La implementación del marco de gestión de riesgos operativos comprende un análisis de procesos masivo. El apetito al riesgo, exposición al riesgo que la organización está dispuesta a asumir, se define cualitativa y cuantitativamente y depende de la estrategia de la empresa, entre otros factores. Este primer paso de la implementación debe revisarse al menos cada año y es responsabilidad del consejo.

La cultura de riesgo permite la concienciación sobre la importancia del marco de gestión de riesgos en la organización. Hay una responsabilidad por parte de los empleados y del consejo. El consejo debe asegurarse de que se esa responsabilidad se expande por toda la organización, a través de formación presencial, e-learning o comunicados sobre temas específicos. La comunicación propicia la difusión y transparencia para conseguir que los stakeholders puedan analizar su exposición al riesgo operacional.

En cuanto al Sistema de Gobierno, las entidades deben desarrollar e implementar el marco de gestión de riesgos operativos. El Consejo tiene que establecerlo, aprobarlo y revisarlo periódicamente. Finalmente, el senior management desarrolla una estructura de gobierno clara, eficaz y robusta.

El establecimiento de este marco depende del tamaño, complejidad y perfil de riesgo de cada entidad; identificar estructuras para la gestión de riesgos, líneas de reporta y responsabilidades; describir las herramientas a utilizar; describir el apetito de riesgo aceptado y sus márgenes de tolerancia; establecer el sistema de reporting y sistemas de gestión de la información, tanto interna al consejo como externa.

Este marco se compone de distintas fases: identificación, evaluación, seguimiento, control y reporting. La identificación y valoración de riesgos comprende el análisis de procesos, analisis de riesgos asociados a nuevos productos, comparativas con bases de datos de pérdidas y valoración de probabilidad e impacto de ocurrencia. En el seguimiento y reporting, se evitan, comparten, aceptan o mitigan los riesgos. La mitigación incluye planes de acción. Se definen los KPI´s y KRI´s. El reporting a la dirección es periódico.

Información extraída del webinar impartido por Prado García Miguel para EALDE Business School.