Por: Iván Rodríguez. Colaborador de Auditool.
EL MARCO DE RIESGO OPERACIONAL
En este documento se presentan algunos de los elementos importantes que constituyen un marco de riesgo operacional. Estos elementos incluyen los fundamentos de la gobernanza, el apetito por el riesgo, la cultura y la conciencia, y las políticas y procedimientos; los componentes básicos de la recopilación de datos, incluidos los datos de pérdidas, la autoevaluación de riesgos y controles, el análisis de escenarios y los indicadores clave de riesgos.
VISIÓN GENERAL DEL MARCO DE RIESGO OPERATIVO
Un buen programa de riesgo operacional debe asegurar que dicho riesgo sea identificado, evaluado, monitoreado, controlado y mitigado. En el documento "Prácticas sensatas para la gestión y supervisión del riesgo operacional", del Comité de Supervisión Bancaria de Basilea en 2011, se proporcionan directrices útiles sobre las mejores prácticas para los departamentos de riesgos operacionales.
Los principales componentes básicos de un marco de riesgo operacional son:
- Recolección de datos de pérdidas
- Autoevaluación de riesgo y control
- Análisis de escenarios
- Indicadores de riesgo clave
El marco también debe abordar la gobernanza, proporcionar políticas y procedimientos, impulsar el cambio cultural y responder al apetito de riesgo e informarlo. Además, el marco debe alimentar los datos en cualquier modelo de capital y debe alimentar los datos y el análisis en los informes de riesgos.
La siguiente figura ilustra un posible marco que incluye estos elementos.
Adaptado de: Operational Risk Management: A Complete Guide to a Successful Operational Risk Framework - Philippa X. Girling
Cada elemento es importante, pero el momento de la implementación y el peso relativo de cada elemento en el marco variará dependiendo de la cultura de la organización y sus factores reguladores y comerciales.
LOS FUNDAMENTOS DEL MARCO
Hay dos elementos que impulsan el diseño y la aceptación del marco de riesgo operacional como un todo. Estos dos elementos son gobernanza, cultura y conciencia.
- Gobernanza
La gobernanza determina los roles y responsabilidades del jefe de la unidad de riesgo operacional y de su equipo, que administra el marco; de los comités que supervisan y toman decisiones clave sobre la gestión de riesgos; de los gerentes de riesgos operacionales en las líneas de negocio y de cada empleado que pueda encontrar riesgo.
Para desarrollar un marco de riesgo operativo que sea eficaz, se debe considerar cuidadosamente una estructura de gobernanza apropiada desde el principio. La gobernanza también debe revisarse al menos una vez al año, para verificar si todavía funciona según lo previsto. El buen gobierno permite la adecuada gestión del riesgo y garantiza que la información sea transparente. La gobernanza mantiene unido todo el marco de riesgo operacional.
- Cultura y Conciencia
Una vez que se ha abordado la gobernanza, el siguiente paso en el desarrollo de un marco de riesgo operacional es abordar de manera proactiva la cultura y la conciencia. La implementación de un marco de riesgo operacional exitoso requiere el compromiso de los empleados de la empresa. Detectar los riesgos operacionales es una habilidad desarrollada. Si bien los riesgos existen en todas las líneas de negocio, se requiere capacitación y la conciencia para identificar los riesgos. El riesgo operacional puede surgir en cualquier rincón de la empresa y puede dar lugar a respuestas de mejores prácticas, o puede ser recibido con indiferencia. La respuesta dependerá del trabajo que se haya realizado en el área de cultura y conciencia.
- Políticas y procedimientos
El siguiente elemento fundamental del marco es políticas y procedimientos. Hace un tiempo las compañías no tomaban muy en serio sus programas de políticas y procedimientos. Hoy, eso ha cambiado drásticamente bajo la atenta mirada de los organismos que ejercen vigilancia y control. Se espera que las empresas tengan políticas y procedimientos claros, accionables y mensurables.
Tener políticas y procedimientos bien administrados le da a una compañía una ventaja y una mayor autonomía cuando interactúa con los supervisores. Un buen marco de riesgo operacional tendrá políticas y procedimientos bien documentados que reflejen los requisitos de cada uno de los elementos.
“BLOQUES DE DATOS”
Con la gobernanza, la cultura y la sensibilización, y las políticas y procedimientos manteniendo el marco unido, se pueden abordar los cuatro principales trabajos necesarios para tener un marco de riesgo operacional efectivo: recopilación de datos de pérdidas, autoevaluación de riesgos y control , análisis de escenarios e indicadores clave de riesgo.
- Recolección de datos de pérdida
Hay dos tipos de datos de pérdida que son clave para el marco: datos internos de pérdidas, que ocurren dentro de la empresa, y datos de pérdidas externas, que ocurren fuera de la empresa.
- Datos de pérdidas internas
La gestión y medición del riesgo operacional requiere acceso a datos sobre eventos que ya han ocurrido en la empresa, y en la industria y la recolección de datos de pérdidas es la primera de cuatro actividades que forman el corazón de un marco de riesgo operacional. Los propios datos de la empresa se conocen como datos de pérdidas internas, mientras que los datos de la industria se conocen como datos de pérdidas externas.
El desarrollo de un conjunto eficaz de datos de pérdidas internas suele ser la primera tarea importante a la hora de elaborar un marco de riesgos operativos. Basilea II, para el caso de Bancos, requiere que una empresa tenga al menos tres años de datos de pérdidas internas para poder seguir un enfoque de medición avanzado. Por lo tanto, la recopilación de datos de pérdidas debe establecerse rápidamente y aplicarse cuidadosamente para garantizar que haya datos de buena calidad.
Si la recopilación de datos de pérdidas se inicia antes de que se establezca una gobernanza adecuada y antes de que se haya abordado la cultura y la concientización, es probable que los datos recopilados sean de menor calidad.
- Datos de pérdidas externas
Los eventos de riesgo operacional que han ocurrido en la industria (pero fuera de la empresa) son muy importantes para comprender el riesgo operativo que enfrenta la empresa. Por lo tanto, la recopilación y el análisis de datos de pérdidas externas es un elemento clave en un programa de datos de pérdidas efectivo.
Los datos externos ayudan a informar el riesgo y controlan la autoevaluación y el análisis de escenarios y, a menudo, son un componente importante en los informes efectivos.
- Autoevaluación de riesgo y control
El segundo de los componentes principales de la actividad de gestión del riesgo operacional es la autoevaluación del riesgo y el control (RCSA). Los riesgos y controles se identifican y evalúan a través de RCSA, con el objetivo de controlar y mitigar cualquier riesgo inaceptable.
Si bien los datos de pérdidas nos dicen lo que ya sucedió, RCSA está diseñado para ayudar a comprender qué riesgos se enfrentan hoy. Los datos de pérdida están retrospectivos, pero RCSA analiza los niveles de riesgo ahora.
No obstante que los datos de pérdidas permiten identificar y evaluar los riesgos que se han producido y considerar cómo controlar y mitigar esos riesgos en el futuro, RCSA permite identificar todos los riesgos, no solo los que ya se han materializado. Los datos de pérdida son retrospectivos. La autoevaluación del riesgo y el control tiene que ver con la previsión.
- Análisis de escenario
La tercera actividad en el marco es el análisis de escenarios. A diferencia de la autoevaluación de riesgos y controles, el análisis de escenarios solo busca riesgos raros y catastróficos. Está enfocado en identificar riesgos plausibles que son tan grandes que pueden ser potencialmente fatales o severamente destructivos para una empresa.El análisis de escenarios enfatiza el marco de riesgo operacional y empuja a los participantes a pensar fuera de su zona de confort. RCSA se centra en las discusiones sobre los riesgos que se enfrentan y los controles vigentes, mientras que el análisis de escenarios requiere que los participantes consideren qué podría pasar si hay una falla grave de los controles o una combinación de riesgos previamente no evaluada.El análisis de escenarios es un área desafiante, y muchas empresas tienen dificultades para cumplir con los requisitos normativos, al tiempo que conservan el valor comercial en el proceso.
- Indicadores de riesgo clave
El bloque final de la recopilación de datos de riesgo operacional es un indicador de riesgo clave. Hay que diferenciar los términos: indicador de riesgo clave y métrica que en ocasiones se usan indistintamente; sin embargo, son bastante diferentes. Las métricas proporcionan una función de supervisión importante en el marco y se pueden adjuntar a los datos de pérdida y a los riesgos o controles en la autoevaluación de riesgos y controles, y pueden proporcionar información útil para el análisis de escenarios. Las métricas también brindan información para los factores de control interno del entorno empresarial que se requieren para un enfoque de medición avanzado. Un indicador de riesgo clave predice que un riesgo está cambiando y permitiría una intervención proactiva. Es difícil encontrar indicadores que sean verdaderos indicadores clave de riesgo o que se puedan combinar para formar un indicador de riesgo clave, porque muchas medidas simplemente cuentan excepciones o miden el rendimiento, en lugar de medir un aumento o una disminución en los niveles de riesgo.
MEDICIÓN Y MODELADO
Una vez que se han establecido los cuatro pilares de recopilación de datos de pérdida, la autoevaluación de riesgos y controles, el análisis de escenarios y los indicadores de riesgos clave, se puede medir y modelar el riesgo operacional. Un cálculo de capital de enfoque de medición avanzado requiere los siguientes elementos:
- datos internos de pérdidas,
- datos de pérdidas externas,
- análisis de escenarios y
- factores de control interno del entorno empresarial.
Esto último se puede obtener a partir de la autoevaluación de riesgos y control y de los principales indicadores de riesgo.
INFORMES
Todos los elementos anteriores alimentan los informes de riesgos operacionales. Sin un informe efectivo, el marco de riesgo operativo es una fábrica que está ocupada fabricando widgets de datos que no se utilizan. Los informes reúnen toda la información que se ha recopilado y analizado en el programa de datos de pérdidas, el programa RCSA, el programa de análisis de escenarios, el programa de métricas y el programa de modelado de capital y lo pone en práctica. La calidad de los informes es fundamental para el éxito de un marco de riesgo operacional. Los informes que dejan a su público preguntando "¿y qué?" Tienen poco valor. Los informes que piden a su audiencia que piensen, digan o hagan algo son de gran valor.
APETITO DE RIESGO
Finalmente, todo el marco se mantiene unido por el apetito de riesgo. Es difícil, pero no imposible, expresar un apetito por el riesgo operacional. A menudo lleva tiempo que un marco de riesgo operacional madure hasta la etapa en la que el apetito por el riesgo puede discutirse y acordarse de manera efectiva. Si bien la gobernanza es el primer pilar o apoyo para el marco, el apetito por el riesgo es su socio. Una gobernanza efectiva requiere una articulación clara del apetito por el riesgo, y el apetito por el riesgo solo puede establecerse cuando existe una gobernanza sólida.
PUNTOS CLAVE – A MANERA DE RESUMEN
Los principales componentes de un marco de riesgo operacional son:
- Las bases:
- Gobernabilidad
- Cultura y conciencia
- Políticas y procedimiento
- Los elementos de datos son:
- Recolección de datos de pérdida, incluyendo:
- Datos internos de pérdida
- Datos de pérdida externa
- Autoevaluación de riesgo y control
- Análisis de escenarios
- Indicadores de riesgo clave
- Recolección de datos de pérdida, incluyendo:
- Las salidas clave son:
- Medición y modelado
- Informes
- El marco opera bajo el apetito de riesgo declarado de la empresa.
C.P. Iván Rodríguez
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool
Bogotá D.C, Colombia