En base a la coyuntura actual que estamos viviendo por la pandemia del Coronavirus y la ineludible adaptación que tendremos que afrontar para emprender nuevamente la economía, conscientes de que el mundo cambió y con él la normalidad operativa que hasta ahora conocíamos; nos permitimos enunciar recomendaciones específicas de acciones que convendrían ser adoptadas por las organizaciones, en especial por las entidades de intermediación financiera, para gestionar los riesgos operacionales que pueden presentarse en el corto plazo, adicionales a los ya evidenciados, y que son consecuencias del rinoceronte gris que representó el Covid-19.

Partimos del hecho de que el riesgo operacional es la posible pérdida que puede evidenciar una organización por las fallas en procesos, personas, sistemas y eventos interno o externos; esta conceptualización sugiere que su presencia está en todas las actividades de un negocio de manera permanente y que solo gestionándolo, con la estrategia de “un paso por delante”, se garantiza continuar operando bajo cualquier eventualidad, evitando así afectar las utilidades y consecuentemente generar valor a los accionistas.

De manera directa, las acciones que recomendamos sean adoptadas dentro de las estrategias de gestión para la transición a la “nueva realidad” o al nuevo concepto “covidialidad” son las segmentadas a continuación:

 CLIENTES:

·       Divulgación oportuna por todos los medios disponible de cualquier variación en las condiciones y comisiones de sus productos y servicios, de manera que no se materialicen eventos por fallas en la divulgación de información o inobservancia a las normativas.

·       Capacitación del personal de servicio para transmitir a los clientes de forma clara y precisa toda la información de las disposiciones adoptadas al inicio de la cuarentena y como impactará de manera individual en sus productos. Esto mitigará en gran medida el riesgo reputacional y disminuirá la carga operativa por procesamiento de reclamaciones futuras.

·       Definición de estrategia de comunicación con un mensaje de seguridad y de continuidad de las operaciones en oficinas y sucursales, así como de canales electrónicos, capaz de mitigar la probabilidad de incertidumbre entre los clientes, y por tanto, el riesgo reputacional. Aunque esto es una recomendación del inicio de la cuarentena, es oportuno precisar que se debe continuar el protocolo de comunicación de la apertura periódica de las sucursales que permanecían cerradas.

·       Revisión de los contratos de adhesión de manera que en los mismos sean incluidos clausulas explicitas bajo situaciones como la que vivimos y que todos los especialistas en geopolítica insisten en que volverá a repetirse en cualquier momento.

·       Revisión y fortalecimiento de los mecanismos de seguridad e identificación de los clientes, considerando que actualmente se puede acceder a las áreas de caja y de servicios con protección por el virus, en desmedro de los procesos de seguridad y conocimiento del cliente, además de que se prevé que el uso de mascarillas permanezca en el largo plazo, de hecho, de uso obligatorio para ciertas actividades.

TI / OPERACIONES:

·       Eminentemente se debe fortalecer el monitoreo y control de la infraestructura tecnológica y la ciberseguridad, se debe asegurar que las aplicaciones, ordenadores, móviles y servidores que se estén utilizando sean los autorizados y hacer un inventario para conectarse a los sistemas. Objetivo? Mitigar las exposiciones a fraudes internos motivados por la novedad en el teletrabajo y con ello la ausencia de controles. Se hace actividad prioritaria la documentación de nuevas políticas y manuales al respecto.

·       Configuración de firewalls, redes, herramientas de colaboración y servidores que permitan conexiones remotas a través de redes privadas virtuales (VPN).

·       Incrementar el monitoreo y la ciberseguridad de los canales electrónicos.

·       Garantizar la disponibilidad de liquidez en todos los canales disponibles y el traslado físico de los fondos bajo las nuevas condiciones, esto implica inclusive, variaciones de montos máximos en cada canal y variaciones de los límites de aprobación.

·       Revisión de los contratos con terceros, para analizar la gestión de integral de seguridad, en especial la seguridad de la información; conocer sus planes de continuidad y decisiones ante la emergencia, como se manejaron en la emergencia, informes de resultados de sus planes, esto permitirá ver la flexibilidad de momento de estrés e identificar brechas que deban fortalecerse.

·       Redefinición de servicios y proveedores críticos para el Banco.

·       Adecuación física de las instalaciones, tanto de acceso y atención al cliente, como de las internas, para garantizar la seguridad de todos los involucrados. Poner especial atención en crear mecanismos eficientes que respondan a la atención del cliente mas rápido y sin aglomeraciones,

STAKEHOLDERS:

·       Garantizar la comunicación efectiva con los Organismos Supervisores, con el objetivo de canalizar oportunamente las dispensas, solicitudes, problemas para remitir información regulatoria recurrente y que no se materialicen en sanciones a futuro por inobservancia a cualquier normativa.

·       Medidas de divulgación eficientes y flexibles, así como el uso de call tree (llamado así, pero sabemos que se incluyen medios electrónicos personales y de la empresa) cuando sea necesario y que todos puedan estar debidamente informados de los cambios en el negocio y las tomas de decisiones; esto por supuesto de acuerdo con el gobierno corporativo que tenga definido cada entidad.

·       Canales de divulgación eficientes para los proveedores, accionistas, calificadoras de riesgos y cualquier parte interesada en la continuidad y buen funcionamiento de la entidad. De manera especial adelantarse en la comunicación con las calificadoras y fondeadores, con el fin de cuidar las revisiones de clasificaciones de riesgos, así como cambios en las condiciones o primas de riesgos en fondos de terceros.

 EMPLEADOS:

·       Revisión contratos de trabajo, códigos y manuales de responsabilidad, para que se revisen o incluyan las diferentes o nuevas modalidades laborales, protocolos de actuación en momentos de crisis, responsabilidades entre las partes que hayan podido cambiar, entre otros puntos que pudieran repercutir en acciones legales para la entidad.

·       Comisiones de revisiones de políticas y manuales para incluirles los nuevos procesos o modificaciones a los existentes. Asegúrese de que el personal esté siempre disponible; mantenga conocimiento del desempeño, ubicación y estado de salud de todos los empleados; y proporcione anuncios frecuentes y coordinados de seguridad cibernética.

·       Es fundamental, incluso como parte de gestión del riesgo reputacional, la empatía que se logre con los empleados en esta etapa, hagan revisiones particulares de sus condiciones crediticias, flujo de ingreso o familiares, e identifiquen que medidas de flexibilización pueden ser adoptadas.

COMITE DE RIESGOS:

·       Establecimiento de nuevos indicadores de gestión.

·       Redefinición del perfil y apetito de riesgo.

·       Redefinición de los comités de Crisis, árboles de decisión, etc.

·       Identificar oportunidades de capacitación al personal administrador de riesgos. La capacitación es una inversión y no un gasto, en estos momentos no debe relegarse a un segundo plano.

·       Redefinir el plan anual de capacitación interna para los gestores de riesgos de las áreas que sirven de soporte para la bitácora de los eventos de Riesgo Operacional.

Estas y otras actividades deberán ser alineadas con el plan estratégico general de la organización y a los administradores de riesgos le correspondería dar seguimiento, documentar, pero sobre todo, reportar los avances y resultados a las diferentes instancias según su estructura organizacional interna.