Autor: Alejandro Bazo, profesor en BURSEN.
Todas las organizaciones gestionan de alguna manera los riesgos a los que se ven expuestas en su actividad cotidiana, especialmente aquellos que le son obvios, los que pueden afectar de manera directa sus actividades generadoras de valor. Lo hacen siendo reguladas y obligadas bajo ciertas reglas mínimas de control, como las empresas del Sistema Financiero y el Mercado de Valores o, como en el caso de cualquier otro tipo de empresa, lo hacen como parte del conocimiento empírico de sus operaciones.
Sin embargo, el marco normativo general actual ya está obligando a las empresas a considerar la gestión de riesgos en otros niveles. Por ejemplo, la normativa de Seguridad y Salud en el Trabajo o la de Protección de Datos Personales, son en la práctica la aplicación de estándares mínimos de gestión de riesgo operacional en empresas que antes no estaban obligadas a tenerlos. Entonces, hoy las empresas ya están gestionando riesgos distintos a su principal riesgo de negocio.
Pensemos por un momento en una clínica, preocupada por brindar la mejor calidad en los servicios de salud que ofrece, controla los riesgos relacionados a su actividad: atención de emergencias, control de contaminación, continuidad del negocio ante caídas de energía, entre otros. Sin embargo, no por ser secundarios a su actividad principal, dejan de tener importancia otros riesgos que deben ser gestionados y cuya materialización puede causar un impacto negativo importante en las operaciones de la organización y en su reputación, por ejemplo, el control de los accesos del personal, la pérdida de datos en la información de los pacientes, el robo de esta información, el hackeo de sus sistemas, etc.
En este contexto, es lógico pensar que la normativa en riesgos para empresas de grupos regulados y no regulados se haga más estricta con el tiempo, más aún cuando la innovación constante de tecnología y prácticas empresariales, obliga a no descuidar esta arista cada vez más importante del negocio.
Hablando específicamente del Mercado de Valores, la Superintendencia emitió la Resolución SMV N. 037-2015, Reglamento de Gestión Integral de Riesgos, que entrará en vigencia en unos días, el 01 de enero de 2017 y que obliga a las instituciones reguladas por ella a implementar un sistema de gestión integral de riesgos de acuerdo al tamaño y complejidad de las operaciones de cada una de las entidades reguladas. Esta implementación deberá realizarse durante el año 2017, sin embargo, las empresas que formen parte de un conglomerado financiero lo deberán hacer a más tardar el 31 de enero de 2017. El primer informe anual de gestión integral de riesgo para empresas que pertenecen a conglomerados financieros corresponderá al año 2017 y deberá ser emitido en el primer trimestre del año 2018; mientras que para empresas que no pertenecen a conglomerados financieros, el primer informe corresponderá a la gestión del año 2018 y deberá ser emitido el primer trimestre del año 2019.
Otra norma emitida por la Superintendencia del Mercado de Valores es la Resolución SMV N. 027-2016, Reglamento de Gestión del Riesgo Operacional, que establece su implementación hasta el año 2018. Para entidades que ya cuentan con planes de seguridad de información y de continuidad de negocios, deben adecuar sus planes a más tardar el 31 de enero de 2018; la implementación de la gestión del riesgo operacional deberá efectuarse a más tardar el 31 de diciembre de 2018 para empresas que no pertenecen a conglomerados financieros y hasta el 31 de enero de 2018 para aquellas que sí pertenezcan a un conglomerado financiero.
Pero no hay que confiarse de la aparente lejanía de la mayoría de estas fechas límite de implementación. El exhaustivo trabajo de conocimiento y documentación de la organización que se requiere para llegar a los estándares establecidos, requiere un esfuerzo importante del personal de la empresa, el mismo que puede tomar meses en ser llevado a cabo con éxito. Lo mejor es iniciar el proceso de adecuación lo antes posible para poder llegar a tiempo y sin contratiempos al cumplimiento de las exigencias regulatorias.
Además, tenemos que ir superando etapas: primero, es necesario establecer las normas de conducta relacionadas con la gestión integral de riesgos, es decir, el marco regulatorio interno de la empresa. Posteriormente, tendremos que definir el alcance de la gestión integral de riesgos: (i) el ambiente interno: la estructura de gestión integral de riesgos de la empresa, que incluye los valores y la estructura organizacional sobre la que se soporta; (ii) los objetivos, alineados al apetito de riesgo definido en el Plan Estratégico de la compañía; (iii) identificación de riesgos, eventos y escenarios de riesgo a los que puede estar expuesta la organización; (iv) evaluación de riesgos, mediante técnicas cualitativas y cuantitativas; (v) respuesta al riesgo, definiendo si este será aceptado, mitigado, evitado o transferido; (vi) procesos de control de riesgos; (vii) procedimientos de comunicación de indicadores de riesgo a los diferentes interesados; y, (viii) monitoreo del proceso y actualización periódica.
En ambas normas se puede apreciar la importancia que el riesgo operacional tiene para el regulador. Esto es evidente si consideramos que el riesgo operacional es, después del riesgo principal del negocio, el riesgo que puede causar más problemas en las organizaciones si es que llega a materializarse. Así, para empresas bancarias y financieras, el riesgo operacional será el segundo en importancia después del riesgo de crédito; para empresas administradoras de fondos de pensiones y administradores de portafolios, lo será después del riesgo de mercado; para empresas de seguros, lo será después del riesgo de seguro o técnico. En riesgo operacional de las empresas, visto desde afuera, es probablemente el principal riesgo oculto para los inversionistas ya que su conocimiento y gestión depende de la propia compañía y es muy difícil de medir desde el exterior. Es por eso que se hace necesario que en empresas que gestionan el patrimonio de sus clientes, el marco normativo para la gestión de este riesgo asegure que las empresas hagan un buen trabajo también con relación a la gestión de este riesgo.
En conclusión la gestión integral de riesgos en el Mercado de Valores llegó para quedarse y no nos queda más que prepararnos no solamente para cumplir la normativa, sino para que realmente sea útil y agregue valor a nuestras operaciones. Para ello es muy importante: capacitar a nuestro equipo de trabajo, implementar la gestión integral de riesgos en la organización y hacer el seguimiento de la misma.
Bolsa Educa 