Manual de riesgos operacionales de Agers

El pasado mes de septiembre de 2022 tuvo lugar la presentación del Manual de Riesgos Operacionales de AGERS (Asociación Española de Gerencia de Riesgos y Seguros), elaborado por los miembros que forman la Comisión de Expertos de Riesgos de Grandes Empresas entre los que se encuentra, en representación del Consorcio de Compensación de Seguros, María Nuche, Directora de Gestión de Riesgos.

Esta comisión de expertos está integrada por directores de riesgos de grandes empresas que trabajan en diferentes sectores, pero que tienen en común la tarea de lidiar día a día con la gestión de la incertidumbre, al objeto de contribuir a la creación de valor dentro de las organizaciones y al establecimiento de un sistema robusto de gobierno corporativo. 

El objetivo de este documento es elaborar un manual práctico para la identificación y gestión del riesgo operacional que es un riesgo inherente a todas las actividades, productos, servicios, sistemas y procesos de cualquier tipo de empresa, con independencia de su tamaño o de su forma jurídica.

Con esta finalidad, en el manual se desarrollan distintos apartados en los que se analiza el concepto de riesgo operacional, la integración de la gestión del riesgo operacional en la actividad de las empresas, el análisis, evaluación y cuantificación de los riesgos operacionales, su mitigación o transferencia y los marcos de regulación actuales para la gestión de este tipo de riesgo.

El concepto de riesgo operacional se analiza desde las distintas definiciones que del mismo se han establecido a lo largo del tiempo por diferentes instituciones y regulaciones. Con carácter general, se define como el riesgo de pérdidas derivadas de procesos internos inadecuados o fallidos, del personal o de los sistemas, así como aquel derivado de factores externos. Incluye el riesgo legal, pero no el riesgo estratégico ni reputacional. 

Esta definición conlleva una serie de características comunes, como son la heterogeneidad, la amplitud y la complejidad de evaluación, lo cual constituye un auténtico reto para las entidades, conscientes de que la gestión del riesgo operacional es clave en la estrategia de cualquier organización para la consecución de sus objetivos.

La gestión del riesgo operacional ha de ser integrada en la actividad de las organizaciones. Para esto, debe ser adecuadamente identificado en todas las áreas organizativas, debe ser evaluado de acuerdo a los criterios de impacto y probabilidad, debe ser priorizado según la política de apetito de riesgo de la entidad y, por último, debe ser monitoreado a través del seguimiento de las acciones de gestión que se hayan identificado.

La herramienta estratégica para la gestión del riesgo operacional es el análisis de riesgos. Este análisis incluye el proceso de apreciación del riesgo, a través de su identificación y evaluación, la metodología aplicable para su medición, que incluye tanto métodos cualitativos como semicuantitativos y cuantitativos, su monitorización y seguimiento a través de indicadores y el desarrollo de metodologías y técnicas de cuantificación de los riesgos operacionales.

La identificación de los riesgos operacionales de una organización conlleva acudir a distintas fuentes de información, tanto internas como externas. Se podrá tomar como punto de partida la clasificación de riesgos operacionales realizada por el Operational Risk Insurance Consortium (ORIC), institución formada por las principales entidades aseguradoras inglesas. Según esta clasificación, los riesgos operacionales podrán pertenecer a uno de los siguientes grupos: fraude interno o externo, clientes, productos y prácticas de negocio, daños a activos físicos, interrupción del negocio o caída del sistema y riesgos en los procesos de negocio. El proceso de identificación incluye el análisis de las causas y origen de los riesgos, su exposición y su impacto en los objetivos.

La medición de los riesgos operacionales lleva implícita la determinación de su impacto y probabilidad, pudiéndose, adicionalmente, tener en cuenta otros factores como velocidad o rapidez del impacto y persistencia o duración del impacto, una vez que se ha materializado el riesgo.

Las metodologías para la medición de los riesgos operacionales pueden ser cualitativas, semicuantitativas o cuantitativas:

• El análisis cualitativo utiliza palabras, descripciones y escalas para definir la probabilidad e impacto de los riesgos. Se realiza principalmente a través de entrevistas, talleres de trabajo, encuestas y técnicas análogas.
• Los métodos semicuantitativos utilizan escalas cualitativas ampliadas mediante la asignación de categorías, con las que se puede realizar una clasificación numérica. Esto permite la construcción de matrices de calor y la priorización de los riesgos.
• Los métodos cuantitativos se basan en técnicas probabilísticas o no probabilísticas para la priorización de la exposición a riesgos en términos numéricos. Este análisis es complejo y costoso por lo que, generalmente, se ceñirá a la evaluación de riesgos clave. 
   

Una vez identificados y evaluados los riesgos operacionales, la organización deberá tomar una decisión acerca de su tratamiento. La respuesta más frecuente, en el caso de los riesgos operacionales, es la mitigación o control de los mismos, que se articulará tras el oportuno proceso de análisis de coste beneficio de las medidas adoptadas. No obstante lo anterior, también es posible la alternativa de transferirlos al mercado asegurador, lo cual únicamente será posible en aquellos riesgos que cumplan una serie de características que los hagan asegurables.

Todo este proceso de análisis de los riesgos operacionales debe llevarse a cabo dentro de los marcos de referencia y regulación actuales, aplicables en función de la tipología y actividad de las organizaciones.

Entre las regulaciones aplicables a la gestión del riesgo operacional destacan la Ley de Sociedades de Capital, las recomendaciones de la Comisión Nacional del Mercado de Valores, la normativa de Solvencia II y la normativa aplicable al sector bancario. En relación a los marcos metodológicos de referencia, se pueden destacar la ISO 31000, el modelo de las Tres Líneas de Defensa (M3L), la Federation of European Risk Management Associations (FERMA) o el marco internacional del Comité de Organizadores Patrocinadoras de la Comisión de Normas (COSO).

Por último, resulta interesante analizar el futuro de la gestión de los riesgos operacionales teniendo en cuenta, especialmente, la influencia de las nuevas tecnologías. Las entidades se enfrentan a cinco retos principales:

• Reconfigurar el rol de los directores de riesgos.
• Desarrollar una cultura de concienciación ante el riesgo en la organización.
• Desarrollar prácticas más ágiles y flexibles de gestión de riesgos en la organización.
• Adaptar la gestión de riesgos al big data y a las herramientas analíticas que ofrece la inteligencia artificial.
• Desarrollar y adaptar el talento y las competencias adecuadas en materia de gestión de riesgos para lo que demandará el futuro.
   

El desarrollo de estos objetivos permitirá a las organizaciones la integración de la dirección de riesgos en el negocio y en los procesos corporativos, garantizando una gestión de riesgos más eficaz.