El campo de los riesgos operacionales es tan importante como incomprendido. Aclaremos las cosas aquí.
En algún momento, toda empresa de éxito tiene que analizar, comprender y lidiar con el riesgo. De hecho, según un informe de Ropes & Gray, el 69% de los ejecutivos no confían en que sus políticas y prácticas de gestión de riesgos sean lo suficientemente sólidas para satisfacer las necesidades futuras.
El problema es que el término riesgo es tan general y vago que puede llegar a carecer de sentido. De hecho, uno de los mayores retos a la hora de entender los riesgos operacionales es que la idea de riesgo de cada persona puede ser diferente, incluso dentro de la misma organización.
Por eso es más importante que nunca acordar una definición de los términos. Empecemos por explicar lo que llamamos riesgos operacionales.
¿Qué son los riesgos operacionales?
RiskOps, abreviatura de Riesgos Operacionales, es el conjunto de prácticas, procesos y herramientas diseñados para asistir a los objetivos de una empresa de forma segura y eficaz. Bajo un modelo de riesgos operacionales, las operaciones tradicionales de gestión de riesgos dejan de estar aisladas, independientemente de dónde aparezca el riesgo.
Teniendo en cuenta las numerosas vías en las que puede aparecer el riesgo, un reto clave de los riesgos operacionales es adoptar un enfoque descendente del riesgo, o una visión general del riesgo que abarque todas las áreas antes de sumergirse en conjuntos de habilidades específicas.
Pero también hay que entender dónde se necesitan expertos en riesgos a nivel granular. De hecho, las empresas a menudo no ven que la falta de comunicación entre los especialistas en riesgos puede dar lugar a lagunas de conocimiento, silos de datos o incentivos desajustados que podrían reducir los ingresos de la empresa.
¿Cómo funciona la gestión de riesgos operacionales?
Tradicionalmente, la gestión de riesgos se segmenta en distintos niveles y sectores de una empresa o negocio.
- Marketing: donde los equipos pueden tener que luchar contra el fraude publicitario o el fraude de afiliados.
- Reputación y marca: los gestores de contenidos o las empresas de relaciones públicas combaten el riesgo reputacional, ya sea directo (debido a acciones de la propia empresa) o indirecto (debido a las acciones de empleados y ejecutivos).
- Transacciones y pagos: cualquier empresa que acepte pagos en línea tendrá que luchar contra el fraude en las transacciones y las devoluciones de cargos.
- Recuperación de sistemas/catástrofes: la seguridad de la red, la infoseguridad e incluso la recuperación de catástrofes están diseñadas para proteger el mal uso, el robo o la corrupción de los datos. Estos procesos también podrían caer bajo el paraguas de los riesgos operacionales.
- Finanzas: a nivel de pagos, tenemos las auditorías, el inventario y la gestión del riesgo de cumplimiento.
¿Cuáles son las aptitudes necesarias para gestionar los riesgos operacionales?
Dado que los riesgos operacionales son operaciones de alto nivel, la capacidad de ver el panorama general es absolutamente primordial. Hay que entender dónde puede atacar el riesgo en cualquier nivel dentro de una empresa, y dentro del sector en su conjunto.
Aun así, los expertos en riesgos operacionales también deben poseer suficientes conocimientos técnicos para comprender, por ejemplo:
- Cómo se recogen los datos, se analizan y cómo se conectan esos datos con el uso concreto y real de los bienes o servicios de su empresa.
- Cómo se conectan los distintos departamentos de la empresa entre sí, especialmente cuando el riesgo se solapa entre dos o más.
- Una comprensión completa del modelo de negocio, con un fuerte enfoque en los pagos y los flujos de dinero.
- Una afinidad por los productos, bienes o servicios que ofrece la empresa, y una mente creativa para imaginar cómo los estafadores o los ciberdelincuentes intentarían explotarla.
¿Cuál es la diferencia entre riesgos operacionales vs Confianza y seguridad?
El término Confianza y Seguridad es cada vez más favorecido por las empresas que tratan con los clientes. En palabras de Jacqueline Hart, responsable de Confianza y Seguridad en Patreon:
«Cuando trabajaba en PayPal, tuve un jefe que me dijo que «a la gente no le gusta escuchar al departamento de fraudes». Fue la primera vez que oí a alguien utilizar la palabra «confianza» y «seguridad». Es una forma más suave de dirigirse a los clientes. Porque, sinceramente, si recibes una nota del equipo de fraude, lo primero que haces es asustarte».
Además, los términos «fraude» e incluso «moderación de contenidos» evocan imágenes del mundo bancario, que pueden incomodar a muchos clientes.
Siempre que una empresa crea una plataforma en la que la gente interactúa, es más probable encontrar el término de confianza y seguridad que el de gestor de riesgos. Es el caso de empresas como eBay, Airbnb y Twitter, entre otras.
Por último, pero no por ello menos importante, la confianza y la seguridad tienden a estar más orientadas a las políticas. Los responsables crearán políticas diseñadas para crear una determinada cultura de usuario, al tiempo que aportan el máximo rendimiento empresarial de la forma más segura posible. Los responsables de los riesgos operacionales, en cambio, se centrarán en las tendencias generales y en los últimos avances tecnológicos aprovechados por los malos agentes.
Entre los ejemplos de puestos que pueden corresponder tanto a riesgos operacionales como a confianza y seguridad se encuentran los siguientes:
- Agente de escalada: Encargado de supervisar y tratar los incidentes que puedan amenazar el funcionamiento seguro de las operaciones en línea de una empresa.
- Investigador o analista de amenazas: Alguien con una mente analítica que se anticipa a las amenazas, normalmente en espacios públicos, y que se solapa con las funciones de salud y seguridad.
- Respuesta de las fuerzas de seguridad: Alguien dedicado a interactuar con las fuerzas del orden para resolver incidentes y gestionar las solicitudes legales.
- Ingeniero de confianza y seguridad: Es un puesto más bien técnico relacionado con la informática, en el que los desarrolladores se encargan de traducir las políticas en reglas del sitio web que deben proteger a los clientes de una empresa.
- Analista de fraude: El puesto con el que estamos más familiarizados aquí, que suele identificar datos problemáticos y examinar tendencias de fraude más amplias dentro de una empresa.
- Especialista en riesgos de productos: Un puesto centrado específicamente en los riesgos que presentan los productos de una empresa, normalmente para limitar la exposición de los clientes a material desagradable o ilegal.
¿Cómo es la carrera de riesgos operacionales?
En la actualidad, no existe un manual para aprender a ser gestor de riesgos. Vemos que la gente entra en riesgos operacionales desde diferentes campos, aportando sus habilidades y puntos de vista únicos:
- Algunos empezarán en el servicio de atención al cliente y desarrollarán un ojo agudo para los patrones de fraude que son impugnados por los usuarios.
- Otros proceden del mundo de los pagos, donde también se hacen una idea de lo que parece fraudulento o no mediante el establecimiento de patrones.
Un ejemplo, de Dave Parrott, Director de Servicios de Pagos de Jagex:
«Todos los que han estado en el equipo proceden de nuestro departamento de atención al cliente. Siempre nos hemos abastecido de él porque esas personas aprenden el juego, conocen a nuestros clientes, aprenden cómo la gente interactúa con el producto. Enseguida se hacen una idea de lo que es normal, y luego pueden distinguir fácilmente lo que no lo es».
A la inversa, entender el riesgo a macroescala también sirve como punto de entrada a la industria tecnológica, donde la gente se ramifica en diferentes áreas de especialización y adquiere habilidades en consecuencia (transfiriendo a pagos, seguridad de la red o garantía de calidad).
Algunos ejemplos de departamentos que pueden entrar en la definición de riesgos operacionales son:
- BCP/Recuperación de desastres
- BSA/AML
- Director de Cumplimiento
- Jefe de Datos
- Cultura y conducta
- Riesgos emergentes
- ERM para bancos comunitarios
- ERM para grandes bancos
- ERM para bancos medianos
- ESG
- Análisis de préstamos justos
- Riesgo de fraude
- Compensación de incentivos
- Riesgo de privacidad
- Riesgo tecnológico
- Gestión de riesgos de terceros
- Y más…
¿Qué hay de la formación dedicada?
Desde el punto de vista de un departamento de L&D o de RRHH, los riesgos operacionales pueden ser el punto de entrada para un rol no técnico, que aún necesitará especializarse y aprender las cuerdas de un departamento en particular.
Esto significa prepararse para una formación interna muy técnica que se dirige a personas inicialmente no técnicas. Algunas técnicas, como el seguimiento de los jefes de departamento, son siempre una buena apuesta, por ejemplo para aprender los términos más comunes de la prevención del fraude.
Más importante aún, un punto clave es que los responsables de riesgos necesitan ser apoyados a un alto nivel. Como dice Jacqueline Hart, de Pateron:
«Esperamos formar parte de la conversación, porque en las empresas tecnológicas y las startups suele haber muchos movimientos rápidos. Los directores de producto y los productos salen tan rápido que es necesario tener una voz en la mesa. Y si te ven como un bloqueador, no te invitan hasta el final de la fiesta. Así que pensemos en cómo la gente va a abusar del sistema antes de que ocurra».
¿Cuáles son las herramientas de gestión del riesgo operacional?
Aunque no existe un conjunto de herramientas para riesgos operacionales que sirva para todo, hay algunos elementos clave que deberían ser comunes a todas las empresas:
Consulta este artículo para obtener más información sobre cómo elegir el sistema de gestión de riesgos adecuado.
Aprovechar las herramientas de riesgo para crear KRIs
Todas las herramientas mencionadas anteriormente deberían utilizarse para crear KRIs (Indicadores Clave de Riesgo), o métricas diseñadas para medir el riesgo. Por supuesto, al igual que sus KPIs (Indicadores Clave de Rendimiento) estrechamente relacionados, puedes utilizarlos para evaluar la eficacia de tus estrategias de gestión de riesgos a largo plazo.
Algunos ejemplos de KRI pueden ser:
- KRI financieros, como las tendencias de la industria, la recesión económica o los cambios normativos.
- KRIs de personas, como una alta rotación de personal, una baja satisfacción de los empleados o una recurrente caza de talentos de la competencia.
- KRIs de pagos: tasas de fraude en las transacciones, porcentaje de devolución de cargos, falsos positivos, etc.
El reto aquí es que los indicadores de riesgo requieren buenos sistemas de recogida de datos y una clara comprensión de qué métricas serán útiles o no. Se requiere deliberación, esfuerzo y recursos por parte de todos los miembros de la organización para ponerse de acuerdo sobre dónde podría surgir el riesgo, especialmente si se trabaja con incógnitas.
Un ejemplo concreto sería lanzar una nueva campaña de marketing basada en el modelo de pago por clic. Esta práctica puede ser habitual hoy en día, pero no significa que sea completamente segura. Cualquiera que esté familiarizado con la prevención del fraude, por ejemplo, podrá decirle que abundan las redes de afiliados fraudulentas.
De hecho, es algo que una empresa como Uber descubrió por las malas, ya que en 2019, sus campañas de marketing no habían tenido en cuenta el riesgo de que algunos editores sin escrúpulos impulsaran sus anuncios como «publicidad inexistente, no visible o fraudulenta».
La práctica de comprar clics falsos, inyectar cookies en los sitios web, o incluso superponer múltiples anuncios uno encima del otro, todo ello ayuda a impulsar el volumen, pero en realidad incurre en un montón de riesgos de los que muchos comercializadores podrían no ser conscientes.
Este es un ejemplo fantástico en el que un equipo de riesgos operacionales podría haber investigado y prevenido el riesgo, y haber establecido KRIs para medir el éxito de una campaña de marketing, lo que exige un conocimiento especializado del fraude de afiliados y de publicidad.
Herramientas sólidas de gestión de proyectos: Son imprescindibles, pero especialmente importantes cuando se necesita una visión global de las operaciones.
Funciones de gestión de equipos: La lucha contra el riesgo no es nunca una operación de una sola persona, y es necesario asegurarse de que todos los participantes tengan los permisos adecuados, los canales de comunicación y las oportunidades de compartir herramientas.
Funciones de automatización y productividad: Cuando los procesos deben comprobarse cientos o miles de veces al día, es importante saber que tus herramientas pueden encadenarse para obtener la máxima productividad y reducir el tiempo dedicado a realizar revisiones manuales.
Características de seguridad: Los riesgos operacionales deben cumplir con un determinado nivel de seguridad cuando se trata de la protección de datos, por ejemplo, cumpliendo con los requeridos por la certificación ISO270001, o para el GDPR y la detección de fraude online.
Herramientas modulares, integración fácil: Cuando la gestión de riesgos se convierte en una decisión empresarial, a menudo se produce un enfrentamiento con el departamento de TI por las complejas integraciones y el tiempo de inactividad operativa. Creemos que esto debería ser una preocupación del pasado, gracias a los avances en la tecnología modular de gestión de riesgos, y a los cortos plazos de integración.
Conclusión
En SEON, estamos orgullosos de ofrecer productos diseñados por gestores de riesgos, para gestores de riesgos. Somos muy conscientes de que las herramientas de protección contra el fraude heredadas, por ejemplo, pueden basarse en datos obsoletos o listas compartidas, lo que puede ser perjudicial para los objetivos de reducción del fraude de una empresa.
Nuestra principal motivación es ofrecer herramientas y funciones que faciliten más que nunca la medición de los KRI y la lucha contra el fraude en todos los frentes de tu empresa, ya sea para minimizar el abuso de las bonificaciones, la absorción de cuentas y la multicontabilidad o para combatir los altos índices de devolución de cargos.
También entendemos que todavía no hay un libro de jugadas para una carrera de riesgos operacionales y que el campo necesita ser reconocido de forma independiente, tanto para ayudar a formar a los talentos adecuados como para garantizar el éxito de una empresa en nuestro moderno y cada vez más arriesgado paisaje online.