Cuando hablamos de riesgo nos referimos a la incertidumbre sobre una situación que, de presentarse, puede afectar los resultados planificados. En el ámbito profesional hay diversos tipos de riesgos, que son característicos de la actividad que se realice y podrán clasificarse según su contexto.
Sin embargo, hay un riesgo que siempre está presente, independientemente de la empresa, proyecto o situación; es un riesgo que a veces olvidamos por ser parte de nuestro día a día, con el cual lidiamos tanto de forma personal como profesional. Nos referimos al riesgo operacional, comúnmente conocido como el riesgo de los procesos, aunque en este artículo veremos que no se limita solo a los procesos.
Las entidades de intermediación financiera, por definición, realizan actividades por las que generan beneficios económicos al gestionar riesgos financieros. Por esta razón, es entendible que históricamente este tipo de entidades haya enfocado sus esfuerzos principalmente en la gestión de los riesgos de crédito, liquidez y mercado de sus operaciones. Sin embargo, cada vez más, el sector financiero está dando la debida importancia al riesgo operacional, considerando su inminente presencia en todas las actividades que realizan las entidades.
La creciente complejidad de las operaciones bancarias, así como la diversificación de productos y el acelerado desarrollo tecnológico en el sector, han aumentado la relevancia del riesgo operacional. Este es un riesgo que puede generar pérdidas significativas, e incluso podría ocasionar la quiebra de una entidad. Esto se ha podido evidenciar a lo largo de los años, en entidades de intermediación financiera de distintos tamaños y localidades que han sido víctimas de eventos de riesgo operacional que ocasionaron efectos en cadena con alto potencial de daño, como son la falta de liquidez o el deterioro de la reputación de la entidad, por lo cual requirieron ser intervenidas y cerradas por los reguladores de sus jurisdicciones.
Como indicaba antes, el riesgo operacional no se limita sólo a los procesos, este riesgo también tiene que ver con las personas, la tecnología y los eventos externos de los cuales se tiene poco o nulo control de ocurrencia. Este es un riesgo que está presente en todas las áreas y procesos, así como en todos los planes estratégicos y proyectos, por lo que es necesario identificarlo, analizarlo y evaluarlo, para aplicar el tratamiento correspondiente, procurando que su nivel esté dentro de lo requerido por la organización.
Lamentablemente, no se puede eliminar un riesgo operacional a menos que la actividad sea eliminada por completo, o se modifique de tal forma que dicho riesgo no exista. Sin embargo, la modificación de los procesos de la actividad genera otros riesgos operacionales con posibles consecuencias de menor o mayor impacto para la entidad, por lo que se deberá evaluar si estos son preferibles sobre los anteriores. Para determinar cuáles riesgos operacionales son preferibles sobre otros, la entidad debe establecer su apetito al riesgo operacional, el cual debe ser expresado tanto de forma cualitativa como cuantitativa para poder escoger las alternativas y planes de tratamiento que involucren niveles de riesgos aceptables.
El riesgo operacional siempre acompañará el crecimiento de las empresas, puesto que, con cada nuevo emprendimiento, con cada nuevo proyecto, se generarán nuevos riesgos. Para ilustrar, consideremos las nuevas modalidades de fraudes bancarios que se han generado con el desarrollo de la banca digital, o los más sofisticados ataques cibernéticos que han afectado a todo tipo de empresas a nivel global. También consideremos cómo eventos tan inesperados como la pandemia ocasionaron que empresas que aparentaban tener buena solidez y gestión hayan tenido que cerrar por no tener adecuados planes de continuidad ante dicho riesgo, o cómo errores humanos o fallas tecnológicas en transacciones millonarias o múltiples han ocasionado pérdidas financieras considerables a diferentes entidades.
El riesgo operacional es constante y cambiante, por lo que su gestión, de igual forma, debe ser permanentemente actualizada. No basta con generar un listado de riesgos y aplicar controles sobre los mismos, se debe medir y monitorear constantemente con indicadores, actualizar los listados y la evaluación de los riesgos y controles según estos resultados e incorporar y gestionar los nuevos riesgos que estén afectando al sector, incluso si estos aún no han impactado a nuestra organización. En definitiva, se debe estar a la vanguardia con los riesgos operacionales, en continua capacitación y renovación de metodologías.
También es esencial proyectar y considerar las pérdidas esperadas por los riesgos operacionales dentro de los planes estratégicos de la entidad, tanto en escenarios planificados como en escenarios de estrés. Basilea recomienda que las entidades de intermediación financiera reserven capital por el riesgo operacional que generan sus actividades. En adición, las entidades deben ser proactivas y previsoras de los riesgos operacionales que siempre estarán presentes, y que pueden afectar en cualquier momento su desempeño, para anticiparse a estos con controles y medidas propicias para su mitigación. Esta adecuada gestión se logra con la participación constante de la triple defensa en la entidad, que considera las funciones del nivel operativo, las funciones de gestión de riesgos y la función de auditoría interna, con interacción y comunicación constante y eficaz entre cada una de estas.