César Pallavicini.
Riesgo operacional es el riesgo de pérdidas resultantes de una falta de adecuación o de una falla de los procesos internos, del personal o de los sistemas, o bien debido a acontecimientos externos. Bajo esa definición se incluye el riesgo tecnológico y el riesgo de fraudes en las directrices dadas por el comité de Basilea, bajo Basilea II.
Los pilares de riesgo operacional son: seguridad de la información, y continuidad de negocio y calidad, junto a las normas internacionales ISO:27001, ISO:22301 e ISO:9001, respectivamente.
En general, las empresas compran hardware y software que les permiten estar más seguras y ser menos vulnerables a los robos y fugas de información, establecen controles que normalmente ejecuta el Oficial de Seguridad, y realizan labores de capacitación para que los usuarios tomen conciencia de la importancia de resguardar los datos.
La pregunta es: ¿Los directivos tienen conciencia de los riesgos operacionales a los que está expuesta la empresa? ¿Están dispuestos a asignar recursos económicos y humanos, para mitigar riesgos operacionales, tecnológicos, de seguridad de información y evitar las interrupciones de los procesos críticos, asegurando así la continuidad del negocio para sus accionistas y clientes?
Solo se cumple con lo mínimo
En los últimos dos años, los organismos reguladores, tales como SBIF, SVS y Suseso, han emitido circulares y normativas respecto a riesgo operacional, y las industrias afectadas han reaccionado implementando políticas, normas y planes de continuidad de negocio; la mayoría solo para cumplir con lo mínimo. Entonces, es fácil concluir que falta conciencia. Por otra parte, la banca y el sector financiero han presionado a sus proveedores críticos para que implementen una gestión integral de riesgo operacional; en algunos casos la presión llega al límite de condicionar la continuidad del servicio contratado si no cumplen.
Algunos proveedores son tan críticos, que alojan servidores, tienen las aplicaciones, correo electrónico y toda la información del cliente, tema aparte si este servicio se da en la nube, por lo cual el contrato de servicio y los controles de los riesgos tecnológicos son más difíciles de regular. Adicionalmente, se debe considerar que las leyes relativas a este tema están siendo modificadas para ser más rigurosas en protección de datos personales y delitos informáticos.
¿Qué ha ocurrido entonces? Los proveedores (grandes empresas de servicios) hacen lo mínimo para cumplir con el cliente. ¿Conclusión? ¿Existe conciencia por el riesgo operacional, de los directivos y dueños de empresas? En mi opinión, lamentablemente, no.
