La Pregunta que siempre se hace
En recientes charlas y
sesiones de trabajo, llevada a cabo con personas relacionadas con la
administración del riesgo operacional, surge una constante pregunta que converge
en el tiempo que toma implantar una apropiada gestión de riesgo operativo”. Esta
interrogante viene aun más acentuada por parte de especialistas responsables de
atender los requerimientos de los organismos que los regulan, particularmente
de las instituciones financieras, que en su mayoría, han adoptado el patrón
Basilea II.
Al respecto, hace un
tiempo, les hubiésemos contestado que habría que hacer un programa de trabajo fundamentado
en un análisis inicial de brecha que les serviría para identificar los
requerimientos normativos que ya han cubierto y los que aun les falta por cubrir; sin embargo con
absoluta seguridad eso hoy no es así.
Ciertamente la mayoría
de la normativa Latinoamericana vio su luz ya entrado el año 2000 y en gran
proporción lo que ésta indicaba era el "qué" deseaba que se cubriese
por parte de las instituciones reguladas, pero muy poco del "cómo".
De allí que lo que se hacía en forma preliminar era identificar lo que pudiese
estar quedando fuera del ámbito de la gestión de riesgo operativo que debía ser
cubierto. Esto era y aun es, una tarea bastante ardua pues los
especialistas de administración de riesgo operacional toman todos los factores
de riesgo relacionados con la operación de la institución y comienzan a evaluar
las vulnerabilidades presentes y amenazas a las que se exponen y en función de
ello, en forma cualitativa, presentar un escenario de posibles riesgos. Todo
ello sin querer comentar y profundizar en aspectos metodológicos, culturales,
gobierno de riesgo e indicadores, entre otros puntos en este escrito.
En la actualidad se
observa que los organismos reguladores han madurado internamente la práctica de
supervisión basada en riesgo, y de manera especial la de riesgo operativo,perfeccionando la
normativa con la aplicación de reglamentos. Algunos organismos han hecho la
emisión por primera vez de normas relacionadas a este tema, esperando alcanzar
más experiencia y en consecuencia generar instrucciones claras para evitar
acciones innecesarias y posiblemente inadecuadamente orientadas; por lo que hoy
día se puede observar normas mucho más especializadas y sin duda, mejor
estructuradas. Es decir; ha mejorado el "cómo" se debe cubrir la gestión
de riesgo operativo.
El tiempo que me toma desplegar una práctica de Riesgo
Operativo
Ahora bien, cabe
preguntarse porqué si ahora se tienen normas más claras, que referencian con
mayor precisión lo que se debe hacer en materia de administración de riesgo
operacional, porque entonces aún persiste significativamente la pregunta de
parte de los especialistas en riesgo respecto de ¿cuanto
tiempo toma desplegar dicha práctica?, si el tiempo establecido para su total cumplimiento es muy corto- La respuesta
puede estar en la siguiente consideración:
En la actualidad se
continua utilizando el método de establecer un plan de trabajo basado en el
análisis de brecha de cumplimiento, lo cual no está mal; sin embargo erramos en
los tiempos que se proponen para cumplir con tal requerimiento y resolver la
situación que plantea el conjunto de acciones a ejecutar de acuerdo al análisis
de brecha, toda vez que dichos tiempos son ajustados en todas las tareas de una
entidad financiera, a los tiempos que impone el regulador.
Para algunos casos esto pudiera ser realizable, pero si se revisa con detenimiento lo que la mayoría de la normativa latinoamericana está señalando como mejor práctica, para la gestión de riesgo operativo, se advierte un portafolio de proyectos bastante amplio, el cuál pudiera tomar años a una Institución financiera, asumiendo que se encontrase lista en un 50% de lo que allí se pide. Veamos los casos para la gestión de los factores tecnológicos. Allí se requiere que se desarrollen planes estratégicos de tecnología de información, planes de seguridad de información, planes de continuidad de negocios y recuperación de desastres, prácticas de clasificación y control de activos de información, entre otros tantos, los cuales deben obedecer a mejores prácticas, que permitan realizar auditorías basadas en modelos de madurez. Nos atrevemos a asegurar entonces que aquellos que han tenido que participar en algunos de estos proyectos, conocen que el promedio de duración no es menor a 4 meses, todo ello sin contar lo que implica en costos e impacto para su desarrollo, así como el uso de tiempo del personal de toda la organización.
Para algunos casos esto pudiera ser realizable, pero si se revisa con detenimiento lo que la mayoría de la normativa latinoamericana está señalando como mejor práctica, para la gestión de riesgo operativo, se advierte un portafolio de proyectos bastante amplio, el cuál pudiera tomar años a una Institución financiera, asumiendo que se encontrase lista en un 50% de lo que allí se pide. Veamos los casos para la gestión de los factores tecnológicos. Allí se requiere que se desarrollen planes estratégicos de tecnología de información, planes de seguridad de información, planes de continuidad de negocios y recuperación de desastres, prácticas de clasificación y control de activos de información, entre otros tantos, los cuales deben obedecer a mejores prácticas, que permitan realizar auditorías basadas en modelos de madurez. Nos atrevemos a asegurar entonces que aquellos que han tenido que participar en algunos de estos proyectos, conocen que el promedio de duración no es menor a 4 meses, todo ello sin contar lo que implica en costos e impacto para su desarrollo, así como el uso de tiempo del personal de toda la organización.
Si continuamos evaluando
esta situación y sólo nos quedamos con este tipo de factor (tecnológico); basta
con mirar que algunos de ellos, la actividad que ha de desarrollarse es posible
que tienda a tener una secuencia, algunas veces por que los insumos de un
proyecto puedan proveer información de valor para otros proyectos, como por
ejemplo: La clasificación y control de activos de información muy bien pueden
proveer información clave para la gestión de seguridad de la información o para
el proyecto de recuperación de desastres. Pero lo cierto es que en la
mayoría de las ocasiones costaría mucho emprender este tipo de proyectos en
forma simultánea por la limitada capacidad de recursos que puedan atender
los requerimientos dentro de la organización, así como los que llevarán a cabo
la ejecución de los proyectos. Todo ello, sin aun considerar el impacto
financiero que esto implicaría en un sólo ejercicio económico.
Las Factores del Riesgo
Operacional nunca han sido los primeros
Como hemos argumentado
en algunos escritos y charlas, el riesgo operacional no
genera incentivo al negocio así como los riesgos de tipo financiero,
todo ello porque la tendencia de asumir riesgo en lo financiero tiene una
recompensa que se premia con un mayor rendimiento; sin embargo en este caso, el
riesgo operacional no premia sino por el contrario puede castigar severamente,
siendo éste dejado a que sea exigido por el organismo regulador, lo que ha
hecho que en esta materia las instituciones financieras, no siempre estén al
100% de cumplimiento en lo que se exige por norma. De allí su situación de
incumplimiento en las normativas que se relacionan a los factores de riesgo
operacional.
El tiempo que ha de
tomar deberá ser el apropiado
Hemos dicho que se
muestra cuesta arriba emprender un conjunto de proyectos en
forma simultánea y en los tiempos que nos exige el regulador para
poder satisfacer una normativa como la de riesgo operativo. Sin embargo sabemos
lo que debemos hacer; y ciertamente podemos estimar el tiempo y los recursos
que ello nos va a requerir, por tanto lo mejor es elaborar un plan racional, con la mayor
consideración en su factibilidad y plasmarlo en un cronograma de trabajo que
permita establecer con real certeza, cuales serán los hitos; los cuales, muy
posiblemente se encuentren por encima de las fechas que nos está fijando el
ente regulador. Bajo esta condición, lo apropiado es presentar el plan con
detalle al regulador, indicando los tiempos, personal y costos que esto
implicará a la organización y justificar apropiadamente el porque algunos
proyectos no se podrán ejecutar simultáneamente. Es posible que el
organismo regulador les exija reducir los tiempos, acelerar la ejecución, pero
estará en tiempos más razonables, pues se ha hecho la debida diligencia y se
desea cumplir un aspecto que si bien se ha descuidado, es altamente necesario
satisfacer para que las organizaciones avancen sin
mayores obstáculos hacia sus metas establecidas.