:quality(75)/blogs.gestion.pe/riesgosfinancieros/wp-content/uploads/sites/50/2017/11/25-Blog-Riesgos-Financieros-GREGORIO-BELAUNDE-MATOS.jpg)
Durante el año pasado se ha ido conociendo mejor la noción de Resiliencia Operacional, que es más amplia que la noción de Gestión del Riesgo Operacional (GRO), incorporando aspectos más organizacionales y sistémicos. Efectivamente en marzo del 2021 el Comité de Supervisión Bancaria de Basilea (o BCBS) publicó una actualización de los Principios para el buen manejo del riesgo operacional y al mismo tiempo unos Principios para la Resiliencia Operacional. Y aún así, la noción no es completamente nueva y tiene un mayor alcance. Explicaremos primero de qué se trata, tomando como base el texto del BCBS.
El punto de partida es que el “paisaje” de los riesgos ha evolucionado muy rápido en los últimos años, con riesgos nuevos (ciber-criminalidad) y con riesgos extremos que han “aparecido” (se debería decir en realidad que han reaparecido), como el de pandemias, con la crisis del Covid-19 (en los bancos asiáticos ya tenían un antecedente serio con el SARS). Hay riesgos que no se pueden evitar, pero se puede resistir bien a su materialización.
La Resiliencia Operacional es el resultado de una gestión efectiva del riesgo operacional, que incluye a la gestión de la continuidad operacional y a la gestión de las dependencias de terceros. La Resiliencia Operacional es la capacidad para una Entidad de seguir proveyendo sus servicios a través de situaciones disruptivas, pensando en que estas se producirán de todas maneras (esto descarta caer en la habitual subestimación del riesgo).
Los Principios para la Resiliencia Operacional son siete, y los mencionamos a continuación.
1) Gobernanza: los bancos deberían usar su estructura de gobernanza existente para establecer e implementar un enfoque efectivo de resiliencia operacional que les permita responder y adaptarse a eventos disruptivos, así como recuperase y aprender de ellos a fin de minimizar su impacto en la provisión de operaciones críticas a través de situaciones disruptivas
2) Gestión del Riesgo Operacional: los bancos deben apoyarse en sus respectivas funciones de GRO para identificar de manera constante amenazas externas e internas y fallas potenciales en las personas, procesos y sistemas, para evaluar prontamente las vulnerabilidades de las operaciones críticas y gestionar los riesgos resultantes de acuerdo con su enfoque de resiliencia operacional
3) Planificación de la Continuidad Operacional y Pruebas y Ensayos: los bancos deberían disponer de Planes de Continuidad del Negocio y conducir pruebas y ensayos incorporando un rango de escenarios severos pero plausibles, a fin de probar su capacidad de proveer sus operaciones críticas a través de situaciones disruptivas.
4) Mapear interconexiones e interdependencias: una vez que la entidad ha identificado sus operaciones críticas, debería mapear las interconexiones e interdependencias internas y externas necesarias para la provisión de operaciones críticas, de manera consistente con su enfoque de resiliencia operacional.
5) Gestión de la Dependencia de Terceros: los bancos deberían gestionar sus dependencias respecto de relaciones con terceros, incluyendo aquellas con entidades relacionadas y con subcontratistas, para la provisión de operaciones críticas
6) Gestión de Incidentes: los bancos deberían desarrollar e implementar planes de respuesta y de recuperación para gestionar incidentes que podrían perturbar su provisión de operaciones críticas en línea con su apetito por riesgos y su propia tolerancia a la disrupción; los bancos deberían mejorar continuamente dichos planes mediante la incorporación de las lecciones aprendidas de incidentes anteriores
7) Tecnologías de Información y Comunicación, incluyendo Ciber-seguridad: los bancos deberían asegurarse de tener TIC resilientes, incluyendo ciber-seguridad sujeta a programas de protección, detección, respuesta y recuperación que sean regularmente ensayados, incorporar una adecuada conciencia situacional y transmitir a tiempo información relevante para los procesos de gestión de riesgos y de toma de decisiones, a fin de apoyar plenamente y facilitar la provisión de las operaciones críticas.
Por supuesto, esto aplica en realidad a todas las entidades financieras, no se limita a los bancos. Y así lo hace la SBS cuando traduce las reglas de Basilea en la regulación nacional con ajustes tomando en cuenta el avance respectivo de los tipos de entidades financieras.
Pero como lo decía al comienzo, la noción no es totalmente nueva: ya estaba de manera no tan indirecta en el Marco de Sendai para la Reducción del Riesgo de Desastres 2015-2030, como parte del objetivo general de Resiliencia, mencionando temas como la continuidad de los servicios básicos esenciales. El Comité de Basilea la profundizó pensando en los bancos, pero en realidad la noción es utilizable para todo tipo de organizaciones, es decir también para otros tipos de empresas y para las entidades del Estado; e incluso a nivel país (en línea con el marco de Sendai).
Habrán notado la importancia que estos principios dan a los aspectos organizacionales. Esto tampoco es tan nuevo. Era una tendencia creciente que se veía ya en estándares internacionales relativos a la gestión integral de riesgos y al control interno. Y en Julio del 2013 tuve la oportunidad de desarrollar con cierto detalle el concepto de Riesgo Operacional Organizacional, ligado a la problemática de las organizaciones disfuncionales que se convierten en sí mismas en fuentes de riesgo operacional. Cuando esto sucede de manera sistémica en el Estado, ya pueden imaginarse las consecuencias para un país.
Desgraciadamente, mientras que por un lado las instituciones financieras tratan, unas mejor que otras, de ir hacia una mayor resiliencia operacional, con el Comité de Basilea y, en el Perú, la SBS como guía, no es lo que parece verse en otros sectores empresariales. Basta ver el problema del derrame petrolero de Repsol, que parecía haber ido mejorando su gestión del riesgo operacional. Pero a nivel mundial, la crisis del Covid-19 ha desnudado también grandes vulnerabilidades en muchas empresas, incluyendo retrocesos de los últimos años en su gestión del riesgo operacional, motivados en gran parte por una obsesión cada vez mayor por la reducción de costos a cómo dé lugar, lo que contribuyó además mucho a cadenas de suministro cada vez más vulnerables.
En cuando al Estado, en nuestro país, parece haber estado más bien empeñándose en hace el camino inverso al de la Resiliencia Operacional: ser lo más disfuncional posible, acrecentando a pasos agigantados el riesgo operacional sistémico, al punto de parecer tener fuertes instintos autodestructivos. El problema es que quienes pagarán por el camino que se ha tomado, acerca del cual no se sabe si es tontamente suicida por ignorancia e incompetencia, o guiado por oscuros intereses (¿o por ambos?), serán el país entero y toda la población.
