jueves, 22 de diciembre de 2011

No hay que matar al mensajero (*) aunque le guste el trabajo

Un amigo que constantemente lee nuestro blog y conoce nuestro trabajo, me argumentaba que cuando realizamos consultorías, siempre hacemos enfásis en que el trabajo de gestión de riesgos debe ser realizado por personas que les guste y no por aquellas que no encuentran donde ser colocadas en las empresas y terminan haciendo un trabajo por supervivencia u obligación en áreas de administración de riesgos. En función de ello, nuestro argumento constante es: "Si no le gusta no lo haga y busque algo que le agrade hacer".

En el artículo anterior, más que un artículo que procura exponer experiencias relacionadas a la gestión de riesgo operacional, se buscaba sensibilizar a las personas a que tomen en serio lo que hacen, pero además lo disfruten. En esencia, el argumento de siempre. Sin embargo, este amigo me comentaba que no siempre se deben hacer el trabajo en forma que se demuestre que se disfruta, pues ciertamente podría ser ofensivo; como por ejemplo, aquel tipo de trabajo en que las personas se encuentren a cargo de un servicio funerario; estos no podrían atender a los familiares de un difunto muertos de la risa (lo de "muertos de la risa" no es figurativo). Ciertamente, pareciera también irónico decir que estas personas disfrutan haciendo su trabajo.

Sin duda este argumento me ponía en una situación en la que nunca había estado, es decir, siempre asesoramos empresas del sector financiero en su mayor proporción en temas de administración de riesgo; en las cuales efectivamente se requiere que la gente haga un trabajo con una actitud muy positiva, agradada en todo caso, lo cual contribuirá a agregar valor a lo que produce. Y este último punto, es el que realmente importa, pues si seguimos utilizando el ejemplo de los servicios funerarios, ciertamente los deudos no despreciarían el mayor trato cortés que pudiesen recibir de las personas que presten este servicio y tal vez el núcleo del negocio no sería el realizar una ceremonia funebre, sino que por encima de ello, ofrecer el mayor nivel de consideración y consuelo que haga ese trance lo más apacible y menos doloroso posible. La personas que desempeñen esta díficil tarea podrían sentir que están haciendo un excelente trabajo y se satisfacen de aliviar el sentimiento de dolor que padecen durante esos críticos instantes.

Debo comentar que mi amigo me la puso díficil, porqué nunca nos habíamos paseado por ese escenario, pero de igual manera consideramos que aunque el trabajo que se haga, sea tan delicado como el del ejemplo en cuestión, debe hacerse con el mayor de los empeños. Les invito a que nos digan que trabajo no se puede hacer con agrado, a ver si cambiamos nuestra "máxima" de "hacer el trabajo que les agrade hacer". De todos modos mi amigo cerró la conversación aconsejándome lo siguiente: "Si eres un mensajero y el trabajo te fascina, cuando lleves una mala noticia, no la proveas con una sonrisa donde oreja a oreja porque es posible que no salgas muy bien de esa. Ciertamente, mi amigo nunca me la pone fácil.

(*) Tomado del sitio web Significado y Origen En la actualidad se considera, con mucho sentido común, que aquel que da a conocer las novedades no es, necesariamente, el culpable de su contenido. De allí surge tal frase, pero se trata de una expresión que ha mutado con el correr de los años. En la antigüedad era más breve: “Matar al mensajero”, y vaya si se correspondía con la realidad, pues los que portaban malas noticias para las autoridades, directamente, perdían la vida. Ya en la Edad Media, la costumbre se morigeró, pues sólo se los torturaba. Uno imagina que, por entonces, nadie tenía vocación de cartero, motivo por el cual se deduce que se enviaban las malas nuevas con esclavos, personas detestadas o sentenciadas, siempre corriendo el riesgo que el emisario se extraviara en el camino, fundadamente espantado de finalizar su temeraria labor. Fuente: http://sigificadoyorigen.wordpress.com/

domingo, 13 de noviembre de 2011

Las consecuencias de hacer las cosas por hacerlas

Si no le gusta lo que hace, no lo haga; aunque le paguen por ello. Este artículo va dirigido a quienes tienen la responsabilidad de agregar valor.

Hace algún tiempo escribí sobre el riesgo de no saber lo que se hace, basado en lo dicho por Warren Buffet "Risk comes from not knowing you're doing". Esto lo dijo en ocasión de transmitir a todo inversor que las cosas deben ser hechas con base a buen conocimiento, por lo que recomendaba que cuando el inversionista no sabe que hacer, él sugiere que no invierta debido a que el factor de riesgo es muy alto. Por el contrario, si se encuentra bien documentado y tiene una clara idea de lo que está haciendo, se encontrará en una situación en que podrá evaluar si una inversión tiene alto potencial; y con esta capacidad, reducirá el riesgo de escoger el camino perdedor." Con esto claro, sólo queda tomar la decisión.

Sin embargo, a pesar que la gente sabe lo que está haciendo, sigue generando riesgos porque simplemente hace las cosas por hacerlas. Aunque el Sr. Buffet recomienda esto para una situación donde se debe tomar la decisión acerca de ejecutar una inversión, sin duda puede ser aplicado a cualquier actividad en la vida. Esto supone que todo lo que se haga, se disponga del conocimiento y además la actitud para hacerlo. Les voy a dar un ejemplo de la vida real.

Asistí a un partido de futbol amistoso, siendo el de la casa el equipo donde juega mi hijo. En este nuevo periodo escolar están debutando con entrenadores recien contratados por el colegio a efectos de darle mayor nivel y mejorar los resultados del ciclo pasado. Todos los niños tienen nueve años de edad en promedio (los entrenadores le llaman generación 2002). Este cambio de entrenadores implicó un esquema de tercerización de la academía de futbol, donde los padres de las pequeñas estrellas deben pagar una cuota mensual más alta que la temporada anterior; es decir, que se está contratando un servicio que supone es mejor que el anterior.

Pues bien, volviéndo al partido en cuestión, es natural que los "nuevos" entrenadores no se sepan ni el nombre de un niño, ni tampoco estén claros que posición deban ocupar al principio de una temporada; sin embargo lo que sigue hizo que perdiera la paciencia a tal punto que estuve a punto de ser expulsado del colegio.

En la secuencia del juego, en reiteradas ocasiones los niños hacian que el balón saliese por las laterales provocando saques de banda, el asunto es que un niño en la misma cantidad de veces que el balón salía por la lateral el hacia el saque y lo hacia mal, con lo cual el arbitro exigía que se repitiera una y otra vez. Esto del mal saque ocurrió como siete veces. Ante esto llamé la atención desde las gradas y le pedí al arbitro que le enseñara, ya que los entrenadores no estaban siquiera pendientes de hacerlo pues la actitud que mostraban era de muy poco interés. Nadie hizo caso, sólo yo llegue a la desesperación y allí mi reclamo (inapropiado en la forma, más no en el fondo). Finalizado el juego, el entrenador (uno de los dos que participan en los juegos) se acercó a un niño y empezó a explicarle como debería hacer el saque lateral, pero no era el niño que hacia el saque mal, a lo cual el niño le indicó que no era él. En fin, a que me llevó toda esta situación fue lo siguiente:
  • Comprendí que no me importa si el equipo de mi hijo gana o pierde (Me alegra cuando ganan, pero no me entristezco cuando pierde, los animo, los felicito, porque realmente juegan bien). Pero si me hace perder la paciencia que los entrenadores les importe lo mismo que a mi, el trabajo de ellos es procurar ganar.
  • Comprendí que mi trabajo no es otra cosa que la consultoría sobre temas de lo que soy experto, pero lo hago porque me encanta.
  • Además comprendí por que algunos clientes me dicen a veces, que nuestro costo es mayor que el de otros consultores, pero lo que sé es que cuando estoy desarrollando la consultoría la hago con un nivel de dedicación y pasión que no corresponde a alguién que lo tenga que hacer por hacerlo y siempre se obtiene el resultado esperado. Si alguno de ustedes ha pagado la entrada de un concierto de Franco de Vita, Shakira, Pitbull o su artista preferido, sabe que pagó una buena cifra, pero pocas veces se queja del espectaculo. Allí se olvida el costo. La razón es porque ellos hacen lo que saben hacer y lo hacen con gusto, cuando esos elementos juntan el resultado es un excelente producto.
Es nuestro deber evaluar en forma constante como se está haciendo el trabajo; y no sólo identificar las capacidades sino las actitudes. Cuando un trabajo no nos guste o veamos a alguién incorforme con lo que hace, lo recomendable es no hacerlo. Es claro que las necesidades, en muchas ocasiones compromenten a las personas a hacer lo que no nos gusta, pero los resultados tienden a ser catastróficos. Por lo general cuando una persona hace un actividad con gran experticia pero de mala gana, puede que el ambiente laboral o nivel salarial sea el factor que esté generando tal actitud, con lo cual los resultados son tan malos como los de una persona que no tenga tal nivel de experticia. Al final las consecuencias siempre serán desastrosas.

En mi trivial ejemplo, les puedo ilustrar que existen consecuencias que pueden ser muy serias en otros escenarios, sobre todo si se trata de un servicio contratado. Aunque debo decir que para mi es muy serio el hecho de que casí fui execrado de la comunidad estudiantil donde mi hijo hace vida académica, el que el equipo perdiera de una forma que poco antes vista (un equipo que jugaba muy bien) y la actitud de los entrenadores no demostró muchas ganas de hacer las cosas que la mayoría de los padres están esperando. Tengo fé que si, así como reconocí que cometí un gran error en las gradas del colegio de mi hijo, donde le pedí disculpas a todos, propios y ajenos.

sábado, 24 de septiembre de 2011

La Historia vuelve a Repetirse

Parece un ciclo programado de castigo en la gestión de riesgo operacional, donde los impactos cada vez son mayores por no haber aprendido de los errores.

El 15 de septiembre de 2.011 las noticias del mundo económico revelaban que el UBS, el mayor banco de Suiza, había sido víctima de transacciones fraudulentas por parte de uno de sus operadores bursátiles, con una pérdida cercana a los 2.000 millones de euros; y después de estar al borde de la quiebra por la crisis de 2008 y aplicar medidas de supervivencia el banco pareciera que no aprende de sus errores.

Si lo comparamos con otros fraudes de ejecución similar, como el de la Société Générale ocurrido en 2008; fue de 4.800 millones de euros, no es la más alta. Sin embargo, más allá del daño económico, el daño a la reputación del banco es incalculable. Es posible que los fondos del público no se hayan afectado, pero si se crea una gran duda de como se gestionan los riesgos en el banco, los cuales a la larga si mermarán la confianza de sus clientes, más aun teniendo la información que en octubre de 2010, por el caso de la Société se condenó a 5 años de prisión a Jerome Kiervel, el cual se determinó que actuó solo; sin embargo, el corredor argumentaba que sus superiores estaban al tanto y conocían con detalle del tipo de operaciones arriesgadas que él ejecutaba.

De momento, olvidemos el tema del fraude y veamos los siguiente: El banco, además de haber pérdido mucho dinero con la crisis de las hipótecas subprime de Estados Unidos, se ve involucrado en un tema de complicidad de evasión de impuestos, pues ayudo a clientes norteamericanos a tener cuentas ilegales en el extranjero. Esto les obligó a suministrar la información de más de 4.500 cuentas de personas estadounidenses, lo cual provocó una huida de muchos clientes suizos que consideran que la entrega de información estipula un brecha en el principio del secreto bancario, bandera del éxito de la famosa banca suiza. Como información adicional, el cierre del segundo trimestre del año 2011, reflejaron una merma del 50% de sus beneficios con respecto al mismo periodo del año anterior. De allí que terminarán el año con cifras rojas. Todo esto en un lapso menor a tres años, nada significativo para empresas centenarias y con prácticas de excelencia bancaria.

Sin duda que esto es una situación que obliga a la institución a tomar medidas muy fuertes en cuanto a ahorro y cautela para sus procesos de inversión. Desde el 2008 ha estado despidiendo parte de su personal en todo el mundo y ha venido reduciendo el patrocinio y publicidad razonablemente. Adicionalmente, es lógico que haya extremado las medidas para invertir en activos menos riesgosos. Sin embargo, el proceso de gestión de monitoreo a las actividades que se hacen en la institución se delegó en una persona que con el "poder" o abuso de posición al escenario de riesgos, actuó ocultándo violaciones de los límites establecidos para operaciones específicas al ejecutar posiciones ficticias de fondos en efectivo cotizados en el sistema bancario.

Cuesta imaginar como puede ocurrir algo así (el fraude); pero es lógico pensar que se falsificaron saldos en posiciones para que se reflejaran así en las cuentas contables. Para rematar, el 22 de septiembre de 2011, al operador financiero Kuaku Adoboli, le fue imputado el delito de fraude, el cual se supone fue ejecutado entre el 01 de octubre de 2008 y 31 de diciembre de 2010. Esto implica que la contabilidad es falsa desde 2008. En todo caso, este artículo no pretende hablar de que no se hicieron las cosas como deben ser, porque es evidente que así fue. Simplemente queremos acotar que aunque se cuente con el sistema de gestión de riesgo más moderno y las prácticas mejor desarrolladas por una institución evitarán que ocurran desastres como este. Ya que simplemente, al entregar la responsabilidad a una sóla persona, con el poder suficiente para ocultar la realidad por años, romperá la mejor práctica de riesgo operacional del mundo.

Quiénes son los culpables? Bueno, lo directores dicen que ellos son responsables, más no culpables. Esto no ha ayudado a la maltrecha reputación de tan prestigiosa institución.

Otros Casos Similares en la línea del tiempo:

  • Jérôme Kerviel. El ex operador bursátil del banco Société Générale realizó una serie de operaciones no autorizadas en 2008 y le hizo perder al gigante francés 6700 millones de dólares.
  • Yasuo Hamanaka. Fue sentenciado a ocho años de prisión en 1997 por maniobras fraudulentas en el mercado de cobre; sus operaciones le costaron a la empresa japonesa Sumitomo 2600 millones de dólares.
  • Nick Leeson. El banco inglés Barings colapsó en 1995, después de que el operador bursátil perdiera 1400 millones de dólares en transacciones no autorizadas.

Fuente:

BBC Mundo

lunes, 22 de agosto de 2011

La Necesidad de Éxito en la Gestión del Riesgo Operacional

“Ninguna empresa puede ser mejor o peor que las personas que la integran”. Kaoru Ishikawa

La gestión de riesgo operacional tendrá garantizado su éxito en las personas que estén destinadas y decididas a administrarlo, más que en las propias metodologías y herramientas que se utilicen o adquieran para tal fin. Me motiva a escribir esto, el reciente artículo que Francisco Alcaide publicó en su blog, denominado "El cobarde no gana para sustos"; en el que destaca un capítulo dedicado a aquellas personas que se desmarcan del común, desoyendo a las masas y diferenciándose en sus hechos y acciones.

Administrar riesgo operacional no es para alguien que por no poder hacer otra cosa termine asumiendo esa responsabilidad. Esto tampoco es para personas que se cansaron de hacer un trabajo específico y decidieron hacer algo que consideran "más fácil". En las organizaciones donde esto suceda es porque aun no comprenden la magnitud de lo que es el riesgo operacional[1]. En ocasiones es porque se ha creado un entorno de falsa seguridad, donde existe la creencia de que"esto no nos va a pasar a nosotros, esto les pasa a otros". Las personas que puedan estar destinadas y decididas en administrar el riesgo operacional deben tener aptitudes que lo caractericen como alguien que prefiere el reto en lugar de la comodidad. Son personas que están en un aprendizaje constante, no para acumular el conocimiento (y guardárselo), sino para aplicarlo a escenarios que son complejos; que son hostiles pero que pueden ser deducibles con buen criterio y análisis. Estas son personas que se desmarcan del común, que se adentran en lo específico de un modelo (situación o problema) y lo desmontan de manera de comprender la realidad, validando en la mayoría de las ocasiones que los escenarios de riesgos obedecen a patrones y condiciones del entorno que permiten hacer predicciones con impresionante asertividad. Personas que logran este tipo de resultados, son sin duda alguna éxitosas.

Se preguntaran si existe este tipo de personas, y creo que la mejor forma es responder con la cita que hace Alcaide[2] de Dante Gabel "Cuando quieras emprender algo, habrá un montón de gente que te dirá que no lo hagas; cuando vean que no te pueden detener, te dirán cómo lo tienes que hacer; y cuando finalmente lo logres, dirán que siempre han creído en ti". Si alguno de ustedes ha estado en una situación como esta ya sea como protagonista o testigo, le aseguro que entonces esas personas si existen.

La necesidad de éxito es fundamental para administrar el riesgo operacional, porque no es una práctica que pueda gerenciarse con displicencia o con actitud de procastinación, para ello debemos procurar el mejor talento que pueda ser seleccionado, el cual tenga atributos que le destaquen con el tipo que deseen desmarcarse del común, que quisieran aprender a ser destacables de manera que puedan lograr la misión de gestionar adecuadamente el riesgo operacional. Adicionalmente, las organizaciones deben saber porqué están contratando este tipo de personas, pues de nada valdrá tener este recurso y destinándolo para administrar sólo aquel entorno visible y obvio de riesgo operacional que ni siquiera es una mínima porción de lo terrible de su materialización.

Advertencia: Debe llevarse a cabo una excelente gerencia por parte de la dirección sobre aquellos recursos "fuera de lote"; la razón es que pueden terminar conviertiéndose en unos project champion; y esto en extremo, también puede generar fuerte dependencia por parte de las organizaciones para desarrollar proyectos de importancia o inclusive para tomar decisiones.

[1] Papeles de trabajo y documentos en El Comité de Supervisión Bancaria de Basilea

[2] Francisco Alcaide tiene su blog http://www.franciscoalcaide.com

jueves, 18 de agosto de 2011

Nuestra Nueva Imagen en la Internet

Con una nueva imagen más dinámica y en cierta forma minimalista, el nuevo sitio en internet de Durán & Asociados, Consultores de Riesgos, C.A. busca hacer agradable su uso y a su vez proveer soporte a través de documentación e información relacionada a las prácticas de riesgos, en especial brindar soporte al Blog de Riesgo Operacional que mensualmente emite un artículo que busca hacer de la práctica un tema común. Agradecemos sus comentarios y seguimiento.



martes, 26 de julio de 2011

La Ejecución versus Las Ideas en Riesgo Operacional

Hace unos días leía un artículo relacionado con los gemelos Winklevoss[1] quienes han mantenido una constante lucha por los derechos de autoría y en consecuencia el porcentaje de propiedad que les corresponde por Facebook, la cual recientemente fue valorada en 85.000 millones de dólares[2]. El artículo[3], más allá de la historia que no se aleja mucho de una novela donde hay robo de ideas, juicios, chismes, maltratos entre los buenos y los malos a fin de cuenta todos siempre poderosos, lo que destaca es que en el mundo de la tecnología, al parecer crear ideas es más simple que materializarlas.

Este artículo me llevó a abril de 2003, justo unos meses antes de lanzar mi emprendimiento en gestión de riesgos. Estaba invitado a una reunión donde se encontraban el presidente, el presidente ejecutivo y otros altos directores de la organización donde yo trabajaba como especialista en seguridad de información; y mientras se esperaba a que terminarán de cargar la presentación que se llevaría a cabo, la cual estaba relacionada con los indicadores de riesgos, recuerdo, que el presidente ejecutivo en un tono reflexivo, lo que parecía más bien un pensamiento a viva voz dijo: "Acabo de terminar de leer un libro que se llama Execution[4]". Como la reunión era temprano en la mañana (7:00 de la mañana); realmente no recuerdo porque lo recomendó (Para mi el tema de madrugar siempre me ha afectado, es como un jetlag eterno), pero lo que siempre supe es que lo recomendaba por el hecho de que habían muchos proyectos y posiblemente altas posibilidades de que muchos de esos proyectos no se materializarían. En resumen, me interesó el argumento por lo que compré el libro y comprendí que el tema principal que exponía quién lo recomendaba era la ruptura que existía entre los deseos y los resultados que se encuentran en los protafolios de proyectos y que realmente el éxito de una organización radicaba en la ejecución. Recuerdo perfectamente eso. La ausencia de ejecución es lo que ha minado históricamente el éxito en las organizaciones.

Ahora, pasados ocho años y leyendo el artículo de los Winklevoss, se destaca que la ausencia del éxito está basado en que se pueden generar muchas ideas que valen millones, pero que sin la ejecución no tienen valor alguno. El tema de los gemelos de Hardvard se ha convertido en más que una lucha económica en una lucha por las "ideas" y su "ejecución", tal como ese breve artículo comenta.

Ahora bien, a estas alturas de la lectura, se preguntarán: Qué tiene que ver esto con riesgo operacional? Corresponde decir que mucho. El asunto es que la gestión de riesgo operacional debe tener entre sus funciones proveer la suficiente información para que los objetivos de la organización sean alcanzados. Esto se logra generando análisis que permite que se identifiquen vulnerabilidades y amenazas, las cuales son esenciales para desarrollar estrategias que habilitarán a los "ejecutores" a ir superando las barreras que limiten la consecución de los objetivos. En un aspecto general, se debe desarrollar una práctica constante de monitorización sobre los indicadores que adviertan con suficiente anticipación, situaciones de posibles eventos adversos, que están relacionados a los ambientes donde se desempeñen y llevan a cabo los procesos críticos de la organización.

Como se puede notar, esto es un poco más extendido que el desarrollo de una metodología que evalúe los riesgos y los catalogue por nivel de severidad (ex-ante) o el diseño de una estructura para el registro y mantenimiento de los eventos históricos que se encuentren relacionados a riesgo operacional (ex-post) para luego estimar los posibles valores en riesgo que se categoricen por tipo de evento. La gestión de riesgo operacional debe lograr enlazar el ex-ante y el ex-post; permitiendo desarrollar excelentes contramedidas que se ajusten que a una realidad organizacional (perfil de riesgo) y en consecuencia, dichas contramedidas deben tener una relación positiva entre el beneficio que el proceso genera y la contramedida que mitigua los riesgos.

En definitiva en la práctica de riesgo operacional han surgido excelentes ideas así como proyectos que buscan materializar que persiguen hacer más efectiva su gestión, pero lo que ha marcado el incipiente logro de esta práctica en muchas organizaciones, es el mismo factor que en modo general condena el éxito de muchas entidades, ya sean de negocios o no y este factor sigue siendo la ejecución.


martes, 14 de junio de 2011

Las Limitaciones en la Gestión del Riesgo Operacional

El artículo anterior comentamos acerca de los límites del riesgo operacional, viéndolo ahora en otra perspectiva y evaluándolo mejor (siempre pasa) debimos haberlo titulado de otra forma, pero en fin, creo que todo depende desde el punto de vista desde donde se observe ya que puede ser "alcance", "límites", "fronteras". Lo relevante en el mencionado artículo, es que se estipularon no menos de veinticinco elementos derivados de factores específicos relacionados con la gestión operativa de una organización; y que las mismas pueden servir de guía inicial para extender el alcance de la gestión (de riesgo operacional) más allá del ambiente de confort en el que algunas organizaciones "acotan" esta práctica.

Ahora bien, argumentar que algunas organizaciones acotan su gestión de riesgo operacional a determinados límites donde no se afecta su confort, es decir que en algunas de ellas sólo se gestionan los riesgos que se manifiestan o son realmente evidentes. Organizaciones que se caracterizan en actuar así, son entes reactivos que actuarán en función de "como vayan viniendo vamos viendo". Podrá resultar exagerado, pero los eventos son resaltantes con un par de ejemplos de cercana data: El derrame petrolero en el Golfo de México (2010) y el daño a las plantas de emergencia de energía en Fukushima (2011); dos incidentes que no sólo afectan a cientos de miles de personas, sino que comprometen el futuro de los que aun no nacen. Dos desastres que sin duda no valoraron las dimensiones del riesgo operacional al cual se exponían, en consecuencia ni pensar de la existencia de medidas para contener el evento.

¿Qué tiene el riesgo operacional qué no permite prever este tipo de eventos?
Creemos que son sus límites y su administración. Explicaremos este argumento a través de un ejercicio y para ello, hagamos lo siguiente: Imaginemos un país con amplias fronteras que ostenta una densidad poblacional[1] muy baja. Consideremos además, que una mínima proporción de esos habitantes está destinada a supervisar la totalidad del territorio, adicional a las fronteras; y que estos no están adecuadamente entrenados, motivados, compensados ni provistos de herramientas para desempeñar tal función. Es altamente probable que en muy breve tiempo exista una gran baja en el interés, desmoralización y abandono por resguardar el territorio y los límites. Puede suceder que, por comodidad y sin interés de perder el trabajo o faltar a la obligación de la tarea que se les haya encomendado, se encargarán de custodiar lo que les sea menos complejo e incomodo de cumplir. De inmediato comenzarán a materializarse eventos que no sólo ocurrirán en las fronteras débilmente custodiadas, sino que prontamente habrán de materializarse en todo el territorio a resguardar.

Si sustituyésemos en nuestro ejercicio el territorio y las fronteras por la organización y sus funciones; a las personas destinadas a resguardar el territorio por los especialistas en gestión de riesgo operacional, estaríamos en presencia de una cercana realidad a la gestión de este tipo de riesgo en algunas organizaciones. De este ejemplo, se evidencia que no existe un claro entendimiento de la importancia de la administración de riesgos y el medio donde se desenvuelve una organización. Además, cuando se destinan los recursos para realizar tal tarea, no se considera con la importancia que involucran las capacidades y soporte requerido para realizarla. Es por ello que la función de riesgo operacional en ocasiones es muy limitada o se encuentra acotada a lo que sólo se puede administrar. En estos casos, la dimensión de la exposición de una organización es la que dicta la magnitud del esfuerzo y recursos a imprimirle para su adecuada administración[2]. Colocar una grupo limitado en personas y recursos para ver como va el asunto es una opción que conllevará a crear una falsa condición de seguridad en la gestión de riesgos operacionales y en consecuencia la unica condición de conocer la magnitud de la dimensión real de la exposición de los riesgos sólo cuando estos se materialicen.

[1] Es la población relativa que se obtiene de la cantidad de habitantes entre la unidad territorial, generalmente expresada en kilómetros cuadrados.
[2] La dimensión a la exposición es lo que se denomina en esta práctica el perfil de riesgo de la organización que conlleva a conocer los riesgos implícitos en los procesos para actuar en consecuencia a con un adecuado marco de control y gestión de riesgos.

jueves, 26 de mayo de 2011

Los Límites de Riesgo Operacional basado en el LPG 230(*)

(*) Este artículo está basado en la interpretación y aportes propios de la Guía de Prácticas Prudenciales LPG 230 de la Autoridad de Regulación Prudencial de Australia. El objetivo es reafirmar (recordar) los factores de riesgo que determinan los límites del riesgo operacional.

En la práctica de riesgo operacional, una condición que permite establecer un adecuado marco de gerencia es tener bien delimitadas sus fronteras. Constantemente evidenciamos discusiones y disputas gerenciales de lo que es el área de influencia de cada quien sin que se logre un adecuado entendimiento y el nivel de calidad en la gestión de riesgos operacionales. De lo ampliamente escrito acerca de este tipo de riesgo, una de la cosas que poco se discute es que el alcance se verá impactado por el tamaño de la organización, naturaleza de negocios y complejidad de las operaciones que se realizan diariamente.

Es por ello que la Autoridad de Regulación Prudencial de Australia (APRA)[1] prevé que la definición y aplicación de la gestión de riesgo operacional se entiende en toda la organización en la medida que ésta se llega a conocer mejor. Una forma de fortalecer dicha comprensión es saber que la gestión de riesgo operacional puede considerar un amplio rango de riesgos en los procesos de la empresa, todos ellos asociados con lo siguientes factores que a continuación se enunciarán:
  • Tecnología de la información
  • Recursos humanos
  • Fraudes internos y externos
  • Gerencia de Proyectos
  • Sistemas de información
  • Tercerización (Outsourcing)
  • Continuidad de negocios
  • Administración de productos[2]
  • Precio por unidad (princing)
  • Procesos de negocios[3]
  • Introducción de nuevos productos
Adicionalmente, existen factores derivados de los principales y asociados con tecnología de información, los cuales pueden estar relacionados con la infraestructura y seguridad de información, tal como:
  • Gerencia de redes y usuarios
  • Gestión de configuración
  • Capacidad y rendimiento de sistemas
  • Requerimiento de servicios
  • Acuerdos de nivel de servicios
  • Gestión de cambios
  • Gerencia de activos de información
Elementos específicos de la gerencia de la seguridad de información que son relevantes para la gestión de riesgos:
  • Políticas y estándares
  • Acciones preventivas
  • Monitorización
  • Prueba y control
Elementos específicos de la gerencia del ciclo de vida de mantenimiento de sistemas que son relevantes para la gestión de riesgos:
  • Metodología formal para el desarrollo de aplicaciones
  • Acuerdos de monitorización y gobierno
  • Desarrollo y pruebas de protocolo
  • Mantenimiento y documentación de aplicaciones
  • Revisiones pos implementación
En referancia al factor humano, este puede ser uno de los más importantes y complejos de gerenciar, siendo relevantes los siguientes aspectos:
  • Necesidades de recursos humanos
  • Personal clave en procesos críticos
  • Verificación de referencias y experiencias de empleados y contratistas
  • Segregación de tareas
  • Planes de relevo y sucesión
  • Monitorización y supervisión del personal
Los factores de riesgos asociados al fraude, el cual puede estar ocasionado por actos intencionales, realizados con el objetivo de obtener beneficios personales ya sea manipulando las operaciones financieras o aspectos del negocio, este puede provenir de fuentes internas o externas de la organización exponiéndola a pérdidas financieras si no son administrados adecuadamente. Los factores a considerar son:
  • Segregación de tareas en el nivel operativo y en las líneas de reporte
  • Límites de autoridad y delegación
  • Control y auditoría
  • Entrenamiento del personal y sensibilización en las políticas, código de ética y riesgo de fraude
Los riesgos derivados de la gerencia de proyectos podrían estar identificados en cuanto al fallo en el logro de los objetivos planteados, en la inadecuada aplicación de los recursos del proyecto, presupuestos incompletos para el logro del objetivo del proyecto. Los factores que se relacionan a este elemento son:
  • Metodología formal para el desarrollo de proyectos
  • Establecimiento del caso de negocios
  • Análisis costo/beneficio
  • Evaluación y análisis de riesgos del proyecto
  • Patrocinio identificado con el objetivo del proyecto
  • Niveles apropiadamente definidos en la delegación de autoridad
  • Plan de trabajo y seguimiento
  • Supervisión centralizada de cumplimiento con los protocolos de la gerencia de proyectos
  • Revisión pos implementación
Un factor que por lo general se confunde con tecnología de información, son los sistemas de información, aunque relacionados, determinan unos aspectos que derivan riesgos operacionales de relevancia, tales como:
  • Funcionamiento adecuado de los sistemas y reportes
  • Generación detallada de información financiera, operacional y de cumplimiento
  • Disponibilidad a generar la información relevante en forma precisa y oportuna
  • Manejo de excepciones en la carga de información
  • Evaluaciones periódicas en los sistemas de información para identificar la calidad y pertinencia de la información generada
Es posible que existan otros elementos que pudieramos estar obviando y es factible que el rango de atributos sea aun mayor, con lo cual extiende aun más los límites de la gestión del riesgo operacional. Creemos que con este catálogo se puedan reafirmar aun más las fronteras a establecer para ir en pro de una mejor gestión de riesgos operacionales y que basados en la experiencia puedan decantarse mejores prácticas internas en las organizaciones, perfectamente adecuadas a su naturaleza y estilo, que no es más que la cultura o la identidad organizacional única de cada empresa.

[1] APRA: Australian Prudential Regulation Authority
[2] La administración de productos incluye el procesamiento, transaccionalidad, producción de documentación, suscripción y reclamos.
[3] Procesos contratados no tercerizados, por ejemplo un centro alterno contingente.

jueves, 21 de abril de 2011

El Riesgo viene de no saber lo que se está haciendo(*)

(*) Risk comes from not knowing you're doing.- Warren Buffet

Hace poco nos llamó la atención, el nombramiento de un director de una empresa muy importante del sector de las calificadoras de riesgo y de inversión, al cual se le asignaban dos roles que por lógica en sus funciones[1], no deben nunca llevarse por una sola figura. Una porque es tomadora de riesgos y la otra porque establece los aspectos de administración de riesgos, en este caso los operacionales. Es posible, que en un momento dado entre en conflicto de intereses por contraponer los roles.

La verdad no tenemos manera de validar dicha información; en la página corporativa de dicha empresa aparece la hoja de vida del ejecutivo en cuestión y la realidad es que se ha desempeñado en esos roles en algunas empresas a lo largo de su carrera[2]; y en dicha página no se menciona esta actualización en el cargo. Así que no vamos a dar por sentado que sea así; menos pensando que estas organizaciones son empresas especializadas que tienen vasta experiencia en el manejo de los riesgos y de inversiones.

Sin embargo, llama mucho la atención que se publique una nota de prensa donde se diga que se nombra a una persona en dos cargos, que si se hace abstracción del tipo de empresa que hemos mencionado, deberíamos suponer que eso no va a funcionar nada bien. De hecho, realmente nunca ha funcionado muy bien, pues no estuviese el mundo pasando por la enésima crisis financiera y no se hubiese preparado el nuevo acuerdo de capital, denominado Basilea III; un acuerdo que por cierto, al no lograr que la gestión de riesgo operacional funcione adecuadamente, entre los otros, se enfoca en la maximización de la capitalización y estricta depuración de los distintos componentes del patrimonio, de una manera que conlleva a complicar en una forma extraña el proceso de intermediación financiera y exculpa a los responsables de gerenciar los riesgos y el apetito de ganancias[3] de los tomadores de decisiones en las organizaciones.

La verdad creemos que vendrán más acuerdos de capital de Basilea, debido a que el problema no está en los acuerdos, sino en su cumplimiento (saber como hacer para cumplir cabalmente). Para los consabidos en estos temas, Basilea I (1988); pudo haber evitado muchas crisis. El principio de segregación de funciones existe desde antes de cualquier acuerdo de capital, de allí que el problema no está en los acuerdos o en los niveles de capitalización, sino saber qué se está haciendo.

El punto importante es que por una relación causa efecto, el riesgo viene de no saber lo que se está haciendo. Así lo expresa Warren Buffet[4] y lo convirtió en un principio en sus negocios. "Cuando Usted no sabe que hacer, él sugiere que no debe invertir debido a que el factor de riesgo es muy alto. Por el contrario, si se encuentra bien documentado y tiene una clara idea de lo que está haciendo, se encontrará en una situación en que podrá evaluar si una inversión tiene alto potencial; y con esta capacidad, reducirá el riesgo de escoger el camino perdedor."

Ahora bien, la situación a evaluar sería la que nos permita determinar que tenemos pleno conocimiento de lo que estamos haciendo. Recientemente, en la página de Disaster Recovery Jounal publican un artículo titulado "Disaster Recovery Depends on Configuration Knowledge" que dice que conocer muy bien los procesos, las fuentes de información con precisión, pertinencia y completitud permiten recuperar en tiempos menores ante un desastre. Esto es conocer adecuadamente la organización en su todo. En resumen, no estamos descubriendo nada nuevo, sabemos que en la medida que tengamos menos variables incógnitas, cualquier problema por complejo que sea, se resuelve. El tema es que debe haber un fuerte gobierno corporativo, que cuando asigne el rol de administrador (tesorero, riesgo operacional, líder de proyecto, etc). Además, el empoderamiento que acompañe dicho rol sea respetado por la gerencia. Pero, dándole valor a este artículo, que los que sean asignados a estos roles, sepan lo que hacen, y cuando no lo sepan no tomen los riesgos porque son muy altos.

En última instancia, valdría la pena evaluar: ¿Qué tanto sabemos lo que hacemos y aun así tomamos los riesgos? ¿Tanto como para nombrar a una persona el tesorero y gerente de riesgo operacional al mismo tiempo?

[3] Realmente la frase utilizada es apetito al riesgo, siendo definida como la cantidad de riesgo que una empresa está dispuesta a asumir para generar valor. Por lo general, cuando no se sabe lo que se está haciendo, se tiende a superar este nivel o simplemente ambición descontrolada por ostentar roles que se contraponen en sus intereses, lo cual termina en lo mismo: No saber lo que se está haciendo.

miércoles, 30 de marzo de 2011

Talleres y Certificaciones en COBIT® Foundations y Gobierno de Tecnología de Información

Durán & Asociados, Consultores de Riesgos (D&A Consultores) como empresa en constante evolución y fiel con deseo de ofrecer al mercado los servicios afines con su naturaleza, ahora ha sido licenciado por ISACA para ofrecer capacitación en las áreas de COBIT Foundations y Gestión de Gobierno de TIC para obtener las debidas certificaciones mediante la solicitud de los exámenes correspondientes.
D&A Consultores estará ofreciendo estos servicios tanto a particulares como empresas a nivel nacional como internacional. Para tal fin, se cuenta con opciones alternativas de e-learning que permitirá acceder al modelo de formación a distancia.

Si desea recibir los folletos e información referente al tema. Por favor escribir a info@da.com.ve

lunes, 21 de marzo de 2011

La Relación entre la Complejidad y la Catástrofe

En un artículo reciente de Andrew Revkin titulado Complejidad + Complacencia = Calamidad, trata acerca de una frase que recibe en un comentario de Michael Schlesinger, un cientifico climático de la Universidad de Illinois, que dice: “Don’t Know Squared – It’s What You Don’t Know You Don’t Know. That can bring down any system designed by humanity" traducido es algo así: "No se al cuadrado, es que Usted no sabe que no sabe. Eso es lo que hace que cualquier cosa hecha por la humanidad pueda venirse abajo". Todo lo anterior, en relación al tema del terrible desastre ocurrido en los reactores nucleares de Fukushima, luego del fuerte terremoto y tsunami del pasado 11 de marzo de 2011.

"No se al Cuadrado" es un tema que tiene fuerte relación con algunos artículos que hemos publicado en este blog, en particular con ¿Debe el negocio prevalecer sobre la gestión de riesgos?; en virtud que en determinadas ocasiones, se da privilegio a los resultado sin evaluar adecuadamente las consecuencias. En estos artículos el elemento común sobre el que se desarrolla la idea, son los desastres de magnitudes catastróficas, no sólo por haber cobrado miles de vidas, sino generado consecuencias terribles para el mantenimiento de la misma en el planeta (de todo tipo).

En referencia al tema del manejo de situaciones desastrozas, es evidente que se han desarrollado medidas para su control; en especial para las industrias tan contaminantes como la petrolera y nuclear; sin embargo es aun más evidente que las medidas no han sido lo suficientemente apropiadas para las situaciones que se han presentado. Al parecer, el denominador común en la mayoría de las situaciones es que se minimiza el efecto de lo que pudiera suceder, en particular los eventos de origen natural o aquellos que, aunque producidos por el hombre, es la naturaleza la que se encarga de establecer las condiciones para la recuperación del desastre (Recordemos que la rotura de la válvula de enlace con el canal de extracción de petróleo de la British Petroleum ocurrió a más de 1.500 metros de profundidad en el mar). Lo importante en todo esto es que en algunas organizaciones, nos encontramos en la constante minimización de los eventos. Por lo general, no se realizan las pruebas exhaustivas de lo que pudiese ocurrir y existe una tendencia al ahorro que podría estar enfocándose en forma equivocada, pues no es tal, dado que como consecuencia de ello se está es evitando una posible acción que serviría de contramedida.

Es importante destacar que no es un tema exclusivo de pequeñas o medianas empresas que podrían subestimar los presupuestos para las contingencias y no estar orientadas a desarrollar una cultura formal hacia el manejo de desastres. Por el contrario, estamos en presencia de empresas con presupuestos inmensos, con alta exposición y supuesta sensibilización en la gestión de riesgos, que a pesar de todo esto, sufren eventos que superan cualquier contramedida desarrollada.

Por lo anteriormente expuesto, habría que preguntarse si se está haciendo lo suficiente para manejar eventos que puedan garantizar la vida de las personas y el medio ambiente. Vale la pena destacar, que la mayoría de los eventos catastróficos acaecidos recientemente, son la combinación de manifestaciones de fenómenos naturales y procesos llevados a cabo en industrias altamente complejas; en la que existe una relación directa y proporcional que señala que entre más complejo el proceso, más catastrófico será el evento.

En esta situación tenemos que considerar que la incorporación de modelos y tecnología en los procesos ciertamente harán la vida más cómoda para nuestros clientes y usuarios, pero lo que no debemos perder de vista, es la complejidad que ésta conlleva en si misma. En organizaciones, en las que entendemos que no existen riesgos donde se ponga en peligro vidas humanas o el ambiente, podemos llegar a subestimar las contramedidas para el manejo de eventos adversos, pero es posible que estemos arriesgándonos a destruir una empresa, posiblemente afectando a la sociedad y el entorno en magnitudes mucho menores a las de Fukushima o New Orleans, más sin embargo no deja de tener efecto negativo en la sociedad. Es por ello que en la medida que el proceso productivo sea más complejo, mas estrictas deben ser las pruebas ante desastres. Nunca dejará de parecer exagerado para algunos, pero la verdad ha explotado en la cara de muchos que han minimizado los efectos de subestimar y no obedecer las leyes de la naturaleza y el sentido común.

De estos eventos se puede obtener mucho, tal como Timothy Dixon reflexiona acerca del tema de Fukushima, era que la falla de los generadores de respaldo de la planta de refrigeración de la central nuclear era evitable, al igual a lo ocurrido en los hospitales de New Orleans en la tragedia de Katrina en 2005, debido a que los generadores estaban en niveles muy bajos, inclusive en sótanos que se encontraban en cotas conocidas de inundación, estos se dañaron. Con esta información se podría haber considerado colocar generadores en niveles más altos, que puedan estar fuera del alcance de inundaciones o mareas de alturas nunca antes consideradas. Esto es aprendizaje, sin duda muy duro, pero es posible que el "no saber al cuadrado" podamos resolverlo; pero por el momento, sería aceptable con un "no lo sé del todo".

sábado, 5 de febrero de 2011

La Gestión del Talento es Estratégico, no de Apoyo

En la gestión de riesgo operacional, un componente que tiene que considerarse con igual nivel de importancia al tecnológico, procesos o entorno, es el relacionado a las personas. Los analistas que se ven involucrados con la evaluación del factor humano en riesgo operacional; generalmente buscan identificar elementos que les suministre información de posibles debilidades en los niveles de rotación, compensación, planes de desarrollo profesional y el sentido de identificación de las personas con la organización. Como práctica de evaluación de riesgos lo que se está evaluando, en este caso, son los resultados de la gestión del talento humano, que tiene un valor de agregación fundamental en los objetivos de la organización.
Sin embargo, si la organización no es una empresa dedicada a la busqueda y colocación de talentos; la evaluación de la gestión del talento humano, no debería considerarse como un elemento de soporte, sino como un elemento estratégico que forma parte de la misión organizacional.
En organizaciones donde la gestión de riesgo operacional ha sido formalmente establecida, la importancia que se le da a tecnología y a los procesos sobre el recurso humano, producen en si misma, una exposición de riesgo. Esto se genera al desestimar la relevancia que reviste el componente humano, el cual tiene como rol, estar en constante investigación y desarrollo. Una característica que se identifica consecuentemente durante las evaluaciones de riesgo, es la alta dependencia del conocimiento sobre una sóla persona o un grupo de personas. Estas personas al ser entrevistadas, por lo general manifiestan ser el centro de atención para el soporte de procesos críticos, y son visto por sus pares en la organización, como los únicos que saben y conocen como puede ser solucionado un problema en un momento dado. Algunas organizaciones han considerado documentar todo el conocimiento que esta persona pueda aglutinar, sin embargo lo que se documenta es el proceso y no la experiencia. La relación de amor reciproco entre la persona y la empresa, cuando nace, con el pasar del tiempo se puede convertir en una de mucha tensión, en la que las personas usan el conocimiento que tienen como recurso "prisionero" para negociar aumentos de sueldo o mejoras en las condiciones laborales; mientras que la empresa, aprobando parte de las peticiones, se siente más tranquila porque considera que "por ahora" no perderá recursos que afectarían su continuidad operativa.
Es díficil para las organizaciones saber cuando se llegó a tal nivel de tensión. En descargo del recurso humano; debe argumentarse, que por lo general nunca actuan con la intención de convertirse en elementos indispensables; es un proceso que conlleva años. Sin embargo, esta situación es más común de lo que se piensa y si bien, hay que convivir con tal escenario, es prudente comenzar a considerar el talento humano como un factor estratégico.
Parte de las acciones que se pueden ir desarrollando para ir corrigiéndo o evitar, si aun no se tiene (por fortuna) esta situación, deviene en formar gerentes visionarios, que no tiendan a privilegiar a unas personas más que otras. Nunca se debe desestimar el presupuesto para entrenamiento en áreas que sean de soporte crítico a los procesos de negocio (todas en general), de forma que pueda cubrir a más de un recurso. Son pocas las personas que se entrenan y vienen a compartir o ser factor multiplicador del conocimiento en la empresa, esto porque, no está formado para eso o simplemente no hay interés o tiempo. Lograr establecer rotación de personas que tienden a perpetuarse en cargos técnicos, puede tener efectos positivos, el cual puede ir creando "clones" que manejan niveles similares de conocimiento en distintas prácticas altamente relacionadas. Sin duda, no debe dejar de documentar los procedimientos de áreas críticas, en especial aquellas que se soporten en herramientas tecnológicas, pero siempre teniéndo claro que sin la experiencia, es posible que el manual no sirva de mucho.
Si el factor humano es considerado como un componente igual de importante que la tecnología, los procesos y el entorno, en la gestión de riesgo operacional, entonces se permitirá asumir la gestión del talento como estratégico para la organización. Cuando algo reviste el carácter estratégico en la organización, supone que debe tener apoyo y presupuesto para poner en práctica algunas de las sugerencias que exponemos en este escrito.

La nueva normalidad era un juego de niños

Foto: StellaDi Pixabay Creo que "la nueva normalidad" era cosa de 90 días. Eso ya no existe. Pienso que lo cierto es una nueva rea...