Tesis Miguel Ortez (13!6!14)
FACULTAD DE POSTGRADO TESIS DE POSTGRADO PROPUESTA PARA LA IMPLEMENTACIÓN DE UNA GESTIÓN DE RIESGO OPERATIVO PRÁCTICA S
Views 62 Downloads 32 File size 706KB
Recommend stories
- Author / Uploaded
- Edgardo Barahona
- Categories
- Basilea Ii
- Sistema financiero
- Bancos
- Economias
- Business
Citation preview
FACULTAD DE POSTGRADO TESIS DE POSTGRADO
PROPUESTA PARA LA IMPLEMENTACIÓN DE UNA GESTIÓN DE RIESGO OPERATIVO PRÁCTICA SUSTENTADO POR MIGUEL ÁNGEL ORTEZ BAUTISTA
PREVIA INVESTIDURA AL TÍTULO DE MASTER EN FINANZAS
TEGUCIGALPA M.D.C.,
HONDURAS, C.A. JUNIO, 2014
UNIVERSIDAD TECNOLÓGICA CENTROAMERICANA UNITEC FACULTAD DE POSTGRADO AUTORIDADES UNIVERSITARIAS RECTOR LUÍS ORLANDO ZELAYA MEDRANO SECRETARIO GENERAL JOSÉ LÉSTER LÓPEZ VICERRECTOR ACADÉMICO MARLON ANTONIO BREVÉ REYES VICERRECTOR CAMPUS TEGUCIGALPA ROSALPINA RODRIGUEZ GUEVARA
DECANO DE LA FACULTAD DE POSTGRADO DESIREE TEJADA
PROPUESTA PARA LA IMPLEMENTACIÓN DE UNA GESTIÓN DE RIESGO OPERATIVO PRÁCTICA TRABAJO PRESENTADO EN CUMPLIMIENTO DE LOS REQUISITOS EXIGIDOS PARA OPTAR AL TÍTULO DE MÁSTER EN FINANZAS
ASESOR METODOLÓGICO JUAN MARTIN HERNANDEZ
ASESOR TEMÁTICO JORGE HUMBERTO PACHECO SALGADO
MIEMBROS DE LA TERNA (O COMISIÓN EVALUADORA): (NOMBRES DE LOS MIEMBROS) PENDIENTES
DERECHOS DE AUTOR
© Copyright 2014 MIGUEL ÁNGEL ORTEZ BAUTISTA
Todos los derechos son reservados.
1
AUTORIZACIÓN DEL AUTOR PARA LA CONSULTA, REPRODUCCIÓN PARCIAL O TOTAL Y PUBLICACIÓN ELECTRÓNICA DEL TEXTO COMPLETO DE TESIS DE POSTGRADO Señores CENTRO DE RECURSOS PARA EL APRENDIZAJE Y LA INVESTIGACION (CRAI) UNIVERSIDAD TECNOLÓGICA CENTROAMERICANA (UNITEC) Ciudad
Estimados Señores: Yo, Miguel Ángel Ortez Bautista, de Tegucigalpa, autor del trabajo de postgrado titulado: Propuesta para la implementación de una gestión de riesgo operativo práctica, presentado y aprobado en el mes de junio 2014, como requisito previo para optar al título de máster en Finanzas y reconociendo que la presentación del presente documento forma parte de los requerimientos establecidos del programa de maestrías de la Universidad Tecnológica Centroamericana (UNITEC), por este medio autorizó a las Bibliotecas de los Centros de Recursos para el Aprendizaje y la Investigación (CRAI) de la UNITEC, para que con fines académicos, puedan libremente registrar, copiar o utilizar la información contenida en él, con fines educativos, investigativos o sociales de la siguiente manera: 1. Los usuarios puedan consultar el contenido de este trabajo en la salas de estudio de la biblioteca y/o la página Web de la Universidad. 2. Permita la consulta, la reproducción, a los usuarios interesados en el contenido de este trabajo, para todos los usos que tengan finalidad académica, ya sea en formato CD o digital desde Internet, Intranet, etc., y en general en cualquier otro formato conocido o por conocer.
2
De conformidad con lo establecido en el artículos 9.2, 18, 19, 35 y 62 de la Ley de Derechos de Autor y de los Derechos Conexos; los derechos morales pertenecen al autor y son personalísimos, irrenunciables, imprescriptibles e inalienables, asimismo, por tratarse de una obra colectiva, el autor cede de forma ilimitada y exclusiva a la UNITEC la titularidad de los derechos patrimoniales. Es entendido que cualquier copia o reproducción del presente documento con fines de lucro no está permitida sin previa autorización por escrito de parte de UNITEC. En fe de lo cual, se suscribe el presente documento en la ciudad de Tegucigalpa a los____ días del mes de junio de 2014.
____________________________________ MIGUEL ÁNGEL ORTEZ BAUTISTA 11213029
* La autorización firmada se encuentra adjunta a nuestro expediente
3
PROPUESTA PARA LA IMPLEMENTACIÓN DE UNA GESTIÓN DE RIESGO OPERATIVO PRÁCTICA AUTOR: Miguel Ángel Ortez Bautista Resumen Los cambios acelerados que se generan en el sector financiero provocan que las mismas sean más vulnerables a eventos que causen pérdidas para las instituciones y que repercuten de manera significativa en su entorno, generando en los últimos años un nuevo concepto de riesgo denominado riesgo operativo. Este riesgo no es un hecho nuevo, sino, más bien
un cambio de enfoque e importancia, y que se norma en
Honduras bajo la circular CNBS No 195/2011 de agosto 2011, que contiene las bases generales para su implementación. Sin embargo, al ser un tema de reciente incorporación en el sector financiero, con una amplitud muy grande en las operativas de las instituciones, se vuelve necesario el contar con mecanismos prácticos para su gestión inicial, por lo que este trabajo plantea algunas actividades a nivel de detalle que se pueden realizar, considerando la forma práctica que se requiere en este momento. Este trabajo se desarrolló mediante un diseño de investigación acción, que busca aportar información que guíe en la toma de decisiones para procesos y reformas estructurales de un hecho cotidiano actual, apoyado con respuestas y opiniones de los actores principales que administran este riesgo en el sector, por lo que contiene acciones que guían a una implementación más rápida y directa, en base a una realidad vivida. Palabras clave: Apoyo de la administración, Cultura de riesgo y control, Gestión de riesgo operativo práctica 4
PROPOSAL FOR THE IMPLEMENTATION OF OPERATIONAL RISK MANAGEMENT PRACTICE BY: Miguel Ángel Ortez Bautista Abstract The rapid changes that are generated in the financial sector that they cause are more vulnerable to events that cause losses for institutions that impact significantly on the environment, resulting in the last years a new concept of operational risk. This risk is not new, but rather a change in approach and substance which is created in Honduras under Circular CNBS No.195 '11 containing the generals basis for its implementation. however to be a topic of recent incorporation in the financial sector with a large amplitude in the operating of institutions becomes practical mechanisms needed for initial management so this paper proposes some activities at the level of detail that can be performed considering the practical way, which is required at that time. This paper design development through action research that aims to provide information to serve as a guide in decision-making processes and estructural reforms for a common everyday occurrence. Supported with the answers and opinions of key players who manage this risk in the sector, so it contains actions that guide and direct a faster implementation, based on a reality. Keywords: Administration support, Culture of risk and control, Operational risk management practice
5
DEDICATORIA Dedico este proyecto a mi esposa, por su impulso permanente para lograr un nuevo peldaño académico, siendo el motivador principal en este camino, además de la paciencia y comprensión junto a mis hijos, por el tiempo no brindado en el tiempo que he llevado a cabo este reto. Sin estos atributos hubiera sido más difícil y complejo el recorrido, por lo que el reconocimiento es hacia ellos. A mis padres, ya que con muchos esfuerzos siempre trataron de brindarme su mejor orientación y oportunidades posibles, que han servido de norte en mi vida y que siempre me han respaldado en las decisiones importantes.
Miguel Ángel Ortez Bautista
6
AGRADECIMIENTO A los profesionales Jorge Humberto Pacheco, Francisco Aguilar y José Santos Cruz, quienes con su experiencia y conocimiento me apoyaron en la elaboración de este trabajo, siendo relevante sus opiniones para la orientación del mismo. A las diferentes personas consultadas de las instituciones financieras y la Comisión Nacional de Bancos y Seguros, que me apoyaron con sus respuestas y opiniones, que sirvieron para fundamentar este proyecto, y que son actores principales del tema planteado en este Miguel Ángel Ortez Bautista
7
ÍNDICE
CAPÍTULO I. PLANTEAMIENTO DE LA INVESTIGACIÓN 1 1.1. INTRODUCCIÓN
1
1.2. ANTECEDENTES DEL PROBLEMA
2
1.3. DEFINICION DEL PROBLEMA
3
1.3.1. ENUNCIADO DEL PROBLEMA
3
1.3.2. FORMULACIÓN DEL PROBLEMA
4
1.3.3. PREGUNTAS DE INVESTIGACION
4
1.4. OBJETIVOS DEL PROYECTO
4
1.4.1. OBJETIVO GENERAL
4
1.4.2. OBJETIVOS ESPECÍFICOS
4
1.5. JUSTIFICACIÓN
5
CAPÍTULO II. MARCO TEÓRICO
6
2.1. CONCEPTUALIZACIONES Y DEFINICIONES
6
2.1.1. BANCO DE PAGOS INTERNACIONALES (BIS siglas en inglés)
6
2.1.2. BASE DE DATOS
6
2.1.3. BASILEA I
7
2.1.4. BASILEA II
7
2.1.5. COMITÉ DE SUPERVISION BANCARIA DE BASILEA
8
2.1.6. CONTINUIDAD DE NEGOCIOS
9
2.1.7. CONTROL INTERNO
9
2.1.8. CULTURA ORGANIZACIONAL
9
2.1.9. ETAPAS DE LA GESTION DE RIESGO OPERATIVO
10
8
2.1.10. FACTORES DEL RIESGO OPERATIVO
10
2.1.11. GESTION DE RIESGO OPERATIVO
10
2.1.12. METODOLOGIAS DE MEDICION DEL RIESGO OPERATIVO
11
2.1.13. REQUERIMIENTOS DE CAPITAL POR RIESGO OPERATIVO
12
2.1.14. RIESGO
13
2.1.15. RIESGO EN LAS INSTITUCIONES FINANCIERAS
13
2.1.16. SEGURIDAD DE LA INFORMACION
15
2.1.17. SISTEMA FINANCIERO
15
2.2. ANALISIS DE LA SITUACION ACTUAL
15
2.2.1. EVOLUCION DEL RIESGO OPERATIVO
16
2.2.2. GESTION DEL RIESGO OPERATIVO EN EL MUNDO
17
2.2.3. GESTION DEL RIESGO OPERATIVO EN AMERICA
20
2.2.4. GESTION DEL RIESGO OPERATIVO EN HONDURAS
21
2.3. TEORIA
23
2.3.1. PRACTICAS INTERNACIONALES
23
2.3.2. NORMATIVA LOCAL
23
CAPÍTULO III. METODOLOGÍA 3.1. CONGRUENCIA METODOLOGICA
24 24
3.1.1. MATRIZ METODOLOGICA
24
3.1.2. DEFINICION OPERACIONAL DE LAS VARIABLES
25
3.1.3. HIPOTESIS
27
3.2. ENFOQUE Y MÉTODOS
27
3.3. DISEÑO DE LA INVESTIGACIÓN
27
3.3.1. POBLACION
28
3.3.2. MUESTRA
28
3.3.3. UNIDADES DE ANALISIS
28
3.3.4. UNIDAD DE RESPUESTA
28 9
3.4. TÉCNICAS Y HERRAMIENTAS APLICADAS
29
3.5. FUENTES DE INFORMACIÓN
29
PRIMARIAS
29
SECUNDARIAS
29
3.6. LIMITANTES DEL ESTUDIO
CAPÍTULO IV. RESULTADOS Y ANÁLISIS
29
30
4.1. APOYO DE LA ADMINISTRACION SUPERIOR
30
4.2. CULTURA DE RIESGO Y CONTROL
31
4.3. IMPLEMENTACION INICIAL
36
4.3.1. ENFOQUE A UTILIZAR
37
4.3.2. FORMA DE ADMINISTRACION
40
4.3.3. HERRAMIENTAS
42
4.3.4. IDENTIFICACION Y EVALUACION DE RIESGOS OPERATIVOS
44
4.3.5. MITIGACION DE LOS RIESGOS OPERATIVOS
47
4.3.6. SEGUIMIENTO
48
CAPÍTULO V. CONCLUSIONES Y RECOMENDACIONES 55 5.1. CONCLUSIONES
55
5.2. RECOMENDACIONES
56
CAPÍTULO VI. APLICABILIDAD
58
6.1. TITULO
58
6.2. INDICE
58 10
6.3. INTRODUCCION
58
6.4. OBJETIVOS
59
6.5. DESARROLLO DE LA PROPUESTA
59
6.6. CRONOGRAMA DE APLICACION
59
6.7. DIAGRAMA
60
6.8. CONCORDANCIA
61
BIBLIOGRAFÍA
62
ANEXOS
63
ÍNDICE DE FIGURAS
11
Figura 1. Líneas y porcentajes del método estándar
25
Figura 2. Documentos publicados en relación al riesgo operativo en el Reino Unido.
32
Figura 3 Definición operacional de las variables
38
Figura 4 Diseño de la investigación
40
Figura 5 Gráfico sobre factores que afectan la gestión de riesgo operativo
44
Figura 6 Gráfico sobre percepción de apoyo y conocimiento
45
Figura 7 Gráfico sobre asimilación de enfoque de riesgo operativo en la cultura organizacional Figura 8 Gráfico de percepción sobre capacitaciones de gestión de riesgo operativo
47
Figura 9 Gráfico sobre capacitaciones de gestión de riesgo operativo
48
Figura 10 Gráfico sobre profundidad de seminario o talleres para operacionalizar la gestión Figura 11 Gráfico sobre la implementación de la gestión de riesgo operativo
50
Figura 12 Gráfico sobre años en que se inició a gestionar riesgo operativo
53
Figura 13 Gráfico sobre el tipo de administración de la gestión de riesgo operativo
55
Figura 14 Gráfico sobre el tipo de herramienta que se utiliza en la gestión de riesgo operativo Figura 15 Gráfico sobre gestión de otros riesgos
62
Figura 16 Gráfico sobre si se evalúa la gestión de riesgo operativo en todos los departamentos Figura 17 Diagrama de aplicabilidad
72
12
ÍNDICE DE TABLAS Tabla 1 Matriz
24
Tabla 2 Operacionalización de las variables
26
Tabla 3 Factores que afectan la implementación de gestión de riesgo operativo, según encargados de riesgos operativos y expertos en riesgo de bancos
Tabla 4 Apoyo y conocimiento del enfoque de gestión de riesgo operativo
32
Tabla 5 Fue o ha sido fácil asimilar el enfoque de gestión de riesgo operativo en la cultura organizacional Tabla 6 ¿Considera que ha existido suficiente capacitación interna o externa sobre gestión de riesgos operativos en las instituciones financieras? Tabla 7 ¿Se capacita a todo el personal en gestión de riesgos operativos?
35
Tabla 8 ¿En los seminarios o talleres sobre gestión de riesgo operativo ha recibido una orientación clara sobre cómo se operacionaliza en la práctica una gestión completa de riesgo operativo? Tabla 9 ¿Fue o ha sido fácil implementar la gestión de riesgo operativo en la institución? Tabla 10 Año en que se inició a gestionar riesgo operativo en las instituciones
40
Tabla 11 ¿La gestión de riesgo operativo que administra ¿es centralizada o descentralizada? Tabla 12 ¿ Cuenta con una herramienta tecnológica (diferente a las de MS Office) que permita inventariar los eventos o incidentes que ocurren diariamente? Tabla 13 ¿Gestiona otros riesgos además del riesgo operativo?
48
Tabla 14 ¿Se evalúa la gestión de riesgo operativo de todos los departamentos, diferente a la que pudiera realizar la Auditoría Interna por sus evaluaciones a los controles? 13
Tabla 15 Verificación de la concordancia
61
14
PLANTEAMIENTO DE LA INVESTIGACIÓN Cuando aparecen nuevas tendencias y prácticas internacionales obligatorias para mantener un sistema financiero sano, se requiere un largo tiempo para su implementación en los países en desarrollo como Honduras, porque hay que sortear variables como el entorno jurídico, la cultura organizacional, tamaño de las instituciones, estilo de administración, entre otros, y que impactan de manera directa en la toma de decisiones, por lo que mientras se define como y de que forma llevar a cabo estos cambios, se abren puertas o accesos que incrementan la vulnerabilidad y potencia las debilidades existentes, que pueden impactar negativamente en la obtención de resultados económicos para las instituciones, por lo que es muy importante el gestionar estos riesgos para las instituciones, ya que su buena ejecución plantea beneficios positivos concretos en este mundo tan globalizado, mediante una realización eficiente de los procesos para obtener mejores resultados financieros y prestar un servicio de calidad de cara al cliente. I.1. INTRODUCCIÓN El riesgo es un elemento nato y permanente para quien decide transitar por el mundo financiero, local o internacional, es una variable con la que los sistemas financieros han convivido por siempre, y que con el tiempo, han venido mejorando su análisis y control. Uno de los riesgos de reciente aparición con nuevo enfoque, ha sido el denominado riesgo operativo, el que siempre ha existido, solo que, administrado o tratado de manera distinta a la que se enmarca a partir del 2004. A raíz de muchos descalabros financieros que han puesto en precario economías locales e incluso a nivel mundial, despertó el interés para profundizar estos eventos, que resultaron en un nuevo enfoque de tratamiento de los mismos, y que se dan a conocer como riesgos operativos, ya que se encuentran inmersos en las distintas actividades que se realizan en las instituciones, y a cualquier nivel organizativo Son generados por fuentes tan operativas como son los procesos, los sistemas, las personas y los eventos externos, por lo tanto están inmersos en el día a día de
15
cualquier institución, y por lo tanto requiere un tratamiento especial integral, relacionado con los objetivos organizaciones, las estrategias de negocio, los resultados esperados, y otros elementos estratégicos que se llevan a cabo, ya que un evento de riesgo operativo puede generar otro tipo de riesgo que cause mayor impacto que el inicial, provocando casi una epidemia difícil de tratar cuando se ha dejado de mitigar o prevenirla, por lo que su adecuada administración es esencial para obtener mejores resultados organizacionales, y el conocimiento práctico de como llevarla a cabo es fundamental para apuntar a ese reto. I.2. ANTECEDENTES DEL PROBLEMA El concepto de riesgo operativo aparece en junio de 2004 de manera formal en el documento “Convergencia internacional de medidas y normas de capital: Marco revisado”, conocido como Nuevo Acuerdo o Basilea II, publicado por el Comité de Supervisión Bancaria de Basilea, organización formada por los supervisores bancarios del G-10, que tiene como misión principal el establecimiento de estándares de supervisión relacionados con la solvencia de las entidades financieras, que se traducen en mejores y sanas prácticas para el sector financiero y que aunque no son vinculantes desde el enfoque jurídico, de manera tradicional se adoptan de forma general a nivel internacional, con ajustes particulares de acuerdo a las necesidades internas de cada país. La necesidad de gestionar el riesgo operativo con otro enfoque nace a raíz de distintos casos de instituciones financieras en el mundo que sufrieron pérdidas económicas cuantiosas, que les hizo incluso desaparecer, causando un gran impacto en sus economías y en sus clientes, derivadas de actuaciones inadecuadas de sus empleados, fallas en sus sistemas y/o falta de controles y su efectivo seguimiento. En Honduras éste nuevo enfoque se adapta en el año 2011, por medio de la resolución SB No 1321/02-08-2011 del 2 de agosto, emitida por la Comisión Nacional de Bancos y Seguros, ente supervisor y regulador del Sistema Financiero en Honduras, conocido como CNBS. Debido a la reciente incorporación de este riesgo tanto a nivel internacional como local, no se cuenta con una extensa gama de estudios específicos
16
del tema, más que con los elaborados por el Comité, y otros documentos de análisis y estudio particulares con una visión general de su tratamiento. I.3. DEFINICION DEL PROBLEMA De acuerdo a lo planteado en los antecedentes, se vuelve imperativo el estar trabajando en un esquema nuevo de riesgo operativo, lo que da validez al surgimiento de mejores prácticas, conocimientos y experiencias que apoyen a todos los involucrados en estos proyectos, que le sirvan de guía para cumplir de manera eficiente tanto con lo que exige el regulador, como con el objetivo primordial para los accionistas y de manera implícita para todos los participantes del sistema financiero, mayores rendimientos y seguridad de los fondos que aquí se operan, como para brindar servicios de calidad y seguros a los clientes. ENUNCIADO DEL PROBLEMA El reciente surgimiento del riesgo operativo como uno de los mas relevantes riesgos a administrar en el sector financiero, ha impulsado la regulación interna local, que da lineamientos generales y el marco para gestionarlo, sin embargo, no se cuenta con procedimientos estándar y prácticos, ya que cada institución tiene características muy particulares que influyen en la forma de atacar este riesgo. Así mismo no se tiene una guía que se pueda tomar para adaptarla a cada institución, lo que implica que cada una define su gestión de acuerdo a su mejor criterio o entendimiento del tema, lo que puede llevar en la actualidad a tener diferentes enfoques de administración de los riesgos. La interpretación incorrecta en implementar procedimientos que no son prácticos repercuten en una ineficiente gestión que pudiera ser más grave que el riesgo operativo mismo, con fuertes consecuencias económicas para las instituciones y en un grado exponencial mayor para los que operan en mercados de capitales o que cotizan en bolsas de valores.
17
FORMULACIÓN DEL PROBLEMA Debido a la falta de procedimientos y mecanismos a detalle que puedan orientar de forma práctica y estandarizada a las instituciones financieras, tomando en cuenta su reciente incorporación normativa en Honduras, surge la pegunta de ¿Cómo gestionar de forma práctica el riesgo operativo? PREGUNTAS DE INVESTIGACION 1. ¿Cómo gestionar de manera práctica el riesgo operativo? 2. ¿Cómo se vuelve operacional la gestión de riesgo operativo? 3. ¿Quiénes y de que forma, se debe interactuar en la gestión de riesgo operativo? 4. ¿Cuáles son los factores que favorecen y cuales desfavorecen una gestión de riesgo operativo? I.4. OBJETIVOS DEL PROYECTO OBJETIVO GENERAL Proponer una base metodológica práctica para la gestión de riesgo operativo, mediante una guía estándar de implementación que permita obtener mejores resultados para las instituciones, sostenible en el tiempo. OBJETIVOS ESPECÍFICOS 1. Elaborar un esquema operacional de implementación y seguimiento permanente. 2. Explicar mejores prácticas y mecanismos de interacción entre todos los actores que participan en la gestión de riesgo operativo. 3. Indicar que factores impactan positiva y negativamente a la gestión de riesgo operativo.
18
I.5. JUSTIFICACIÓN Con el presente documento se pretende aportar una guía base que sea un punto de partida para todos los profesionales e instituciones que gestionen o desean gestionar riesgos operativos, que por ser un tema relativamente de reciente discusión en el sector financiero, se desconocen mejores prácticas y mecanismos que permitan luego de sus análisis, reorientarla o alinearla, de acuerdo a las necesidades y recursos con que se cuente. La gestión eficiente tiene un fin concreto y de gran relevancia, como es el mitigar riesgos operativos que se pueden materializar en grandes pérdidas económicas tangibles y no tangibles fácilmente en las instituciones financieras, que pudieran causar, y como ya se ha dado, la caída de grandes grupos económicos a nivel mundial, que han puesto en situación crítica la economía mundial y de grandes naciones del mundo, que toma mayor importancia en América Latina y localmente porque la exposición es mayor por las particularidades del entorno.
19
MARCO TEÓRICO En este capítulo se describe el marco de referencia que sirve de sustento teórico a la investigación realizada, por medio de definiciones y conceptualizaciones, el análisis de la información y evolución del tema, así como las bases normativas actuales que rigen el mismo. II.1. CONCEPTUALIZACIONES Y DEFINICIONES Para comprender mejor esta investigación es necesario explicar diferentes términos particulares y técnicos en torno a la misma, debido a ser un campo de acción específico del sector financiero hasta ahora, con el marco y enfoque que se desprende en el documento del 2004, con el que se rige este tema a nivel internacional en la actualidad. A continuación, algunas definiciones importantes dentro de la investigación: BANCO DE PAGOS INTERNACIONALES (BIS siglas en inglés) Institución financiera internacional más antigüa del mundo y principal organismo de cooperación entre los bancos centrales internacionales, creado en el contexto del Plan Young ( 1930 ), que trata de la cuestión de los pagos de reparación impuestas a Alemania por el Tratado de Versalles después de la Primera Guerra Mundial… (BIS, 2014) pagos para resarcir los daños causados a varias naciones de Europa, así como para promover la cooperación entre bancos centrales en general, y siguiendo con esta última referencia es que es el organismo que promueve estudios sobre las buenas prácticas bancarias internacionales de donde se deriva un brazo de apoyo en este sentido que se conoce como el Comité de Supervisión Bancaria de Basilea. BASE DE DATOS Para gestionar eficientemente los riesgos operativos es necesario tener a disposición herramientas como bases de datos, específicamente para registrar todos los incidentes
20
de riesgo operativo que se presentan en la institución, como los que, aunque pasados, se tenga información para inventariarlos también, todos con requerimientos de información cuantitativa y concreta que sirva a futuro para generar modelos estadísticos que son básicos para análisis de probabilidades y lo más relevante, que puedan ser sustento al momento de establecer métodos avanzados de medición de riesgos para efectos de requerimientos de capital más sensibles, que en esencia es lo que buscan los socios de las instituciones. BASILEA I Se le conoce de esta forma al primer acuerdo del Comité de Supervisión Bancaria de Basilea publicado en 1988, BIS (2014) afirma… “a principios de la década de 1980, el inicio de la crisis de la deuda latinoamericana acentuó la preocupación del Comité de que los ratios de capital de los principales bancos internacionales se estaban deteriorando a causa de crecientes riesgos internacionales”. Este acuerdo básicamente contenía recomendaciones para fijar un límite para el monto de los créditos que podía conceder una institución bancaria, basado en su capital propio, ósea, medir el riesgo de crédito estableciendo un capital mínimo requerido, y que se implementó en 1992, el que fue mejorado con otros proyectos, particularmente en 1996 donde se incorporan requerimientos de capital por riesgo de mercado. BASILEA II Nombre con el que se conoce al Nuevo Acuerdo de Capital de Basilea, que precede a Basilea I, BIS (2014) afirma: La publicación de este marco en junio de 2004 siguió a casi seis años de preparación exhaustiva. Durante este período, el Comité de Basilea había consultado ampliamente a representantes del sector bancario, los organismos de supervisión, los bancos centrales y observadores externos, en un intento de desarrollar significativamente requerimientos de capital más sensibles al riesgo. Incorpora una nueva categoría de riesgo de manera explícita, distinta a los riesgos de crédito y mercado, que se da a conocer como riesgo operativo, que expone a grandes
21
pérdidas en las instituciones financieras poniendo en peligro la solvencia de las mismas. Este nuevo acuerdo contempla una estructura basada en 3 pilares a implementar e impulsar, 1) requerimientos mínimos de capital, 2) el proceso de examen del supervisor y 3) disciplina del mercado, en donde buscan reflejar con mayor objetividad la dimensión de los riesgos para fortalecer el capital propio, aseguramiento de la existencia de procesos internos confiables para evaluar la suficiencia de capital, y fortalecer la transparencia mediante la divulgación básica y complementaria de información a los participantes del mercado, que promueve la seguridad y solidez del sistema. COMITÉ DE SUPERVISION BANCARIA DE BASILEA Principal organismo normativo internacional para la regulación prudencial de los Bancos, creado en 1974 como mecanismo de colaboración entre los supervisores bancarios de sus países integrantes (G-10) en materia de supervisión bancaria, con el objeto de mejorar la regulación, la supervisión y las prácticas bancarias a nivel mundial, para fortalecer y mantener la estabilidad financiera. Este Comité no es un órgano jurídico, por lo cual sus recomendaciones no son jurídicamente obligatorias, sin embargo, de acuerdo a su carta estatutaria, sus decisiones se vuelven de carácter obligatorio para sus miembros, donde los mismos se comprometen a instrumentar y aplicar las normas en sus países. Si bien, para los no miembros las opiniones de este Comité no son obligatorias, sus normas o estándares se adoptan en cualquier sistema financiero, ya que son guías de sanas prácticas bancarias mínimas adaptables, de acuerdo a las necesidades que se tengan, sumado a esto la globalización de los mercados financieros, ha hecho que existan conexiones a nivel mundial entre casi cualquier institución financiera, independientemente su ubicación física e idioma, lo que impulsa a todas estas instituciones a adoptar prácticas relativamente similares que permitan un eficiente entendimiento común en la realización de sus operaciones en cualquier parte.
22
CONTINUIDAD DE NEGOCIOS Es la gestión encaminada a asegurar respuestas efectivas y oportunas para que la operativa del negocio continúe de manera normal, ante la ocurrencia de eventos o situaciones que puedan interrumpir o crear estabilidad en las actividades rutinarias del negocio. CONTROL INTERNO Tradicionalmente el concepto se asociaba a una responsabilidad directa de Auditoría Interna. Laski (2009) afirma: Actualmente, el concepto es mucho más amplio de lo que solía ser. Hoy en día las autoridades deben ser proactivas y tomar al control interno como una prioridad, partiendo de la adopción de una definición amplia que haga la administración de este sea una responsabilidad de todos los empleados. Hoy se define como un proceso, ejecutado por todo el personal de una entidad, diseñado para proporcionar seguridad razonable que se cumple con los objetivos de, efectividad y eficiencia en las operaciones, confiabilidad en la información financiera, y cumplimiento de las leyes y regulaciones aplicables. CULTURA ORGANIZACIONAL La cultura es un tema central y básico para gestionar riesgos, se enfoca en el conjunto de valores y conocimientos del personal, siempre iniciando con lograr el convencimiento de la alta administración. “Tan importante como esto resultará el trabajo de capacitación y de generación de cultura respecto de las unidades de negocio y en las áreas soporte de las entidades, ya que es ahí donde se realiza la efectiva gestión del riesgo” (CEO Argentina, 2007, p.8). Para que una gestión de riesgo operativo sea eficiente debe de
23
crearse y mantener permanentemente una cultura pro riesgo y control, para detectar las debilidades que se dan en sus procesos. De esta condición particular es que se considera que la cultura en torno a la gestión de riesgo operativo es básica y fundamental para crear y mantener las bases pro riesgo y control que se requiere, de lo contrario será una lucha más pesada y larga, que impacta de forma directa en los objetivos que se plantean. ETAPAS DE LA GESTION DE RIESGO OPERATIVO La gestión de riesgo operativo se lleva a cabo en etapas, mediante una metodología técnica particular, que de manera óptima se debe llevar a cabo en forma diaria y en caso contrario, normalmente se exige una revisión anual, mediante el seguimiento permanente de este ciclo a seguir. Las etapas mínimas de manera interna se pueden clasificar como, 1) Identificación, 2) Evaluación, 3) Indicadores, 4) Análisis de Controles, 5) Mitigación, y 6) Reporte de Incidentes, sumado a esquemas formales de comunicación de las mismas, tanto a niveles internos de cada área de la institución, como a la alta administración mediante los distintos foros con que se cuente, como ser Comités Regionales, Locales, Junta Directiva, etc. FACTORES DEL RIESGO OPERATIVO Se refiere a los factores originadores o causantes del riesgo operativo en cualquier institución, cada uno con características particulares tanto en su naturaleza como en su análisis y mitigación, y que pueden encontrarse por separado o al mismo tiempo afectando a la misma. Son cuatro factores como ser; 1) El recurso humano, 2) Los procesos internos, 3) La tecnología, y 4) Los eventos externos. GESTION DE RIESGO OPERATIVO Este concepto se orienta a un sistema de administración de una forma integral, ósea, toda una mecánica de coordinación, comunicación y seguimiento que se debe llevar a cabo en una institución financiera, para lograr mejores resultados. Básicamente es una nueva disciplina técnica que se orienta a asegurar que todo el personal a cualquier nivel 24
comprenda los riesgos claramente, que la exposición al riesgo de cada institución se encuentre dentro de los límites establecidos por la Administración, que las decisiones de riesgo estén alineadas con las estrategias de negocio y objetivos, que las pérdidas esperadas compensen los riesgos asumidos, y que haya suficiente capital como para soportar este riesgo. METODOLOGIAS DE MEDICION DEL RIESGO OPERATIVO Derivado de la incorporación de requerimientos de capital por riesgo operativo, se hace necesario el incluir metodologías para calcular ese requerimiento ya expresado en montos, que es la pregunta de los socios de las instituciones, ¿A cuánto asciende el monto de lo que se debe de aumentar de capital por riesgo operativo?. Para responder esta pregunta Basilea II propone tres métodos de cálculo para ello, cada uno aumentando crecientemente su grado de complejidad y sensibilidad al riesgo, y a la inversa, su grado de nivel de requerimiento de capital a exigir, ósea, entre más complejo el método, exige menos requerimiento de capital. METODO DEL INDICADOR BASICO Método más sencillo y directo de establecer un monto de requerimiento de capital por riesgo operativo, que no contempla variables cualitativas aparte del cálculo establecido, que se obtiene al multiplicar un porcentaje fijo del 15% por la media de los ingresos brutos positivos anuales obtenidos de los tres últimos ejercicios. METODO ESTANDAR Método que sigue el esquema del indicador básico, diferenciándose de éste, que exige dividir su actividad en ocho líneas de negocio, para las cuales se debe de determinar los ingresos brutos por cada una y luego multiplicarlos por un porcentaje fijo determinado también por cada línea. En la figura 1 se muestran las líneas con los porcentajes aplicables.
25
Figura 1. Líneas y porcentajes del método estándar Fuente: Revista Estabilidad Financiera, Mayo 2005, Número 8
METODOS DE MEDICION AVANZADA Método interno de medición de cada institución, que tiene ser aprobado por el ente supervisor del sistema financiero del país que decida su aplicación, diseñado según sus necesidades de gestión, por lo que es un modelo más sofisticado y complejo de implementar y queda al buen criterio de cada institución que y como aplicarlo, y del ente supervisor al momento del análisis del mismo, con el gran beneficio que de cumplirse parámetros aceptables para ambas partes, normalmente se traduce en requerimientos de capital considerablemente más bajos que los dos anteriores, por lo que es un método que seduce a los accionistas y libera de requerimientos de capital mayores a los necesarios. REQUERIMIENTOS DE CAPITAL POR RIESGO OPERATIVO El tema central en los estándares del Comité de Basilea es el fortalecimiento de las instituciones en cuanto a su capacidad de afrontar problemas económicos por distintas circunstancias, mediante requerimientos de capital mínimo con que debe contar la misma. Una de las novedades del acuerdo conocido como Basilea II es la incorporación de requerimientos nuevos de capital por riesgos operativos, lo que impacta de forma importante y directa los resultados financieros de las instituciones, lo que le da relevancia mayor a este riesgo, y los socios de las mismas concentran mucha atención en este punto.
26
RIESGO La definición depende del campo que se está describiendo, sin embargo un concepto regular podría ser, la probabilidad de ocurrencia de un evento con consecuencias o impactos adversos a lo esperado. RIESGO EN LAS INSTITUCIONES FINANCIERAS La actividad de las instituciones financieras por naturaleza está rodeada de diferentes tipos de riesgo, ya que es una actividad con diferentes componentes y variables que se transforman de manera recurrente y permanente debido a la globalización e innovación de productos y servicios que se ofrecen, y que son situaciones que marcan la diferencia entre las instituciones exitosas con rendimientos mayores para sus partes relacionados. Derivado de esta actividad se desprenden varios tipos de riesgo que conllevan una administración particular para cada uno de ellos. RIESGO DE CREDITO Es la posibilidad de incurrir en pérdidas por el no pago o pago inoportuno de las obligaciones a cargo de prestatarios, deudores de cualquier tipo, anticipos otorgados a prestadores de servicios, riesgo de contraparte de las inversiones y cualquier otra operación que determine una deuda a favor de la institución. RIESGO DE MERCADO Es la posibilidad de incurrir en pérdidas derivadas del incremento no esperado en el monto de las obligaciones con acreedores externos o pérdida en el valor de los activos a causa de variaciones en los parámetros que sirvan de referencia o afecten el precio de los instrumentos financieros, y que contempla riesgos como los de 1) tasas de interés, 2) tipos de cambio, y 3) de precios.
27
RIESGO LEGAL Es la posibilidad de incurrir en pérdidas derivadas del incumplimiento de normas legales, errores u omisiones en la contratación, de la inobservancia de disposiciones reglamentarias, de códigos de conducta o norma éticas. Así mismo, puede derivarse de situaciones de orden jurídico que afecten la titularidad o disponibilidad de los activos, en detrimento de su valor. Esto incluye las normas para la prevención y detección del uso indebido de los productos y servicios financieros en el lavado de activos. RIESGO REPUTACIONAL Es la posibilidad que se produzca una pérdida debido a la formación de una opinión pública negativa sobre los servicios prestados por la institución (fundada o infundada), que fomente la creación de mala imagen o posicionamiento negativo ante los clientes, que conlleve a una disminución del volumen de clientes, a la caída de ingresos y depósitos, entre otros. Cabe resaltar que una mala gestión de los demás riesgos inherentes a la institución inciden en el riesgo reputacional. RIESGO ESTRATEGICO Es la probabilidad de pérdida como consecuencia de la imposibilidad de implementar apropiadamente los planes de negocio, las estrategias, las decisiones de mercado, la asignación de recursos y su incapacidad para adaptarse a los cambios en el entorno de los negocios. Así mismo, abarca el riesgo que emerge de la pérdida de participación en el mercado y/o disminuciones en los ingresos que puedan afectar la situación financiera de la institución. RIESGO OPERATIVO Es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuación en el recurso humano, los procesos, la tecnología, la infraestructura, ya sea por causa endógena o por la ocurrencia de acontecimientos externos. La exposición a este riesgo puede resultar de una deficiencia o ruptura en los controles internos o procesos de
28
control, fallas tecnológicas, errores humanos o deshonestidad, prácticas inseguras y catástrofes naturales, entre otras causas. SEGURIDAD DE LA INFORMACION Sistema de gestión orientado a garantizar la integridad, confidencialidad y disponibilidad de la información SISTEMA FINANCIERO Es un conjunto de instituciones relacionadas directa e indirectamente entre si, dedicadas al servicio de la intermediación financiera, consistente en la realización habitual y sistemática de operaciones de financiamiento a terceros con recursos captados del público en forma de depósitos, préstamos u otras obligaciones, independientemente de la forma jurídica, documentación o registro contable que adopten dichas operaciones. En Honduras el sistema financiero está conformado por, 1) Los bancos públicos y privados, 2) las asociaciones de ahorro y préstamo, 3) las sociedades financieras, y 4) cualquier otra institución que se dedique en forma habitual y sistemática a las actividades de intermediación, previa autorización de la Comisión Nacional de Bancos y Seguros. II.2. ANALISIS DE LA SITUACION ACTUAL Actualmente solo se cuenta con lineamientos generales derivados del nuevo acuerdo de Basilea II a nivel internacional, y en Honduras se vuelve una exigencia el gestionar riesgo operativo a partir de agosto de 2011, donde también, solo se describen los aspectos generales a cumplir, sin embargo, no se detalla el ¿Cómo hacerlo?, ya que este riesgo conlleva diferentes variables que se mueven constantemente, y que hacen necesario el estar replanteando los análisis respectivos. La gestión del riesgo depende de aspectos como el tamaño y cultura de la organización, respaldo hacia la gestión, recursos humanos calificados que se tengan,
29
servicios y productos que se ofrezcan, si es operación local, regional o internacional, si es parte de grupos transnacionales, la zona geográfica donde se opera localmente, entre muchos otros factores que requieren un análisis particular e integral, desde el punto de vista de proceso, y que debe ser realizado por personal con este enfoque. Sin embargo, al no contar con parámetros comparables o de referencia de cómo operativizar todo este nuevo esquema, cada institución y personal responsable interpreta la normativa y los estándares internacionales generales a su criterio particular, generándose brechas en cuanto al alcance y procedimientos metodológicos en torno a la implementación y seguimiento de la gestión, por lo que es importante contar con un documento que permita guiar a los responsables de implementar estos esquemas en sus instituciones, que focalice y oriente esfuerzos a puntos básicos y relevantes, o permitan ajustar estrategias o proyectos relacionados, para obtener mejores y eficientes resultados. EVOLUCION DEL RIESGO OPERATIVO Para este apartado, es clave el entender como ha evolucionado este concepto de riesgo operativo en las instituciones, ya que si no se tiene claro los cambios que se han producido en torno del mismo. Fernandez-Laviada (2007) afirma: “La gestión del riesgo operacional, en un breve espacio de tiempo, se ha convertido en una disciplina emergente, en constante evolución y con un gran potencial para las entidades financieras que lo desarrollan correctamente” (p.29). Si bien es cierto no es un riesgo reciente, los diferentes casos de pérdidas materializadas por fallas operacionales en los últimos años, han hecho sonar las alarmas a nivel internacional, ya se han han generado hasta crisis financieras a gran escala, afectando a miles de personas en general. Históricamente los riesgos se han administrado de manera aislada al resto de los ámbitos de las organizaciones y se habían orientado a análisis de casos puntuales con acciones específicas a esos eventos y con un enfoque más reactivo, sin embargo, hoy el enfoque de la administración de riesgos operativos que se pretende instaurar es preventivo para pensar anticipadamente antes que ocurran y así mitigar de manera 30
oportuna los mismos, así como, permitiendo crear más valor para la institución y ventajas competitivas, ya que de acuerdo a que tan eficiente sea la gestión del riesgo, serán los resultados financieros que se obtengan. Existen diversos casos de quiebras de instituciones que han generado análisis profundos de sus causas. En la década de los años noventa, casos como los de Barings Bank of Credit and Commerce y Bankers Trust pusieron de manifiesto que las entidades financieras estaban expuestas a sufrir pérdidas muy elevadas, no procedentes de riesgo de crédito ni de mercado, que podían poner en peligro su solvencia. (Estabilidad Financiera, 2005, p.166). Como estos casos, existen más experiencias al respecto, ver anexo 1, donde se denotan fallas de diseño y efectividad de los controles, abusos de confianza, entre otros factores causados por mala administración del riesgo operativo. Sumado a lo expuesto en el párrafo anterior, aparecen operaciones extremadamente complejas en los mercados financieros internacionales, grandes fusiones de instituciones a gran escala, productos y servicios innovadores, automatización a todo nivel de las operaciones para facilitar el acceso a los servicios, etc., vuelven más vulnerable a una institución, que requiere de esquemas muy técnicos y especiales para administrar toda esta gama de factores que impactan el negocio financiero, con personal calificado para analizar de una manera específica y diferente todas estas situaciones, a la forma en que se había venido manejando hasta ahora, que impulsan Basilea II y la normativa hondureña. GESTION DEL RIESGO OPERATIVO EN EL MUNDO El Comité de Basilea en la actualidad lo conforman miembros de Argentina, Australia, Bélgica, Brasil, Canadá, China, Francia, Alemania, Hong Kong, India, Indonesia, Italia, Japón, Corea, Luxemburgo, México, Holanda, Rusia, Arabia Saudita, Singapur, Sur África, España, Suecia, Suiza, Turquía, Reino Unido y Estados Unidos. Para los países miembros, los estándares que el comité emite son de carácter obligatorio, por lo tanto, esos países desde el 2004 del nuevo acuerdo de Basilea II (los que ya eran miembros), 31
empezaron a implementar mecanismos para gestionar el riesgo operativo con el nuevo enfoque, ya que su entrada en vigor fue en enero 2007. A nivel Europeo, debido a la integración con que se cuenta en varios aspectos, específicamente el económico y financiero, estas prácticas ya son parte de los esquemas básicos de sus sistemas financieros, donde la Comisión Europea debía de adaptar las recomendaciones de Basilea a la realidad europea y adaptarlas al contexto legislativo de cada país miembro. En el 2004 se creó el Comité de Supervisores Bancarios con el objetivo fundamental de de contribuir a una implantación consistente de las normativas de la comunidad europea. La implementación en Europa lleva tiempo, inclusive para regiones como la Europea, y que hoy siguen en mejoras a la misma, donde algunos casos a mencionar son los de España, en donde desde el 2002 se han realizado estudios y encuestas para el sistema financiero español, incluyendo cajas de ahorro sobre los aspectos claves del riesgo operacional, en donde se concluye en un estudio del 2006, que en poco tiempo se han alcanzado importantes avances, pudiendo afirmar que en líneas generales se encuentra al nivel de los principales sistemas financieros de otros países, lo que evidencia lo complejo que es la adaptación de este enfoque. En el Reino Unido, desde el 2002 la Autoridad Reguladora de Servicios Financieros, la FSA (por sus siglas en inglés, Financial Sevices Authority), ha estado trabajando en distintos documentos que permitan la incorporación de la gestión de riesgo operacional en las instituciones financieras, siendo relevante mencionar la normativa publicada en febrero de 2006 (CP06/3) donde se actualiza la versión de las reglas del riesgo operativo, y que se incluyó en el manual de la FSA publicada a finales de octubre de 2006. Algunas otras publicaciones al respecto se muestra en la siguiente figura.
32
Figura 2. Documentos publicados en relación al riesgo operativo en el Reino Unido. Fuente: Fernández, A. (2007). La gestión del riesgo operacional: de la teoría a su aplicación. Madrid: Ediciones 2010, S.L.
En
Estados
Unidos
igualmente
se
ha
desarrollado
el
tema,
con
algunas
particularidades, donde desde el 2003 se han emitido y publicado documentos sobre consultas, borradores de propuesta sobre como aplicar el nuevo acuerdo de capital, y donde en febrero de 2007 finalmente se publicó el documento definitivo que guía para implementar metodologías de medición avanzadas para riesgo operativo. Algunas otras experiencias alrededor del mundo se resumen a continuación:
Australia: En el 2006 la autoridad reguladora australiana The Australian Prudential Regulation Aauthority (APRA) publicó el enfoque propuesto para los modelos avanzados de riesgo operativo bajo Basilea II.
Japón: Desde el 2004 se publicó el documento borrador de las normas para el marco de Basilea II, las que en el 2005 fueron revisadas y publicadas, y que entraron en vigencia en marzo de 2007.
Como se aprecia en los casos expuestos, a nivel general, el gestionar riesgo operativo con un nuevo enfoque conlleva armonizar legislaciones, procesos y procedimientos internos.
33
En definitiva, se está reconociendo formalmente que el riesgo operacional es un riesgo más de la actividad bancaria, que ha aumentado considerablemente en los últimos años y que atrae el interés y la preocupación de instituciones, supervisores y académicos (Fernandez-Lavadia, 2005, p.54) Su implementación es un proceso paulatino y de constantes ajustes y consultas con todos los actores de un sistema financiero para adaptarse a los cambios permanentes que se generan actualmente. GESTION DEL RIESGO OPERATIVO EN AMERICA La Región latinoamericana no se queda atrás en cuanto a la aplicación de los estándares internacionales, ya que existen economías muy grandes y relevantes con impacto a nivel mundial, lo que vuelve obligatorio el acogerse a enfoques modernos y mas sensibles en cuanto a la administración de los riesgos. En relación al riesgo operativo de la región, se puede intuir que su implementación es un tanto mas lenta que en otras regiones como la Unión Europea, sin embargo, ya se han estado dando pasos para enmarcarse en la ruta estandarizada que se contempla en Basilea II. En cuanto a este tema, una de las consultas iniciales que se realizan es sobre que se entiende por riesgo operativo desde las normativas y legislaciones de los países, ya que es el punto de partida de todo el marco a desarrollar. En este sentido, de acuerdo a una encuesta diseñada en torno al riesgo operacional en la región, realizada en el 2009 por la Asociación de Supervisores Bancarios de las Américas (ASBA), se obtuvo respuesta de 15 países en donde la mayoría de los mismos utilizan una definición similar a la de Basilea II y concluye que este riesgo es considerado muy relevante para la mayoría de los reguladores. En relación a normativas respecto con el riesgo operativo, el 87% de los países consultados (Antillas Holándesas, Argentina, Islas Caimán, Colombia, Chile, Nicaragüa, Uruguay, Brasil, Canadá, España, Estados Unidos, México y Perú) contaban con normativas y lineamientos sobre este riesgo, mientras que el 13% restante (El Salvador y Paragüay) no cuenta con normativas, sin embargo, esperaban crear o fortalecer normas en este sentido. Otro dato interesante es que el 73% de los países que 34
contestaron la encuesta (Antillas Holándesas, Colombia, Chile, Uruguay, Brasil, Canadá, España, Estados Unidos, México, Perú, El Salvador y Paragüay), indicaron que cuentan con áreas especializadas en riesgo operativo, lo que evidencia la importancia que tiene el mismo en la región. Con respecto a herramientas para la administración del riesgo operativo, 46% de los países que respondieron (13 países) la pregunta de la encuesta en este sentido (Antillas Holándesas, Canadá, Colombia, España, Estados Unidos y Perú) indicaron que todos los bancos grandes han implementado metodologías para administración de riesgos operativos, en contraste, 15% de los países (Colombia y Estados Unidos) respondieron que todos los bancos pequeños han implementado herramientas de administración de riesgo operacional, lo que refleja la baja acción que se tiene en este sentido, y solo las grandes instituciones hace esfuerzos por implementación de estos sistemas. En general pocos son los países en la Región han implantado requerimientos de capital por riesgo operacional, con grados de avance y ritmo diferentes ASBA (2009) los divide en cuatro grandes grupos, 1) en los que ya se ha implantado todos los métodos de Basilea II, 2) los que han realizado una implantación parcial, 3) los que están estudiando aún las implicaciones de incorporar el riesgo operacional, y 4) los que aún reconociendo la importancia del riesgo operativo, no habían decidido ni la forma ni el momento de implantar requerimientos por este sentido. Con estas variantes, se torna complejo el estandarizar acciones o metodologías, sin embargo, al momento de culminar cada grupo, se espera mayor eficacia en los resultados globales. GESTION DEL RIESGO OPERATIVO EN HONDURAS La gestión de este riesgo toma forma en Honduras a partir de la Resolución SB No 1321/02-08-2011 (Circular CNBS No 195/2011) del 2 de agosto de 2011, emitida por la CNBS y en la cual aprueba la “Norma de Gestión de Riesgo Operativo”, con alcance aplicable para Bancos Públicos y Privados, Asociaciones de Ahorro y Préstamo, Sociedades Financieras, El Banco Hondureño para la Producción y la Vivienda (BANHPROVI), El Régimen de Aportaciones Privadas (RAP), y cualquier otra institución 35
que se dedique en forma habitual y sistemática a las actividades del Sistema Financiero, previa autorización de la CNBS, esto según el artículo 2 de la resolución. Según el último comunicado publicado por la CNBS el 13 de marzo de 2014, a esta fecha, existen 17 Bancos Comerciales, 1 Banco Estatal, 10 Sociedades Financieras, 1 Administradora de Fondos Privados de Pensiones, 12 Instituciones de Seguros, y 5 Organizaciones Privadas de Desarrollo Financieras, a quienes aplica el alcance de dicha norma, y tienen hasta el 31 de Diciembre de 2014 para adecuarse a la misma. Cabe mencionar que el mismo 2 de agosto de 2011 se emitió la resolución No 1320/0208-2011 donde se aprobó la Norma Sobre Gestión Integral de Riesgo, que se orienta a un nivel mas estratégico y superior, sobre todos los riesgos en torno a las instituciones financieras, su interacción y administración en general. Desde la publicación de la norma de riesgo operativo, se han generado diversos eventos de capacitación de manera integral del sistema financiero en torno a este tema, con organismos consultores del extranjero, con el objetivo que permitieran conocer más a fondo sobre como plantear o poner en práctica el enfoque respectivo, lo que a aportado algún grado de conocimiento general a las instituciones hondureñas, sin embargo, cada una ha tenido que emprender este camino de implementación y adaptación, sin una ruta o guía clara, mas que de sus experiencias y conocimientos generales adquiridos, lo que vuelve más lento el proceso, y con probabilidades de dejar brechas importantes para alcanzar mejores resultados. Así mismo, el ente regulador, también se encuentra en proceso de aprendizaje, mas cuando la gestión de riesgo operativo conlleva características particulares a cada institución, lo que dificulta este proceso, el que como se ha discutido en buena parte de este trabajo, busca estandarizar criterios tanto de gestión como de revisión de la misma, para poder tener parámetros más claros y detallados de cumplimiento de la misma, que permita una evaluación más objetiva de parte del regulador.
36
II.3. TEORIA En este campo de estudio, se hace referencia a dos documentos base que soportan tanto internacional como localmente el trabajo, de donde se desprende el análisis a realizar. PRACTICAS INTERNACIONALES Se fundamenta en el documento publicado en junio de 2004 por el Comité de Supervisión Bancaria de Basilea denominado Convergencia Internacional de Medidas y Normas de Capital, conocido como Nuevo Acuerdo o Basilea II, donde por primera vez aparecen requerimientos de capital por riesgo operativo, y que empiezan a generar una nueva tendencia de técnicas, herramientas, métodos y experiencias, de cómo gestionar mejor este riesgo, para obtener resultados más eficientes a la hora de establecer esos requerimientos, y que contempla una gama de decisiones y metodologías a adoptar, de acuerdo a los mejores criterios que se tengan, tomando de base este nuevo acuerdo. Otro aporte relevante internacional, es el documento publicado en febrero de 2003 por el Comité de Basilea, bajo el título de Buenas Prácticas para la Gestión y Supervisión del Riesgo Operativo, que describe principios para una gestión y supervisión eficaces del riesgo operativo, para evaluar las políticas y prácticas de la gestión de este riesgo. Sin embargo, el mismo documento reconoce que la metodología que elija cada banco, dependerá de diversos factores particulares, pero que estos principios pueden ser de mucha ayuda. NORMATIVA LOCAL Localmente solo se cuenta con la normativa publicada en agosto de 2011, resolución SB No 1321/02-08-2011, como fundamento para implementar una gestión de riesgo operativo, por lo que en la actualidad todos se encuentran proceso, y se considera momento propicio para describir algunas mejores prácticas que puedan servir de guía para mejores y eficientes resultados.
37
METODOLOGÍA En este capítulo se muestra el diseño de investigación, tipo de enfoque, instrumentos, alcance y fuentes de información que serán necesarias para la realización de este estudio. III.1. CONGRUENCIA METODOLOGICA Sección que corrobora la relación entre las partes del planteamiento y la metodología a usar. MATRIZ METODOLOGICA Tabla 1 Matriz
Título
Problema
Investigación
¿Cómo gestionar manera práctica?
Propuesta para implementac ión de una gestión de riesgo operativo práctica
¿Cómo gestionar de forma práctica el riesgo operativo?
Objetivo
Pregunta de
de
General
Variables Específico
Independiente
Proponer una base metodológica práctica para la gestión de riesgo operativo, mediante una guía estándar de implementación que permita obtener mejores resultados para las instituciones y sostenible en el tiempo
Dependiente
Gestión práctica
¿Cómo se vuelve operacional una gestión?
Elaborar esquema operacional
¿Quiénes y de qué forma, se debe interactuar en la gestión?
Explicar mejores prácticas y mecanismos de interacción entre todos los actores en la gestión
¿Qué factores favorecen y cuales desfavorecen una gestión de riesgo operativo?
Indicar que factores impactan positiva y negativamente a la gestión
un
Procedimientos y Métodos
Tiempo
de
Adaptación
Conocimientos
Fuente: Elaboración propia
38
DEFINICION OPERACIONAL DE LAS VARIABLES Una variable es una propiedad que puede fluctuar y cuya variación es susceptible de medirse u observarse. En este estudio las variables se muestran en la figura 3.
Figura 3 Definición operacional de las variables Fuente: Elaboración Propia
En este estudio la variable dependiente identificada es la practicidad, que se orienta a la práctica real de acciones y toma de decisiones para la obtención de los mejores resultados para una institución en su forma de gestionar los riesgos operativos, en función del grado de avance o cumplimiento de las variables independientes. Las variables independientes identificadas que afectan de manera directa la practicidad de la gestión de riesgo operativo son:
Los procedimientos y métodos que se establezcan
El tiempo de adaptación a nuevos esquemas
39
El grado de conocimiento inicial y posterior de los estándares o prácticas
Tabla 2 Operacionalización de las variables Definición
Variable Independiente
Dimensiones Conceptual Método
Procedimientos
Indicador
Items
Operacional
de
ejecutar
Es
algunas cosas
documentada
(Diccionario de
seguir
la
gestionar riesgos
lengua
la
guía a para
Pasos documentados
E1 Porcentaje
(8,9,23,24)
/
E2 (5
española) Tiempo
que
transcurre Tiempo
de
adaptación
Es el tiempo que se
para adaptarse
a
alguna instrucción
o
tarde en adaptarse el recurso humano
Tiempo
Porcentaje
E1 (3,4,6,7) / E2 (1,2
a nuevas prácticas
procedimiento Entendimiento Conocimiento
de
estándares
que se tiene sobre
un
patrón procedimental
Es
el
grado
conocimiento
de
E1
del
recurso humano, de prácticas en torno a
(1,2,5,15,16,17 Conocimiento
Definición
Dependiente
Conceptual
Operacional
Dimensiones
Indicador
realidad
Es
el
práctico y real de
un
hacer algo
fin
útil
(Diccionario de lengua
(10,11,12,13,1
sentido
persiguiendo
la
Items
E1
ajustándose a Gestión Práctica
E2
o
actuar la
/
,15)
riesgos
Definición
,18,19)
(3,4,6,10,11,12
como gestionar los
Variable
Pensar
Porcentaje
Realidad
Porcentaje
4,20,21,22,25, 26)
/
E2
(7,8,9,13,14,16 ,17)
española)
Fuente: Elaboración propia
40
HIPOTESIS Este estudio es exploratorio, por lo tanto no cuenta con hipótesis planteadas, ya que se busca dejar o ampliar los datos e información existente, respecto a un hecho relativamente nuevo, que envuelve criterios generales institucionales, y de criterios de personas con experiencia en riesgo que gestionan los mismos es dichas instituciones. III.2. ENFOQUE Y MÉTODOS La presente investigación está dirigida al enfoque cualitativo, debido a que busca comprender y profundizar un fenómeno, analizándolo desde su contexto, tomando de referencia las experiencias, perspectivas opiniones y significados, además de ser un tema poco explorado hasta ahora.
Figura 4 Diseño de la investigación Fuente: Elaboración propia
III.3. DISEÑO DE LA INVESTIGACIÓN Se aplica el diseño de investigación - acción ya que lo que se busca es resolver un problema cotidiano y mejorar una práctica concreta, con el propósito que aporte información que guíe a las personas relacionadas con el tema, y que consiga mejores resultados en sus procesos y decisiones institucionales.
41
La investigación es de tipo Práctica porque estudia prácticas específicas del sector financiero, se centra en el desarrollo y aprendizaje, implementa un plan o guía para mejorar la gestión de riesgo operativo, y el liderazgo se lleva a cabo con personas técnicas que conocen el tema. Se entrevistará y encuestará a personas que laboran como responsables de unidades de riesgo del sistema financiero, y personal técnico con experiencia en el tema. POBLACION El universo relacionado al estudio realizado comprende las instituciones del sistema financiero, que comprende 17 Bancos Comerciales, 1 Banco Estatal, 10 Sociedades Financieras, 1 Administradora de Fondos Privados de Pensiones, 12 Instituciones de Seguros, y 5 Organizaciones Privadas de Desarrollo Financieras. MUESTRA En el caso de la muestra se estimará un muestreo no probabilístico tipo conveniencia, específicamente de los Bancos, y que dependerá de la anuencia y disponibilidad de personal de las áreas de Gestión de Riesgos que deseen aportar información a solicitar, debido a la confidencialidad que caracteriza al sector financiero, sobre sus procedimientos internos. UNIDADES DE ANALISIS Las unidades de análisis se orienta a Gerentes y mandos medios de departamentos que gestionan riesgos en el sistema financiero, que son los grupos específicos y técnicos que conocen del tema, y que administran los riesgos operativos en sus respectivas instituciones. UNIDAD DE RESPUESTA Serán las opiniones y resultados de encuesta implementados, que servirán de análisis para la guía de implementación a elaborar.
42
III.4. TÉCNICAS Y HERRAMIENTAS APLICADAS Para recopilar de una manera efectiva y confiable se utilizarán los siguientes instrumentos: 1. Cuestionarios y entrevistas, las cuales se dirigirán a personal técnico y experto de áreas de gestión de riesgos de algunas instituciones financieras de Honduras, en Tegucigalpa. 2. Encuesta a personal de áreas de gestión de riesgos, en instituciones del sistema financiero en Tegucigalpa. 3. Investigación de archivos, la cual se realizara por medio de revisión de material electrónico y físicos, incluidos en el marco teórico. III.5. FUENTES DE INFORMACIÓN PRIMARIAS La información primaria se obtendrá por medio de entrevistas con personal de algunas instituciones financieras y encuestas a personal de las mismas. SECUNDARIAS Las fuentes secundarias serán bases normativas relacionadas con la gestión de riesgo operativo, artículos de revistas, sitios web e informes oficiales sobre el tema relevante para la presente investigación. III.6. LIMITANTES DEL ESTUDIO En este sentido, básicamente nos encontramos con la dificultad de que el trabajo está enmarcado en un sector de la economía que es muy celoso de información interna sobre sus actividades, lo que dificulta el alcance esperado, ya que se depende de la
43
anuencia de las personas responsables de Unidades de Gestión de Riesgo de algunas instituciones financieras.
44
RESULTADOS Y ANÁLISIS Posteriormente a la investigación realizada y tomando en consideración las fuentes consultadas de expertos y personal del sistema financiero nacional, así como, las experiencias propias derivadas de la práctica laboral en este campo específico, se responden las preguntas de investigación planteadas, y relacionadas con el objetivo general y específicos, desarrollados por temas, abordados en el contexto del problema planteado. IV.1. APOYO DE LA ADMINISTRACION SUPERIOR Iniciamos con este apartado, ya que la primera de las acciones a tomar en cuenta al gestionar riesgos operativos es el nivel de convencimiento y apoyo que tienen las máximas autoridades de la institución respecto a este esquema de gestión. Este apoyo no se refiere a acciones meramente pasajeras para cumplimiento normativo, sino, actividades permanentes en el tiempo que sigan impulsando la misma. Son acciones que van más allá de dotar de recursos humanos, tecnológicos, logísticos, etc., (que son relevantes también), se refiere a como se usan canales formales o informales a los más altos niveles jerárquicos, dando mensajes claros y periódicos sobre la importancia de la gestión, con el objetivo que éste sea transmitido hacia los niveles inferiores y sea percibido de esa forma a todo nivel. En la figuras 5 se valida el párrafo anterior, donde el 82% de los encargados de riesgo operativo y expertos en riesgo de los bancos opinan que uno de los factores relevantes en la gestión de riesgo operativo, es el apoyo de la administración, por lo que hay que tener claridad en este grado de apoyo, para poder tener certeza de cuán fácil será el inicio de la implementación a realizar o que estrategia de “venta” de la idea se requiere hacia la alta administración.
45
Tabla 3 Factores que afectan la implementación de gestión de riesgo operativo, según encargados de riesgos operativos y expertos en riesgo de bancos Factor Apoyo de la administración Cultura Herramientas Apoyo del ente supervisor Otros
Consultados
Coincidencias
Porcentaje
11 11 11
9 7 2
82% 64% 18%
11 11
1 3
9% 27%
Fuente: Elaboración propia
Figura 5 Gráfico sobre factores que afectan la gestión de riesgo operativo Fuente: Elaboración propia
IV.2. CULTURA DE RIESGO Y CONTROL Este concepto se orienta a los valores y conocimientos que tiene el personal de una institución en relación al riesgo y a los controles que ejecuta o es participe en un proceso determinado, Es una condición del ser humano y que se cultiva de acuerdo al entorno donde se labora, en este caso específico, por lo que esta condición es importante en cuanto a gestionar riesgos operativos se refiere, ya que implica estar 46
consciente con claridad sobre que riesgos afectan a cada empleado, desde su óptica personal, para poder estar atento a debilidades o situaciones vulneren la operativa, y actuar proactivamente en la búsqueda de mitigantes que mejoren los procesos de forma integral. En este sentido es relevante indicar que es uno de los puntos clave en la gestión de riesgo operativo que actualmente presenta una brecha importante prácticamente en todos los bancos del sistema financiero nacional, tal y como se refuerza con las figuras 6 y 7, resultante de encuesta practicada a una muestra de ejecutivos encargados de gestionar los riesgos operativos en los bancos, expertos en el tema y personal del ente regulador del sistema financiero, donde en combinación, el 84% de los encuestados opinan que se requiere más cultura de riesgo en las instituciones o no hay, así como, el 95% considera que ha sido difícil la asimilación de este enfoque. Esto implica impulsar acciones permanentes de sensibilización y capacitación constante a todo el personal de la institución sobre riesgos y controles, en el marco de las metodologías de gestión que se implanten en cada institución. Tabla 4 Apoyo y conocimiento del enfoque de gestión de riesgo operativo Respuesta SI NO Se requiere mas cultura de riesgo
Cantidad 3 1
Porcentaje 16% 5%
15
79%
Fuente: Elaboración propia
47
Figura 6 Gráfico sobre percepción de apoyo y conocimiento Fuente: Elaboración propia
Tabla 5 Fue o ha sido fácil asimilar el enfoque de gestión de riesgo operativo en la cultura organizacional Respuesta SI NO
Cantidad 1 18
Porcentaje 5% 95%
Fuente: Elaboración propia
Figura 7 Gráfico sobre asimilación de enfoque de riesgo operativo en la cultura organizacional Fuente: Elaboración propia
48
El aspecto cultural es un tema que debe manejarse permanentemente a lo largo y ancho de la organización, mediante sistemas de comunicación formal e informal, pero que dependen en gran manera desde los más altos niveles jerárquicos y los mandos medios o puestos de supervisión, que diariamente deben establecer esa relación comunicativa en torno a sus riesgos y controles, y no siempre esto funciona de la manera que se desea, por lo que otra vía de seguir cultivando esta conciencia, son las capacitaciones internas al personal, mediante diferentes vías, como podrían ser; a) talleres prácticos, b) charlas, c) cursos en línea (si se cuenta con este medio), así como, los acercamientos del día a día que se pudieran realizar a las áreas, de temas específicos que requieran. En este sentido llama la atención la percepción que tiene el ente regulador (que es quien supervisa y audita la implementación de la gestión de riesgo operativo), donde el 88% de los auditores consultados consideran que la minoría de instituciones o ninguna ha tenido suficiente capacitación interna o externa en este sentido, ver figura 8, lo que debe llamar a la reflexión sobre que se está haciendo en este sentido, o como se están evidenciando las mismas, ya que se está reflejando una debilidad aparente, contrastante con la opinión de encargados de áreas de riesgo operativo y expertos en riesgos de las instituciones encuestadas, donde el 82% indica que si se capacita al personal. Ver figura 9.
Tabla 6 ¿Considera que ha existido suficiente capacitación interna o externa sobre gestión de riesgos operativos en las instituciones financieras? Respuesta SI NO La minoría La mayoría
Cantidad 0 2 5 1
Porcentaje 0% 25% 63% 13%
Fuente: Elaboración propia
49
Figura 8 Gráfico de percepción sobre capacitaciones de gestión de riesgo operativo Fuente: Elaboración propia
Tabla 7 ¿Se capacita a todo el personal en gestión de riesgos operativos? Respuesta SI NO
Cantidad 9 2
Porcentaje 82% 18%
Fuente: Elaboración propia
50
Figura 9 Gráfico sobre capacitaciones de gestión de riesgo operativo Fuente: Elaboración propia
Cualquiera de estas vías debe llevar un componente particular, que es el de presentar casos prácticos y experiencias reales vívidas, con el objeto de demostrar con hechos que no se está exento de este riesgo, generando un efecto de mayor impacto a quienes la reciben. Se recalca que este esquema se refiere a capacitaciones internas, ya que las externas se orientan al personal de las unidades técnicas que administran el riesgo operativo (y que son los que las desarrollan posteriormente a lo interno), que normalmente son muy generales, y que se evidencia en las respuestas obtenidas en la figura 10.
Tabla 8 ¿En los seminarios o talleres sobre gestión de riesgo operativo ha recibido una orientación clara sobre cómo se operacionaliza en la práctica una gestión completa de riesgo operativo? Respuesta SI NO
Cantidad 3 8
Porcentaje 27% 73%
51
Figura 10 Gráfico sobre profundidad de seminario o talleres para operacionalizar la gestión Fuente: Elaboración propia
IV.3. IMPLEMENTACION INICIAL Definitivamente es el punto de desconcierto preliminar al momento de iniciar con actividades poco conocidas y que no se tiene claro por donde comenzar, lo que vuelve la tarea muy difícil, donde lo primero que se viene a la mente es emular o arrancar con acciones basadas de experiencias en áreas similares como unidades de control existentes hasta ahora, en campos de la auditoría, control interno, cumplimiento, entre otras, sin embargo, este riesgo implica un nuevo esquema de trabajo, que se basa en la visión de proceso y una perspectiva más amplia de los mismos, para poder tener todo el mapa de una actividad de principio a fin para volver más eficiente el esquema. Esta condición es concordante con los resultados obtenidos de los encuestados, donde el 91% considera que no ha sido fácil la implementación de la gestión de riesgo operativo en el sistema financiero nacional, presentados en la figura 11. Es una situación normal, que depende de la habilidad de las personas encargadas de este nuevo enfoque, el adaptarse lo más pronto posible al mismo, sin tener un horizonte claro detallado de cómo emprender un tema con nuevos alcances y expectativas.
52
Tabla 9 ¿Fue o ha sido fácil implementar la gestión de riesgo operativo en la institución? Respuesta SI NO
Cantidad 1 10
Porcentaje 9% 91%
Fuente: Elaboración propia
Figura 11 Gráfico sobre la implementación de la gestión de riesgo operativo Fuente: Elaboración propia
ENFOQUE A UTILIZAR La gestión de riesgo operativo puede verse o arrancar mediante dos enfoques o alcances diferentes; (a) gestión por procesos o, (b) gestión por Unidad Funcional o departamento, y que dependerá en gran manera de la base documental de procesos que se tenga y la estrategia que se defina en torno a la gestión. ¿Porqué la base documental de procesos y la estrategia?. En cuanto a procesos, para gestionar eficientemente los riesgos operativos un requisito indispensable es tener los procesos mapeados o flujogramados en su estado más real y actualizado posible, ya que es el insumo con el cual se puede iniciar un proceso de gestión de riesgo operativo
53
de forma ideal, debido a que se puede visualizar de forma completa una operativa en particular, permitiendo tener todo el panorama para poder identificar los riesgos de forma completa. Sin embargo, este tema no es tan fácil como se pudiera estimar, ya que los procesos son tan variables en el tiempo, y su funcionamiento depende incluso de factores humanos de cumplimiento de los mismos, como, si las instituciones cuentan con áreas especializadas en velar por todo un esquema de cumplimiento de proceso que asegure su adecuada administración. Estas decisiones en torno a la administración de procesos es un tema que depende de la estrategia que desea la institución, en función de como y que grado de orden a lo interno en sus actividades se pretende implantar y transmitir, teniendo esto una relación directa con el riesgo operativo, ya que no es lo mismo identificar riesgos de procesos bancarios (que normalmente son extensos, con muchos actores participando en el mismo,
con
diferentes
aplicativos
relacionados,
entre
otros),
simplemente
recordándolos por medio de ejercicios mentales, a tener un documento que me permita visualizar toda la ruta de un producto o servicio, pero siempre, cuando nos enfocamos a una gestión ideal o eficiente. De los dos alcances que se indicaron un par de párrafos anteriores, el que se enfoca en procesos es la mejor forma de gestionar los riesgos, ya que, como se ha venido indicando, permite visualizar el mapa completo de una actividad bancaria en particular, lo que ayuda a realizar análisis integrales que llevan a tomar mejores decisiones tomando en cuenta todo un proceso. Normalmente los riesgos operativos no solo afectan a un departamento en un proceso, sino que, repercuten en todas las partes mismo, involucrando a otras áreas, en incluso, fomentando fallas en cascada o en línea, donde no solo existe una debilidad, por lo que este esquema permite generar mitigantes y mejoras que fortalecen todo un proceso, no solo pedazos del mismo, que a toda luz, puede seguir con brechas importantes que no cumplan con una mitigación esperada. Sin embargo, no siempre se cuenta con procesos alineados o actualizados, o con áreas relacionadas que tengan todo el recurso humano para abarcar de forma completa una administración eficiente de los procesos, es por eso que se menciona otro tipo de alcance de gestionar los riesgos del que se puede disponer, que es por Unidad 54
Funcional o Departamento, que se orienta a gestionarlos con la óptica específica a las actividades que esa área realiza o participa en un proceso determinado, ya que muchas veces, de manera formal o informal, las áreas manejan a lo interno diagramas de procesos elaborados por ellos mismos para orientar a su personal, instrumentos más detallados o profundos que una descripción general de puestos, que son distintos. Esta otra alternativa puede ser funcional si la estrategia institucional desea tomar el esquema de gestión de una forma paulatina, y mas si las entidades no cuentan con esquemas maduros de procesos, lo que aporta un aprendizaje valioso para detectar los factores internos particulares a cada una, que le orienten de manera transitoria, para luego pasar a un enfoque de gestión por procesos, coordinado con unidades especialistas en estos esquemas, para ir en línea, tanto el tema de procesos, como la gestión de riesgos. Definitivamente es un punto complejo, debido a lo novedoso del tema específicamente en Honduras, donde la mayoría de instituciones inician a adoptar estos conceptos a partir de la normativa de Riesgos Operativos, en agosto 2011, y que se refuerza con la figura 12, donde el 63% de los encuestados confirman que se inicia a gestionar el riesgo operativo a partir del 2011 o más recientemente.
Tabla 10 Año en que se inició a gestionar riesgo operativo en las instituciones Año 2007 2008 2009 2010 2011 2012
Cantidad 2 1 0 4 10 0
Porcentaje 11% 5% 0% 21% 53% 0%
55
2013 2014
1 1
5% 5%
Fuente: Elaboración propia
Figura 12 Gráfico sobre años en que se inició a gestionar riesgo operativo Fuente: Elaboración propia
FORMA DE ADMINISTRACION Al referirse a la administración, se orienta a si la gestión será manejada directa y exclusivamente por un área especialista en el tema, o si se comparte con otros actores del entorno. En este sentido, gestionar riesgo operativo no puede ser administrada solo por un área en particular (normalmente la Unidad de Riesgo Integral o su equivalente), ya que el riesgo es de cada una de las personas que laboran en una institución, enmarcado en el proceso en que es participe, por lo que centralizar la misma en un área, lleva a perder la perspectiva real del riesgo, porque los empleados de esas unidades especializadas no pueden llegar a conocer de primera mano la experiencia del día a día en todos los procesos de las instituciones. Derivado de lo anterior, es recomendable el implementar el esquema de figuras o responsables de la gestión del riesgo operativo en cada departamento, pero no se refiere a un puesto como tal, sino, aun facilitador a lo interno de su área, que gestione el 56
riesgo a lo interno, que sea el canal de comunicación entre su departamento y la Unidad técnica y que consolida o concentra las diferentes acciones a realizar en su departamento, siendo mejor, que sea de un nivel jerárquico que pueda tomar decisiones oportunamente, ya que caso contrario se burocratiza la gestión si tiene que pasar por muchos pasos de revisión y análisis el problema. En la figura 13, de 11 responsables y expertos de unidades de riesgo operativo e integral, el 64% indicó que administran de forma descentraliza la gestión, lo que indica que se tiene como la mejor forma para administrar el mismo.
Tabla 11 ¿La gestión de riesgo operativo que administra ¿es centralizada o descentralizada? Respuesta Centralizada Descentralizada
Cantidad 4 7
Porcentaje 36% 64%
Fuente: Elaboración propia
Figura 13 Gráfico sobre el tipo de administración de la gestión de riesgo operativo Fuente: Elaboración propia
Bajo este esquema, implica coordinar de manera permanente capacitaciones, retroalimentación oportuna, procesos de comunicación claros, así como fechas corte de
57
envío de información, de y hacia las unidades técnicas de riesgo, para que la gestión tome la forma del sistema que se requiere, hasta llegar a afinarlo lo mejor posible, y es donde radica uno de los factores importantes de esta propuesta, el que hay que ir testeando o ajustando de acuerdo a los cambios o particularidades de la institución. HERRAMIENTAS Posterior a haber determinado que enfoque de gestión se va a iniciar a implementar, viene el paso de determinar la herramienta a utilizar en la gestión (no significa que esto es imperativo, puede ser paralelo o anterior). Para gestionar riesgo operativo es básico contar con herramientas fácilmente manejables por cualquier persona de la institución, tanto para los que administran la misma como para los que generan la información fuente, y en este sentido solo se tienen dos alternativas como son el uso del MS Office o aplicaciones específicas para gestión de riesgos, ya sea desarrolladas a lo interno o compradas en el mercado, siendo el tema económico el que normalmente se hace presente en esta decisión. En el caso de las instituciones hondureñas, normalmente la o las herramientas que se utilizan son basadas en archivos de excell, con algún grado de complejidad mas o menos, con uso de macros como opción inicial, mientras se desarrolla todo el esquema de gestión, que se refuerza con la figura 14, donde el 64% de los encuestados manifiestan que no utilizan en la actualidad aplicaciones automatizadas diferentes a MS Office, lo que es natural ya que se requiere algún tiempo de aprendizaje del esquema, y donde al madurar, se tienen características específicas que cada institución requiere a su medida, y donde ya es recomendable buscar alternativas más automatizadas, ya que el uso de MS Ofiice permanentemente es insostenible en el tiempo, debido a la gran cantidad de información, mecanismos de interacción, comunicación, entre otros, que deben de ser lo más amigable posible con todos los que participan en este proceso.
58
Tabla 12 ¿ Cuenta con una herramienta tecnológica (diferente a las de MS Office) que permita inventariar los eventos o incidentes que ocurren diariamente? Respuesta SI NO
Cantidad 4 7
Porcentaje 36% 64%
Fuente: Elaboración propia
Figura 14 Gráfico sobre el tipo de herramienta que se utiliza en la gestión de riesgo operativo Fuente: Elaboración propia
IDENTIFICACION Y EVALUACION DE RIESGOS OPERATIVOS Posterior a la definición de la herramienta a utilizar (y luego de las capacitaciones iniciales), continúa una de las actividades torales en la gestión de riesgo operativo, concerniente a levantar los riesgos operativos de acuerdo al enfoque que se mencionó en párrafos anteriores, ya sea por proceso o por departamento, y si se escoge este último, igualmente se deberá de unir sus partes para transformarse a un análisis de procesos finalmente. Esta actividad requiere siempre tener el criterio de priorización, en base a la criticidad de los procesos que se llevan a cabo en la institución. Independientemente del enfoque a utilizar, esta etapa puede realizarse de dos formas, dependiendo el alcance que se desee, como son: a) identificación de riesgos más
59
críticos de acuerdo a criterio experto e, b) identificación sistemática con base en el proceso, las que se explican a continuación. IDENTIFICACION Y EVALUACIÓN DE RIESGOS MAS CRITICOS DE ACUERDO A CRITERIO EXPERTO Se refiere a identificar riesgos, reuniendo a personal experto del proceso o departamento, y que describa o exponga, que riesgos son los que de acuerdo a su criterio son los más relevantes en el momento del levantamiento. Como se puede apreciar, es la forma más práctica y sencilla de iniciar a gestionar riesgos, mientras se va madurando o fortaleciendo el sistema, y tiene como objetivo focalizar o darle visibilidad a debilidades evidentes del día a día, basados en la experiencia de los actores principales del mismo, aprovechando ese conocimiento real vivido en su labor cotidiana. IDENTIFICACION Y EVALUACIÓN SISTEMATICA CON BASE EN EL PROCESO Este esquema se basa en un proceso más metódico que el anterior, que lleva más tiempo de trabajar, porque implica tener mapeado inicialmente el proceso a revisar, mediante flujogramas, manuales operativos, instrucciones, formales o informales que se manejen, y que sin tenerla no es posible realizar esta identificación de manera efectiva porque se pueden quedar vacíos o líneas grises en el análisis, por la falta de uso de esquemas visuales que apoyan el mismo. Luego de tener el proceso, el personal del área generadora del riesgo, inicia a analizar que riesgos se identifican en su operativa, que son los más relevantes en ella y que podría repercutir en acciones contraproducentes o negativas para la institución. Como se puede observar, la primera es práctica, rápida y sencilla, de iniciar con la obtención de información para la gestión de riesgos operativos, pero que requiere seguimiento posterior para ir aportando más datos o actualizaciones de información, hasta llegar a un punto en el tiempo, que se pueda indicar, se tienen todos los riesgos importantes de un departamento o proceso, mostrando ya rastros de mayor madurez.
60
La segunda forma requiere de más tiempo de trabajo, con la ventaja que es más completa de una sola vez (si es que se ejecuta adecuadamente), y se parece más al estado final de una gestión completa que se desea, que será el objetivo a alcanzar de esta o la otra forma. Cuando se identifican los riesgos, hay que verlos con la óptica de riesgo inherente, ósea, sin tomar en cuenta sus controles, con el objeto de tener realmente los riesgos que se consideran más relevantes, ya que sería inútil mapear riesgos de cada paso de una proceso, porque se tendrían demasiados, y una de las premisas básicas de la identificación es ubicar los riesgos importantes, para focalizar esfuerzos en estos y no en riesgos que de repente su mitigación no tiene una relación costo – beneficio positiva para la institución en base a su prioridad establecida, y la determinación de esta relevancia recae inicialmente en los expertos de las áreas. Una de las partes más complejas en la gestión de riesgos operativos es la de evaluar los riesgos identificados, ya que primero se requiere haber determinado los criterios con los que va a calificarlos, lo que se debió de hacer previamente, sin embargo, se expone en esta sección para efectos de una secuencia lógica del proceso operativo. Los dos componentes del riesgo son la probabilidad o vulnerabilidad, y la severidad o impacto. Para efectos de iniciar un esquema de evaluación práctico, se puede evaluar en función de la experiencia de quien está involucrado en el proceso y determina el grado de vulnerabilidad y severidad que considera tiene cada riesgo, en la escala que haya determinado la institución adoptar. Existe otra manera de evaluar tomando en cuenta criterios predefinidos para la vulnerabilidad y severidad, ya para quien desee pasar a un esquema mas metodológico, en donde, por cada componente de riesgo, se determina que criterios o características deben tener los mismos. En el caso de la severidad los criterios se orientan a categorías legales, regulatorias, monetarios, de continuidad del negocio, entre otros, debiendo crear sub criterios en cada una, con diferentes rangos y pesos, para poder escoger la severidad que más se acerque a la realidad si llegará a pasar un evento de riesgo. Por el lado de Vulnerabilidad es la misma mecánica, solo que los
61
criterios se orientan a los controles que se tiene o llevan a cabo en el proceso que involucra el riesgo. En este sentido, se requiere determinar que aspectos de los controles considera la institución, reflejan de mejor forma la vulnerabilidad que se tiene o no, por lo que es un análisis minucioso al respecto el que se debe realizar con anterioridad. Aquí hay aspectos básicos de control interno a considerar como la segregación de funciones, la existencia de controles en el proceso, la efectividad del mismo, que tan automatizado se opera en el proceso, el historial de incidentes que se tenga, los resultados de las revisiones al proceso o departamento, de las unidades de control a lo interno, las auditorías externas, el ente regulador u otras similares, la rotación del personal, entre otras, que pudieran escogerse como las más importantes para evaluar este componente. Como se aprecia ésta última forma es más compleja, pero más metodológica, por lo que si se analiza de manera adecuada, apunta de forma más objetiva que la del criterio de los expertos, sin embargo, igualmente se puede realizar una transición posterior del esquema inicial a este otro, e incluso, pudría ser más efectivo, después de haber recorrido alguna experiencia, pueden definirse mejor y claramente los criterios de cada componente con sus sub criterios y pesos para tomar una mejor ruta metodológica, con suficiente soporte para respaldar la evaluación que resulte. MITIGACION DE LOS RIESGOS OPERATIVOS Cuando se tiene determinado que riesgos superan los apetitos de riesgo definidos por la administración, y cuales no (mediante la evaluación), o lo que se denomina riesgo residual, el siguiente paso es atacar en la priorización que se defina, los riesgos que superan ese apetito, ya que, los que están por debajo, se pueden interpretar como que se encuentran bajo un control deseado o aceptable y/o que su impacto se pudiera tolerar, no significando que se dejan en el olvido, de allí la labor de las áreas especializadas
en
el
riesgo
operativo
para
estar
analizando
y
revisando
permanentemente este punto, junto con los coordinadores de riesgos y prácticamente
62
con todo el personal de la institución, para ajustar oportunamente cambios que se vayan presentando diariamente. En el proceso de trabajar mitigantes, es relevante el tema de los controles, ya que prácticamente se enfoca en fortalecer los mismos, para reducir la vulnerabilidad obtenida en la evaluación del riesgo, en otras palabras, cuando se evaluó el riesgo, basados en los controles, requerimos fortalecer los mismos para bajar la vulnerabilidad en la que está en un momento determinado y así reevaluar el riesgo posteriormente, con el objetivo de que su evaluación sea mejor. Sin embargo, este es un proceso en conjunto,
donde
los
departamentos
deben
de
autoevaluar
sus
controles
constantemente, y las áreas de control como Riesgos Operativos, Auditoría, Control Interno, etc., ratifican o validan en su respectivo campo el funcionamiento de estos y se produce el enfoque de gestión que se espera. Siguiendo con diferentes esquemas para este manejo, el más directo sigue siendo la experiencia o criterio experto de los departamentos, en donde, se definen tareas o actividades que permitan mitigar rápidamente algunas debilidades encontradas, con vistas inicialmente al fortalecimiento del control interno, análisis de transferencia de riesgos o hasta concluir el asumir el mismo, siempre y cuando se tengan análisis profundos de costo – beneficio para respaldar la decisión, así como, proyectos más complejos de cambios de procesos o tecnologías, que reduzcan o en algunos casos, eliminen el riesgo. Este es un momento de mucha reunión y discusión con los actores involucrados en los procesos, que se vuelven más fáciles, cuando se tiene conciencia y cultura de riesgos controles. De repente los mitigantes que se pueden tomar se trabajan en dos etapas, mitigantes temporales, con el fin de cerrar alguna brecha de manera inmediata, y junto, mitigantes a largo plazo, ya con los proyectos más pensados y coordinados, con enfoque al estado ideal que se desea, y así, tener una resolución rápida inmediata temporal, sin perder de vista y seguimiento el mitigante concreto y efectivo que se busca. Normalmente se da de esta forma, ya que los mitigantes de los riesgos se deben de visualizar integralmente y tocan diferentes aspectos de los procesos, que su implementación inmediata no es posible, de allí que se inicia con fortalecerlos controles actuales, para luego pasar a 63
mejoras sustanciales y grandes que implican muchos recursos, que deben de racionalizarse en torno a una gran cantidad de proyectos que se manejan en una institución. SEGUIMIENTO El seguimiento a todo este nuevo enfoque de gestión se ejecuta con personal calificado en áreas específicas para ello, por lo que en las instituciones financieras existen departamentos que realizan esta labor, y que se enfocan en la administración del riesgo operativo, a veces manejando otros tipos de riesgo, tal y como se refleja en encuesta realizada a personas encargadas de gestionar riesgo operativo, donde el 75% de los consultados indicaron que también gestionar otro tipo de riesgos como son el de crédito, mercado, legal, entre otros, ver figura 15, lo que indica que se desea tener una visión integral de todos los riesgos para poder mejorar el análisis y la toma de decisiones, y mucho más porque algunos de estos riesgos están relacionados y el mitigar uno de ellos aporta a mitigar otro.
Tabla 13 ¿Gestiona otros riesgos además del riesgo operativo? Respuesta SI NO
Cantidad 6 2
Porcentaje 75% 25%
Fuente: Elaboración propia
64
Figura 15 Gráfico sobre gestión de otros riesgos Fuente: Elaboración propia
El seguimiento implica el estar realizando validaciones de la ejecución del proceso de gestión de riesgos operativos, y al ser una labor que se esparce por todos los departamentos de la institución, requiere de una cantidad importante de recursos humanos, a diferencia del seguimiento a otros riesgos, donde su fuente se circunscribe a un departamento o proceso, por lo que puede ser monitoreado con menos recurso. Sin embargo, como es natural, en los inicios de la implementación, se van creando las herramientas,
los
procesos,
la
capacitación,
las
primeras
identificaciones
y
evaluaciones de riesgo, lo que puede permitir ir madurando estos esquemas, para luego, poco a poco, ir ajustando a metodologías mas objetivas, a la par de la presentación y obtención de resultados del esquema inicial, siendo más fácil concretar nuevos recursos. Es importante el definir un esquema de evaluación de la gestión de riesgos operativos, que se oriente a revisar y validar como cada departamento de la institución gestiona los riesgos, esto permite que la cultura se vaya impregnando cada vez más, y es el medio para medir resultados en torno a la misma, sino se tiene este esquema es muy complejo evaluar si se está llevando a cabo bien o mal la gestión, por lo que una de las acciones en este sentido, junto a los criterios a evaluar, es la de proponer que los resultados de la misma formen parte de un esquema de evaluación de los Gerentes, Jefes y básicamente todo el personal, definiendo claramente los factores a cada uno en base a sus responsabilidades, lo que fortalece el sistema, y concordante con resultado 65
de pregunta de encuesta al respecto, donde el 91% si evalúan a las áreas. Ver figura 16. Tabla 14 ¿Se evalúa la gestión de riesgo operativo de todos los departamentos, diferente a la que pudiera realizar la Auditoría Interna por sus evaluaciones a los controles? Respuesta SI NO
Cantidad 10 1
Porcentaje 91% 9%
Fuente: Elaboración propia
Figura 16 Gráfico sobre si se evalúa la gestión de riesgo operativo en todos los departamentos Fuente: Elaboración propia
Las áreas que administran el riesgo operativo deben manejar dos líneas de interacción básicas, que según su grado de eficiencia, impactan directamente en los resultados de la gestión, y su manejo adecuado es fundamental para los objetivos trazados. Estas líneas son:
Con Unidades Funcionales o Departamentos en General
Con áreas de Control de la organización 66
CON UNIDADES FUNCIONALES O DEPARTAMENTOS EN GENERAL Relación natural y directa entre la unidad que administra este riesgo y los diferentes puntos fuentes de riesgos operativos, donde se requiere una comunicación permanente para orientar y validar la identificación, evaluación y mitigación que se haya definido, ósea, requiere una interacción con los Gerentes, Jefes, mandos medios y Coordinadores de la gestión de riesgo operativo del área de manera continua, incluso con el resto del personal de cada departamento, cuando se valida o evalúa como gestionan el riesgo según parámetros previamente definidos. Esta comunicación se debe de orientar a un enfoque de asesoría más que a uno revisor. Los departamentos deben de percibir que reciben un apoyo o ideas de cómo fortalecer los controles y mejorar sus procesos, y no una especie de auditor, y es que realmente, las primeras son en sí, la orientación que debe tener el personal especialista de las unidades de riesgo operativo, siempre con equilibrio, para que todo fluya de manera normal y sea una labor de equipo, más que una labor de cumplimiento obligatorio para los departamentos, ya que si se percibe de esta forma no se obtienen los mejores resultados y pueden ser frustrante para ambas partes. CON ÁREAS DE CONTROL DE LA ORGANIZACIÓN Otra dirección interesante de comunicación, es la que se debe tener con departamentos de control de la institución, que por su misma actividad se vuelven fuente generadora de información de riesgos que las áreas de riesgos operativos no han captado por una u otra razón, y el cruce de datos es crucial para volver la obtención de resultados más apegados a lo esperado, sin embrago, esto es un proceso gradual, donde poco a poco se dan los acercamientos, y se genera muchísima información enriquecedora para el conocimiento de las partes, permitiendo estar en constante análisis de los cambios que se dan en el entorno operativo de cada área, e incluso es beneficioso en el sentido de coordinar el trabajo de campo que cada área realiza, donde normalmente se revisa lo mismo, solo que con enfoques o alcances distintos, y que de no hacerlo, repercute en dobles revisiones y tiempo de atraso para el revisor y revisado.
67
Con Auditoría Interna y Control Interno se valora el compartir hallazgos de sus auditorías, donde la información valiosa radica en las opiniones sobre los controles que ellos revisan, este dato sirve para, revisar si la evaluación del riesgo, realizada por los departamentos es correcta, y para seguir inventariando los controles de los procesos, confirmar ajustes a los mismos o nuevos controles que pudieron crearse sin conocimiento del área de riesgos operativos. Ahora bien, el área de riesgos operativos también debe de brindar la información de los riesgos y controles que valida, para que Auditoría Interna pueda tomarlos como apoyo en sus actividades, es un proceso de intercambio constante, que permite ir viendo cambios de manera oportuna. Otra área con la que se puede obtener información importante para la gestión, es la de Recursos Humanos, la cual normalmente maneja datos sobre el personal como son; controles sobre audiencias de descargo, indicadores de incumplimiento de vacaciones, puestos críticos, entre otro tipo de información, que se vuelve un insumo para descubrir o determinar nuevos riesgos operativos que se puedan estar suscitando, permitiendo anticipar acciones para mitigar o evitar su agudización, por lo que es importante el sentarse con esta área y conocer que datos relevantes se pueden usar para descubrir debilidades. Algunas instituciones cuentan con unidades enfocadas en la revisión de procesos internos, y son otra gran fuente de información referente a debilidades o fallas en los procesos, o incluso, solo por el ajuste a mejoras en los mismos, permite de forma paralela, tener el dato para analizar los riesgos que se pudieran eliminar o agregar derivado del cambio, y verificar si los departamentos le dan un adecuado mantenimiento a la gestión, ya que son ellos los responsables directos de la misma. Recordar que el proceso es la base para gestionar los riesgos operativos, por lo tanto es esencial la información que esta área nos puede proporcionar para anticiparnos a nuevos riesgos que pudieran surgir. Con áreas como Legal y Cumplimiento también se debe de coordinar información, ya que éstas unidades administran todo el tema legal y regulatorio de la institución, por lo que generan un flujo importante de conocimiento sobre riesgos relacionados, ya que si bien es cierto son temas legales o regulatorios, normalmente son generados por un 68
tema operativo inicialmente, que luego abarcan de forma más amplia los aspectos antes indicados. Aquí se cuenta don datos de demandas de clientes y empresas hacia la institución o viceversa, de los mismos empleados incluso, que al analizar su causa generan ilustración de riesgos operativos suscitados, igual ocurre con los temas regulatorios, donde se estima conocer incumplimientos normativos que son riesgos operativos también. Como se pretendió exponer, sin indicar que solo con estas áreas se pueden buscar información, existen diversas unidades que con un buen sistema de comunicación, potencia el conocimiento de los puntos débiles existentes en una institución, y que de acuerdo a la oportunidad con que se realice, es un punto clave para gestionar de forma práctica el riesgo operativo, manteniendo contacto permanente con áreas que reciben los eventos de riesgo para su análisis o ejecución, de los diferentes departamentos, ya que las unidades de riesgo operativo no reciben por sí sola la información, sino, que implica el buscarla en los lugares fuente, de aquí que el esquema de gestionar riesgo conlleva otro enfoque para obtener mejores resultados.
69
CONCLUSIONES Y RECOMENDACIONES Después de analizar el fenómeno planteado, junto con los resultados de entrevistas, encuestas y documentación consultada al respecto, se plantean las conclusiones y recomendaciones en respuesta a las preguntas de investigación y objetivos. V.1. CONCLUSIONES 1. Cada institución del sistema financiero ha adoptado diferentes esquemas para gestionar el riesgo operativo, fundamentado en experiencia y criterio de cada encargado de esta labor, ya que no se tiene una fuente específica y clara a un nivel de detalle, que oriente de forma directa, por lo que se presenta una guía para informar y generar conocimiento a los involucrados con este riesgo, sobre cómo implementar una gestión de forma práctica inicial, que permita obtener resultados tangibles inmediatos, que luego, con la madurez que se vaya adquiriendo, poder realizar una transición a esquemas metodológicos mas estructurados. 2. Se presenta un esquema práctico de implementación de una gestión de riesgo operativo, que se desarrolla en base a criterio experto, pero con datos adicionales de cómo y con quienes realizarlo, así como, que fuentes de información se pueden utilizar para lograr ser más efectivo en sus resultados. También se expone la forma de seguimiento a ejecutar, orientada a la medición continua por medio de evaluaciones permanentes a los departamentos, y la manera de transición a esquemas metodológicos mas objetivos, por cada etapa trascendental de la gestión, como son; a) la identificación, b) la evaluación, y c) la mitigación. 3. Se describen prácticas y mecanismos de interacción para una mejor gestión, tanto con los departamentos generadores de riesgos operativos, como con las áreas de control a lo interno de la institución, que permiten, de acuerdo a su cumplimiento, ser proactivos en la detección de riesgos operativos, y por ende, en la mitigación oportuna de los mismos, mostrando que la interacción entre estas unidades es básica y primordial para obtener mejores resultados y evitar confusiones
70
innecesarias o labores duplicadas, que merman la imagen positiva que se debe crear en su entorno para seguir fortaleciendo la cultura de riesgo y control que se pretende impulsar. 4. Existen factores que afectan de manera positiva o negativa, dependiendo el grado de esfuerzo o empeño con que se ejecuten, de los cuales, el apoyo de la administración superior y la cultura organizacional son primordiales para obtener buenos resultados, y que sin su completa disposición inicial, hacen inútil cualquier esfuerzo a realizar, pudiendo volverse contraproducente para el entorno, generando un mensaje erróneo al personal, y que juega totalmente en contra de los intereses institucionales. V.2. RECOMENDACIONES 1. Desarrollar estudios metodológicos colegiados institucionales a nivel del sistema financiero relacionados a la capacitación y elaboración de estándares prácticos locales, que sirvan para generar mayor conocimiento del tema y facilitar la labor compleja que gestionar riesgos operativos implica, tanto para quienes son fuente de los riesgos, como para los que la administran, y que dependiendo su claridad, impacta al final de manera particular, en los resultados financieros institucionales. 2. Crear por medio de mecanismos de comunicación formales a nivel del sistema financiero,
intercambio
de
experiencias
que
enriquezcan
los
esquemas
operacionales en la administración y manejo de la gestión, no significando esto el divulgar información confidencial, ya que cada institución la maneja de acuerdo a su tamaño, geografía que atiende, productos o servicios que ofrece, entre otros, pero que sin embargo, pueden exponer las actividades o mejores prácticas para que se trabaje en torno a un mismo enfoque, con características internas diferentes. 3. Fomentar la coordinación e interacción entre los departamentos y unidades de control a lo interno de las instituciones, ya que con ella se obtienen mejores resultados preventivos y permite mayor efectividad en las labores de los entes de
71
control, focalizando esfuerzos conjuntos con mayor orden de distribución de tareas de cada uno de ellos. 4. Tener siempre identificados los factores que apoyan la gestión, y conocer su grado de apoyo, para poder revitalizarlo sin permitir que disminuyan, como una de las claves principales en la obtención de mejores resultados, lo que implica mucho trabajo de comunicación y coordinación constante entre quien administra la gestión y todos los actores del entorno a la misma, y saber visualizar esos cambios anticipadamente para no generar brechas importantes que debiliten lo que se haya conseguido hasta un momento dado.
72
APLICABILIDAD Este capítulo describe la forma de aplicar la propuesta en cualquier organización financiera de una forma práctica, con un enfoque lógico de implementación, más que con un cronograma de fechas específicas para ello, ya que este trabajo está orientado a aportar información sobre un tema nuevo poco tratado formalmente, que requiere generar nuevo conocimiento para que sirva de apoyo en la vida laboral diaria de quienes se relacionan con la gestión de riesgo operativo. La aplicabilidad depende de cada institución, no puede existir una receta particular, por lo que esta propuesta contiene las variables a tomar al momento de implementar la gestión, y su nivel de adaptabilidad recae en los análisis que cada experto considere. VI.1. TITULO Propuesta para implementar un gestión de riesgo operativo práctica VI.2. INDICE Introducción Objetivos Desarrollo de la propuesta VI.3. INTRODUCCION En el gráfico 18 se visualiza una guía a seguir para implementar una gestión práctica de riesgo operativo, donde se muestran las acciones principales que se recomiendan ejecutar, la no recomendada, y las alternativas, que depende de la decisión que cada institución deseará ejecutar en función de sus intereses, siempre aclarando que las acciones alternativas son un estado ideal futuro, que siempre habrá que buscar, pero que para iniciar este nuevo enfoque, arranca con acciones básicas principales, y que luego de madurarlas, se recomienda ir realizando la transición a las indicadas.
73
VI.4. OBJETIVOS
Guiar a los encargados de gestionar riesgos operativos en las instituciones financieras, para adoptar un mecanismo práctico de implementación de la gestión.
Aportar conocimientos que pueden ser puestos en práctica o reforzados por quienes gestionan riesgos operativos.
VI.5. DESARROLLO DE LA PROPUESTA Se expone que para desarrollar la propuesta se requiere que la administración superior conozca los beneficios que aporta el gestionar riesgo operativo, y que existen mecanismos prácticos que se pueden llevar a cabo, con el fin de ir obteniendo resultados visibles inmediatos, mientras se pasa a esquemas metodológicos más robustos, ya que los riesgos operativos son inherentes a la actividad que desarrolla el sector, por lo que los mismos siempre han estado, están y seguirán estando presentes en las actividades de las instituciones financieras. VI.6. CRONOGRAMA DE APLICACION No se define un cronograma con fechas o tiempos determinados, ya que gestionar riesgos operativos es un proceso que depende de muchos factores institucionales y humanos, donde su aplicación es gradual, y no hay fechas óptimas específicas para este esquema, porque cada institución define el grado de tiempo que deseé, y en donde lo esencial es tener clara la ruta a seguir, que es lo que se plantea en este trabajo.
74
VI.7. DIAGRAMA
Figura 17 Diagrama de aplicabilidad Fuente: Elaboración propia
75
VI.8. CONCORDANCIA En la siguiente tabla se muestran el hilo conductor del trabajo realizado. Tabla 15 Verificación de la concordancia Objetivo Título
Conclusiones General
Recomendaciones
Específico Se
presenta
un
esquema
práctico de implementación de una gestión de riesgo operativo, Elaborar
un
esquema
quienes realizarlo, así como, que fuentes de información se
una
pueden utilizar para lograr ser
base
implementación de una gestión de riesgo operativo práctica
de comunicación formales a nivel del sistema financiero, intercambio de experiencias que enriquezcan los esquemas operacionales en la administración y manejo de la gestión
más efectivo en sus resultados.
metodológica
Propuesta para
criterio experto, pero con datos adicionales de cómo y con
operacional Proponer
que se desarrolla en base a
Crear por medio de mecanismos
práctica para la
Fomentar
gestión
interacción
de
riesgo operativo, mediante guía
Explicar mejores una
estándar
prácticas mecanismos
y de
de
interacción entre
implementación
todos los actores
que
en la gestión
permita
Se
describen
prácticas
y
mecanismos de interacción para una mejor gestión, tanto con los departamentos generadores de riesgos operativos, como con las áreas de control a lo interno de la institución
obtener mejores
la
coordinación entre
departamentos
y
control
interno
a
lo
e los
unidades de
de las
instituciones, ya que con ella se obtienen preventivos
mejores y
resultados
permite
mayor
efectividad en las labores de los entes
de
control,
focalizando
esfuerzos conjuntos con mayor
resultados para
orden de distribución de tareas de
las instituciones
cada uno de ellos.
y sostenible en
Existen factores que afectan de
el tiempo
manera Indicar
que
positiva
dependiendo
o
el
negativa, grado
de
Tener siempre identificados los
factores
esfuerzo o empeño con que se
factores que apoyan la gestión, y
impactan positiva
ejecuten, de los cuales, el apoyo
conocer su grado de apoyo, como
y negativamente
de la administración superior y la
una de las claves principales en la
a la gestión
cultura
obtención de mejores resultados
organizacional
primordiales
para
son obtener
buenos resultados
Elaboración: Fuente propia
76
BIBLIOGRAFÍA 1.
AMP & Associates. (3 de Noviembre de 2010). Seminario Taller de Riesgo Operativo. Gestión del Riesgo Operativo. Desafíos para la alta administración. Tegucigalpa, Francisco Morazán, Honduras.
2.
ASBA. (Febrero de 2009). Riesgo Operacional en Instituciones Bancarias. Obtenido de Asociación de Supervisores Bancarios de las Américas.
3.
Asobancaria. (2011). Cuatro años de administración del riesgo operacional en Colombia. Semana Económica, 15.
4.
Bank for International Settlements. (05 de Mayo de 2014). Bank for International Settlements. Obtenido de Bank for International Settlements: http://www.bis.org/about/index.htm
5.
Comité de Supervisión Bancaria de Basilea. (2004). Buenas prácticas para la Gestión y supervisión del riesgo operativo. Suiza: Banco de Pagos Internacionales.
6.
Comité de Supervisión Bancaria de Basilea. (2004). Convergencia internacional de medidas y normas de capital. Basilea: Banco de Pagos Internacionales.
7.
Ferguson, C. (Dirección). (2010). Inside Job [Película].
8.
Fernández, A. (2007). La gestión del riesgo operacional: de la teoría a su aplicación. Madrid: Ediciones 2010, S.L.
9.
Fernández, A., & Martinez, F. (2007). El riego operacional como desafío para las entidades financieras. Estudio empírico del caso español. Revista Europea de Dirección y Economía de la Empresa, 111-128.
10.
Giménez-Montesinos, M. Á. (2005). El tratamiento del riesgo operacional en Basilea II. Estabilidad Financiera, 195.
11.
Herrero, A. (05 de Mayo de 2014). Fundación MAPFRE. Obtenido de Fundación MAPFRE: http://www.fundacionmapfre.org/fundacion/es_es/ciencias-delseguro/publicaciones/cuadernos-fundacion/cuadernos-recientes/riesgooperacional-marco-solvencia.jsp
12.
Laski, J. (2009). Herramientas modernas para la gestión organizacional: controles internos y gestión de procesos. LibrosEnRed.
13.
Rodriguez, N., & Corbetta, C. (2007). La administración del riesgo operacional. Más allá del requerimiento regulatorio. CEO Argentina, 40.
77
ANEXOS
78
ANEXO 1
79
ANEXO 2
ENCUESTA 1 Buen día, soy estudiante de la Maestría en Finanzas de la Universidad Tecnológica Centroamericana (Unitec); la presente encuesta es para conocer su percepción, respecto a los elementos que impactan en una gestión eficiente de riesgo operativo. (Referencia: Resolución SB No. 1321/02-08-2011 de la CNBS) De ante mano agradezco su valiosa colaboración al llenar esta encuesta. 1. ¿La institución para cual labora es parte de una entidad internacional? Sí (
)
No (
)
2. ¿Gestiona otros riesgos además del riesgo operativo? Sí (
)
No (
)
Si su respuesta es sí, indique los otros riesgos que gestiona: _________________________________________________________________ _________________________________________________________________ 3. ¿En qué año se inició a gestionar el riesgo operativo en su institución? Año: ______
4. ¿A esta fecha, ya implementó completamente la normativa local sobre gestión de riesgo operativo? Sí (
)
No (
)
80
5. ¿Requirió los servicios de una empresa consultora o externa (no de su institución) para iniciar el proceso de implementación de gestión de riesgos operativos? Sí (
)
No (
)
6. ¿Fue o ha sido fácil implementar la gestión de riesgo operativo en la institución? Sí (
)
No (
)
7. ¿Fue o ha sido fácil la asimilación del enfoque de gestión de riesgo operativo en la cultura organizacional de la institución? Sí (
)
No (
)
8. ¿Tuvo acceso a material de apoyo que le explicara al detalle como iniciar a implementar una gestión de riesgo operativo en la institución que labora? Sí (
9. La
)
No (
gestión
de
)
riesgo
operativo
que
administra
¿es
centralizada
o
descentralizada? a. Centralizada: Solo la maneja y administra la unidad de Riesgos o su equivalente b. Descentralizada: Además de la Unidad de Riesgos, existe una o mas figuras (empleados a cualquier nivel) en cada departamento de toda la estructura organizativa que tiene como parte de sus funciones, la de coordinar la gestión dentro de su área siguiendo una metodología específica. Centralizada (
)
Descentralizada (
)
81
10. El gestionar riesgo operativo, ¿es calificado a cada empleado de cada Unidad o Departamento, desde niveles inferiores hasta el superior, mediante algún sistema o mecanismo de evaluación por el adecuado cumplimiento de la misma? Sí (
)
No (
)
11. ¿Existe comunicación e intercambio de información formal entre todos los órganos de control de la institución (Auditoría Interna, Riesgos, Control Interno, Cumplimiento, etc.) sobre los riesgos y controles que evalúan cada uno en forma independiente? Sí (
)
No (
)
12. ¿Cada cuanto tiempo se realiza esta comunicación formal? Diaria (
)
Semanal (
)
Quincenal (
)
Mensual (
)
Otra periodicidad (Indique): _____________________________________
13. ¿Porqué canal se realiza esta comunicación? Reunión de áreas ( Comités (
)
Alguna aplicación o herramienta (
)
)
Otro canal (Indique): ___________________________________________ 14. ¿Cuenta con una herramienta tecnológica (diferente a las de MS Office) que permita inventariar los eventos o incidentes que ocurren diariamente? Sí (
)
No (
)
15. ¿En la práctica, considera que cuenta con el apoyo y conocimiento de todo el personal de la institución con el enfoque de riesgo operativo para implementar la gestión más fácilmente? Sí (
)
No (
)
Se requiere más cultura de riesgo (
)
82
16. ¿Ha recibido capacitación interna o externa sobre gestión de riesgos operativos específicamente? Sí (
)
No (
)
17. Los contenidos de las capacitaciones a las que ha asistido para riesgo operativos, llenan sus expectativa? (Son profundas en detalle) Explique su respuesta. Si (
)
No (
)
18. ¿Considera que la capacitación recibida en gestión de riesgo operativo es suficiente para llevarla a cabo de manera eficiente? Sí (
)
No (
)
19. ¿Se capacita a todo el personal en gestión de riesgos operativos? (se refiere a todas las unidades, no solo a la unidad de Riesgos) Sí (
)
No (
)
20. ¿La administración de la gestión de riesgo operativo la realiza una unidad especializada en Riesgos o la ejecuta otra unidad de control similar como puede ser Auditoría Interna, Control Interno, Cumplimiento, etc.? Sí (
)
No (
)
21. ¿Se evalúa la gestión de riesgo operativo de todos los departamentos? (diferente a la que pudiera realizar la Auditoría Interna por sus evaluaciones a los controles) Sí (
)
No (
)
83
22. ¿La evaluación a la gestión de riesgo operativo se realiza permanentemente? Sí (
)
No (
)
23. ¿Considera que la normativa local de gestión de riesgos operativos da suficiente información como para implementar una metodología interna que no requiere mas conocimientos a detalle para operar la misma? Sí (
)
No (
)
24. ¿En los seminarios o talleres sobre gestión de riesgo operativo ha recibido una orientación clara sobre como se vuelve operativa en la práctica una gestión completa de riesgo operativo? Sí (
)
No (
)
25.¿Según su experiencia, ¿Qué factores considera afectan, retrasan u obstaculizan una gestión de riesgo operativo? Indíquelos.
26.¿Según su experiencia, ¿Qué factores considera mejoran o vuelven más eficiente una gestión de riesgo operativo? Indíquelos.
84
ENCUESTA 2 Buen día, soy estudiante de la Maestría en Finanzas de la Universidad Tecnológica Centroamericana (Unitec); la presente encuesta es para conocer su percepción, respecto a los elementos que impactan en una gestión eficiente de riesgo operativo. (Referencia: Resolución SB No. 1321/02-08-2011 de la CNBS) De ante mano agradezco su valiosa colaboración al llenar esta encuesta. 1. ¿Conoce desde que año se gestiona riesgo operativo en el sistema financiero Hondureño? Indicar el año. Sí (
)
No (
)
Año _____
2. ¿A esta fecha, cree que ya se ha implementado completamente la normativa local sobre gestión de riesgo operativo en todo el sistema financiero? Sí (
)
No (
)
La minoría (
)
La mayoría (
)
3. De acuerdo a su conocimiento, ¿las instituciones financieras del país contrataron servicios de empresas consultoras o externas (no de su institución) para iniciar el proceso de implementación de gestión de riesgos operativos? Sí (
)
No (
)
La minoría (
)
La mayoría (
)
4. ¿Considera que fue o ha sido fácil implementar la gestión de riesgo operativo en las instituciones del sistema financiero nacional? Sí (
)
No (
)
85
5. Según su conocimiento, ¿Cómo se administra en el sistema financiero la gestión de riesgo operativo, centralizada o descentralizada? a. Centralizada: Solo la maneja y administra la unidad de Riesgos o su equivalente b. Descentralizada: Además de la Unidad de Riesgos, existe una o mas figuras (empleados a cualquier nivel) en cada departamento de toda la estructura organizativa que tiene como parte de sus funciones, la de coordinar la gestión dentro de su área siguiendo una metodología específica. Centralizada (
)
Descentralizada (
)
6. De acuerdo a su conocimiento, las instituciones del sistema financiero nacional califican la gestión de riesgo operativo, de los empleados de cada Unidad o Departamento, desde niveles inferiores hasta el superior, mediante algún sistema o mecanismo de evaluación por adecuado cumplimiento de la misma? Sí (
)
No (
)
La minoría (
)
La mayoría (
)
7. Percibe que existe comunicación e intercambio de información formal entre todos los órganos de control de las instituciones (Auditoría Interna, Riesgos, Control Interno, Cumplimiento, etc.) sobre los riesgos y controles que evalúan cada uno de ellos de forma independiente? Sí (
)
No (
)
La minoría (
)
La mayoría (
)
8. ¿Porqué canales conoce se realiza esta comunicación (numeral 7)? Reunión entre áreas ( Comités (
)
Alguna aplicación o herramienta (
)
)
Otro canal (Indique): ___________________________________________
86
9. ¿Todas las instituciones cuentan con una herramienta tecnológica (diferente a las de MS Office) que permita inventariar los eventos o incidentes que ocurren diariamente? Sí (
)
No (
)
La minoría (
)
La mayoría (
)
10. En la práctica, ¿considera que en las instituciones se cuenta con el apoyo y conocimiento de todo el personal con el enfoque de riesgo operativo para implementar la gestión más fácilmente? Sí (
)
No (
)
Se requiere más cultura de riesgo (
)
11. ¿Considera que ha existido suficiente capacitación interna o externa sobre gestión de riesgos operativos en las instituciones financieras? Sí (
)
No (
)
La minoría (
)
La mayoría (
)
12. ¿Se capacita a todo el personal en gestión de riesgos operativos, de las instituciones financieras? (se refiere a todas las unidades, no solo a la unidad de Riesgos) Sí (
)
No (
)
La minoría (
)
La mayoría (
)
13. ¿La administración de la gestión de riesgo operativo la realiza una unidad especializada en Riesgos en las instituciones financieras? Sí (
)
No (
)
La minoría (
)
La mayoría (
)
14. ¿Es evaluada la gestión de riesgo operativo de todos los departamentos en las instituciones financieras? (diferente a la que pudiera realizar la Auditoría Interna por sus evaluaciones a los controles) Sí (
)
No (
)
La minoría (
)
La mayoría (
)
87
15. ¿Qué grado de conocimiento considera se tiene en el sistema financiero sobre gestionar riesgos operativos a detalle? De 0 – 20 De 21 a 40 De 41 a 60 De 61 a 80 Más de 80
16.¿Según su experiencia, ¿Qué factores considera afectan, retrasan u obstaculizan una gestión de riesgo operativo en las instituciones financieras? Indíquelos.
17.¿Según su experiencia, ¿Qué factores considera mejoran o vuelven mas eficiente una gestión de riesgo operativo en las instituciones financieras? Indíquelos.
88