La madurez tecnológica y de gestión como factor determinante para cumplir los requerimientos regulatorios

La implementación de las medidas exigidas por el Regulador enfocadas a Solvencia II o Basilea III van a suponer un esfuerzo importante para las aseguradoras y los bancos respectivamente. Sin embargo, los bancos espoleados por Basilea II, tienen más fácil la consecución de los objetivos establecidos. El éxito de las aseguradoras dependerá de la madurez tecnológica y capacidad de gestión a la hora de enfrentarse a los retos que genera las medidas de Solvencia II

El reciente comunicado de la Comisión Europea insistiendo en que los requisitos de solvencia fijados en el acuerdo de capital de Basilea III seguirían respetando los plazos previstos en el calendario inicial  ante la petición de retraso de Francia y Alemania, nos recuerda que la presión regulatoria en relación a la gestión de riesgos no se ha relajado en absoluto…

Las entidades bancarias no han terminado aún de implementar las medidas Basilea II para la estimación de recursos propios, cuando ya deben incorporar en el debe la necesidad de implementar las medidas asociadas a Basilea III, con especial incidencia en un nuevo estándar de liquidez y nuevos requerimientos de capital. A su vez, y a pesar del retraso a enero de 2015 en la entrada en vigor de las medidas de Solvencia II, el sector seguros debe comenzar ya a implementar dichas medidas si quiere llegar a tiempo. De manera adicional, la nueva legislación incorporada al Ordenamiento Jurídico Español, siguiendo la normativa europea así como las recomendaciones de los distintos códigos de buen gobierno, saca la gestión del riesgo del ámbito de las entidades financieras, estableciendo la necesidad de la gestión del riesgo también sobre las Sociedad Cotizadas e incluso las sociedades de Capital (véase el RD 1/2010 de 2 de julio de Sociedades de Capital, o la Ley 2/2011, de 4 de marzo, de Economía Sostenible). Todo ello en un ambiente de crisis que no anima precisamente a la inversión… sin embargo, si algo nos está enseñando esta crisis, es que aquellas  organizaciones que han invertido en transformar y orientar su estrategia, operativa, procesos y sistemas a la gestión del riesgos dentro del sector financiero, están resultando ser las ganadoras.

Pero, ¿de qué depende la capacidad y habilidad de una organización para adaptarse y cumplir con los requerimientos del Regulador, implementar las medidas de gestión del riesgo y ser capaces de integrar los beneficios en su operativa habitual a todos los niveles de la organización?

La capacidad de cambio y adaptación va a depender de la madurez que tenga dicha organización a tres niveles.

1. Organizativo
2. De gestión
3. Tecnológico

1.- Organizativo

En este caso, no hay mucho de lo que hablar, ya que resulta obvio que si el Consejo de administración o el Comité de Dirección no establece el apetito de la organización en relación a la gestión del riesgo, así como una estrategia clara y definida, el resto de la organización no seguirá ciertas pautas.

2.- De gestión

La capacidad de una organización para establecer una necesidad y ejecutar los proyectos necesarios para implementarla en tiempo y forma, minimizando desviaciones en el presupuesto asignado es fundamental, pues debe considerarse que:

• **La implementación de las medidas contenidas en los acuerdos Basilea II y III así como Solvencia II, implica la participación de todos los niveles organizativos, áreas de de negocio y técnicos de una organización.
• **Su implementación implica la suma de distintos proyectos a diferentes niveles de negocio y técnico, que deberán lanzarse en paralelo y/o que deberán coordinarse correctamente, pues en muchos casos habrá hitos y necesidades comunes, tareas cruzadas, etc.
• **En muchos casos, los propios procedimientos de negocio se verán afectados y deberán adaptarse a las nuevas directrices.
• **Las expectativas de negocio deberán estar cubiertas por las capacidades técnicas de la organización, y en caso de no ser así, se deberá detectar en las primeras fases del proyecto para incorporar la corrección de la brecha (gap) dentro de las tareas a realizar.
• **La implantación y/o desarrollo de la infraestructura técnica soporte necesaria conlleva por lo general unos tiempos largos de implantación y un coste elevado de infraestructura, por lo que cualquier corrección a realizar, ya sea por una definición deficiente de los modelos de negocio, como de la necesidad de datos, etc, tendrá un alto impacto en coste y tiempo.
• **Todo cambio en una organización conlleva una resistencia interna, que debe acometerse desde el inicio con medidas de gestión del cambio y formación a lo largo de la organización, ya que de no ser así, provocará retrasos añadidos
• **Si la organización va a integrar en el proyecto a diferentes unidades de negocio, deberá tener en cuenta el cambio cultural, especialmente en organizaciones internacionales.

Experiencia es un grado, por lo que aquellas organizaciones que tengan experiencia en la gestión de grandes proyectos de alto impacto, tendrán una ventaja competitiva sobre las demás.

3.- Tecnológico

El empleo de las tecnologías de la información así como toda la gama de aplicativos de gestión de la inteligencia de negocio (Business Intelligence o Business Information Management), es en última instancia, lo que permite cumplir y gestionar los requerimientos del Regulador.

La carencia de unos sistemas de información adecuados para una correcta gestión de datos, sin la capacidad para manejar los volúmenes de información requeridos, sin la granularidad y calidad exigida por el propio Regulador o sin la necesaria integración con los sistemas operacionales soporte a las áreas de negocio, provocará que la brecha (gap) entre las expectativas y necesidades para acometer los requerimientos del Regulador con la realidad operativa se refleje en un alto coste económico de implementación así como unos plazos de cumplimiento muy elevados.

El éxito en la implantación de medidas de gestión del riesgo o adecuación normativa, va a venir definida en primera instancia por el éxito o el fracaso en incorporar la infraestructura tecnológica adecuada, en tiempo y forma. Sirve de ejemplo, que en nuestra experiencia, el conjunto de tareas necesarias para disponer los datos necesarios para cumplir los requisitos del regulado, con la calidad y granularidad necesarias, puede llevar hasta el 60 % del tiempo y esfuerzo del proyecto.

La falta de madurez en la gestión no es bloqueante pero entorpecerá y provocará continuos retrasos, aunque puede subsanarse incorporando los recursos necesarios tanto internos como externos, con el conocimiento de negocio y de gestión adecuados. Sin embargo, la propia inercia interna de la organización se alineará con la resistencia al cambio habitual de toda organización, lo que ralentizará todo el proceso.

Por otro lado, la falta de madurez tecnológica en cambio sí que establece la medida real de cuándo estará la organización en condiciones de implantar y gestionar las medidas requeridas por el Regulador. Se debe considerar que si a nivel tecnológico no se tiene la capacidad de cumplir con los requerimientos del Regulador, es la Organización quien no cumple, y por lo tanto es responsabilidad última del Consejo de Administración y la Alta Dirección. De ahí que la necesidad de una buena coordinación a todos los niveles sea esencial incluso en las tareas más tecnológicas.

Es la medida del tiempo que se establece desde la implantación de la infraestructura adecuada, la generación de los datos, y su explotación, así como la estrategia de implantación y/o desarrollo de las soluciones previstas, hasta que se tiene la capacidad de ofrecer resultados, la que va a marcar los plazos para cumplir con el Regulador.

Es un error, por lo tanto, plantear fechas de compromiso de manera voluntarista o por motivos políticos, pues la realidad es muy tozuda y dichos plazos serán incumplidos de manera sistemática. Las posibles sanciones por incumplimiento, el riesgo reputacional que pueda generarse, o la propia responsabilidad que pueda acarrear a la Alta Dirección y al Consejo de administración el incumplimiento, aconsejan un enfoque conservador y realista, evitando cualquier imagen de improvisación.

¿Qué puede hacerse para establecer las pautas adecuadas, disminuir los riesgos y ajustar los plazos mientras se cumplen los requerimientos del Regulador? Sin ánimo de ser exhaustivo, a continuación se ofrecen algunas de ellas siempre teniendo en cuenta que cada organización es un mundo:

1.- Establecer una oficina de proyecto que incluya todas las áreas afectadas, tanto de negocio como de tecnología. La oficina de proyecto será responsable de definir la estrategia a seguir y establecerá las necesidades y objetivos de acuerdo a las directrices corporativas. Será responsable igualmente de coordinar y realizar el seguimiento de todas las iniciativas.

2.- Realizar un análisis de inconsistencias o gap analysis para detectar las carencias internas. Este análisis de inconsistencias o gap analysis deberá realizarse tanto en las áreas de negocio afectadas como sobre la infraestructura técnica. Este paso es extremadamente importante, pues las carencias que se detecten en la organización nos darán la medida del esfuerzo que habrá que ejecutar para alcanzar los requerimientos del Regulador. Mediante este procedimientos podremos saber en qué medida podemos reaprovechar los procesos y sistemas existentes, estableceremos las iniciativas que van a ser necesarios, priorizaremos las mismas en base a su aporte de valor para los objetivos propuestos, estableceremos la estrategia, etc.

Es recomendable realizar un análisis de inconsistencias o gap analysis por unidad de negocio, ya sea una organización nacional o internacional.

3.- Fijar objetivos alcanzables… lo que facilita el seguimiento y la gestión. En caso necesario, trocear los proyectos grandes y formarlos como la suma de un conjunto de proyectos pequeños. Cada proyecto deberá tener un responsable que responda por los resultados.

4.- los modelos de datos deben tener una visión de negocio, y por lo tanto debe existir una involucración de las áreas de negocio en la definición funcional de los modelos de datos que sean necesario gestionar. El documento funcional resultante, deberá tener una buena definición del término que evite confusiones a futuro. En proyectos internacionales, se deberá tener en cuenta que un mismo término puede significar algo completamente diferente o por el contrario, que el término que signifique lo mismo, se denomine diferente. Por no hablar de las distintas implicaciones legales del mismo término dependiendo del lugar o país. El modelo de datos deberá estar aprobado de manera fehaciente por las áreas de negocio implicadas.

La necesidad de corregir un error o de redimensionar un modelo de datos, puede dar lugar a un retraso de meses, dependiendo de la metodología de trabajo y recursos involucrados.

5.- Trabajar con datos existentes, nunca con expectativas… el ciclo de generación de un dato hasta su disponibilidad, puede ser tan amplio, que si se lanzan varias versiones de un modelo de datos en un breve espacio de tiempo, nunca se tendría tiempo para explotar la información.

6.- Establecer un programa corporativo de calidad del dato con el que aprovechar los datos ya existentes y evitar duplicidades. Ello genera un gran ahorro de costes que si se ejecutan dichas acciones de calidad del dato a medida que se requiere en cada proyecto. Este asunto se debatirá de manera específica dentro del Blog.

7.- Establecer desde el minuto uno las medidas de seguimiento y control a emplear por todos los responsables de proyecto.

8.- Eliminar manualidades, pues dificultaría cumplir con los plazos periódicos de presentación de información al Regulador.

9.- Ser conscientes de las capacidades propias, evitando proyectos de dudoso cumplimiento… es mejor plantear alternativas, como la externalización de servicios (BPO), offshoring, emplear herramientas existentes en el mercado, contratar servicios de consultoría y tecnología, etc.

10.- Tomar las decisiones que afectan a tecnología teniendo en cuenta el medio plazo, atendiendo a aspectos de flexibilidad de los sistemas, el coste del mantenimiento, etc.

La madurez tecnológica de una organización es un asunto de gran importancia no solo por el sobrecoste que se genera en todo lo relacionado con la adecuación normativa, o por la ventaja competitiva que implica, sino por el impacto en otros ámbitos del negocio de las entidades cotizadas en general y las entidades financiera en particular, tal y como voy a desarrollar en mi próximo artículo dedicado a las Due Diligence para fusiones y adquisiciones la semana que viene.