RIESGOS OPERATIVOS Y FINANCIEROS
Anuncio
RIESGOS OPERATIVOS Y FINANCIEROS PRODUCTOS BANCARIOS, SEGUROS Y RENTABILIDAD ESPERADA: RIESGOS Autor: Karol Montero Ulate Resumen Un crédito bancario debe ser respaldado por una póliza de seguro como una manera de trasladar el riesgo de no pago por muerte o pérdida del bien, a una tercera entidad. Aunque la actividad principal de los bancos costarricenses es la colocación de productos financieros, un derivado a este negocio son los seguros. El éxito en la administración de pólizas colectivas consiste en lograr una gestión limpia de los riesgos operativos. Un modelo que se puede implantar para la administración de estos es el ERM o Enterprise Risk Management. Sin embargo; en la gestión de riesgos e independientemente del modelo utilizado, se debe poseer un sistema de control interno (SCI), que vele por el cumplimiento de los objetivos estratégicos y que se adapte a las necesidades del negocio, siempre y cuando sea factible técnica y económicamente. El éxito del SCI va a radicar en el compromiso de los involucrados en el proceso y para lograr ese compromiso la comunicación es la clave. Palabras claves: Crédito / Póliza / Seguro / Riesgo / Enterprise Risk Management / Sistema de control interno. Abstract A bank loan must be guarantee by an insurance policy, as a way to translate the risk of not getting paid for death or damages to the goods covered. Although the main activity of Costa Rican banks is placement of financial products, but the insurance is another way to make business. The successful of the insurance policies management consist in accomplish a clean management of the operational risks. A model that can be implant is the Enterprise Risk Management (ERM). However, is very important to execute an internal control system which help to accomplish the strategic objectives and adapt to the needs of the business, obviously it has to be economical and technical feasible. The staff involved in the process must be commitment in the execution of the internal control and the communication is the key. Key words: Credit/ Policy/ Insurance/ Risk/ Enterprise Risk Management/ Internal control. Karol Montero Ulate Página 1 RIESGOS OPERATIVOS Y FINANCIEROS ANTECEDENTES En sus inicios, la banca costarricense era una banca privada (el primer banco se fundó en 1858), pero en 1948 se nacionaliza el Sistema Bancario Nacional. El objetivo principal de la nacionalización bancaria era establecer un monopolio a favor de los bancos con el fin de captar recursos, bajo el principio de que los depósitos y concesiones de crédito eran de carácter público. En los años ochentas, durante el gobierno de Don Rodrigo Carazo (19781982), se le permite más participación a la banca privada. En Costa Rica, hasta mediados de los años noventas, las personas que podían tener acceso a un producto bancario eran solo una pequeña parte de la población, ya que las tasas de interés eran muy altas y la oferta de crédito, limitada. En 1986, el margen de intermediación rondaba en 10,05% y la tasa básica pasiva su ubicaba en 19,71%; en 1991, la tasa básica pasiva llegó al 31.89%. Esto se puede explicar en razón de que a los bancos les resultaba difícil ser eficientes por las altas tasas de encaje legal, la imposición de topes de cartera y la inversión forzosa en bonos de bajo rendimiento. En 1988 se publica el acuerdo “Basilea I”, que hace mención específica del riesgo de crédito. Dicho acuerdo estableció que el capital mínimo de una entidad bancaria debía representar el 8% del total de sus activos de riesgo. Con la gestión del riesgo de una operación bancaria se crean nuevas políticas y requisitos para la formalización de un crédito, como los seguros. Entonces el deudor, además de pagar por el préstamo, debía suscribir una póliza de vida y del bien en garantía. El seguro es un contrato entre el asegurado y el asegurador, según el cual, el primero, a cambio del pago de una prima, está protegido, en ciertos casos, por el segundo, quien debe pagar el monto asegurado si se diera la materialización del siniestro, el cual, en el caso de una póliza de vida, sería la muerte del asegurado. Las formas más antiguas de seguros eran los llamados “contratos a la gruesa”, que fueron iniciados por los babilonios y los hindúes. Estos contratos consistían en que una persona dueña de un barco adquiría un préstamo para comprar carga y financiar el viaje; sin embargo, si el barco o la carga se perdían durante el viaje, el préstamo se daba por cancelado. En Costa Rica, el mercado de seguros antes del 2008 era un monopolio estatal. El Instituto Nacional de Seguros (INS) fue creado mediante la ley #12 del 30 de octubre de 1924, con el propósito de responder a las necesidades de protección de la sociedad costarricense. El INS, para poder responder a la demanda de seguros, trabajaba mediante comercializadoras, las cuales obtenían un porcentaje de comisión por la emisión, la renovación y el cobro de las pólizas. Con la apertura del mercado, las comercializadoras debían escoger entre seguir siendo comercializadoras (sociedades agencias del INS), o Karol Montero Ulate Página 2 RIESGOS OPERATIVOS Y FINANCIEROS corredoras de seguros. La diferencia radica en que la sociedad agencia solo puede colocar los productos del INS, y la corredora de seguros coloca los seguros de cualquier aseguradora que opere en el país. En el 2004, se firma el acuerdo “Basilea II”. Este acuerdo le da gran importancia a la administración del riesgo operativo e indica que hay tres métodos para medirlo: Método del indicador básico, Método Estándar y Método de medición avanzada. La administración de riesgos operativos se dificulta porque estos responden a acontecimientos heterogéneos y no siempre es fácil detectarlos, ya que no los conocemos, bien sea por la falta de estandarización de procesos o por la poca transparencia del flujo. Es importante recalcar que Basilea II, también estudió los problemas bancarios para identificar las fuentes mayores de deficiencias de control interno. El estudio arrojó cinco categorías de deficiencias de control: 1. Carencia de una adecuada vigilancia y responsabilidad por parte de la administración y el fracaso en desarrollar una fuerte cultura de control dentro del banco. 2. Reconocimiento y valuación inadecuados de los riesgos en ciertas actividades bancarias, ya sea dentro o fuera de balance. 3. La ausencia o fracaso de estructuras y actividades claves de control, tales como: la segregación de funciones, aprobaciones, verificaciones, reconciliaciones y revisiones del rendimiento operativo. 4. Comunicación inadecuada de información entre los niveles de la administración del banco, especialmente en la comunicación de problemas hacia niveles superiores. 5. Inadecuados o inefectivos programas de auditoría y de monitoreo de actividades. La era de la tecnología y de los sistemas de información llegó a los bancos costarricenses para automatizar los procesos, lo que permitió tener mayor eficiencia, ofrecer un superior servicio y controlar mejor las transacciones. Sin embargo; no todo es color de rosa, ya que la administración depende totalmente de estos sistemas, no solo para las operaciones diarias sino también para la toma de decisiones gerenciales. El fallo de estos sistemas y la manipulación de los mismos para cometer fraudes representan un riesgo operativo cuyas consecuencias pueden llegar a materializarse en importantes pérdidas económicas para la entidad. Debido a la necesidad inminente de administrar los riesgos operacionales y de velar por el cumplimiento de los objetivos estratégicos, surge el llamado “control interno”. Éste debe velar por la efectividad y eficiencia en las operaciones, la confiabilidad de la información Karol Montero Ulate Página 3 RIESGOS OPERATIVOS Y FINANCIEROS financiera y el cumplimiento de la normativa, reglamentos y leyes. La SUGEF estipula que toda entidad bancaria debe contar con oficiales de control interno, administradores de riesgos y oficiales de cumplimiento, que vigilen por el uso de prácticas bancarias sanas, necesarias para la solidez del sistema. Además, el CONASIF (Consejo Nacional de Sistema Financiero) crea el reglamento sobre la gestión de la Tecnología de Información y lo publica el 12 de marzo de este año (2009). PRODUCTOS BANCARIOS Y SEGUROS La administración de los riesgos operativos en una entidad bancaria no es fácil, por lo que existen manuales y normativas que procuran regular el correcto funcionamiento de los procesos. La colocación de seguros no es un producto directo del banco, sino una herramienta de la gestión del riesgo por colocación de activos, como lo son las operaciones bancarias. Sin embargo, los bancos han encontrado en el mercado de seguros un negocio rentable, pero la administración de esa cartera se ha convertido en un reto para los empleados de esas instituciones, quienes no conocen cómo funcionan realmente los seguros. Con la apertura del mercado de seguros, el Banco de Costa Rica obtiene el aval para la correduría de seguros en febrero 2009 y el Banco Nacional, en octubre del mismo año, con la esperanza de poder ofrecer a sus clientes las mejores opciones del mercado. Sin embargo, actualmente solo se pueden colocar los productos del INS. Las líneas de seguros que más se utilizan en un banco son: pólizas colectivas de vida, pólizas colectivas de vehículos y pólizas de incendio. Solo el Banco de Costa Rica posee aproximadamente 60.000 operaciones, lo que significa 60.000 pólizas de vida. El deudor, cuando adquiere el préstamo, suscribe una póliza que lo cubre por muerte o incapacidad permanente, a cambio del pago de una prima que llega al 0.052% del monto asegurado y dejando como beneficiario de la misma a la entidad que le otorga el préstamo. Es decir, si usted tiene un préstamo de un millón de colones su prima mensual va a ser de quinientos veinte colones. Las pólizas colectivas de vida se dividen de acuerdo a la moneda en que se contrata el seguro, que podrían ser colones o dólares. Además, cuentan con un tope o máximo de monto asegurado, que es de quinientos mil dólares en este momento. Las personas mayores de 65 años pueden optar por un seguro, pero deben pagar un recargo por el riesgo adicional que implica su edad, lo cual obviamente encarece la prima. ¿Cómo administrar carteras de más de 60.000 pólizas de diferentes líneas? ¿Qué se necesita para lograr con éxito los objetivos? Aclaremos que quienes hacen la colocación de los préstamos son los ejecutivos, es decir, el personal capacitado en el producto Karol Montero Ulate Página 4 RIESGOS OPERATIVOS Y FINANCIEROS bancario, pero no en los seguros como tales. Ellos le admiten el seguro al cliente e ingresan la información en los sistemas y, a la vez, envían los papeles a la comercializadora o corredora de seguros. Estas se encargan de darle el trámite y seguimiento correspondiente. Los riesgos operacionales se incrementan, pues el flujo de procesos no es lineal, ya que desde las oficinas más pequeñas, ubicadas en lugares alejados como Upala, por ejemplo, deben enviar la documentación hasta la corredora o comercializadora, que está ubicada generalmente en la meseta central y el cliente no va a estar asegurado sino hasta que se le realice el trámite. ¿Cómo se deben gestionar los riesgos operativos y los riesgos financieros que resultan como materialización de los primeros? En setiembre de 1998, se publica el artículo “Operational Risk Management”, por el comité de Basilea II. Antes de esta publicación no existía una definición explícita de riesgo operativo, inclusive las entidades lo definían como “el conjunto de todos aquellos riesgos no incluidos en los riesgos de mercado, de crédito ni de liquidez”, lo cual obstaculizaba identificar las causas y las fuentes de riesgo. Los estudios realizados por Basilea II dejaron en evidencia la importancia de una buena gestión de los riesgos operacionales. El “Nuevo marco de capitales de Basilea II” publicado en el 2006, establece buenas prácticas y un marco para la definición, medición, gestión, supervisión y difusión de estos riesgos. Basilea lo define como: “Riesgo operacional es el riesgo de sufrir pérdidas debido a la inadecuación o a fallos en los procesos, personal y sistemas internos o bien por causa de eventos externos”. Los riesgos operacionales aparecen divididos en tres niveles. El primer nivel (el que nos interesa para efectos de este articulo) abarca los siguientes riesgos: Fraude interno, fraude externo, relaciones laborales y seguridad en el puesto de trabajo, incidencias en el negocio y fallos en los sistemas, daños a activos reales, clientes, productos y prácticas empresariales así como ejecución, entrega y gestión de procesos. El riesgo operacional incluye el riesgo legal, pero excluye riesgo reputacional, estratégico y sistémico. El riesgo legal es la posibilidad de ser sancionado, recibir una multa o demanda, como resultado de la materialización de riesgo operacional. El Financial Stability Institute (FSI), sugiere la siguiente definición: “El riesgo legal es el riesgo por contratos impracticables, juicios, sentencias adversas o por procedimientos legales que interrumpan o afecten adversamente a las operaciones o condiciones del banco” En este punto tenemos claro que la administración de los riesgos operacionales es indispensable, pero ¿qué medidas se deben de tomar? Aquí es donde el gerente adquiere un papel protagónico en la gestión de planificación y control y en la definición de objetivos Karol Montero Ulate Página 5 RIESGOS OPERATIVOS Y FINANCIEROS y metas que van a marcar la estrategia de la organización. Según los autores del libro “Presupuestos, planificación y control”, las orientaciones primordiales a las metas son: el rendimiento sobre la inversión y la contribución a la mejoría económica y social del medio ambiente. Además, afirman que el éxito de la empresa va a depender del compromiso con el logro de los objetivos de las personas involucradas, desde los gerentes hasta los empleados operacionales. La motivación de todos ellos es muy importante; un empleado motivado es más productivo que uno que no lo está. Se ha demostrado esto en el promedio de ausencias e incapacidades y en la rotación promedio de movilidad laboral. Además, en cuanto a los riesgos operativos, un empleado mejor capacitado y comprometido se convierte en un factor de control del riesgo. La planificación y control integral de utilidades (PCU) constituyen una herramienta que permite obtener una gestión óptima de los recursos. Dicho modelo (PCU) comprende el desarrollo de objetivos generales y de largo alcance de la empresa, la especificación de las metas de la compañía, el desarrollo de un plan estratégico de utilidades de largo alcance, la especificación de un plan táctico de utilidades de corto plazo, el establecimiento de un sistema de informes periódicos de desempeño y el desarrollo de recursos de seguimiento. El proceso de planificación puede tener como base la teoría de proyecciones de Ackoff: 1. Una proyección para referencia: En resumen, es cómo puede estar la empresa en un futuro si no se hiciera nada en la actualidad, sin innovaciones, sin medidas y sin cambios. 2. Una proyección anhelada o altamente optimista: Sueños, esperanzas, cómo queremos que esté la empresa en el futuro; sería el cumplimiento de todos los objetivos y más allá. 3. Proyección planificada o lo más probable: Es realista, consiste en hacer un análisis de la situación de la empresa y, con base en él, tomar las medidas necesarias para el cumplimiento de los objetivos y metas. También ha surgido una cuarta proyección, que se ha llamado “proyección de tensión”. Es factible, pero presiona a los recursos humanos, económicos y de infraestructura hasta el límite de su capacidad. El marco para evaluar los sistemas de control interno que se incluye en Basilea II, afirma que un sistema de control interno eficaz es un componente esencial de la gestión bancaria y el fundamento de operaciones seguras y sensatas. Además se puntualiza que un sistema de control estricto contribuye al logro de metas y objetivos y al cumplimiento del marco legal del sistema financiero nacional. Es por eso que la SUGEF advierte de la importancia de las prácticas bancarias sanas para la continuidad del negocio y la solidez del mercado. Karol Montero Ulate Página 6 RIESGOS OPERATIVOS Y FINANCIEROS Entonces, podemos afirmar que el riesgo operacional en la administración de los seguros de los activos financieros de un banco puede administrarse correctamente, siempre y cuando exista un sistema de control interno que respalde y apoye el logro de los objetivos y metas, con procesos limpios y dentro de la legalidad que los alcanza. El riesgo y rendimiento de un activo financiero van de la mano y, para que un proyecto sea factible, debe cumplirse la premisa de que “a mayor riesgo, mayor rendimiento”; si no es así, no valdría la pena ejecutarlo. ¿Qué es el análisis de riesgos? ¿Cuál es un nivel de riesgo aceptable para un banco? Según Juan Gaspar Martínez, autor del libro: “Planes de contingencia”, los objetivos de un análisis de riesgos son: Análisis y reducción de los riesgos a que está expuesta la organización. Identificación de amenazas y vulnerabilidades. Identificación de riesgos potenciales. Probabilidad y consecuencias. Determinación de niveles aceptables de riesgo. Alternativas. Compromiso de la dirección. En el riesgo se deben de tener en cuenta seis elementos: 1. 2. 3. 4. 5. 6. Valor de los activos. Frecuencia de la amenaza. Impacto de la amenaza. Eficacia de las medidas de seguridad adoptadas. Costo de estas medidas. Incertidumbre. De ahí que, para el análisis de riesgos de la administración de los seguros de productos bancarios, se debería analizar cuáles son esos riesgos que pueden entorpecer la continuidad del negocio. Según mi poca experiencia en el campo, estos son: fallos en los sistemas de información, personal no capacitado, negligencia, omisión y falta de estandarización de procesos y fraude, entre otros. Para mí, el más crítico de todos es el riesgo relacionado con las fallas de los sistemas de información. Estos últimos son una herramienta que han facilitado la operatividad y la administración de carteras de seguros colectivos. En Costa Rica, el software comúnmente utilizado en este sector es el Sistema Administrador de Pólizas (SAP), que es una fórmula que trabaja de manera integral con el software que administra los productos bancarios. Un fallo en este sistema puede significar diferencias en cobros, sobrecobros o que del todo no se le cobre al cliente la prima del seguro. Karol Montero Ulate Página 7 RIESGOS OPERATIVOS Y FINANCIEROS El departamento de tecnologías de información es el encargado de evaluar y diseñar los requerimientos de un sistema. Sin embargo, el problema es que las personas que laboran en ese departamento no son quienes van a usar el sistema; ellos deben de escuchar a los dueños de los procesos e interpretar sus necesidades y transferirlas al diseño del mismo. La parte crítica, entonces, es que el sistema se ajuste a esas necesidades y cumpla con los requerimientos demandados. Conforme el negocio se innova y se reinventa, las necesidades cambian, por ende, un sistema no es para siempre; en determinado momento, debemos de obtener versiones actualizadas, que se ajusten a las nuevas necesidades. Los bancos estatales se enfrentan a un mayor reto, que es el exceso de trámites en la contratación administrativa. En 1996, se promulga una nueva ley que rige la contratación administrativa de Costa Rica, pero ésta siguió arrastrando viejos problemas y procedimientos obsoletos que retardan la adquisición de bienes e implementación de servicios. La ejecución de la nueva versión de un sistema (lo que los técnicos llaman “migración”), también comporta riesgos operativos de la mano. Sin querer faltar a la confidencialidad del caso, me gustaría ampliar este tema con un ejemplo. Una entidad bancaria costarricense se vio fuertemente afectada cuando adquirió una versión actualizada del sistema administrador que estaban utilizando en ese momento. El problema inicial consistió en que los requerimientos del nuevo sistema se habían hecho cuatro años atrás de la implementación. Cuando ponen a funcionar el sistema, éste ya no satisfacía las nuevas necesidades. Pero eso no fue lo más grave, sino que, cuando se hace la migración y el nuevo sistema empieza a funcionar, no se realizaron las pruebas mínimas necesarias porque el personal a cargo no cumplía con las competencias ni con el perfil deseado, es decir, eran personas no capacitadas y sin experiencia. Ante las anteriores circunstancias, es probable que el sistema falle y que no se detecten a tiempo errores en la carga de pagos, vigencias, fechas, lo cual puede desencadenar diferencias en los cobros y en el control de las renovaciones de las pólizas. Tomando en cuenta que las personas a cargo del proyecto no están preparadas para manejar dicho escenario, las repercusiones y consecuencias serían clientes molestos, mayor carga de trabajo por reintegros, descontrol de la operativa, pérdida de imagen y credibilidad y mayores costos. Con lo anterior queda en evidencia que la administración de los sistemas de información es fundamental, que la fusión entre el administrador de sistemas y el gerente es vital y que, definitivamente, ambos son factores que influyen en la continuidad del negocio. Por eso, los riesgos relacionados con éste deben de gestionarse con mucho cuidado y, a partir de este punto, podemos ver la necesidad de un control interno estricto pero compatible Karol Montero Ulate Página 8 RIESGOS OPERATIVOS Y FINANCIEROS para el cumplimiento de los procesos y de la normativa de un banco o de cualquier empresa en general. El control es un conjunto de normas, procedimientos y técnicas a través de las cuales se mide y corrige el desempeño de una entidad para asegurar la consecución de objetivos y técnicas. Como conjunto constituye un todo. Por ello está muy ligado al poder y busca asegurar la consecución de los objetivos (Mantilla, 2005). Probablemente la primera definición de control interno fue publicada en Estados Unidos en 1949: “El control interno comprende el plan de la organización y todos los métodos y medidas coordinados que se adoptan en un negocio para salvaguardar sus activos, verificar la exactitud y la confiabilidad de sus datos contables, promover la eficiencia operacional y fomentar la adherencia a las políticas prescritas”. Con el pasar de los años y después de varias crisis financieras alrededor del mundo, el interés por el control se ha incrementado, al evidenciarse que muchas pérdidas se pudieron evitar si se hubiera contado con controles sólidos que los detectaran a tiempo. La definición más real de control interno, en mi concepto, es la siguiente: “Control interno es un proceso efectuado por la junta de directores, la administración principal y todos los niveles del personal. No es únicamente un procedimiento o una política desempeñada en un cierto punto del tiempo, sino que está operando continuamente en todos los niveles dentro del banco. La junta de directores y la administración principal son responsables por el establecimiento de la cultura apropiada para facilitar un efectivo proceso de control interno y por monitorear su efectividad sobre una base ongoing; sin embargo, cada individuo dentro de una organización tiene que participar en el proceso”. (Mantilla, 2005). En una entidad bancaria, los controles internos efectivos son un componente crítico y fundamento de operaciones sanas. En el campo del cumplimiento, el control se encarga de velar por el seguimiento de leyes y normativas y por el logro de los objetivos estratégicos. Basle Committee indica los cinco elementos del control interno: 1. 2. 3. 4. 5. Supervisión por parte de la administración y cultura de control. Reconocimiento y valoración de riesgos. Actividades de control y segregación de obligaciones. Confiabilidad e integridad de la información financiera y gerencial. Cumplimiento con leyes y regulaciones. Karol Montero Ulate Página 9 RIESGOS OPERATIVOS Y FINANCIEROS La forma en que el banco identifica, analiza y evalúa los riesgos es parte fundamental del control interno. Las actividades de control ayudan a que se tomen las acciones necesarias para orientar los riesgos hacia la consecución de los objetivos de la entidad. Por ello los auditores se preocupan por los riesgos asociados a la información financiera confiable. Existen ciertos factores que pueden aumentar el riesgo de informes financieros incorrectos, los cuales se pueden resumir en los siguientes: Cambios en el ambiente regulador u operacional de la organización. Cambios en el personal. Implementación de un sistema de información nuevo o modificado. Rápido crecimiento de la organización. Cambios en tecnología que afectan los procesos de producción. Introducción de nuevas líneas de negocios, productos o procesos. Reestructuraciones corporativas. Expansión o adquisición de otras operaciones. Adopción de nuevos principios de contabilidad o principios de contabilidad que cambian. Cualquiera de las metodologías utilizadas para el diseño de un plan de seguridad irá de lo general a lo particular, estableciendo criterios de aproximación y permitiendo la adopción de políticas, procedimientos y normas. Pero si se pretende detectar las vulnerabilidades de la organización ante las amenazas a las que está expuesta, el análisis deberá hacerse de forma detallada revisando entornos, sistemas, departamentos, usuarios, etc. Otro punto importante es la fluidez de la información; los empleados deben recibirla de una manera oportuna y veraz para que puedan cumplir con sus responsabilidades y funciones. La comunicación debe ser clara y todos deben conocer cuál es el papel que están jugando en el control interno. Por ejemplo, si el banco establece un proceso de control de emisiones mediante una bitácora, pero no se indica claramente el objetivo y la importancia de este control, los empleados difícilmente se sentirán identificados y comprometidos con el proceso y puede llegar a omisiones del mismo. La información que se genera a lo interno es esencial en la toma de decisiones y la calidad de la misma constituye un activo que se convierte en una ventaja competitiva, siempre y cuando cumpla con las siguientes características: oportunidad, actualización, razonabilidad y accesibilidad. En el banco debe existir una cultura organizacional de control fuerte y, para ello, los gerentes deben ser concisos y congruentes en sus acciones. La ética profesional de los dirigentes debe ser un ejemplo para sus colaboradores y ellos mismos son los que marcan la pauta, ya que la efectividad va a depender de la integridad y de los valores éticos del personal que es responsable de crear, administrar y monitorear. Karol Montero Ulate Página 10 RIESGOS OPERATIVOS Y FINANCIEROS Entonces se puede afirmar que el control interno es responsabilidad de todos los empleados de un banco, obviamente en grados distintos, pero es de suma importancia que cada uno tenga claro la trascendencia de cumplir con los procesos en forma responsable y de comunicar problemas en los procesos, incumplimientos que sirvan para detectar, prevenir y corregir posibles situaciones de riesgo, por lo que la gerencia debe establecer normas de conducta que desestimulen actos deshonestos e ilegales. Los sistemas de control interno deben de monitorearse; esto significa tener como un hábito la supervisión para valorar el desempeño presente, si se está cumpliendo con los objetivos y, si no es así, tomar las medidas del caso. Además, eso permite medir la efectividad y aplicación a los procesos actuales ya que, conforme el banco innova sus negocios, las necesidades de control cambian, por lo que se tienen que ir adaptando a las nuevas exigencias. Según la teoría del control interno, la evaluación de riesgos debería identificar y evaluar factores o elementos que pueden afectar de forma negativa el logro de los objetivos, la fluidez y calidad de la información y el cumplimiento de la normativa y marco jurídico en general. Las actividades de control son políticas y procedimientos que deben ser parte integral de las operaciones diarias de un banco. Se debe establecer una estructura de control que garantice eficiencia y defina la participación de cada una de las partes en las actividades a realizar, las cuales deben incluir lo siguiente: análisis de alto nivel, controles apropiados de actividad, controles físicos, verificación periódica del cumplimiento con los límites de riesgo, sistema de aprobación y autorización, sistema de verificación y conciliación. Estas actividades siguen tres pasos: formulación de políticas, ejecución de procedimientos y verificación de cumplimiento. (Basilea II, 2006). Las revisiones de desempeño le dicen a los gerentes si el personal está trabajando en la dirección del alcance de los objetivos estratégicos del banco, si los resultados no son los esperados, si se deben hacer cambios en las estrategias o tomar acciones correctivas. El éxito relativo, en gran medida, se puede deber a que no está acompañado de un proceso paralelo de evaluación del desempeño del personal, a través del cual se utilicen efectivamente los sistemas de control para premiar o felicitar a los encargados, cuando los resultados son buenos o para penalizarlos en caso contrario. Por lo tanto, en el caso de la administración de las pólizas, es importante evaluar el desempeño de las personas a cargo de estos procesos y, si no se obtiene el desempeño mínimo esperado, se debe analizar las causas: si éstas responden a problemas en el diseño o estructura del puesto, ya sea por sobrecargo de funciones o ya sea porque el empleado no está dando el 100%, o no tiene las competencias necesarias para manejar sus funciones. Karol Montero Ulate Página 11 RIESGOS OPERATIVOS Y FINANCIEROS Sin embargo, cuando un sistema de control permite medir resultados, pero estos carecen de efectos concretos sobre las personas responsables, el sistema de control pierde su razón de ser, ya que los responsables de las áreas perciben que el sistema no cumple ningún propósito o es innecesario y piensan que cualquier tiempo o esfuerzo invertido en este procedimiento no vale la pena y más bien es algo obsoleto o burocrático. En este sentido, se tiene que ser muy cauteloso en diferenciar y dejar clara la importancia del sistema y las consecuencias de las omisiones, máxime en entidades bancarias estatales, las cuales están llenas de procesos burocráticos. El diseño de un adecuado Sistema de Control Interno (SCI) implica no solo un dominio técnico sobre la materia sino también un conocimiento del medio específico en el cual se va aplicar. Se tiene que considerar la relación costo-beneficio ya que el costo de cada componente del SCI debe ser menor al beneficio general, al aporte de la reducción de los riesgos y al impacto que tiene en el cumplimiento de las metas de la organización. Tiene que existir un equilibrio y evitar contraer costos excesivos innecesarios. Otro punto a considerar es que la regulación innecesaria puede llegar a limitar la pro actividad y grado de iniciativa de los colaboradores. Por lo tanto, es necesario que el gerente del banco, con ayuda de sus auxiliares, defina y ponga en marcha el SCI que mejor se ajuste a la misión, las necesidades y la naturaleza de la organización. Es importante reconocer que el control interno tiene ciertas limitaciones, puesto que en el desempeño de las revisiones pueden cometerse errores debidos a equívocos en las instrucciones, errores de juicio, descuido, distracción o fatiga. Adicionalmente, sin la participación activa de la junta directiva y un departamento de auditoría interno efectivo, la alta gerencia puede invalidar fácilmente el control interno. Por otra parte, las actividades de control dependientes de la separación de funciones pueden ser burladas por colusión entre empleados (Whittington, 2000). Hasta este punto queda claro que los riesgos operativos pueden administrarse con un nivel de riesgo aceptable si aplicamos un sistema de control interno efectivo. Sin embargo, ¿cómo una entidad bancaria costarricense puede administrar los riesgos financieros de la cartera de seguros de sus activos? Primero se debe identificar cuál puede ser un riesgo financiero y cómo conseguir disminuirlos. Para efectos de este artículo nos van a interesar los riesgos financieros resultantes de la materialización de los riesgos operativos, es decir, los costos financieros asociados a siniestros operacionales y al riesgo de no obtener el retorno mínimo esperado de la operativa de los seguros de productos bancarios. En el contexto del presupuesto de capital, el término “riesgo” se refiere a la posibilidad de que un proyecto resulte inaceptable o al grado de variación de los flujos de efectivo. Los Karol Montero Ulate Página 12 RIESGOS OPERATIVOS Y FINANCIEROS proyectos con una pequeña posibilidad de aceptación y un intervalo amplio de flujos de efectivo esperados son más arriesgados que los proyectos que tienen una alta posibilidad de aceptación y un intervalo reducido de flujos de efectivo esperados. (Gitman, 2007). Sin embargo, partimos del hecho de que los seguros constituyen un proyecto rentable, que proporciona a las entidades bancarias una opción de diversificación de productos y que, además, les da la posibilidad de obtener ingresos adicionales. Por ejemplo, el Banco de Costa Rica obtuvo en el primer semestre del 2009, trescientos dieciocho millones de colones en utilidades por concepto de colocación de seguros (Informe Financiero Banco de Costa Rica segundo semestre 2009). Los administradores financieros tratan generalmente de evitar el riesgo. La mayoría de los administradores tienen aversión al riesgo aunque se dice que “a mayor riesgo, mayor rendimiento”. Para evaluar el nivel general de riesgo de un activo específico se utiliza el análisis de sensibilidad y las distribuciones de probabilidad. El análisis de sensibilidad utiliza varios cálculos del rendimiento posible, para obtener una percepción del grado de variación entre los resultados. Un método común implica realizar cálculos pesimistas, más probables y optimistas de los rendimientos relacionados a un activo y el riesgo se puede medir con el intervalo de los rendimientos. Cuanto mayor sea el intervalo, mayor será el grado de variación, o riesgo, que tiene el activo. Las distribuciones de probabilidad proporcionan una comprensión más cuantitativa del riesgo de un activo. La probabilidad de un resultado determinado es su posibilidad de ocurrir. (Gitman, 2007). Para reducir al mínimo la incertidumbre y el fracaso ante amenazas, existen ciertas estrategias que se pueden implementar, las cuales llamamos “cobertura de riesgos”. La “cobertura de riesgo financiero” es la utilización de un conjunto de instrumentos monetarios y comerciales, con la finalidad de evaluar el riesgo, desarrollar estrategias específicas y reducir aquél al máximo. La “transferencia del riesgo” consiste en trasladar éste a otra parte, evadiéndolo, simplemente para no exponerse a un peligro identificado, y evitando la operación financiera azarosa. En la “retención”, se trata de asumir el riesgo y decidir cubrir las pérdidas con los propios recursos. (Diz, 2006). Un riesgo siempre va a implicar costo financiero ya que la incertidumbre del retorno de los rendimientos finales es una constante. Por eso es importante considerar la gestión de los riesgos de alcance estratégico, la cual implica: medición y asignación de capital, valoración de la rentabilidad real de clientes y productos y medición y análisis de cada tipo de riesgo. Esta gestión permite integrar todos los riesgos a los que se está expuesto, considerar el efecto de las correlaciones, cuantificar el capital económico por tipo de riesgo, facilitar mediciones de rentabilidad ajustada, posibilitar la simulación de escenarios macroeconómicos y proporcionar información para la gestión estratégica del negocio. Los Karol Montero Ulate Página 13 RIESGOS OPERATIVOS Y FINANCIEROS costos asociados a un sistema efectivo de manejo de riesgo son altos pero los costos de un sistema pobre de manejo de riesgo se verán reflejados en pérdidas financieras o de reputación que amenazaran la viabilidad del negocio. Para entender lo que implica la administración de una cartera de seguros de productos bancarios, es esencial entender el fundamento del seguro. El mismo nace de la incertidumbre del propietario de un bien, respecto a la probabilidad de ocurrencia de un siniestro, que generalmente está asociado a una pérdida económica. Una definición más formal del seguro es la siguiente: “… es un contrato por el cual una persona jurídica toma sobre sí, por determinado tiempo, todos o algunos de los riesgos de pérdida o daño que pueda sufrir una persona o los bienes de su propiedad a cambio de una retribución convenida, comúnmente denominada prima.” Para efectos de una cartera de productos bancarios nos va a interesar el seguro privado, el cual se clasifica en tres líneas: 1. Seguros de Vida: Los seguros de vida protegen a la familia del asegurado, acreedores u otros interesados, contra pérdidas económicas, provocadas por la muerte o incapacidad física y permanente del asegurado. 2. Seguro de Accidentes y Salud: Los seguros de accidentes y salud (o simplemente, seguros de salud), se definen como seguros que protegen contra pérdidas económicas causadas por enfermedad o lesiones físicas accidentales. Estos seguros suelen responder a las pérdidas de ingresos y a los gastos por servicios médicos. 3. Seguros de Propiedades y de Responsabilidad: Los seguros de propiedades y de responsabilidad civil son aquellas modalidades diseñadas para ofrecer protección contra pérdidas que resultan de daños o percances de las propiedades o las que resulten de una responsabilidad civil. Los contratos de seguros se pueden definir mediante dos criterios generales: 1. Seguro de Riesgo Nombrado (Scheduled risk): En el convenio de riesgo nombrado, la póliza debe especificar en forma expresa, los riesgos que se van a cubrir y, en este caso, la carga de la prueba corresponde al asegurado. Esto significa que al momento de un siniestro, el asegurado debe comprobar que el daño fue causado por un riesgo descrito en la póliza. 2. Seguro de Todo Riesgo (All risk Policy): El seguro de todo riesgo inicia con un acuerdo de aseguramiento, que simplemente provee cobertura para pérdidas de daño físico a la propiedad cubierta y se define una lista de exclusiones o Karol Montero Ulate Página 14 RIESGOS OPERATIVOS Y FINANCIEROS limitaciones de cobertura. En otras palabras, en el "seguro de todo riesgo", no es necesario describir cada una de las contingencias, sino que la póliza cubre las propiedades contra accidentes de daño físico directo, salvo aquellos que expresamente están excluidos o limitados en la póliza. En Costa Rica las pólizas colectivas bancarias son de riesgo nombrado. Las pólizas colectivas de incendio y vehículo se manejan por coberturas, donde se especifica qué riesgos se cubren. El asegurado escoge cuales coberturas tomar y la aseguradora puede restringir ciertas coberturas en zonas de alto riesgo; tal fue el caso de la restricción de la cobertura por terremoto en la zona de Cinchona durante varios meses, después del 08 de enero de 2009, debido al alto riesgo que implicaba construir ahí. A manera de ejemplo, cito el detalle de riesgos de la cobertura A de la póliza colectiva “Hogar Seguro 2000” del Instituto Nacional de Seguros: COBERTURA A: INCENDIO La protección ofrecida por esta póliza cubre las pérdidas que resulten de: a) Incendio casual y rayo. b) Incendio de bosques, malezas, selvas, charrales, praderas, pampas o fuego empleado en el despeje del terreno, siempre y cuando no sean producidos por el asegurado. c) Daños por humo: El humo producto de una operación repentina, inusual y defectuosa de cualquier unidad de calefacción o cocina; ésta última solamente cuando esté provista de un extractor de humo o chimenea. Es importante para la gestión de riesgos tomar en consideración las coberturas de una póliza para estar seguros de cuáles riesgos se transfieren y cuáles se asumen, de manera que se maneje un nivel aceptable de los mismos en los bienes en garantía. En el seguro se debe definir el evento asegurado, el cual debe involucrar, una propiedad amparada, una causa de pérdida amparada y una consecuencia amparada. Debe existir una conexión causal cercana entre la causa del perjuicio y la consecuencia; este requerimiento de “vínculo causal” es lo que se conoce como la “doctrina de la causa próxima”. La causa próxima es el evento que da inicio a una cadena sucesiva e ininterrumpida de hechos, que contribuyen a un perjuicio. La editorial Mapfre considera como causa próxima, la razón más directa e inmediata de la pérdida o daño producido. El seguro es un contrato legalmente vinculante y obligatorio, mediante vía judicial, en los tribunales de justicia. Por lo tanto, si el asegurador falla en el cumplimiento de las Karol Montero Ulate Página 15 RIESGOS OPERATIVOS Y FINANCIEROS promesas establecidas en el contrato, el asegurado puede presentar acciones judiciales. Los elementos que se estipulan en el contrato de la póliza son: Oferta: Una oferta es una promesa que requiere como contrapartida, un acto o una promesa de correspondencia a cambio de algo. En otras palabras, debe existir una oferta u ofrecimiento de una de las partes, la cual debe ser aceptada en todos sus términos por la otra parte contratante. Los elementos esenciales de una oferta son los siguientes: Aceptación: La aceptación expresa el consentimiento de una de las partes de quedar vinculado u obligado a los términos del contrato. No existe ningún acuerdo salvo que el aceptador haya consentido en avalar la oferta o propuesta o hace lo que se le propuso. Partes competentes: Capacidad legal de las partes para contratar. Capacidad es la competencia o facultad de entender las consecuencias de nuestros actos. Las personas que tienen capacidad legal para contratar son personas competentes y los contratos que suscriben son vinculantes y obligantes contra ellos. Consideraciones: Muchos contratos involucran acuerdos donde una parte le dice a la otra “Si usted hace esto para mí, yo haré esto para usted.” Lo que una de las partes solicita a la otra a cambio, son las consideraciones de aquella. Las consideraciones necesarias para que una promesa sea obligante consistirán en una de las siguientes: Una promesa a cambio, la ejecución y tolerancia de un acto. Se debe de tener presente que el contrato de seguro se basa en “la máxima buena fe”. Si en el momento de un siniestro, aunque exista un contrato firmado de por medio, éste no cumple con los principios que los regulan, la aseguradora puede apelar y no cumplir, aduciendo que el contrato es inválido. Estos principios son: Interés asegurable: El interés asegurable constituye el objeto del contrato de seguro y su presencia es indispensable para que pueda celebrarse el acuerdo. Puede definirse como el interés económico que tenga una persona ante la ausencia o presencia de un acontecimiento que le genere una necesidad. Por ejemplo, en el caso del seguro de vida, el interés asegurable recae en el propio individuo y en todas aquellas personas interesadas en la continuidad de la vida de éste, quien está legalmente obligado a mantenerlos (esposa, hijos,...). Un seguro de vehículo o casa solo puede ser suscrito por el dueño registral de la propiedad; si en un préstamo hipotecario, el deudor y el dueño registral no son la misma persona y por error Karol Montero Ulate Página 16 RIESGOS OPERATIVOS Y FINANCIEROS se suscribe la póliza a nombre del deudor, la aseguradora no va indemnizar, amparándose en que no existe el interés asegurable. Indemnización: El principio indemnizatorio del contrato tiene la finalidad de dejar al asegurado en las mismas condiciones económicas en que estaba antes de la ocurrencia del siniestro. Esto es para evitar que las personas lucren y lo vean como un negocio, propiciando así el suceso del siniestro. Causalidad: Estipula que la ocurrencia de un evento asegurable debe ser fortuita, incierta y accidental. Por consiguiente, su origen debe encontrarse fuera del alcance del asegurado, o sea, fuera de la voluntad del tomador del seguro. Si los riesgos no cumplen con este principio, no se consideran asegurables. La formalización del contrato de seguros se realiza a través de la emisión de un documento denominado POLIZA DE SEGURO, en la cual se incluyen: la solicitud del seguro firmada por el tomador, el informe de la inspección del riesgo, que se realiza para confirmar la veracidad de lo indicado en la solicitud, las condiciones generales y particulares, los endosos emitidos para modificarla o renovarla y la correspondencia cruzada entre las partes. Es importante tener claro cuáles son los riesgos que cubre la póliza que se está suscribiendo para garantizar el producto vendido y explicárselo bien al cliente para evitar riesgos legales y pérdida de imagen y credibilidad. Sin embargo, la limitante es que los ejecutivos bancarios, por lo general, no cuentan con la experiencia ni la capacitación para entender y explicarle al cliente cuáles son las disposiciones generales del contrato de seguro. Con la apertura del mercado, el Banco de Costa Rica y el Banco Nacional crearon corredoras, lo cual significa que el cliente va a tener diferentes opciones, pero el reto está en que éste necesita asesoría para escoger el producto que mejor se adapte a sus necesidades. Buena parte de la administración de los riesgos operativos y financieros de pólizas colectivas de seguros depende del tratamiento del riesgo de las tecnologías de información. El ISO 27001:2005, Sistema de Gestión de Seguridad de Información (SGSI), es un modelo centrado en mitigar el riesgo al que están sujetos los activos de información, certificable internacionalmente. El modelo da la promesa de la continuidad de las operaciones, además de un nivel bajo de riesgo en los sistemas. La implementación consiste en definir un alcance y exclusiones. Sin embargo, las exclusiones al control deben de ser justificadas y evidenciadas como riesgos aceptados y absorbidos por las personas responsables. A los activos de información se les debe de hacer un análisis y evaluación Karol Montero Ulate Página 17 RIESGOS OPERATIVOS Y FINANCIEROS del riesgo, luego se debe de decidir cómo se van a gestionar y demostrarle a terceros que se manejan niveles bajos o aceptables de exposición. La administración de un riesgo va a depender del impacto y la posibilidad de que ocurra. Las cuatro estrategias reconocidas internacionalmente para el tratamiento del riesgo son: 1. Reducción del riesgo: Para reducir los eventos, se deben de implementar controles apropiados. En este caso, serían los del anexo “A”: Política de seguridad. Organización de la información de seguridad. Administración de recursos. Seguridad de los recursos humanos. Seguridad física y del entorno. Administración de las comunicaciones y operaciones. Control de accesos. Adquisición de sistemas de información, desarrollo y mantenimiento. Administración de los incidentes de seguridad. Administración de la continuidad de negocio. Cumplimiento (legales, de estándares, técnicas y auditorías). Los controles pueden reducir los riesgos valorados en varias formas: Reduciendo la posibilidad de que la vulnerabilidad sea explotada por las amenazas. Reduciendo la posibilidad de impacto si el riesgo ocurre, detectando eventos no deseados, reaccionando y recuperándose de ellos. 2. Aceptación del Riesgo: En esta estrategia, se analiza si es factible diseñar e implantar controles, dependiendo de si el costo beneficio lo amerita. Si los controles son muy altos, dependiendo del impacto, se puede optar por aceptar el riesgo y vivir con las consecuencias; claro está que, para tomar una decisión como ésta, si el riesgo se materializara, no debería afectar la continuidad del negocio ya que, si las consecuencias son devastadoras, aunque el costo sea alto, se debe de transferir el riesgo. 3. Transferencia del riesgo: Esto es una opción, cuando la implementación técnica y económica de los controles no es suficiente o viable. Karol Montero Ulate Página 18 RIESGOS OPERATIVOS Y FINANCIEROS 4. Evitar el riesgo: Este proceso requiere modificación y adaptación de procesos y evitar la ocurrencia de la contingencia. Después de la implementación del plan de tratamiento de riesgo, siempre va a quedar un riesgo remanente, que se define como riesgo residual. Éste es difícil de cuantificar, pero se debe de estimar; si no tiene un nivel aceptable, la gerencia estaría obligada a replantear el tratamiento decidido. La empresa debe tomar una serie de decisiones que involucren a personas con diferentes ópticas funcionales dentro de ella. En este sentido, se deben de analizar una serie de variables, tales como: costo de los controles versus daño económico del riesgo; imagen de la empresa versus naturaleza de los controles y reducción del riesgo; imagen de la empresa versus naturaleza de los controles y reducción del riesgo versus minimización de los impactos del riesgo. La administración del riesgo empresarial o Enterprise Risk Management (ERM), “es un conjunto de acciones llevadas a cabo por el directorio, la gerencia y el resto del personal de una entidad, aplicado en la definición de la estrategia y que abarca a toda la empresa, destinado a identificar acontecimientos eventuales que puedan afectar a la entidad y a procurar que los riesgos estén dentro del nivel de riesgo aceptado para proveer una seguridad razonable con respecto al logro de los objetivos de la entidad”. (COSO). En la administración de una cartera de pólizas, el ERM puede convertirse en una herramienta valiosa. El mismo se basa en la premisa de que toda entidad, tenga fines de lucro o no los tenga, existe para crear valor a sus grupos de interés, suministrando un marco para que la gerencia pueda manejar eficazmente la incertidumbre, los riesgos y las oportunidades asociadas, lo que aumentaría su capacidad de generar valor. Las ventajas de implementar una administración de riesgo empresarial son: Alinear el nivel de riesgo aceptado o risk appetite, con la estrategia: Es la cantidad de riesgo que una compañía está dispuesta a aceptar con el fin de lograr sus metas. La gerencia considera el nivel del mismo, en primer término, al evaluar las alternativas estratégicas; luego, al establecer los objetivos alineados con la estrategia elegida y, finalmente, al desarrollar mecanismos para administrar los riesgos relacionados. Unir crecimiento, riesgo y rendimiento: Una empresa puede aceptar un nivel de riesgo como parte de la creación y preservación del valor. ERM aumenta la capacidad para identificar y apreciar riesgos y para establecer niveles plausibles de riesgo compatibles con los objetivos de crecimiento y rendimiento. Karol Montero Ulate Página 19 RIESGOS OPERATIVOS Y FINANCIEROS Mejorar las decisiones de respuesta al riesgo: Alternativas de respuesta a éste, identificarlas y tomar la decisión– eludir, reducir, compartir y aceptar. ERM provee métodos y técnicas para tomar estas decisiones. Minimizar sorpresas y pérdidas operativas: Reducción en la ocurrencia de sorpresas y pérdidas económicas siempre y cuando las entidades mejoren su capacidad para identificar acontecimientos eventuales, apreciar riesgos y establecer respuestas. Identificar y administrar riesgos a nivel de la entidad: Relación riesgo e impacto. Cada entidad enfrenta una gran cantidad de riesgos que afectan las diferentes partes de la organización, el impacto de un determinado riesgo debe de medirse y administrarse de la manera más optima para la entidad. Proveer respuestas integradas a riesgos múltiples: Los procesos de negocios presentan muchos riesgos que les son inherentes. ERM provee soluciones integradas para la administración de los riesgos. Aprovechar oportunidades: La gerencia no sólo considera exclusivamente los riesgos sino también los acontecimientos eventuales y al considerar un amplio espectro de acontecimientos, puede entender cómo ciertos acontecimientos representan oportunidades. Racionalizar el uso de recursos: Cuanto más robusta sea la información con respecto a los riesgos totales de la entidad, más eficazmente podrá la gerencia apreciar las necesidades generales de capital y mejorar su distribución. La ERM comprende ocho componentes interrelacionados: 1. Ámbito interno: El ámbito interno influye en la forma como se establecen la estrategia, los objetivos, diseño y funcionamiento de las actividades de control, los sistemas de información y comunicación y en las actividades de monitoreo. En este componente se incluye los valores éticos de la entidad, competencia y desarrollo del personal, estilo operativo de la gerencia y en la forma como ésta asigna responsabilidad y autoridad. Como parte del ámbito interno, la gerencia establece el nivel de riesgo aceptado, desarrolla una cultura de riesgo e integra ERM con iniciativas relacionadas. Si se logra comunicar correctamente la filosofía de ERM y es comprendida por todo el personal, esto acrece la habilidad de los empleados de reconocer y administrar eficazmente el riesgo. En gran medida, la gerencia refuerza la filosofía no solamente con palabras sino también con acciones cotidianas. El nivel de riesgo admitido, establecido por la gerencia, es un punto de referencia en la definición de la estrategia. La aplicación de Karol Montero Ulate Página 20 RIESGOS OPERATIVOS Y FINANCIEROS ERM en la definición de la estrategia ayuda a los administradores a seleccionar una estrategia compatible con el nivel de riesgo aceptado. La gerencia debe de alinear la entidad o empresa, la gente, los procesos y la infraestructura para facilitar la implantación de una estrategia exitosa y permitir la permanencia dentro de su nivel de riesgo aceptado. Para muchas compañías, la cultura de riesgo fluye de la filosofía de riesgo y del nivel de riesgo permitido por la entidad. Para aquellas compañías que no definen explícitamente su filosofía de riesgo, la cultura del mismo puede construirse al azar, dando lugar a culturas de riesgo significativamente diferentes dentro de una empresa o aún dentro de una unidad operativa, función o departamento en particular. 2. Fijación de objetivos: Una vez establecida la misión y visión, se definen los objetivos estratégicos, y a partir de ahí, se selecciona la estrategia y los objetivos relacionados. Los objetivos deben existir antes de que la gerencia pueda identificar acontecimientos que eventualmente puedan afectar el logro de los mismos. ERM asegura que los administradores tengan instalado un proceso para definir objetivos y alinearlos con la misión y la visión de la entidad y para que sean compatibles con el nivel de riesgo tolerado. 3. Identificación de acontecimientos: Existen factores internos y externos que afectan la ocurrencia de un acontecimiento. Los factores externos incluyen factores económicos, empresariales, ambientales, políticos, sociales y tecnológicos. Los factores internos reflejan las opciones tomadas por la gerencia e incluyen asuntos tales como infraestructura, personal, procesos y tecnología. La metodología de identificación de acontecimientos de una entidad puede comprender una combinación de técnicas y herramientas de respaldo. Las técnicas de identificación de acontecimientos están pendientes tanto del pasado, tales como: historias de cesación de pagos, cambios en los precios de los productos comercializables y pérdidas de tiempo provocadas por accidentes y del futuro: cambios demográficos, nuevos mercados y acciones de los competidores. La gerencia puede llegar a comprender la relación entre un acontecimiento y otro, si los agrupa horizontalmente a través de una entidad y verticalmente entre unidades operativas, obteniendo mayor y mejor información como base para la apreciación de riesgos. Estos acontecimientos pueden afectar de formas positivas, negativas o ambas. Los eventos que tienen un impacto ocasionalmente negativo representan riesgos que requieren apreciación y respuesta de la gerencia. Aquéllos con un impacto eventualmente positivo representan oportunidades o reducción del impacto negativo de riesgos. Los acontecimientos que representan oportunidades son encausados hacia los procesos gerenciales de definición de la estrategia o de los objetivos, a efectos de que puedan formularse acciones para aprovechar las oportunidades. Los acontecimientos que eventualmente reduzcan el impacto negativo de los riesgos son considerados en la apreciación de y respuesta a los riesgos por parte de la gerencia. Karol Montero Ulate Página 21 RIESGOS OPERATIVOS Y FINANCIEROS 4. Apreciación de riesgos: Los riesgos se pueden apreciar desde dos perspectivas: probabilidad e impacto. Las estimaciones de probabilidad se pueden determinar utilizando datos históricos de acontecimientos pasados, sin embargo, los datos externos también pueden ser útiles como un punto de control, ya que cuando se utilizan acontecimientos pasados para hacer predicciones sobre el futuro los factores que influyen pueden cambiar con el transcurso del tiempo. La metodología de apreciación del riesgo comprende una combinación de técnicas cuantitativas y cualitativas. Las técnicas cuantitativas normalmente tienen más precisión y son utilizadas en actividades más complejas y sofisticadas para complementar las técnicas cualitativas. Por ejemplo, en las cadenas de ciertos acontecimientos, la gerencia puede apreciar cómo se relacionan entre sí, ya que mientras que el impacto de un evento aislado podría ser leve, una secuencia de sucesos podría tener un impacto más significativo. La gerencia por lo general tiende a centrarse en riesgos con horizontes temporales de corta a mediana duración, pero en virtud de que los riesgos son apreciados en el contexto de la estrategia y de los objetivos de una entidad, algunos elementos de la orientación y de los objetivos estratégicos se extienden hasta el largo plazo. Como consecuencia, la gerencia necesita tener conocimiento de marcos temporales más largos y no ignorar riesgos que podrían estar más lejanos en el tiempo. La apreciación de riesgos es aplicada en primera instancia al riesgo inherente – el riesgo para la entidad en ausencia de cualesquiera acciones que la gerencia podría tomar para modificar la probabilidad del mismo o su impacto. Una vez que se han desarrollado las respuestas al riesgo, la gerencia utiliza técnicas de apreciación de riesgo para determinar el riesgo residual – el riesgo remanente luego de la acción de la gerencia para modificar la probabilidad o impacto del riesgo. 5. Respuesta al riesgo: Las diferentes opciones de respuesta al riesgo deben de considerar su probabilidad e impacto, y el diseño e implantación va a depender de la relación a la tolerancia al riesgo y al costo-beneficio. La gerencia debe seleccionar una respuesta que coloque a la probabilidad del riesgo y a su impacto dentro del intervalo aceptado, éstas se pueden dividir en categorías de evitar, reducir, compartir y aceptar el riesgo. Las respuestas “evitar” actúan para abandonar las actividades que generan riesgos. Las respuestas “reducir” reducen la probabilidad del riesgo, el impacto del mismo o ambos. Las respuestas “compartir” reducen la probabilidad o el impacto del riesgo transfiriendo o compartiendo de otro modo una porción del riesgo. Las respuestas “aceptar” no actúan de forma alguna para modificar la probabilidad o el impacto del riesgo. Como parte de la ERM, una entidad considera las eventuales respuestas para cada riesgo significativo a partir de un rango de categorías de respuestas. Esto le otorga suficiente profundidad a la selección de respuestas y también desafía el “status quo”. Luego de haber seleccionado una respuesta al riesgo, la gerencia vuelve a medirlo sobre una base residual. Por otro lado, otra opción es que el gerente de cada unidad ejecutora o departamento desarrolle una apreciación compuesta de los riesgos y sus posibles respuestas y de esta manera se refleje el perfil de riesgo Karol Montero Ulate Página 22 RIESGOS OPERATIVOS Y FINANCIEROS de la unidad con relación a sus objetivos y a sus tolerancias. Con una visión del riesgo para unidades individuales, se designa al gerente con mayor experiencia en la empresa para que adopte una visión conjunta, para determinar si el perfil de riesgo de la entidad está en consonancia con su nivel global de riesgo aceptado en relación con sus objetivos. La gerencia debe reconocer que siempre existe algún nivel de riesgo residual, no sólo porque los recursos son limitados sino también por la incertidumbre sobre el futuro y las limitaciones inherentes a todas las actividades. 6. Actividades de control: Estas actividades de control deben de aplicarse en toda la organización, independientemente del nivel y sus funciones. Involucran dos elementos: una política estableciendo qué debe hacerse y los procedimientos para ejecutar la política. Se pueden utilizar dos grandes grupos de actividades de control sobre los sistemas informáticos. El primero se refiere a controles generales, los que se aplican a muchos sino a todos los sistemas de aplicación y ayudan a asegurar su continua y adecuada operación. El segundo se refiere a los controles sobre aplicaciones, los que incluyen pasos computarizados dentro de los programas informáticos de la aplicación para controlar la tecnología de la misma. Combinados con otros controles procesados en forma manual, en caso de ser necesarios, estos controles aseguran la integridad, exactitud y validez de la información. De esta manera los mismos deben incluir administración de la infraestructura de la tecnología de la información, administración de la seguridad y adquisición, desarrollo y mantenimiento de aplicaciones informáticas. En la administración de la tecnología y servicios de información se abordan procesos de supervisión, contingencia, monitoreo y elaboración de reportes para el control y mejoramiento continuo mientras que en los controles a nivel de las aplicaciones encontramos integridad, exactitud, autorización y validez de la captura de datos, del procesamiento de transacciones y de la entrega de información. Los controles a nivel de las aplicaciones incluyen, administración de roles para la segregación de funciones de ingreso y autorización, edición de los datos de ingreso, validaciones a nivel de las interfaces, aplicación en log de las acciones realizadas en las OJO REVISAR LOG?aplicaciones totales de control de los procesos; controles a posteriori sobre la integridad de los registros en bases de datos y controles sobre la generación y distribución de reportes. No existe homogeneidad en las actividades de control en dos entidades aunque fueran idénticas en objetivos y estructuras, ya que cada una es gestionada por personas diferentes que en el momento de efectuar control interno, utilizan sus juicios individuales. 7. Información y comunicación: Para identificar, apreciar y responder a los riesgos, de manera que no afecten el logro de los objetivos estratégicos, se necesita información en todos los niveles de la entidad. La información puede ser de fuentes internas o externas y puede presentarse en forma cuantitativa y Karol Montero Ulate Página 23 RIESGOS OPERATIVOS Y FINANCIEROS cualitativa. El desafío radica en procesar y refinar grandes volúmenes de datos en información utilizable. Las infraestructuras de sistemas de información determinan la fuente y capturan, procesan, analizan y comunican la información relevante. Para respaldar una ERM eficaz, una entidad captura y utiliza datos históricos y actuales. Los datos históricos permiten comparar el desempeño real con metas, planes y expectativas, revelan cómo se desempeñó la entidad bajo condiciones variantes, lo que permite a la gerencia identificar correlaciones y tendencias y proyectar el desempeño futuro. Los datos históricos también pueden proveer advertencias oportunas sobre acontecimientos eventuales que ameriten la atención de la gerencia. Los datos actuales le permiten a una entidad apreciar sus riesgos en un momento específico y permanecer dentro de las tolerancias al riesgo establecidas y permiten a la gerencia observar en tiempo real los riesgos inherentes actuales en un proceso, función o unidad e identificar variaciones con respecto a las expectativas. Esto otorga una visión del perfil de riesgo de la entidad, permitiendo a la gerencia modificar las actividades como sea necesario para adaptarlas a su nivel de riesgo admitido. La comunicación relacionada con los procesos y procedimientos debe estar alineada y respaldar la cultura de riesgo pretendida. La comunicación debe concientizar sobre la importancia y relevancia de una ERM eficaz, comunicar el nivel de inseguridad aceptado por la entidad y las tolerancias a la contingencia, implantar y respaldar un lenguaje común sobre riesgo y asesorar al personal sobre sus roles y responsabilidades con igualdad a la ejecución y soporte de los componentes de la ERM. Los canales de comunicación deben también asegurar que el personal pueda comunicar la información sobre riesgos a través de las unidades operativas, procesos o áreas funcionales. 8. Monitoreo: En esta etapa encontramos dos posibles formas: a través de actividades continuas o de evaluaciones independientes. El monitoreo continuo se construye sobre la base de las actividades operativas normales y recurrentes, es ejecutado sobre la base de tiempo real, reacciona dinámicamente a los cambios en las condiciones y está arraigado en la entidad, por lo que es más eficaz que las evaluaciones independientes. Mientras que estas últimas tienen lugar luego de ocurridos los hechos, a menudo los problemas serán identificados más rápidamente por las rutinas de monitoreo continuo. La gerencia determinará la frecuencia de las evaluaciones independientes, considerando la naturaleza y el a0lcance de los cambios en los acontecimientos tanto internos como externos y sus riesgos asociados, así como la competencia y experiencia del personal que implanta las respuestas a los riesgos, junto con los correspondientes controles y los resultados del monitoreo continuo. Es recomendable utilizar un tipo de combinación de ambas formas de monitoreo para procurar que la ERM sea eficaz y eficiente a largo plazo. Se deben informar todas las deficiencias de la ERM que afecten el logro de los objetivos y la capacidad de desarrollar e implantar la estrategia de negocios. La naturaleza de los asuntos a ser comunicados variará, dependiendo de la autoridad de los individuos para abordar las circunstancias que surjan y de las Karol Montero Ulate Página 24 RIESGOS OPERATIVOS Y FINANCIEROS actividades de supervisión de los superiores. Por lo tanto, una deficiencia puede representar un defecto, eventual o real o una oportunidad de fortalecer el proceso para aumentar la probabilidad de que los objetivos de la entidad sean alcanzados. También deben existir canales de comunicación alternativos para trasmitir información sensible como actos ilegales o incorrectos; de esta manera resulta fundamental proporcionar, exactamente a quien corresponda, la información necesaria sobre las deficiencias de la ERM. Deben establecerse protocolos para definir qué información es necesaria a un nivel particular para que la toma de decisiones sea eficaz. Dichos protocolos reflejan la regla general de que un gerente debe recibir la información que afecte las acciones o el comportamiento del personal bajo su responsabilidad así como la información necesaria para lograr sus objetivos específicos. Considero que si una empresa implanta un sistema de administración de riesgos como el ERM, para determinar qué tan eficaz es el mismo, necesita realizar un juicio subjetivo basado en una apreciación de los ocho componentes y de la adecuación de su funcionamiento. Una ERM eficaz ayuda a la gerencia a conseguir objetivos; sin embargo, este sistema no asegura el éxito de la entidad aunque cuente con un diseño e implantación impecable, pues la consecución de objetivos está afectada por las limitaciones inherentes a todo proceso gerencial, como cambios en políticas o programas de gobierno, acciones de los competidores o las condiciones de la economía, que pueden estar fuera del control de la gerencia. La toma de decisiones humanas pueden tener fallas y pueden producirse daños derivados de imperfecciones humanas tales como errores y equivocaciones, pero ERM no puede cambiar un gerente mediocre en uno bueno. Adicionalmente, los controles pueden ser burlados por la colusión de dos o más personas y la gerencia tiene la posibilidad de ignorar el proceso de ERM, incluyendo respuestas a riesgos y controles. El diseño de la ERM debe reflejar la realidad de restricción de recursos y los beneficios de administrar los riesgos deben ser considerados en su congruencia con los correspondientes costos. Karol Montero Ulate Página 25 RIESGOS OPERATIVOS Y FINANCIEROS CONCLUSIONES Toda entidad bancaria está expuesta a riesgos operativos; la mayor parte de los fraudes cometidos han involucrado a empleados que se aprovechan de un sistema de control interno débil. Por lo tanto, es imprescindible contar con políticas formales y procedimientos, que definan responsabilidades claras que permitan implementar un sistema de control interno eficaz. Para poder gestionar un riesgo, primero se tiene que identificar. Existe un amplio rango de técnicas disponibles y el gestor debe escoger la que mejor se adapte a sus necesidades. Pero, ¿cómo tomar esa decisión? Primero se debe tener claro que estas técnicas se pueden dividir en tres categorías: Revisión histórica (pasado), evaluaciones actuales (presente) y técnicas creativas (futuro). Cada técnica de riesgos tiene puntos débiles y puntos fuertes y no podemos esperar que ninguna técnica revele todos los riesgos conocibles. Las técnicas de revisión histórica dependen de cuán relevante sea la experiencia previa de la situación existente. Las técnicas de evaluación actual dependen de la calidad del proceso de diagnóstico y de entender lo que está pasando. El éxito de las técnicas de creatividad depende del potencial de innovación y enfoque para anticiparse al futuro. El mejor resultado en la identificación de riesgos puede ser la combinación de las tres técnicas, además de involucrar a diferentes empleados de distintos niveles, obteniendo así diversidad en puntos de vista y evitando omisión de riesgos latentes importantes. Una vez concluida la etapa de identificación de riesgos, éstos se deben de analizar y evaluar. El tratamiento del riesgo reconocido debe contemplar las estrategias que la organización tomará para tratar de llevar el riesgo estimado a los niveles que se aceptan. Se deben de sopesar una serie de variables, tales como: costo de los controles versus daño económico del riesgo; imagen de la empresa versus naturaleza de los controles y reducción del riesgo versus minimización del impacto. El éxito en el tratamiento del riesgo depende de la precisión y detalle metodológico desarrollado en el proceso de análisis y evaluación del riesgo. Si el riesgo no ha sido estimado con la precisión requerida, las opciones de tratamiento del riesgo serán ambiguas y dejarán de ser confiables y válidas. Los bancos necesitan asegurar sus garantías de crédito y en ese proceso logran obtener un ingreso extra sustancial. Sin embargo, con la apertura del mercado y la creación de la SUGESE, el manejo de esa cartera es de interés público, por lo que la regulación es constante. Lo anterior significa que los controles y la gestión de riesgos tanto operativos como financieros deben ser prioridad y deben ajustarse al modelo del negocio. Karol Montero Ulate Página 26 RIESGOS OPERATIVOS Y FINANCIEROS Por último, después de analizar y evaluar los posibles riesgos operativos y financieros que envuelven la administración de una cartera de pólizas de productos bancarios y la importancia de un sistema de control interno acorde con las necesidades de la entidad, se puede concluir que aunque el negocio de la gestión de pólizas es altamente rentable, también implica un riesgo operacional alto. Los bancos estatales y privados del país deben de escoger una figura de negocios en el mercado de seguros, ya sea una sociedad agencia o una corredora y operar de acuerdo con el marco jurídico y legal que los rigen, pues una omisión puede significar un riesgo legal que ponga en peligro la continuidad del negocio. Además, se debe implantar un sistema de control interno sólido y establecer un modelo de administración de riesgos que se adapte a sus necesidades. Karol Montero Ulate Página 27 RIESGOS OPERATIVOS Y FINANCIEROS BIBLIOGRAFIA · · · · · · · · · · · · · Welsch, A., Hilton, R.W., Gordon, P., Rivera, C. (2005). Presupuestos, planificación y control (Sta. ed.). México: Pearson Educación. Diz, E. (2006). Teoría de Riesgo (2da ed.). Bogotá: ECOE ediciones. Gitman, L.J. (2007). Principios de Finanzas Corporativas (Decimoprimera ed.). México: Pearson Educación. Block, S., Hirt, G. (2008). Fundamentos de administración Financiera. México: CECSA. Block, S., Hirt, G. (2008). Fundamentos de administración Financiera. México: CECSA. Grinblatt, M., Sherindan, T. (2003). Mercados Financieros y Estrategia Empresarial (2da ed.). España: McGraw Hill Oz, E. (2001). Administración Sistemas de Información (2da ed.). México: Internacional Thomson Editores Mantilla, S. (2002). Control Interno: Estructura Conceptual Integrada (2da ed.). Colombia: ECOE. Gaspar, J. (2004). Planes de Contingencia. Madrid: Ediciones Díaz de Santos, S.A. Hertz, D. (2008). Análisis de Riesgos en Inversiones de Capital. Articulo #265: Biblioteca Harvard de Administración de Empresas. Mc Donald, H., Stromberg, T. (2008). Control de Costos para la empresa de servicios profesionales. Articulo #276: Biblioteca Harvard de Administración de Empresas. Banks, R., Wheelwright, S. (2008). Operaciones Vs Estrategia: Decida hoy pensando en el mañana. Articulo #270: Biblioteca Harvard de Administración de Empresas. Karol Montero Ulate Página 28 RIESGOS OPERATIVOS Y FINANCIEROS Karol Montero Ulate Página 29
