Blog Gestión de Riesgos | Pirani

Gestión del riesgo operativo en cooperativas de ahorro y crédito

Escrito por Mónica María Jiménez | enero 31, 2024

Las entidades financieras populares y solidarias de Ecuador, como las cooperativas de ahorro y crédito, también están expuestas a un gran número de riesgos que es importante conocer y gestionar de manera adecuada y oportuna.

En el caso del riesgo operativo y legal, deben dar cumplimiento a lo dispuesto en la Norma de control para la administración del riesgo operativo y riesgo legal en las entidades del Sector Financiero Popular y Solidario, bajo el control de la Superintendencia de Economía Popular y Solidaria.

Esta norma fue emitida el 26 de noviembre del 2018 con el fin de minimizar las pérdidas que pueden derivarse de eventos ocasionados por fallas o insuficiencias en los procesos, personas, tecnologías de la información y eventos externos. Su más reciente actualización o reforma es del 7 de julio de 2022.

A continuación repasamos los puntos más importantes de este documento en lo relacionado al Sistema de Gestión de Riesgo Operativo, un riesgo específico al que están expuestas las entidades en la realización de sus actividades y operaciones. 

¿Qué es el Sistema de Gestión de Riesgo Operativo?

De acuerdo con el artículo 4.1. de la norma, para una adecuada gestión del riesgo operativo y legal, las entidades financieras populares y solidarias deben implementar un Sistema de Gestión de Riesgo Operativo, también conocido como SIGRO. 

En términos generales, se trata del conjunto de etapas y elementos como políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo, órganos de control, plataforma tecnológica, divulgación de información y capacitación para identificar, medir, priorizar, controlar / mitigar, monitorear y comunicar estos riesgos. 

 

Etapas clave del Sistema de Gestión de Riesgo Operativo

El SIGRO a implementar en las entidades debe incluir las siguientes etapas:

1. Identificar

Debe hacerse antes de la ejecución de cualquier proceso para determinar tanto los riesgos operativos que han ocurrido como los potenciales riesgos que pueden afectar el logro de los objetivos trazados. En esta primera etapa es importante tener un inventario de procedimientos y recolectar la información. 

2. Medir

Luego de identificar los diferentes riesgos operativos en cada uno de los procesos, hay que evaluar la posibilidad que estos tienen de materializarse (frecuencia) y definir el impacto que pueden generar si se llegan a presentar. 

El resultado de esta medición es el riesgo inherente, que consiste en el nivel de riesgo propio de una actividad concreta: no tiene ningún tipo de control.

3. Priorizar 

A través de la matriz de riesgos, que incluye la probabilidad y el impacto, se pueden establecer cuáles son los riesgos que representan una mayor amenaza para la entidad y así, poderles dar más prioridad o gestión de respuesta para prevenir su materialización.

4. Controlar / mitigar

En esta etapa se deben definir las medidas de control que sirvan para disminuir la probabilidad de ocurrencia y los impactos que puedan ocasionar los riesgos inherentes previamente identificados. 

Cuando se aplican los controles se obtiene el riesgo residual, es decir, el nivel de riesgo resultante tras implementarlos.

5. Monitorear

Esta etapa es fundamental y consiste en realizar un adecuado seguimiento a los riesgos para conocer su evolución y si es necesario actualizar o cambiar controles, hacerlo de forma oportuna.

6. Comunicar

Es importante que las entidades cuenten con una política clara sobre los eventos de riesgo operativo que deben informar interna o externamente y esta debe estar sujeta a revisiones periódicas, según las estrategias organizacionales. Igualmente, deben implementar un proceso para evaluar el impacto de la información a comunicar. 

En Pirani, a través de nuestro sistema de gestión de riesgos ORM podemos acompañar a las entidades financieras populares y solidarias de Ecuador, como las cooperativas de ahorro y crédito, las cajas centrales y las asociaciones mutualistas de ahorro y crédito para la vivienda, a ejecutar fácilmente cada una de estas seis etapas del Sistema de Gestión de Riesgo Operativo, SIGRO. 

Entre otras funcionalidades, ORM permite identificar procesos y riesgos, evaluarlos en su probabilidad e impacto, tener la matriz de riesgos para priorizarlos, definir los controles para su mitigación y hacer un seguimiento constante. Crea tu cuenta gratis en el plan Free y conoce cómo te ayudamos. 

Manual de Riesgo Operativo

Adicional a las anteriores etapas del SIGRO, como parte de la administración del riesgo operativo, las entidades, según su estructura, tamaño y complejidad de sus procesos, deben elaborar un manual que incluya, como mínimo, los siguientes elementos:

  • Las políticas, procesos y procedimientos para gestionar el riesgo operativo.
  • Los roles y responsabilidades de quienes participan en la gestión del riesgo operativo.
  • Las medidas necesarias para asegurar el cumplimiento de las políticas y objetivos de la gestión de riesgo operativo.
  • Las metodologías y procedimientos para identificar, medir (cuantificar), priorizar, controlar, mitigar, monitorear y comunicar los riesgos operativos y su nivel de aceptación.
  • Los procedimientos para priorizar y gestionar los eventos de riesgo.
  • Las estrategias de capacitación en temas de gestión de riesgo operativo.
  • Los mecanismos o sistemas de reporte de la gestión de riesgo operativo.
  • El proceso de análisis de riesgos para nuevas operaciones, productos o servicios. 
 

Eventos de riesgo operativo 

Los tipos de evento que pueden presentarse en la entidad son:

  • Fraude interno.
  • Fraude externo.
  • Prácticas laborales y seguridad del ambiente de trabajo.
  • Prácticas relacionadas con los clientes, los productos y el negocio.
  • Daños a los activos físicos.
  • Interrupción del negocio por fallas en las tecnologías de información.
  • Deficiencias en la ejecución de procesos, en el procesamiento de operaciones y en las relaciones con terceros y proveedores. 

Los eventos de riesgo pueden generar pérdidas que afecten el estado de resultados; pérdidas que no afecten el estado de resultados y potenciales pérdidas que no se hayan materializado todavía. 

Por lo anterior, es necesario que las entidades cuenten con una base de eventos de riesgos, esto quiere decir que deben registrar los eventos que identifiquen. Esta base debe estar centralizada, actualizada y contar con la información suficiente para ordenar, clasificar y disponer de información sobre fallas o insuficiencias, su impacto cuantitativo o cualitativo. 

Y el registro de eventos debe incluir, entre otros, datos como: fecha de ocurrencia del evento, área, proceso, descripción y valor. Este reporte se debe presentar al comité de administración integral de riesgos para la definición de medidas correctivas.

A través del sistema ORM de Pirani, las entidades también pueden reportar los eventos de riesgo y construir su base, así como definir los planes de acción para dar respuesta a estos. 

Para conocer más sobre cómo podemos apoyarte en la gestión de riesgos operativos, crea ahora tu cuenta gratis en el plan Free o también, puedes agendar una pequeña reunión con uno de nuestros expertos.