El riesgo operativo es el que amenaza la capacidad de una organización para realizar la tarea para la que fue creada, como consecuencia de un error humano, un proceso defectuoso u otros factores internos que tendrían que estar bajo el control de la organización.
El riesgo operativo también puede aparecer asociado a un evento externo: innovación tecnológica, cambio regulatorio o incluso, condiciones climáticas o atmosféricas. En este caso, es la incapacidad de la organización para adaptarse la que genera el impacto negativo.
El riesgo operativo, como se infiere de lo expuesto, es complejo. Igualmente, lo es la forma de enfrentarlo. Por eso es importante aprender a identificarlo, establecer sus orígenes, conocer estrategias útiles para tratarlo y, de paso, algunos ejemplos prácticos que ocurren en la cotidianidad de cualquier organización.
¿Cómo identificar el riesgo operativo?
La clave para identificar un riesgo operativo es buscar dos características esenciales:
- El riesgo aparece como consecuencia de la actividad de la organización.
- El impacto directo genera dificultad o imposibilidad para operar.
Existe un impacto residual que pueden afectar finanzas, reputación o cumplimiento regulatorio. Pero también se puede mencionar, para completar el perfil de este tipo de riesgo, la posibilidad que tienen de mimetizarse y ocultarse en actividades cotidianas. Por eso es importante saber siempre dónde buscar riesgos operativos.
¿Dónde buscar el riesgo operativo?
Los riesgos operativos son vulnerabilidades cotidianas que surgen en el día a día de la organización. Son imprevistos, pero no imprevisibles. Es importante buscar en el lugar adecuado. Algunos puntos de origen habitual para riesgos operativos son:
1. Errores humanos
El error humano es causa inmediata de riesgos operativos, pero usualmente no es la causa raíz. Brechas de capacitación, falta de debida diligencia en los procesos de contratación o deficiencias en el área de Recursos Humanos suelen ser causa raíz de un problema que termina generando riesgos operativos.
2. Área de IT
El área de IT y, en general, todos los sistemas tecnológicos albergan amenazas que tienen la capacidad de interrumpir la operación de una organización. Con un grado adicional de impacto negativo: afectan la reputación.
3. Procesos defectuosos
Los procesos que presentan fallas no detectadas son fuente de riesgos operativos que provocan importantes pérdidas de dinero. Pueden afectar la reputación e implicar sanciones por incumplimiento. Estos procesos tendrían que ser detectados en auditorías internas, pero no siempre es así.
4. Contexto externo
Los eventos externos, que no están bajo el control de la organización, también generan riesgos operativos. Un terremoto, una inundación o un fenómeno de agitación social tienen la capacidad para detener, provisional o definitivamente, la operación de la organización.
¿Cómo tratar el riesgo operativo?
La gestión del riesgo operativo no difiere mucho de la gestión general y habitual de riesgos. Si se buscan los riesgos con las características anotadas al inicio de este texto, y se hace un rastreo por las fuentes usuales, igualmente anotada, lo que sigue es avanzar con los siguientes pasos:
1. Establecer alcance y objetivos
El primer paso es delimitar la tarea. La evaluación puede ser para un área, para una ubicación o exclusivamente para una línea de producto o un proyecto en particular.
2. Identificar las amenazas
Se utilizan las técnicas habituales: lluvia de ideas y análisis FODA suelen ser las más utilizadas. Cuando se trata de riesgo operativo, la revisión de la memoria histórica de la organización y la interacción con otras empresas de la misma industria resulta muy útil.
3. Establecer probabilidad e impacto
Las dos variables que indican la relevancia de un riesgo, probabilidad e impacto, también se evalúan aquí. Por supuesto, el uso de matrices de riesgo es lo recomendado. Las organizaciones que han implementado procesos de Transformación Digital, cuentan con Sistemas de Gestión automatizados, que proveen información inmediata y funcionalidades para realizar estas evaluaciones con la requerida celeridad.
4. Definir el apetito de riesgo
El apetito de riesgo con respecto a los riesgos operativos no tiene que ser el mismo que se fijó para otro tipo de amenazas o para el riesgo en general. Este es un análisis que considera, entre otros factores, las oportunidades. Contar con profesionales expertos en Gestión de Riesgos es la clave en este paso.
5. Categorizar los riesgos
De acuerdo con los criterios de impacto, probabilidad y la posibilidad de ser aceptados. Clasificar los riesgos así facilita la asignación de recursos y asegura que los esfuerzos se enfoquen en lo que realmente es inminente.
6. Elegir estrategia de gestión
Con una lista de riesgos ordenada desde el más preocupante hasta el que menos interés merece, lo que sigue es diseñar las estrategias de tratamiento, que necesariamente encajan en alguna de estas categorías:
- Eliminar el riesgo.
- Mitigar el riesgo.
- Compartir el riesgo.
- Trasladar el riesgo.
- Tolerar el riesgo, con estrategias para minimizar el impacto.
7. Monitorear el resultado de la gestión y reiniciar el ciclo
La gestión de riesgos se desarrolla con base en el modelo PDCA. Esto significa que, una vez implementadas las estrategias de gestión, se evalúa su rendimiento, se identifican fallas, se corrigen y se implementan nuevas medidas para reiniciar el ciclo.
Encuentra aquí la guía definitiva para la gestión del #RiesgoOperativo, estrategias y algunos ejemplos prácticos para mejorar los resultados. Share on X¿Qué ejemplos del mundo real existen de riesgo operativo?
Muchas organizaciones desestiman el riesgo operativo por considerarlo inmaterial y poco probable, para ellas. En otras organizaciones, se piensa que alguien, dentro de la gestión de riesgos generales, se ocupará de esos temas.
Una de estas opciones pude corresponder a los ejemplos que mencionamos a continuación, y que estuvieron en los titulares de los diarios por mucho tiempo. Aportamos un ejemplo para cada una de las áreas que hemos definido como usuales generadoras de riesgo operativo.
Ejemplo de riesgo por error humano
Este caso afectó a Equifax, una organización norteamericana multinacional, que se especializa en informes de crédito, siendo una de las tres más grandes de los Estados Unidos. Como es natural, debido al objetivo comercial de la organización, la cantidad de datos y registros confidenciales que se tratan allí es descomunal.
Pues en septiembre de 2017, esta organización sufrió una infracción de seguridad de la información que expuso la información confidencial de más de 150 millones de personas. La investigación reveló como causa raíz del problema, la negligencia de un equipo de IT para realizar una tarea urgente: parchear una vulnerabilidad identificada. Coste inicial del riesgo: 425 millones de dólares.
Ejemplo de riesgo por fallas tecnológicas
El riesgo operativo tecnológico se diferencia del anterior, porque no implica un error humano o la negligencia de un empleado. El ataque masivo de ransomware, conocido como WannaCry, ocurrió en 2017 y afectó a empresas de todo el mundo. El ataque adquirió connotación de epidemia, afectando principalmente a los usuarios del Sistema Operativo Windows. Los delincuentes, que secuestraron información y sitios web, solicitaron rescate en criptomonedas. Las cifras totales no han sido establecidas aún.
Ejemplo de riesgo por procesos defectuosos
JP Morgan Chase puede ser el banco más grande e importante de América. Sin embargo, su operación en el Reino Unido parece no haber sido evaluada con la suficiente minuciosidad. Lo que se conoció como el incidente de la ballena de Londres, tuvo un coste de más de 6.000 millones de dólares para el gigante americano de las finanzas. El problema se adjudicó a procesos deficientes de gestión de riesgos.
Ejemplo de riesgo por eventos externos
Finaliza este interesante recuento con un evento que aún está en la memoria de muchas personas: el desastre nuclear en la planta de Fukushima, Japón, en 2011. Este caso presenta dos líneas de acción del riesgo: la primera nos muestra que el desastre ocurre por causa de un terremoto, que por supuesto, no está bajo el control de la planta nuclear. El segundo, el efecto dominó que se produce en la cadena de suministro, iniciando con las empresas que consumían energía de la planta.
Diplomado en Risk Manager
Antes, los profesionales en Gestión de Riesgos eran intuitivos, basados en la experiencia y en lo que su olfato les indicaba. Hoy en día, los responsables del área de Risk Management son profesionales expertos, que utilizan la tecnología, la estadística, el registro histórico y las técnicas y modelos de evaluación más avanzados.
Todo esto lo adquieren en el Diplomado en Risk Manager de la Escuela Europea de Excelencia. Pero, además, adquieren la capacidad y la habilidad para auditar Sistemas de Gestión de Riesgos. Y lo pueden hacer en Europa o en América Latina si así lo desean. Aprende cómo hacerlo aquí.