:quality(75)/blogs.gestion.pe/riesgosfinancieros/wp-content/uploads/sites/50/2017/11/25-Blog-Riesgos-Financieros-GREGORIO-BELAUNDE-MATOS.jpg)
El “Sobre-Reporting” y el Riesgo Operacional
Diferentes publicaciones en Europa muestran la preocupación creciente de las instituciones financieras por las numerosas obligaciones adicionales de reporting que han estado generando una serie de regulaciones ligadas a las reformas llamadas “Basilea III”, incluyendo las adoptadas por la Comunidad Europea, así como otras ligadas al funcionamiento de los mercados financieros y a la lucha contra el lavado de activos y el financiamiento del terrorismo. Se quejan de estar abrumadas por “montañas de reportes” que deben enviar a diferentes reguladores y supervisores, de verse obligadas a crear grandes áreas dedicadas a ello de manera exclusiva, etc. Sin emitir opinión sobre si la queja es justificada o no, es una buena oportunidad de examinar el riesgo operacional que podría generar el cúmulo creciente de obligaciones de reporting, y no sólo en el sector financiero.
Primero sería bueno definir la noción de “sobre-reporting”; además de que se debe tener claro que no debe caerse en la exageración y llamar así a toda nueva obligación de reporte que en realidad cubre un vacío de información peligroso (y cuya peligrosidad incluso ya hizo daño), que no es generado únicamente por autoridades externas, que también puede serlo por decisiones puramente internas, esta debería incluir por lo menos a dos componentes clave:
. primero, por supuesto, está la acumulación de numerosos reportes, que pueden crecer por el añadido de columnas y anexos adicionales, pero también y sobre todo por la creación de nuevos reportes obligatorios
. y también, lo que es menos conocido, está la extensión del perímetro, o del “universo” de los sujetos obligados a dichos reportes. En simple: mucho más entidades o personas deben hacerlo.
Por último, para ser completos en el análisis, reporte aquí significa no solamente cuadros que se llenan y envían regularmente, también declaraciones que se deben hacer regularmente según un cierto formato, que también tienen por vocación ser vertidas en una base de datos. Y que ello puede incluir a reportes ad hoc solicitados por una autoridad o por una alta dirección frente a una situación dada.
El “sobre-reporting” puede ser un factor de riesgo operacional mediante varios canales:
Primero están los riesgos para el emisor de los reportes:
. el más obvio: aun cuando se crean unidades especiales encargadas para elaborarlos y centralizar su consolidación y envío, en la práctica quienes los llenan son sobre todo otras áreas que pueden tener funciones comerciales, operativas, o de gestión de riesgos, o de otro tipo, y que pueden estar ya sobrecargadas de trabajo. Y ante los plazos en general imperativos, se suele hacerlos al último momento y mal, con los problemas que ello puede generarle al que solicita la información
. otro también muy conocido en la práctica por quienes lo sufren, e indirectamente por el público (cliente o administrado), aunque este último no lo sepa: frente a pedidos efectuados de manera muy imperativa, el que ya está sobrecargado de trabajo, para poder cumplir, termina haciendo mal sus tareas principales; ejemplos: olvidos de fechas límite para ciertas operaciones, mala atención al cliente, poco tiempo para evaluar el riesgo de una operación o para monitorear los riesgos, postergación de los cronogramas de los proyectos en curso, etc.
. finalmente, están las pérdidas de productividad, que pueden ser considerables: muchas veces uno puede ir dándose cuenta de que muchos de esos reportes se duplican casi completamente o parcialmente con otros, y que el mismo pedido ad hoc se repite varias veces; y a veces uno termina descubriendo reportes que se crearon ya no se sabe cuándo, pero se sigue haciendo porque hay un área que se supone que los recibe, los lee y los explota (hasta que un día alguien desde esa área “se manda” y pregunta: ¿alguien puede explicarme para qué me envían esto y qué tengo que hacer después?); o también están los que crea un área por su cuenta por un tema de poder, aunque ya exista otra que lo hace porque es su función. No confundir este problema con el problema inverso de personas que prefieren no recibir nada, para no tomar acción (es más fácil para algunos; tomar acción a menudo es más arriesgado que no hacer nada), y/o para poder decir después, si hay un problema, que no les dieron información y/o no les avisaron.
Luego están los riesgos para el destinatario, que puede ser otra área interna, o un regulador/supervisor o un órgano de recaudación, o un órgano de control, entre otros:
. los riesgos de procesamiento informático, que son principalmente de dos tipos:
-
¿Oyeron hablar del colapso del sitio web de ciertas embajadas de un país vecino de otro cuya nueva autoridad elegida genera mucho temor? Sus servidores no lograban procesar tantos pedidos de información sobre inmigración, “se colgaron”. ¿O de esos hackers que atacan a un sitio web enviándole una avalancha de solicitudes que no puede procesar, hasta paralizarlo? Bueno, eso le puede pasar al que, en un momento dado, decide exigir un nuevo reporte o declaración a los que ya recibe via web, o que decide que no le basta con el universo de personas que lo dan, que lo tienen que dar mucho más personas, o incluso todas dentro de la población objetivo; a los pocos días, nadie logra ingresar al sitio web, como si lo hubiera atacado un grupo de hackers, o sino, “se cuelga” todo el tiempo, el que logra completar el procedimiento previsto en el plazo obligatorio se vuelve la excepción; para completar la faena, los que no lo pudieron ingresar o no pudieron completar el procedimiento a tiempo son sancionados (multas y otras sanciones). O sea el destinatario no logra su objetivo de tener mayor información, además no obtiene la que ya obtenía antes, y puede exponerse a un serio riesgo reputacional si además “castiga” a los emisores
-
La situación en que se logra recibir la información, sin colapso de los servidores al ingreso, tal vez porque la información no ingresa via web, pero una vez que se procesa internamente, todo el sistema y las bases de datos colapsan: no había suficiente “espacio de disco”, un poco como cuando ya no queda espacio en la USB y esta se bloquea al querer añadirle data por encima de su capacidad. Un gran “clásico”, que vale también para el tema anterior es que a menudo se tienen ciertas ideas sin pensar consultar un solo instante al área de sistemas/tecnologías de la información. La mentalidad respecto de ellas es: “que hagan lo que se les pida, y de inmediato”, en ningún momento se piensa que ellas también tienen sus tiempos, como cualquier área, y un nuevo desarrollo o adquirir más capacidades de procesamiento y de almacenamiento de data no se hace en pocos días.
. La incapacidad material de procesar toda la información : él área o la entidad receptora sencillamente recibe demasiada información, su equipo es demasiado reducido para poder procesarla toda, a menos que los días tengan 48 horas, y que el personal trabaje sin parar y no duerma; lo que sucederá en la práctica es que gran parte de la información recibida no será leída en absoluto, y el objetivo de haberla solicitado no se cumplirá. Una variante de este riesgo será que será leída demasiado rápido, y que hasta informaciones que hubieran debido ser obvias y generar una reacción, “se les pasarán por la huacha”, para usar una expresión futbolística (trabajo mal hecho por falta de tiempo). Sub-variante: se prioriza el procesamiento y análisis de los reportes, y durante ese tiempo, el trabajo básico más importante se descuida porque es con los mismos recursos experimentados (luego de haber visto que los practicantes no tienen el conocimiento necesario para analizar toda esa data y detectar lo que es realmente relevante) y los días no tienen 48 horas, por más que algún consultor en organización haya asegurado en su entregable final que a toda al área en cuestión le bastaban x personas para cumplir con sus tareas (ganancias de productividad esperadas: los que tenemos experiencia sabemos que en la vida real eso muy pocas veces sucede).
A modo de conclusión:
Una pequeña anécdota ilustrativa de este tipo de situaciones: durante los años de la Crisis Asiática y los siguientes las exigencias de reporting, tanto regular como ad hoc aumentaron de manera exponencial en los bancos expuestos a la región, y los franceses no fueron la excepción. Un día estando yo en Hong Kong, uno de mis colegas y amigos basado en Singapur, llamado Olivier, un antiguo de Argentina y Venezuela antes de pasar al Asia, con el cual formábamos parte de un pequeño pero hiperactivo grupo buscando soluciones razonables para los clientes y para que el banco pierda lo menos posible, me llama desesperado: ¿has visto el nuevo reporte que nos han pedido para ayer los “cons du Siège” (los imbéciles, o “boludos”, dirían los argentinos, de la Sede Central)? ¿Se imaginan que estos números salen apretando un botón nomás?, ¡son mínimo 2 personas a tiempo completo durante 3 días para mi equipo, como si acá nos estuviéramos rascando la panza! Le respondí que a partir de ahora, los llamaríamos en clave los CDS (juego de palabras de “cons du Siège” con las iniciales de los “credit default swaps”, esos seguros contra el impago de créditos), pero le recordé que muy pocos años antes nosotros también habíamos sido parte de los CDS, aunque en menor grado, porque habiendo estado ambos “en la cancha” como comerciales antes, nunca hacíamos pedidos excesivos, y yo, el “ex CDS” basado en Hong Kong, le encontré una solución negociando con los “CDS” de París para disminuir las exigencias y alargar un poco el plazo del reporte y usando data que teníamos ya en Hong Kong por nuestro rol regional. Este artículo está dedicado a Olivier, gran banquero de terreno y de choque, con quien seguimos en contacto los años siguientes, y prematuramente desaparecido en Vietnam, y con quien entre los dos, evocamos un día a los Shadoks (ver post de diciembre de 2014) y nos inventamos desde entonces el adjetivo “shadokien” para describir ciertas situaciones.