La Gestión del Riesgo Operacional (GRO) es más que saber cómo evaluar los riesgos. Es un proceso de constantes repeticiones, que incluye evaluación de riesgos, toma de decisiones de riesgo, e implementación de controles de riesgo que dan lugar a la aceptación, mitigación, o anulación de riesgos. La GRO es más complicada que una definición básica. De acuerdo con la Asociación Mundial de Profesionales de Riesgo (GARP por sus siglas en inglés), la gestión del riesgo operacional adquiere muchos significados dependiendo de la industria o el contexto. Algunos ejemplos de las diferentes definiciones se enumeran a continuación.

En el estándar internacional para los reguladores bancarios, el Comité de Supervisión Bancaria de Basilea (Suiza), define el riesgo operacional como el riesgo de pérdidas debido a personas, sistemas o procesos inadecuados o fallidos o por eventos externos. Conocido como Basilea II, esta definición incluye el riesgo legal, pero no aborda el riesgo estratégico y reputacional.
-La Marina de EE.UU. resume los principios de GRO como:
-Aceptar el riesgo cuando los beneficios superen el costo.
-No aceptar ningún riesgo innecesario.
-Anticipar y gestionar el riesgo mediante la planificación.
-Tomar decisiones de riesgo en el nivel adecuado.

La norma internacional sobre la gestión de riesgos ISO 31000, tiene una definición más amplia, más genérica:
-La gestión de riesgos: Coordina actividades para dirigir y controlar una organización con respecto al riesgo.
-El proceso de gestión de riesgos: La aplicación sistemática de políticas de gestión, procedimientos y prácticas de actividades de comunicación, consultoría, estableciendo el contexto, identificando, analizando, evaluando, tratando, siguiendo y revisando el riesgo.

No importa cómo se define, la gestión del riesgo operacional desempeña un papel vital en todos los procesos de una organización y debe ser parte de la estrategia global de mejora del negocio de la empresa. La Organización Internacional de Estandarización (ISO por sus siglas en inglés) ha reconocido la importancia que juega el riesgo y está trabajando nuevamente en varios de sus estándares de sistemas de gestión para fomentar el «pensamiento basado en el riesgo», reemplazando la necesidad de «acciones preventivas» con «acciones para abordar los riesgos y oportunidades».

La GRO no es una actividad independiente realizada por expertos de riesgo de una empresa; es parte de las responsabilidades de la dirección y una preocupación para todos los interesados de la organización. La identificación y gestión de riesgos son vitales para la planificación estratégica, desarrollo de proyectos y la gestión del cambio. Correctamente instituida, la GRO es un proceso multidisciplinario y dinámico que es fundamental para ayudar a que quienes tomen las decisiones lleguen a decisiones informadas basadas en hechos y datos, no opiniones. Esto ayuda a la gestión de priorizar acciones y distinguir el mejor camino en medio de rutas alternativas de acción.

Los beneficios son muchos, pero una vez ejecutado la GRO, facilita la reducción de costos operativos y de cumplimiento y proporciona un sistema de detección que ayudará a reducir la exposición al riesgo futuro.

Reducción de Costo / Pérdida Operacional

Sólo a través de la comprensión y de tomar ciertos riesgos puede crecer una organización, y el crecimiento requiere de capital. Sin embargo, el capital puede ser un recurso escaso. Cada riesgo asumido requiere un nivel de capital correspondiente. Por lo tanto, menos capital, equivale a menor capacidad de crecimiento. Cuanto más organizada pueda estar una empresa desde la perspectiva de riesgo operacional, mayor capital estará disponible para invertir en actividades de crecimiento rentables.

Menor Cumplimiento y Auditoría de costos

Cumplir las normativas es una parte básica de hacer negocios. El incumplimiento puede ser una propuesta costosa; distrae la atención de la organización de las operaciones normales, atrayendo al escrutinio de los reguladores que pueden resultar en multas adicionales, auditorías repetitivas, posibles acciones legales, y publicidad negativa. El cumplimiento puede ser una fuente de ventaja competitiva, pero su incumplimiento puede ser una ventaja para los competidores. La gestión de riesgo operacional desempeña un papel fundamental en ayudar a asegurar el cumplimiento de la normativa por medio de identificar todas las áreas regulatorias de interés, estado y niveles de riesgo asociados.

Detección temprana de Actividades Ilegales

Recientemente con la gran cantidad de violaciones de seguridad, tanto internas como externas, los casos de actividades ilegales y mala conducta siguen siendo una amenaza constante para la confianza pública.

Como parte de la estructura de gobierno de una organización, el fraude es una de las áreas críticas que deben abordarse durante el desarrollo de un proceso de GRO. La gerencia e incluso el consejo de administración deben participar en la transmisión de las expectativas con respecto al riesgo de violaciones de seguridad y fraude.

Con el fin de garantizar la detección temprana, deben considerarse políticas de monitoreo continuo y procedimientos específicos. Procedimientos de prevención deben ser establecidos para reducir el impacto sobre la organización, y las técnicas de detección deben establecerse para descubrir eventos cuando fallen las medidas preventivas o se realicen riesgos no mitigados.

Tahir Abbas, experto en auditoría financiera interna y gestión de riesgos de la Universidad de Lahore y miembro de la Asociación de Examinadores de Fraude Certificados, proporcionó orientación durante un taller de evaluación de riesgo de fraude en relación con algunos fuertes controles antifraude que deben ser considerados, incluyendo:
-Separación adecuada de funciones.
-Uso de las autorizaciones.
-Medidas físicas de seguridad.
-Rotación de puestos.

Menor exposición a los riesgos futuros

Por supuesto, una vez que una organización ha evaluado, dirigido, priorizado y adoptado medidas sobre su actual perfil de riesgo, el objetivo final es reducir o incluso eliminar la exposición a los riesgos futuros. Esto requiere un proceso de evaluar continuamente en tiempo real las entradas y salidas de la organización, mejorar y aplicar las lecciones aprendidas, y la construcción de una base de datos de conocimiento inteligente. Como se ilustra a continuación, cuanto más una organización aprenda y aplique la GRO, más fuerte y más resistente será.

El proceso integrado continuo de identificar, evaluar y responder al riesgo al riesgo, es la gestión de riesgo operacional eficaz. Una gestión de riesgos exitosa implica el evaluar la probabilidad de que ocurra un evento y el impacto resultante. Con esta información, las organizaciones pueden determinar el nivel aceptable de riesgo para la entrega de productos/ servicios y expresarlo como su tolerancia de riesgo.

No hay una medida única para la gestión de riesgo operacional, pero sí sabemos que es importante aprovechar el equilibrio adecuado de capacitaciones, estándares, herramientas y la incorporación de todas las personas claves, procesos y tecnología para tener la mejor oportunidad de éxito.

Las organizaciones seguirán teniendo riesgos únicos, amenazas, vulnerabilidades, tolerancia al riesgo, y el modo de implementar prácticas de GRO variará. La clave es determinar las actividades que son importantes para la prestación de servicios críticos y priorizar inversiones para maximizar el impacto de cada dólar gastado. En última instancia, la gestión del riesgo operacional está orientada a reducir y gestionar mejor los riesgos mientras se aumenta la eficiencia y los beneficios.