Publicado: 23 de mayo de 2024
Colaborador: Cole Stryker
El riesgo operacional es un resumen de la pérdida resultante de procesos internos, personas y sistemas inadecuados o fallidos o de eventos externos.
Es uno de los tipos clave de riesgo que enfrentan las compañías y organizaciones, junto con el riesgo estratégico, el riesgo crediticio y el riesgo de mercado. La gestión del riesgo operacional (ORM) implica identificar, evaluar y mitigar estos riesgos para reducir la probabilidad y el impacto de pérdidas potenciales.
Estos son solo algunos ejemplos de riesgos operacionales que pueden sorprender a una compañía si no está preparada para gestionarlos:
- Una pequeña empresa enfrenta una crisis de flujo de caja debido al retraso en los pagos de clientes clave, lo que lleva a dificultades para cumplir con la nómina y los gastos operativos.
- Una cadena de comida rápida enfrenta una crisis de relaciones públicas luego de que un video viral muestra condiciones insalubres en uno de sus restaurantes, lo que lleva a una caída en la confianza de los clientes y las ventas.
- Una compañía de software se enfrenta a una demanda por infracción de propiedad intelectual, lo que genera costos legales, daños potenciales y una interrupción en el desarrollo del producto.
Todas las compañías se enfrentan a muchos tipos de riesgos operacionales, que van desde aquellos que en gran medida están bajo el control de la organización, como el riesgo de incumplir con las regulaciones, hasta factores que están completamente fuera de la capacidad de predicción de la compañía, como un brote pandémico imprevisto.
A medida que las operaciones crecen en complejidad, por ejemplo, involucrando muchos tipos de operaciones en muchos sistemas y países, la exposición de la organización al riesgo aumenta, lo que hace más probable que ocurra algún tipo de falla operativa y afecte la reputación o el resultado final de la organización.
Los tipos de riesgos involucrados en diversas prácticas comerciales pueden clasificar ampliamente. Aquí hay 6 categorías comúnmente empleadas para desglosar diferentes tipos de riesgo.
Estos riesgos están relacionados con la eficiencia y eficacia de los procesos internos. Por ejemplo, errores o retrasos en el procesamiento de transacciones, procedimientos inadecuados para manejar las quejas de los clientes, fallas en la cadena de suministro o fallas en los controles internos.
Para evitar riesgos en los procesos, las organizaciones pueden mejorar los flujos de trabajo introduciendo automatización impulsada por inteligencia artificial (IA) para reducir las posibilidades de ralentizaciones, interrupciones y escasez. La documentación de procesos también puede ayudar al alta dirección a ver dónde se pueden realizar mejoras.
Esto abarca los riesgos asociados con los empleados, como una deficiencia en los recursos humanos o cualquier tipo de error humano, fraude o mala conducta. Algunos ejemplos son:
- transacciones no autorizadas por parte de los empleados (fraude interno)
- incumplimiento de contrato del proveedor (fraude externo)
- errores en la entrada de datos
- accidentes de trabajo
- incumplimiento de los requisitos normativos debido a la falta de capacitación.
Para mitigar los riesgos humanos, las compañías toman medidas para incorporar una cantidad suficiente de personal altamente calificado, bien capacitado y ético y organizarlo dentro de la organización de tal forma que se faciliten colaboraciones exitosas en un entorno caracterizado por la seguridad en el trabajo.
A veces denominado "riesgo tecnológico", se refiere a los riesgos derivados del uso de la tecnología y los sistemas dentro de una organización. Los eventos de riesgo pueden incluir errores, fallos del sistema, ciberataques u otros fallos de ciberseguridad, violaciones de datos o infraestructuras informáticas inadecuadas.
Los sistemas pueden fallar o verse comprometidos de innumerables maneras, y es responsabilidad de los directores de tecnología (CTO), directores de información (CIO), directores de datos (CDO) y gerentes de TI ayudar a garantizar que los sistemas sean seguros, estén protegidos y funcionen sin problemas.
El riesgo financiero abarca el riesgo de pérdida financiera derivada de la toma de decisiones financieras, como un flujo de caja insuficiente para satisfacer las necesidades operativas, malas inversiones o el riesgo de que los socios no cumplan con sus obligaciones financieras con la organización.
Se trata de un término general que se emplea para describir cualquier riesgo empresarial que resulte de iniciativas estratégicas. Fusiones y adquisiciones, nuevas ofertas de productos y cambios de marca, todas estas decisiones comerciales implican algún elemento de riesgo.
Estos son riesgos que surgen de factores externos que escapan al control de la organización. Los ejemplos incluyen desastres naturales que afectan los activos físicos, inestabilidad política y falla de los servicios financieros o quiebra de grandes instituciones financieras, cambios regulatorios repentinos o pandemias.
Los eventos que pueden desencadenar interrupciones en el negocio ocurren fuera de las cuatro paredes de la organización todo el tiempo, y aunque no siempre se pueden prevenir, depende de los gerentes de operaciones desarrollar formas de anticiparlos, responder rápidamente y mantener la continuidad del negocio.
La evaluación del riesgo operacional es el proceso de identificar, analizar y evaluar los riesgos asociados con las operaciones diarias de una organización. El riesgo operacional no se puede evitar todo el tiempo. El objetivo de la evaluación del riesgo operacional es que las partes interesadas identifiquen los riesgos, evalúen el nivel de riesgo y encuentren formas de mitigarlos.
El primer paso es identificar los riesgos potenciales dentro de los procesos, sistemas y actividades operativos de la organización.
Esto implica recopilar información y examinar cualquier elemento operativo y cualquier riesgo que pueda implicar que impida el logro de los objetivos de la organización.
La lluvia de ideas, las entrevistas a los empleados y la revisión de la documentación se pueden emplear para identificar riesgos.
Una vez que se describe la estrategia, se deben desarrollar e implementar soluciones de IA. El CAIO supervisa este proceso, para aprovechar las herramientas adecuadas, ciencia de datos de vanguardia y metodologías de analytics de datos para el desarrollo de algoritmos de machine learning y modelos de IA al servicio de los casos de uso más efectivos.
Cuando se identificaron los riesgos, los gerentes de operaciones pueden analizarlos para evaluar su probabilidad y su impacto potencial en la organización.
Esto implica evaluar la frecuencia y gravedad de cada riesgo y determinar el nivel aceptable de exposición al riesgo.
Se pueden emplear diversas técnicas de análisis, como matrices de riesgo, análisis de escenarios y análisis de datos históricos para evaluar los riesgos.
Luego de analizar los riesgos, se evalúan para priorizarlos en función de su importancia para la organización.
Por lo general, los riesgos se clasifican según su gravedad y probabilidad, lo que permite a las organizaciones centrar sus recursos en abordar primero los riesgos más críticos.
La evaluación de riesgos implica considerar factores como la tolerancia al riesgo de la organización, los requisitos normativos y los objetivos estratégicos. Las organizaciones cuantifican el riesgo con indicadores clave de riesgo (KRI).
Una vez evaluados y priorizados los riesgos, las organizaciones desarrollan e implementan estrategias de tratamiento de riesgos para gestionar y mitigar el riesgo de manera eficaz.
Las estrategias de tratamiento de riesgos pueden incluir la prevención de riesgos, la reducción de riesgos, la transferencia de riesgos o la aceptación de riesgos. Las organizaciones también pueden implementar controles y salvaguardas para minimizar la probabilidad y el impacto de los riesgos identificados.
La evaluación del riesgo operacional es un proceso continuo, y los riesgos deben monitorearse y revisar periódicamente a través de auditoría interna para ayudar a garantizar que las estrategias de gestión de riesgos sigan siendo efectivas.
Esto implica hacer un seguimiento de los cambios en el entorno operativo de la organización, evaluar la eficacia de los controles implementados y actualizar las evaluaciones de riesgos según sea necesario.
El monitoreo y la revisión continuos permiten a las organizaciones adaptarse a los riesgos en evolución y mantener un marco eficaz de gestión de riesgos a lo largo del tiempo.
Comprender las diferencias entre el apetito de riesgo, la tolerancia al riesgo y el perfil de riesgo es crucial para una gestión eficaz del riesgo operacional.
El apetito por el riesgo es amplio y estratégico y define el enfoque general a la toma de riesgos. La tolerancia al riesgo es más específica y establece niveles de riesgo aceptables para áreas particulares. El perfil de riesgo proporciona una instantánea del panorama de riesgos actual.
Este es el nivel general de riesgo que una organización está dispuesta a aceptar en la búsqueda de sus objetivos estratégicos. Refleja la actitud de la organización hacia la asunción de riesgos y su capacidad para asumir el riesgo de pérdida sin poner en peligro su misión y objetivos principales. Se alinea con los objetivos y la estrategia a largo plazo y se puede expresar de menor a mayor.
Se trata del nivel específico de riesgo que una organización está dispuesta a aceptar en un ámbito concreto o para un proyecto específico. Proporciona umbrales más detallados dentro del marco más amplio de ORM establecido por el apetito de riesgo. La tolerancia al riesgo suele expresar en términos más definidos y mensurables, como la pérdida máxima aceptable o la desviación de la cotización.
Un perfil de riesgo es un resumen completo de los tipos y niveles de riesgo que enfrenta actualmente una organización. Incluye una evaluación de la probabilidad y el impacto potencial de varios riesgos y cómo se gestionan.
El perfil de riesgo refleja la exposición actual al riesgo y la eficacia de la gestión de riesgos, proporcionando una imagen completa del panorama de riesgos. El perfil se actualiza periódicamente para reflejar los cambios en el entorno de riesgo, los riesgos emergentes y la eficacia de los controles de riesgo.
Una vez identificados, evaluados y priorizados los riesgos, las organizaciones pueden trabajar para mitigarlos. Este proceso se divide en varias categorías. La gestión del riesgo operacional eficaz implica elegir la respuesta óptima al riesgo en función de la gravedad, la inmediatez y muchos otros factores.
- prevención de riesgos: identifique las actividades que son demasiado riesgosas y considere evitar riesgos innecesarios si se encuentran fuera del alcance del apetito de riesgo de la organización.
- Reducción de riesgos: implementar medidas para reducir la probabilidad o el impacto de los riesgos. Esto puede incluir la definición de métricas, la mejora de los controles internos, la mejora de los procesos de negocio y el desarrollo de procesos de ORM.
- Transferencia de riesgos: transferir el riesgo a un tercero a través de seguros, subcontratación o acuerdos contractuales.
- Aceptación del riesgo: aceptar ciertos riesgos si están dentro del apetito de riesgo de la organización y no es rentable mitigarlos aún más. Ayude a garantizar que haya planes para gestionar y monitorear estos riesgos aceptados.
Los programas de gestión del riesgo operacional pueden mejorar mediante el uso de software ORM, que está diseñado para ayudar a las organizaciones a identificar, evaluar, mitigar y monitorear los riesgos operacionales en todas sus operaciones comerciales, todo en un solo entorno.
Los programas ORM proporcionan herramientas de autoevaluación para capturar y documentar diversos tipos de riesgos y permiten a los usuarios registrar controles de riesgos. Más allá de la identificación, el software de gestión de riesgos ofrece la capacidad de evaluar los riesgos mediante el uso de diversas técnicas analíticas como metodologías de puntaje de riesgos y matrices de riesgos.
Cuando identificaron y evaluado los riesgos, los usuarios pueden usar herramientas para mitigarlos y controlarlos para reducir su probabilidad e impacto. Cuando inevitablemente ocurren pérdidas operativas, los procesos de gestión de riesgos pueden ayudar a los gerentes a rastrear incidentes y determinar responsabilidades y soluciones.
El software también puede ayudar con la gestión del cumplimiento al ofrecer herramientas para rastrear leyes, regulaciones y estándares, e identificar áreas en las que una compañía podría tener una brecha de cumplimiento. El software de gestión de riesgos también puede integrar con la gestión de riesgos empresariales (ERM) y otros sistemas para compartir datos de riesgos y optimizar la colaboración entre equipos multifuncionales.
IBM OpenPages es una plataforma de gobierno, riesgo y conformidad impulsada por IA creada para ayudar a las organizaciones a gestionar el riesgo y los retos de cumplimiento normativo.
Obtenga la confianza necesaria para lograr sus objetivos empresariales en un mundo de riesgos dinámicos con el módulo IBM OpenPages Operational Risk Management.
Al utilizar operaciones escalables y flujos de trabajo inteligentes, ayudamos a los clientes a alcanzar objetivos prioritarios, gestionar el riesgo, combatir los delitos financieros y el fraude, y satisfacer las cambiantes demandas de los clientes al tiempo que satisfacen los requisitos de supervisión.
La gobernanza, el riesgo y el cumplimiento (GRC) es una estrategia organizativa para gestionar la gobernanza y los riesgos mientras se mantiene el cumplimiento de las normas gubernamentales y de la industria.
La gestión de amenazas es un proceso que utilizan los profesionales de ciberseguridad para prevenir ataques cibernéticos, detectar amenazas cibernéticas y responder a incidentes de seguridad.
La única forma de reducir los riesgos de manera efectiva es que una organización emplee una estrategia de mitigación de riesgos paso a paso para clasificar y gestionar los riesgos, cerciorar de que la organización tenga un plan de continuidad del negocio para eventos inesperados.