Análisis

Encuesta global de gestión de riesgos

11a edición resumen ejecutivo

Las organizaciones financieras enfrentan desafíos en los riesgos no financieros, tales como la ciberseguridad, el modelo de gestión de terceros y el riesgo de conducta, así como los peligros económicos que se avecinan, que requerirán que las instituciones replanteen sus enfoques tradicionales de gestión de riesgos.

A pesar de la relativa calma en la economía global, la gestión de riesgos enfrenta hoy una serie de riesgos inminentes y de gran impacto que requerirán que las instituciones de servicios financieros replanteen su enfoque tradicional. La economía mundial se ha fortalecido, pero nubes de posibles tormentas permanecen en el horizonte en forma de tensiones sobre los aranceles entre los Estados Unidos, China, la Unión Europea y otras jurisdicciones que podrían dar lugar a una disminución en el comercio. El crecimiento económico mundial se ha visto reducido por un crecimiento débil en Europa junto con una economía china de crecimiento más lento cargada de niveles crecientes de la deuda. Debido a la falta de un acuerdo final en el Brexit entre la Unión Europea y el Reino Unido, sigue existiendo una incertidumbre significativa en cuanto a su impacto para muchas empresas.

Si bien el tsunami del cambio regulatorio a raíz de la crisis financiera parece haber llegado a su punto máximo, las instituciones de servicios financieros se están preparando para una serie de requisitos regulatorios que aún están en borrador y evalúan las implicaciones en la implementación de los que ya deben cumplir. Mientras tanto, las instituciones globales se enfrentan a un entorno en el que las regulaciones se fragmentan cada vez más en las distintas jurisdicciones. Las revisiones del Comité de Supervisión Bancaria de Basilea (Comité de Basilea) a la suficiencia de capital y otros requisitos bajo Basilea III, que aún no se han adoptado, a su vez podrían ser revisadas por las autoridades regulatorias locales. La Asociación Internacional de Supervisores de Seguros (IAIS) está trabajando para desarrollar un estándar global de aseguramiento de capital (ICS) con muchos problemas aún sin resolver, incluida la definición de una base de valoración y la especificación del papel de los modelos económicos internos en la determinación de los requisitos de capital. El acuerdo final para el retiro del Reino Unido de la Unión Europea bajo Brexit, que aún se está negociando, tendrá un impacto importante en la supervisión de los mercados e instituciones financieras con sede en el Reino Unido y Europa, y para las prácticas de reserva de banca de inversión y modelos. El Reglamento General de Protección de Datos de la UE (GDPR), que entró en vigencia en mayo de 2018, impone nuevas obligaciones a todas las instituciones financieras que tienen datos de ciudadanos de la UE para garantizar el consentimiento del consumidor para su uso, entre otros requisitos. También se han iniciado iniciativas para aumentar la privacidad de los datos en India y China. Ha habido un mayor enfoque en el riesgo de conducta en muchas jurisdicciones, se resalta la Comisión Real de Australia sobre Mala Conducta en la Industria Bancaria, de Pensiones y Servicios Financieros.

En años recientes, las instituciones financieras han mejorado las capacidades de sus programas de gestión de riesgos para administrar los tipos de riesgo tradicionales, como el riesgo de mercado, de crédito y de liquidez. La gestión del riesgo no financiero está adquiriendo mayor importancia, tanto para los reguladores como para las instituciones. Entre los muchos riesgos no financieros, los ataques cibernéticos cada vez más sofisticados por parte de individuos y estados nacionales han hecho de la ciberseguridad una de las principales preocupaciones. Los casos bien publicitados de comportamiento inapropiado en las principales instituciones financieras han subrayado la importancia de gestionar el riesgo de conducta. Eventos de riesgo de terceros contratados por instituciones financieras pueden resultar en pérdidas financieras significativas y daños a la reputación.

Las instituciones financieras deberían considerar la reingeniería de sus programas de gestión de riesgos para desarrollar las capacidades requeridas para enfrentar estos desafíos, y algunas ya han realizado esfuerzos para mejorar estos programas. Las tres líneas de defensa deben volver a examinarse para aclarar las responsabilidades de cada línea de defensa, especialmente las unidades de negocios y las funciones que conforman la Línea 1. El gobierno del riesgo de datos en muchas instituciones probablemente deberá mejorarse para proporcionar información accesible, datos oportunos y de alta calidad para las pruebas de estrés, la gestión del riesgo operacional y otras aplicaciones.

Las instituciones financieras también deben considerar aprovechar el poder de las tecnologías digitales, como RPA (Robotic Process Automation), aprendizaje automático, análisis cognitivo, computación en la nube y procesamiento de lenguaje natural, para aumentar tanto la eficiencia como la eficacia de la gestión de riesgos. Estas herramientas pueden reducir los costos al automatizar tareas manuales como el desarrollo de informes de riesgos o la revisión de transacciones. También pueden escanear automáticamente una amplia variedad de datos en los entornos internos y externos para identificar y responder a nuevos riesgos, amenazas emergentes y malos actores.

Finalmente, la gestión del riesgo debe integrarse a la estrategia de negocio para que el apetito al riesgo y la utilización del riesgo de la institución sean consideraciones clave en el proceso de desarrollo de su plan y objetivos estratégicos.

La 11ª edición de la encuesta Global sobre gestión de riesgos de Deloitte es la última edición de esta serie de encuestas que evalúa las prácticas de gestión de riesgos del sector y los desafíos que enfrenta. La encuesta se realizó entre marzo de 2018 y julio de 2018 y fue diligenciada por 94 instituciones financieras de todo el mundo que operan en una variedad de sectores financieros y con activos agregados de US $ 29,1 trillones.

Documento en inglés

Resultados clave

Continúa creciendo la importancia del riesgo de ciberseguridad.  Hubo un amplio consenso de que la seguridad cibernética es el tipo de riesgo que más aumenta en importancia. El 67% de los encuestados consideraron la ciberseguridad como uno de los tres riesgos que aumentarían más en importancia para su negocio en los próximos dos años, mucho más que para cualquier otro riesgo. Sin embargo, solo alrededor de la mitad de los encuestados consideraron que sus instituciones son extremadamente efectivas o muy efectivas para gestionar este riesgo. Para tipos específicos de riesgos de ciberseguridad, los encuestados consideraron a menudo que sus instituciones son extremadamente efectivas o muy efectivas en el manejo de ataques disruptivos (58 %), pérdidas financieras o fraude (57%), riesgos de ciberseguridad de clientes (54%), pérdida de datos sensibles (54%), y ataques destructivos (53%). Y consideraron que sus instituciones no son tan efectivas cuando se trata de amenazas de fuentes públicas (37%) o riesgos de ciberseguridad de proveedores externos (31%). Al gestionar el riesgo de ciberseguridad, los encuestados a menudo se citaron como extremadamente desafiantes o muy desafiantes para mantenerse a la vanguardia de las cambiantes necesidades del negocio (por ejemplo, redes sociales, analítica y la nube) (58%) y abordar las amenazas de fuentes sofisticadas (58%). La conciencia sobre el riesgo de ciberseguridad está creciendo, y menos encuestados comparados con la encuesta anterior consideraron que varios problemas relacionados con el gobierno de estos temas son extremadamente desafiantes o muy desafiantes: lograr que el negocio comprenda su papel en el riesgo de ciberseguridad (31% que bajó del 47%), establecer una estrategia de riesgo de ciberseguridad efectiva y multianual aprobada por la junta (31% que bajó del 53%) y asegurar financiamiento / inversión continuos (18% que bajó del 38%). 

Enfoque creciente en los riesgos no financieros.  Casi todos los encuestados consideraron que sus instituciones eran extremadamente efectivas o muy eficaces para administrar los riesgos financieros tradicionales, como el riesgo de mercado (92%), de crédito (89%), de activos y pasivos (87%) y de liquidez (87%). En contraste, aproximadamente la mitad de los encuestados dijeron lo mismo acerca de una serie de riesgos no financieros que incluyen reputacional (57%), operacional (56%), resiliencia empresarial (54%), modelo (51%), conducta y cultura (50%). estratégico (46%), terceros (40%), geopolítico (35%) e integridad de datos (34%). Las instituciones financieras deberían considerar adoptar un enfoque holístico para gestionar los riesgos no financieros.

Abordar los datos de riesgo y los sistemas de TI es una prioridad.  Un tema que se extiende a lo largo de los resultados de la encuesta es la importancia de mejorar los datos de riesgo y los sistemas de TI. Este ha sido un problema continuo para las instituciones financieras y la industria de servicios financieros durante algún tiempo e indica la gran dificultad de proporcionar datos de calidad desde la fuente a través de diferentes aplicaciones y procesos a usuarios finales. Cuando se les preguntó acerca de las prioridades en la gestión de riesgos para sus instituciones en los próximos dos años, los problemas que se mencionan con mayor frecuencia como una prioridad extremadamente alta o muy alta fueron la mejora de la calidad, disponibilidad y oportunidad de los datos de riesgo (79%) y la mejora en los sistemas de información de riesgo e infraestructura tecnológica (68%). Esto es consistente con los resultados que muestran que aproximadamente un tercio de los encuestados sentían que sus instituciones eran extremadamente efectivas o muy efectivas con respecto al gobierno de los datos (34%) y los controles / controles de datos (33%). Cuando se preguntó acerca de los desafíos en las pruebas de estrés, la calidad y gestión de los datos para los cálculos de pruebas de estrés, se consideró que era extremadamente desafiante o muy desafiante tanto para las pruebas de estrés de capital (42%) como para las pruebas de estrés de liquidez (30%).    

El potencial de la gestión digital del riesgo.  Los avances continuos en una gama de tecnologías emergentes presentan una oportunidad significativa para transformar dramáticamente la eficiencia y la efectividad de la gestión de riesgos. Gran parte de esta oportunidad aún está por realizarse; relativamente pocas instituciones informaron haber aplicado algunas de estas tecnologías emergentes a la gestión de riesgos.

Las tecnologías que las instituciones informaron que utilizan con mayor frecuencia fueron computación en la nube (48%), análisis y big data (40%) y herramientas de Business Process Modeling (BPM) (38%). Aunque se ha prestado mucha atención a RPA para reducir los costos y mejorar la precisión mediante la automatización de tareas manuales repetitivas sin participación humana, solo el 29% de los encuestados dijo que sus instituciones lo están utilizando actualmente. El uso de RPA es más común en datos de riesgo (25%), informes de riesgo (21%) e informes regulatorios (20%).   

Aunque actualmente la adopción es bastante baja, los encuestados aseguran que las tecnologías emergentes ofrecerían grandes beneficios en muchas áreas, como aumentar la eficiencia operativa / reducir las tasas de error (68%), mejorar el análisis y detección de riesgos (67%) y mejorar los tiempos de reporte (60%). 

Abordar los desafíos en el modelo de gobierno del riesgo en las tres líneas de defensa. Prácticamente todas las instituciones (97%) informaron que emplean las tres líneas de defensa del modelo de gobierno del riesgo, pero dijeron que enfrentan importantes desafíos. Los desafíos que se citan como significativos con mayor frecuencia generalmente involucraron el rol de la Línea 1 (unidades de negocio), incluida la definición de los roles y responsabilidades entre la Línea 1 (negocio) y la Línea 2 (gestión de riesgos) (50%), obteniendo la aceptación de la Línea 1 (el negocio) (44%), eliminando la superposición en los roles de las tres líneas de defensa (38%), teniendo suficiente personal calificado en la Línea 1 (33%) y ejecutando las responsabilidades de esta Línea (33%). Estos desafíos son consistentes con nuestra experiencia con instituciones financieras, ya que muchas han estado, o están en proceso de, aclarar los roles de la 1ª y 2ª líneas de defensa y trabajar para mejorar la eficiencia y la efectividad dentro del modelo de las tres líneas de defensa.  

Mayor confianza en las pruebas de estrés. Casi todas las instituciones informaron que utilizan pruebas de estrés de capital (90%) y de liquidez (87%), y confían más en ellas. Las pruebas de estrés de capital se utilizan con más frecuencia como una herramienta clave para las juntas y la administración, y más encuestados dicen que se están utilizando ampliamente en más áreas comparado con la encuesta anterior. Estas pruebas incluyen informes a la junta directiva (64% comparado con 46%), informes a la alta gerencia (61%, comparado con 49%), definición / actualización de los requisitos de capacidad de capital para el riesgo (47%, comparado con 24%) y estrategia y planificación del negocio (38%, comparado con 26%).

Las pruebas de estrés de liquidez también se están utilizando más ampliamente en varias áreas: evaluar la suficiencia del exceso de liquidez (57%, en comparación con 39%), cumplir con los requisitos y expectativas regulatorias (65%, en comparación con 52%) y establecer límites de liquidez (56%, por encima del 44%).

Mayor supervisión de la junta.  Evidenciando el ritmo más lento en los cambios regulatorios, solo el 28% de los encuestados dijo que sus juntas directivas estaban gastando considerablemente más tiempo en la gestión de riesgos en comparación con los dos años anteriores, lo que representa una disminución del 44% comparado con la encuesta anterior. Muchas instituciones están siguiendo prácticas líderes en la supervisión de la junta directiva, con el 61% de los encuestados que dicen que la responsabilidad principal de la supervisión de riesgos está en el comité de riesgos de la junta, y el 70% dice que el comité de riesgos está compuesto completamente por directores independientes (35%) o en su mayoría (35%), mientras que el 84% dijo que el comité está presidido por un director independiente.

Adopción generalizada de la posición CRO.   La prevalencia de la posición del CRO continúa expandiéndose a lo largo de las encuestas que hemos realizado, con el 95% de las instituciones que ahora tienen un CRO. Sin embargo, aún queda espacio para mejorar la relación de reporte del CRO tanto al CEO como a la junta directiva. Una cuarta parte de los encuestados dijo que su CRO no reporta al CEO de la institución, y aproximadamente la mitad dijo que el CRO no reporta a la junta directiva ni a un comité de la junta.

Aumento continuo en la adopción de ERM.   El 83% de los encuestados dijo que sus instituciones tienen un programa de ERM, comparado con un 73% en la encuesta anterior, y un 9% adicional dijo que estaban en el proceso de implementar uno. Además de abordar los problemas de los datos y los sistemas de TI como se señaló anteriormente, los encuestados resaltaron los problemas para los programas de ERM de sus instituciones con mayor frecuencia; la colaboración entre las unidades de negocios y la función de gestión de riesgos (66%), administración de requisitos y expectativas regulatorias cada vez mayores (61%) y establecer e incorporar la cultura de riesgo en toda la empresa (55%).

¿Le pareció útil este contenido?