La banca es el sector que más ha desarrollado los modelos de gestión de riesgos, constituyéndose, incluso, en un excelente benchmark para otros sectores.

Los bancos, dado el gran volumen y complejidad de sus operaciones y la internacionalización de éstos, cuentan con múltiples vulnerabilidades, que si no son controladas de forma efectiva pueden representar graves amenazas para su productividad y credibilidad. Esta situación se ha visto agravada con la llegada de la pandemia y la acelerada transformación digital, que no han hecho más que complicar la mitigación de los riesgos operativos.

Pero, ¿qué son los riesgos operativos? De acuerdo al Comité de Supervisión Bancaria de Basilea (BCBS), son los riesgos de pérdida resultantes de procesos internos, personas, sistemas inadecuados o fallidos, y eventos externos. Se diferencian de los riesgos estratégicos en que estos últimos se encuentran relacionados a fallas o debilidades en el análisis del mercado, tendencias e incertidumbre del entorno, competencias claves de la empresa y en el proceso de generación e innovación de valor. 

Por ello, el Comité de Supervisión Bancaria de Basilea (BCBS) ha establecido las Buenas Prácticas para la Gestión del Riesgo Operacional, que juntamente con las metodologías de gestión cualitativa y gestión cuantitativa del riesgo operacional, que contemplan, entre otros, tener una base de datos interna de pérdidas a fin de calcular la severidad y frecuencia de las mismas, identificadas dentro de los siete tipos de riesgo operacional y las ocho líneas de negocios que establece dicho Comité, y los modelos de determinación del capital regulatorio así como el modelo VaR Operacional, pruebas de back-testing y pruebas de stress testing, permiten determinar las pérdidas esperadas y pérdidas no esperadas por riesgos operacionales, para su adecuada gestión. En el Perú, la Superintendencia de Banca, Seguros y AFP (SBS), tomando lo establecido por el Comité de Basilea, ha dado el marco normativo necesario para la gestión del riesgo operacional, teniendo entre las principales normas, la Resolución SBS N° 2115-2009 - Reglamento para el Requerimiento de Patrimonio Efectivo por Riesgo Operacional, Resolución SBS N° 2116-2009 - Reglamento para la Gestión del Riesgo Operacional, Resolución SBS N° 504-2021 - Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad.

Asimismo, entre los riesgos operativos más comunes, podemos mencionar a los siguientes: 

Riesgos de ciberseguridad

Los delincuentes cibernéticos aprovechan las debilidades de seguridad de los sistemas de información para generar ataques. Uno de los más comunes es el ransomware, un malware que impide a los usuarios acceder a los archivos y exige el pago de un rescate para recuperar la información. Este, y otros tipos de amenazas, afecta gravemente la rentabilidad económica de las entidades financieras. De acuerdo al estudio The cost of cybercrime, realizado por Accenture, la industria bancaria es la más afectada por la delincuencia cibernética, con pérdidas que ascienden los 18.3 millones de dólares anuales por empresa.

Riesgos de terceros

Cada vez son más las instituciones financieras que deciden trabajar con proveedores externos para reducir sus costos operativos. Estos actores pueden realizar todo tipo de actividades operativas, como la contabilidad, la tasación o --incluso-- servicios de préstamos. Esto significa que tienen acceso a una gran cantidad de datos confidenciales y otros recursos importantes del banco, por lo que representan una amenaza potencial a la seguridad de la organización. Por ello, es fundamental que las instituciones gestionen adecuadamente la operación de sus terceros, ya que en caso de que se produjera un ataque, la responsabilidad recae sobre el banco y es él quien enfrenta el daño reputacional.

Fraudes internos y externos

Según el estudio Discover the True Cost of Fraud, realizado por LexisNexis, cerca del 40 % de las organizaciones de servicios financieros digitales experimentó ataques de fraude exitosos. Cabe aclarar que este tipo de hechos no solo suceden de manera externa, sino también de forma interna. Estas son las principales acciones:

• Fraudes internos: Apropiación indebida de datos, falsificación, incumplimiento fiscal, sobornos, robos, entre otros.
• Fraudes externos: Fraude con cheques, piratería, violaciones del sistema, lavado de dinero, robo de datos, entre otros. 

Estas amenazas pueden suceder por diversos factores, que van desde el crecimiento en el número de transacciones financieras hasta el desarrollo de herramientas de fraude. Debido a las brechas de seguridad informática de los bancos, estos fraudes pueden pasar desapercibidos durante años. Por ello, es necesario contar con sistemas automatizados que puedan regular el flujo financiero de forma constante para mitigar las pérdidas. Por ejemplo, según el informe New risk challenges and enduring themes for the return realizado por McKinsey, un banco norteamericano logró detectar sus amenazas a tiempo gracias a un modelo de análisis avanzado para monitorear el comportamiento de su fuerza de ventas minorista. Así, descubrió anomalías no deseadas de los 20 000 empleados y emprendió acciones antes de que se agravaran.

Fallas de sistemas

Dado que nos encontramos en la era digital, la interrupción de las telecomunicaciones ocasionada por fallas en el sistema o cortes de energía pueden afectar las actividades operativas de cualquier entidad financiera. Y es en esos momentos que los ciberdelincuentes aprovechan para perpetuar sus ataques. Sin embargo, también pueden ocurrir otras incidencias, como: 

• Fechas límites incumplidas.
• Desacuerdos con los proveedores.
• Registro inexacto de clientes.
• Pérdida de activos del cliente.

Este tipo de situaciones no sólo genera graves pérdidas económicas, sino que --en el peor de los casos-- puede acarrear problemas legales, afectando gravemente la reputación de la empresa. Por ello, es indispensable que los bancos controlen sus riesgos operativos desarrollando mejores estrategias para la gestión y perfeccionen la seguridad de sus sistemas de información. 

Fuentes:

What Are the Top Operational Risks for Banks?

What Are the Top Operational Risks for Banks?

Gestión de Riesgos de Proveedores Externos para Bancos e Instituciones Financieras.

Noveno estudio anual sobre el costo del delito cibernético