jueves, julio 06, 2006

¿ Qué es el Riesgo Operativo (RO)?

Las empresas de cualquier sector de negocios tienen diferentes niveles de exposición al Riesgo Operacional.


El riesgo operacional, operativo o de operación se basa en la posibilidad de que se ocasionen pérdidas financieras a las empresas por eventos o hechos derivados de fallas o insuficiencias en sus procesos estratégicos, administrativos o del negocio, las personas internas o relacionadas, la tecnología de información usada y por eventos externos.


El riesgo de operación incluye el riesgo legal, aunque no se refiere a la posibilidad de pérdidas originadas en cambios inesperados en el entorno político, económico y social.



PREGUNTAS DE LA ENTREVISTA

¿Ha mejorado la situación en los últimos años?


De ninguna manera, por ello la preocupación sobre el riesgo operacional y sus controles, con respecto a otros tipos de riesgos empresariales ha aumentado en proporciones del 20% desde el 2001 hasta el 35% en el 2003, y sigue en ascenso.


Hoy en día las empresas pioneras en la preocupación por el riesgo operacional son las instituciones que participan del sistema financiero de los países. Esto se produce básicamente por el énfasis que el Comité de Basilea en Supervisión Bancaria le ha dado al tema en los últimos años en su Segundo Acuerdo sobre Capital.


En base a este acuerdo, el Comité de Basilea ha publicado una serie de principios y recomendaciones para la conformación de un adecuado ambiente de gestión de riesgos, para la administración de los riesgos y para la Supervisión en los sistemas financieros.


Se espera que después del 2008, las instituciones del sector financiero (Bancos, Sociedades Financieras, Mutualistas, Cooperativas de Ahorro y Crédito, etc.), estén en capacidad de calcular sus requerimientos mínimos de capital en función de las pérdidas acumuladas sufridas a causa de defectos en el control o mitigacion del Riesgo Operacional, Riesgo de Mercado y Riesgo de Crédito.


De acuerdo a esto, las empresas que serán menos cuidadosas en el control de sus riesgos, deberán comprometer más capital para sus operaciones. El público conocerá cuáles serán las empresas más exitosas en el control de los riesgos, y podrá decidir si maneja sus operaciones financieras con empresas más seguras o empresas más riesgosas, lo cual a la vez le permitirá negociar diferentes condiciones para sus operaciones bancarias.


En base a este esquema en algún momento se podrá definir conceptual y funcionalmente el tipo de pérdidas "esperadas, inesperadas y en situación de crisis" que potencialmente pueden producirse, cuantificando las máximas pérdidas asociadas a la dinámica comercial de las instituciones, y por lo tanto permitiendo la asignación del "Capital en Riesgo" para soportar la operación de cada unidad estratégica de negocio.



¿Cómo se ha pronunciado la Superintendencia de Bancos y Seguros (SBS) en relación al control del RO ?


Desde octubre de 2005 está disponible en el website de la SBS la resolución No. JB-2005-834 para la gestión y administración del riesgo operacional. En esta resolución de 19 páginas y aproximadamente 146 controles, el equipo técnico de la Superintendencia ha organizando un conjunto de mejores practicas para mitigar o controlar los riesgos que forman la base del riesgo operacional.


Entre las fuentes de referencia el equipo ha considerado las recomendaciones del Comité de Basilea, modelos de Sistemas de Aseguramiento de la Información tales como ISO/IEC 17799, modelos de Administración de la Tecnología Informática a nivel de Gobierno Corporativo tales como Cobit, entre otros modelos reconocidos como los mejores a nivel global.


Los siguientes mayores aspectos, entre otros, están contemplados en la estructura de la resolución:



TABLA 1

Aspecto Mayor

Breve Descripción

Administración del Riesgo Operativo (Sección III)

Técnicas o esquemas de administración; códigos de ética y de conducta; supervisión interna; sólida cultura de control interno y adecuados sistemas de control interno; procesos, eventos, fallas e insuficiencias (de procesos, personas, tecnología de información y eventos externos); bases de datos centralizadas para administrar los elementos del riesgo operativo.

Reportes sobre el Riesgo Operativo (Sección III, artículo 9)

Detalle de los eventos de riesgo operativo, el grado de cumplimiento de los procesos, políticas y procedimientos, indicadores de gestión para evaluar la eficiencia y eficacia.

Responsabilidades sobre el Riesgo Operativo (sección V)

Nuevas responsabilidades en la administración de riesgos para el Directorio, Comité de Administración Integral de Riesgos, Unidad de Riesgos. Originales responsabilidades ya fueron establecidas por otra resolución en el 2004.

Procesos (sección II artículo 1.1)

Procesos definidos, clasificados, aprobados, inventariados, difundidos, aplicados, controlados, medidos, evaluados, asignados a un responsable, mejorados continuamente, con la respectiva identificación de cuales son críticos y considerando una adecuada segregación de funciones.

Personas (sección II artículo 1.2)

Identificación apropiada de las fallas o insuficiencias, políticas, procesos y procedimientos técnicos definidos para la incorporación, permanencia y desvinculación de las personas, garantizando condiciones laborales idóneas, con información actualizada completa del capital humano.

Eventos Externos (sección II, artículo 1.4)

Oficialmente y estructuradamente se considera la posibilidad de pérdidas derivadas de la ocurrencia de eventos ajenos al control, tales como: - fallas en los servicios públicos, - ocurrencia de desastres naturales, - atentados y - otros actos delictivos.

Tecnología de la Información (sección II, articulo 1.3)

Tecnología de información que garantice la captura, procesamiento, almacenamiento y transmisión de la información de manera oportuna y confiable. Tecnología de información que garantice evitar interrupciones del negocio y lograr que la información inclusive aquella bajo la modalidad de servicios provistos por terceros sea íntegra, confidencial y esté disponible para una apropiada toma de decisiones. Políticas, procesos, procedimientos y manuales, definidos y difundidos formalmente, que aseguren una adecuada planificación y administración. Plan Funcional y Plan Operativo. Información con propietario definido, criterios de control interno aplicados para conseguir la eficacia, eficiencia y cumplimiento. Administración controlada de los servicios de terceros. Adecuados controles sobre las aplicaciones. Sistema de Seguridad de la Información implementado, incluyendo adecuada planificación de contingencias para la continuidad del negocio, entre otros importantes aspectos asociados a la tecnología de la información.

Continuidad del Negocio (sección IV)

Planes de contingencia y de continuidad, a fin de garantizar su capacidad para operar en forma continua y minimizar las pérdidas en caso de una interrupción severa del negocio. Proceso de administración de la continuidad de los negocios.

Servicios Provistos por Terceros (sección VI, disposiciones generales)

Políticas, procesos y procedimientos efectivos que aseguren una adecuada selección y calificación de los proveedores.





Este compendio de mejores prácticas preparado por el Equipo de Riesgos de la SBS representa un conjunto importante de cambios que permitirán a las empresas mejorar sus controles sobre el riesgo operacional, pero también representaran un importante conjunto de inversiones en esfuerzo y presupuesto para las instituciones, los cuales deberían programarse en los próximos periodos fiscales.

Existen unos plazos contemplados en la resolución, que las diferentes instituciones deberán respetar tanto en la realización de un Diagnostico (autoevaluación), y para la Implementación de las disposiciones, tal como se puede visualizar en la Figura1.

Figura 1


Como podemos interpretar en esta figura, las Mutualistas y las Cooperativas tienen plazo para la implementación de los 146 controles hasta octubre del 2009, mientras todas las otras empresas del sistema financiero, y todas las controladas por la Superintendencia, solo tendrán 5 semestres, es decir hasta octubre del 2008.

Este plazo puede considerarse apropiado pero mínimo al considerar que algunos proyectos derivados de la resolución requerirán un tiempo de implementación de al menos 24 meses, como por ejemplo la planificación de la continuidad del negocio, implementación de un sistema de gestión y controles para la seguridad de la información, conformación de una base de datos para monitorear y controlar el riesgo operativo, y aquellos que signifiquen cambios en la cultura organizacional.




¿Cómo debe asumir una institución bancaria estos riesgos ?

El mundo entero está entrando en una etapa de alta preocupación en riesgos y controles. En los próximos diez a quince años los empresarios no podrán evitar la visión sobre riesgos en cada transacción y en cada abordaje a nuevos mercados, nuevos negocios, cambios a su infraestructura, nuevas estrategias en general, etc.


Afortunadamente en Ecuador en los dos últimos años en las instituciones se ha promovido ampliamente, por parte de la SBS y las Calificadoras de Riesgo, la importancia de mejorar sus controles para mitigar o controlar el Riesgo Operacional. Con respecto a las recomendaciones de la norma de la SBS, lo primero que las instituciones deben hacer es un autodiagnóstico independiente y objetivo, para conocer detalladamente cuáles son los temas de la norma que la empresa no tiene implementados, los tiene parcialmente implementados, o deben mejorar para garantizar que el control es efectivo.


El uso de un Checklist de Autoevaluación que contenga con claridad la referencia a los 146 controles será determinante en el primer diagnóstico. Casi simultáneamente las empresas deben evaluar cuales serán sus necesidades inmediatas de capacitación, pues algunos de estos temas son totalmente nuevos en nuestro medio. Una vez realizado el autodiagnóstico, las empresas deben definir qué proyectos requerirán e integrarlos de manera efectiva en su presupuesto anual de cada año hasta el 2008 o 2009, de modo que preferentemente estén sintonizados con su planificación estrategia empresarial.


Una oportuna evaluación y análisis costo-beneficio permitirá a las empresas determinar cuáles son los proyectos realmente viables y cuáles son los riesgos que atenderán de manera diferente a la implementación de controles directos. Obviamente las empresas deben reportar en el plazo previsto su enfoque particular a la SBS, la cual realizará el previsto seguimiento al cumplimiento de cada proyecto.


Es importante que en las empresas revisen cuidadosamente los artículos de la norma pues aunque las instituciones pueden sentir, al leer rápidamente los párrafos, que algunos temas ya los tienen cubiertos, es muy probable que al leer por segunda y tercera vez encuentren entre líneas la clara pista de que lo que tienen no lo cumplen en el alcance requerido por la norma. Una evaluación independiente descubrirá estos casos rápidamente.



¿Qué es la administración de riesgos?

Las instituciones deben contar con un sistema de administración del riesgo de operación que les permita identificar, medir, controlar / mitigar y monitorear los riesgos de manera que se fortalezca su seguridad y solidez, con la finalidad de proteger los intereses del publico y de sus accionistas o relacionados.

Las instituciones deben gestionar el riesgo de operación, como elemento fundamental de una administración preventiva que reduzca la posibilidad de pérdidas e incremente su eficiencia, para lo cual deberán implantar mecanismos, estrategias, tecnología, procesos y contar con recursos humanos calificados y experimentados a fin de mitigar este riesgo.


¿Qué posición debe asumir el sistema bancario y financiero en relación a las regulaciones de la SBS ?

Al momento no queda la menor duda de que al momento las instituciones están recibiendo las resoluciones con una posición constructiva, pues están claros los objetivos que se esperan alcanzar con respecto al mejoramiento de los controles para minimizar el Riesgo Operacional.

Lo que se ha notado en algunos gerentes es una subestimación al alcance de la norma sobre riesgo operativo. Es decir, no se ha dimensionado con claridad en las empresas cual es el esfuerzo y recursos económicos que deberán invertir para poder implementar satisfactoriamente las disposiciones, por lo cual veremos en el corto plazo como las unidades de riesgo aumentaran en forma no planificada su staff este año y como muchas empresas se inclinaran en el ultimo momento antes de los plazos, por contratar servicios profesionales y de consultoria externos.

Google