TRIBUNA de Enrique Pino, responsable de Riesgo Operacional y Control Permanente, Securities Servicies BNP Paribas. Comentario patrocinado por Securities Servicies BNP Paribas.
El mundo financiero ha cambiado. Nos encontramos inmersos en un constante tsunami de cambios regulatorios, aparecen constantemente nuevos productos financieros consecuencia inequívoca de un cambio de mentalidad global que impacta de forma directa a los actores mercantiles y a los propios inversores. Todos buscan adaptarse a este nuevo mundo integrando en sus agendas conceptos como digitalización, IA, blockchain, ransomware, criptomonedas, tratando de adaptar regulación, procesos y decisiones de inversión a máxima velocidad.
Siendo cierto que nos movemos en un mundo en constante evolución y cambio, hay conceptos como el de riesgo operacional, uno más dentro de los riesgos financieros, como los de crédito, endeudamiento, cambios en tipos de interés, etc, que no han variado de forma significativa con el paso del tiempo. Los acuerdos de Basilea II ya definían en 2004 el riesgo operacional como el riesgo de incurrir en pérdidas debido a la inadecuación o a fallos de los procesos, del personal y de los sistemas internos, o bien a causas de acontecimientos externos y pocos o ningún cambio sobre esa definición se han llegado a producir desde entonces.
Esta definición, centrada en la inadecuación o fallos de procesos internos y externos, conlleva un mandato implícito: corresponde a las entidades definir metodologías que permitan anticipar estos riesgos operacionales y monitorizarlos de forma efectiva. Siendo esto así, la existencia o no de cuatro pilares fundamentales marcan una clara diferencia entre un marco de control operacional robusto, y otro que no lo es.
Procedimientos claros, precisos y con fundamento
El conjunto de normas que deben aplicarse en los procesos operacionales debe ser comprensible, accesible y recogerse en un corpus que permita a cualquiera entender qué se hace y por qué se hace. La Circular 6/2009, de 9 de diciembre, de la Comisión Nacional del Mercado de Valores, sobre control interno de las sociedades gestoras de instituciones de inversión colectiva y sociedades de inversión, establece que una de las principales funciones de la gestión de riesgos no es otra que establecer, aplicar y mantener procedimientos adecuados de gestión del riesgo de las actividades de la propia SGIIC, algo que es extrapolable a cualquier otro ámbito en el mundo bancario. Los procedimientos son nuestra carta de presentación ante cualquier actor que necesite revisar procesos internos, auditores, reguladores e incluso clientes en determinados casos, y la regulación no le da precisamente poca importancia.
Controles adecuados y con el objetivo de minimizar riesgos
Si ya tenemos procedimientos, estos deben tener entre otros objetivos no solo definir la actividad, deben además definir riesgos, operacionales incluidos, y controles que pretendan mitigar o eliminar esos riesgos. Podemos asegurar sin miedo a equivocarnos que el riesgo cero en el ámbito financiero, como o en cualquier ámbito de la vida, no existe. Es responsabilidad de todos los actores que participan del mundo financiero tomar medidas que mitiguen o eviten esos riesgos, siendo además fundamental documentar, evidenciar y demostrar las medidas tomadas.
¿Quién debería definir y ejecutar esos controles operacionales? Los propios expertos que gestionan la actividad. Son ellos quienes están en la mejor posición para detectar campos de mejora y levantar el muro de escudos en caso de ser necesario dentro del ámbito de su gestión de la operativa diaria. ¿Deben ser esos controles revisados por funciones independientes que aseguren su correcta ejecución y formalización? Rotundamente, sí. La adecuación de los controles debe estar regida por el apetito de riesgo de la entidad, y asegurar que cumple con los estándares marcados por la dirección del negocio y de las funciones de control y gestión de riesgos.
Gestión de incidencias
A veces, los controles fallan o resultan insuficientes. Es inevitable cometer errores, pero siendo esto cierto resulta imprescindible aprender de ellos y evitar que vuelvan a ocurrir. Para ello, es necesario disponer de herramientas e infraestructuras que permitan llevar un correcto seguimiento y dar respuesta ante incidentes operacionales.
La organización en su conjunto, desde la dirección a cualquier empleado, deben estar sensibilizados en materia de incidencias, y la entidad tiene que disponer de un plan de acción que permita identificar, analizar y resolver las mismas en el menor tiempo posible, ayudando a reducir el tiempo de inactividad y minimizando molestias a clientes y empleados. La aplicación de procesos sólidos de gestión de incidencias y una evaluación periódica de esos procesos, aseguran una adecuada preparación ante eventualidades, mitigando a la vez consecuencias negativas.
Cartografía de riesgos
¿Dónde y cómo formalizar todo lo anterior? Las distintas líneas de negocio tienen que poder identificar y formalizar la evaluación de procesos, riesgos y controles operativos en una cartografía que permita evidenciar formalmente los puntos anteriormente mencionados. El objetivo no es otro que definir y priorizar las acciones de mitigación, controles, planes de acción, etc, de las principales áreas de riesgo a efectos de análisis.
Dicho ejercicio debe ser capaz de mostrar a la dirección general una imagen global y resumida de los mayores riesgos a los que se enfrenta la entidad, y debe permitir a la dirección de cada unidad de negocio conocer sus principales riesgos operativos y puntos que mitigan dichos riesgos. Este ejercicio debe realizarlo la primera línea de defensa (equipos operacionales), y debe ser revisado y validado por el resto de las funciones de control de la organización, garantizando la correcta ejecución del ejercicio.
En BNP Paribas se garantiza la segregación de las distintas funciones de control en niveles, lo que permite que de forma independiente se rete a los equipos operacionales sobre la calidad del marco de control vigente en sus procesos operativos.
- El primer nivel de defensa, integrado en el propio proceso operacional y bajo la responsabilidad de la dirección de operaciones, realiza una gestión integral de riesgos operativos. Identifica los riesgos considerados más relevantes, autoevalúa los mismos y crea controles para mitigarlos de forma efectiva.
- El segundo nivel de defensa, independiente del primer nivel y bajo responsabilidad de las distintas funciones de control del grupo (compliance, finanzas, legal y riesgos), define el marco normativo y evalúa la correcta identificación, ejecución y pertinencia de los controles definidos por el primer nivel. Realiza a su vez sus propios controles independientes basados en los realizados por el primer nivel y puede sugerir recomendaciones o planes de acción a los distintos equipos de operaciones.
- El tercer nivel, auditoría interna, está compuesto por un equipo independiente de inspección general que se encarga de verificar y evaluar todo el marco de control permanente definido en las dos primeras líneas de defensa según un ciclo de auditoría específico. Reporta a la dirección de la entidad y del grupo tanto a nivel local como territorial y puede igualmente recomendar planes de acción a cualquier nivel de control.
Cuatro pilares bien cimentados evitan muchos inconvenientes y generan certeza frente a la incertidumbre. Aun existiendo multitud de riesgos intrínsecos y globales, que dependen de componentes difícilmente controlables, cambios regulatorios, climáticos, sociales, geopolíticos, o pandemias como la recientemente sufrida, y sabiendo que el cambio es imparable y constante, las entidades financieras deben tomar acción y esforzarse en mitigar y evitar exponerse a riesgos que sí son de su competencia como lo son los riesgos puramente operacionales.