La gestión de riesgo operacional no puede ser considerada como un simple marco de trabajo, que conlleva a mitigar posibles eventos que ocasionen pérdidas a la organización. Visto así, es una forma de establecer un procedimiento que es más teórico que práctico. La razón es que la realidad, cuando se analiza un proceso de una organización, se aislan factores y componentes de riesgo que en si mismo, no ocasionan daño o manifiestan alguna posibilidad de potenciar debilidades.
Para administrar el riesgo operacional, se tiene que conocer el objetivo del proceso y el contexto en el cual, él mismo se ejecuta. En simples palabras, conocer muy bien la razón de la organización y el aporte que se obtiene de ejecutar satisfactoriamente los procesos. Es por ello, que parte de la limitación que se encuentra para que la práctica de riesgo operacional sea efectiva, es que se quiere evaluar el proceso contra un inventario de eventos, el que se relacionan a los componentes humanos, tecnológicos, prácticas y de entorno.
Estos a su vez, son valorados con base a estimaciones cualitativas, en el que se decide el nivel de riesgo que se afronta, de acuerdo al tipo de "riesgo" o "evento", que la organización o la gerencia a cargo de la administración de riesgos, haya tipificado. Esta técnica es aceptable, siempre y cuando no conlleve, a realizarse en forma mecanica; en la que a la larga se pierde el interés por realizar el análisis detallado del proceso y del posible riesgo al que se esté exponiendo la organización.
De lo anterior, posiblemente, se termina obteniendo resultados similares en todas las evaluaciones. La razón, es que se evalua al factor de riesgo en si mismo, sin contextualizarlo en el proceso, y a su vez el proceso dentro del negocio. De allí que los eventos pudieran estar subestimándose, y en consecuencia, los resultados que se obtengan, aplicando un proceso de backtesting[1]; muy posible que sean nada cercanos a lo que se consideró en el escenario de estimación de riesgos.
Es por ello que la evaluación, debe tener como condición que se alcance pleno conocimiento de lo que se evalúa. El análista de riesgos, debe tener clara conciencia de qué tipo de empresa evalúa, en qué sector se desarrolla su operación, cómo sus procesos contribuyen a lograr los objetivos; y en consecuencia a ese conocimiento, se estará preparado para realizar un análisis de riesgo operacional. Esta actividad la tendrá que desarrollar siempre, cuando el ciclo de evaluación o demanda por requerimiento interno o externo, así lo exija. Nada debe darse por aceptado, sin haber sido evaluado. La razón fundamental: "La empresa es un organismo que forma parte de otros sistemas y los cambios, internos y externos son permanentes". El estándar AS/NZS 4360[2] refiere a esta actividad en el "Establecimiento del Contexto".
Debe tenerse presente que si esta etapa inicial no se logra satisfacer, el proceso de evaluación de riesgo operacional puede estar sometido a generar resultados de poco interés para la gerencia y los tomadores de decisiones; por lo cual terminará convirtiéndose en una rutina aburrida y de con poco valor para cerrar brechas o crear contramedidas que reduzcan amenazas. Si queremos que esta práctica tenga éxito, debemos procurar que cada etapa se desarrolle adecuadamente y se debe tener claro que la primera, es en la mayoría de las ocasiones es subestimada en su ejecución.
[1] Backtesting: Es el análisis que se realiza para estudiar el grado de cumplimiento de los modelos que predicen determinada conducta de variables específicas. En las prácticas de riesgo se busca evaluar a posteriori, el número de ocasiones que las pérdidas reales, establecidad para un portafolio, han superado las cifras que el modelo de valor en riesgo estimó.
[2] AS/NZS 4360: Australian/New Zeland Risk Management 4360-2004. © Standards Australia/Standards New Zealand
