Guía de métodos para gestionar el Riesgo Operativo

Introducción

Un análisis del riesgo debe incluir todos los posibles eventos y pérdidas económicas que estos puedan causar. Una vez la compañía detecte amenazas, debe decidir si evitarlas o asumirlas, de acuerdo con el nivel de tolerancia y apetito de riesgo.

Las empresas que tracen sus objetivos y busquen el éxito, deberán unir esfuerzos para operar de manera eficaz y responsable por medio de la gobernanza, de lo contrario, pagará altos costos por los errores, tendrá poco análisis de riesgos, incapacidad para hacerles frente y dificultad para medir el desempeño de los mismos. Mientras que una buena gestión ayuda a tomar mejores decisiones, a reducir impactos negativos, costos y operaciones.

Con el software Pirani Riskment Suite podrás gestionar con más facilidad los procesos de Gobierno, Riesgo y Cumplimiento pues te permite identificar, medir, controlar y monitorear los riesgos para prevenir su materialización o mitigar su impacto en caso de que ocurran.

En esta guía encontrarás las claves para elaborar un mapa de riesgos, identificarlos y mitigar el impacto. Además, conocerás cuáles son las amenazas en una compañía y cuáles son los tipos de eventos negativos a los que podría estar expuesta.

Claves para identificar el Riesgo Operacional

h_grupos_6

Todas las empresas deben trabajar en identificar sus riesgos y definir estrategias que permitan su evaluación, seguimiento y mitigación de manera oportuna. La gestión del riesgo operativo debe tener en cuenta los factores internos y externos que originan las amenazas.

Los internos se producen por la propia actividad comercial de la compañía, por ejemplo, una mala administración de caja o problemas en la producción; mientras que los externos son las condiciones políticas, económicas o sociales que afectan el desempeño de las empresas de un sector determinado o un país, como las crisis económicas, la inestabilidad de las tasas de cambio y las variaciones de una industria.

A continuación, profundizaremos en tres claves para la identificación del riesgo operacional en tu compañía, para que puedas tomar acciones oportunas y para que los impactos de esos posibles eventos no afecten los objetivos organizacionales.

1. Recoge información

Se debe identificar los factores de riesgo operacional a partir de la revisión de los procesos, de autoevaluaciones y análisis del país donde opera como el contexto económico, político, social y ambiental. Además, se debe construir información tanto externa como interna para evaluar todas las amenazas.

2. Clasifica cada riesgo

Aquí hay que clasificar los posibles riesgos, realizar un inventario de los mismos para valorar y establecer el nivel de amenaza, así como las acciones que se van a implementar.  Se debe analizar el grado de probabilidad, impacto y ocurrencia de cada riesgo (alto, medio o bajo) e incluir indicadores tanto cuantitativos como cualitativos para evaluar periódicamente el perfil de riesgo operacional.

3. Utiliza herramientas tecnológicas

El uso de una herramienta tecnológica como un software ayuda a identificar las amenazas, tener alertas, mejorar el análisis, optimizar el monitoreo y visibilizar procesos internos. Un software, por ejemplo, permite integrar todos los datos de la empresa, de esta forma, se unifica la información y se fomenta una cultura de gestión de riesgo. Así mismo, ayuda a comprender mejor los procesos de la organización, adicional, este sistema actúa en tiempo real, lo que permite controlar el riesgo, así como tomar decisiones y medidas oportunas.

¿Cómo elaborar un mapa de riesgos?

h_grupos_3

Un mapa se diseña para resaltar las problemáticas operacionales o financieras de la organización, hacer una supervisión y seguimiento de los procesos clave que pueden tener eventos negativos, así como exposiciones o amenazas para desarrollar estrategias que permitan la mitigación de los riesgos.

Los pasos a seguir para construir un mapa de riesgos son:

 1. Crear un comité de riesgos

Lo primero que se debe hacer para diseñar un mapa de riesgos es nombrar un comité de riesgos con el fin de que este recoja información amplia y discriminada para comprender mejor las amenazas. Conformar ese equipo con perfiles competentes es un compromiso de la alta dirección, de tal manera que debe nombrar personal que se comprometa con la construcción del mapa.

Nueva llamada a la acción

2. Identificar los riesgos

Para identificar los posibles riesgos, todas las áreas de la empresa deberán hacer un análisis de riesgos que se interponen en su día a día o en el desarrollo de sus estrategias para lograr sus objetivos. Una vez se identifiquen todos, se deberá describir cada uno para conocer sus posibles consecuencias.

3. Valorar los riesgos

Con base a la información obtenida en la etapa de identificación, se debe clasificar cada riesgo para valorarlo y establecer el nivel de impacto y las acciones que se van a implementar. Para este punto, se debe analizar con indicadores (alto, medio o bajo) el grado de probabilidad, el impacto y la ocurrencia de cada riesgo.

4. Elaborar una matriz de priorización

Cuando el comité de riesgos clasifique las amenazas, basados en la probabilidad, ocurrencia e impacto que podría traer cada una, deberá elaborar una matriz de priorización para establecer cuáles requieren un tratamiento inmediato.

Aquí se analiza cada riesgo y se clasifica como alto (es muy factible que se presente), medio (factible) o bajo (muy poco factible) y se identifica el mapa con un color distinto alto (rojo), medio (amarillo) bajo (verde).

También se analiza si cada impacto puede ser interno o externo. Este mapa sirve para empezar a trabajar en los riesgos más urgentes y plantear estrategias para reducir sus impactos.

Factores de riesgo operativo

El riesgo operacional podría causar pérdidas tanto económicas como humanas, por causa de errores, procesos internos inadecuados y fallas de los sistemas, así como de las personas.  

Estos son los principales factores de riesgo operativo que se deben tener en cuenta:

1. Recursos humanos

Si un empleado tiene acceso a transacciones que no son de su competencia, puede alterar información sensible o tener a su disposición datos confidenciales de los clientes y de la compañía, lo que puede resultar en fraudes, robos, secuestro de la información y sabotajes.

2. Falta de segregación de funciones

Para que las responsabilidades de una o varias áreas de la compañía no recaigan en una sola persona, se deben separar las actividades. De ese modo, ningún funcionario debe gestionar todas las etapas de una transacción. Si no hay segregación de funciones, una persona podría acceder a transacciones para realizar acciones no autorizadas o fraudulentas.

3. Administración de usuarios y contraseñas

Si una persona accede a sistemas de información que son sensibles para la compañía o cuenta con acceso a usuarios o a contraseñas que no son de su responsabilidad, puede aumentar el riesgo de pérdida de confidencialidad o exponer los datos a modificaciones no autorizadas.

4.Falla en los procesos

Factores de riesgo operacional entran a transacciones registradas de forma incompleta, con información imprecisa o fuera del periodo contable correspondiente. Cuando se utiliza un formato incorrecto para ingresar los datos o se registran sin contrastar con los datos existentes, se pueden afectar de forma grave los registros contables.

Las etapas de gestión de Riesgo Operativo

h_grupos_7

Todas las compañías tienen objetivos estratégicos diferentes, así mismo, el nivel de exposición al riesgo varía de empresa a empresa. Aún así, el proceso de gestión de riesgo tiene cinco etapas básicas que determinan la madurez de la administración de riesgos de la entidad.

1. Base tradicional

En la primera etapa no existe una estructura formal para abordar los riesgos. Por ello, los gestores de riesgo actúan de manera independiente, al considerar que esas amenazas todo el tiempo están presentes.

Como en esta etapa la cultura de riesgo no está difundida en todos los niveles de la empresa, hay una dependencia total de la calidad y la integridad de los funcionarios y accionistas para mantener un control adecuado de los eventos.

2. Concientización 

El  proceso de gestión de riesgo operativo es alcanzado por las empresas que establecen un área específica para gerenciar los riesgos. Aquí se definen políticas, responsabilidades y herramientas de apoyo. En esta fase, algunos de los recursos son: el mapeo de procesos para identificar riesgos y formalizar controles, estructuración del banco de datos del historial de pérdidas, diseño de indicadores de eficiencia y rentabilidad.

3. Monitoreo 

En esta etapa se hace un seguimiento del nivel de riesgo actual y de la efectividad de las funciones de administración de riesgos. Tras identificar todas las amenazas, es importante interpretar su impacto en los procesos del negocio.

En esta fase, la gestión se descentraliza en todas las áreas de la organización y se afianza la cultura de riesgo.

4. Cuantificación

Esta es una de las etapas donde la organización obtiene una mayor madurez porque la institución ya cuenta con una mejor comprensión de cuál es su situación frente a la exposición al riesgo operativo.

5. Integración

En la quinta etapa, la empresa ya habrá orientado el proceso de desarrollo de la gestión del riesgo operativo, según los lineamientos de los organismos de control y cumple con los requisitos establecidos por el Comité de Basilea.

Los tipos de riesgo operativo

1. Fraude interno

El robo, los sobornos o el incumplimiento de las regulaciones por parte de empleados directos o terceros, vinculados contractualmente con su empresa, son riesgos producidos por fraudes internos.

2. Fraude externo

Pueden presentarse a través de robos, falsificaciones o ataques informáticos de personas externas a la entidad.

3. Fallas tecnológicas

Debe identificar los riesgos de fallas en los sistemas de cómputo, en el hardware o en el software de la empresa.

4. Ejecución y gestión de procesos

La captura de transacciones, el monitoreo, el reporte y la documentación de clientes, así como la gestión de cuentas deben ser evaluados para reconocer posibles riesgos operacionales.

5. Relaciones laborales y seguridad en el puesto de trabajo

Toda actuación que infrinja la legislación laboral y la seguridad en el trabajo puede generar un riesgo patente.

6. Daños a activos materiales

incendios, terremotos y actos terroristas pueden poner en riesgo los activos físicos de su entidad.

7. Clientes, productos y prácticas empresariales

Actos como competencia desleal, perjuicios a los clientes e información engañosa sobre los productos, puede implicar un riesgo de incumplimiento involuntario y negligente.

 

Nueva llamada a la acción

Prueba gratis Pirani

Y conoce cómo podemos ayudarte a hacer de la gestión de riesgos en tu organización un proceso más simple y eficiente.

 

 

Crea tu cuenta gratis