(*) Este artículo está basado en la interpretación y aportes propios de la Guía de Prácticas Prudenciales LPG 230 de la Autoridad de Regulación Prudencial de Australia. El objetivo es reafirmar (recordar) los factores de riesgo que determinan los límites del riesgo operacional.
En la práctica de riesgo operacional, una condición que permite establecer un adecuado marco de gerencia es tener bien delimitadas sus fronteras. Constantemente evidenciamos discusiones y disputas gerenciales de lo que es el área de influencia de cada quien sin que se logre un adecuado entendimiento y el nivel de calidad en la gestión de riesgos operacionales. De lo ampliamente escrito acerca de este tipo de riesgo, una de la cosas que poco se discute es que el alcance se verá impactado por el tamaño de la organización, naturaleza de negocios y complejidad de las operaciones que se realizan diariamente.
Es por ello que la Autoridad de Regulación Prudencial de Australia (APRA)[1] prevé que la definición y aplicación de la gestión de riesgo operacional se entiende en toda la organización en la medida que ésta se llega a conocer mejor. Una forma de fortalecer dicha comprensión es saber que la gestión de riesgo operacional puede considerar un amplio rango de riesgos en los procesos de la empresa, todos ellos asociados con lo siguientes factores que a continuación se enunciarán:
- Tecnología de la información
- Recursos humanos
- Fraudes internos y externos
- Gerencia de Proyectos
- Sistemas de información
- Tercerización (Outsourcing)
- Continuidad de negocios
- Administración de productos[2]
- Precio por unidad (princing)
- Procesos de negocios[3]
- Introducción de nuevos productos
Adicionalmente, existen factores derivados de los principales y asociados con tecnología de información, los cuales pueden estar relacionados con la infraestructura y seguridad de información, tal como:
- Gerencia de redes y usuarios
- Gestión de configuración
- Capacidad y rendimiento de sistemas
- Requerimiento de servicios
- Acuerdos de nivel de servicios
- Gestión de cambios
- Gerencia de activos de información
Elementos específicos de la gerencia de la seguridad de información que son relevantes para la gestión de riesgos:
- Políticas y estándares
- Acciones preventivas
- Monitorización
- Prueba y control
Elementos específicos de la gerencia del ciclo de vida de mantenimiento de sistemas que son relevantes para la gestión de riesgos:
- Metodología formal para el desarrollo de aplicaciones
- Acuerdos de monitorización y gobierno
- Desarrollo y pruebas de protocolo
- Mantenimiento y documentación de aplicaciones
- Revisiones pos implementación
En referancia al factor humano, este puede ser uno de los más importantes y complejos de gerenciar, siendo relevantes los siguientes aspectos:
- Necesidades de recursos humanos
- Personal clave en procesos críticos
- Verificación de referencias y experiencias de empleados y contratistas
- Segregación de tareas
- Planes de relevo y sucesión
- Monitorización y supervisión del personal
Los factores de riesgos asociados al fraude, el cual puede estar ocasionado por actos intencionales, realizados con el objetivo de obtener beneficios personales ya sea manipulando las operaciones financieras o aspectos del negocio, este puede provenir de fuentes internas o externas de la organización exponiéndola a pérdidas financieras si no son administrados adecuadamente. Los factores a considerar son:
- Segregación de tareas en el nivel operativo y en las líneas de reporte
- Límites de autoridad y delegación
- Control y auditoría
- Entrenamiento del personal y sensibilización en las políticas, código de ética y riesgo de fraude
Los riesgos derivados de la gerencia de proyectos podrían estar identificados en cuanto al fallo en el logro de los objetivos planteados, en la inadecuada aplicación de los recursos del proyecto, presupuestos incompletos para el logro del objetivo del proyecto. Los factores que se relacionan a este elemento son:
- Metodología formal para el desarrollo de proyectos
- Establecimiento del caso de negocios
- Análisis costo/beneficio
- Evaluación y análisis de riesgos del proyecto
- Patrocinio identificado con el objetivo del proyecto
- Niveles apropiadamente definidos en la delegación de autoridad
- Plan de trabajo y seguimiento
- Supervisión centralizada de cumplimiento con los protocolos de la gerencia de proyectos
- Revisión pos implementación
Un factor que por lo general se confunde con tecnología de información, son los sistemas de información, aunque relacionados, determinan unos aspectos que derivan riesgos operacionales de relevancia, tales como:
- Funcionamiento adecuado de los sistemas y reportes
- Generación detallada de información financiera, operacional y de cumplimiento
- Disponibilidad a generar la información relevante en forma precisa y oportuna
- Manejo de excepciones en la carga de información
- Evaluaciones periódicas en los sistemas de información para identificar la calidad y pertinencia de la información generada
Es posible que existan otros elementos que pudieramos estar obviando y es factible que el rango de atributos sea aun mayor, con lo cual extiende aun más los límites de la gestión del riesgo operacional. Creemos que con este catálogo se puedan reafirmar aun más las fronteras a establecer para ir en pro de una mejor gestión de riesgos operacionales y que basados en la experiencia puedan decantarse mejores prácticas internas en las organizaciones, perfectamente adecuadas a su naturaleza y estilo, que no es más que la cultura o la identidad organizacional única de cada empresa.
[1] APRA: Australian Prudential Regulation Authority
[2] La administración de productos incluye el procesamiento, transaccionalidad, producción de documentación, suscripción y reclamos.
[3] Procesos contratados no tercerizados, por ejemplo un centro alterno contingente.
