P. 1
Riesgo Operativo

Riesgo Operativo

|Views: 77|Likes:
Publicado porFreddy Javier

More info:

Published by: Freddy Javier on Sep 14, 2012
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

11/27/2013

pdf

text

original

RIESGO OPERATIVO

Por Francisco Alonso Rodríguez-Wyler Ortiz*

CONTENIDO TEMÁTICO: I. Introducción II. Antecedentes Definición Gestión del Riesgo Operativo Generalidades del Acuerdo de Basilea II III. Elementos principales para la administración de riesgos Fuentes del Riesgo Operativo Identificación de riesgos Mapeo de riesgos Preguntas claves en el análisis de riesgos IV. Conclusiones Eventos de pérdida por ausencia de una administración de riesgos V. Bibliografía 14 16 6 7 8 10 3 3 5 2

Las advertencias y recomendaciones de buenas prácticas pueden resultar insuficientes e ineficaces. mediana o grande. riesgos que pueden ser minimizados o incluso eliminados si se realizan con las medidas de control adecuadas. aún cuando en muchas ocasiones se asume la conveniencia de aplicarlas. el riesgo operativo no sólo se puede erradicar. tiene ciertos riesgos para las personas que la llevan a cabo. sea chica. no siempre son tenidas en cuenta de forma voluntaria por los individuos que las llevan a cabo. el entorno ha cambiado. Toda actividad realizada en una empresa. se puede decir que se está incurriendo en un riesgo operativo que puede originar pérdidas a la entidad. Para que una organización cumpla objetivos y metas. se debe de aprender a vivir con él. que aunque no siempre eliminen los riesgos. algunos de sus elementos y sus repercusiones al no prestarle la atención que merece debido a su importancia. que sirven como una guía para determinar si se está teniendo o no. La implicación para todos es muy simple. sin embargo. así como un aumento de costos y gastos: Incumplimiento de normas y procedimientos para la ejecución de un proceso Falta de documentación de procesos Falta de confidencialidad de la información Fallas en los procedimientos por errores humanos A diferencia de otras prácticas o riesgos. así como también. . voluntariamente o no. lo que no se puede o no se debe de hacer si se quiere garantizar la supervivencia de las entidades. Cuando se presenta alguna de las siguientes situaciones. sí los minimizan y sobre todo concientizan de su existencia. es necesario que los sistemas y subsistemas que la componen funcionen en armonía y de manera eficiente. asumiendo que es imposible evitar sus consecuencias. Por lo tanto el presente trabajo tiene la intención de mostrar un breve panorama de lo que es el riesgo operativo. las empresas deben de utilizar sus procesos para estar mejor preparadas y ser más transparentes. así mismo. su aplicación no es exclusiva de una empresa de la magnitud de las antes mencionadas. por lo que. la supervivencia de las organizaciones en un mundo globalizado y altamente competitivo nos obliga a mejorar nuestro desempeño y la buena gestión del riesgo se ha tornado en una decisiva ventaja competitiva. Pero aunque sea un mal necesario. es por ello que las autoridades toman finalmente la decisión de sustituir dichas recomendaciones por disposiciones de carácter oficial. INTRODUCCION ¿Por qué es importante hablar del riesgo operativo? Aunque para muchos este tema va ligado con los escándalos financieros de Enron y WorldCom. sino que es intrínseco al propio negocio.I. se abordan cuestionamientos de gran utilidad. un control adecuado en la organización. es ignorar sus efectos o menospreciar su importancia.

El hecho de dar una definición es vital. medición. Medición. Este riesgo se asocia con errores humanos. 4. evaluación. en su artículo “Riesgo operativo: esquema de gestión y modelado del riesgo”. a continuación se menciona la emitida por el Comité de Basilea. monitoreo y control. monitoreo y mitigación del riesgo operativo. porque supone un gran avance hacia el consenso y la homogeneización de términos. De acuerdo con José Antonio Núñez y José Juan Chávez. en este sentido. se infiere que el riesgo operativo puede definirse como sigue: “El riesgo de pérdida como resultado de procesos. un punto de partida básico y un marco de referencia a la hora de tratar este riesgo. Las estrategias y políticas deberían ser implementadas por la Función de Gestión de Riesgo. Basilea II ha venido a aportar.Es complejo. La implementación del sistema de gestión de riesgo operativo debería considerar todas las etapas de gestión de riesgo. incluyendo la identificación. Existen diversas definiciones que se han dado al concepto de riesgo operativo. gente y sistemas de eventos externos”. La Función de Gestión de Riesgo puede incluir sub-unidades especializadas por riesgos específicos. tamaño. responsable de identificar y gestionar todos los riesgos. las entidades deben contar con una estrategia que establezca principios para la identificación. es importante que se haga mención del concepto de riesgo. Evaluación. procesos y plataformas tecnológicas. el Gestión del riesgo operativo: Identificación.Es inherente a toda actividad en que intervengan personas. de acuerdo con su objeto social. 3. Las entidades deberían desarrollar su propio enfoque y metodología para la gestión de riesgos. como consecuencia de la gran diversidad de causas que lo originan. pero entre ellas. .Es antiguo y está presente en cualquier clase de negocio. medición. Monitoreo y Control Como principio general.Las grandes pérdidas que ha ocasionado en varias empresas.II. muestran desconocimiento que de él se tiene y la falta de herramientas para gestionarlo. gente y sistemas inadecuados o fallas en procesos internos. del riesgo operativo se pueden destacar las siguientes características: 1. control. la cual señala que: “El riesgo operativo es el que proviene de fallas de información en los sistemas o en los controles internos que pueden provocar una pérdida inesperada. fallas en los procesos e inadecuados sistemas y controles” Por lo que se acaba de exponer. 2. el cual es: “El impacto y probabilidad de que un evento no deseado pueda afectar el logro de metas y objetivos”. ANTECEDENTES Definición: Antes de llegar al concepto del riesgo operativo como tal. naturaleza y complejidad de operaciones y otras características.

tamaño y complejidad de las operaciones. la entidad debería decidir si usa procedimientos apropiados de control y/o mitigación de los riesgos o asumirlos. . El reporte puede incluir información interna y externa. áreas particulares o conjuntos de actividades o portafolios. Para aquellos riesgos que no pueden ser controlados.Identificación La identificación efectiva del riesgo considera tanto los factores internos como externos que podrían afectar adversamente el logro de los objetivos institucionales. Control Después de identificar y medir los riesgos a los que está expuesta. la entidad debería decidir si los acepta. proveedores. Evaluación Para todos los riesgos operativos materiales que han sido identificados. como clientes. al personal y a partes externas interesadas. así como información financiera y operativa. reduce el nivel de actividad del negocio expuesta o se retira de esta actividad completamente. Todos los riesgos materiales deberían ser evaluados por probabilidad de ocurrencia e impacto a la medición de la vulnerabilidad de la entidad a este riesgo. como los seguros. Cuando sea posible. usando técnicas cualitativas basadas en análisis expertos. técnicas cuantitativas que estiman el potencial de pérdidas operativas a un nivel de confianza dado o una combinación de ambos. a la alta gerencia. Medición Las entidades deberían estimar el riesgo inherente en todas sus actividades. productos. Un monitoreo regular de las actividades puede ofrecer la ventaja de detectar rápidamente y corregir deficiencias en las políticas. Todas las deficiencias o desviaciones deben ser reportadas a la gerencia. o ambos. así como la aparición de nuevos riesgos. Reporte Debe existir un reporte regular de la información pertinente a la dirección. reguladores y accionistas. la entidad debería concentrarse en la calidad de la estructura de control interno. Los riesgos pueden ser aceptados. Monitoreo Un proceso efectivo de monitoreo es esencial para una gestión adecuada del riesgo operativo. procesos y procedimientos de gestión del riesgo operativo. la entidad debería usar controles internos apropiados u otras estrategias de mitigación. El alcance de las actividades de monitoreo incluye todos los aspectos de la gestión del riesgo operativo en un ciclo de vida consistente con la naturaleza de sus riesgos y el volumen. El monitoreo regular también fomenta la identificación temprana de cambios materiales en el perfil de riesgo. El control del riesgo operativo puede ser conducido como una parte integral de las operaciones o a través de evaluaciones periódicas separadas. mitigados o evitados de una manera consistente con la estrategia y el apetito al riesgo institucional.

destaca la existencia de varios elementos que resultan significativos para un esquema efectivo de administración del riesgo operativo para bancos de cualquier tamaño y alcance. como fueron los casos de Banco Barings y Daiwa Bank en 1995. y es a la vez. Se desprende de dicho documento que el enfoque exacto elegido por cada entidad para la administración del riesgo operativo dependerá de una variedad de factores. podríamos decir que Basilea I se basaba en un enfoque de tipo contable y Basilea II propicia un manejo dinámico de los riegos. introduciendo la medición del riesgo operativo. La gestión del riesgo operativo es ahora una práctica constante y tan importante como la gestión del riesgo crediticio o del mercado. Dichos elementos están relacionados . incentivándose la utilización de la aplicación del método más avanzado. Si bien es cierto que el riesgo operativo existe en todas la funciones de las entidades financieras. Es de destacar que Basilea II también incorpora la necesidad de contar con buenas prácticas de gestión y supervisión de riesgo operativo. académicos e instituciones financieras. básico y avanzado). lo novedoso del nuevo acuerdo es considerar la gestión del riesgo operativo como una práctica integral comparable a la gestión de otros riesgos (como riesgo crediticio o de mercado) y exigir capital regulatorio para afrontarlos. incluyendo su tamaño y sofisticación y la naturaleza y complejidad de sus actividades. sólo recientemente se ha desarrollado un interés formal por parte de los reguladores.Generalidades del Acuerdo de Basilea II En 1988. es decir. que se incluyó el riesgo de mercado. Adicionalmente el nuevo acuerdo propone el tratamiento explícito de otros tipos de riesgos presentes en la industria financiera. El centro de dicho documento era el riesgo crediticio de los bancos. Basilea I. en donde se establecen una serie de principios para una gestión y supervisión eficaz del riesgo operativo. de modo que los bancos y autoridades supervisoras puedan utilizarlos al momento de evaluar políticas y prácticas destinadas a gestionar este tipo de riesgos. entre otros aspectos. cuando se intenta trabajar de una manera más integral acerca de la solvencia y seguridad del sector financiero. otorgando a los bancos para la medición del riesgo de crédito tres métodos alternativos (estandarizado. sino pretende incentivar un estándar de mayor calidad en la gestión y control de riesgos y capital. en el apartado “El camino hacia Basilea II” de la publicación “Riesgo Operacional”. consultores. Como lo menciona Zenón Biagosch. Sin embargo. el comité de supervisión bancaria de Basilea estableció el primer acuerdo de capital. Una de las innovaciones en este acuerdo es la inclusión de requerimientos de capital por riesgo operativo. basado en calificaciones internas. Cabe recordar que tradicionalmente la gestión del riesgo operativo ha sido y es una parte importante del esfuerzo realizado por los bancos para mitigar el fraude y mantener la integridad de los controles internos. Es en 2004 con el acuerdo de Basilea II. y su gestión ha sido importante para disminuir el fraude y desarrollar controles internos. desde el primer instante de su vida. como precondición para aplicar metodologías de medición. un reflejo de un clima de atención por parte de los reguladores a los sistemas de control interno y a la cultura de control. Lo anterior es debido básicamente a las enormes pérdidas de las entidades financieras registradas por errores operacionales en el mercado. Sin embargo. No fue sino hasta 1996. El acuerdo de Basilea II no sólo es la búsqueda de cumplimiento de reglas por parte de las entidades financieras. Sumimoto Bank en 1996 y Allied Irish Bank en 2000. Para ello el Comité de Basilea publicó en febrero de 2003 el documento “Sound Practices for the Management and Supervision of Operational Risk”. a los cuales se les pedía prever un mínimo de capital en caso de insolvencia de los deudores.

podrán considerarse entre otros. la evaluación inadecuada de contratos o de la complejidad de productos. lavado de dinero. no sólo se trata de mediciones estadísticas de distintas distribuciones de pérdidas. la ejecución. terremotos. los riesgos asociados a las fallas en los modelos utilizados. sino que siempre ha sido una parte importante del esfuerzo de los bancos por evitar el fraude. análisis de escenarios y sistemas de control interno”. vandalismo. etc. se refiere a “incluir el uso de datos internos. fallos en la administración de las garantías. sino también del estudio de posibles escenarios. organización de actividades laborales. los errores en la información contable. etc. los errores en las transacciones. los cuales están relacionados con: el fraude interno y externo. son cada vez más las instituciones convencidas de que los programas de gestión integral del riesgo operativo proporcionan seguridad y solidez. entrega y procesamiento (errores en la introducción de datos. mantener la integridad de los controles internos. o con políticas y procedimientos inadecuados o inexistentes dentro de la empresa. A su vez el Comité identifica los principales eventos de riesgo operativo. datos externos relevantes. problemas en las telecomunicaciones. las relaciones laborales y seguridad en el puesto de trabajo (ejemplo: solicitud de indemnizaciones por parte de los empleados. acusaciones de discriminación. es decir. infracción de las normas laborales de seguridad e higiene.). y herramientas eficaces para la transmisión interna de información y planes de contingencia. una sólida cultura de gestión del riesgo operativo y de control interno.). interrupción en la prestación de servicios. productos y negocios (abusos de confianza. incendios. que puedan tener como consecuencia el desarrollo deficiente de las operaciones y servicios o la suspensión de los mismos. los daños a activos materiales (terrorismo.). III. etc. el cual también organiza por prioridades las actividades para la mejora. etc. En la gestión del riesgo operativo es necesaria la inclusión del juicio del experto. liquidación o pago. En tal sentido. abuso de información confidencial sobre el cliente.). Fuentes del Riesgo Operativo: Procesos Internos Posibilidad de pérdidas financieras relacionadas con el diseño inapropiado de los procesos críticos.). debido a las diversas fuentes y situaciones en las que se encuentra este riesgo. etc. de análisis con datos históricos. reducir los errores en las operaciones. las alteraciones en la actividad y fallos en los sistemas (fallos del hardware o del software. En concreto. etc. las prácticas con los clientes. inundaciones. responsabilidades generales. la inadecuada compensación. Indudablemente todo ello no es algo nuevo. documentación jurídica incompleta. operaciones y servicios.con: estrategias claramente definidas y su seguimiento por parte del órgano directivo y de la alta gerencia. negociación fraudulenta en las cuentas del banco. En este sentido. Sí resulta relativamente nueva la consideración de la gestión del Riesgo Operativo como una práctica integral comparable a la gestión del Riesgo del crédito o Riesgo de Mercado. ELEMENTOS PRINCIPALES PARA LA ADMINISTRACION DE RIESGOS Cuando se analiza el riesgo operativo. la insuficiencia de recursos para el volumen .

falta de especificaciones claras en los términos de contratación del personal. que pueden afectar el desarrollo de las operaciones y servicios que realiza la institución al atentar contra la confidencialidad. apropiación de información sensible. inadecuada inversión en tecnología y fallas para alinear la TI con los objetivos de negocio. la inadecuada documentación de transacciones. la recuperación inadecuada de desastres y/o la continuidad de los planes de negocio. Tecnología de Información Posibilidad de pérdidas financieras derivadas del uso de inadecuados sistemas de información y tecnologías relacionadas. se basan en el juicio experto. las fallas en los servicios públicos.de operaciones. atentados y actos delictivos. inapropiadas relaciones interpersonales y ambiente laboral desfavorable. existen dos grupos de riesgos operativos que se pueden conocer en una compañía: Cuantitativos: incidencias y eventos de pérdida. con entre otros aspectos. lavado de dinero. regulaciones o guías. disponibilidad y oportunidad de la información. error humano. se basan en información histórica. robo. Las instituciones pueden considerar de incluir en ésta área. así como el riesgo político o del país. se podrán tomar en consideración los riesgos que implican las contingencias legales. afectando a los procesos internos. la ocurrencia de desastres naturales. sabotaje. Personas Posibilidad de pérdidas financieras asociadas con negligencia. a errores en el desarrollo e implementación de dichos sistemas y su compatibilidad e integración. Eventos Externos Posibilidad de pérdidas derivadas de la ocurrencia de eventos ajenos al control de la empresa que pueden alterar el desarrollo de sus actividades. Identificación de Riesgos: Como se menciona en la presentación de “Riesgo Operativo” de Elvia Ojeda. entrenamiento y capacitación inadecuada y/o prácticas débiles de contratación. problemas de calidad de información. Otros riesgos incluyen la falla o interrupción de los sistemas. Otros riesgos asociados con eventos externos incluyen: el rápido paso de cambio en las leyes. Cualitativos: riesgos potenciales. los riesgos derivados a fallas en la seguridad y continuidad operativa de los sistemas TI. entre otros factores. personas y tecnología de información. fraude. así como las fallas en servicios críticos provistos por terceros. Entre otros factores. así como el incumplimiento de plazos y presupuestos planeados. paralizaciones. Se puede también incluir pérdidas asociadas con insuficiencia de personal o personal con destrezas inadecuadas. . integridad.

generando conflicto de interés o riesgos operativos que pueden ser evitados fácilmente. Registros históricos sobre incidencias y eventos de pérdidas sobre los procesos operativos son una fuente básica de la información requerida por el análisis de riesgos. Matrices de riesgos y controles: Permiten identificar los tipos de riesgo y el perfil inicial de riesgo de un área. además de encaminar el sistema de control interno a las nuevas tendencias marcadas por el Nuevo Acuerdo de Capitales de Basilea disponiendo de una herramienta de gestión eficiente de los riesgos y controles. Para ello es necesario que todos los niveles directivos de la entidad estén involucrados en la gestión de los riesgos y controles de las áreas de negocio de su dependencia y en fomentar una cultura de control interno que ayude a la entidad a conseguir sus objetivos de rentabilidad y rendimiento y a prevenir la pérdida de recursos.La metodología primaria para la identificación de riesgos es la observación de las pérdidas y cada vez que se materializa un riesgo se toman medidas para prevenir su posible recurrencia. El proceso de identificación y análisis del riesgo y los controles debe ser continuo y es un componente básico para que un sistema de control interno sea efectivo. aporta otras ventajas a la organización entre las que destacan las siguientes: . Se evita que una misma persona. Mapeo de Riesgos: De acuerdo a lo externado en el libro “La gestión del riesgo operacional. Procesos operativos: Permiten al administrador de riesgos conocer cómo se realizan las actividades por área. lo que permite al administrador de riesgos entender la naturaleza y el campo de acción de las operaciones de la organización. se hace mención que: el objetivo del mapeo de riesgos es hacer una revisión y diagnóstico del sistema de control interno existente en la entidad mediante la identificación de los principales riesgos a los que están expuestas las actividades realizadas. los controles existentes para mitigarlos y las oportunidades de mejora en el proceso de gestión del riesgo. Los siguientes puntos son herramientas importantes para la identificación de riesgos: Organigramas funcionales: Revela las divisiones de la organización y sus relaciones. Diagramas de flujo de procedimientos: Pueden alertar al administrador de riesgos de aspectos inusuales en las operaciones de la empresa y permite descubrir las contingencias que pueden interrumpir sus procesos. El administrador de riesgos se ve forzado a familiarizarse con los aspectos técnicos de las operaciones de la empresa. De la teoría a su aplicación” por parte de José Pedro Arranz y Manuel Rodríguez. aquí es donde se cuantifica el riesgo de una manera cualitativa. unidad o área realice funciones que no respetan la adecuada segregación de labores. La realización del mapa de riesgos.

Contribuye a aumentar la cantidad y calidad de información fiable sobre la situación de control de los riesgos existentes. Este enfoque sólo será posible en el caso de que la entidad tenga un adecuado inventario de . Un sólido sistema de identificación y gestión de riesgos puede contribuir también a reducir costos en los seguros contratados para cubrir determinados eventos. Evaluar los riesgos: una vez identificados todos los riesgos potenciales deberemos establecer una valoración que nos permita priorizar según su relevancia. construcción y mantenimiento de mejores sistemas de controles efectivos. la correspondiente a la clasificación por áreas de la entidad objeto de análisis y la correspondiente a la tipología de riesgos presentes en las actividades desarrolladas por la entidad. motivando a las unidades de negocio al diseño.Potencia la cultura de riesgos y controles en la organización. Esta valoración se realiza en términos de importancia del potencial y la frecuencia con la que pueda llegar a producirse. en dos vertientes. para posteriormente ir agregando los resultados obtenidos. promoviendo en los empleados la comprensión de los riesgos del negocio y su responsabilidad en el proceso de mitigación a través del control interno. Una vez puesto de manifiesto los objetivos del mapa de riesgos es necesario establecer los elementos que son necesarios para su desarrollo que. Gestionar los riesgos: una vez identificados y evaluados se pueden establecer las prioridades necesarias y establecer planes con las medidas correctoras que se consideren adecuadas para los riesgos que se determinen como más relevantes Además de establecer los elementos anteriores es necesario definir el enfoque con el que se va a abordar el trabajo. con el objeto de conocer la verdadera exposición de la entidad a los mismos. Identificar los riesgos a los que están expuestas las distintas actividades: en el sentido más amplio posible. Contribuye a dar solidez al sistema de control interno y con ello a minimizar la desconfianza sobre auditorías a posteriori. considerando no sólo la experiencia histórica de aquellos eventos que se hayan materializado en un problema económico. requeridas por los sistemas de control. Al respecto podemos apuntar que existen dos posibilidades con distinto grado de sofisticación y dificultad así como con distinto grado de necesidad de información: 1. son los que se comentan a continuación: Establecer el ámbito en el que se va a desarrollar el análisis: es el primer paso del proceso. Promueve una continua reflexión crítica. en términos generales. Permite poner el enfoque en los riesgos más significativos para la entidad y a disminuir los costos en revisiones recurrentes. identificar el alcance del trabajo que se va a realizar. sino cualquier posibilidad de sufrir alguno. Dicha evaluación debe ir acompañada de un análisis y valoración de los controles establecidos para mitigar los riesgos.El enfoque que parte del análisis en profundidad de actividades y procesos al mayor nivel de detalle posible.

mediante entrevistas con responsables de áreas y/o cuestionarios de autoevaluación que nos permite conocer los principales riesgos asociados a las actividades que desarrollan y los controles que hay implantados para mitigarlos. trimestrales o anuales de provisiones por ingresos o gastos debidamente soportados? 5. 2. ¿Se hace una revisión mensual y anual del soporte físico del listado de las cuentas contables que conforman los estados financieros? Es importante tener un soporte de cómo se integran los saldos de cada una de estas cuentas. ¿Se cuenta con algún listado de procedimientos a seguir durante cada cierre contable? en caso afirmativo.El enfoque que parte de un nivel más general. ¿se siguen y se documentan debidamente? 3. 4. que permita tener identificadas cada una de las tareas y controles que se realizan en un proceso. incluso con técnicas de flujos. mismos que deben de estar debidamente firmados por las personas que prepararon y autorizaron cada movimiento.procesos perfectamente definidos. ¿Los registros por provisiones son inmediatamente reversados en cuanto los cargos son realizados? 6. 2. ¿Las cuentas claves de los estados financieros son revisadas de manera analítica. ¿Se tiene registrada la antigüedad de cualquier asunto en conciliación? Su resolución no debe de superar tres meses. ¿Las conciliaciones bancarias son preparadas dentro de los 30 días siguientes al mes inmediato anterior? Es importante que estas conciliaciones sean revisadas por una persona distinta a las que tienen el control de las cuentas de banco. Preguntas clave en el análisis de riesgos: Los siguientes cuestionamientos deben de ser aplicados en las diferentes áreas de la entidad. ya sea comparando contra el presupuesto o contra resultados de ejercicios anteriores? Efectivo: 1. ¿Las cuentas bancarias son conciliadas directamente de los estados de cuenta emitidos por los bancos contra los registros contables? 2. . para poder conocer en qué situación se encuentra y que grado de control y riesgo se tiene. Contabilidad: 1. ¿Se realizan registros mensuales.

¿Los cheques cancelados son documentados y resguardados para futuras referencias? 12. ¿Las responsabilidades de la caja chica son asignadas únicamente a una sola persona? Se sugiere que esta persona sea de absoluta confianza. ¿Las órdenes de compra de clientes con saldos vencidos son bloqueadas hasta que el saldo pendiente sea liquidado o la gerencia haya aprobado la venta? . semanal o mensual del consecutivo de los cheques en blanco? Esta revisión debe de ser hecha por una persona independiente al manejo de la chequera. ¿La caja chica opera bajo un fondo fijo que es reembolsado vía cheque? Es recomendable no tener un fondo muy alto. no todas deben de tener la habilidad de poder firmar cheques. ¿Los cheques recibidos son inmediatamente endosados? 5. ¿Se da un seguimiento a nivel gerencial de aquellas cuentas por cobrar con saldos significativos que no han sido recuperadas? 3. 10. ¿Se tienen plenamente identificados a las personas que tienen acceso a las cuentas bancarias? 7. ¿El efectivo recibido es depositado en el banco diariamente o al menos una vez por semana para evitar la acumulación de cantidades significativas? 4. ¿La chequera se tiene guardada en un lugar seguro con un acceso limitado? 8. ¿Los balances de las cuentas por cobrar son actuales y recuperables? 2. ¿Se realizan de manera sorpresiva arqueos a la persona que maneja la caja chica al menos una vez cada trimestre? Cuentas por cobrar: 1.3. ¿Los registros de los saldos de las cuentas por cobrar coinciden con los montos expresados en los estados financieros? 4. Es importante establecer un monto mínimo por el cual sea necesario el obtener dos firmas de autorización para la emisión de cheques. 11. 13. ¿La caja chica se encuentra físicamente resguardada en un lugar seguro? 16. ¿La actividad de banca electrónica es revisada y controlada diariamente? 6. ¿Cada salida de caja chica se hace a través de un recibo firmado por la persona que recibe el dinero y se detalla el motivo? 15. 9. ¿Se hace alguna revisión diaria. ¿Los límites de crédito y los términos de pago son establecidos y revisados por la gerencia anualmente? 5. 14. ¿Se cuenta con un listado del personal que tiene acceso a la chequera? En caso de ser varias personas.

¿Se concilian las salidas del inventario con las órdenes de compra de los clientes antes de enviar el producto? 4. ¿El inventario se encuentra físicamente seguro y sólo personal autorizado tiene acceso? 2. ¿Las cuentas por cobrar al personal están actualizadas y son de empleados activos? Inventarios: 1. ¿Las personas que realizan el conteo físico del inventario no son las encargadas del control del inventario? 6. ¿Se realiza alguna revisión de material obsoleto o dañado y se da de baja de acuerdo a instrucciones de la gerencia? 7. ¿Los contratos con bodegas independientes cuentan con seguros? Compras y Cuentas por Pagar: 1. ¿Las órdenes de compra de clientes que exceden su límite de crédito son bloqueadas hasta que la gerencia haya aprobado la venta? 7. ¿Las facturas emitidas llevan una secuencia numérica? 8. ¿Los reportes de inventarios son conciliados de manera mensual con los reportes de ventas y la facturación? 13. ¿Se cuenta con algún procedimiento para asegurarse que lo que se ha entregado a un cliente le ha sido facturado? 9. ¿Los registros de los saldos de las cuentas por pagar coinciden con los montos expresados en los estados financieros? . ¿Los pagos recibidos son registrados en las cuentas por cobrar de cada cliente por una persona diferente a la que recibe el dinero? 10. ¿Los registros de los controles de inventarios coinciden con los montos expresados en los estados financieros? 8.6. ¿El corte de facturación por un periodo determinado es apropiado y coincide con el corte del inventario? 12. ¿Se cuenta con algún procedimiento para asegurarse que las salidas de inventario son registradas? 5. ¿Se hace un estudio por parte de la gerencia para determinar los montos que se deben de considerar incobrables y que se deben de cancelar? 11. ¿Se realiza al menos una vez por mes un conteo físico del inventario y se compara con lo que se tiene en los registros? 3.

¿Los cálculos de nómina son revisados y autorizados por una persona distinta a la que la preparo? 3. ¿se revisa constantemente? 2. ¿Se cuenta con una lista de proveedores por los que no se pide cotización por determinadas situaciones aprobadas por la dirección? 5. ¿La nómina es preparada por una persona ajena a las funciones de Recursos Humanos? 2.000 pesos sea cotizada. ¿Las facturas recibidas se cotejan con lo indicado en la orden de compra o de servicio para asegurarse que solamente se pague lo realmente ordenado y recibido? 9.2. ¿Se realizan las provisiones pertinentes de nómina durante y al final del año? 4. ¿Las facturas y/o documentos para pago son marcados como pagados o cancelados para evitar duplicidad de pagos? 11. ¿Para tener acceso a los sistemas se llena algún formato firmado por el empleado. ¿Se cuentan con los seguros correspondientes a los contratos que así lo requieran? 8. ¿Cualquier movimiento de nómina es procesado con la debida autorización? Sistemas: 1. 3. ¿Se cuenta con una lista de los accesos que tienen los empleados a los sistemas con los que cuenta la entidad? En caso de que si. su supervisor y la persona encargada de los sistemas? 3. ¿Se cuenta con una lista vigente de contratos que tiene la empresa? 6. ¿Se remueven los accesos a los sistemas inmediatamente que un empleado renuncia o es despedido? . ¿El resultado del análisis de las cotizaciones presentadas y del proveedor seleccionado está documentado? 4. ¿Las facturas son aprobadas para pago por alguien con suficiente autoridad para hacerlo? 10. ¿Se exigen de dos a tres cotizaciones para compras arriba de montos previamente establecidos? Se sugiere que toda compra arriba de $5. ¿Se realizan confirmaciones con los proveedores para asegurarse que los saldos de las cuentas por pagar son correctos? Nómina: 1. ¿Se tiene la certeza de que los contratos son completados y firmados (por las personas adecuadas) antes de ejecutar lo establecido en el contrato? 7.

por parte un tercero. apropiarse de bienes indebidamente o incumplir regulaciones. ¿El cuarto del servidor tiene acceso restringido? 6. ¿Se tiene contemplado el desconectar a un usuario de un sistema cuando lleve 30 minutos de inactividad? IV. una parte interna a la empresa. sobre higiene o seguridad en el trabajo. CONCLUSIONES En los últimos años se ha visto cómo la preocupación por el riesgo operacional. Fraude Externo Pérdidas derivadas de algún tipo de actuación encaminada a defraudar. Esta categoría incluye eventos como: fraudes. ha ido creciendo progresivamente. entre otros. que hasta hace poco tiempo era considerado un riesgo secundario. entre otros. las empresas se han visto cada vez más interesadas en la medición de este riesgo. ¿La información contenida en los sistemas es respaldada diariamente y mantenida fuera de las instalaciones de la entidad? 5. o sobre casos relacionados con discriminación en el trabajo. el desarrollo de nuevas técnicas y la creciente globalización) y por otra parte.4. falsificación. ataques informáticos. apropiarse de bienes indebidamente o soslayar la legislación. sobre el pago de reclamaciones por daños personales. no se consideran los eventos asociados con discriminación en el trabajo. el Comité de Basilea ha identificado los siguientes tipos de eventos que pueden resultar en pérdidas sustanciales por riesgo operativo: Fraude Interno Pérdidas derivadas de algún tipo de actuación encaminada a defraudar. leyes o políticas empresariales en las que se encuentra implicada. modelos racionales de control y supervisión que garanticen su confianza y su seguridad. robos (con participación de personal de la empresa). ¿Se tiene algún control en cuanto a la instalación de programas no autorizados en el equipo de cómputo proporcionado al personal? 7. motivadas por la necesidad de políticas más amplias que generen regulación eficaz. . los analistas perciben que la exposición a este riesgo se ha intensificado a medida que las empresas han ido evolucionando (factores decisivos en esta tendencia han sido la mejora de las tecnologías. Por una parte. Eventos de pérdida por ausencia de una administración de riesgos: En coordinación con el sector financiero. Relaciones laborales y seguridad en el puesto de trabajo Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales. sobornos. ¿Se tiene establecido el cambio de contraseñas de acceso a los sistemas al menos cada tres meses? 8. al menos. Esta categoría incluye eventos como: robos.

o de la naturaleza o diseño de un producto. productos y prácticas empresariales Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación profesional frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación). Daños a activos materiales Pérdidas derivadas de daños o perjuicios a activos físicos como consecuencia de desastres naturales u otros eventos de fuentes externas. monitoreo y reporte. gestión de cuentas de clientes. contrapartes de negocio. entrada y documentación de clientes. así como de relaciones con contrapartes comerciales y proveedores. Interrupción del negocio y fallos en los sistemas Pérdidas derivadas de incidencias o interrupciones en el negocio y de fallas en los sistemas. entrega y gestión de procesos Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos. Con base en todo lo anterior. el modelo del riesgo operativo es un ciclo en el que se implementan mejoras que responden a los cambios en el entorno y en la organización y los principales puntos de acción que se deben de seguir son los siguientes: Identificar el riesgo Medir (cuantitativa y cualitativamente) Analizar Prevenir Mitigar. Esta categoría incluye eventos asociados con: captura de transacciones. cambiar Comunicar Monitorear . transferir. Ejecución. ejecución y mantenimiento. vendedores y proveedores. como conclusión.Clientes.

sin que éste necesariamente refleje la opinión del Colegio sobre el tema tratado. Análisis Económico No. “Riesgo operativo: esquema de gestión y modelado del riesgo”. MARIA ANGELES. De la teoría a su aplicación”.8. Argos PRICEWATERHOUSECOOPERS ARGENTINA. ELVIA. se reserva la reproducción total o parcial de este material. “La gestión del riesgo operacional. Universidad Iberoamericana El Colegio de Contadores Públicos de México. OJEDA APREZA. 58. BIBLIOGRAFIA CHAVEZ GUDIÑO JOSE/NUÑEZ MORA JOSE. “Riesgo Operativo XXIII Congreso AMA”. Cuando se exprese la opinión del Colegio se especificará claramente. ANA. “El tratamiento del Riesgo Operacional en Basilea II”. Editorial Limusa. Edición Especial * Francisco Alonso Rodríguez-Wyler Ortiz. . CEO Responsabilidad Social Corporativa.V. Estabilidad Financiera No. vol. Banco de España. Hot Topics. FERNANDEZ-LAVIADA. “Riesgo Operacional”. XXV. NIETO GIMENEZ-MONTESINOS. El contenido de los artículos firmados es responsabilidad del autor. Año 3.

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->