Administración de Riesgos a través de toda una organización es una tarea dificultosa y
que consume mucho tiempo. Methodware tiene bastante experiencia trabajando con sus clientes para establecer administración de riesgos en las empresas y ha comenzado a identificar algunas prácticas ventajosas.
Basados en el United Overseas Bank, de Singapur, observaremos los aspectos involucrados y algunos de los mecanismos para resolverlos. Nos enfocaremos en el uso de herramientas
automatizadas para que nos asistan en el proceso de administración de riesgos.
Específicamente, cubriremos los siguientes temas;
Propiedad Gerencial : la importancia de la propiedad del Ejecutivo en relación al proceso de administración deriesgos, y la comunicación dentro de la organización
Definición de Proceso :asegurar que se identifica el alcance completo de los riesgos, comenzando con lo que hace el negocio
Identificación de Riesgos: hay una cantidad de mecanismos para identificación de los riesgos
Auto Evaluación de Riesgos y Controles: aumentar el alcance y cobertura de la evaluación de riesgos haciendo uso de la CRSA (Control Risk Self Assessment)
Monitoreo e Informes: utilizar automatización para asistir en el monitoreo de la administración de riesgos y en la emisión de informes a toda la organización
Propiedad Gerencial
El Patrocinio Ejecutivo es clave para la implementación exitosa de la Administración de Riesgos en
toda la organización. Muchas organizaciones fallan en lograr los beneficios completos de un amplio
sistema de administració n de riesgos porque la gerencia de línea no ve que haya apoyo desde la
dirección superior, y en consecuencia no apoyan totalmente la iniciativa.
El Ejecutivo del banco ha brindado la conducción de la iniciativa, desarrollando la estructura y las
líneas apropiadas de reporte para apoyar al equipo de Administración de Riesgos. El banco ha
formado un equipo de Administración de Riesgos totalmente dedicado, cuyos integrantes fueron
sacados de otras disciplinas dentro del banco.
Los Jefes de las Unidades de Negocio tienen reforzado el proceso mediante la inclusión de sus
funciones de riesgos dentro de sus descripciones de tareas. Aunque esto no garantiza el apoyo de los
grupos, al menos brinda algún incentivo.
Definición de Procesos
La definición de los Procesos de Negocios es una parte muy importante del proceso de
Administración de Riesgos. Aunque hay otros enfoques para construir una estructura de riesgos,
UOB ha encontrado que adoptando una base de procesos de negocio, se identifica un mapa más
amplio de riesgos. Otros enfoques tienden a focalizarse en los riesgos para los cuales ya ocurrieron
pérdidas, o pueden omitir riesgos que cruzan a través de áreas funcionales del negocio. El modelo de
arriba ilustra los distintos elementos de un amplio modelo de riesgos. En el caso de UOB las áreas
de riesgo son procesos.
El banco ha construido estos mapas de procesos en ejercicios previos (focalizándose en esta etapa en
los más críticos), y los ha adoptado para su enfoque de administración de riesgos.
Previo al lanzamiento de la función dentro de una unidad de negocios, un miembro del grupo de
Administración de Riesgos se reunirá con el Jefe de la unidad para obtener una mejor comprensión
en relación al proceso del negocio. Se identifican y construyen los riesgos de los procesos en el
perfil de riesgos.
Identificación de Riesgos
Los riesgos son mapeados al nivel más alto de los procesos. Se utilizan talleres para identificar el
conjunto inicial de riesgos adjunto a cada proceso. Gerentes de Grupo de los grupos funcionales
responsables por los procesos de negocio identificados se reúnen en un taller, actuando como
facilitador el grupo de Administración de Riesgos.
La educación en el proceso de administración de riesgos es también una parte integral de estos
talleres. Es esencial un enfoque consistente para la identificación y evaluación de riesgos. Esto se
logra con educación, y también, claras definiciones de los criterios de evaluación de riesgos y de las
escalas de medición.
El Banco utiliza AS/NZ 4360:1999 como base para la evaluación del riesgo. Fue importante para
ellos que el software que adoptaran también utilizara AS/NZ 4360. De acuerdo con el estándar, la
identificación de los controles asociados con sus riesgos es también una parte crítica de este proceso.
Estos controles se registran contra el riesgo, y se realiza una evaluación del riesgo, tomando en
cuenta los controles vigentes.
UOB también identifica Indicadores Claves de Riesgos Operativos (KORIs). Estos se acuerdan
entre la unidad y el grupo de Administración de Riesgos y son diseñados para proveer
retroalimentación sobre el desempeño del riesgo.
Siguiendo a estas reuniones, se espera que los gerentes actualicen las evaluaciones de riesgo
trimestralmente y que reporten sus diez riesgos más importantes.
La creación de tratamientos, o planes de acción, para mitigar los riesgos que no están
satisfactoriamente controlados, es la siguiente etapa en el proceso de Administración de Riesgos.
UOB no ha progresado aún con esta fase. Una vez que la comiencen, el involucramiento de los
propietarios de los riesgos será crítico en la definición de los tratamientos. Esto ayudará a asegurar
la propiedad y la eventual acción del tratamiento.
Auditoría interna apoya el proceso de Riesgo Operativo, tanto en la definición de los perfiles de
riesgo, como también, y más importante, en la validación de las auto evaluaciones. Los controles
que se identifican son inicialmente evaluados en los talleres. Auditoría Interna puede realizar la
verificación de los controles y de su efectividad.
Methodware ha visto un crecimiento en la integración de Riesgo Operativo y Auditoría Interna. En
los Estados Unidos, la comunidad de Auditoría Interna parece ser un conductor clave en la
Administración de Riesgos de la Empresa. Ciertamente tiene sentido que donde dos grupos están
reportando los riesgos más importantes al directorio, los riesgos sean los mismos.
Methodware también ha visto una cantidad de compañías que están buscando software que soporte
tanto a Administración de Riesgos como a Auditoría Interna, de forma tal que la verificación de las
evaluaciones de riesgos y las evaluaciones de los controles, puedan surtir directamente al proceso de
Administración de Riesgos.
No hay comentarios:
Publicar un comentario