Riesgo operativo en una empresa

[pic 2]

[pic 3]

Act. Alejandra Metelli, Lic. Luciano Pizarro

Palabras claves: riesgo operativo, matriz, control, pérdidas esperadas, impacto.

Introducción

Cada día en nuestra profesión escuchamos con mayor frecuencia la palabra riesgo. A pesar de que solemos relacionar al mismo con entidades financieras o gubernamentales, lo cierto es que en cualquier proyecto, negocio o empresa existe y estamos obligados a identificarlo y tratarlo. Aunque los actuarios son los profesionales que se encargan de evaluar y valuar los distintos tipos de riesgo y el impacto que pueden tener en nuestra empresa, todos los profesionales con poder de decisión deben tener noción del mismo para poder tomar las acciones correctas.

En el siguiente artículo nos enfocaremos en analizar uno de los riesgos más frecuentes y más peligrosos para una empresa, pero menos estudiado: el riesgo operativo. El riesgo operativo está presente en todas las empresas, tanto sea una gran corporación como una mediana o pequeña empresa.  

El riesgo operativo es intrínseco al propio negocio, por lo que es necesario estudiarlo y analizarlo para aprender, de la mejor forma, a convivir con él. Las fuentes de riesgo operativo se pueden dividir en cuatro claras categorías: personas, procesos internos, eventos externos y tecnología de la información.  

A pesar de que muchas veces en las empresas se intenta mitigar el riesgo operativo a través de un consenso implícito entre los personajes que componen la empresa, muchas veces esto no es suficiente y se deben implementar disposiciones y modelos de trabajo oficiales. La realidad muestra que estos modelos, a pesar de no eliminar por completo los riesgos operativos, si ayudan a minimizarlos y lo más importante, es que ponen en alerta a los empleados sobre la existencia de estos y toman medidas a priori ad-hoc. En un mundo competitivo y globalizado como el de hoy en día, es fundamental e imprescindible que una empresa si desea sobrevivir y crecer, mejore el desempeño y opte por una buena gestión del riesgo. Con el fin de detectar, analizar y gestionar el riesgo operativo es menester que un profesional en administración del riesgo, como los actuarios, y los contadores actúen y trabajen de forma conjunta.

Asimismo, en este artículo mostraremos los principales mecanismos para cuantificar el riesgo operativo, los distintos mecanismos para mitigarlo y cuáles pueden ser las posibles repercusiones y consecuencias de mitigar este riesgo.

Gestión del riesgo operativo

Sobre todo, las pequeñas y medianas empresas en pleno crecimiento suelen subestimar las consecuencias del riesgo operativo y no tienen personal a cargo de evaluarlo. Lo cierto es que muchas veces se genera esta situación por falta de personal capacitado en administración del riesgo. Existen cinco etapas fundamentales para administrar cualquier tipo de riesgo: la identificación, evaluación, medición, monitoreo y control. En el siguiente apartado, mostraremos una matriz de riesgo operativo en la cual se resume la forma en la cual se suele trabajar y gestionar estos riesgos.

Cada entidad o empresa es un mundo distinto y, por este motivo, se deben generar estrategias ad-hoc para gestionar y mitigar los riesgos de cada institución. Las grandes empresas pueden tener departamentos específicos para tratar con estos, o bien, esta tarea se suele delegar a estudios actuariales que tienen la función de la gestión integral del riesgo de la empresa.

En primer lugar, la identificación requiere un análisis exhaustivo de la situación coyuntural de todos los departamentos de la empresa y de los factores internos y externos que podrían afectar la operación y los objetivos institucionales. Una vez que los riesgos hayan sido identificados, la entidad debe evaluarlos y tomar las decisiones adecuadas para controlarlos, mitigarlos o aceptarlos. Como es de esperar, es menester medir la probabilidad de ocurrencia e impacto de dicho riesgo.

En segundo y tercer lugar, se requiere una medición y monitoreo de los riesgos operacionales. El primero se refiere al uso de técnicas cualitativas y cuantitativas que intentan estimar las pérdidas esperadas de aquellos riesgos y las ganancias esperadas si se toman medidas para controlarlos o mitigarlos. Dependiendo del apetito al riesgo de la empresa y de la probabilidad de ocurrencia del evento, la empresa optará por tomar medidas de control y mitigación o bien aceptarlas. Por último, se requiere un control periódico para la correcta administración del riesgo. Los imprevistos no son hechos casuales o puntuales en el tiempo, sino que es condición necesaria realizar evaluaciones periódicas y consistentes con las evaluaciones hechas anteriormente. Cualquier desvío o deficiencia del sistema de control debe ser reportado para iniciar nuevamente el proceso.

La tarea propiamente del administrador del riesgo de una empresa no se atomiza a trabajar con un departamento en particular, sino que es parte de su trabajo tener contacto permanente con todas las áreas para identificar posibles focos de futuros conflictos y pérdidas.

Consenso en el Acuerdo de Basilea

El riesgo operativo es uno de los temas en agenda en el sistema financiero, especialmente en el sector bancario luego de la crisis del 2008. La mala gestión del riesgo operativo puede finalizar en pérdidas millonarias capaces de desequilibrar el sistema bancario. Por este motivo, en el año 2004, en el Acuerdo de Basilea II^[1] se trató y analizó las posibles repercusiones de este riesgo y se introdujeron algunas de las prácticas esenciales para administrarlo. De hecho, a partir de este acuerdo, las gerencias de los principales bancos del mundo se percataron de la importancia que tiene la actuación y el trabajo complementario de los contadores y los actuarios dentro de una entidad bancaria o una corporación.

El acuerdo de Basilea I tiene un enfoque de tipo contable, en el cual se establecieron ciertos consensos generales respecto a la contabilidad bancaria. El Acuerdo de Basilea II presta especial atención a la gestión y administración dinámica de los distintos tipos de riesgos presentes en la industria financiera y la introducción del riesgo operativo. Es tal la importancia del riesgo operacional dentro de una institución financiera que el Comité de Basilea II publicó en 2010 el documento “Sound Practices for the Managment and Supervision of Operational Risk”^[2], en donde se establecieron los principios fundamentales para una gestión, supervisión y control eficaz del riesgo operativo.

Fuentes de riesgo operativo

Muchas veces para medir el riesgo operativo se realizan estimaciones estadísticas basadas en hechos históricos y para, a partir de ellos, generar distribuciones de pérdidas esperadas. Pero ese trabajo suele ser incompleto. Para trabajar y administrar de forma correcta el riesgo surge la necesidad de plantear diferentes escenarios de situación en el que jugará un papel fundamental la opinión del profesional de riesgo y sus colaboradores. Usualmente este equipo está conformado por los contadores, auditores, actuarios y estadistas de la empresa.

Las principales fuentes del riesgo operativo son los procesos internos intrínsecos a la operación de la empresa, las personas que las componen, la tecnología de la información y los eventos externos a la empresa.

El primero de ellos identifica la posibilidad de incurrir en pérdidas debido a fallas en los procesos, políticas o procedimientos inadecuados. Este riesgo suele estar presente en todos los negocios, por lo que es importante detectarlos y controlarlos para intentar reducir su impacto en la empresa. El riesgo operativo relacionado a las personas y empleados de la compañía suele estar vinculados a actos de negligencia, error humano, sabotaje, fraude u otros actos fuera del sistema de gestión que vayan en perjuicio de la empresa. Hoy en día la tecnología juega un rol fundamental en el desempeño operacional de la empresa, por lo que para reducir el riesgo referido a la tecnología de la información se requiere un control minucioso de todos los sistemas de información que pueden afectar el desarrollo de las operaciones y servicios que realiza la institución. Por último, los eventos externos se relacionan con la ocurrencia de eventos ajenos al control de la empresa que puedan alterar el desarrollo y el cumplimiento de los objetivos institucionales. Algunas de los más comunes suelen ser las contingencias legales, la ocurrencia de desastres naturales, la falla en los servicios públicos, entre otros.

Matriz de riesgo operativo: definición de parámetros

Cada vez más las empresas son conscientes de los riesgos operacionales y utilizan la metodología de armar una matriz de riesgo operativo. Usualmente estos servicios suelen estar tercerizados a estudios o auditoras para realizar un análisis objetivo sobre la realidad operacional de la empresa.

El objetivo de esta matriz es identificar los posibles riesgos que pueden afectar a la empresa, cuantificar las pérdidas esperadas de estos y generar un plan de acción capaz de establecer los controles adecuados para minimizar y mitigar los riesgos operativos.

...