Embed Size (px)
Citation preview
RIESGO OPERATIVO
Por Francisco Alonso Rodríguez-Wyler Ortiz*
CONTENIDO TEMÁTICO:
I. Introducción 2
II. Antecedentes
Definición 3
Gestión del Riesgo Operativo 3
Generalidades del Acuerdo de Basilea II 5
III. Elementos principales para la administración de riesgos
Fuentes del Riesgo Operativo 6
Identificación de riesgos 7
Mapeo de riesgos 8
Preguntas claves en el análisis de riesgos 10
IV. Conclusiones
Eventos de pérdida por ausencia de una administración de riesgos 14
V. Bibliografía 16
I. INTRODUCCION
¿Por qué es importante hablar del riesgo operativo? Aunque para muchos este tema va ligado con
los escándalos financieros de Enron y WorldCom, su aplicación no es exclusiva de una empresa
de la magnitud de las antes mencionadas. Toda actividad realizada en una empresa, sea chica,
mediana o grande, tiene ciertos riesgos para las personas que la llevan a cabo, riesgos que
pueden ser minimizados o incluso eliminados si se realizan con las medidas de control adecuadas,
sin embargo, aún cuando en muchas ocasiones se asume la conveniencia de aplicarlas, no
siempre son tenidas en cuenta de forma voluntaria por los individuos que las llevan a cabo.
Las advertencias y recomendaciones de buenas prácticas pueden resultar insuficientes e
ineficaces, es por ello que las autoridades toman finalmente la decisión de sustituir dichas
recomendaciones por disposiciones de carácter oficial, que aunque no siempre eliminen los
riesgos, sí los minimizan y sobre todo concientizan de su existencia. La implicación para todos es
muy simple, el entorno ha cambiado, la supervivencia de las organizaciones en un mundo
globalizado y altamente competitivo nos obliga a mejorar nuestro desempeño y la buena gestión
del riesgo se ha tornado en una decisiva ventaja competitiva; así mismo, las empresas deben de
utilizar sus procesos para estar mejor preparadas y ser más transparentes.
Para que una organización cumpla objetivos y metas, es necesario que los sistemas y subsistemas
que la componen funcionen en armonía y de manera eficiente. Cuando se presenta alguna de las
siguientes situaciones, se puede decir que se está incurriendo en un riesgo operativo que puede
originar pérdidas a la entidad, así como un aumento de costos y gastos:
- Incumplimiento de normas y procedimientos para la ejecución de un proceso
- Falta de documentación de procesos
- Falta de confidencialidad de la información
- Fallas en los procedimientos por errores humanos
A diferencia de otras prácticas o riesgos, el riesgo operativo no sólo se puede erradicar, sino que
es intrínseco al propio negocio, por lo que, voluntariamente o no, se debe de aprender a vivir con
él. Pero aunque sea un mal necesario, lo que no se puede o no se debe de hacer si se quiere
garantizar la supervivencia de las entidades, es ignorar sus efectos o menospreciar su importancia,
asumiendo que es imposible evitar sus consecuencias. Por lo tanto el presente trabajo tiene la
intención de mostrar un breve panorama de lo que es el riesgo operativo, algunos de sus
elementos y sus repercusiones al no prestarle la atención que merece debido a su importancia, así
como también, se abordan cuestionamientos de gran utilidad, que sirven como una guía para
determinar si se está teniendo o no, un control adecuado en la organización.
II. ANTECEDENTES
Definición:
Antes de llegar al concepto del riesgo operativo como tal, es importante que se haga mención del
concepto de riesgo, el cual es:
“El impacto y probabilidad de que un evento no deseado pueda afectar el logro de metas y
objetivos”.
Existen diversas definiciones que se han dado al concepto de riesgo operativo, pero entre ellas, a
continuación se menciona la emitida por el Comité de Basilea, la cual señala que:
“El riesgo operativo es el que proviene de fallas de información en los sistemas o en los controles
internos que pueden provocar una pérdida inesperada. Este riesgo se asocia con errores
humanos, fallas en los procesos e inadecuados sistemas y controles”
Por lo que se acaba de exponer, se infiere que el riesgo operativo puede definirse como sigue:
“El riesgo de pérdida como resultado de procesos, gente y sistemas inadecuados o fallas en
procesos internos, gente y sistemas de eventos externos”.
El hecho de dar una definición es vital, porque supone un gran avance hacia el consenso y la
homogeneización de términos. Basilea II ha venido a aportar, en este sentido, un punto de partida
básico y un marco de referencia a la hora de tratar este riesgo.
De acuerdo con José Antonio Núñez y José Juan Chávez, en su artículo “Riesgo operativo: esquema de gestión y modelado del riesgo”, del riesgo operativo se pueden destacar las siguientes características:
1- Es antiguo y está presente en cualquier clase de negocio.
2- Es inherente a toda actividad en que intervengan personas, procesos y plataformas tecnológicas.
3- Es complejo, como consecuencia de la gran diversidad de causas que lo originan.
4- Las grandes pérdidas que ha ocasionado en varias empresas, muestran el
desconocimiento que de él se tiene y la falta de herramientas para gestionarlo.
Gestión del riesgo operativo: Identificación, Evaluación, Medición, Monitoreo y Control Como principio general, las entidades deben contar con una estrategia que establezca principios para la identificación, medición, control, monitoreo y mitigación del riesgo operativo. Las estrategias y políticas deberían ser implementadas por la Función de Gestión de Riesgo, responsable de identificar y gestionar todos los riesgos. La Función de Gestión de Riesgo puede incluir sub-unidades especializadas por riesgos específicos. Las entidades deberían desarrollar su propio enfoque y metodología para la gestión de riesgos, de acuerdo con su objeto social, tamaño, naturaleza y complejidad de operaciones y otras características. La implementación del sistema de gestión de riesgo operativo debería considerar todas las etapas de gestión de riesgo, incluyendo la identificación, evaluación, medición, monitoreo y control.
Identificación
La identificación efectiva del riesgo considera tanto los factores internos como externos que podrían afectar adversamente el logro de los objetivos institucionales.
Evaluación
Para todos los riesgos operativos materiales que han sido identificados, la entidad debería decidir si usa procedimientos apropiados de control y/o mitigación de los riesgos o asumirlos. Para aquellos riesgos que no pueden ser controlados, la entidad debería decidir si los acepta, reduce el nivel de actividad del negocio expuesta o se retira de esta actividad completamente. Todos los riesgos materiales deberían ser evaluados por probabilidad de ocurrencia e impacto a la medición de la vulnerabilidad de la entidad a este riesgo. Los riesgos pueden ser aceptados, mitigados o evitados de una manera consistente con la estrategia y el apetito al riesgo institucional. Cuando sea posible, la entidad debería usar controles internos apropiados u otras estrategias de mitigación, como los seguros.
Medición
Las entidades deberían estimar el riesgo inherente en todas sus actividades, productos, áreas particulares o conjuntos de actividades o portafolios, usando técnicas cualitativas basadas en análisis expertos, técnicas cuantitativas que estiman el potencial de pérdidas operativas a un nivel de confianza dado o una combinación de ambos.
Monitoreo
Un proceso efectivo de monitoreo es esencial para una gestión adecuada del riesgo operativo. Un monitoreo regular de las actividades puede ofrecer la ventaja de detectar rápidamente y corregir deficiencias en las políticas, procesos y procedimientos de gestión del riesgo operativo. El monitoreo regular también fomenta la identificación temprana de cambios materiales en el perfil de riesgo, así como la aparición de nuevos riesgos. El alcance de las actividades de monitoreo incluye todos los aspectos de la gestión del riesgo operativo en un ciclo de vida consistente con la naturaleza de sus riesgos y el volumen, tamaño y complejidad de las operaciones.
Control
Después de identificar y medir los riesgos a los que está expuesta, la entidad debería concentrarse en la calidad de la estructura de control interno. El control del riesgo operativo puede ser conducido como una parte integral de las operaciones o a través de evaluaciones periódicas separadas, o ambos. Todas las deficiencias o desviaciones deben ser reportadas a la gerencia.
Reporte
Debe existir un reporte regular de la información pertinente a la dirección, a la alta gerencia, al personal y a partes externas interesadas, como clientes, proveedores, reguladores y accionistas. El reporte puede incluir información interna y externa, así como información financiera y operativa.
Generalidades del Acuerdo de Basilea II En 1988, el comité de supervisión bancaria de Basilea estableció el primer acuerdo de capital, es decir, Basilea I. El centro de dicho documento era el riesgo crediticio de los bancos, a los cuales se les pedía prever un mínimo de capital en caso de insolvencia de los deudores. No fue sino hasta 1996, que se incluyó el riesgo de mercado. Es en 2004 con el acuerdo de Basilea II, cuando se intenta trabajar de una manera más integral acerca de la solvencia y seguridad del sector financiero. Una de las innovaciones en este acuerdo es la inclusión de requerimientos de capital por riesgo operativo. Si bien es cierto que el riesgo operativo existe en todas la funciones de las entidades financieras, desde el primer instante de su vida, y su gestión ha sido importante para disminuir el fraude y desarrollar controles internos, sólo recientemente se ha desarrollado un interés formal por parte de los reguladores, consultores, académicos e instituciones financieras. Lo anterior es debido básicamente a las enormes pérdidas de las entidades financieras registradas por errores operacionales en el mercado, como fueron los casos de Banco Barings y Daiwa Bank en 1995, Sumimoto Bank en 1996 y Allied Irish Bank en 2000.
El acuerdo de Basilea II no sólo es la búsqueda de cumplimiento de reglas por parte de las
entidades financieras, sino pretende incentivar un estándar de mayor calidad en la gestión y control
de riesgos y capital, y es a la vez, un reflejo de un clima de atención por parte de los reguladores a
los sistemas de control interno y a la cultura de control. La gestión del riesgo operativo es ahora
una práctica constante y tan importante como la gestión del riesgo crediticio o del mercado.
Como lo menciona Zenón Biagosch, en el apartado “El camino hacia Basilea II” de la publicación
“Riesgo Operacional”, podríamos decir que Basilea I se basaba en un enfoque de tipo contable y
Basilea II propicia un manejo dinámico de los riegos, otorgando a los bancos para la medición del
riesgo de crédito tres métodos alternativos (estandarizado, basado en calificaciones internas;
básico y avanzado), incentivándose la utilización de la aplicación del método más avanzado.
Adicionalmente el nuevo acuerdo propone el tratamiento explícito de otros tipos de riesgos
presentes en la industria financiera, introduciendo la medición del riesgo operativo. Cabe recordar
que tradicionalmente la gestión del riesgo operativo ha sido y es una parte importante del esfuerzo
realizado por los bancos para mitigar el fraude y mantener la integridad de los controles internos,
entre otros aspectos. Sin embargo, lo novedoso del nuevo acuerdo es considerar la gestión del
riesgo operativo como una práctica integral comparable a la gestión de otros riesgos (como riesgo
crediticio o de mercado) y exigir capital regulatorio para afrontarlos.
Es de destacar que Basilea II también incorpora la necesidad de contar con buenas prácticas de
gestión y supervisión de riesgo operativo, como precondición para aplicar metodologías de
medición. Para ello el Comité de Basilea publicó en febrero de 2003 el documento “Sound
Practices for the Management and Supervision of Operational Risk”, en donde se establecen una
serie de principios para una gestión y supervisión eficaz del riesgo operativo, de modo que los
bancos y autoridades supervisoras puedan utilizarlos al momento de evaluar políticas y prácticas
destinadas a gestionar este tipo de riesgos.
Se desprende de dicho documento que el enfoque exacto elegido por cada entidad para la
administración del riesgo operativo dependerá de una variedad de factores, incluyendo su tamaño
y sofisticación y la naturaleza y complejidad de sus actividades. Sin embargo, destaca la existencia
de varios elementos que resultan significativos para un esquema efectivo de administración del
riesgo operativo para bancos de cualquier tamaño y alcance. Dichos elementos están relacionados
con: estrategias claramente definidas y su seguimiento por parte del órgano directivo y de la alta
gerencia; una sólida cultura de gestión del riesgo operativo y de control interno; y herramientas
eficaces para la transmisión interna de información y planes de contingencia.
A su vez el Comité identifica los principales eventos de riesgo operativo, los cuales están
relacionados con: el fraude interno y externo; las relaciones laborales y seguridad en el puesto de
trabajo (ejemplo: solicitud de indemnizaciones por parte de los empleados, infracción de las
normas laborales de seguridad e higiene, organización de actividades laborales, acusaciones de
discriminación, responsabilidades generales, etc.); las prácticas con los clientes, productos y
negocios (abusos de confianza, abuso de información confidencial sobre el cliente, negociación
fraudulenta en las cuentas del banco, lavado de dinero, etc.); los daños a activos materiales
(terrorismo, vandalismo, terremotos, incendios, inundaciones, etc.); las alteraciones en la actividad
y fallos en los sistemas (fallos del hardware o del software, problemas en las telecomunicaciones,
interrupción en la prestación de servicios, etc.); la ejecución, entrega y procesamiento (errores en
la introducción de datos, fallos en la administración de las garantías, documentación jurídica
incompleta, etc.).
Indudablemente todo ello no es algo nuevo, sino que siempre ha sido una parte importante del
esfuerzo de los bancos por evitar el fraude, mantener la integridad de los controles internos, reducir
los errores en las operaciones, etc. Sí resulta relativamente nueva la consideración de la gestión
del Riesgo Operativo como una práctica integral comparable a la gestión del Riesgo del crédito o
Riesgo de Mercado. En este sentido, son cada vez más las instituciones convencidas de que los
programas de gestión integral del riesgo operativo proporcionan seguridad y solidez.
III. ELEMENTOS PRINCIPALES PARA LA ADMINISTRACION DE RIESGOS
Cuando se analiza el riesgo operativo, no sólo se trata de mediciones estadísticas de distintas distribuciones de pérdidas, es decir, de análisis con datos históricos, sino también del estudio de posibles escenarios. En concreto, se refiere a “incluir el uso de datos internos, datos externos relevantes, análisis de escenarios y sistemas de control interno”. En la gestión del riesgo operativo es necesaria la inclusión del juicio del experto, el cual también organiza por prioridades las actividades para la mejora, debido a las diversas fuentes y situaciones en las que se encuentra este riesgo.
Fuentes del Riesgo Operativo:
Procesos Internos
Posibilidad de pérdidas financieras relacionadas con el diseño inapropiado de los procesos
críticos, o con políticas y procedimientos inadecuados o inexistentes dentro de la empresa, que
puedan tener como consecuencia el desarrollo deficiente de las operaciones y servicios o la
suspensión de los mismos.
En tal sentido, podrán considerarse entre otros, los riesgos asociados a las fallas en los
modelos utilizados, los errores en las transacciones, la evaluación inadecuada de contratos o
de la complejidad de productos, operaciones y servicios, los errores en la información contable,
la inadecuada compensación, liquidación o pago, la insuficiencia de recursos para el volumen
de operaciones, la inadecuada documentación de transacciones, así como el incumplimiento
de plazos y presupuestos planeados.
Personas
Posibilidad de pérdidas financieras asociadas con negligencia, error humano, sabotaje, fraude,
robo, paralizaciones, apropiación de información sensible, lavado de dinero, inapropiadas
relaciones interpersonales y ambiente laboral desfavorable, falta de especificaciones claras en
los términos de contratación del personal, entre otros factores. Se puede también incluir
pérdidas asociadas con insuficiencia de personal o personal con destrezas inadecuadas,
entrenamiento y capacitación inadecuada y/o prácticas débiles de contratación.
Tecnología de Información
Posibilidad de pérdidas financieras derivadas del uso de inadecuados sistemas de información
y tecnologías relacionadas, que pueden afectar el desarrollo de las operaciones y servicios que
realiza la institución al atentar contra la confidencialidad, integridad, disponibilidad y
oportunidad de la información.
Las instituciones pueden considerar de incluir en ésta área, los riesgos derivados a fallas en la
seguridad y continuidad operativa de los sistemas TI, a errores en el desarrollo e
implementación de dichos sistemas y su compatibilidad e integración, problemas de calidad de
información, inadecuada inversión en tecnología y fallas para alinear la TI con los objetivos de
negocio, con entre otros aspectos. Otros riesgos incluyen la falla o interrupción de los
sistemas, la recuperación inadecuada de desastres y/o la continuidad de los planes de
negocio.
Eventos Externos
Posibilidad de pérdidas derivadas de la ocurrencia de eventos ajenos al control de la empresa
que pueden alterar el desarrollo de sus actividades, afectando a los procesos internos,
personas y tecnología de información. Entre otros factores, se podrán tomar en consideración
los riesgos que implican las contingencias legales, las fallas en los servicios públicos, la
ocurrencia de desastres naturales, atentados y actos delictivos, así como las fallas en servicios
críticos provistos por terceros. Otros riesgos asociados con eventos externos incluyen: el
rápido paso de cambio en las leyes, regulaciones o guías, así como el riesgo político o del
país.
Identificación de Riesgos:
Como se menciona en la presentación de “Riesgo Operativo” de Elvia Ojeda, existen dos grupos
de riesgos operativos que se pueden conocer en una compañía:
- Cuantitativos: incidencias y eventos de pérdida, se basan en información histórica.
- Cualitativos: riesgos potenciales, se basan en el juicio experto.
La metodología primaria para la identificación de riesgos es la observación de las pérdidas y cada
vez que se materializa un riesgo se toman medidas para prevenir su posible recurrencia. Registros
históricos sobre incidencias y eventos de pérdidas sobre los procesos operativos son una fuente
básica de la información requerida por el análisis de riesgos.
Los siguientes puntos son herramientas importantes para la identificación de riesgos:
Organigramas funcionales:
Revela las divisiones de la organización y sus relaciones, lo que permite al administrador
de riesgos entender la naturaleza y el campo de acción de las operaciones de la
organización. Se evita que una misma persona, unidad o área realice funciones que no
respetan la adecuada segregación de labores, generando conflicto de interés o riesgos
operativos que pueden ser evitados fácilmente.
Procesos operativos:
Permiten al administrador de riesgos conocer cómo se realizan las actividades por área.
Diagramas de flujo de procedimientos:
Pueden alertar al administrador de riesgos de aspectos inusuales en las operaciones de la
empresa y permite descubrir las contingencias que pueden interrumpir sus procesos. El
administrador de riesgos se ve forzado a familiarizarse con los aspectos técnicos de las
operaciones de la empresa.
Matrices de riesgos y controles:
Permiten identificar los tipos de riesgo y el perfil inicial de riesgo de un área, aquí es donde
se cuantifica el riesgo de una manera cualitativa.
Mapeo de Riesgos:
De acuerdo a lo externado en el libro “La gestión del riesgo operacional. De la teoría a su
aplicación” por parte de José Pedro Arranz y Manuel Rodríguez, se hace mención que: el objetivo
del mapeo de riesgos es hacer una revisión y diagnóstico del sistema de control interno existente
en la entidad mediante la identificación de los principales riesgos a los que están expuestas las
actividades realizadas, los controles existentes para mitigarlos y las oportunidades de mejora en el
proceso de gestión del riesgo. El proceso de identificación y análisis del riesgo y los controles debe
ser continuo y es un componente básico para que un sistema de control interno sea efectivo. Para
ello es necesario que todos los niveles directivos de la entidad estén involucrados en la gestión de
los riesgos y controles de las áreas de negocio de su dependencia y en fomentar una cultura de
control interno que ayude a la entidad a conseguir sus objetivos de rentabilidad y rendimiento y a
prevenir la pérdida de recursos.
La realización del mapa de riesgos, además de encaminar el sistema de control interno a las
nuevas tendencias marcadas por el Nuevo Acuerdo de Capitales de Basilea disponiendo de una
herramienta de gestión eficiente de los riesgos y controles, aporta otras ventajas a la organización
entre las que destacan las siguientes:
Potencia la cultura de riesgos y controles en la organización, promoviendo en los
empleados la comprensión de los riesgos del negocio y su responsabilidad en el proceso
de mitigación a través del control interno.
Promueve una continua reflexión crítica, motivando a las unidades de negocio al diseño,
construcción y mantenimiento de mejores sistemas de controles efectivos.
Contribuye a aumentar la cantidad y calidad de información fiable sobre la situación de
control de los riesgos existentes.
Contribuye a dar solidez al sistema de control interno y con ello a minimizar la
desconfianza sobre auditorías a posteriori, requeridas por los sistemas de control.
Permite poner el enfoque en los riesgos más significativos para la entidad y a disminuir los
costos en revisiones recurrentes.
Un sólido sistema de identificación y gestión de riesgos puede contribuir también a reducir
costos en los seguros contratados para cubrir determinados eventos.
Una vez puesto de manifiesto los objetivos del mapa de riesgos es necesario establecer los
elementos que son necesarios para su desarrollo que, en términos generales, son los que se
comentan a continuación:
Establecer el ámbito en el que se va a desarrollar el análisis: es el primer paso del proceso,
identificar el alcance del trabajo que se va a realizar, en dos vertientes, la correspondiente
a la clasificación por áreas de la entidad objeto de análisis y la correspondiente a la
tipología de riesgos presentes en las actividades desarrolladas por la entidad.
Identificar los riesgos a los que están expuestas las distintas actividades: en el sentido más
amplio posible, considerando no sólo la experiencia histórica de aquellos eventos que se
hayan materializado en un problema económico, sino cualquier posibilidad de sufrir alguno.
Evaluar los riesgos: una vez identificados todos los riesgos potenciales deberemos
establecer una valoración que nos permita priorizar según su relevancia. Esta valoración
se realiza en términos de importancia del potencial y la frecuencia con la que pueda llegar
a producirse. Dicha evaluación debe ir acompañada de un análisis y valoración de los
controles establecidos para mitigar los riesgos, con el objeto de conocer la verdadera
exposición de la entidad a los mismos.
Gestionar los riesgos: una vez identificados y evaluados se pueden establecer las
prioridades necesarias y establecer planes con las medidas correctoras que se consideren
adecuadas para los riesgos que se determinen como más relevantes
Además de establecer los elementos anteriores es necesario definir el enfoque con el que se va a
abordar el trabajo. Al respecto podemos apuntar que existen dos posibilidades con distinto grado
de sofisticación y dificultad así como con distinto grado de necesidad de información:
1- El enfoque que parte del análisis en profundidad de actividades y procesos al mayor nivel
de detalle posible, para posteriormente ir agregando los resultados obtenidos. Este
enfoque sólo será posible en el caso de que la entidad tenga un adecuado inventario de
procesos perfectamente definidos, incluso con técnicas de flujos, que permita tener
identificadas cada una de las tareas y controles que se realizan en un proceso.
2- El enfoque que parte de un nivel más general; mediante entrevistas con responsables de
áreas y/o cuestionarios de autoevaluación que nos permite conocer los principales riesgos
asociados a las actividades que desarrollan y los controles que hay implantados para
mitigarlos.
Preguntas clave en el análisis de riesgos:
Los siguientes cuestionamientos deben de ser aplicados en las diferentes áreas de la entidad, para
poder conocer en qué situación se encuentra y que grado de control y riesgo se tiene.
Contabilidad:
1. ¿Se hace una revisión mensual y anual del soporte físico del listado de las cuentas
contables que conforman los estados financieros? Es importante tener un soporte de cómo
se integran los saldos de cada una de estas cuentas, mismos que deben de estar
debidamente firmados por las personas que prepararon y autorizaron cada movimiento.
2. ¿Se cuenta con algún listado de procedimientos a seguir durante cada cierre contable? en
caso afirmativo, ¿se siguen y se documentan debidamente?
3. ¿Se tiene registrada la antigüedad de cualquier asunto en conciliación? Su resolución no
debe de superar tres meses.
4. ¿Se realizan registros mensuales, trimestrales o anuales de provisiones por ingresos o
gastos debidamente soportados?
5. ¿Los registros por provisiones son inmediatamente reversados en cuanto los cargos son
realizados?
6. ¿Las cuentas claves de los estados financieros son revisadas de manera analítica, ya sea
comparando contra el presupuesto o contra resultados de ejercicios anteriores?
Efectivo:
1. ¿Las cuentas bancarias son conciliadas directamente de los estados de cuenta emitidos
por los bancos contra los registros contables?
2. ¿Las conciliaciones bancarias son preparadas dentro de los 30 días siguientes al mes
inmediato anterior? Es importante que estas conciliaciones sean revisadas por una
persona distinta a las que tienen el control de las cuentas de banco.
3. ¿El efectivo recibido es depositado en el banco diariamente o al menos una vez por
semana para evitar la acumulación de cantidades significativas?
4. ¿Los cheques recibidos son inmediatamente endosados?
5. ¿La actividad de banca electrónica es revisada y controlada diariamente?
6. ¿Se tienen plenamente identificados a las personas que tienen acceso a las cuentas
bancarias?
7. ¿La chequera se tiene guardada en un lugar seguro con un acceso limitado?
8. ¿Se cuenta con un listado del personal que tiene acceso a la chequera? En caso de ser
varias personas, no todas deben de tener la habilidad de poder firmar cheques.
9. ¿Se hace alguna revisión diaria, semanal o mensual del consecutivo de los cheques en
blanco? Esta revisión debe de ser hecha por una persona independiente al manejo de la
chequera.
10. Es importante establecer un monto mínimo por el cual sea necesario el obtener dos firmas
de autorización para la emisión de cheques.
11. ¿Los cheques cancelados son documentados y resguardados para futuras referencias?
12. ¿Las responsabilidades de la caja chica son asignadas únicamente a una sola persona?
Se sugiere que esta persona sea de absoluta confianza.
13. ¿La caja chica opera bajo un fondo fijo que es reembolsado vía cheque? Es recomendable
no tener un fondo muy alto.
14. ¿Cada salida de caja chica se hace a través de un recibo firmado por la persona que
recibe el dinero y se detalla el motivo?
15. ¿La caja chica se encuentra físicamente resguardada en un lugar seguro?
16. ¿Se realizan de manera sorpresiva arqueos a la persona que maneja la caja chica al
menos una vez cada trimestre?
Cuentas por cobrar:
1. ¿Los balances de las cuentas por cobrar son actuales y recuperables?
2. ¿Se da un seguimiento a nivel gerencial de aquellas cuentas por cobrar con saldos
significativos que no han sido recuperadas?
3. ¿Los registros de los saldos de las cuentas por cobrar coinciden con los montos
expresados en los estados financieros?
4. ¿Los límites de crédito y los términos de pago son establecidos y revisados por la gerencia
anualmente?
5. ¿Las órdenes de compra de clientes con saldos vencidos son bloqueadas hasta que el
saldo pendiente sea liquidado o la gerencia haya aprobado la venta?
6. ¿Las órdenes de compra de clientes que exceden su límite de crédito son bloqueadas
hasta que la gerencia haya aprobado la venta?
7. ¿Las facturas emitidas llevan una secuencia numérica?
8. ¿Se cuenta con algún procedimiento para asegurarse que lo que se ha entregado a un
cliente le ha sido facturado?
9. ¿Los pagos recibidos son registrados en las cuentas por cobrar de cada cliente por una
persona diferente a la que recibe el dinero?
10. ¿Se hace un estudio por parte de la gerencia para determinar los montos que se deben de
considerar incobrables y que se deben de cancelar?
11. ¿El corte de facturación por un periodo determinado es apropiado y coincide con el corte
del inventario?
12. ¿Los reportes de inventarios son conciliados de manera mensual con los reportes de
ventas y la facturación?
13. ¿Las cuentas por cobrar al personal están actualizadas y son de empleados activos?
Inventarios:
1. ¿El inventario se encuentra físicamente seguro y sólo personal autorizado tiene acceso?
2. ¿Se realiza al menos una vez por mes un conteo físico del inventario y se compara con lo
que se tiene en los registros?
3. ¿Se concilian las salidas del inventario con las órdenes de compra de los clientes antes de
enviar el producto?
4. ¿Se cuenta con algún procedimiento para asegurarse que las salidas de inventario son
registradas?
5. ¿Las personas que realizan el conteo físico del inventario no son las encargadas del
control del inventario?
6. ¿Se realiza alguna revisión de material obsoleto o dañado y se da de baja de acuerdo a
instrucciones de la gerencia?
7. ¿Los registros de los controles de inventarios coinciden con los montos expresados en los
estados financieros?
8. ¿Los contratos con bodegas independientes cuentan con seguros?
Compras y Cuentas por Pagar:
1. ¿Los registros de los saldos de las cuentas por pagar coinciden con los montos
expresados en los estados financieros?
2. ¿Se exigen de dos a tres cotizaciones para compras arriba de montos previamente
establecidos? Se sugiere que toda compra arriba de $5,000 pesos sea cotizada.
3. ¿El resultado del análisis de las cotizaciones presentadas y del proveedor seleccionado
está documentado?
4. ¿Se cuenta con una lista de proveedores por los que no se pide cotización por
determinadas situaciones aprobadas por la dirección?
5. ¿Se cuenta con una lista vigente de contratos que tiene la empresa?
6. ¿Se tiene la certeza de que los contratos son completados y firmados (por las personas
adecuadas) antes de ejecutar lo establecido en el contrato?
7. ¿Se cuentan con los seguros correspondientes a los contratos que así lo requieran?
8. ¿Las facturas recibidas se cotejan con lo indicado en la orden de compra o de servicio para
asegurarse que solamente se pague lo realmente ordenado y recibido?
9. ¿Las facturas son aprobadas para pago por alguien con suficiente autoridad para hacerlo?
10. ¿Las facturas y/o documentos para pago son marcados como pagados o cancelados para
evitar duplicidad de pagos?
11. ¿Se realizan confirmaciones con los proveedores para asegurarse que los saldos de las
cuentas por pagar son correctos?
Nómina:
1. ¿La nómina es preparada por una persona ajena a las funciones de Recursos Humanos?
2. ¿Los cálculos de nómina son revisados y autorizados por una persona distinta a la que la
preparo?
3. ¿Se realizan las provisiones pertinentes de nómina durante y al final del año?
4. ¿Cualquier movimiento de nómina es procesado con la debida autorización?
Sistemas:
1. ¿Se cuenta con una lista de los accesos que tienen los empleados a los sistemas con los
que cuenta la entidad? En caso de que si, ¿se revisa constantemente?
2. ¿Para tener acceso a los sistemas se llena algún formato firmado por el empleado, su
supervisor y la persona encargada de los sistemas?
3. ¿Se remueven los accesos a los sistemas inmediatamente que un empleado renuncia o es
despedido?
4. ¿La información contenida en los sistemas es respaldada diariamente y mantenida fuera
de las instalaciones de la entidad?
5. ¿El cuarto del servidor tiene acceso restringido?
6. ¿Se tiene algún control en cuanto a la instalación de programas no autorizados en el
equipo de cómputo proporcionado al personal?
7. ¿Se tiene establecido el cambio de contraseñas de acceso a los sistemas al menos cada
tres meses?
8. ¿Se tiene contemplado el desconectar a un usuario de un sistema cuando lleve 30 minutos
de inactividad?
IV. CONCLUSIONES
En los últimos años se ha visto cómo la preocupación por el riesgo operacional, que hasta hace
poco tiempo era considerado un riesgo secundario, ha ido creciendo progresivamente. Por una
parte, los analistas perciben que la exposición a este riesgo se ha intensificado a medida que las
empresas han ido evolucionando (factores decisivos en esta tendencia han sido la mejora de las
tecnologías, el desarrollo de nuevas técnicas y la creciente globalización) y por otra parte, las
empresas se han visto cada vez más interesadas en la medición de este riesgo; motivadas por la
necesidad de políticas más amplias que generen regulación eficaz, modelos racionales de control y
supervisión que garanticen su confianza y su seguridad.
Eventos de pérdida por ausencia de una administración de riesgos:
En coordinación con el sector financiero, el Comité de Basilea ha identificado los siguientes tipos
de eventos que pueden resultar en pérdidas sustanciales por riesgo operativo:
Fraude Interno
Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes
indebidamente o incumplir regulaciones, leyes o políticas empresariales en las que se
encuentra implicada, al menos, una parte interna a la empresa; no se consideran los eventos
asociados con discriminación en el trabajo. Esta categoría incluye eventos como: fraudes,
robos (con participación de personal de la empresa), sobornos, entre otros.
Fraude Externo
Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes
indebidamente o soslayar la legislación, por parte un tercero. Esta categoría incluye eventos
como: robos, falsificación, ataques informáticos, entre otros.
Relaciones laborales y seguridad en el puesto de trabajo
Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales,
sobre higiene o seguridad en el trabajo, sobre el pago de reclamaciones por daños personales,
o sobre casos relacionados con discriminación en el trabajo.
Clientes, productos y prácticas empresariales
Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación profesional
frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza
o diseño de un producto.
Daños a activos materiales
Pérdidas derivadas de daños o perjuicios a activos físicos como consecuencia de desastres
naturales u otros eventos de fuentes externas.
Interrupción del negocio y fallos en los sistemas
Pérdidas derivadas de incidencias o interrupciones en el negocio y de fallas en los sistemas.
Ejecución, entrega y gestión de procesos
Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de
procesos, así como de relaciones con contrapartes comerciales y proveedores. Esta categoría
incluye eventos asociados con: captura de transacciones, ejecución y mantenimiento,
monitoreo y reporte, entrada y documentación de clientes, gestión de cuentas de clientes,
contrapartes de negocio, vendedores y proveedores.
Con base en todo lo anterior, como conclusión, el modelo del riesgo operativo es un ciclo en el que
se implementan mejoras que responden a los cambios en el entorno y en la organización y los
principales puntos de acción que se deben de seguir son los siguientes:
Identificar el riesgo
Medir (cuantitativa y cualitativamente)
Analizar
Prevenir
Mitigar, transferir, cambiar
Comunicar
Monitorear
V. BIBLIOGRAFIA
CHAVEZ GUDIÑO JOSE/NUÑEZ MORA JOSE. “Riesgo operativo: esquema de gestión y
modelado del riesgo”. Análisis Económico No. 58, vol. XXV.
FERNANDEZ-LAVIADA, ANA. “La gestión del riesgo operacional. De la teoría a su aplicación”.
Editorial Limusa.
NIETO GIMENEZ-MONTESINOS, MARIA ANGELES. “El tratamiento del Riesgo Operacional en
Basilea II”. Estabilidad Financiera No.8, Banco de España.
OJEDA APREZA, ELVIA. “Riesgo Operativo XXIII Congreso AMA”. Argos
PRICEWATERHOUSECOOPERS ARGENTINA. “Riesgo Operacional”. CEO Responsabilidad
Social Corporativa, Hot Topics. Año 3. Edición Especial
* Francisco Alonso Rodríguez-Wyler Ortiz, Universidad Iberoamericana
El Colegio de Contadores Públicos de México, se reserva la reproducción total o parcial de este material.
El contenido de los artículos firmados es responsabilidad del autor, sin que éste necesariamente refleje la opinión del Colegio sobre el tema tratado. Cuando se exprese la opinión del Colegio se especificará claramente.
