La Gestión de Riesgos es un tema que ha tomado relevancia desde hace algunos años. Con la crisis del mercado inmobiliario de EEUU en el 2008 y recientemente con la pandemia de COVID-19, se ha observado la necesidad de revisar y actualizar planes de contingencia, parámetros y límites de riesgos para evitar un “big to fail”, así como asegurar la continuidad del negocio. Los diferentes reguladores en el mundo han puesto énfasis en la medición de riesgos y en políticas que ayuden a mitigar algunos de ellos, haciendo obligatoria la figura de un Chief Risk Officer (CRO) en algunas instituciones.
Podemos definir el riesgo como eventos que pueden ocurrir con efectos positivos o negativos sobre un proyecto, por lo que, las consecuencias se pueden ver como oportunidades o amenazas para la compañía. Por su parte, la Administración de Riesgos se puede definir como un proceso para identificar, evaluar y controlar los riesgos. Para poder medir esto, se deben considerar dos conceptos importantes, el apetito de riesgo y la tolerancia al mismo. El primero se refiere al monto o impacto de riesgo que la compañía está dispuesta a aceptar, mientras que la tolerancia considera el nivel de las variaciones con respecto al objetivo establecido, es decir, lo que la compañía es capaz de soportar; esta gestión es conocida como Enterprise Risk Mangement (ERM).
El primer punto del ERM es generar conciencia de los tipos de riesgo y su importancia en todos los niveles. En algunas instituciones el área de Riesgos depende del área de Inversiones o se ve como algo secundario para cumplir con el regulador; debemos buscar que cada colaborador vea que cualquier evento no esperado podría ocasionar pérdidas a la compañía y valorar la medición de estos como una parte vital para el buen funcionamiento del negocio. Como parte de las funciones del ERM es analizar el apetito e identificación de los diferentes tipos de riesgo, evaluarlos y analizarlos, así como contar con procedimientos para la mitigación y la revisión de controles de estos. Adicional, la compañía debe estar preparada para responder ante una emergencia, con mejora de procesos y entrenamiento del personal, planes de continuidad de negocio y ejecución, y finalmente con informes de los riesgos y su monitoreo.
Existen diferentes tipos de riesgo, por mencionar algunos: estratégico, financiero, regulatorio, cibernético, climático, pandémico, geopolítico, reputacional, etc. Lo importante es saber que estos interactúan entre sí o se propagan, dependiendo del giro de cada empresa. Por ejemplo, el riesgo de fraude puede conllevar al riesgo reputacional de la compañía, como fue el caso de Wells Fargo. Considerando los diferentes tipos de riesgos podemos entender que su gestión se apoya de diversas herramientas como son: probabilidad y estadística, data mining, inteligencia artificial, optimización, gestión de recursos humanos, entre otras.
En servicios financieros podemos encontrar principalmente exposición al Riesgo de Mercado, Crédito y Operacional, como un efecto de propagación se verá la exposición en Riesgo de Liquidez y Riesgo Reputacional, para finalmente tener Riesgo Sistemático y Riesgo de Contagio Financiero. El Riesgo de Mercado se define como el riesgo que corren los inversionistas ante movimientos del mercado, mide las pérdidas monetarias que se pudieran llegar a tener considerando situaciones normales del mercado con base en un horizonte de tiempo, una distribución y nivel de probabilidad. El método más conocido para cuantificarlo es el Value at Risk (VaR) y las principales metodologías son: paramétrico (considera una distribución conocida, normalmente se toma la distribución Gaussiana), simulación histórica (se consideran los factores de riesgo del activo financiero en un periodo de tiempo) y Monte Carlo (se construye con base en simulaciones estocásticas considerando una tendencia en la muestra). La crítica principal al VaR es que solo considera condiciones normales de mercado o conocidas, pero no da información acerca de un evento extremo por lo que las compañías podrían no estar preparadas ante eventos conocidos como “cisnes negros”, denominación utilizada para eventos que nunca han sucedido o no era posible prever, algunos autores señalan que la pandemia de COVID-19 es un Cisne Negro.
El Riesgo de Crédito ha tomado relevancia después de la crisis del 2008, poniendo más presión sobre las compañías para medirlo y monitorearlo. Se define como el riesgo que se tiene ante un incumplimiento de las obligaciones de una compañía. Para calcularlo, comúnmente se utiliza el modelo de Credit Metrics, el cual se basa en considerar las calificaciones de los instrumentos financieros, construir una matriz de probabilidades de transición entre los diferentes niveles de calificación y revaluar el precio del instrumento considerando el cambio en la calificación crediticia. Recientemente, se introdujo el cálculo y monitoreo del Riesgo Contraparte (Credit Value Adjustment o XVA), que mide el riesgo en el caso de que la contraparte incumpla con el contrato, basándose principalmente en curvas de probabilidad de incumplimiento (Credit Default Swaps).
Y finalmente, el Riesgo Operacional, el cual engloba riesgo tecnológico, cibernético, pandémico, entre otros, relacionados con errores humanos, en los procesos o eventos extremos. Para su medición se utilizan indicadores de riesgos (Key Risk Indicators) sobre observaciones de los eventos en la empresa. Durante muchos años se desarrollaron diferentes métricas para el riesgo financiero, dejando a un lado el Riesgo Operacional, pero con la pandemia se ha visto la necesidad de poner énfasis en este tipo de riesgo y todo lo que implica, así como, mantener vigentes los planes de continuidad de negocio.
Por: Guadalupe García López
Subdirectora de Riesgos, DGA Emisoras e Información
Contacto
