Blogs

Blogs

Sommelier de Riesgo: Entrega 3 - Riesgo Operacional

1
By Topics | Risk Management

“Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre.”

                       William Thomson Kelvin, físico y matemático británico (1824 – 1907)

Todo sommelier tiene conocimiento que en el proceso de elaboración de vinos existen peligros asociados directa o indirectamente al proceso industrial de la actividad de vinificación, sintetizándose en los cinco grandes grupos siguientes:

  • Las contingencias derivadas de un conjunto de actividades enológicas (estabilización) para mantener en lo posible las cualidades del vino (son los procesos de trasiego, clarificación, filtración y crianza en barricas), así como el uso de productos químicos para efectuar correcciones y mejorar la conservación.
  • Las contingencias originadas por la descarga de la vendimia a las tolvas de recepción desde los remolques, camiones, cestas de recolección o por medio de cualquier otro soporte manipulado de forma manual, mecánica o eléctrica.
  • Las contingencias que pueden derivarse de los procesos de despalillado, estrujado, mesas de selección y prensado.
  • Las contingencias durante los procesos de fermentación y obtención del vino, provocados por la emisión de gases como el dióxido de carbono (CO2) producido durante la fermentación del mosto, la extracción de los orujos y la limpieza de los depósitos con los riesgos que implica su entrada en los mismos, así como las operaciones de remontado (elevar el mosto-vino de la parte inferior del depósito hacia la parte superior) y bazuqueo (removido del sombrero o capa de hollejos que se encuentra en la parte superior del depósito) que pueden conllevar caídas al interior de los depósitos. Y, en general, las operaciones que impliquen actividad en espacios cerrados o confinados que suponen deficiencia de oxígeno y/o falta de ventilación natural.
  • Las contingencias derivadas de los distintos hitos manuales, semiautomáticos o automáticos, que componen el proceso de embotellado, como son el etiquetado, encapsulado, enjuagado, lavado y secado de botellas, el encajado de las mismas y su traslado y almacenamiento. [1]

Todos estos peligros tienen un factor común, que es lo que se denomina riesgo operacional….

Entonces, ¿Qué es el riesgo operacional?

En la propuesta del Nuevo Acuerdo de Capital (Basilea II), realizada por el Comité de Basilea, se concede una gran importancia al riesgo operacional y se incluye dentro de los riesgos que es necesario cubrir con capital.

El riesgo operacional está presente en todas las actividades de una entidad financiera, y en cualquier empresa u organismo, desde el primer instante de su vida.

El manejo de riesgo operacional es un concepto que se convirtió en el pan de cada día para las entidades financieras a partir de Basilea II, pero que ha tardado más tiempo en entrar de lleno en las empresas del sector real.

Se entiende por riesgo operacional al riesgo de pérdidas monetarias como resultado de fallos o de la falta de adecuación de los procesos internos, de las personas, de los sistemas, o por eventos externos. Este riesgo se deriva de que las cosas no funcionen como deben de funcionar y es, por lo tanto, un riesgo muy difícil de objetivar.

Algunos ejemplos de riesgo operacional que podemos mencionar para entidades financieras tienen que ver con temas relacionado a fraude como ser el robo, los sobornos o el incumplimiento de las regulaciones por parte de empleados directos o terceros vinculados contractualmente con la entidad o vinculado a fallas como ser un error en una aplicación informática que calcula los intereses de un préstamo.

¿Qué implica la gestión de riesgo operacional?

La gestión del riesgo operacional implica analizar el riesgo desde tres puntos de vista:

  • Organizacional: ¿Cuál es el juicio de los expertos de la organización respecto a los riesgos operativos?
  • Causal: ¿Qué variables son indicativas de los niveles de riesgos?
  • Empíricas: ¿Qué sucesos ocurren que impliquen riesgos operacionales para la organización?

Ninguna de estas visiones es suficiente por sí misma, el análisis del riesgo operacional requiere de las tres, estableciendo además relaciones entre ellas.

Gestión riesgo operacional

Considerando esto último, las entidades utilizan 3 herramientas para la gestión y análisis del riesgo operacional, entre las cuales se destacan la autoevaluación del riesgo operacional, el uso de indicadores de riesgo y el monitoreo de la base de eventos de riesgo:

  • Autoevaluación del riesgo operacional: se trata de un proceso interno mediante el cual se utilizan matrices de riesgo para identificar fortalezas y debilidades del entorno de riesgo operacional.
  • Base de eventos de pérdidas por Riesgo Operacional: las distintas áreas son responsables de identificar y reportar a la Unidad de Riesgo Operacional las pérdidas operacionales que se produzcan asegurando la integridad de la información presentada para analizar las causas que generaron las mismas y establecer las medidas preventivas y correctivas necesarias.
  • Indicadores de riesgo: se trata de ciertos parámetros que miden el comportamiento de los procesos y productos de la entidad, permitiendo identificar fuentes potenciales de riesgo operacional.

Cabe mencionar que el proceso de gestión de riesgo operacional definido para la entidades, de acuerdo con las mejores prácticas, posee las siguientes etapas: Identificación y evaluación, seguimiento y control y mitigación. Para lograr esta gestión es necesario diseñar una política de riesgos institucional que sea fácil de entender, describiendo los diferentes tipos de riesgo operacional a los que se pueda enfrentar la organización y la manera de gestionarlos; siendo importante mencionar la estructura de riesgos que soportará la gestión. Dentro de esta estructura se deben establecer: organización, roles y responsabilidades, procesos, métodos e instrumentos, tecnología y formas de comunicación.

Es así que un tema medular dentro de la gestión efectiva del riesgo operacional son los roles y responsabilidades, para ello COSO ha propuesto un modelo conocido como “tres líneas de defensa” (3LD) dentro de las organizaciones. El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de control. Debido a la gran aceptación de la que ha gozado, desde su publicación en 1992, el Informe COSO se ha convertido en un estándar de referencia.

¿Cómo es la medición cuantitativa del riesgo operacional?

La medición cuantitativa del riesgo está basada en la existencia de ciertas regularidades que el modelador de riesgo es capaz de captar en un determinado fenómeno. Estas regularidades pueden tener carácter estocástico, pero en cualquier caso permite la predicción de la distribución futura de los eventos y por lo tanto el cálculo de importes de pérdidas asociadas a niveles de probabilidad.

El acuerdo de Basilea II plantea un enfoque evolutivo dando incentivos a las entidades para que adopten enfoques avanzados de medición de este riesgo. Existen 3 enfoques:

  • Indicador básico
  • Enfoque estándar
  • AMA (Advanced Measurement Approaches)

Indicador básico: De esta forma, el capital económico se calcula tomando el 15% del promedio de los ingresos brutos (utilizando los últimos 36 meses y agrupando periodos de 12 meses consecutivos), excluyendo los egresos financieros, los egresos por servicios y las pérdidas diversas.

Enfoque estándar: Se dividen las actividades bancarias en 8 líneas de negocio definidas con detalle, existiendo un indicador de riesgo definido para cada una. Se calculan los ingresos brutos de cada línea de negocio y a cada uno de estos se los multiplica por un factor (beta) que estima la exposición que tiene cada línea de negocio y permite calcular la provisión de capital para cada línea de negocio (finanzas corporativas: 18%; negociación y ventas: 18%; banca minorista: 12%, banca comercial: 12%; pagos y liquidación: 18%; servicios de agencia: 15%; administración de activos: 12%; intermediación minorista: 12%). Al final el requerimiento total de capital es la suma de los requerimientos de cada línea.

AMA: Los bancos calculan sus requisitos de capital para riesgo operacional en función de la estimación interna de dicho riesgo en cada entidad. El Comité de Basilea no fija los modelos que pueden usarse (distribuciones) para medir el riesgo en cuestión, en donde el banco debe demostrar que su método calcula pérdidas extremas y elevadas. Ejemplo: Cálculo de VaR a partir de convolucionar la distribución de frecuencia y severidad por simulación de Montecarlo.

¿Cuáles son las posibles mejoras de una correcta gestión de riesgo operacional?

Algunas de las posibles mejoras de adoptar una gestión adecuada de riesgo operacional, permite a las entidades:

  • Reducción de pérdidas
  • Reducción de riesgo reputacional que en parte se alimenta de los eventos adversos del riesgo operacional
  • Reducción de los riesgos estratégicos dado que algunos eventos operacionales son consecuencia de decisiones estratégicas erróneas.
  • Mejora del conocimiento de los mercados, negocios, sistemas, personas, y otros riesgos.
  • Mejora de la reputación ante reguladores, supervisores, inversores, clientes, auditores externos, al comunicar los avances realizados en la gestión del riesgo.
  • Mejora en la gestión de los riesgos de mercado, crédito y liquidez ya que todos soportan una gran carga operacional generadora de eventos de riesgo operacional.
  • Mejora en la capacidad para estimar el capital económico.
  • Mejora en la dotación de capital humano debido al aumento de las habilidades y capacidades técnicas y con creación de externalidades positivas para otras áreas de gestión.
  • Mejora en la financiación: por ejemplo, en un proceso de titulización al resolver problemas que afectaban a la calificación de las carteras de crédito susceptibles de ser titulizadas.
  • Generalmente de la investigación del riesgo operacional surgen planes de mejora, edición de manuales de productos, manuales de funciones, etc que mejoran los procesos internos.

SAS ayuda a las entidades financieras a llevar a cabo una gestión adecuada del riesgo operacional permitiendo estandarizar y gestionar el riesgo operacional, por medio de una interfaz que cuenta con un flujo de trabajo de extremo a extremo. SAS cubre las 3 funcionalidades principales que requiere toda entidad, permitiendo tener una visión organizacional de los riesgos, a partir de las autoevaluaciones, una visión empírica de los riesgos considerando eventos y pérdidas, y una visión causal de los riesgos considerando los indicadores claves de riesgo.

Se destaca que la solución se encuentra basada en los máximos estándares de gobierno corporativo y de auditoria, tales como: COSO, ISO 31000 e ISO 27001. A partir de la misma, podemos entonces determinar valores máximos aceptables para los elementos de las 3 funcionalidades mencionadas: Límite de pérdida esperada por un riesgo determinado (autoevaluaciones); valor máximo de un indicador (evaluación de indicadores claves); monto máximo de un evento de pérdida (administración de incidentes). La superación de estos umbrales debe generar una acción en la organización para disminuir o mitigar ese riesgo. Esto da lugar a la cuarta funcionalidad que es la administración de problemas y planes de acción.

Esta funcionalidad está relacionada con las tres funcionalidades mencionadas anteriormente, ya que la superación de valores límites puede darse tanto en autoevaluaciones, en indicadores claves y en eventos de pérdida. En el caso de que una autoevaluación de riesgos y controles resulte satisfactoria, podemos generar un testeo de controles, de modo tal de supervisar la evidencia de la correcta implementación y funcionamiento de ese control. Finalmente, un conjunto de testeo de controles asignados a una persona (generalmente un auditor) constituye una unidad de tareas para esa persona. La planificación de estos testeos puede administrarse mediante la funcionalidad de administración de auditorías.

Mas información acerca de la solución de SAS denominada GCM en https://www.sas.com/en_us/software/governance-compliance-manager.html

¡Los espero en la próxima entrega!

[1] Referencia: https://www.vinetur.com/posts/2879-riesgos-derivados-de-la-elaboracion-del-vino-en-la-bodega.html

Sommelier de Riesgo: Entrega 4 – Riesgo de Liquidez y Riesgo de Tasa de Interés

Tags basilea entidades financieras operacional Riesgo riesgo operacional risk management
Share

About Author

Enzo Roccasalva

Systems Engineer, Risk

Enzo cuenta con más de 10 años de experiencia en el sector financiero, especializándose en el sector de riesgo de crédito, modelos, y analytics. Con paso por empresas como Deloitte y Equifax, actualmente se desarrolla como Head of Analytics and Risk en SAS. Enzo es Actuario por la UBA, y posee una especialización en Big Data y Estadística del ITBA.

1 Comment

Leave A Reply

Back to Top