El sector financiero se encuentra actualmente inmerso en un proceso de transformación digital integral que está provocando un incremento de su complejidad operativa, así como la exposición a nuevas tipologías de riesgos y, por ende, de las vulnerabilidades a las que se enfrentan, derivadas de determinadas disrupciones operativas. Estas amenazas no solo afectan a las entidades desde la óptica financiera, sino que también influyen en su estabilidad operativa debido a la multitud y heterogeneidad de los potenciales eventos, y de un factor importante, su impredecibilidad.
Adicionalmente, el entorno en el que operan las entidades financieras es cada vez más volátil e incierto. Factores como la pandemia, el riesgo climático, el cibercrimen y otras cuestiones y amenazas relacionadas con las tecnologías de la información y comunicación están provocando que se haya intensificado la necesidad de adoptar enfoques sólidos, coordinados y detallados de gestión de Riesgos No Financieros.
Ante esta situación, los reguladores, supervisores y otros organismos internacionales están evolucionando su foco tradicional – centrado fundamentalmente en la resiliencia financiera de las entidades, principalmente en el ámbito de la gestión del capital y la liquidez – hacia la necesidad de asegurar también la resiliencia de estas en términos operacionales.
De este modo, las entidades financieras se están viendo obligadas a robustecer y evolucionar continuamente sus marcos de gestión de los Riesgos No Financieros para cubrir y tratar adecuadamente todos estos nuevos riesgos, logrando una gestión integral de los mismos junto a los focos de riesgo más tradicionales.
Ante este contexto, se hace necesario llevar a cabo un análisis benchmarking entre algunas de las principales entidades financieras nacionales e internacionales con el fin de entender cómo están afrontando las entidades los nuevos retos en materia de gestión de Riesgos No Financieros y cuáles son las mejores prácticas de la industria. El análisis llevado a cabo se divide en cuatro grandes secciones que permiten tener un entendimiento global del marco de gestión de Riesgos No Financieros de las entidades:
La primera sección analiza si las entidades disponen de funciones de segunda línea de defensa que cubran y aglutinen la gestión global de todos los Riesgos No Financieros y su estructura, alcance y composición, así como el modelo de gobierno en términos de comités y foros dedicados al seguimiento y escalado de esta tipología de riesgos. En este sentido, se observa que, con carácter general, las entidades ya disponen de funciones de Riesgos no Financieros, en contraste con las tradicionales funciones de Riesgo Operacional, aunque el alcance de los riesgos cubiertos por la función diverge mucho de unas entidades a otras. Asimismo, se observa una tendencia generalizada respecto a que estas funciones dependan jerárquicamente del CRO, si bien, existen excepciones donde esta función se engloba dentro de funciones independientes de control y cumplimiento.
En la segunda sección se analizan los instrumentos y herramientas empleados por las entidades a lo largo del ciclo de vida del riesgo, desde la identificación y evaluación del mismo, hasta su seguimiento, control, mitigación y reporting. Asimismo, se analizan las principales soluciones tecnológicas que las entidades están empleando para la gestión de esta tipología de riesgos. A este respecto, el benchmark demuestra que las entidades participantes disponen de modelos maduros de gestión de riesgos no financieros, si bien se identifican entidades con amplios márgenes de mejora tanto en instrumentos concretos como los RCSAs o la estrategia de mitigación, como en las herramientas y soluciones tecnológicas empleadas para su gestión.
En la sección dedicada al Modelo de Control Interno, se identifican aquellas entidades que disponen de funciones especializadas para la gestión del modelo de control interno, así como las entidades que disponen de inventarios unificados de controles, así como su grado de integración con el modelo de gestión y control de Riesgos No Financieros, y particularmente con el ejercicio de “Risk & Control Self Assessment”. En este contexto, se demuestra que, aunque con carácter general se está trabajando en las entidades en implementar modelos robustos de control, aquellas entidades que se encuentran bajo el alcance de SOX disponen de modelos de control interno más maduros y con un mayor nivel de integración con la gestión de riesgos.
Y, para terminar, se presenta un análisis de las principales taxonomías de Riesgos No Financieros, cubriendo los principales riesgos emergentes, como el riesgo climático, el riesgo de modelo o riesgo del dato, junto a tipologías de riesgos tradicionales como la gestión del riesgo de proveedores, el fraude o el riesgo tecnológico. En todas ellas se presenta un análisis de su grado de integración con el modelo de Riesgos No Financieros (taxonomías, RCSA…) y se identifica en si existen no funciones especializadas para su gestión, ya sea en primera o en segunda línea de defensa. En lo que respecta a este apartado, todas las entidades participantes disponen de funciones especializadas en el marco de riesgos no financieros para la gestión de determinados riesgos debido a su relevancia o impacto en la entidad, si bien, existe una gran heterogeneidad, siendo las funciones especializadas más comunes y extendidas las encargadas del riesgo tecnológico, ciberriesgo y riesgo de proveedores.
Como conclusión general del análisis realizado, se observa que, pese a que el nivel de madurez de las entidades en términos de la gestión de Riesgos No Financieros diverge de unas entidades frente a otras, existe con carácter general un gran interés y preocupación en todas las entidades financieras de disponer de modelos de gestión y control holísticos y robustos que les permitan asegurar niveles adecuados de resiliencia ante la materialización de cualquier disrupción y responder a los requerimientos regulatorios y del supervisor.