Es evidente que Solvencia II y la exigencia que establece respecto al control y medición de los Riesgos Operacionales, comporta uno de los retos más importantes a los que se enfrenta el sector asegurador en estos tiempos.

Por otra parte, el artículo 110 del Reglamento de la LOSSP, obliga a las aseguradoras a disponer de un efectivo sistema o modelo de control interno que, en definitiva, comporta el control de todos sus procesos, tanto de negocio como de soporte.

CONTROL INTERNO Y RIESGOS OPERACIONALES

Disponer de un modelo de control interno estable, garantiza:

• Cumplir con la obligación establecida por el regulador.
• Poder desarrollar acciones de mejora continua orientadas a optimizar la eficiencia, el servicio y la transparencia.
• Disponer de la información necesaria para medir el impacto de los Riesgos Operacionales

Por tanto, el enfoque adecuado para cualquier asegurador debería partir del desarrollo e implantación de un modelo o sistema de CONTROL INTERNO sobre todos sus procesos que, como valor añadido, aporte, también la medición de sus RIESGOS OPERACIONALES.

Respecto a los Riesgos Operacionales, su impacto radica en dos aspectos fundamentales: por un lado, la obligación de identificar, cuantificar y provisionar dichos riesgos y, por otro, la necesidad de demostrar al regulador que ese control y medición es el adecuado, ya que de lo contrario las posibles penalizaciones requerirán una mayor capitalización que podrían comprometer los resultados de la Entidad.

No está de más, por tanto, recordar algunos de los posibles riesgos operacionales, teniendo en cuenta que el sistema que cada Compañía ponga en marcha deberá contemplar todos los que sean susceptibles de hacerla incurrir en una pérdida.

1. Riesgo Estratégico
2. Riesgo de Marketing y Distribución
3. Riesgo Tecnológico
4. Riesgo de Reputación
5. Riesgo Humano (Gestión de empleados, infidelidad)
6. Riesgo por fraude
7. Riesgo en los procesos cedidos a terceros
8. Etc.

Afortunadamente para las Aseguradoras, aún disponen del tiempo suficiente para llevar a cabo un estudio exhaustivo e implantar los modelos de control más idóneos para su negocio, entendiendo como tal sus características, situación y estrategia futura. Sin embargo nos engañaríamos si no nos diésemos cuenta de que para tener ese modelo perfectamente establecido y contrastado, hay que empezar a desarrollarlo ya.

Para ello, el estudio inicial se puede abordar desde distintas metodologías, entre las que cabría mencionar:

• Estudio de la probabilidad del riesgo y su distribución, calculando su frecuencia y coste y dotando la provisión resultante.
• Estimación del escenario más desfavorable y asumirlo como margen de seguridad.
• Extrapolación de la realidad anterior, con ajustes acordes con los parámetros actuales y futuros (estimación).

Cada una de ellas tiene sus ventajas e inconvenientes, así mientras que en alguna de ellas la subjetividad y, por tanto, la controversia, es determinante, en otras la aplicación de un margen excesivo de seguridad, inmovilizaría unos recursos necesarios para el negocio.

Por otra parte, es evidente que el fin último de la normativa no es gravar la operativa de las Entidades ni su solvencia, sino fomentar el conocimiento de las debilidades en la estructura y que se apliquen las medidas necesarias para reducir el riesgo y, por tanto, el impacto que éstas pudiera tener en el negocio.

Obviamente hay muchas probables clasificaciones de los riesgos, pero atendiendo al impacto y a la frecuencia, podemos dividirlos en tres grandes grupos:

1. Aquellos cuya frecuencia es alta pero su impacto es relativamente bajo.
2. Aquellos cuyo impacto es alto pero su frecuencia es baja.
3. Los que tienen impacto y frecuencia altos.

En relación a los primeros, una buena gestión de procesos y una adecuada formación de las personas generan una cultura corporativa de comportamiento donde ningún error es pequeño y donde se consigue minimizar la frecuencia de los mismos.

Con respecto a los segundos, la adecuada aplicación de criterios y reglas, junto con un sistema de alarmas y un plan de contingencia apropiado, pueden determinar la diferencia entre un hecho de impacto moderado (No crítico) y una situación que afecte la propia viabilidad de la Entidad (Crítico).

El tercero, Crítico, es el más peligroso y su existencia implica actuar de inmediato para minimizar sus consecuencias, controlando y midiendo, permanentemente, su evolución y resultados junto con planes de mitigación, mejora y contingencia.

En definitiva, y dado que las Entidades que dispongan de unos modelos válidos, estructurados, estables y de fiabilidad demostrable se beneficiarán de una menor exigencia en cuanto a los requerimientos de capital, es fundamental la aplicación de una metodología que facilite esta circunstancia.

Situado el contexto y alcance de los Riesgos Operacionales, el verdadero reto consiste en como controlarlos y medirlos.

Controlarlos

Implementando una gestión por procesos capaz de monitorizar los resultados y detectar las desviaciones o errores que se produzcan, aportando información suficiente para, por un lado, poder medirlos y, por otro, acotar su impacto introduciendo mejoras y nuevos controles en base a la experiencia obtenida.

La automatización de procesos, actividades y tareas permiten minimizar los riesgos inherentes a errores de los operadores y usuarios y con ello contribuir activamente a su control.

Medirlos

Aplicando modelos de análisis estadístico y matemático que sean capaces de tratar la información obtenida en control y traducirla en cuantificaciones económicas que determinen la dotación de provisiones necesarias.