelen emitir normas al respecto.