¿El intenso enfoque en el riesgo de mercado y de crédito en la gestión de riesgos de los bancos de inversión está llevando al abandono de riesgos operacionales significativos?
Dado que muchas empresas financieras modernas dependen en gran medida de sistemas digitales, aplicaciones móviles, portales en línea y soluciones tecnológicas para ejecutar sus operaciones, un fallo en el riesgo operacional podría detener por completo todas sus operaciones.
En este blog, profundizamos en los principales riesgos operacionales que enfrentan los bancos de inversión, exploramos las razones por las que el riesgo operacional en los bancos de inversión a menudo se descuida y compartimos cómo la última tecnología GRC está ayudando a los equipos de riesgo a obtener una visión holística del riesgo e implementar los controles adecuados.
Los riesgos operacionales son una amenaza constante para la industria de los servicios financieros, y las consecuencias de ignorarlos pueden ser devastadoras, entonces, ¿pueden los bancos de inversión permitirse el lujo de descuidar esta importante área de riesgo? Después de todo, hay mucho en juego y no solo en términos de tiempo de inactividad operacional, sino que una gestión deficiente del riesgo operacional también puede resultar en costes financieros directos, multas regulatorias y responsabilidad legal.
Áreas centrales de la gestión del riesgo operacional en la banca de inversión
Los bancos de inversión se dedican principalmente a negocios, entidades gubernamentales e individuos adinerados. Aunque esto resulta en transacciones más grandes y complejas, y en un entorno regulatorio diferente, muchas de sus áreas de riesgo operacional reflejan el sector de servicios financieros en general. Comprender estas áreas centrales de riesgo operacional y gestionar eficazmente esos riesgos se convierte en un factor enorme que influye en su recorrido de gestión del riesgo empresarial.
En el contexto de las instituciones financieras, el Comité de Supervisión Bancaria de Basilea define el riesgo operacional como “el riesgo de pérdida resultante de procesos empresariales internos, sistemas, personas y eventos externos inadecuados o fallidos”.
A diferencia de sus contrapartes “riesgo de crédito” y “riesgo de mercado”, los riesgos operacionales están intrínsecamente ligados a los procesos internos de una empresa. Y debido a que los riesgos operacionales provienen de muchas fuentes y tienden a manifestarse de diversas formas, una gestión deficiente del riesgo operacional puede perturbar el núcleo de las operaciones de una empresa.
El riesgo operacional suele estar causado por cuatro vías diferentes:
Personas: La mala conducta intencional, los errores inadvertidos de los empleados, la pérdida de personal o la falta de las habilidades y la formación necesarias pueden generar vulnerabilidades.
Procesos: Los procesos y procedimientos obsoletos, ineficientes o mal documentados pueden afectar en gran medida a las operaciones.
Sistemas: La seguridad de los datos comprometida, los ataques cibernéticos, el tiempo de inactividad del sistema, los fallos tecnológicos, las interrupciones y la pérdida de energía o Internet pueden interrumpir gravemente las operaciones y causar pérdidas financieras.
Eventos externos: Factores como los cambios regulatorios, la actividad de la competencia, la dotación de personal y el riesgo geopolítico son influencias esenciales a tener en cuenta como parte de su programa ORM.
¿Por qué los bancos de inversión no consiguen controlar el riesgo operacional?
Muchas empresas financieras, incluidos los bancos de inversión, a menudo consideran los riesgos operacionales como “menos tangibles” que otros tipos de riesgos, como los riesgos de crédito y de mercado. Debido a que los riesgos operacionales están relacionados con las personas, los procesos, los sistemas y los eventos externos, pueden percibirse como difíciles de cuantificar y medir.
Como resultado, a menudo reciben menos atención por parte de la alta dirección y no se les da el mismo nivel de recursos que a otros tipos de riesgos, a pesar de ser una parte integral de su estrategia general de gestión de riesgos. Muchas organizaciones también tienden a ver la gestión del riesgo operacional como un “requisito de cumplimiento”.
Tratan esta función esencial como un mero ejercicio de marcar casillas en lugar de utilizarla para añadir valor a través de un marco integral de gestión de riesgos. Pero cuando se hacen bien, los programas de gestión del riesgo operacional sí añaden valor. Al identificar sus áreas de riesgo clave e implementar los controles apropiados para reducir el riesgo, las organizaciones pueden prevenir activamente el riesgo que, si no se aborda, afectaría gravemente a sus operaciones.
¿Cuáles son las áreas clave de riesgo operacional que los bancos de inversión deberían abordar?
Tiempo de inactividad del sistema: Dado que la mayoría de las empresas bancarias dependen de una amplia variedad de sistemas y aplicaciones para ejecutar sus operaciones, es esencial abordar los riesgos operacionales que podrían causar el tiempo de inactividad del sistema. Los riesgos relacionados con la pérdida de energía o Internet, el vencimiento de licencias y los contratos deben gestionarse cuidadosamente.
Errores o mala conducta de los empleados: Los errores operacionales de los empleados pueden causar un gran impacto en una organización. Este riesgo debe mitigarse cuidadosamente con controles como la formación del personal, los planes de retención y la documentación de políticas y procesos. Las áreas de mala conducta también deben manejarse adecuadamente.
Fraude: El fraude interno, como la malversación o el uso de información privilegiada, es una amenaza generalizada que puede tener consecuencias devastadoras para los bancos de inversión. Las organizaciones pueden mitigar de forma proactiva los riesgos de fraude mediante la supervisión continua y los controles automatizados. Al establecer controles basados en el riesgo y parámetros de supervisión, las organizaciones pueden identificar posibles vulnerabilidades y tomar medidas correctivas inmediatas.
Violaciones de la ciberseguridad: Los bancos de inversión deben supervisar continuamente las infecciones de ransomware, las usurpaciones de cuentas y los esquemas de phishing. Estas amenazas pueden provocar interrupciones en las operaciones, violaciones de datos y costosas medidas correctivas. Los bancos deben contar con medidas de ciberseguridad sólidas para proteger los datos de los clientes y los sistemas financieros.
Incumplimiento normativo: El cumplimiento no es solo un requisito legal; también es un aspecto crucial de la gestión del riesgo operacional. No cumplir con las regulaciones puede tener consecuencias graves, tanto financieras como de reputación, para los bancos de inversión. La implementación de sistemas de software que automatizan la supervisión del cumplimiento, la presentación de informes y el mantenimiento de registros puede agilizar los procesos y reducir el riesgo de incumplimiento.
¿Cómo puede la tecnología GRC ayudar a los bancos de inversión a automatizar la gestión del riesgo operacional?
A medida que los bancos de inversión lidian con diversos factores de riesgo internos y externos, el cultivo de un programa sólido de gestión del riesgo operacional ha surgido como un eje para la sostenibilidad y la resiliencia a largo plazo. La tecnología GRC ofrece un conjunto de funciones para ayudar a las empresas a automatizar sus procesos de gestión del riesgo operacional y obtener una visión holística del riesgo.
Las organizaciones pueden configurar fácilmente registros de riesgos en línea integrales, donde varios departamentos pueden registrar directamente el riesgo, y el riesgo se puede clasificar y calificar fácilmente utilizando un marco de riesgo coherente. Las evaluaciones de riesgos se pueden implementar en línea a través de la automatización con todos los datos que se introducen directamente en la plataforma.
Las empresas necesitan una solución de gestión de riesgos que pueda recopilar y agregar datos de riesgo de las partes interesadas de toda la organización. Al utilizar el software GRC, los equipos de riesgo pueden recopilar fácilmente suficientes datos de riesgo de las partes interesadas en todo el negocio. Cada empleado tiene su propio panel de control donde completa tareas relacionadas con el riesgo, como “evaluaciones de riesgo” y “verificaciones de control”. Estos datos se capturan de forma centralizada, lo que permite a los equipos de riesgo calcular fácilmente la probabilidad, la gravedad y el impacto del riesgo y generar calificaciones de riesgo.
Los datos transaccionales y operacionales se pueden extraer en la herramienta GRC de otros sistemas y fuentes de datos a través de conexiones API, lo que permite a los equipos establecer indicadores clave de riesgo (KRI) y definir tolerancias de riesgo basadas en datos reales. Con el software adecuado, toda la organización puede registrar los riesgos y asumir la responsabilidad del riesgo. Esto hace que la gestión de riesgos sea más accesible, responsable, rastreable y resoluble, proporcionando visibilidad instantánea a los equipos de liderazgo y permitiéndoles ajustar su apetito de riesgo según sea necesario.
Los informes instantáneos autogenerados permiten además a una organización obtener una visión completa de su perfil de riesgo y profundizar en los detalles para abordar las áreas problemáticas.
La implementación de una plataforma GRC sólida no solo crea una cultura consciente del riesgo en toda la organización, sino que también elimina las tareas administrativas y de informes tediosas y mundanas que consumen mucho tiempo. Esto deja al equipo de riesgo con tiempo para analizar los datos de riesgo e introducir medidas para reducir el riesgo operacional y apoyar la toma de decisiones, en lugar de realizar tareas administrativas.
Desafíos de ORM relacionados con procesos manuales aislados
Tradicionalmente, la gestión de riesgos en la mayoría de las instituciones financieras sigue dependiendo de procesos manuales basados en hojas de cálculo o plataformas heredadas que tienden a ser fragmentadas, costosas e ineficientes. Si bien la ERM se ha vuelto más ampliamente aceptada, muchos bancos de inversión todavía operan en silos de información analítica que dependen de una colección de diferentes soluciones que no se integran, negando a la alta dirección una imagen real del riesgo en toda la empresa.
Los problemas típicos con un enfoque manual, aislado, basado en hojas de cálculo incluyen:
Datos de riesgo de mala calidad debido a la falta de gobernanza de datos.
Duplicación de esfuerzos y aumento de la administración, ya que a menudo es necesario transferir datos entre formularios y varias hojas de cálculo.
Procesos inconexos y aislados, ya que las hojas de cálculo no se integran, lo que dificulta obtener una visión consolidada del riesgo en varias hojas de cálculo y fuentes de datos.
Sin marco de riesgo estandarizado, lo que dificulta priorizar los riesgos más críticos.
Problemas de acceso resultantes de que varios empleados intentan acceder a las mismas hojas de cálculo, lo que a menudo resulta en datos sobreescritos.
Mala rendición de cuentas, ya que no hay seguimiento de usuarios, lo que dificulta saber quién modificó qué.
Procesos inconexos que dificultan la vinculación de los riesgos con los controles relevantes o los incidentes asociados.
La falta de automatización significa que todas las evaluaciones de riesgos se envían y se persiguen manualmente, los datos se transfieren manualmente y no hay notificaciones y alertas automatizadas para señalar problemas o flujos de trabajo para formalizar los procesos y gestionar los riesgos hasta su resolución.
Informes engorrosos y que consumen mucho tiempo que solo dan una instantánea de los eventos en un momento dado.
Este enfoque para la gestión de riesgos a menudo hace que la alta dirección se centre en cuestiones que tienen poco impacto en la viabilidad estratégica y futura del banco.
Alineación de la gestión de riesgos con la planificación estratégica y el rendimiento empresarial para una supervisión mejorada
Alinear el riesgo con la estrategia es un aspecto esencial de la gestión eficaz del riesgo. La planificación estratégica debe integrarse con la gestión de riesgos para que las organizaciones aborden eficazmente los riesgos prospectivos y aprovechen las oportunidades. Al alinear estos dos procesos, las empresas aumentarán la resiliencia frente a eventos imprevistos, mejorarán la eficiencia de la asignación de recursos y, en última instancia, mejorarán el logro de los objetivos estratégicos en diversas condiciones de mercado.
Las soluciones GRC que incorporan “elementos de riesgo” a las decisiones estratégicas que deben tomarse, muestran muy rápidamente el valor que pueden generar, tanto en oportunidad como en evitar problemas costosos. La viabilidad a medio y largo plazo de una entidad depende de su capacidad para anticipar y responder al cambio, no solo para sobrevivir, sino también para evolucionar y prosperar.
La plataforma Riskonnect permite a las partes interesadas de todo el negocio participar en el proceso de gestión de riesgos, proporcionando datos integrales para mitigar los riesgos al tiempo que se obtienen conocimientos para descubrir ineficiencias de procesos y posibles oportunidades de crecimiento.
Las pérdidas debidas a fallos operacionales en la banca de inversión son cada vez más frecuentes, y el precio de pasar por alto el riesgo operacional suele ser más alto que abordarlo activamente. Si mejorar la gestión del riesgo operacional es una preocupación clave para su organización, póngase en contacto con nosotros para una demostración y descubra cómo la última tecnología GRC podría agilizar y automatizar sus procesos. Obtenga más información sobre cómo la plataforma Riskonnect GRC está ayudando a las organizaciones de servicios financieros.
