Cómo los aprendizajes de los eventos de pérdidas operativas pueden enriquecer su marco de gestión de riesgos

Sword GRC Blog

Cómo los aprendizajes de los eventos de pérdidas operativas pueden enriquecer su marco de gestión de riesgos

Nadie les da la bienvenida, son disruptivos y costosos, pero cada experiencia de evento de pérdida operativa brinda una oportunidad para aprender. Por lo general, estos eventos no son incidentes aislados, por lo que al recopilar y analizar los datos de eventos de pérdida, las empresas pueden obtener información útil sobre la probabilidad de eventos futuros.

“Los datos de eventos de pérdidas operacionales reales (lecciones aprendidas) proporcionan información vital sobre la probabilidad de que los eventos de pérdidas operacionales vuelvan a ocurrir y el alcance de su impacto. Esta información también es útil para garantizar la objetividad de las evaluaciones de riesgo operativo ”, dice Jenny Ritson-Smith de Sword GRC.

¿Por qué recopilar datos de eventos internos?

Los datos de eventos internos respaldan la gestión del riesgo operativo de varias formas:

  1. A través de la identificación, se pueden descubrir nuevas exposiciones al riesgo operativo.
  2. La evaluación proporciona información para evaluar la probabilidad y el impacto.
  3. Mediante el seguimiento, se pueden examinar los niveles de exposición y la eficacia del control.
  4. Los eventos de pérdida ponen los controles a prueba y resaltan áreas para mejoras futuras

¿Por qué utilizar datos externos?

“Es poco probable que las organizaciones sucumban a toda la gama de eventos de pérdidas operativas a las que están expuestas”, continúa Ritson-Smith, “especialmente cuando se trata de escenarios de baja probabilidad y alto impacto. Los datos externos pueden ser útiles para permitir que las empresas aprendan de los eventos de sus pares. Esto aumenta el tamaño de la muestra para el análisis de datos, y cuanto más completa sea la recopilación de datos, más precisa será la imagen de la exposición al riesgo.

“Los datos externos pueden obtenerse a través de fuentes basadas en consorcios, dentro de las cuales los miembros reportan todos los datos cubiertos por el acuerdo de consorcio. Es probable que los datos obtenidos sean completos, precisos y relevantes; sin embargo, los miembros deben cumplir estrictos requisitos de presentación de informes y los costos de suscripción pueden ser altos.

“Alternativamente, se pueden utilizar bases de datos de fuentes públicas. Estos extraen datos de noticias especializadas y fuentes públicas y los vuelven a publicar en una forma adecuada para el análisis de riesgo operativo. Se presentarán eventos de interés periodístico de ‘alto impacto’, aunque los datos disponibles pueden ser menos precisos o relevantes en comparación con los de una fuente basada en un consorcio. Aún así, los riesgos operativos emergentes, es decir, eventos que han ocurrido en organizaciones pares, pueden estar expuestos “.

¿Qué se debe considerar antes de implementar la recopilación de datos de eventos de pérdida?

“¿Debería contarse un ‘cuasi accidente’ como una pérdida, incluso si no resultó en ningún daño financiero, de reputación, humano o de otro tipo?” pregunta Ritson-Smith. “¿Se evitó un evento por buena suerte o ciertos controles fueron particularmente efectivos? Los cuasi accidentes o las fugas estrechas pueden proporcionar alertas tempranas o señalar una pérdida operativa importante en el horizonte. También llaman la atención sobre la eficacia de los controles.

“La (s) fecha (s) y la (s) hora (s) también pueden ser reveladoras y permiten que una empresa acumule datos de tendencias históricas. Los eventos de riesgo operativo pueden ser bastante prolongados y vale la pena considerar que los eventos pueden haber comenzado a tener un impacto y hacerse evidentes antes de su detección real.

“Los profesionales del riesgo también deben pensar en la categorización del riesgo por tipo de riesgo operativo, ya que esto les ayudará a ver y evaluar el perfil de riesgo de su organización. Esto puede ayudar en la identificación de áreas de exposición de alto riesgo y se pueden asignar recursos para abordarlas según corresponda.

“La ‘geografía’ de los eventos también es un factor. Los datos deben incluir detalles de dónde tuvo lugar un evento en términos de la unidad de negocio, departamento, función en la que ocurrió y se originó “.

Otras consideraciones incluyen las causas de los eventos de riesgo operativo. Los datos se pueden recopilar en categorías causales primarias, como fallas de procesos o sistemas, errores humanos o eventos externos. O, para obtener una imagen más precisa de una ‘cadena’ causal, se pueden recopilar datos sobre categorías de causas más granulares. De cualquier manera, una buena regla general es enfocarse en las cadenas causales de pérdidas a mayor escala con menos énfasis en eventos de menor escala.

Dado que muchos eventos de pérdida operativa implicarán fallas de control de alguna forma, puede ser útil comprender cómo o por qué fallaron los controles para crear planes para prevenir fallas futuras de naturaleza similar. Del mismo modo, se pueden destacar los controles efectivos, tanto de detección, que indican que un evento está en curso, como mitigadores, lo que reduce el impacto del evento.

“Los impactos de los eventos pueden ser directos, como sanciones o multas, o indirectos, como la pérdida de reputación o la pérdida de ventas”, agrega Ritson-Smith. “Los impactos no financieros, como la falta de confianza del cliente, pueden ser más difíciles de cuantificar, especialmente porque pueden ocurrir algún tiempo después de un evento”.

La orientación está a la mano

Con tanto para considerar, el Instituto de Riesgo Operacional (IOR) ha compilado un ‘Eventos de pérdida operativa: datos internos y externos ‘white paper, destinado a dirigir a los profesionales del riesgo a través del diseño y la implementación de procesos para la recopilación y uso de datos de eventos de pérdidas operacionales internos y datos de eventos de pérdidas operacionales externos.

“Estos eventos son tan multifacéticos que hay muchos conceptos que deben entenderse antes de embarcarse en la implementación de un proceso de recopilación de eventos de pérdida. Y lo que es más importante, la actividad de esta naturaleza debería incorporarse a un marco más amplio para gestionar el riesgo operativo ”, dice Ritson-Smith. “La guía de IOR brinda recomendaciones para la alineación con los acuerdos de gobierno corporativo, el apetito o tolerancia al riesgo general y con la debida consideración de la cultura de riesgo de una organización.

“Además de esto, el documento técnico proporciona una guía para la presentación de informes de eventos de riesgo operativo, cómo se deben utilizar los datos y un resumen de algunos de los desafíos que podrían presentarse, a menudo de un ‘costo versus la utilidad de los datos’ naturaleza.

“Fundamentalmente”, concluye, “el documento técnico ayuda a desarrollar una comprensión más profunda de cómo los datos de eventos pasados pueden revelar controles que necesitan mejoras y respaldar una previsión más precisa. Como dicen, ¡es mejor prevenir que curar! “

Descargue su copia gratuita del Instituto de Riesgo Operacional Eventos de pérdida operativa: datos internos y externos, guía de buenas prácticas de riesgo operativo aquí.