riesgo coorporativo
DESCRIPTION
RiesgoTRANSCRIPT
LAS FINANZAS Y LA EMPRESA
Por definición, las empresas de negocios –o simplemente empresas- son entidades cuya función primordial es producir bienes o servicios y la rama de las finanzas que se ocupa de las decisiones financieras de las empresas se llama finanzas corporativas o empresariales.
Siendo la meta de administración de las empresas modernas “la maximización de la riqueza de los accionistas”, se puede afirmar que esta se logra a través de las decisiones que mayormente son decisiones financieras.
¿Por qué decisiones financieras? Porque las decisiones financieras poseen dos características: 1) se distribuyen a lo largo del tiempo, 2) generalmente no son conocidos con anticipación por los encargados de tomar decisiones ni por nadie más. Por ejemplo, para tomar la decisión de establecer su propio restaurante, es necesario que compare los costos (como la inversión para acondicionar el local y la compra de estufas, mesas sillas, cuadros alusivos y demás equipo que necesitará) con los beneficios inciertos (las utilidades futuros) que espera obtener durante varios años.
La decisión primigenia que se debe tomar en una empresa es: ¿a qué negocios es dedicará? Esto se denomina Planeación estratégica y debido a que esta incluye la evaluación de la distribución de los costos y beneficios a través del tiempo, se puede afirmar, que mayormente es un proceso de toma de decisiones financieras.
Decisiones financieras en la empresa:
1. Una vez que los directivos de la empresa han decidido a que negocio se dedicaran, deben preparar un plan de adquirir fábricas, maquinaria, laboratorios de investigación, salones de exhibición, almacenes y otros activos de larga vida, y capacitar al personal que los operará, esto se conoce como proceso de elaboración del presupuesto de capital. La unidad básica de análisis en la elaboración del presupuesto de capital es el proyecto de inversión.
2. Decididos los proyectos a emprender, la empresa debe determinar cómo financiarlos, siendo su unidad de análisis en la decisión de la estructura de capital, la empresa en su conjunto. El punto de partida para tomar esta decisión es la determinación de un plan factible para la empresa. Una vez terminado este plan, el paso que sigue es decidir la mezcla óptima de financiamiento. La estructura de capital de una compañía determina quienes se beneficiaran, y en qué proporción, de los flujos de efectivo futuros.
3. La administración del capital de trabajo es sumamente importante para el éxito de la empresa. Los directivos deben preocuparse por cobrar a sus clientes, pagar las facturas al vencimiento y en general, administrar el flujo de efectivo para asegurar que los déficits producto de las operaciones sean financiados y que los superávit de flujo de efectivo se inviertan de una manera eficiente para obtener buenos rendimientos.
1
DECISIONES DE FINANZAS
EN LAS EMPRESAS
Presupuesto de
Capital
Estructura de
Capital
Adm. Capital
de Trabajo
Elaboración: J. Hennings
DECISIONES DE PRESUPUESTO DE CAPITAL (INVERSION)
La decisión de inversión es muy importante porque se toma para crear valor o riqueza.
El financista tiene como primera función decidir todo lo relacionado con la inversión y el uso de fondos que tiene a su disposición. Invertirá considerando distintas variables, como montos, rentabilidad esperada, nivel de riesgo, etc.
Para invertir en un proyecto, el Gerente de Finanzas utiliza una serie de herramientas, entre las que se cuentan los sistemas de costeo, presupuestos, la matemática financiera (para el cálculo del Valor Presente Neto, la tasa interna de Retorno, el Período de Recuperación del Capital, etc.) microeconomía y macroeconomía, entre otros.
DECISION DE ESTRUCTURA DE CAPITAL (FINANCIAMIENTO)
El administrador financiero deberá determinar cuál es la mejor mezcla de financiamiento o estructura del capital.
La empresa tiene básicamente tres fuentes de financiamiento:
Recursos propios o autogenerados de la actividad cotidiana
Recursos aportados por los accionistas como aporte de capital.
Recursos obtenidos de terceros.
DECISION DE ADMINISTRACIÓN DEL CAPITAL DE TRABAJO
Muy importante, ya que los mejores planes a largo plazo pueden malograrse si los directivos no prestan atención a los asuntos financieros cotidianos de los negocios. Incluso en una empresa exitosa y en crecimiento, las entradas y salidas de efectivo podrían no estar bien cocinadas, generando dificultades operativas y mayores costos financieros que afectaran a los resultados del negocio y podrían poner en peligro el futuro de la empresa.
2
Es importante añadir, que las opciones que la empresa elige en todas las áreas de la toma de decisiones financieras (inversión, financiamiento y administración del capital de trabajo) dependen de su tecnología y del entorno regulatorio, fiscal y competitivo en el que se desenvuelven. Las opciones relativas a la política también son sumamente interdependientes.
Finalmente, se puede afirmar que la combinación óptima de estas tres decisiones financieras, maximizará el valor de la empresa para los accionistas.
FUNCIONES BASICAS DEL GERENTE FINANCIERO.
La inversión de fondos en activos . Estas decisiones determinan el tamaño de la empresa, sus utilidades de operación, el riesgo del negocio y su liquidez.
Obtener la mejor mezcla de financiamiento y dividendos en relación con la valuación global de la empresa.
Administrar las operaciones vinculadas a los activos y pasivos corrientes (el corto plazo) de la empresa, a fin se desarrolle con eficiencia y eficacia las actividades cotidianas de la organización.
Estas decisiones determinan los cargos financieros de la empresa y su riesgo financiero, los que repercuten en la valuación de la organización.
OBJETIVO FINANCIERO EN LA EMPRESA
El objetivo financiero de la empresa es MAXIMIZAR los valores (riqueza) de los accionistas.
Una eficiente gestión del área de Finanzas en los tres puntos mencionados anteriormente, permitirá a la Empresa obtener resultados positivos; la misma que beneficiará también a sus accionistas.
Para el logro de los objetivos anteriores, es de vital relevancia para las empresas, la Gestión de Riesgos, y a la vez conocer el porqué del auge y el surgimiento de esta importante disciplina.
Las empresas y compañías, en general, operan en ambientes cambiantes y de alto nivel competitivo, caracterizados por factores tales como: mayor índice de globalización en los negocios, incremento del uso de tecnología de información, reestructuraciones organizativas y reingeniería de los procesos, constantes cambios en los mercados y la competencia, crea un nivel de riesgo e incertidumbre.
La Gestión de Riesgos, es un proceso a través del cual, se pretende lograr una reducción de los niveles de riesgo existentes en la entidad y fomentar procesos de construcción de nuevas oportunidades de producción y administración desde su diseño, que garanticen condiciones de seguridad para el futuro. Como proceso, la Gestión de Riesgos no puede existir como una práctica, actividad o acción aislada. Más bien, debe ser considerada como un componente íntegro y funcional del proceso de gestión del desarrollo global, sectorial, territorial, urbano, local, comunitario o familiar.
La premisa subyacente en la gestión de riesgos corporativos es que las entidades existen con el fin último de generar valor para sus grupos de interés. Todas se enfrentan a la ausencia de certeza y el reto para su dirección es determinar cuánta incertidumbre se puede aceptar mientras se esfuerzan en incrementar el valor para sus grupos de interés.
3
La incertidumbre implica riesgos y oportunidades y posee el potencial de erosionar o aumentar el valor. La gestión de riesgos corporativos permite a la dirección tratar eficazmente la incertidumbre y sus riesgos y oportunidades asociados, mejorando así la capacidad de generar valor.
Se maximiza el valor cuando la dirección establece una estrategia y objetivos para encontrar un equilibrio óptimo entre los objetivos de crecimiento y rentabilidad y los riesgos asociados, además de desplegar recursos eficaces y eficientes a fin de lograr los objetivos de la entidad.
La gestión de riesgos corporativos incluye las siguientes capacidades:
Alinear el riesgo aceptado y la estrategia
En su evaluación de alternativas estratégicas, la dirección considera el riesgo aceptado por la entidad, estableciendo los objetivos correspondientes y desarrollando mecanismos para gestionar los riesgos asociados.
Mejorar las decisiones de respuesta a los riesgos
La gestión de riesgos corporativos proporciona rigor para identificar los riesgos y seleccionar entre las posibles alternativas de respuesta a ellos: evitar, reducir, compartir o aceptar.
Reducir las sorpresas y pérdidas operativas
Las entidades consiguen mejorar su capacidad para identificar los eventos potenciales y establecer respuestas, reduciendo las sorpresas y los costes o pérdidas asociados.
Identificar y gestionar la diversidad de riesgos para toda la entidad
Cada entidad se enfrenta a múltiples riesgos que afectan a las distintas partes de la organización y la gestión de riesgos corporativos facilita respuestas eficaces e integradas a los impactos interrelacionados de dichos riesgos.
Aprovechar las oportunidades
Mediante la consideración de una amplia gama de potenciales eventos, la dirección está en posición de identificar y aprovechar las oportunidades de modo proactivo.
Mejorar la dotación de capital
La obtención de información sólida sobre el riesgo permite a la dirección evaluar eficazmente las necesidades globales de capital y mejorar su asignación.
Estas capacidades, inherentes en la gestión de riesgos corporativos, ayudan a la dirección a alcanzar los objetivos de rendimiento y rentabilidad de la entidad y prevenir la pérdida de recursos. La gestión de riesgos corporativos permite asegurar una información eficaz y el cumplimiento de leyes y normas, además de ayudar a evitar daños a la reputación de la entidad y sus consecuencias derivadas.
En suma, la gestión de riesgos corporativos ayuda a una entidad a llegar al destino deseado, evitando baches y sorpresas por el camino.
Eventos Riesgos y Oportunidades
Los eventos pueden tener un impacto negativo, positivo o de ambos tipos a la vez. Los que tienen un impacto negativo representan riesgos que pueden impedir la creación de valor o erosionar el valor existente. Los eventos con impacto positivo pueden compensar los impactos negativos o representar oportunidades, que derivan de la posibilidad de que ocurra un acontecimiento que afecte positivamente al logro de los objetivos, ayudando a la
4
creación de valor o a su conservación. La dirección canaliza las oportunidades que surgen, para que reviertan en la estrategia y el proceso de definición de objetivos, y formula planes que permitan aprovecharlas.
Definición de la Gestión de Riesgos Corporativos
La gestión de riesgos corporativos se ocupa de los riesgos y oportunidades que afectan a la creación de valor o su preservación. Se define de la siguiente manera:
La gestión de riesgos corporativos es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos.
Esta definición recoge los siguientes conceptos básicos de la gestión de riesgos corporativos:
Es un proceso continuo que fluye por toda la entidad. Es realizado por su personal en todos los niveles de la organización. Se aplica en el establecimiento de la estrategia. Se aplica en toda la entidad, en cada nivel y unidad, e incluye adoptar una perspectiva del riesgo a nivel
conjunto de la entidad. Está diseñado para identificar acontecimientos potenciales que, de ocurrir, afectarían a la entidad y para
gestionar los riesgos dentro del nivel de riesgo aceptado. Es capaz de proporcionar una seguridad razonable al consejo de administración y a la dirección de una
entidad. Está orientada al logro de objetivos dentro de unas categorías diferenciadas, aunque susceptibles de
solaparse.
La definición es amplia en sus fines y recoge los conceptos claves de la gestión de riesgos por parte de empresas y otras organizaciones, proporcionando una base para su aplicación en todas las organizaciones, industrias y sectores. Se centra directamente en la consecución de los objetivos establecidos por una entidad determinada y proporciona una base para definir la eficacia de la gestión de riesgos corporativos.
Consecución de Objetivos
Dentro del contexto de misión o visión establecida en una entidad, su dirección establece los objetivos estratégicos, selecciona la estrategia y fija objetivos alineados que fluyen en cascada en toda la entidad. El presente Marco de gestión de riesgos corporativos está orientado a alcanzar los objetivos de la entidad, que se pueden clasificar en cuatro categorías:
Estrategia: Objetivos a alto nivel, alineados con la misión de la entidad y dándole apoyo.
Operaciones: Objetivos vinculados al uso eficaz y eficiente de recursos.
Información: Objetivos de fiabilidad de la información suministrada.
Cumplimiento: Objetivos relativos al cumplimiento de leyes y normas aplicables
Esta clasificación de los objetivos de una entidad permite centrarse en aspectos diferenciados de la gestión de riesgos corporativos. Estas categorías distintas, aunque solapables – un objetivo individual puede incidir en más de una categoría- se dirigen a necesidades diferentes de la entidad y pueden ser de responsabilidad directa de
5
diferentes ejecutivos. También permiten establecer diferencias entre lo que cabe esperar de cada una de ellas. Otra categoría utilizada por algunas entidades es la salvaguarda de activos.
INTRODUCCION
El éxito de una administración se mide por la capacidad de cumplir los objetivos trazados para atender las necesidades e intereses de sus clientes internos y externos y este cumplimiento de objetivos se logra en la medida que se configure una muy buena administración de riesgos
¿Qué es Riesgo? La palabra Riesgo viene del Italiano Risicare, que significa desafiar, retar, enfrentar; también se define como poner en peligro a una persona, en algunos escritos se refiere a la proximidad de un daño.
El riesgo también es conocido como la probabilidad de pérdida la cual permite cuantificar el riesgo a diferencia de la posibilidad de riesgo donde este no se puede cuantificar. El riesgo es LA “INCERTIDUMBRE QUE IMPORTA” es decir la que puede con su ocurrencia, puede generar pérdidas.
Tipos de Riesgos:
Desde el punto de vista empresarial existen innumerables riesgos, generados tanto por el entorno como por el desarrollo normal de sus actividades.
1. RIESGOS DEL ENTORNO
Comprende elementos como el país donde está ubicada la empresa, su naturaleza, la región y ciudad, además del sector, la industria y condiciones económicas, políticas, sociales y culturales.
En este orden de ideas se pueden presentar riesgos como:
a. Riesgo asociado a la naturaleza: Relacionados con riesgos meteorológicos y climáticos como huracanes, lluvias, maremotos, sequías, que afectan el logro de objetivos.
b. Riesgos asociados al País: De acuerdo al País se pueden encontrar riesgos como el riesgo país que hace referencia al grado de peligro que represente este para las inversiones extranjeras.
2. RIESGOS GENERADOS EN LA EMPRESA:
A nivel de la empresa se pueden presentar un sinfín de riesgos que pueden afectar los procesos, recursos humanos, físicos, tecnológicos, financieros y organizacionales, a los clientes y hasta la imagen de la empresa.
En este orden de ideas se pueden presentar riesgos como:
a. Riesgo de reputación: es el desprestigio de la empresa que trae como consecuencia la pérdida de credibilidad y confianza del público por fraude, insolvencia, conducta irregular de los empleados, rumores, errores cometidos en la ejecución de alguna operación por falta de capacitación del personal clave o deficiencia en el diseño de los procedimientos, este riesgo puede traer efectos como disminución de la demanda, o la perdida de negocios atribuibles al desprestigio generado.
b. Riesgo puro: este riesgo al materializarse origina perdida, como un incendio, un accidente, una inundación.6
c. Riesgo especulativo: al materializarse genera la posibilidad de generar instantáneamente beneficio o perdida, como una aventura comercial, la inversión en divisas ante expectativas de devaluación o revaluación, la compra de acciones, el lanzamiento de nuevos productos, etc.
d. Riesgo estratégico: son las pérdidas ocasionas por las definiciones estratégicas inadecuadas y errores en el diseño de planes, programas, estructura, integración del modelo de operación con el direccionamiento estratégico, asignación de recursos, estilo de dirección, además de ineficiencia en la adaptación a los cambios constantes del entorno empresarial, entre otros.
e. Riesgo operativo: es la posibilidad de pérdidas ocasionadas en la ejecución de los procesos y funciones de la empresa por fallas en procesos, sistemas, procedimientos, modelos o personas que participan en dichos procesos.
f. Riesgo de mercado: puede generar ganancias o pérdidas a la empresa al invertir en bolsa, debido a la diferencia en los precios que se registran en el mercado.
g. Riesgo precio de insumos y productos: se refiere a la incertidumbre sobre la magnitud de los flujos de caja debido a posibles cambios en los precios que una empresa puede pagar por la mano de obra, materiales y otros insumos de su proceso de producción, y por los precios que puede demandar por sus bienes o servicios.
h. Riesgo de crédito: consiste en que los clientes y las partes a las cuales se les ha prestado dinero, fallen en el pago. La mayoría de las empresas se enfrentan ante este riesgo por cuentas por cobrar, pero esta exposición es más alta en las instituciones financieras.
i. Riesgo legal: se refiere a la pérdida en caso de incumplimiento de la contraparte en un negocio y la imposibilidad de exigirle jurídicamente el cumplimiento de los compromisos adquiridos. También se puede presentar al cometer algún error de interpretación jurídica u omisión en la documentación, y
en el incumplimiento de normas legales y disposiciones reglamentarias que pueden conducir a demandas o sanciones.
j. Riesgo tecnológico: el uso de la tecnología genera riesgos como los virus, el vandalismo puro y de ocio en las redes informáticas, fraudes, intrusiones por hackers, el colapso de las telecomunicaciones que pueden generar el daño de la información o la interrupción del servicio. También está el riesgo del constante cambio de tecnología lo que puede ocasionar que las empresas no estén preparadas para adoptarlas y esto incremente sus costos, menor eficiencia, incumplimiento en las condiciones de satisfacción de los servicios prestados a la comunidad.
k. Riesgos laborales: pueden ser accidentes de trabajo y enfermedades profesionales, pueden ocasionar daños tanto a la persona como a la misma empresa.
l. Riesgos físicos: afectan a los materiales como por ejemplo; corto circuito, explosión física, daño en la maquinaria, daño en equipos por su operación, por su diseño, fabricación, montaje o mantenimientos; deterioros de productos y daños en vehículos.
7
3. RIESGO EMPRESARIAL
El riesgo empresarial podría definirse como un fenómeno subjetivo-objetivo del proceso de toma de decisión entre diferentes alternativas en situación de incertidumbre, con la probabilidad de ocasionar efectos negativos en los objetivos de la empresa, produciendo después de realizarse la acción decidida un resultado peor del previsto. De tal modo el riesgo se presenta como un fenómeno complejo, de carácter objetivo y a la vez subjetivo que incluye:
La situación de incertidumbre como contexto y condición objetiva del riesgo. El acto de tomar decisiones sobre la base de información incompleta. La vivencia de vacilación motivada por la probabilidad de pérdidas o fracasos como resultado de la
realización de la alternativa privilegiada.
CLASIFICACIONES DEL RIESGO EMPRESARIAL
Una de las clasificaciones gira en torno al efecto bipolar del riesgo. Estos fenómenos se dividen en dos grupos, en riesgos puros y riesgos especulativos: los primeros son los riesgos que realizándose provocan pérdidas, los especulativos son riesgos cuyo efecto podría ser tanto la pérdida como la ganancia.
En tal perspectiva los riesgos en una empresa del sector real son fundamentalmente de carácter económico, de mercado, de crédito, de legalidad, de carácter tecnológico e operacional.
El primero tiene que ver con la probabilidad de perder la ventaja competitiva, de empeoramiento de la situación financiera, de bajar el valor de su capital, etc.
Los riesgos de mercado son riesgos relacionados con la inestabilidad de la coyuntura económica, con las pérdidas potenciales por cambios de los precios de los artículos de venta, que produce la empresa, con problemas de liquidez etc.
El riesgo de crédito se produce normalmente cuando las contrapartes no cumplen sus obligaciones contractuales.
El riesgo legal se presenta con la probabilidad de producirse perdidas porque las actividades de la empresa no están conformes con la legislación y la normativa vigentes o porque el contraparte no tiene la autoridad legal para realizar una transacción.
El riesgo organizacional es la probabilidad de pérdidas por errores e ineficiencia de la organización interna de la empresa.
Riesgo e incertidumbreExiste una gran diferencia entre el riesgo y la incertidumbre, y es preciso distinguirlos para afrontarlos con naturalidad.
¿Cuál es la diferencia entre riesgo e incertidumbre?La principal diferencia es que la incertidumbre no es medible, aunque es sencillo realizar “previsiones” que resulten creíbles, dando una falsa sensación de certeza aun siendo pura especulación. La incertidumbre no se puede evaluar de forma controlada, mientras que el riesgo sí se puede establecer de forma clara. Pongamos, por ejemplo, el lanzamiento de una moneda en el que no sabemos si saldrá cara o cruz. En este caso es sencillo
8
evaluar las probabilidades de cada resultado posible, que son un 50%. No podemos controlar qué saldrá, pero sí
cuáles son las opciones y qué probabilidad tienen. De esta forma, sabemos a qué riesgo nos enfrentamos.
Sin embargo, en la mayoría de ocasiones no resulta tan sencillo realizar un análisis tan detallado. Y cuando esto no es posible, es cuando nos enfrentamos a la incertidumbre. El riesgo se maneja analizando las probabilidades de cada opción posible. Y la necesidad de evaluar mediante probabilidades es un ejercicio que llevamos a cabo intuitivamente incluso en los casos en los que no tenemos claro cuáles son todas las opciones y mucho menos su posibilidades. No podemos evitarlo.
¿Cómo afrontar la incertidumbre?
Para afrontar mejor la incertidumbre, tenemos que tratar de ejercer influencia para que suceda lo que nos interesa, aun sin estar seguros de cuáles son las probabilidades de obtener el resultado que nos interesa. No se trata de hacer las cosas buscando un fin concreto. Las hacemos porque creemos que, de esa forma, podemos mejorar las probabilidades de que suceda algo, algo sobre lo que no tenemos el control absoluto. La incertidumbre sigue existiendo pero hemos hecho lo que hemos podido tratando de inclinar la balanza de las probabilidades a nuestro favor. Por ejemplo, estudiar una carrera universitaria no tiene por qué tener como efecto conseguir un trabajo relacionado con lo que hemos estudiado. Pero sí puede mejorar mucho nuestras posibilidades a medio plazo.
En cambio, el riesgo es mucho más cómodo, porque el riesgo es perfectamente mensurable. Nos permite establecer unas expectativas claras del valor que podemos obtener, y eso nos tranquiliza.
No debemos olvidar que la diferencia entre riesgo e incertidumbre no reside en si tenemos el control sobre el resultado. Se trata de saber si conocemos todas las opciones posibles, y sus probabilidades, o no. De esta forma, ante situaciones en las que podemos calcular el riesgo, nos sentimos más cómodos al gestionar y establecer los recursos que vamos a comprometer. Y debemos llevar cuidado porque se tiende a pensar que esto supone un mayor control.
Sinceramente, creemos que la forma en que se realizan un altísimo porcentaje de planes de negocio y presupuestos, es incierta y sin el más mínimo sentido. Más aún cuando supone asumir una incertidumbre importante con respecto al nivel de éxito que pueden alcanzar. Y se trabaja con ellos como si sólo abordásemos riesgos perfectamente establecidos.
Al fin y al cabo, gestionar supone ser consciente de los recursos que se han comprometido, de forma que siempre los podemos asumir. Sea ante el riesgo o ante la incertidumbre.
9
Los riesgos de los negocios
El entorno de negocios actual presenta aún muchos retos para las empresas por lo que el riesgo y su adecuada administración ocupa un lugar primordial en las agendas de todas las compañías. Los negocios evolucionan –lo cual trae consigo nuevos riesgos– y al mismo tiempo se adaptan a los cambios provocados por la economía posterior a la crisis. La capacidad de las organizaciones para anticipar las amenazas, responder y adaptarse continuamente depende más que nunca de la fortaleza de su proceso de administración de riesgos.
RIESGO OPERACIONAL EN LAS EMPRESASSe entiende por riesgo operacional a la posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas en los procesos internos, en la tecnología de información, en las personas o por ocurrencia de eventos externos adversos. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y el de reputación.
Fuentes de Riesgo Operacional (u operativos):
Procesos Internos
Posibilidad de pérdidas financieras relacionadas con el diseño inapropiado de los procesos críticos, o con políticas y procedimientos inadecuados o inexistentes que puedan tener como consecuencia el desarrollo deficiente de las operaciones y servicios o la suspensión de los mismos.
En tal sentido, podrán considerarse entre otros, los riesgos asociados a las fallas en los modelos utilizados, los errores en las transacciones, la evaluación inadecuada de contratos o de la complejidad de productos, operaciones y servicios, los errores en la información contable, la inadecuada compensación, liquidación o pago, la insuficiencia de recursos para el volumen de operaciones, la inadecuada documentación de transacciones, así como el incumplimiento de plazos y presupuestos planeados.
Personas
Posibilidad de pérdidas financieras asociadas con negligencia, error humano, sabotaje, fraude, robo, paralizaciones, apropiación de información sensible, lavado de dinero, inapropiadas relaciones interpersonales y ambiente laboral desfavorable, falta de especificaciones claras en los términos de contratación del personal, entre otros factores.
Se puede también incluir pérdidas asociadas con insuficiencia de personal o personal con destrezas inadecuadas, entrenamiento y capacitación inadecuada y/o prácticas débiles de contratación.
Tecnología de Información
Posibilidad de pérdidas financieras derivadas del uso de inadecuados sistemas de información y tecnologías relacionadas, que pueden afectar el desarrollo de las operaciones y servicios que realiza la institución al atentar contra la confidencialidad, integridad, disponibilidad y oportunidad de la información.
Las instituciones pueden considerar incluir en ésta área, los riesgos derivados a fallas en la seguridad y continuidad operativa de los sistemas TI, a errores en el desarrollo e implementación de dichos sistemas y su compatibilidad e integración, problemas de calidad de información, inadecuada inversión en tecnología y fallas para alinear la TI con los objetivos de negocio, entre otros aspectos. Otros riesgos incluyen la falla o interrupción de los sistemas, la recuperación inadecuada de desastres y/o la continuidad de los planes de negocio.
Eventos Externos
Posibilidad de pérdidas derivadas de la ocurrencia de eventos ajenos al control de la empresa que pueden alterar el desarrollo de sus actividades, afectando a los procesos internos, personas y tecnología de información.
Entre otros factores, se podrán tomar en consideración los riesgos que implican las contingencias legales, las fallas en los servicios públicos, la ocurrencia de desastres naturales, atentados y actos delictivos, así como las
10
fallas en servicios críticos provistos por terceros. Otros riesgos asociados con eventos externos incluyen: el rápido paso de cambio en las leyes, regulaciones o guías, así como el riesgo político o del país.
CATEGORIZACIÓN DE EVENTOS DE PÉRDIDA POR RIESGO OPERATIVO
En coordinación con el sector financiero, el Comité de Basilea ha identificado los siguientes tipos de eventos que pueden resultar en pérdidas sustanciales por riesgo operativo
Fraude Interno
Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o incumplir regulaciones, leyes o políticas empresariales en las que se encuentra implicada, al menos, una parte interna a la empresa; no se consideran los eventos asociados con discriminación en el trabajo. Esta categoría incluye eventos como: fraudes, robos (con participación de personal de la empresa), sobornos, entre otros.
Fraude Externo
Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o soslayar la legislación, por parte un tercero. Esta categoría incluye eventos como: robos, falsificación, ataques informáticos, entre otros. Relaciones laborales y seguridad en el puesto de trabajo Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, sobre higiene o seguridad en el trabajo, sobre el pago de reclamaciones por daños personales, o sobre casos relacionados con discriminación en el trabajo.
Clientes, productos y prácticas empresariales
Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación profesional frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un producto.
Daños a activos materiales
Pérdidas derivadas de daños o perjuicios a activos físicos como consecuencia de desastres naturales u otros eventos de fuentes externas.
Interrupción del negocio y fallos en los sistemas
Pérdidas derivadas de incidencias o interrupciones en el negocio y de fallas en los sistemas.
Ejecución, entrega y gestión de procesos
Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores. Esta categoría incluye eventos asociados con: captura de transacciones, ejecución y mantenimiento, monitoreo y reporte, entrada y documentación de clientes, gestión de cuentas de clientes, contrapartes de negocio, vendedores y proveedores.
DISEÑO PARA EVALUAR EL RIESGO OPERACIONAL
Gestión del riesgo operacional: identificación, evaluación, medición, monitoreo y control
Como principio general, las entidades financieras deben contar con una estrategia aprobada por el Directorio estableciendo principios para la identificación, medición, control, monitoreo y mitigación del riesgo operativo.
11
Las estrategias y políticas deberían ser implementadas por la Función de Gestión de Riesgo, responsable de identificar y gestionar todos los riesgos. La Función de Gestión de Riesgo puede incluir sub-unidades especializadas por riesgos específicos.
Las entidades financieras deberían desarrollar su propio enfoque y metodología para la gestión de riesgos, de acuerdo con su objeto social, tamaño, naturaleza y complejidad de operaciones y otras características. La implementación del sistema de gestión de riesgo operativo debería considerar todas las etapas de gestión de riesgo, incluyendo la identificación, evaluación, medición, monitoreo y control.
Identificación
La identificación efectiva del riesgo considera tanto los factores internos como externos que podrían afectar adversamente el logro de los objetivos institucionales.
Evaluación
Para todos los riesgos operativos materiales que han sido identificados, la entidad debería decidir si usa procedimientos apropiados de control y/o mitigación de los riesgos o asumirlos.
Para aquellos riesgos que no pueden ser controlados, el banco debería decidir si los acepta, reduce el nivel de actividad del negocio expuesta o se retira de esta actividad completamente. Todos los riesgos materiales deberían ser evaluados por probabilidad de ocurrencia e impacto a la medición de la vulnerabilidad de la entidad a este riesgo. Los riesgos pueden ser aceptados, mitigados o evitados de una manera consistente con la estrategia y el apetito al riesgo institucional. Cuando sea posible, la entidad debería usar controles internos apropiados u otras estrategias de mitigación, como los seguros.
Medición
Las entidades financieras deberían estimar el riesgo inherente en todas sus actividades, productos, áreas particulares o conjuntos de actividades o portafolios, usando técnicas cualitativas basadas en análisis expertos, técnicas cuantitativas que estiman el potencial de pérdidas operativas a un nivel de confianza dado o una combinación de ambos.
Monitoreo
Un proceso efectivo de monitoreo es esencial para una gestión adecuada del riesgo operativo. Un monitoreo regular de las actividades puede ofrecer la ventaja de detectar rápidamente y corregir deficiencias en las políticas, procesos y procedimientos de gestión del riesgo operativo. El monitoreo regular también fomenta la identificación temprana de cambios materiales en el perfil de riesgo, así como la aparición de nuevos riesgos. El alcance de las actividades de monitoreo incluye todos los aspectos de la gestión del riesgo operativo en un ciclo de vida consistente con la naturaleza de sus riesgos y el volumen, tamaño y complejidad de las operaciones.
Control
Después de identificar y medir los riesgos a los que está expuesta, la entidad financiera debería concentrarse en la calidad de la estructura de control interno. El control del riesgo operativo puede ser conducido como una parte integral de las operaciones o a través de evaluaciones periódicas separadas, o ambos. Todas las deficiencias o desviaciones deben ser reportadas a la gerencia.
Reporte
Debe existir un reporte regular de la información pertinente a la alta gerencia, al directorio, al personal y a partes externas interesadas, como clientes, proveedores, reguladores y accionistas. El reporte puede incluir información interna y externa, así como información financiera y operativa.
12
MARCO DE GESTIÓN DEL RIESGO OPERACIONAL
Cultura
Este primer paso adquiere una significativa relevancia, ya que implica el convencimiento de la alta dirección de los beneficios y de la necesidad de implantar un marco que administre el riesgo operacional. Dentro de las razones para dicha administración, es posible mencionar:
Las presiones regulatorias. La comprensión del impacto del riesgo operacional. La necesidad de obtener información de gestión sobre las causas y consecuencias del riesgo
operacional. El poder asignar el capital según el riesgo asumido. El poder remunerar teniendo en cuenta la rentabilidad y el riesgo operativo asumido. La necesidad de obtener más información que permita mejorar las decisiones sobre la mitigación del
riesgo operacional.
Pero lograr el convencimiento de la alta dirección es sólo el primer paso en la generación de conciencia para lograr una adecuada gestión del riesgo operacional. Tan importante como esto resultará el trabajo de capacitación y de generación de cultura respecto de las unidades de negocio y en las áreas soporte de las entidades, ya que es ahí donde se realiza la efectiva gestión del riesgo. Son éstas las áreas que deben entender la utilidad de realizar determinadas tareas y de buscar una efectiva aplicación de las soluciones de mejora, así como también el monitoreo y el control de los riesgos que enfrenten en su operatoria habitual.
Gestión Cualitativa
El desarrollo de una adecuada gestión cualitativa implica tres aspectos: la identificación de riesgos, el modelo organizativo y las herramientas de gestión utilizadas.
El primer paso consiste en la elaboración de un mapa de procesos de la entidad que sirva para detectar los riesgos y controles existentes, así como también para realizar una valoración en términos de severidad y frecuencia de los eventos de pérdidas.
El nivel organizativo, resulta vital la creación de una unidad independiente, responsable por la gestión del riesgo operacional, dado que ésta será la que genere los mecanismos para una adecuada administración el riesgo. De una manera al menos esquemática, la figura a continuación muestra las responsabilidades que recaen en cada
13
área de la organización, sobre la cual podemos poner especial atención en las unidades de negocio como responsables últimos por los riesgos operacionales, ya que el área encargada de la gestión de este riesgo sólo tiene responsabilidades asociadas con definiciones de políticas, utilización y selección de herramientas, diseño de tableros de reporting, así como de sugerir planes de acción y realizar actividades de seguimiento de los riesgos identificados.
Responsabilidades de las diferentes áreas involucradas en la gestión del riesgo Operacional
Por último, en relación al desarrollo e implantación de herramientas para la gestión cualitativa del riesgo operacional –como mapas de procesos y riesgos, indicadores de riesgo, alertas, bases de datos y, por sobre todo, auto-evaluaciones- es necesario señalar que el nivel de implantación de ellos por parte de las entidades de la región es ampliamente inferior al nivel demostrado en Europa y Estados Unidos. No obstante en el último tiempo pudieron observarse ciertos avances de las entidades locales en ese sentido.
Dicha utilización de herramientas debería comenzar con una primera aproximación global de los riesgos operacionales a los cuales las entidades se encuentran expuestos, por medio del uso de los denominados mapas de riesgo que a continuación se grafican:
14
En este mapa se explicitarán, mediante la realización de diversos talleres de trabajo, los riesgos y los controles existentes para las entidades, que luego se valorizarán en términos de severidad y frecuencia de los eventos de pérdidas. Además, en función de cuál sea su ubicación dentro de los cuadrantes arriba expuestos, requerirán diferentes cursos de acción o distintas formas de administración. A través de la utilización de auto-evaluaciones las tareas se desarrollan en cambio con un mayor nivel de detalle. Las personas usuarias y responsables por un determinado proceso y/o producto deberán completar y posteriormente actualizar una matriz como la que se expone arriba para que, en función de cuál haya sido el resultado por cada uno de los riesgos identificados, se establezcan definiciones respecto de cómo serán tratados y/o monitoreados esos riesgos de acuerdo a su nivel de criticidad.
Gestión Cuantitativa
Un elemento fundamental para que las entidades puedan pasar de un enfoque cualitativo a un marco de gestión integral del riesgo operacional es la creación de una base de datos de pérdidas operacionales. Este paso representa uno de los mayores desafíos a los cuales se enfrentan las entidades de Latinoamérica. Por otra parte, y dadas las particularidades de nuestro mercado, si bien es posible observar en el sector interés en complementar su información interna con datos externos, existen dificultades para poder lograrlo, tanto por cierto recelo de parte de las entidades en compartir informaciones de estas características (el tema de la cultura y la concientización vuelve a hacerse presente), como por la baja cantidad de entidades que se encuentran recolectando información histórica. No obstante, resultará fundamental la existencia de datos externos a las entidades para poder avanzar hacia una adecuada cuantificación de los riesgos operacionales.
Hoy, las fuentes de datos externos existentes no son totalmente aplicables a la realidad latinoamericana, debido a que están originadas en países con problemáticas completamente diferentes. Por eso será necesario avanzar en el mediano plazo en la creación de una asociación que tenga como fin consolidar la información sobre eventos de riesgo operacional para los países de la región, de manera de conformar un consorcio de datos que permita contar con los inputs necesarios para una mejor cuantificación de este riesgo.
Una vez finalizada la construcción de las bases de datos, las entidades deben abordar el desarrollo de un modelo de medición del riesgo operacional. En aquellas entidades alcanzadas por el Acuerdo de Basilea II es posible observar la intención de posicionarse en un enfoque avanzado, tanto por los beneficios de gestión como por los potenciales ahorros de capital regulatorio. Las entidades que adopten este enfoque podrán calcular los recursos propios en función de su perfil real de riesgo, de los controles establecidos y del marco de gestión que hayan definido.
15
Por último, las entidades deberán perseguir la integración final de los aspectos cualitativos y cuantitativos. Esto implica el diseño y el establecimiento de las relaciones entre los datos recopilados, los indicadores, los mapas de riesgos y controles y las mediciones de capital. Este enfoque debe ser dinámico y confluir en el establecimiento de un plan de acciones correctivas para afrontar las debilidades detectadas.
En definitiva, tenemos por delante un largo camino por recorrer para alcanzar un nivel de gestión del riesgo operacional con un grado de madurez similar al que existe en algunos de los países de la región. Esto, sin duda, implicará altas inversiones de tiempo, dinero y recursos humanos. Las normativas que los reguladores emitan en los próximos años acelerarán en muchos casos la implantación de un marco adecuado para la gestión del riesgo operacional. Sin embargo serán aquellas entidades que comprendan el verdadero valor de administrar este riesgo como una herramienta de gestión las que podrán considerar el dinero utilizado en su implementación como una inversión y no como un gasto y las que, por ende, terminarán entregando un mayor valor a sus accionistas.
IDENTIFICACIÓN DE PROCESOS CRITICOS POR LINEA DE NEGOCIO
1. Financiación empresarial o corporativa – Corporate finance
Asesoramiento y servicios relacionados con fusiones y adquisiciones de empresas.
Servicios relacionados con operaciones de underwriting, titulización (actuando como entidad inversora) y privatizaciones.
Estudios de inversiones y análisis financiero y otras formas de asesorías relacionadas con las operaciones de instrumentos financieros.
Asesoramiento a empresas en materia de estructura de capital.
2. Negociación y ventas – Trading & sales
Negociación por cuenta propia de instrumentos de renta fija, renta variable, divisas, crédito, financiamiento, posiciones propias en valores, titulizaciones (actuando como entidad originadora), operaciones con pacto de recompra.
Negociación en nombre de terceros de: instrumentos de renta fija, renta variable, divisas, crédito, financiamiento, operaciones con pacto de recompra.
3. Pagos y liquidación – Payment and settlement
Pagos y recaudaciones.
Transferencia de fondos.
Compensación y liquidación.
4. Servicios de agencia – Agency services
Custodia y administración de instrumentos financieros por cuenta de clientes, incluidos el depósito y servicios conexos como la gestión de efectivo y de garantías reales.
Fideicomisos.
5. Administración de activos – Asset management
16
Administración de fondos: agrupados, segregados, minoristas, institucionales, cerrados, abiertos, participaciones accionariales. Por ejemplo, fondos de inversión y fondos mutuos.
6. Intermediación minorista – Retail Brokerage
Recepción y ejecución de órdenes de clientes referidas a instrumentos financieros.
Colocación de instrumentos financieros sin aseguramiento, por ejemplo, acciones, productos derivados, bonos.
7. Banca minorista – Retail banking
Actividades realizadas con personas o PYMEs
Aceptación de depósitos y otros fondos reembolsables del público.
Préstamos
Arrendamiento financiero y factoraje
Servicios bancarios, incluyendo los de fideicomiso y testamentarios y otros servicios bancarios (tarjetas de crédito y débito, transferencia de fondos y otros pagos en nombre de clientes).
8. Banca comercial – Commercial banking
Aceptación de depósitos y otros fondos reembolsables.
Financiamiento de proyectos, bienes raíces, comercio exterior, comercial.
Arrendamiento financiero y factoraje.
Préstamos, garantías y letras de cambio.
Servicios bancarios y actividades auxiliares como servicios de pagos (tarjetas de crédito y débito, transferencia de fondos y otros pagos en nombre de clientes).
Ingresos netos en instrumentos de capital que no forman parte de la cartera de negociación ni de las participaciones permanentes.
REQUERIMIENTOS DE CAPITAL. METODOLOGÍAS DE CUANTIFICACIÓN DEL RIESGO OPERACIONAL
Basilea II brinda un marco de referencia para la gestión integral de los riesgos, marco que es progresivamente adoptado por los supervisores y también por las entidades como una referencia de mejor práctica. Presenta tres métodos para el cálculo de los requerimientos de capital asociados al riesgo operacional:
• Método del Indicador Básico.
• Método Estándar.
• Métodos de Medición Avanzada (o AMA por sus siglas en inglés).
Los dos primeros no se caracterizan por ser sensibles al riesgo, dado que determinan los requerimientos de capital en forma simplificada a través del producto entre los ingresos brutos anuales medios y el coeficiente de exigencia de capital. Ambos métodos son cuestionados, porque las entidades son penalizadas por el solo hecho de tener elevados ingresos brutos y porque el requerimiento de capital podría depender de las prácticas contables de cada país, posibilitando así el llamado arbitraje regulatorio.
Entendemos que el espíritu de Basilea II es que dichos métodos sean procedimientos de transición hasta que las entidades desarrollen otros más avanzados. En los AMA el requerimiento de capital es determinado según la estimación del riesgo operacional al que realmente está expuesta la entidad. Para realizar dicha estimación se desarrollan modelos estadísticos de medición interna.
17
En el marco de Basilea II, la posibilidad de utilizar modelos internos está sujeta a la aprobación del supervisor junto con el cumplimiento de requerimientos cualitativos adicionales.
El Comité de Supervisión Bancaria de Basilea reconoce la evolución de los métodos analíticos para la cuantificación del riesgo operacional, y por lo tanto no define un método específico. No obstante especifica que el horizonte de cálculo de pérdidas sea de carácter anual y que la entidad demuestre que el método seleccionado permite reflejar en la distribución eventos de escasa probabilidad de ocurrencia pero de alto impacto monetario.
La metodología para determinar el requerimiento de capital por riesgo operacional utilizando los AMA es semejante al concepto de VaR (Value at Risk o Valor en Riesgo), propio del riesgo de mercado. A partir de la estimación de la distribución de pérdidas agregadas, el requerimiento de capital exigido por Basilea es el que acumula el 99,9% de las pérdidas en un año. Es decir, la entidad debe demostrar suficiente capital para absorber las pérdidas que surjan en el plazo de un año en el 99.9% de los casos, exponiéndose a una insuficiencia en el 0,1% de los casos restantes.
Métodos de medición avanzada: LDA
Uno de los métodos internos es el denominado LDA (Loss Distribution Approach o Enfoque de Distribución de Pérdidas), que se encuentra ampliamente difundido como modelo de cuantificación del riesgo operacional. Este enfoque es una herramienta estadística heredada del ámbito actuarial, ampliamente utilizada en la industria aseguradora y que está convirtiéndose además en uno de los instrumentos más empleados en el ámbito bancario.
El método LDA tiene como objetivo la obtención de la función de distribución agregada de pérdidas operacionales. Dicha distribución se obtiene de la acumulación de distribuciones de pérdidas para cada línea de negocio, para cada tipo de riesgo o para una combinación de ambas.
En consecuencia, se hace imprescindible mencionar aquí cuáles son las condiciones cruciales para que la metodología LDA arroje niveles de precisión aceptables:
• Una adecuada selección de las distribuciones de frecuencia e intensidad.
• Una apropiada parametrización de las distribuciones seleccionadas.
Consiguientemente, la modelación de la distribución de pérdidas será más robusta si está basada en agrupaciones con eventos de pérdida homogéneos.
Es en este sentido que cuanto más detallada sea la apertura de estas agrupaciones, más precisas serán las distribuciones de pérdida que describen el perfil de riesgo, debido a la mayor homogeneidad de los eventos de pérdida dentro de cada grupo.
Por otro lado, cuanto mayor sea la apertura, menor será la cantidad de datos observados en cada agrupación, atentando contra la relevancia estadística del modelo. La decisión de cómo agrupar los datos conllevará un intercambio o trade-off entre el volumen de información para su modelización y el nivel de homogeneidad de los eventos bajo análisis.
El fenómeno de las pérdidas operativas puede ser desagregado en dos componentes:
i) la frecuencia (que representa todas las cantidades posibles de eventos con su respectiva probabilidad) y
ii) la intensidad (que representa todos los posibles valores de pérdida por evento y su probabilidad, una vez ocurrido el evento).
18
Por lo tanto la distribución de probabilidades de pérdidas también puede ser desagregada sobre la base de la estimación separada de frecuencia e intensidad, entendiendo que estos dos componentes tienen comportamientos específicos. Para volver a “unir” los dos componentes y explicar el fenómeno de las pérdidas operativas se utilizan procesos de simulación.
A efectos del cálculo, tanto la distribución de frecuencia como la distribución de intensidad deben ser estimadas en función de las pérdidas operacionales observadas por la entidad y registradas en su base de pérdidas operacionales. La figura a continuación esquematiza los pasos que deben seguirse en el proceso de estimación de la distribución de pérdidas operacionales:
Paso 1 - Base de datos
La base de datos es la “piedra fundamental” en la construcción o desarrollo de cualquier modelo de cuantificación. En forma particular, una base de datos poblada de pérdidas operacionales históricas será el input fundamental del modelo de cuantificación de riesgo operacional y permitirá el traspaso de un enfoque cualitativo a un enfoque integral (cualitativo-cuantitativo).
Las entidades deben desarrollar sus bases de datos a partir de un proceso homogéneo de recolección de pérdidas y de asignación de éstas en función de las distintas áreas de negocios y de los diferentes tipos de riesgos, no sólo con el fin de registrar las pérdidas, sino también para entender sus causas.
Paso 2 - Frecuencia de eventos
Con la finalidad de modelar la frecuencia de eventos con un horizonte determinado, se utiliza una distribución de conteo que explicita la probabilidad de ocurrencia de una determinada cantidad de eventos para dicho horizonte a partir de la población expuesta, es decir, de las pérdidas registradas por la entidad. Usualmente, la distribución seleccionada es la distribución de Poisson, dadas sus características que permiten establecer de forma apropiada el número de eventos a partir de la media de la frecuencia de eventos observada en el pasado. Es importante destacar que también son empleadas en la práctica la distribución Binomial y la distribución Binomial Negativa.
Paso 3 - Intensidad de eventos
19
Una vez estimada la distribución de frecuencias se debe proceder a estimar la distribución del monto de pérdida (o intensidad) de los eventos. En virtud de eso es necesario estudiar la base de pérdidas operacionales para “ajustar” la distribución paramétrica que mejor se adecue a los datos observados de montos de pérdidas.
En la práctica es usual que se utilicen distribuciones como Lognormal, Pareto y distribuciones de “cola larga”4, a efectos de no subestimar ésta por falta de información, dado que en los procesos de cuantificación de riesgo operacional debe prestarse especial atención a la estimación de la “cola” derecha de la distribución de intensidad, ya que allí se encuentran las pérdidas menos frecuentes pero las de mayor impacto para los resultados de la entidad. Por eso es usual emplear distribuciones “mixtas” para recoger los potenciales eventos de pérdidas ubicados en la “cola” de la distribución.
Paso 4 – Simulación de MonteCarlo
Por último, con la finalidad de generar la distribución de pérdidas se puede utilizar el método de simulación de MonteCarlo, una técnica que consiste en repetir el siguiente proceso:
Simular la cantidad de eventos de pérdidas operacionales para el horizonte de tiempo determinado,
para cada uno de estos eventos de pérdida se procede a simular el monto de pérdida asociado, luego,
la pérdida total para el horizonte de tiempo es la suma de los montos de pérdida de cada uno de los eventos que se simularon en el punto anterior.
De esta manera, el proceso estima la distribución de pérdidas utilizando un número suficiente de escenarios hipotéticos, generados aleatoriamente a partir de las estimaciones de las distribuciones de intensidad y frecuencia. Cada una de estas repeticiones o escenarios hipotéticos -es decir, simulaciones- representa las pérdidas operacionales para el período fijado como horizonte de tiempo. La cantidad de repeticiones o iteraciones debe ser elevada a fin de lograr estabilidad en los resultados de las simulaciones y lograr construir la distribución de pérdidas operacionales.
La distribución de pérdidas agregadas puede ser construida a través de la convocación de las diferentes distribuciones de pérdidas de cada agrupación (correspondientes a cada línea de negocio, tipo de riesgo o a una combinación de ambas). Bajo el supuesto de correlación perfecta entre las pérdidas de cada agrupación, el requerimiento de capital total para la entidad puede ser determinado a través de la suma del VaR, obtenido de las distribuciones de pérdidas de cada agrupación realizada.
En caso de incluir dentro del modelo correlaciones (no totales) entre las pérdidas de cada agrupación, se obtendrá una disminución del requerimiento de capital (por efecto diversificación), pero el desarrollo del modelo se volverá más complejo.
Análisis de escenarios
El proyectar las pérdidas operativas para los próximos 12 meses empleando un AMA sobre una base de pérdidas históricas puede no ser un escenario verosímil o representativo, dada la realidad cambiante del sector financiero y el contexto económico (fundamentalmente en la región latinoamericana). En dichos casos puede resultar importante desarrollar un análisis de escenario.
En dos amplios objetivos está centrado el análisis de escenarios del tipo “qué pasa si….”: el primero consiste en modificar ciertos supuestos (o parámetros) del modelo con la finalidad de adecuarlo al entorno actual o al esperado para el plazo de proyección de pérdidas; el segundo consiste en generar pérdidas potencialmente graves de carácter infrecuente (y que por lo tanto no están registradas en la base de pérdidas) para evaluar su impacto en los resultados de la entidad.
Coberturas de seguros
20
Un caso particular del análisis de escenarios puede ser la inclusión en el modelo de los beneficios obtenidos por la contratación de pólizas de seguro que cubran determinados eventos de pérdida. La indemnización contratada en la póliza puede ser embebida durante el proceso de simulación de MonteCarlo, generando las pérdidas totales y las pérdidas netas de los recuperos de las pólizas de seguros.
Dada la versatilidad de aplicación del método de MonteCarlo, puede ser posible incluir en el análisis varios esquemas de seguros con la finalidad de analizar el trade-off entre el costo de contratación de seguro y el nivel de beneficios esperados, es decir, las indemnizaciones a cargo del asegurador.
Basilea II y el Riesgo Operacional
El riesgo operacional está definido en el acuerdo internacional llamado Basilea II, que es aplicable a los bancos y otras instituciones financieras similares como “la posibilidad de ocurrencia de pérdidas debido a procesos inadecuados, fallas del personal o de la tecnología de información o a eventos externos”; es una definición general que puede aplicarse también fuera del sector financiero.
El riesgo operacional no es un riesgo nuevo; siempre ha estado presente en todo tipo de actividades, y no sólo las financieras, Pero ha tomado una importancia creciente en la razón de los cambios en el entorno y en la administración de los negocios (globalización de los mercados, desarrollo tecnológico, productos cada vez más complejos).
Y su universo es especialmente amplio, lo que lo vuelve a veces difícil de entender:
. Es difícil de identificar: puede haber una maraña de causas, de eventos y de efectos, y a veces hay problemas para distinguirlo del riesgo de crédito y del riesgo de mercado, lo que se llama riesgos fronterizos; ejemplo: si hay pérdidas por una garantía mal tomada ¿es por riesgo de crédito o por riesgo operacional?
. Es difícil de medir, por la existencia de pérdidas atípicas, la coexistencia de pérdidas directas e indirectas, y a menudo por la insuficiencia de data histórica
. Es difícil de vigilar y de controlar: puede haber una coexistencia de causas internas y externas y la frecuencia y la severidad de las pérdidas son muy variables
En el mismo texto ya mencionado se dice que el riesgo operacional no incluye al riesgo reputacional, que hemos comentado también en parte en el post anterior y tampoco al riesgo estratégico, que es un riesgo multifacético ligado a decisiones estratégicas de la empresa y a su entorno de negocios. Pero entonces, ¿qué incluye el riesgo operacional?
Se dice que incluye al riesgo legal, aquél que puede derivar de contratos mal hechos, por ejemplo.
Pero en el texto de Basilea II se ha establecido igualmente una tipología de riesgos operacionales a partir de categorías de “eventos de pérdidas”, que damos a continuación:
. el fraude interno : que es el que les hicimos descubrir en el post anterior; el ejemplo típico es el empleado con acceso a la contabilidad que logra sustraer importantes sumas de dinero, o el que al interior de un banco hace aprobar expedientes crediticios con clientes “fantasma”
21
. el fraude externo: un ejemplo conocido es el que se puede sufrir a través de la clonación de tarjetas por terceros. El affaire Enron también tenía características de este tipo, pues muchos inversionistas fueron engañados por la “creatividad contable” de Enron; el valor de sus acciones no era real
. los eventos ligados a la relaciones laborales y a la seguridad en el trabajo : podemos tener así las pérdidas ligadas a la huelgas o los accidentes que se pueden producir con el personal en las fábricas o en las minas por no haberles dado todos los implementos de protección
. los eventos ligados a los clientes, productos y prácticas empresariales: el ejemplo típico son las malas prácticas en las ventas a los clientes, como el no darles toda la información sobre lo que se les está vendiendo, lo que puede ser incluso hecho con alevosía; de eso se ha acusado en EE.UU. a varios bancos de inversión (venta de “papeles tóxicos”)
. los daños a activos materiales : son aquellos daños producidos por eventos naturales (como las inundaciones, terremotos o tsunamis), siendo un buen ejemplo la destrucción de muchas fábricas de componentes automotores en el Japón o provocados, como lo fue el ataque a las Torres Gemelas el 11/09/2001, o más simplemente aquellos derivados de disturbios, que se traducen por destrucción e incendios de tiendas y locales administrativos, o los debidos a accidentes, como la explosión de una plataforma petrolera, la interrupción del negocio y fallas en los sistemas : lo que se produce por ejemplo en caso de apagones, o porque hay fallas en los sistemas informáticos; todos hemos experimentado las situaciones en que “se cuelga el sistema” y un banco puede así quedarse horas sin poder distribuir efectivo en sus cajeros; o piensen lo que le pasó a R.I.M., creador del Blackberry cuando se interrumpió su servicio por un tiempo largo por fallas en sus servidores
. Los eventos ligados a la ejecución, entrega y gestión de procesos, como pueden serlo errores que provocan pérdidas de cheques en un banco, o de correspondencia en una empresa de “courrier”, el no respeto de los plazos de entrega de mercaderías, los errores de codificación que pueden producir errores de facturación y hasta generar impagos artificiales, lo que provoca múltiples reclamaciones.
En un hospital, sería una operación mal efectuada, por ejemplo.
Es una tipología considerada como clásica, pero que puede ser difícil de aplicar tal cual en algunos casos, pues en realidad puede haber combinación de varios tipos de eventos, como en el caso de las catástrofes ambientales, donde pueden coexistir los daños a activos materiales con malas prácticas empresariales, fallas en los sistemas y una mala gestión de procesos; o el caso de edificios destruidos por un terremoto donde un factor contribuyente es el fraude externo (estafa en la calidad de los materiales utilizados, tal como varillas demasiado delgadas).
Evaluación del riesgo en un proyecto
22
Escrito por Hannah Wickford, Demand Media | Traducido por Ana María Guevara
Después de terminar de planear el alcance, la línea de tiempo, el presupuesto, las tareas y los logros de tu proyecto, todavía queda mucho planeamiento para hacer. Un gerente exitoso de proyectos es uno que planea con antelación para lo inesperado y evalúa los posibles riesgos futuros de impacto en el proyecto general. Involucra a tu equipo en el proceso para asegurarte de haber identificado todos los eventos adversos que puedan suceder y tener todo cubierto.
1
Identifica los eventos que pueden suceder a lo largo de la vida del proyecto que quieres impactar adversamente. Un efecto adverso es uno que cause que el proyecto se salga del presupuesto, pierda los plazos o falle. Estos riesgos pueden venir de factores de un amplio rango, incluyendo humanos, operacionales, de reputación, de procedimientos, naturales, financieros, técnicos, políticos y otros. Un riesgo operacional, por ejemplo, puede ser cómo una interrupción en los suministros podría impactar al proyecto, mientras que un riesgo natural puede ser un desastre natural.
2
Transfiere los riesgos a las partes interesadas externas cuando sea posible. Si has identificado problemas en la cadena de suministros como riesgo potencial, puedes considerar transferir eso a una empresa o especialista en operaciones.
3
Dale prioridad a los riesgos que has identificado. Clasifica cada riesgo en términos de impacto, qué tan probable o poco probable podría pasar realmente y qué tan bien puedes controlar el evento si sucede. Cuando evalúas el impacto de un riesgo, considera cómo podría afectar al alcance del proyecto, al presupuesto y a la línea de tiempo. Cuando sea apropiado, determina cuánto le costaría cada riesgo a la empresa si llegan a ocurrir.
4
Calcula la exposición de riesgos basándote en el impacto, la probabilidad y el control. Puntúa cada una a una escala que determines, como de insignificante a crítico o de alto a bajo. Aunque es de naturaleza humana colocar más énfasis en los riesgos que puedan causarle más daño al proyecto, si es un riesgo insignificante con una pequeña probabilidad de ocurrir realmente, tienes que centrarte en otros riesgos en su lugar.
5
Establece estrategias de evasión y mitigación de riesgos. Comienza al revisar el alcance de tu proyecto y elimina cualquier pieza que no sea esencial para completarse exitosamente. Mientras filtras el alcance, puedes encontrar
23
En lugar de tirar los dados con tu proyecto, analiza los riesgos
potenciales antes de empezar.
que muchos de los riesgos identificados ya no son relevantes. Para riesgos que tienen un alto nivel de control, haz planes para cómo puedes reducir el riesgo y minimizar su impacto si llegan a ocurrir.
6
Crea estrategias de contingencia, a veces llamadas "Plan B". Asigna cada riesgo a un miembro del equipo quien vigilará los indicadores o síntomas del riesgo a lo largo del proyecto. Esto te ayudará a reconocer los riesgos en desarrollo temprano, dándote la oportunidad de colocar contingencias en lugar antes de que se vuelvan críticas. Identifica qué son esas contingencias o cómo vas a contrarrestar el impacto del riesgo mientras sucede.
Matriz de Riesgo, Evaluación y Gestión de Riesgos
Cualquier actividad que el ser humano realice está expuesta a riesgos de diversa índole los cuales influyen de distinta forma en los resultados esperados.
La capacidad de identificar estas probables eventualidades, su origen y posible impacto constituye ciertamente una tarea difícil pero necesaria para el logro de los objetivos. En el caso específico de las entidades de intermediación financiera, el desempeño de estas instituciones depende de la gestión de los riesgos inherentes
a su actividad, tales como riesgos de crédito, mercado, liquidez, operativo, entre otros, algunos de ellos de compleja identificación y de difícil medición.
En los últimos años las tendencias internacionales han registrado un importante cambio de visión en cuando a la gestión de riesgos: de un enfoque de gestión tradicional hacia una gestión basada en la identificación, monitoreo, control, medición y divulgación de los riesgos. El siguiente cuadro muestra la diferencia entre el modelo tradicional y el nuevo
¿Qué es una Matriz de Riesgo?Una matriz de riesgo constituye una herramienta de control y de gestión normalmente utilizada para identificar las actividades (procesos y productos) más importantes de una empresa, el tipo y nivel de riesgos inherentes a estas actividades y los factores exógenos y endógenos relacionados con estos riesgos (factores de riesgo).
Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuada gestión y administración de los riesgos financieros que pudieran impactar los resultados y por ende al logro de los objetivos de una organización.
24
La matriz debe ser una herramienta flexible que documente los procesos y evalúe de manera integral el riesgo de una institución, a partir de los cuales se realiza un diagnóstico objetivo de la situación global de riesgo de una entidad.
Exige la participación activa de las unidades de negocios, operativas y funcionales en la definición de la estrategia institucional de riesgo de la empresa. Una efectiva matriz de riesgo permite hacer comparaciones objetivas entre proyectos, áreas, productos, procesos o actividades. Todo ello constituye un soporte conceptual y funcional de un efectivo Sistema Integral de Gestión de Riesgo.
¿Qué elementos deben considerarse en el diseño de una matriz de riesgo?
A partir de los objetivos estratégicos y plan de negocios, la administración de riesgos debe desarrollar un proceso para la “identificación” de las actividades principales y los riesgos a los cuales están expuestas; entendiéndose como riesgo la eventualidad de que una determinada entidad no pueda cumplir con uno o más de los objetivos.
Consecuentemente, una vez establecidas todas las actividades, se deben identificar las fuentes o factores que intervienen en su manifestación y severidad, es decir los llamados “factores de riesgo o riesgos inherentes”. El riesgo inherente es intrínseco a toda actividad, surge de la exposición y la incertidumbre de probables eventos o cambios en las condiciones del negocio o de la economía que puedan impactar una actividad. Los factores o riesgos inherentes pueden no tener el mismo impacto sobre el riesgo agregado, siendo algunos más relevantes que otros, por lo que surge la necesidad de ponderar y priorizar los riesgos primarios. Los riesgos inherentes al negocio de las entidades financieras pueden ser clasificados en riesgos crediticios, de mercado y liquidez, operacionales, legales y normativos estratégicos.
El siguiente paso consiste en determinar la “probabilidad” de que el riesgo ocurra y un cálculo de los efectos potenciales sobre el capital o las utilidades de la entidad. La valorización del riesgo implica un análisis conjunto de la probabilidad de ocurrencia y el efecto en los resultados; puede efectuarse en términos cualitativos o cuantitativos, dependiendo de la importancia o disponibilidad de información; en términos de costo y complejidad la evaluación cualitativa es la más sencilla y económica.
25
La valorización cualitativa no involucra la cuantificación de parámetros, utiliza escalas descriptivas para evaluar la probabilidad de ocurrencia de cada evento.
En general este tipo de evaluación se utiliza cuando el riesgo percibido no justifica el tiempo y esfuerzo que requiera un análisis más profundo o cuando no existe información suficiente para la cuantificación de los parámetros. En el caso de riesgos que podrían afectar significativamente los resultados, la valorización cualitativa se utiliza como una evaluación inicial para identificar situaciones que ameriten un estudio más profundo.
La evaluación cuantitativa utiliza valores numéricos o datos estadísticos, en vez de escalas cualitativas, para estimar la probabilidad de ocurrencia de cada evento, procedimiento que definitivamente podría brindar una base más sólida para la toma de decisiones, esto dependiendo de la calidad de información que se utilice.
Ambas estimaciones, cualitativa y cuantitativa, pueden complementarse en el proceso del trabajo de estimar la probabilidad de riesgo. Al respecto, debe notarse que si bien la valoración de riesgo contenida en una matriz de riesgo es mayormente de tipo cualitativo, también se utiliza un soporte cuantitativo basado en una estimación de eventos ocurridos en el pasado, con lo cual se obtiene una mejor aproximación a la probabilidad de ocurrencia del evento.
La valorización consiste en asignar a los riesgos calificaciones dentro de un rango, que podría ser por ejemplo de 1 a 5 (insignificante (1), baja (2), media (3), moderada (4) o alta (5))3, dependiendo de la combinación entre impacto y probabilidad. En la siguiente gráfica se puede observar un ejemplo de esquema de valorización de riesgo en función de la probabilidad e impacto de tipo numérico con escala:
Una vez que los riesgos han sido valorizados se procede a evaluar la “calidad de la gestión”, a fin de determinar cuán eficaces son los controles establecidos por la empresa para mitigar los riesgos identificados. En la medida que los controles sean más eficientes y la gestión de riesgos pro-activa, el indicador de riesgo inherente neto tiende a disminuir. Por ejemplo una escala de valoración de efectividad de los controles podría ajustarse a un rango similar al siguiente:
26
Finalmente, se calcula el “riesgo neto o residual”, que resulta de la relación entre el grado de manifestación de los riesgos inherentes y la gestión de mitigación de riesgos establecida por la administración. A partir del análisis y determinación del riesgo residual los administradores pueden tomar decisiones como la de continuar o abandonar la actividad dependiendo del nivel de riesgos; fortalecer controles o implantar nuevos controles; o finalmente, podrían tomar posiciones de cobertura, contratando por ejemplo pólizas de seguro. Esta decisión está delimitada a un análisis de costo beneficio y riesgo.
En el siguiente cuadro se muestra un ejemplo para calcular el riesgo neto o residual utilizando escalas numéricas de posición de riesgo
El cuadro anterior muestra en forma consolidada, los riesgos inherentes a una actividad o línea de negocio, el nivel o grado de riesgo ordenado de mayor a menor nivel de riesgo (priorización); las medidas de control ejecutadas con su categorización promedio y finalmente, se expone el valor del riesgo residual para cada riesgo y un promedio total que muestra el perfil global de riesgo de la línea de negocio.
27