RIESGO OPERATIVO

Por Francisco Alonso Rodríguez-Wyler Ortiz*

CONTENIDO TEMÁTICO: I. Introducción II. Antecedentes Definición Gestión del Riesgo Operativo Generalidades del Acuerdo de Basilea II III. Elementos principales para la administración de riesgos Fuentes del Riesgo Operativo Identificación de riesgos Mapeo de riesgos Preguntas claves en el análisis de riesgos IV. Conclusiones Eventos de pérdida por ausencia de una administración de riesgos V. Bibliografía 14 16 6 7 8 10 3 3 5 2

por lo que. es necesario que los sistemas y subsistemas que la componen funcionen en armonía y de manera eficiente. un control adecuado en la organización. así como un aumento de costos y gastos: Incumplimiento de normas y procedimientos para la ejecución de un proceso Falta de documentación de procesos Falta de confidencialidad de la información Fallas en los procedimientos por errores humanos A diferencia de otras prácticas o riesgos. sino que es intrínseco al propio negocio. es por ello que las autoridades toman finalmente la decisión de sustituir dichas recomendaciones por disposiciones de carácter oficial. el riesgo operativo no sólo se puede erradicar. sea chica. su aplicación no es exclusiva de una empresa de la magnitud de las antes mencionadas. tiene ciertos riesgos para las personas que la llevan a cabo. asumiendo que es imposible evitar sus consecuencias. no siempre son tenidas en cuenta de forma voluntaria por los individuos que las llevan a cabo. es ignorar sus efectos o menospreciar su importancia. se puede decir que se está incurriendo en un riesgo operativo que puede originar pérdidas a la entidad. La implicación para todos es muy simple. se abordan cuestionamientos de gran utilidad. aún cuando en muchas ocasiones se asume la conveniencia de aplicarlas. INTRODUCCION ¿Por qué es importante hablar del riesgo operativo? Aunque para muchos este tema va ligado con los escándalos financieros de Enron y WorldCom. las empresas deben de utilizar sus procesos para estar mejor preparadas y ser más transparentes. sin embargo. se debe de aprender a vivir con él. voluntariamente o no. riesgos que pueden ser minimizados o incluso eliminados si se realizan con las medidas de control adecuadas. algunos de sus elementos y sus repercusiones al no prestarle la atención que merece debido a su importancia. así mismo. Por lo tanto el presente trabajo tiene la intención de mostrar un breve panorama de lo que es el riesgo operativo. Toda actividad realizada en una empresa. lo que no se puede o no se debe de hacer si se quiere garantizar la supervivencia de las entidades. sí los minimizan y sobre todo concientizan de su existencia. mediana o grande. así como también. Pero aunque sea un mal necesario. que sirven como una guía para determinar si se está teniendo o no. . la supervivencia de las organizaciones en un mundo globalizado y altamente competitivo nos obliga a mejorar nuestro desempeño y la buena gestión del riesgo se ha tornado en una decisiva ventaja competitiva. Cuando se presenta alguna de las siguientes situaciones. Para que una organización cumpla objetivos y metas.I. que aunque no siempre eliminen los riesgos. Las advertencias y recomendaciones de buenas prácticas pueden resultar insuficientes e ineficaces. el entorno ha cambiado.

fallas en los procesos e inadecuados sistemas y controles” Por lo que se acaba de exponer.Es antiguo y está presente en cualquier clase de negocio. el cual es: “El impacto y probabilidad de que un evento no deseado pueda afectar el logro de metas y objetivos”. Monitoreo y Control Como principio general. Evaluación.Las grandes pérdidas que ha ocasionado en varias empresas. medición. De acuerdo con José Antonio Núñez y José Juan Chávez. La implementación del sistema de gestión de riesgo operativo debería considerar todas las etapas de gestión de riesgo. en este sentido. naturaleza y complejidad de operaciones y otras características. pero entre ellas. tamaño.Es inherente a toda actividad en que intervengan personas. en su artículo “Riesgo operativo: esquema de gestión y modelado del riesgo”.Es complejo. medición. incluyendo la identificación. Las estrategias y políticas deberían ser implementadas por la Función de Gestión de Riesgo. la cual señala que: “El riesgo operativo es el que proviene de fallas de información en los sistemas o en los controles internos que pueden provocar una pérdida inesperada. El hecho de dar una definición es vital. muestran desconocimiento que de él se tiene y la falta de herramientas para gestionarlo. es importante que se haga mención del concepto de riesgo. a continuación se menciona la emitida por el Comité de Basilea. de acuerdo con su objeto social. monitoreo y control. Este riesgo se asocia con errores humanos. evaluación. 3. 4. monitoreo y mitigación del riesgo operativo. ANTECEDENTES Definición: Antes de llegar al concepto del riesgo operativo como tal. se infiere que el riesgo operativo puede definirse como sigue: “El riesgo de pérdida como resultado de procesos. un punto de partida básico y un marco de referencia a la hora de tratar este riesgo. La Función de Gestión de Riesgo puede incluir sub-unidades especializadas por riesgos específicos. Basilea II ha venido a aportar. gente y sistemas inadecuados o fallas en procesos internos. el Gestión del riesgo operativo: Identificación. 2. gente y sistemas de eventos externos”. Las entidades deberían desarrollar su propio enfoque y metodología para la gestión de riesgos. . responsable de identificar y gestionar todos los riesgos. Medición. del riesgo operativo se pueden destacar las siguientes características: 1. Existen diversas definiciones que se han dado al concepto de riesgo operativo. porque supone un gran avance hacia el consenso y la homogeneización de términos. como consecuencia de la gran diversidad de causas que lo originan. las entidades deben contar con una estrategia que establezca principios para la identificación. control. procesos y plataformas tecnológicas.II.

El control del riesgo operativo puede ser conducido como una parte integral de las operaciones o a través de evaluaciones periódicas separadas. Reporte Debe existir un reporte regular de la información pertinente a la dirección. Medición Las entidades deberían estimar el riesgo inherente en todas sus actividades. técnicas cuantitativas que estiman el potencial de pérdidas operativas a un nivel de confianza dado o una combinación de ambos. a la alta gerencia. El reporte puede incluir información interna y externa. procesos y procedimientos de gestión del riesgo operativo.Identificación La identificación efectiva del riesgo considera tanto los factores internos como externos que podrían afectar adversamente el logro de los objetivos institucionales. proveedores. Monitoreo Un proceso efectivo de monitoreo es esencial para una gestión adecuada del riesgo operativo. Control Después de identificar y medir los riesgos a los que está expuesta. Todas las deficiencias o desviaciones deben ser reportadas a la gerencia. la entidad debería concentrarse en la calidad de la estructura de control interno. El alcance de las actividades de monitoreo incluye todos los aspectos de la gestión del riesgo operativo en un ciclo de vida consistente con la naturaleza de sus riesgos y el volumen. como clientes. áreas particulares o conjuntos de actividades o portafolios. así como información financiera y operativa. Los riesgos pueden ser aceptados. productos. usando técnicas cualitativas basadas en análisis expertos. Cuando sea posible. Para aquellos riesgos que no pueden ser controlados. Evaluación Para todos los riesgos operativos materiales que han sido identificados. reduce el nivel de actividad del negocio expuesta o se retira de esta actividad completamente. Un monitoreo regular de las actividades puede ofrecer la ventaja de detectar rápidamente y corregir deficiencias en las políticas. . la entidad debería decidir si los acepta. como los seguros. al personal y a partes externas interesadas. Todos los riesgos materiales deberían ser evaluados por probabilidad de ocurrencia e impacto a la medición de la vulnerabilidad de la entidad a este riesgo. la entidad debería decidir si usa procedimientos apropiados de control y/o mitigación de los riesgos o asumirlos. así como la aparición de nuevos riesgos. la entidad debería usar controles internos apropiados u otras estrategias de mitigación. o ambos. mitigados o evitados de una manera consistente con la estrategia y el apetito al riesgo institucional. El monitoreo regular también fomenta la identificación temprana de cambios materiales en el perfil de riesgo. reguladores y accionistas. tamaño y complejidad de las operaciones.

Lo anterior es debido básicamente a las enormes pérdidas de las entidades financieras registradas por errores operacionales en el mercado. sólo recientemente se ha desarrollado un interés formal por parte de los reguladores. el comité de supervisión bancaria de Basilea estableció el primer acuerdo de capital. Se desprende de dicho documento que el enfoque exacto elegido por cada entidad para la administración del riesgo operativo dependerá de una variedad de factores. es decir. y su gestión ha sido importante para disminuir el fraude y desarrollar controles internos. Si bien es cierto que el riesgo operativo existe en todas la funciones de las entidades financieras. Sin embargo. académicos e instituciones financieras. No fue sino hasta 1996. incluyendo su tamaño y sofisticación y la naturaleza y complejidad de sus actividades. Es en 2004 con el acuerdo de Basilea II. podríamos decir que Basilea I se basaba en un enfoque de tipo contable y Basilea II propicia un manejo dinámico de los riegos. Como lo menciona Zenón Biagosch. Basilea I. Adicionalmente el nuevo acuerdo propone el tratamiento explícito de otros tipos de riesgos presentes en la industria financiera. Cabe recordar que tradicionalmente la gestión del riesgo operativo ha sido y es una parte importante del esfuerzo realizado por los bancos para mitigar el fraude y mantener la integridad de los controles internos. sino pretende incentivar un estándar de mayor calidad en la gestión y control de riesgos y capital. Para ello el Comité de Basilea publicó en febrero de 2003 el documento “Sound Practices for the Management and Supervision of Operational Risk”. Sin embargo. Una de las innovaciones en este acuerdo es la inclusión de requerimientos de capital por riesgo operativo. Es de destacar que Basilea II también incorpora la necesidad de contar con buenas prácticas de gestión y supervisión de riesgo operativo. de modo que los bancos y autoridades supervisoras puedan utilizarlos al momento de evaluar políticas y prácticas destinadas a gestionar este tipo de riesgos. El acuerdo de Basilea II no sólo es la búsqueda de cumplimiento de reglas por parte de las entidades financieras. lo novedoso del nuevo acuerdo es considerar la gestión del riesgo operativo como una práctica integral comparable a la gestión de otros riesgos (como riesgo crediticio o de mercado) y exigir capital regulatorio para afrontarlos. que se incluyó el riesgo de mercado. y es a la vez. desde el primer instante de su vida. introduciendo la medición del riesgo operativo. básico y avanzado). como fueron los casos de Banco Barings y Daiwa Bank en 1995. La gestión del riesgo operativo es ahora una práctica constante y tan importante como la gestión del riesgo crediticio o del mercado. basado en calificaciones internas. consultores. El centro de dicho documento era el riesgo crediticio de los bancos. otorgando a los bancos para la medición del riesgo de crédito tres métodos alternativos (estandarizado. un reflejo de un clima de atención por parte de los reguladores a los sistemas de control interno y a la cultura de control. en el apartado “El camino hacia Basilea II” de la publicación “Riesgo Operacional”. como precondición para aplicar metodologías de medición. cuando se intenta trabajar de una manera más integral acerca de la solvencia y seguridad del sector financiero. entre otros aspectos. a los cuales se les pedía prever un mínimo de capital en caso de insolvencia de los deudores. Dichos elementos están relacionados . incentivándose la utilización de la aplicación del método más avanzado. destaca la existencia de varios elementos que resultan significativos para un esquema efectivo de administración del riesgo operativo para bancos de cualquier tamaño y alcance. en donde se establecen una serie de principios para una gestión y supervisión eficaz del riesgo operativo.Generalidades del Acuerdo de Basilea II En 1988. Sumimoto Bank en 1996 y Allied Irish Bank en 2000.

organización de actividades laborales. problemas en las telecomunicaciones. mantener la integridad de los controles internos. podrán considerarse entre otros. En concreto. la evaluación inadecuada de contratos o de la complejidad de productos. lavado de dinero. negociación fraudulenta en las cuentas del banco. y herramientas eficaces para la transmisión interna de información y planes de contingencia. interrupción en la prestación de servicios. Indudablemente todo ello no es algo nuevo. abuso de información confidencial sobre el cliente. Fuentes del Riesgo Operativo: Procesos Internos Posibilidad de pérdidas financieras relacionadas con el diseño inapropiado de los procesos críticos. que puedan tener como consecuencia el desarrollo deficiente de las operaciones y servicios o la suspensión de los mismos. III. la inadecuada compensación. etc. En la gestión del riesgo operativo es necesaria la inclusión del juicio del experto. Sí resulta relativamente nueva la consideración de la gestión del Riesgo Operativo como una práctica integral comparable a la gestión del Riesgo del crédito o Riesgo de Mercado. las alteraciones en la actividad y fallos en los sistemas (fallos del hardware o del software. las prácticas con los clientes.). terremotos. sino también del estudio de posibles escenarios. vandalismo. o con políticas y procedimientos inadecuados o inexistentes dentro de la empresa. etc. infracción de las normas laborales de seguridad e higiene. documentación jurídica incompleta. incendios. una sólida cultura de gestión del riesgo operativo y de control interno. es decir. entrega y procesamiento (errores en la introducción de datos. la insuficiencia de recursos para el volumen . inundaciones. los errores en las transacciones. En este sentido. sino que siempre ha sido una parte importante del esfuerzo de los bancos por evitar el fraude. ELEMENTOS PRINCIPALES PARA LA ADMINISTRACION DE RIESGOS Cuando se analiza el riesgo operativo. las relaciones laborales y seguridad en el puesto de trabajo (ejemplo: solicitud de indemnizaciones por parte de los empleados.). acusaciones de discriminación. fallos en la administración de las garantías. los riesgos asociados a las fallas en los modelos utilizados. de análisis con datos históricos. el cual también organiza por prioridades las actividades para la mejora. se refiere a “incluir el uso de datos internos.con: estrategias claramente definidas y su seguimiento por parte del órgano directivo y de la alta gerencia. En tal sentido. los errores en la información contable. datos externos relevantes. productos y negocios (abusos de confianza. los daños a activos materiales (terrorismo. A su vez el Comité identifica los principales eventos de riesgo operativo. son cada vez más las instituciones convencidas de que los programas de gestión integral del riesgo operativo proporcionan seguridad y solidez.). liquidación o pago. debido a las diversas fuentes y situaciones en las que se encuentra este riesgo. los cuales están relacionados con: el fraude interno y externo.). etc. etc.). análisis de escenarios y sistemas de control interno”. reducir los errores en las operaciones. responsabilidades generales. etc. etc. operaciones y servicios. la ejecución. no sólo se trata de mediciones estadísticas de distintas distribuciones de pérdidas.

Entre otros factores. las fallas en los servicios públicos. afectando a los procesos internos. atentados y actos delictivos. robo. fraude. a errores en el desarrollo e implementación de dichos sistemas y su compatibilidad e integración. la recuperación inadecuada de desastres y/o la continuidad de los planes de negocio. se basan en el juicio experto. regulaciones o guías. se basan en información histórica. la inadecuada documentación de transacciones. Otros riesgos incluyen la falla o interrupción de los sistemas. disponibilidad y oportunidad de la información. problemas de calidad de información. falta de especificaciones claras en los términos de contratación del personal. los riesgos derivados a fallas en la seguridad y continuidad operativa de los sistemas TI. inapropiadas relaciones interpersonales y ambiente laboral desfavorable. inadecuada inversión en tecnología y fallas para alinear la TI con los objetivos de negocio. . error humano. así como el riesgo político o del país. que pueden afectar el desarrollo de las operaciones y servicios que realiza la institución al atentar contra la confidencialidad. con entre otros aspectos. Eventos Externos Posibilidad de pérdidas derivadas de la ocurrencia de eventos ajenos al control de la empresa que pueden alterar el desarrollo de sus actividades. Se puede también incluir pérdidas asociadas con insuficiencia de personal o personal con destrezas inadecuadas. Identificación de Riesgos: Como se menciona en la presentación de “Riesgo Operativo” de Elvia Ojeda. se podrán tomar en consideración los riesgos que implican las contingencias legales. apropiación de información sensible. personas y tecnología de información. existen dos grupos de riesgos operativos que se pueden conocer en una compañía: Cuantitativos: incidencias y eventos de pérdida. integridad. así como el incumplimiento de plazos y presupuestos planeados. Tecnología de Información Posibilidad de pérdidas financieras derivadas del uso de inadecuados sistemas de información y tecnologías relacionadas. entre otros factores. Las instituciones pueden considerar de incluir en ésta área.de operaciones. Cualitativos: riesgos potenciales. Otros riesgos asociados con eventos externos incluyen: el rápido paso de cambio en las leyes. sabotaje. lavado de dinero. la ocurrencia de desastres naturales. entrenamiento y capacitación inadecuada y/o prácticas débiles de contratación. paralizaciones. Personas Posibilidad de pérdidas financieras asociadas con negligencia. así como las fallas en servicios críticos provistos por terceros.

generando conflicto de interés o riesgos operativos que pueden ser evitados fácilmente. los controles existentes para mitigarlos y las oportunidades de mejora en el proceso de gestión del riesgo. unidad o área realice funciones que no respetan la adecuada segregación de labores. Mapeo de Riesgos: De acuerdo a lo externado en el libro “La gestión del riesgo operacional. Para ello es necesario que todos los niveles directivos de la entidad estén involucrados en la gestión de los riesgos y controles de las áreas de negocio de su dependencia y en fomentar una cultura de control interno que ayude a la entidad a conseguir sus objetivos de rentabilidad y rendimiento y a prevenir la pérdida de recursos. se hace mención que: el objetivo del mapeo de riesgos es hacer una revisión y diagnóstico del sistema de control interno existente en la entidad mediante la identificación de los principales riesgos a los que están expuestas las actividades realizadas. lo que permite al administrador de riesgos entender la naturaleza y el campo de acción de las operaciones de la organización.La metodología primaria para la identificación de riesgos es la observación de las pérdidas y cada vez que se materializa un riesgo se toman medidas para prevenir su posible recurrencia. Registros históricos sobre incidencias y eventos de pérdidas sobre los procesos operativos son una fuente básica de la información requerida por el análisis de riesgos. Los siguientes puntos son herramientas importantes para la identificación de riesgos: Organigramas funcionales: Revela las divisiones de la organización y sus relaciones. De la teoría a su aplicación” por parte de José Pedro Arranz y Manuel Rodríguez. El proceso de identificación y análisis del riesgo y los controles debe ser continuo y es un componente básico para que un sistema de control interno sea efectivo. Se evita que una misma persona. Matrices de riesgos y controles: Permiten identificar los tipos de riesgo y el perfil inicial de riesgo de un área. Procesos operativos: Permiten al administrador de riesgos conocer cómo se realizan las actividades por área. además de encaminar el sistema de control interno a las nuevas tendencias marcadas por el Nuevo Acuerdo de Capitales de Basilea disponiendo de una herramienta de gestión eficiente de los riesgos y controles. Diagramas de flujo de procedimientos: Pueden alertar al administrador de riesgos de aspectos inusuales en las operaciones de la empresa y permite descubrir las contingencias que pueden interrumpir sus procesos. aporta otras ventajas a la organización entre las que destacan las siguientes: . La realización del mapa de riesgos. aquí es donde se cuantifica el riesgo de una manera cualitativa. El administrador de riesgos se ve forzado a familiarizarse con los aspectos técnicos de las operaciones de la empresa.

Un sólido sistema de identificación y gestión de riesgos puede contribuir también a reducir costos en los seguros contratados para cubrir determinados eventos. sino cualquier posibilidad de sufrir alguno. Evaluar los riesgos: una vez identificados todos los riesgos potenciales deberemos establecer una valoración que nos permita priorizar según su relevancia. identificar el alcance del trabajo que se va a realizar.Potencia la cultura de riesgos y controles en la organización. Esta valoración se realiza en términos de importancia del potencial y la frecuencia con la que pueda llegar a producirse. Identificar los riesgos a los que están expuestas las distintas actividades: en el sentido más amplio posible. Al respecto podemos apuntar que existen dos posibilidades con distinto grado de sofisticación y dificultad así como con distinto grado de necesidad de información: 1. promoviendo en los empleados la comprensión de los riesgos del negocio y su responsabilidad en el proceso de mitigación a través del control interno. para posteriormente ir agregando los resultados obtenidos. Dicha evaluación debe ir acompañada de un análisis y valoración de los controles establecidos para mitigar los riesgos. Promueve una continua reflexión crítica. Gestionar los riesgos: una vez identificados y evaluados se pueden establecer las prioridades necesarias y establecer planes con las medidas correctoras que se consideren adecuadas para los riesgos que se determinen como más relevantes Además de establecer los elementos anteriores es necesario definir el enfoque con el que se va a abordar el trabajo. en términos generales. Contribuye a dar solidez al sistema de control interno y con ello a minimizar la desconfianza sobre auditorías a posteriori. requeridas por los sistemas de control. con el objeto de conocer la verdadera exposición de la entidad a los mismos. son los que se comentan a continuación: Establecer el ámbito en el que se va a desarrollar el análisis: es el primer paso del proceso. construcción y mantenimiento de mejores sistemas de controles efectivos. Contribuye a aumentar la cantidad y calidad de información fiable sobre la situación de control de los riesgos existentes. en dos vertientes.El enfoque que parte del análisis en profundidad de actividades y procesos al mayor nivel de detalle posible. la correspondiente a la clasificación por áreas de la entidad objeto de análisis y la correspondiente a la tipología de riesgos presentes en las actividades desarrolladas por la entidad. Una vez puesto de manifiesto los objetivos del mapa de riesgos es necesario establecer los elementos que son necesarios para su desarrollo que. motivando a las unidades de negocio al diseño. considerando no sólo la experiencia histórica de aquellos eventos que se hayan materializado en un problema económico. Este enfoque sólo será posible en el caso de que la entidad tenga un adecuado inventario de . Permite poner el enfoque en los riesgos más significativos para la entidad y a disminuir los costos en revisiones recurrentes.

Contabilidad: 1. mediante entrevistas con responsables de áreas y/o cuestionarios de autoevaluación que nos permite conocer los principales riesgos asociados a las actividades que desarrollan y los controles que hay implantados para mitigarlos. ¿Se cuenta con algún listado de procedimientos a seguir durante cada cierre contable? en caso afirmativo. Preguntas clave en el análisis de riesgos: Los siguientes cuestionamientos deben de ser aplicados en las diferentes áreas de la entidad. ¿Los registros por provisiones son inmediatamente reversados en cuanto los cargos son realizados? 6. ¿se siguen y se documentan debidamente? 3.procesos perfectamente definidos. ¿Las cuentas bancarias son conciliadas directamente de los estados de cuenta emitidos por los bancos contra los registros contables? 2. ¿Las conciliaciones bancarias son preparadas dentro de los 30 días siguientes al mes inmediato anterior? Es importante que estas conciliaciones sean revisadas por una persona distinta a las que tienen el control de las cuentas de banco. ¿Se realizan registros mensuales. ¿Se tiene registrada la antigüedad de cualquier asunto en conciliación? Su resolución no debe de superar tres meses. ¿Se hace una revisión mensual y anual del soporte físico del listado de las cuentas contables que conforman los estados financieros? Es importante tener un soporte de cómo se integran los saldos de cada una de estas cuentas. ¿Las cuentas claves de los estados financieros son revisadas de manera analítica. . 2. 4. trimestrales o anuales de provisiones por ingresos o gastos debidamente soportados? 5.El enfoque que parte de un nivel más general. incluso con técnicas de flujos. para poder conocer en qué situación se encuentra y que grado de control y riesgo se tiene. ya sea comparando contra el presupuesto o contra resultados de ejercicios anteriores? Efectivo: 1. 2. mismos que deben de estar debidamente firmados por las personas que prepararon y autorizaron cada movimiento. que permita tener identificadas cada una de las tareas y controles que se realizan en un proceso.

10. ¿Los registros de los saldos de las cuentas por cobrar coinciden con los montos expresados en los estados financieros? 4. ¿Los balances de las cuentas por cobrar son actuales y recuperables? 2. 14. ¿Se tienen plenamente identificados a las personas que tienen acceso a las cuentas bancarias? 7. ¿Se hace alguna revisión diaria. ¿Se realizan de manera sorpresiva arqueos a la persona que maneja la caja chica al menos una vez cada trimestre? Cuentas por cobrar: 1. ¿El efectivo recibido es depositado en el banco diariamente o al menos una vez por semana para evitar la acumulación de cantidades significativas? 4. ¿La caja chica se encuentra físicamente resguardada en un lugar seguro? 16. no todas deben de tener la habilidad de poder firmar cheques. 9. ¿La caja chica opera bajo un fondo fijo que es reembolsado vía cheque? Es recomendable no tener un fondo muy alto. ¿La chequera se tiene guardada en un lugar seguro con un acceso limitado? 8.3. ¿Cada salida de caja chica se hace a través de un recibo firmado por la persona que recibe el dinero y se detalla el motivo? 15. ¿Las órdenes de compra de clientes con saldos vencidos son bloqueadas hasta que el saldo pendiente sea liquidado o la gerencia haya aprobado la venta? . ¿Las responsabilidades de la caja chica son asignadas únicamente a una sola persona? Se sugiere que esta persona sea de absoluta confianza. ¿La actividad de banca electrónica es revisada y controlada diariamente? 6. 11. Es importante establecer un monto mínimo por el cual sea necesario el obtener dos firmas de autorización para la emisión de cheques. ¿Los cheques recibidos son inmediatamente endosados? 5. 13. ¿Los límites de crédito y los términos de pago son establecidos y revisados por la gerencia anualmente? 5. ¿Se da un seguimiento a nivel gerencial de aquellas cuentas por cobrar con saldos significativos que no han sido recuperadas? 3. ¿Se cuenta con un listado del personal que tiene acceso a la chequera? En caso de ser varias personas. semanal o mensual del consecutivo de los cheques en blanco? Esta revisión debe de ser hecha por una persona independiente al manejo de la chequera. ¿Los cheques cancelados son documentados y resguardados para futuras referencias? 12.

¿El corte de facturación por un periodo determinado es apropiado y coincide con el corte del inventario? 12. ¿Se hace un estudio por parte de la gerencia para determinar los montos que se deben de considerar incobrables y que se deben de cancelar? 11. ¿Los registros de los saldos de las cuentas por pagar coinciden con los montos expresados en los estados financieros? . ¿Se realiza al menos una vez por mes un conteo físico del inventario y se compara con lo que se tiene en los registros? 3. ¿Las cuentas por cobrar al personal están actualizadas y son de empleados activos? Inventarios: 1.6. ¿Los pagos recibidos son registrados en las cuentas por cobrar de cada cliente por una persona diferente a la que recibe el dinero? 10. ¿Se cuenta con algún procedimiento para asegurarse que lo que se ha entregado a un cliente le ha sido facturado? 9. ¿Los contratos con bodegas independientes cuentan con seguros? Compras y Cuentas por Pagar: 1. ¿Las facturas emitidas llevan una secuencia numérica? 8. ¿Se cuenta con algún procedimiento para asegurarse que las salidas de inventario son registradas? 5. ¿Las órdenes de compra de clientes que exceden su límite de crédito son bloqueadas hasta que la gerencia haya aprobado la venta? 7. ¿Las personas que realizan el conteo físico del inventario no son las encargadas del control del inventario? 6. ¿Los registros de los controles de inventarios coinciden con los montos expresados en los estados financieros? 8. ¿El inventario se encuentra físicamente seguro y sólo personal autorizado tiene acceso? 2. ¿Se concilian las salidas del inventario con las órdenes de compra de los clientes antes de enviar el producto? 4. ¿Los reportes de inventarios son conciliados de manera mensual con los reportes de ventas y la facturación? 13. ¿Se realiza alguna revisión de material obsoleto o dañado y se da de baja de acuerdo a instrucciones de la gerencia? 7.

¿Para tener acceso a los sistemas se llena algún formato firmado por el empleado. ¿se revisa constantemente? 2. ¿Se cuenta con una lista de los accesos que tienen los empleados a los sistemas con los que cuenta la entidad? En caso de que si. ¿Los cálculos de nómina son revisados y autorizados por una persona distinta a la que la preparo? 3. ¿La nómina es preparada por una persona ajena a las funciones de Recursos Humanos? 2. ¿Se cuenta con una lista vigente de contratos que tiene la empresa? 6. ¿El resultado del análisis de las cotizaciones presentadas y del proveedor seleccionado está documentado? 4. 3. ¿Cualquier movimiento de nómina es procesado con la debida autorización? Sistemas: 1. ¿Las facturas son aprobadas para pago por alguien con suficiente autoridad para hacerlo? 10. ¿Se realizan confirmaciones con los proveedores para asegurarse que los saldos de las cuentas por pagar son correctos? Nómina: 1. ¿Se realizan las provisiones pertinentes de nómina durante y al final del año? 4. ¿Se remueven los accesos a los sistemas inmediatamente que un empleado renuncia o es despedido? . ¿Se cuenta con una lista de proveedores por los que no se pide cotización por determinadas situaciones aprobadas por la dirección? 5. ¿Las facturas y/o documentos para pago son marcados como pagados o cancelados para evitar duplicidad de pagos? 11. su supervisor y la persona encargada de los sistemas? 3. ¿Se tiene la certeza de que los contratos son completados y firmados (por las personas adecuadas) antes de ejecutar lo establecido en el contrato? 7. ¿Las facturas recibidas se cotejan con lo indicado en la orden de compra o de servicio para asegurarse que solamente se pague lo realmente ordenado y recibido? 9. ¿Se cuentan con los seguros correspondientes a los contratos que así lo requieran? 8. ¿Se exigen de dos a tres cotizaciones para compras arriba de montos previamente establecidos? Se sugiere que toda compra arriba de $5.000 pesos sea cotizada.2.

ha ido creciendo progresivamente. o sobre casos relacionados con discriminación en el trabajo. al menos. Fraude Externo Pérdidas derivadas de algún tipo de actuación encaminada a defraudar. CONCLUSIONES En los últimos años se ha visto cómo la preocupación por el riesgo operacional. no se consideran los eventos asociados con discriminación en el trabajo. ¿El cuarto del servidor tiene acceso restringido? 6. Eventos de pérdida por ausencia de una administración de riesgos: En coordinación con el sector financiero. las empresas se han visto cada vez más interesadas en la medición de este riesgo. apropiarse de bienes indebidamente o incumplir regulaciones. ataques informáticos. Relaciones laborales y seguridad en el puesto de trabajo Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales. ¿La información contenida en los sistemas es respaldada diariamente y mantenida fuera de las instalaciones de la entidad? 5. que hasta hace poco tiempo era considerado un riesgo secundario. apropiarse de bienes indebidamente o soslayar la legislación. modelos racionales de control y supervisión que garanticen su confianza y su seguridad. una parte interna a la empresa. entre otros. por parte un tercero. . ¿Se tiene algún control en cuanto a la instalación de programas no autorizados en el equipo de cómputo proporcionado al personal? 7. el desarrollo de nuevas técnicas y la creciente globalización) y por otra parte. sobre higiene o seguridad en el trabajo. ¿Se tiene establecido el cambio de contraseñas de acceso a los sistemas al menos cada tres meses? 8. robos (con participación de personal de la empresa). el Comité de Basilea ha identificado los siguientes tipos de eventos que pueden resultar en pérdidas sustanciales por riesgo operativo: Fraude Interno Pérdidas derivadas de algún tipo de actuación encaminada a defraudar. Por una parte. sobornos. Esta categoría incluye eventos como: robos. motivadas por la necesidad de políticas más amplias que generen regulación eficaz. los analistas perciben que la exposición a este riesgo se ha intensificado a medida que las empresas han ido evolucionando (factores decisivos en esta tendencia han sido la mejora de las tecnologías. leyes o políticas empresariales en las que se encuentra implicada. sobre el pago de reclamaciones por daños personales.4. falsificación. ¿Se tiene contemplado el desconectar a un usuario de un sistema cuando lleve 30 minutos de inactividad? IV. Esta categoría incluye eventos como: fraudes. entre otros.

Ejecución. contrapartes de negocio. productos y prácticas empresariales Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación profesional frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación). Interrupción del negocio y fallos en los sistemas Pérdidas derivadas de incidencias o interrupciones en el negocio y de fallas en los sistemas. Con base en todo lo anterior. así como de relaciones con contrapartes comerciales y proveedores. el modelo del riesgo operativo es un ciclo en el que se implementan mejoras que responden a los cambios en el entorno y en la organización y los principales puntos de acción que se deben de seguir son los siguientes: Identificar el riesgo Medir (cuantitativa y cualitativamente) Analizar Prevenir Mitigar.Clientes. cambiar Comunicar Monitorear . transferir. Daños a activos materiales Pérdidas derivadas de daños o perjuicios a activos físicos como consecuencia de desastres naturales u otros eventos de fuentes externas. Esta categoría incluye eventos asociados con: captura de transacciones. vendedores y proveedores. monitoreo y reporte. entrega y gestión de procesos Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos. gestión de cuentas de clientes. ejecución y mantenimiento. como conclusión. o de la naturaleza o diseño de un producto. entrada y documentación de clientes.

Banco de España. Hot Topics. NIETO GIMENEZ-MONTESINOS. 58.V. Argos PRICEWATERHOUSECOOPERS ARGENTINA. CEO Responsabilidad Social Corporativa. Estabilidad Financiera No. se reserva la reproducción total o parcial de este material. FERNANDEZ-LAVIADA. MARIA ANGELES. El contenido de los artículos firmados es responsabilidad del autor. Análisis Económico No. “La gestión del riesgo operacional. “Riesgo operativo: esquema de gestión y modelado del riesgo”. BIBLIOGRAFIA CHAVEZ GUDIÑO JOSE/NUÑEZ MORA JOSE. De la teoría a su aplicación”. . “Riesgo Operacional”. ANA. vol. “Riesgo Operativo XXIII Congreso AMA”. OJEDA APREZA. Año 3. “El tratamiento del Riesgo Operacional en Basilea II”. sin que éste necesariamente refleje la opinión del Colegio sobre el tema tratado. Universidad Iberoamericana El Colegio de Contadores Públicos de México. Cuando se exprese la opinión del Colegio se especificará claramente. Edición Especial * Francisco Alonso Rodríguez-Wyler Ortiz.8. ELVIA. XXV. Editorial Limusa.

Sign up to vote on this title
UsefulNot useful