El Banco de Pagos Internacionales (más conocido por sus siglas en inglés, BIS – Bank for International Settlements) ha actualizado recientemente (junio) los documentos relacionados con el riesgo operacional y su cálculo mediante el denominado AMA (Advanced Measurement Approaches):
- Principles for the Sound Management of Operational Risk (bcbs195.pdf)
- Operational Risk – Supervisory Guidelines for the AMA (bcbs196.pdf)
Ambos documentos son muy interesantes puesto que son los que sientan las bases para la realización de las auditorías (ya sean realizadas interna o externamente o por el propio supervisor) relacionadas con la gestión del riesgo operacional por parte de las entidades financieras. Para ello, estos documentos establecen cuales son las mejores prácticas y las recomendaciones para gestionar el riesgo operacional y su cálculo mediante el mencionado cálculo.
Antes de entrar a lo que serían los principios, destacar que el BIS considera que «una buena gestión del riesgo operacional es un reflejo de la efectividad del Consejo y de la Alta Dirección en la administración de la cartera de productos, actividades, procesos y sistemas«. Normalmente, esta gestión se ha organizado en las entidades financieras mediante tres líneas de defensa:
- La gestión de las líneas de negocio, responsable de la identificación y gestión de los riesgos inherentes a su actividad.
- Una función independiente de gestión del riesgo operacional corporativo (CORF – Corporate Operational Risk Function) que se encarga de las entradas y salidas de los sistemas de gestión, de medida y de notificación de riesgos.
- Una revisión independiente que se encarga de supervisar los controles, procesos y sistemas de gestión del riesgo.
Esta estructura da soporte a los 11 principios fundamentales de gestión del riesgo operacional:
- El Consejo de Administración debería asumir el liderazgo en el establecimiento de una sólida cultura de gestión del riesgo.
- Los bancos deberían desarrollar, implantar y mantener un marco que se integre completamente en los procesos de gestión del riesgo globales de la entidad.
- El Consejo de Administración debería establecer, aprobar y revisar periódicamente el marco.
- El Consejo de Administración debería aprobar y revisar una declaración de tolerancia y apetito de riesgo que articule la naturaleza, tipos y niveles de riesgo operacional que la entidad está dispuesta a asumir.
- La Alta Dirección debería desarrollar para su aprobación por el Consejo de Administración una clara, efectiva y robusta estructura de gobierno con unas bien definidas, transparentes y claras líneas de responsabilidad.
- La Alta Dirección debería asegurar la identificación y valoración del riesgo operacional inherente a todos los productos, actividades, procesos y sistemas para asegurar que los riesgos y los incentivos inherentes son bien entendidos.
- La Alta Dirección debería asegurar que existe un proceso de aprobación para todos los nuevos productos, actividades, procesos y sistemas que evalúa completamente el riesgo operacional.
- La Alta Dirección debería implantar un proceso para monitorizar regularmente los perfiles de riesgo operacional y la exposición a pérdidas materiales (significativas).
- Los bancos deberían tener un fuerte entorno de control que utilice las políticas, procesos y sistemas, controles internos adecuados y unas apropiadas estrategias de transferencia y/o mitigación del riesgo.
- Los bancos deberían establecer planes de continuidad y resiliencia para asegurar su capacidad de seguir operando y limitar las pérdidas en caso de una interrupción grave.
- La divulgación pública de un banco debería permitir a los grupos de interés evaluar su aproximación a la gestión de los riesgos operacionales.
Como se puede comprobar son principios bastante comunes a la gestión del riesgo que todos los que trabajamos en seguridad de la información manejamos. No obstante, nos gustaría destacar el enfoque top-down que claramente encaja con las mejores prácticas de buen gobierno y, en segundo lugar, la importancia de la capacidad de recuperar la actividad en caso de incidencia, la resiliencia.
En definitiva dos documentos muy interesantes para los interesados en análisis de riesgos e imprescindible para los responsables de seguridad y de riesgos (operacionales) del sector financiero.
Puedes seguirnos en twitter.com/enplusone