Los ingredientes para Administrar el Riesgo Operacional

En repetidas ocasiones, cuando una organización desea abordar la administración del riesgo operacional, seleccionan un grupo de personas que tienen relación con distintas disciplinas dentro de la organización, tales como los procesos; recursos humanos; auditoría financiera e informática y en forma atrevida algunos incluyen a seguridad de la información y física. Aqui empieza lo bueno. Los elegidos para llevar a cabo la tarea se encuentran en una situación similar a como si tuviesen que aprender un nuevo idioma en donde tienen que aprender todo un nuevo vocabulario y por supuesto hablarlo, leerlo y escribirlo con un nivel de comprensión razonable. Podría ser exagerado el simil, pero en realidad cometer un error cuando uno está hablando un idioma foraneo se nos perdona y dependiendo de la situación hasta causa gracia. Pero en riesgo operacional si cometemos un error por interpretación del lenguaje o reglas que deben aplicarse en esta práctica, creanme que no causa ninguna gracia.

Otra actividad que el equipo de riesgo operacional debe asumir y es aun más retadora es que luego que se establezca un canal de comunicación interno entre ellos con un lenguaje común; debe comunicarse con el resto de la organización, la cual por condición natural tiene un exceso de trabajo, y estas áreas procurarán por todos los medios que nunca los involucren en "eso"; pues para ellos eso de riesgo operacional es muy confuso y prefiere que lo maneje el área de riesgos.

Esta situación es común en algunas organizaciones y tiende a agravarse en la medida que comienzan a identificar riesgos pero no encuentran como mitigarlos. Sin duda ahora es una situación confusa, pues se supone que esos riesgos existían antes, pero no les causaba ninguna preocupación. El asunto es que por la experiencia más costosa, es decir, a través de las pérdidas los elegidos para administrar riesgo operacional han identificado que hay procesos que se ejecutan injustificadamente, hay errores constantes en procesamiento de información, hay fallas en los productos y en ocasiones interrupciones operativas de alto costo. Las cuales siempre habían existido pero nunca habían sido documentadas y mucho menos cuantificadas.

¿ Porqué ocurre esto?

En primer por la improvisación. El personal que integre una unidad de riesgo operacional debe tener claro cual es el objetivo que se persigue y en especial debe estar altamente preparado, no sólo para tener un lenguaje que sea natural apropiado para gestionar riesgos, sino que pueda manejar el cambio en la organización con la introducción de este tema tan novedoso para algunos.

En segundo lugar la carencia metodológica. Un método por muy simple que sea, sirve para afrontar un reto. Es perfectamente valido decir que: Una metodología no es una estrategia. Ciertamente, pero la estrategia de utilizar métodos para enfrentar temas como riesgo operacional arrojan muy buenos resultados. Lo cierto es que un método organiza y coloca dentro de un marco de trabajo, el cual pudiese ser un estándar. En el caso de riesgo operacional el estándar genérico de riesgos AS/NZ 4360 2004. Hoy día existen complementos a esta norma que no sólo permite identificar, evaluar, valorar y mitigar riesgos, sino también como financiar los riesgos, tal como el documento HB 141 2008 Guía para Financiación del Riesgo.

Por último, no menos importante es el compromiso de la alta gerencia para gestionar los riesgos operacionales. Con acciones como contratar los más experimentados especialistas en riesgo operacional; disponer de métodologías y herramientas de clase mundial para habilitar y soportar dicha gestión no es una garantía sin que los interesados e involucrados en la dirección organizacional se encuentren comprometidos con el objetivo de la unidad de riesgo operacional. Siempre ha sucedido que el interés del riesgo y su administración se inclina hacia los riesgos de naturaleza financiera, por su condición particular que entre más riesgo se asume más recompensa pudiese obtenerse. Por el contrario en riesgo operacional, por mucho que se asuma no genera ninguna alternativa de beneficio y más bien puede afectar severamente la organización en caso de materializarse. Desde mi punto de vista, este es un gran incentivo para administrar este tipo de riesgos con una receta que contribuiría en mucho a las organizaciones:
a) Especialistas experimentados
b) Métodologías adecuadas y;
c) Compromiso de la Alta Gerencia.

En Riesgo Operacional las normas claras y simples procuran una mejor aplicación del control

A principios de marzo de este año recibí vía correo un documento que sirve de instructivo publicado por la Superintendencia de Bancos de República Dominicana el cual instruye a las instituciones financieras como aplicar el reglamento de riesgo operacional emanada de ese organismo en fecha 2 de abril de 2009.

En julio de 2009, unos amigos que trabajan como consultores en República Dominicana me hicieron llegar el reglamento en cuestión para que les diera una opinión que contrastara con las otras normas similares o relacionadas, con las cuales hemos trabajado en otras superintendencias de la región. No puedo negar que una vez leído el reglamento, me sorprendió la simplicidad y consistencia que caracterizaban dicho documento. Lo cierto es que de la manera más sencilla, satisface lo que se supone debe ser una gestión de riesgos operacionales en los países latinoamericanos; y más aun me agradó la forma como afrontan los requerimientos de capital desarrollados por el Comité de Supervisión Bancaria de Basilea, el cual emitió su documento definitivo en 2004. Esto lo pude comprobar cuando, una vez enviados mis comentarios al respecto, estos mismos amigos me pidieron que ensamblara una presentación del reglamento para exponerla a los bancos dominicanos; y en cuestión de pocas horas lo había logrado el objetivo. No hace falta ser un genio para desarrollar un producto en tan breve lapso, el asunto es que hemos leído innumerables veces nuestra norma local de gestión integral de riesgos y cientos de documentos relacionados con el tema, lo cual hace que interpretar en forma el reglamento y presentar su aplicabilidad a la realidad bancaria me pareció claro, concreto y simple. Lo cierto es que en una semana visitamos alrededor de diez instituciones y en todas partes los comentarios eran muy positivos por el cómodo dominio del reglamento de riesgo operacional. Esa fue la primera parte de la historia.

La segunda parte de la historia viene, cuando recibí el instructivo que menciono al principio de este artículo. Si en su momento consideré que el reglamento era de aplicación altamente factible, con el instructivo prácticamente puede ser aplicado casi de forma inmediata por la institución financiera, pues va indicando al supervisado los pasos que debe ir cubriendo sin dejar mucho a la imaginación y mejor aun, a la especulación.

Está claro que debe entrenarse al personal, y desarrollar un proceso de sensibilización que contribuya a afianzar dicho reglamento. Pero tal vez, lo más importante es que la claridad y simplicidad de la descripción de las acciones que han de seguirse, permiten que el proceso de gestión de riesgo operacional se vaya incorporando a las actividades de la organización sin ser traumático, sin caer en conflicto o competencias con otras unidades, como por ejemplo auditoría o seguridad de información.

El instructivo está seccionado en nueve partes y complace ver que quienes promovieron el desarrollo de este producto no sintieron temor en dar lineamientos para evaluar riesgo operacional tomando como base las recomendaciones emanadas del Comité de Supervisión Bancaria de Basilea, al menos para aplicar las líneas de negocios, los eventos de pérdida y tal vez el aporte más importante de dicho reglamento es la tabla que tipifica los rangos de patrimonio técnico y montos de pérdidas a reportar.

Otro aspecto que incluye el instructivo es la formula para calcular el requerimiento de capital por riesgo operacional, el cual es exactamente el mismo al método estándar establecido por el Comité de Supervisión Bancaria de Basilea. Por último, como todo buen instructivo trae anexos las tablas que configuran los archivos a ser remitidos, con la información relacionada a los riesgos operacionales, a la superintendencia de bancos con los valores y nomenclaturas ya caracterizados.

La idea de escribir este artículo no es comentar si lo generado como normativa por los supervisores bancarios de República Dominicana es bueno o pudiera ser mejorado, o si asumir el método estándar es muy rudo sin considerar haberlo ajustado para una banca latinoamericana. Eso será asunto de otro artículo. Lo que si es loable es que sin mayor complejo se generó un documento que puede poner en marcha una gestión que no requiere más justificación universal como es la de administrar adecuadamente los riesgos; y en especial, a mi criterio el más peligroso, pues sobran evidencias de las super quiebras que se han generado en todo el planeta por múltiples factores, todos pertencientes al ámbito de riesgo operacional. Otro factor que caracteriza esta práctica es la cantidad de especialistas que existen en la práctica riesgo financiero, en contraste con el riesgo operacional que por lo general son escasos. Por tal razón, la claridad con que se exponga el tema de riesgo operacional, será mejor en la medida que sin exagerar el lenguaje técnico y mucho menos excluirlo, utilizar un lenguaje natural para todos.

Invito las personas que se vean relacionados con el tema de riesgo operacional, revisen este documento y tomen lo mejor de él, eso si sin dejar de cumplir con lo propio de cada país al que pertenecen. Por lo menos en nuestro caso local, lo desarrollado hasta ahora es muy general y aun estamos esperando que salga algo específico desde el 2003, sin embargo no vislumbramos algo cercano a eso en mucho tiempo.

Indico el enlace de la Superintendencia de Bancos de República Dominicana a quienes estén interesados en revisar el reglamento que se encuentra en la sección de marco legal: http://www.supbanco.gov.do/index2.html

¿Se pueden administrar los riesgos con Fe?

Dejar las cosas en manos de Dios no es la mejor decisión que se pueda tomar, si se desea intentar superar una situación que sabemos nos expone a un evento adverso. Eso es evadir la responsabilidad de la administración de riesgos, que no es lo mismo que evitar los riesgos. Voy a apoyarme en lo que dice el Profesor Heryk Gzyl especialista en riesgo financiero y matemática aplicada, en su papel de trabajo publicado en 2005, bajo el título de "Teorías coherentes de riesgo: Una introducción al tema". En una parte del trabajo, explica que existen métodos de predicción y administración de riesgos; y que entre ellos existen de tipo "acientíficos", los cuales muchos funcionan el 50% de las veces. Eso lo plantea muy ilustrativamente de la manera siguiente:

Si definimos

X= 0 ó 1 dependiendo de algo bueno sucede o no sucede.

Y= 0 ó 1 si la “bruja” dice que sucederá (suponiendo que ambos suceden el 50% de las veces)

Observación: La bruja la pegará el 50% de las veces.

La gestión de riesgo se hace pagando la sesión y aplicando lo “predicho”. Sin duda esto es lo que se hace para demostrar que modelos nada formales podrían satisfacer la predicción en un 50%. (Algo extremadamente riesgoso). En todo caso el profesor desarrolla una serie de consideraciones con las que se le da un tratamiento formal a la administración del riesgo, en las páginas sucesivas de su papel de trabajo. Sin embargo, con esto aun no respondemos la pregunta con la cual titulamos este artículo, pero sí pudiésemos argumentar, que con base a experiencias en algunas organizaciones, en la administración de riesgos existe una mezcla entre lo formal y lo informal. Esto es debido a que por habilidades y conocimientos en alguna materia, en especial la financiera, se consiguen modelos que manejan los riesgos de crédito y mercado mejor que los de tipo operacional. Y aquí es donde entra en conflicto la fe y la razón.Otro aspecto que contribuye a acentuar dicho conflicto, es la creencia que con enfocarse en la administración de riesgos financieros, se logra aumentar el retorno, dado que éste va en función del apetito de riesgo que se tenga, en consecuencia, si se asumen más riesgos pudiera aumentar el retorno, pero con el riesgo operacional nunca se obtendrá nada, en todo caso, disminuir las pérdidas; y en resumen, los interesados, tal como los accionistas, alta gerencia y empleados están para hacer rentable la empresa y no para mitigar pérdidas. En fin, siempre se olvida que sólo con incrementar los ingresos no se aumenta la rentabilidad.

Entonces podemos afirmar que la razón se ha fundamentado a lo largo de los años en la administración de riesgos financieros, fortaleciendo la fe en que la organización va a ser rentable y por ende exitosa, pero no se tiene fe en la administración de riesgo operacional, porque se desconoce su comportamiento, no hay especialistas, existe poco o casi nada de métodos o prácticas en la organización para administrar ese riesgo tan complejo, tanto que lo mejor, en algunos casos es encomendarse a Dios y aplicar el modelo de predicción de la bruja.

Fortalecer la Fe

La fe se fortalece con las experiencias, y claro está que buenas experiencias conllevan a tener conciencia de que algunas prácticas desarrolladas por algunos especialistas en riesgos permitirán obtener mejores resultados en la administración de un tópico (riesgo operacional) que es abstracto para muchos. De allí que las primeras personas que deben estar conscientes que el riesgo operacional es extremadamente peligroso, si se administra con métodos no formales, son los de mayor jerarquía en la organización. Ellos usualmente no incentivan o apoyan la creación de políticas que permitan ir estableciendo el marco de control para este tipo de riesgo, además desestiman los presupuestos para fortalecimiento del talento humano en la práctica de riesgo operacional, designando mayor presupuesto y en forma consecuente a las otras prácticas.

Difícilmente puede lograrse una visión integral, si sólo se fortalece lo que conocemos; y tratamos de ignorar o esconder lo que desconocemos. Esa práctica es conocida como la medida de nuestra ignorancia, tal como lo describe Peter L. Bernstein en su libro en Contra de los Dioses[1] El autor lo destaca diciendo “…la gestión de riesgo maximiza las áreas donde se tiene control sobre los resultados y se minimizan donde no tenemos control alguno; quedando para nosotros oculto el enlace entre la causa y el efecto”. En nuestro tema de riesgo operacional se aplica porque se mira con detalle los riesgos de tipo financiero pero nunca los de tipo operacional, los cuales en ocasiones ostentan una alta correlación entre si.

Lo anteriormente expuesto nos conduce a lo “qué” es necesario para fortalecer la fe, sin embargo siempre caeremos en el siguiente cuestionamiento del “cómo” se fortalecería la fe y para ello me apoyaré en otro autor, aunque bastante distante del genero que estamos tratando, pero sin duda muy útil para lo que queremos explicar.

En el capítulo seis del libro El Símbolo Perdido[2] de Dan Brown, el autor explica que para que una ideología se convierta en religión debe cumplir con tres requisitos y los mismos son: Prometer, creer y convertir. El expresa que “Las religiones prometen la salvación, las religiones creen en una teología precisa, y las religiones tratan de convertir a los no creyentes”.

Ahora bien, si consideramos hipotéticamente que la gestión de riesgos es una ideología y que la misma promete salvarnos de las pérdidas máximas posibles a las que pudiéramos estar expuestos, y que creemos que existe un marco de control adecuado que tiene un gobierno corporativo que todo lo ve y escucha; existiendo su vez existe una práctica de auditoría que permite que evaluemos nuestros procesos en función de las prácticas de control implantados. Lo que quedaría pendiente es convertir a los no creyentes. Y este sería el último paso para fortalecer la fe en la gestión de riesgos.

Trasladando lo anteriormente expuesto a una práctica más ortodoxa, se espera que la junta directiva de la organización procure la existencia de políticas de riesgos que tengan como objetivo brindar el apoyo y orientación, prometiendo con ello el logro del adecuado nivel de riesgo con base a los requisitos del negocio, reglamentos y leyes. Con esta acción se está instaurando la doctrina particular de la organización que debe ser evaluada a través de un marco de control que se definirá específicamente para la gestión de riesgos, y en especial para el riesgo operacional. Este marco de control permitirá dar la credibilidad a las acciones que se estén incorporando a la práctica de riesgos, midiendo los resultados a través de los indicadores de riesgos y el cuadro de mando gerencial. En ese mismo marco de políticas debe considerarse el proceso de adoctrinamiento, el cual crearán y ejecutarán programas de entrenamiento y sensibilización, tanto a las personas que van a administrar los riesgos, como a todo el personal de la organización para que contribuya al logro del objetivo establecido por las políticas.

Sabemos que la fe y la racionalidad se contraponen en situaciones técnicas; y que para el caso de riesgo deben ser utilizados modelos formales, que están basados en axiomas y análisis de hechos. Sin embargo, cada vez que se va a enfrentar la gestión de riesgo integral se duda que lo que se hace va a tener buenos resultados. El argumento es que si se ha cumplido con los requisitos para desarrollar una práctica ortodoxa como la expuesta anteriormente, se debe tener confianza (Fe[3]) de que las cosas comenzarán a resultar mejor para la organización.

---

[1] Bernstein, Peter. Against the Gods The remarkable store of risk. Wiley & Son. 1996 USA

[2] Brown, Dan. El Símbolo Perdido. Editorial Planeta. 2009 Colombia

[3] Fe proviene del latín fides que significa confianza.