Registro de pérdidas por incidentes operacionales: pautas básicas

A medida que una empresa crece y sus operaciones se hacen más complejas, también crece su riesgo operacional.

El riesgo operacional es inherente a cualquier actividad empresarial y se materializa en pérdidas de causas muy diversas, por poner algunos ejemplos:

  • Reclamaciones de clientes como consecuencia de errores en procesos de negocio
  • Pérdidas como consecuencia de caídas o errores de sistemas informáticos
  • Pérdidas como consecuencia de fallos en la seguridad de los sistemas
  • Pérdidas como consecuencia de fraude externo
  • Pérdidas como consecuencia de actividades fraudulentas de empleados
  • Pérdidas como consecuencia del no cumplimiento de las obligaciones para con los clientes, bien por negligencia o por error.
  • Pérdidas como consecuencia de sanciones derivadas de un producto o servicio que no cumple con la legislación aplicable
  • Incendio, inundación, etc… en las instalaciones de la empresa
  • Pago de multas y/o indemnizaciones como consecuencia de incumplimientos de la legislación de prevención de riesgos laborales o de la legislación laboral…
  • etc..

Tomando como referencia las definiciones dadas por diversas entidades financieras, donde la disciplina de gestión de riesgos operacionales está muy desarrollada;  podríamos definir este tipo de riesgo como:

El riesgo de pérdidas resultantes de procesos o sistemas inadecuados o fallidos, factores humanos, obligaciones contractuales, tecnología, infraestructura y desastres, eventos externos, prácticas de negocio o relaciones con clientes… ”.

Es evidente que no es posible eliminar totalmente el riesgo operacional de una organización; sin embargo, sí es posible anticiparse a sus consecuencias y gestionarlo, de modo que las pérdidas se mantengan dentro de límites aceptables. Sin una gestión adecuada, las pérdidas por incidentes operacionales pueden ser un lastre severo para la consecución de los objetivos de negocio.

A la hora de establecer un programa efectivo de gestión del riesgo operacional, uno de los elementos primeros que hay que implantar en la organización es un sistema que nos permita identificar y cuantificar los incidentes operacionales. Se trata de empezar a medir y visualizar la problemática de la empresa bajo el supuesto de que no es posible gestionar un problema que nos es desconocido.

En este artículo vamos a dar unas pautas básicas para la creación y gestión de una base de datos de incidentes operacionales.

Razones para medir las pérdidas operacionales

La implantación de procedimientos de registro y cuantificación de los incidentes operacionales puede ser una tarea bastante retadora, especialmente por el impacto cultural que puede tener en la organización. Por ello conviene que toda la organización tenga muy claros los beneficios que se persiguen:

  • Tomar conciencia de la magnitud real del problema en la organización; especialmente en lo relativo al impacto acumulado real de incidentes de menor entidad del “día a día”.
  • Analizar las causas raíz de los incidentes, para poder acometer acciones correctoras eficaces.
  • Cuantificar las pérdidas ocasionadas por los incidentes. Esto permitirá monitorizar la eficacia de las medidas correctoras a lo largo del tiempo.
  • Identificar áreas de riesgo excesivo.
  • Identificar fallos en los controles de la organización.
  • En las entidades financieras, además, ayudar en el cálculo del capital regulatorio.
  • Servir de información de referencia a la hora de analizar riesgos y estimar pérdidas futuras en nuevas iniciativas de la organización.

Cuestiones culturales

Hacer visibles los errores, los incidentes y las pérdidas operacionales; analizar en profundidad las causas de los mismos y definir planes de acción para corregir las deficiencias implica un alto grado de madurez en una organización.

Existe una tendencia natural a no dar visibilidad a los incidentes, especialmente en lo relativo a los errores de menor magnitud del día a día. Esta situación está muy vinculada a la costumbre de “buscar culpables” dentro de las organizaciones y a la idea de “lavar los trapos sucios dentro de casa”.

Para poder implantar satisfactoriamente un programa de medición de incidentes y pérdidas operacionales, han de satisfacerse una serie de requisitos:

  • Es necesario el apoyo explícito y continuado por parte de la alta dirección.
  • Es necesario comunicar de manera transparente a todos los empleados los objetivos del programa, que estarán orientados a la gestión y mejora continua. Para el éxito del programa es necesario establecer un entorno de confianza y centrado en la búsqueda de soluciones más que en la de culpables.
  • Es necesario designar y formar personas en la organización, con la responsabilidad explícita de categorizar y hacer el registro de los incidentes en la base de datos. Estas personas deberán ser puntos de referencia para recibir informes de posibles incidentes por parte de cualquier empleado.
  • Es necesario hacer campañas de comunicación interna e incentivar a todos los empleados para la identificación y reporte de los fallos e incidentes.

Sin estos requisitos, el programa está llamado al fracaso. Personalmente no recomendaría a nadie aceptar el encargo de implantar un proceso de medición de pérdidas si no se garantiza un apoyo incondicional de la dirección y no se hace una gestión de la comunicación y el cambio cultural.

Categorización de incidentes

Uno de los aspectos más importantes es la categorización consistente de cada incidente. Esto se puede conseguir:

  • Disponiendo de una descripción detallada de los incidentes tipo, adaptada a la realidad de la organización
  • Definiendo una política y un procedimiento que marquen las pautas para una correcta categorización de los incidentes por parte de los encargados de su registro

Es muy importante que las personas encargadas del registro de incidentes estén entrenadas y desarrollen criterio para poder clasificar de manera consistente los incidentes. En ocasiones los incidentes operacionales tienen múltiples derivadas y puede ser difícil atribuirlos a una única categoría; por ejemplo, un error en los sistemas de información puede tener como consecuencia que se pierda la confidencialidad de datos de clientes y se produzcan reclamaciones ante la agencia de protección de datos. En este caso,el incidente es la pérdida de privacidad de datos de clientes aunque la causa sea el fallo informático.

En el caso de las entidades financieras que operan bajo la regulación de Basilea II, las categorías a usar en el registro de incidentes operaciones están predefinidas, aunque se permite a las entidades definir sub-categorías para dar mayor granularidad y ajustarse mejor a la propia entidad.

A continuación mostramos a modo de ejemplo una adaptación de la tipología de Basilea II, la cual puede ser a su vez adaptada fácilmente por empresas de otros sectores de actividad:

Categorías de Incidentes-Tipo (nivel 1) Descripción Sub-Categorías / (ejemplos orientativos)
Fraude Interno Pérdidas debidas a actos deliberados originados dentro de la empresa y encaminados a defraudar, apropiarse de bienes indebidamente o saltarse regulaciones, leyes o políticas de la compañía. Actividades no autorizadasRobo / Fraude
Fraude Externo Pérdidas debidas a actos deliberados originados por terceras partes desde fuera de la empresa y encaminados a defraudar, apropiarse de bienes indebidamente o saltarse regulaciones o leyes Robo / FraudeIncidentes de seguridad de sistemas (ej: hacking, robo de datos…)
Prácticas laborales y seguridad del puesto de trabajo Pérdidas derivadas de incumplimiento de la legislación laboral, de las obligaciones contractuales con los empleados, de la legislación de prevención de riesgos laborales o de sanciones por actos de discriminación (por razón de raza, sexo…). Relaciones laborales (ej: huelgas, despidos…)Prevención de riesgos laboralesDiscriminación
Prácticas de negocio, de gestión de clientes o de productos Pérdidas derivadas del incumplimiento (negligente o involuntario) de las obligaciones profesionales con los clientes o como consecuencia de la naturaleza o diseño de los productos. Prácticas de negocio / mercado impropiasDefectos de producto (no autorizados, ilegales…)Productos basados en modelos matemáticos erróneosIncidentes de protección de datosAsesoramiento erróneo a clientesLímites de crédito excedidos
Daño a activos físicos Pérdidas derivadas de daños o perjuicios a la integridad física de activos de la organización como consecuencia de desastres naturales u otros eventos. Desastres y otros eventos (ej: inundación, terremoto…)Terrorismo / Vandalismo
Discontinuidad del negocio y fallos de sistemas Pérdidas derivadas de la interrupción del negocio o fallos en los sistemas informáticos. Fallos de hardware, de softwareCortes de suministro eléctrico
Ejecución, resolución y gestión de procesos Pérdidas derivadas de fallos en las transacciones o la gestión de procesos, o de relaciones con las contrapartidas o proveedores. Errores en la entrada de datos de operacionesError de contabilidadNo presentación de impuestos u otras obligaciones a tiempoProblemas con los prestadores de servicios en outsourcingEjecución errónea de instrucciones de clientesFallo en la entrega

Cuantificación de pérdidas

Uno de los aspectos que requiere mayor atención por su complejidad es el de la cuantificación de las pérdidas ocasionadas por los incidentes. En el registro del incidente se debe contemplar:

Pérdida bruta y neta:

La pérdida bruta es el coste directo del incidente. En este coste directo se debe contemplar la pérdida total que la organización tiene que afrontar inicialmente, con independencia de que parte de la pérdida pueda ser recuperada con posterioridad. Por ejemplo, en una transferencia de fondos realizada erróneamente, el coste directo es el importe de la operación.

La pérdida neta del incidente es la que resulta de restar a la pérdida bruta los importes recuperados. Por ejemplo, en caso de una transferencia de fondos errónea, si finalmente el destinatario al que se ha abonado por error devuelve el importe, entonces la pérdida neta será cero (si no se tienen en cuenta los costes indirectos de la gestión que haya sido necesaria para tramitar la retrocesión y los costes derivados de la gestión de la reclamación del cliente inicial víctima del error).

Costes a incurrir a futuro

En algunos casos habrá que consignar costes que deberán ser incurridos a futuro; por ejemplo, cuando se sabe que como consecuencia del incidente se van a tener que afrontar sanciones o indemnizaciones que habrán de hacerse efectivas a futuro.

Costes indirectos

En este apartado deberán consignarse todos los gastos indirectamente relacionados con la gestión del incidente; por ejemplo, honorarios de auditores, expertos en seguridad o abogados. Además, habrán de computarse los costes derivados de la reparación, reemplazo o recuperación de la situación a las condiciones anteriores del incidente.

Costes de oportunidad

En este apartado se consignan, si aplican, las ganancias / ingresos que han dejado de tenerse como consecuencia del incidente. Por ejemplo, si un sistema de contratación esta caído durante varias horas como consecuencia de un fallo eléctrico, entonces deberán calcularse los ingresos que han dejado de tenerse en ese período.

Atribución de pérdidas

Las pérdidas deben ser atribuidas a la cuenta de pérdidas y ganancias del departamento / unidad de negocio en donde el incidente se ha manifestado con independencia de en donde se encuentre la causa raíz del problema. Esta política debe estar claramente definida, de cara a evitar posibles conflictos entre departamentos. Por ejemplo, un error en los sistemas de información puede tener como consecuencia que no se calcule bien el límite de crédito de un cliente y se le dé una línea de crédito superior a la autorizada. En este caso la atribución de la pérdida se hará al departamento de préstamos, aunque la causa sea debida a un fallo en un proceso del departamento de informática.

Descripción del incidente e identificación de causas

La descripción del incidente es uno de los puntos en los que hay que extremar el cuidado para describir objetivamente los hechos de la manera más aséptica posible, indicando lo que ha sucedido, cuándo y dónde. En el caso de incidentes de mayor sensibilidad, conviene que el departamento legal supervise la redacción del mismo. Además de la descripción del incidente, habrá que identificar la causa origen. Normalmente las causas de los incidentes operacionales suelen corresponder a alguna de las siguientes categorías:

  • Acciones deliberadas o por error de personas externas a la empresa
  • Acciones deliberadas o por errores de personal de la empresa
  • Factores relacionados con la estructura organizativa y la distribución de responsabilidades
  • Factores relacionados con el diseño y la gestión de los procesos de la compañía
  • Factores relacionados con fallos en los sistemas informáticos y/o las líneas de comunicaciones.
  • Eventos catastróficos
  • Otros factores externos.

Epílogo

En próximos artículos profundizaremos más sobre los elementos de un marco efectivo de gestión del riesgo operacional. Esperemos que este breve apunte sirva al menos como guía y fuente de inspiración para las personas interesadas en la materia. Un fuerte abrazo y hasta pronto.

Deja un comentario