miércoles, 22 de diciembre de 2010
Conocer la Organización para aplicar la Gestión de Riesgo Operacional
lunes, 15 de noviembre de 2010
Alinear las Normas de Riesgo con el Negocio Bancario
Lo que se debería hacer (o al menos intentar hacer)
martes, 12 de octubre de 2010
El Objetivo de la Gestión de Riesgo Operacional
miércoles, 15 de septiembre de 2010
El Autoengaño nos hace tener una mejor perspectiva del Riesgo Operacional
domingo, 15 de agosto de 2010
El cálculo del cápital de riesgo operacional por el método estándar: ¿Es un castigo a la eficiencia?*
En junio de 2004, el Comité de Supervisión Bancaria de Basilea, emitió en forma definitiva el documento que establecía la convergencia internacional de medidas y normas de capital (Basilea II); entendiéndose este documento como un acuerdo que establece un marco de trabajo para desarrollar prácticas que gestionen los riesgos a través de modelos que combinan herramientas estadísticas y matemáticas, calculando provisiones de capital de riesgos de mercado, crédito y operacional.
Desde entonces y a partir de dicho acuerdo, los organismos supervisores bancarios han generado un conjunto de normas que conllevan a las instituciones bancarias a desarrollar una gestión integral ante los riesgos, calculando una provisión de capital necesaria que corresponda con el perfil de riesgo que dichas instituciones identifiquen a través de autoevaluaciones. En forma teórica, no se observan dificultades más que los esfuerzos por sensibilizar a una organización que probablemente no haya gestionado los riesgos en forma proactiva o con un marco de gestión adecuadamente estructurado, tal como ocurría en aquellos tiempos por toda Latinoamérica.
¿Qué ha pasado desde el 2004 al presente?
Los organismos reguladores han generado normativa muy específica para enfrentar la posibilidad de enfrentar eventos adversos que se deriven de las vulnerabilidades o amenazas que son inherentes a los componentes de riesgo operacional (procesos, personas, tecnología y entorno). Estas normas instan a las instituciones a realizar programas que optimicen los procesos, sensibilicen a las personas, hagan aprovechamiento óptimo del uso de los recursos tecnológicos buscando la idonea alineación entre las necesidades del negocio y el uso de los servicios de tecnología. Adicionalmente plantea el fortalecimiento del ambiente de control, se creen planes de contingencia en todo ámbito con el objetivo de garantizar el cumplimiento de los acuerdos de servicios con sus clientes. En resumen, lograr que se minimice la pérdida (contable y extra contable), con lo cual se hace más eficiente a la organización.
Hasta este punto, todo bien. Sin embargo un detalle que es identificado en la mayoría de las normativas de algunos países, es que se le exige a las instituciones que calculen el valor de las pérdidas por riesgo operacional por el método estándar, propuesto por el acuerdo de Basilea II. En este método, se exige que se agrupe los ingresos brutos por las distintas líneas de negocios que manejan los bancos. Una vez identificados los ingresos brutos por cada línea, se calcula el valor de capitla de riesgo operacional multiplicando el monto del ingreso bruto por un factor, el cual es una tasa que va desde 12% hasta el 18%; el cual es denominado beta, asignado a cada una de las líneas.
De acuerdo a Basilea II, los betas fueron determinados utilizando una aproximación a la relación que existe entre un grupo específico de bancos y el historial de pérdidas derivado del riesgo operacional en las líneas de negocios; así como por el nivel agregado de ingresos brutos generados por esa misma línea de negocio. Vale la pena destacar que existen algunas particularidades para cada país en las normativas de riesgo, más sin embargo no desvirtuan la contradicción que queremos exponer y que esperamos sea corregida en el mediano plazo.
El método estándar no es para organizaciones eficientes
Esta afirmación conllevará a mucha polémica, pero no es fácil desestimar como las organizaciones hacen inmensas inversiones en tecnología, mejoramiento en los ambientes de control, mayores esfuerzos y mejora continua en sus procesos para cada día ser más eficientes. Así como optimizar el uso de sus recursos y talento; conllevando todo esta alineación e integración de acciones a una mejora sustancial de sus ingresos o disminución de sus gastos en todos sus servicios y productos, que posteriormente tendrán que ser agrupados en sus respectivas líneas de negocios, a las que se les aplicará una tasa el cual establecerá una provisión por riesgo operacional que no incentiva en nada el realizar semejante esfuerzo, pues indudablemente los ingresos serán mayores.
Es posible que haya algo que no estemos interpretando bien. Además, estamos totalmente de acuerdo que si la organización hace más negocios deba tener una provisión de capital de riesgo acorde a su perfil; pero de nuevo, caemos en la diatriba que conlleva a preguntarse: ¿Para qué se realiza la debida diligencia de ser más seguro, confiable y eficiente si al final de todo se pierde el incentivo porque debo crear una provisión más grande porqué mis ingresos mejoraron en consecuencia a las buenas acciones? Esta contradicción se observa en las distintas normativas que algunos países aplican.
La solución a esta inconsistencia conlleva a utilizar un método más sensible al riesgo al que se expongan las instituciones, el cual se explica en Basilea II, pero que de por si, le colocan un nombre que hace que la mayoría lo estigmatice como algo complejo, pues el nombre por el cual se conoce es el "método avanzado"; y de paso, exige que sea aprobado por los organismos reguladores, debido a que se deben crear registros históricos que deben acumuparse en al menos tres a cinco años, con la pérdida financiera materializada. Esta información será sometida a modelos estadísticos que estimarán, con base a la frecuencia e impacto de tales eventos, la pérdida máxima posible por riesgo operacional. No es tan simple como el método estándar, pero: ¿Esto es peor que hacer semejante esfuerzo para ser super eficientes y que luego, en consecuencia mejoren los ingresos para que me lleven a crear una provisión que desestimule todo lo que se hace para bien de la organización y de los clientes?
Sin duda el método avanzado ayudaría a que la inconsistencia de ser más eficientes y tener más provisión sea resuelta. Esto permitiría alinear las mejoras en la eficiencia (aumento sustancial de los ingresos) con una menor provisión por concepto de capital de riesgo operacional; pero para que esto suceda debe cumplirse una condición especial: Que los supervisores y supervisados entiendan con claridad el riesgo operacional.
lunes, 19 de julio de 2010
El Riesgo de la Procastinación
Procastinar es la acción de dejar para mañana lo que debemos hacer hoy. Esto viene dado porque las personas preferirán posponer actividades importantes que exigen su atención, representando cierta complejidad; en su lugar estas personas ejecutarán actividades de menor importancia y que son más agradables.
Se comprende lo de sustituir actividades no muy agradables por otras más agradables, pero "lo importante" por lo "menos importante" no es tán simple de ver en principio. Lo cierto es que se relaciona con la responsabilidad inherente a las tareas, más si tiene que ver con el ámbito profesional.
Veamos una situación como ejemplo: Existe una actividad por realizar en la organización, que de resultar éxitosa redundará en ganancias; pero en caso contrario, es decir que los responsables de esta actividad fallen, podrían estar expuestos a perder sus trabajos o no obtener las bonificaciones esperadas, por lo que siempre se verán incentivados a tomar tareas que puedan ser logradas sin dificultad y que probablemente no sean las más importantes para la organización. Procastinar es un riesgo al que toda organización está expuesta y que de no asumir que la puede padecer terminará en ser una empresa de bajo rendimiento con muy pocas probabilidades de lograr el éxito en sus objetivos.
Los síntomas que pueden darnos algunas señales que se sufre de procastinación son observardas a través de relaciones de productividad e inversión, gestión de proyectos, así como el crecimiento de estructuras organizativas y del staff. Esto se debe demostrar a través del análisis de indicadores que se construyan para tal fin.
¿Cómo se mitiga la procastinación?
1.- Sensibilización en todos los niveles
La sensibilización es el primer paso que debe darse dentro de la organización. Desde la Alta Gerencia hasta el personal operativo debe saber que el éxito de la organización estará en que cada quien deberá asumir el rol que se le haya asignado. Otro aspecto a sensibilizar es que no necesariamente cometer un error significa la muerte o condena profesional. Estas situaciones en las cuales una persona comete un error la mayoría de las veces viene dado a que no se le ha entrenado suficientemente o la supervisión de los procesos son muy débiles, permitiendo que a la larga se deteriore la calidad de los servicios y productos. En principio, el mayor enemigo que tenía la gestión de riesgo operacional era la que no se entendía, como si alguién cometía un error en un proceso éste debía reportarlo. La idea no es castigar, la idea es aprender, corregir y mejorar. Si bien, cometer errores no merece que se otorguen premios, tampoco se debe castigar, pues esto conlleva a crear culturas oscuras que buscan complices para ocultar fallas y evadir responsabilidades.
2.- Roles Claramente Definidos
Todo el personal de la organización debe saber cual es su rol en la organización y por ende debe asumirlo con la responsabilidad que se le induce al momento de ser contratado. Para ello, el personal debe saber como será evaluado y sus respuestas y resultados medidos. De allí que prácticamente todo cargo o rol dentro del proceso organizacional debe tener un indicador de rendimiento o ejecución, con lo cual se contribuye a que en muy pocas ocasiones se evadan asignaciones o se "oculten" detrás de quien siempre tenga que asumir la responsabilidad, motivado a que no haya alguién más que las asuma. Este tipo de comportamiento por lo general es muy destructivo, pues agota al recurso que constantemente se sobrecarga de tareas por cualquier motivo; lo que conlleva a que a largo plazo la empresa contrate más personal del necesario para cubrir aquellos empleados que constantemente están procastinando y que no pueden ser identificados formalmente, pues no son medidos en sus resultados.
3.- Indicadores de Gestión
Indicadores que establezcan simples relaciones, tal como el tiempo de ejecución real y la proyectada de los proyectos, la cantidad de metas asignadas y cumplidas por los recursos humanos, así como el tiempo de ejecución de cada actividad asignada, considerando además la cantidad de actividades promedio por recursos humano en condiciones similares. Como podrá notarse, estos indicadores pueden haber sido construidos para otro fin, pero sin duda pueden apoyar a determinos factores de procastinación. En este punto lo importante es quien deba monitorear estos indicadores, pues si se dejan en manos del responsable de ejecutar las actividades, tal vez no se obtengan las mediciones tan puras y se caiga en el vicio de "quién ejecuta" es "quién evalúa", de allí que la responsabilidad de la supervisión toma mucha relevancia en la gestión de indicadores.
Estas tres actividades pueden ser los pasos iniciales para que formalmente se esté mitigando la procastinación en forma efectiva y en consecuencia se incremente la productividad y la rentabilidad. La procastinación destruye valor económico, en la mayoría de las organizaciones, la procastinación contribuye a incrementar los costos por sobre contrataciones y retrasos en los proyectos, lo que implica agregar mayores cuotas de presupuesto sin que pueda explicarse, salvo que se acusa a la inflación o la mala gestión de terceros. Esto muchas veces sucede gracias al vicio de pensar que si dejo de hacer las cosas, atrasándose un día o dos no afectará en mucho un proyecto que está pautado durar meses. Pero si esto lo hacen muchas personas en muchos poryectos, el resultado será el acostumbrado: Nunca se terminará satisfactoriamente un sólo proyecto en el tiempo y en los costos previstos.
En muchas organizaciones sucede que cuando una persona depende de un salario, en el corto plazo poco pudiera afectarle no terminar a tiempo una actividad, pues independientemente del resultado sabe que se le abonará su compensación sin contratiempo. Sin duda en el largo plazo la empresa perderá mucho, pues será tarde cuando desee corregir la desviación o brecha. La estructura de gestión de riesgo operacional contribuye a mitigar la procastinación. Si bien es poco lo que se encuentra de este tema relacionado con este tipo de riesgo, los factores relacionados con las personas están bajo el ámbito de esta práctica y como parte fundamental para la gestión del factor humano se encuentra el constante esfuerzo en la formación, dotación de plantilla, gestión del conocimiento, políticas retributivas.
domingo, 13 de junio de 2010
¿Debe el negocio prevalecer sobre la gestión de riesgos?
Pero, en realidad, qué sucede en las reuniones donde se toman las decisiones de seguir adelante con un proyecto que implica riesgos. Riesgos, inimaginables. Pues así a veces son catalogados en esas reuniones. Juguemos un poco con nuestra imaginación y con algo de experiencia simulando una reunión de esas:
Se encuentra reunido el comité ejecutivo de la empresa y su director principal les comenta que tiene en sus manos el proyecto que los convertirá en el máximo líder de la industria por toda la eternidad, no hace falta estimar las ganancias, pues estas serán abrumadoras, por lo cual, de por sí el proyecto cuenta con la aprobación de los accionistas y en consecuencia a ello le han brindado total empoderamiento. Como paso siguiente expone detalles del proyecto, explicando que la extracción del petróleo será realizado en profundidades nunca alcanzadas previamente y con ello destaca la invaluable tecnología a ser utilizada para realizar semejante tarea en un mundo tan hóstil. No faltará algún ejecutivo conservador que consulte si realmente dicha tecnología logrará su comentido: Extraer millones de barrilles de petróleo de una profundidad mayor a los 1.500 metros. El cual recibirá como respuesta: Somos capaces de hacerlo a profundidades aun mayores. Pero, preocupado aun por la dimensión de tal empresa, el director de riesgos, el cual es reconocido por ser un experto con una vasta experiencia, con múltiples logros, estudios y publicaciones se verá obligado a preguntar: ¿Hemos evaluado la posibilidad de que ocurra un evento a esas profundidades?, considerando que sólo robots o maquinas son las únicas que podrían bajar a tales profundidades y soportar presiones extremas. En ese momento, todo el mundo mirará quien haya planteado semejante escenario, recibiendo posiblemente este tipo de respuestas: Toda nuestra tecnología está probada para trabajar en ambientes extraterrestres. Otra respuesta será algo parecido a esto: Eso es inimaginable. Lo que usted plantea es como que en ese lugar volviese a caer un asteroide como del cretácico tercierio ya hace 65 millones de años, acabando con todos los dinosaurios. Eso no volverá a pasar. Dicho esto, todos se volverán sobre el director principal el cual dirá con estusiasmo: Entonces empezamos en una semana.
Sin duda, en la situación anterior prevaleció el interés del negocio sobre cualquier consecuencia o escenario de riesgo que se planteó. Es cierto que los negocios se hacen para hacer rentable organización, para maximizar el valor accionario de la empresa y para crear bienestar en la sociedad. Es por ello que los debe mover un deseo habilitador impregnado de codicia, la cual bien administrada es buena (3); pero precisamente, esa buena administración viene dada en el rol que le corresponde al director de riesgos, que permita hacer contrapeso con sus escenarios en las revisiones de proyectos que han de desarrollarse, pues a veces, si bien sus comentarios no son bien recibidos es porque están tocando algún elemento que exacerba los temores ocultos de quienes se están arrojándo a un proyecto que puede representar pérdidas irrecuperables y catástrofes inimaginables. Ahora bien, no sería fácil hacer comprender y convencer a mucha gente que sí se ha desarrollado tecnología para explotar petróleo a profundidades batiales(4) no utilizarlas. Ciertamente se ha invertido tanto que sería irracional no recuperar lo invertido. Lo que debe hacerse es tener siempre la opción contingente, el plan de recuperación, la vuelta a atrás. Es ir a lo básico, como cuando se planificó ir a la luna en la misión Apollo. El problema no era ir, el problema era regresar. En estos proyectos; y en la mayoría donde se involucra todo, donde se arriesga el prestigio, el patrimonio, el bienestar común, la sociedad y la vida, lo propio es pensar y desarrollar el plan que vuelva todo al punto de partida, es pensar en "el antídoto antes de preparar el veneno".
Esto no sólo le ha ocurrido a BP, le ha pasado a Leman Brothers. Ha ocurrido en miles de bancos y otras tantas miles de empresas más, no queremos pensar que algo malo nos va a pasar, que alguién alrededor nuestro está haciendo algo malo, pero las lecciones nos dicen que si pasa, pero nos quedamos con los patrones que queremos aceptar, tanto así que era más fácil pensar que una amenaza podía venir del espacio a que pudiese provenir de un a válvula rota de extracción de petróleo de las profundidades de nuestra frágil y ahora más contaminada tierra.
(1) http://www.bbcmundo.com
(2) An Inconvenient Truth. Albert Gore Paramount 2006.
(3) En la película de Oliver Stone, Wall Street, de 1987. Gordon Gekko, el despiadado financista interpretado por Michael Douglas hace una disertación sobre la codicia, manifestando las bondades del comportamiento humano codicioso bien administrado.
(4) Profundidades marinas comprendidas entre los 1.000 y 3.000 metros.
domingo, 18 de abril de 2010
Las Fronteras del Riesgo Operacional
El riesgo operacional no tiene fronteras que pudieran demarcarse para que una unidad especializada lo administre. Buscar limitar esta actividad a un grupo de personas que pudiera estar bien preparada desde el punto de vista académico y práctico no reducirá la exposición al riesgo, nunca podrá incorporar a tiempo toda la información necesaria para comprender los niveles de exposición en los que se encuentra y mucho menos podrá crear el ambiente de gestión que es requerido para convivir con un riesgo que es inherente a las operaciones de toda organización, no importando a que se dedique, pues no existe una organización que hoy día no use intensivamente la tecnología que apoya procesos críticos del negocio y que son utilizados por clientes o usuarios; y que además todos en conjunto se exponen a un entorno que por no podremos jamás dominar.
Conocer el tipo de riesgo al que se enfrenta la organización
Lo primero que se debe garantizar es que la Junta Directiva de las organizaciones comprendan que el riesgo operacional es un tipo de riesgo totalmente distinto al riesgo de crédito o mercado. Ya que por mucho que se asuma de este tipo de riesgo no arrojará ningún beneficio. Lo contrario a los riesgos de crédito y mercado es que el nivel de exposición en ellos determina la expectativa de beneficio. Lo cierto es que lo que se puede hacer es mantener un nivel bajo de riesgo operacional para no afectar los beneficios.
Otro elemento importante que se debe conocer es que el riesgo operacional no admite que se evalúen condiciones previas para su materialización, tal como ocurre en crédito y mercado. En el caso de crédito se puede condicionar el otorgamiento de un crédito si no se cumplen algunos pre requisitos para otorgarlo y en el caso de mercado se establecer límites de aceptación de pérdidas. En riesgo operacional, no hay límites y no se pudiese prever cuando alguién pudiera faltar al trabajo, equivocarse o irse de la organización, cargando con todo el conocimiento concentrado en él.
La estructura para administrar riesgo operacional
En principio el riesgo operacional será gestionado en toda la organización, obedeciendo a la aplicación de prácticas establecidas por la normativa de cada país y en su defecto a lo establecido por el Comité de Basilea. Esto es la existencia de un Comité de Riesgo Operacional el cual tendrá correspondencia con una Gerencia especializada en dicho riesgo y a esta gerencia le reportarán figuras de riesgo que estarán en todas las unidades en toda la organización. Lo cierto es que la mayoría de las organizaciones no tiene problema de llegar hasta la Gerencia de Riesgos, pero en lo que respecta a hacer el modelo descentralizado el modelo comienza a tener fallas. Las razones pueden ir desde la cultura hasta los costos que ello implica. Por cierto, pudiera ser una consecuencia de la otra. Sin embargo, siempre existen alternativas apropiadas.
Aprovechar la Estructura Organizativa Existente
Hoy en día todas las organizaciones que tienden a ser más exigidas por los servicios al público, tal como ocurre con las instituciones bancarias o de servicios basicos, han desarrollado unidades especializadas para luchar contra elementos adversos como lo son las amenazas externas que pueden provenir por efectos naturales, ambientales no naturales o humanas; así como productos que pueden monitorear el ambiente interno de fraudes, extracción o alteración de información y fallas tecnológicas. Todo esto a través de herramientas destinadas para tal fin.
Todas estas prácticas, técnicas y herramientas se encuentran en unidades en la estructura organizativa que atienden la gestión de prevención y control, tal como seguridad de la información, seguridad física, prevención de legitimación de capitales, tecnología de información y otros tantos comités como los de seguridad y prevención de desastres o manejo de crisis.
Lo importante es que la unidad a cargo de la gestión de riesgo operacional saque provecho de la existencia de estas estructuras y procurar construir los canales que permitan comunicar además de establecer la relación con las unidades dueñas de los datos que se derivan de las distintas actividades de gestión de dichas áreas, esta acción sin invadir las funciones o atropeyarse por efectos de lo que las normativas no necesariamente dejan claro suficientemente y que por lo general, en su interpretación pudieran conllevar a crear conflictos.
Con respecto a las unidades de negocios, el riesgo operacional debe irse ocupando de los procesos más críticos y por lo general éstos son bastante controlados y monitoreados; inclusive gozan de alta automatización. Al presentar estas características lo importante entonces es negociar la forma de como se obtendrá la información de éstas áreas. Un esquema base es recoger mediante trazas de monitoreo de los sistemas de información cualquier excepción o anomalía recogida por los sistemas de detección o registro de bitácoras.
Lo más importante es que las unidades perciban que el área de riesgo no las está presionando creando sobrecarga de trabajo, y a su vez lograr suministrar la información útil para generar y suministrar la información necesaria para llevar adelante la gestión de riesgos. Alternativamente, el proceso debe ser paulatino y los roles de administración de riesgos en toda la organización debe quedar suficientemente claro, conociendo con relativa certeza donde sería posible que puede haber algún tipo de colaboración y apoyo entre las áreas.
La mayoría de las veces hemos notado que todo lo que necesita la unidad de riesgos como insumo de información ya está siendo generado por otras unidades, por tanto lo importante es activar los procesos de comunicación que existen en la organización y procurar lo que requieren para su gestión; y si aun lo dudan, para muestra les dejamos un botón: La unidad de prevención de legitimación de capitales, seguridad de información, gestión de la continuidad de negocios, auditoría financiera y tecnológica, monitoreo de redes, seguridad integral, gestión de reclamos, service desk, entre otros tantos.
martes, 13 de abril de 2010
Las Prioridades en la Gestión de Riesgo Operacional
sábado, 3 de abril de 2010
Los Miedos en Riesgo Operacional
También argumentabamos que con la adopción de estándares, entrenamiento y un buen gobierno de riesgo, en el que se establezcan las políticas claras; se podría lograr un buen marco de trabajo para la gestión de riesgos. Sin embargo, debo comentarles que esto no es tan simple cuando se lleva a la realidad.
Las razones por las cuales se impacta negativamente esta iniciativa es que no se identifican las amenazas antes de implantar una práctica tan abstracta como ésta en la organización. Se supone que la gestión de riesgo operacional es una práctica que permitirá identificar vulnerabilidades y amenazas. Basándose en tales hallazgos se construiran escenarios que permitan generar un mapa de la severidad de los riesgos con el fin de obtener las mejores alternativas para mitigarlos. Sin embargo, nunca se hace una evaluación de los miedos antes de implantar dicha práctica, lo cual atenta contra el éxito de la gestión de riesgo operacional.
El primer riesgo (miedo) que encontramos es que no existen límites claros para las funciones que se asignan a los distintos roles, provocándo en todo el talento humano se ponga a la defensiva pues supone que próntamente alguíen va a sustituirlo en su función laboral. El segundo riesgo (miedo) presente, es un tema que hemos colocado en algunos papeles de trabajo previos y es la medida de nuestra ignorancia, la cual radica en destacarnos en lo que más sabemos y ocultar aquellos asuntos de los cuales tenemos poco o ningún conocimiento; y que sin embargo puede ser un asunto que debemos gerenciar. El tercer riesgo (miedo) es el que la mayoría del talento humano rara vez ha sido preparado para reconocer los errores y asumir su responsabilidad. Por lo general es otro aspecto que como personas dentro de una organización que funciona como un sistema se tienda a buscar un cumplable alrededor y por lo general, con una alta probabilidad se encontrará, pues la organización es amplia y sin duda tiene sus defectos.
Puede que existan otros miedos, pero es muy posible que sean derivados de los antes mencionados, pues por lo general la aparición de uno de ellos puede desencadenar un proceso de acciones de entorpecimiento de cualquier inicativa de gestión de riesgos operacionales.
Sin duda que identificando los riesgos se puede comenzar a trabajar en su mitigación o contramedida que permita llevarlo a su nivel de aceptación posible al perfil deseado por la organización. De allí que si se realiza una evaluación de riesgos para identificar las debilidades que este escrito hemos identificado como miedos, es muy posible se puedan permitir la implantación de una gestión adecuada de riesgo operacional.
Ahora bien, es importante que para implantar una gestión de riesgo operacional se debe tener una clara definición de las funciones y los roles que jugará cada protagonista organizacional. Debe existir un programa de sensibilización, a todo nivel permita llevar mensajes que la nueva práctica no busca culpables y que por el contrario no se pretende limitarles el campo de acción. El mensaje debe ser claro y en función que para las organizaciones es muy díficil sustituir un recurso porque no conozca algún tema, simplemente es más fácil reentrenarlo en nuevas prácticas y aprovechar toda su experticia en las prácticas que venía ejecutándo.
Si estos mensajes son trasmitidos y las asignaciones son claras en función de los objetivos, podríamos estar más cerca de materializar una implantación de una práctica de riesgo operacional cercana a lo deseado por todos.
sábado, 27 de marzo de 2010
Los ingredientes para Administrar el Riesgo Operacional
Otra actividad que el equipo de riesgo operacional debe asumir y es aun más retadora es que luego que se establezca un canal de comunicación interno entre ellos con un lenguaje común; debe comunicarse con el resto de la organización, la cual por condición natural tiene un exceso de trabajo, y estas áreas procurarán por todos los medios que nunca los involucren en "eso"; pues para ellos eso de riesgo operacional es muy confuso y prefiere que lo maneje el área de riesgos.
Esta situación es común en algunas organizaciones y tiende a agravarse en la medida que comienzan a identificar riesgos pero no encuentran como mitigarlos. Sin duda ahora es una situación confusa, pues se supone que esos riesgos existían antes, pero no les causaba ninguna preocupación. El asunto es que por la experiencia más costosa, es decir, a través de las pérdidas los elegidos para administrar riesgo operacional han identificado que hay procesos que se ejecutan injustificadamente, hay errores constantes en procesamiento de información, hay fallas en los productos y en ocasiones interrupciones operativas de alto costo. Las cuales siempre habían existido pero nunca habían sido documentadas y mucho menos cuantificadas.
¿ Porqué ocurre esto?
En primer por la improvisación. El personal que integre una unidad de riesgo operacional debe tener claro cual es el objetivo que se persigue y en especial debe estar altamente preparado, no sólo para tener un lenguaje que sea natural apropiado para gestionar riesgos, sino que pueda manejar el cambio en la organización con la introducción de este tema tan novedoso para algunos.
En segundo lugar la carencia metodológica. Un método por muy simple que sea, sirve para afrontar un reto. Es perfectamente valido decir que: Una metodología no es una estrategia. Ciertamente, pero la estrategia de utilizar métodos para enfrentar temas como riesgo operacional arrojan muy buenos resultados. Lo cierto es que un método organiza y coloca dentro de un marco de trabajo, el cual pudiese ser un estándar. En el caso de riesgo operacional el estándar genérico de riesgos AS/NZ 4360 2004. Hoy día existen complementos a esta norma que no sólo permite identificar, evaluar, valorar y mitigar riesgos, sino también como financiar los riesgos, tal como el documento HB 141 2008 Guía para Financiación del Riesgo.
Por último, no menos importante es el compromiso de la alta gerencia para gestionar los riesgos operacionales. Con acciones como contratar los más experimentados especialistas en riesgo operacional; disponer de métodologías y herramientas de clase mundial para habilitar y soportar dicha gestión no es una garantía sin que los interesados e involucrados en la dirección organizacional se encuentren comprometidos con el objetivo de la unidad de riesgo operacional. Siempre ha sucedido que el interés del riesgo y su administración se inclina hacia los riesgos de naturaleza financiera, por su condición particular que entre más riesgo se asume más recompensa pudiese obtenerse. Por el contrario en riesgo operacional, por mucho que se asuma no genera ninguna alternativa de beneficio y más bien puede afectar severamente la organización en caso de materializarse. Desde mi punto de vista, este es un gran incentivo para administrar este tipo de riesgos con una receta que contribuiría en mucho a las organizaciones:
a) Especialistas experimentados
b) Métodologías adecuadas y;
c) Compromiso de la Alta Gerencia.
martes, 23 de marzo de 2010
En Riesgo Operacional las normas claras y simples procuran una mejor aplicación del control
En julio de 2009, unos amigos que trabajan como consultores en República Dominicana me hicieron llegar el reglamento en cuestión para que les diera una opinión que contrastara con las otras normas similares o relacionadas, con las cuales hemos trabajado en otras superintendencias de la región. No puedo negar que una vez leído el reglamento, me sorprendió la simplicidad y consistencia que caracterizaban dicho documento. Lo cierto es que de la manera más sencilla, satisface lo que se supone debe ser una gestión de riesgos operacionales en los países latinoamericanos; y más aun me agradó la forma como afrontan los requerimientos de capital desarrollados por el Comité de Supervisión Bancaria de Basilea, el cual emitió su documento definitivo en 2004. Esto lo pude comprobar cuando, una vez enviados mis comentarios al respecto, estos mismos amigos me pidieron que ensamblara una presentación del reglamento para exponerla a los bancos dominicanos; y en cuestión de pocas horas lo había logrado el objetivo. No hace falta ser un genio para desarrollar un producto en tan breve lapso, el asunto es que hemos leído innumerables veces nuestra norma local de gestión integral de riesgos y cientos de documentos relacionados con el tema, lo cual hace que interpretar en forma el reglamento y presentar su aplicabilidad a la realidad bancaria me pareció claro, concreto y simple. Lo cierto es que en una semana visitamos alrededor de diez instituciones y en todas partes los comentarios eran muy positivos por el cómodo dominio del reglamento de riesgo operacional. Esa fue la primera parte de la historia.
La segunda parte de la historia viene, cuando recibí el instructivo que menciono al principio de este artículo. Si en su momento consideré que el reglamento era de aplicación altamente factible, con el instructivo prácticamente puede ser aplicado casi de forma inmediata por la institución financiera, pues va indicando al supervisado los pasos que debe ir cubriendo sin dejar mucho a la imaginación y mejor aun, a la especulación.
Está claro que debe entrenarse al personal, y desarrollar un proceso de sensibilización que contribuya a afianzar dicho reglamento. Pero tal vez, lo más importante es que la claridad y simplicidad de la descripción de las acciones que han de seguirse, permiten que el proceso de gestión de riesgo operacional se vaya incorporando a las actividades de la organización sin ser traumático, sin caer en conflicto o competencias con otras unidades, como por ejemplo auditoría o seguridad de información.
El instructivo está seccionado en nueve partes y complace ver que quienes promovieron el desarrollo de este producto no sintieron temor en dar lineamientos para evaluar riesgo operacional tomando como base las recomendaciones emanadas del Comité de Supervisión Bancaria de Basilea, al menos para aplicar las líneas de negocios, los eventos de pérdida y tal vez el aporte más importante de dicho reglamento es la tabla que tipifica los rangos de patrimonio técnico y montos de pérdidas a reportar.
Otro aspecto que incluye el instructivo es la formula para calcular el requerimiento de capital por riesgo operacional, el cual es exactamente el mismo al método estándar establecido por el Comité de Supervisión Bancaria de Basilea. Por último, como todo buen instructivo trae anexos las tablas que configuran los archivos a ser remitidos, con la información relacionada a los riesgos operacionales, a la superintendencia de bancos con los valores y nomenclaturas ya caracterizados.
La idea de escribir este artículo no es comentar si lo generado como normativa por los supervisores bancarios de República Dominicana es bueno o pudiera ser mejorado, o si asumir el método estándar es muy rudo sin considerar haberlo ajustado para una banca latinoamericana. Eso será asunto de otro artículo. Lo que si es loable es que sin mayor complejo se generó un documento que puede poner en marcha una gestión que no requiere más justificación universal como es la de administrar adecuadamente los riesgos; y en especial, a mi criterio el más peligroso, pues sobran evidencias de las super quiebras que se han generado en todo el planeta por múltiples factores, todos pertencientes al ámbito de riesgo operacional. Otro factor que caracteriza esta práctica es la cantidad de especialistas que existen en la práctica riesgo financiero, en contraste con el riesgo operacional que por lo general son escasos. Por tal razón, la claridad con que se exponga el tema de riesgo operacional, será mejor en la medida que sin exagerar el lenguaje técnico y mucho menos excluirlo, utilizar un lenguaje natural para todos.
Invito las personas que se vean relacionados con el tema de riesgo operacional, revisen este documento y tomen lo mejor de él, eso si sin dejar de cumplir con lo propio de cada país al que pertenecen. Por lo menos en nuestro caso local, lo desarrollado hasta ahora es muy general y aun estamos esperando que salga algo específico desde el 2003, sin embargo no vislumbramos algo cercano a eso en mucho tiempo.
Indico el enlace de la Superintendencia de Bancos de República Dominicana a quienes estén interesados en revisar el reglamento que se encuentra en la sección de marco legal: http://www.supbanco.gov.do/index2.html
domingo, 7 de marzo de 2010
¿Se pueden administrar los riesgos con Fe?
Si definimos
X= 0 ó 1 dependiendo de algo bueno sucede o no sucede.
Y= 0 ó 1 si la “bruja” dice que sucederá (suponiendo que ambos suceden el 50% de las veces)
Observación: La bruja la pegará el 50% de las veces.
La gestión de riesgo se hace pagando la sesión y aplicando lo “predicho”. Sin duda esto es lo que se hace para demostrar que modelos nada formales podrían satisfacer la predicción en un 50%. (Algo extremadamente riesgoso). En todo caso el profesor desarrolla una serie de consideraciones con las que se le da un tratamiento formal a la administración del riesgo, en las páginas sucesivas de su papel de trabajo. Sin embargo, con esto aun no respondemos la pregunta con la cual titulamos este artículo, pero sí pudiésemos argumentar, que con base a experiencias en algunas organizaciones, en la administración de riesgos existe una mezcla entre lo formal y lo informal. Esto es debido a que por habilidades y conocimientos en alguna materia, en especial la financiera, se consiguen modelos que manejan los riesgos de crédito y mercado mejor que los de tipo operacional. Y aquí es donde entra en conflicto la fe y la razón.
Fortalecer la Fe
La fe se fortalece con las experiencias, y claro está que buenas experiencias conllevan a tener conciencia de que algunas prácticas desarrolladas por algunos especialistas en riesgos permitirán obtener mejores resultados en la administración de un tópico (riesgo operacional) que es abstracto para muchos. De allí que las primeras personas que deben estar conscientes que el riesgo operacional es extremadamente peligroso, si se administra con métodos no formales, son los de mayor jerarquía en la organización. Ellos usualmente no incentivan o apoyan la creación de políticas que permitan ir estableciendo el marco de control para este tipo de riesgo, además desestiman los presupuestos para fortalecimiento del talento humano en la práctica de riesgo operacional, designando mayor presupuesto y en forma consecuente a las otras prácticas.
Difícilmente puede lograrse una visión integral, si sólo se fortalece lo que conocemos; y tratamos de ignorar o esconder lo que desconocemos. Esa práctica es conocida como la medida de nuestra ignorancia, tal como lo describe Peter L. Bernstein en su libro en Contra de los Dioses[1] El autor lo destaca diciendo “…la gestión de riesgo maximiza las áreas donde se tiene control sobre los resultados y se minimizan donde no tenemos control alguno; quedando para nosotros oculto el enlace entre la causa y el efecto”. En nuestro tema de riesgo operacional se aplica porque se mira con detalle los riesgos de tipo financiero pero nunca los de tipo operacional, los cuales en ocasiones ostentan una alta correlación entre si.
Lo anteriormente expuesto nos conduce a lo “qué” es necesario para fortalecer la fe, sin embargo siempre caeremos en el siguiente cuestionamiento del “cómo” se fortalecería la fe y para ello me apoyaré en otro autor, aunque bastante distante del genero que estamos tratando, pero sin duda muy útil para lo que queremos explicar.
En el capítulo seis del libro El Símbolo Perdido[2] de Dan Brown, el autor explica que para que una ideología se convierta en religión debe cumplir con tres requisitos y los mismos son: Prometer, creer y convertir. El expresa que “Las religiones prometen la salvación, las religiones creen en una teología precisa, y las religiones tratan de convertir a los no creyentes”.
Ahora bien, si consideramos hipotéticamente que la gestión de riesgos es una ideología y que la misma promete salvarnos de las pérdidas máximas posibles a las que pudiéramos estar expuestos, y que creemos que existe un marco de control adecuado que tiene un gobierno corporativo que todo lo ve y escucha; existiendo su vez existe una práctica de auditoría que permite que evaluemos nuestros procesos en función de las prácticas de control implantados. Lo que quedaría pendiente es convertir a los no creyentes. Y este sería el último paso para fortalecer la fe en la gestión de riesgos.
Trasladando lo anteriormente expuesto a una práctica más ortodoxa, se espera que la junta directiva de la organización procure la existencia de políticas de riesgos que tengan como objetivo brindar el apoyo y orientación, prometiendo con ello el logro del adecuado nivel de riesgo con base a los requisitos del negocio, reglamentos y leyes. Con esta acción se está instaurando la doctrina particular de la organización que debe ser evaluada a través de un marco de control que se definirá específicamente para la gestión de riesgos, y en especial para el riesgo operacional. Este marco de control permitirá dar la credibilidad a las acciones que se estén incorporando a la práctica de riesgos, midiendo los resultados a través de los indicadores de riesgos y el cuadro de mando gerencial. En ese mismo marco de políticas debe considerarse el proceso de adoctrinamiento, el cual crearán y ejecutarán programas de entrenamiento y sensibilización, tanto a las personas que van a administrar los riesgos, como a todo el personal de la organización para que contribuya al logro del objetivo establecido por las políticas.
Sabemos que la fe y la racionalidad se contraponen en situaciones técnicas; y que para el caso de riesgo deben ser utilizados modelos formales, que están basados en axiomas y análisis de hechos. Sin embargo, cada vez que se va a enfrentar la gestión de riesgo integral se duda que lo que se hace va a tener buenos resultados. El argumento es que si se ha cumplido con los requisitos para desarrollar una práctica ortodoxa como la expuesta anteriormente, se debe tener confianza (Fe[3]) de que las cosas comenzarán a resultar mejor para la organización.
La nueva normalidad era un juego de niños
Foto: StellaDi Pixabay Creo que "la nueva normalidad" era cosa de 90 días. Eso ya no existe. Pienso que lo cierto es una nueva rea...
-
" Lo rudo de todo esto es que el desastre económico provocado por el COVID-19 es similar a un tsunami, donde se estiman que los daños s...
-
Foto: StellaDi Pixabay Creo que "la nueva normalidad" era cosa de 90 días. Eso ya no existe. Pienso que lo cierto es una nueva rea...
-
Hace unos cuantos años, me encontraba en alguna parte de la universidad, sentado frente a un libro de cálculo, conociendo el método para res...