EL RIESGO OPERACIONAL, SAE 16 Y AS5: HERRAMIENTAS

DE CONTROL Y MEJORA
RESUMEN

1. INTRODUCCIÓN
La administración científica de Frederick Taylor fue el primer intento
sistemático para gestionar y mejorar los procesos de la empresa; fue dad en
el siglo XX. En la década de 1930, se introdujo el control de calidad por Walter
Sherwhart.

Deming en 1986, señala que el trabajo en equipo es necesario para toda

organización. La gestión de riesgos, se trata de un enfoque riguroso y
documentado en todos los niveles de desarrollo de los eventos analizados,
se requiere información de todas las áreas de interés.

Ward y Chapman, la incertidumbre se centra en la gestión identificación y

gestión de todas las fuentes de incertidumbre, la formación de amenazas u
oportunidades.

Hay un interés en los mecanismos para cuantifica y comunicar riesgo (GIR).

El riesgo operacional se asocia a errores humanos, fallas en los sistemas y a

la existencia de procedimientos y controles inadecuado, excluyendo el riesgo
estratégico y reputacional (el cual debe medirse por separado).

El riesgo operacional se ocupa de los procesos establecidos en lugar de la

gestión de las circunstancias desconocidas, es importante gestionarlo y
mitigarlo.

Riesgo operativo, riesgo de pérdida resultante de procesos internos

inadecuados o fallidos, personas y sistemas, o de acontecimientos externos.

En el Perú la SBS emitió la norma de gestión integral de riesgos – RS 037-

2008, vigente al 2012, estableciendo normas específicas:

 RS 2116 – 2009 Reglamento de Gestión ROP.

 Circular G-139-2009 – Gestión de Seguridad de Información.
 Circular G-140-2009 – Gestión de continuidad de Negocios

2. ACUERDOS DE BASILEA
En el 2010, fue aprobado Basilea 3, allí se menciona al riesgo operacional,
el mismo que es importante al calcular el capital de entidades financieras.
Basilea define la administración de riesgos como un conjunto de procesos,
políticas, procedimientos y acciones que se implementan para identificar,
 medir, monitorear, controlar , informar y revelar los distintos tipos de riesgo
al que se encuentra expuesta una empresa, de tal forma que les permita
minimizar pérdidas y maximizar oportunidades.
Basilea I, buscó que el capital regulatorio esté alineado frente al riesgo de
crédito. Basilea II, distinguió los riesgos de crédito, operacional y de mercado
bajo los auspicios de Pilar I: Gestión de riesgos. Se introdujeron dos pilares
nuevos: revisión supervisora y disciplina de mercado.
Basilea II, constituyó una tipología de riesgos operacionales tales como:
fraude interno y externo, daños a activos materiales, interrupción de la
actividad, fallas en los sistemas, etc. También establece técnicas de gestión
de riesgos de diversa complejidad. El riesgo crediticio se puede medir
mediante el método estándar (SA) o basado en calificaciones internas (IRB
básico y avanzado).
Los criterios básicos, medición estandarizada e internos, son métodos para
medir el riesgo operacional. Mientras que para el riesgo de mercado se
puede utilizar el método estándar o de modelos internos.
El pilar de supervisión asegura que en los bancos, los procedimientos
internos de evaluación de riesgos son los recursos suficientes. El pilar de
disciplina de mercado asegura la divulgación completa de la suficiencia de
capital de los bancos mediante informes públicos de Basilea.
En el 2008 (crisis financiera), se halló deficiencias en el acuerdo de Basilea
II tales como: falta de distinción entre posiciones simples y complejas
(cartera de negociación), apalancamiento, estabilidad macro-prudencial y el
riesgo sistémico. Todas esas fallas han sido abordadas en Basilea III, se
modificó las reglas prudenciales y de micro-macro prudenciales más
conservadores de capital y los requisitos adicionales de liquidez a los bancos
de venta libre.
La mayoría de las investigaciones sobre el riesgo operacional han sido sobre
la calidad de los métodos de medición cuantitativa de la exposición al riesgo
operativo o modelos teóricos de los incentivos económicos para la gestión.
Hay 3 conceptos principales para medir el riesgo operacional:
 El enfoque basado en el volumen
 La autoevaluación cualitativa del riesgo operacional
 Las técnicas cuantitativas

3. FUENTE DE RIESGO OPERACIONAL

El riesgo operacional considera cuatro principales fuentes con sus respectivos

eventos, se considera dos niveles con la finalidad de separar el grado de impacto,
siendo el nivel 1 de grado medio y el nivel 2 de grado alto.
A. Procesos internos
Las empresas deben gestionar apropiadamente los riesgos asociados a los
procesos internos implementados para la realización de sus operaciones y
 servicios, relacionados al diseño inapropiado de los procesos o políticas y
procedimientos inadecuados o inexistente.
B. Personas
Las empresas deben gestionar apropiadamente los riesgos asociados al
personal de la empresa, relacionados a la inadecuada capacitación, negligencia,
error humano, sabotaje, fraude, robo, paralizaciones, apropiación de información
sensible entre otros.
C. Sistemas
Las empresas deben gestionar los riesgos asociados a la tecnología de
información, relacionados a fallas en la seguridad y continuidad operativa de los
sistemas informativos, los errores en el desarrollo implementación de dichos
sistemas y la compatibilidad e integración de los mismos.
D. Eventos externos
Las empresas deberán gestionar los riesgos asociados a eventos externos
ajenos al control de la empresa, relacionados por ejemplo a fallas en los servicios
públicos, la ocurrencia de desastres naturales, atentados y actos delictivos entre
otros factores.

4. ASPECTOS DE RIESGO OPERACIONAL

La naturaleza del riesgo operacional es muy compleja; una de sus características es

que es frecuentemente incurrido de manera inconsciente. Dentro una institución es
importante identificar activamente los riesgos y desarrollar una cultura de
consciencia entre las personas.

La gestión de riesgo operacional es sin duda un tipo distinto de gestión de riesgo, ya

que no está limitada en su alcance a una división especifica de una empresa o una
línea de negocio particular y, además, la naturaleza de las diversas fuentes de error.

Las diferentes formas de riesgo operacional posibles, deben ser identificados y

evaluados respecto de su impacto potencial y de los procesos necesarios para
prevenir y mitigar los riesgos.

La única manera de reconocer y evitar este riesgo es la realización consiste de

autoevaluaciones de control de la situación de riesgo y el mantenimiento de un
sistema eficaz de aseguramiento de calidad durante la ejecución de un marco de
referencia de gestión del riesgo operacional.

5. METODOLOGÍAS DEL RIESGO OPERACIONAL

Riesgo operacional: Riesgo de pérdida resultante de una falta de

adecuación o de un fallo de procesos, personal o los sistemas internos; o
como consecuencia de acontecimientos externos.

Existen 3 metodologías propuestas:

5.1. Método indicador básico (BIA):

 Método muy simple que no se espera que sea utilizado por entidades
internacionales activas dado que su cálculo se realiza multiplicando la
media de los ingresos netos relevantes de los tres últimos ejercicios
financieros, cuando sean positivos, por el coeficiente de ponderación del
15%; donde los ingresos son los ingresos netos por interés más los
ingresos netos ajenos a intereses.

El resultado debe estar dentro el 5% y el 15% del promedio de los últimos

36 meses de requerimiento de capital por riesgos de crédito y de mercado

5.2. Método Estándar (STDAOp) y Estándar alternativo (ASA)

Se trata del mismo sistema del método básico con la diferencia que se
exige a las entidades que dividan su actividad en líneas de negocio

5.2.1. Método Estándar (STDAOp)

RCSA = {∑AÑOS1-3MAX [∑ (IB1-8 X β1-8) ,0]}/3
Donde:
RCSA: Requerimientos de Capital Método Estándar
IB1-8: Ingresos relevantes con cada una de las líneas de negocio con
sus correspondientes signos.
β1-8: Coeficientes de ponderación aplicables a cada línea de negocio.
Línea de Negocio
Financiación Empresarial 18%, Negociación y Ventas 18%,
Intermediación minorista 12%, Banca comercial 15%, Banca
minorista 12%, Liquidación y pagos 18%, Servicios de agencia 15%
y Gestión de activos 12%

5.2.2. Método Estándar alternativo (ASA)

Se calcula igual que el STDAOp, sin considerar, banca comercial y
banca minorista.

METODO DE MEDICIÓN AVANZADA (AMA)

Es un enfoque más avanzado donde se utilizan modelos internos
para el cálculo de ciertos parámetros, pero no para los
requerimientos de capital.
En el AMA, los requerimientos de capital son determinados por el
sistema de medición de riesgo operacional interno de la Institución.
Se necesitan los siguientes requisitos:
 La administración debe estar involucrada con el macro de
administración de riesgo operacional.
 Se debe contar con un sistema de administración de riesgo
operacional integro.
 Se debe contar con recursos suficientes en el uso del enfoque en
las líneas de negocio más importantes.
 Estándares cualitativos y cuantitativos.

El AMA considera los siguientes enfoques:

a) ENFOQUE DE MEDICION INTERNA

Se convierte la Perdida Esperada en Perdida no Esperada,
obteniendo la Probabilidad de fallo y la Proporción de perdida
dado el fallo.
b) REQUERIMIENTOS NECESARIOS PARA LOS MODELOS
INTERNOS
Se debe cumplir criterios cualitativos y cuantitativos para seguir
el modelo AMA y obtener una aprobación del supervisor.
c) REQUISITOS GENERALES
En síntesis, se requiere la implicación activa de la alta dirección
y del consejo de administración en la gestión del riesgo
operacional, que el modelo interno sea sólido y esté plenamente
integrado en los sistemas de medición y gestión de riesgos de
la entidad, y que la entidad cuente con recursos suficientes en
las líneas de negocio y en las áreas de control y auditoria.
d) REQUISITOS CUALITATIVOS
Finalidad: Facilitar una gestión activa de riesgo
  Contar con una unidad independiente de gestión del riesgo
operacional de desarrollos e implementación del cálculo.
 Que el modelo este totalmente integrado en los procesos de
gestión de riesgos.
 Existencia de un sistema de información periódica a las
direcciones de las líneas de negocio.
 Sistema suficientemente documentado.
 Debe ser válido interna y externamente.
e) REQUISITOS CUANTITATIVOS
La entidad deberá mostrar que el método utilizado identifica
eventos situados en las colas de la distribución de probabilidad
y que generan grandes pérdidas. El banco deberá demostrar
que su medida del riesgo operacional satisface unos criterios de
solidez comparables a los del IRB
f) ENFOQUE DE TARJETAS DE PUNTAJE
Se calcula un nivel de riesgo tomando coma base la estadística
de eventos de perdida disponible para la Entidad y se retribuye
por línea de Negocio, en función de una tarjeta de puntaje
diseñada exprofeso.
Capital de AMA = Pérdida Esperada + Perdida no Esperada
Todos los modelos AMA deberán utilizar los 4 elementos
básicos de un sistema de medición de riesgo operacional: datos
internos, externos, escenarios y factores de control y entorno de
negocio.

6. SAS 70 Y SU CAMBIO AL SSAE16

SAS 70 es un estándar de auditoria reconocido internacionalmente

desarrollado por el American Institute Of Certified Public Accountants (Aicpa)
en 1992 y que viene siendo empleado como herramienta para mitigar el
riesgo operativo.

Existen diversas razones por las cuales se exige que las empresas de
servicios sigan los lineamientos de SAS70. las leyes proballity and
acontabillity de 1996 (HIPAA) Gramm-leach-billey de 1999, pero sobre todo
la ley Sabarness-oxcley de 2002(secciones 302y 404)( nickel &deyner 2007.
En conjunto estas tres leyes respaldan la protección de la privacidad,
responsabilidad corporativa y el establecimiento de controles internos en las
organizaciones, por lo tanto, se creó la necesidad dentro de las
organizaciones de realizar un deudellingece que puede agregar muchos de
los principios que se encuentran dentro de estas tres leyes y ofrecer a las
empresas un alto nivel de seguridad y confianza cuando se utilizan empresas
de outosoursing de funciones criticas del negocio .A demás, el crecimiento
legal de la tecnología y su penetración en todos los niveles de la organización
ha facilitado el crecimiento de las auditorias de las SAS 70.

El reporte consiste en una revisión centralizada por parte de un auditor

independiente ("auditor del servicio") de los servicios tercerizados y está
diseñada para proveer información a las organizaciones usuarias y a sus
auditores, acerca del control interno de la organización de servicios.
Básicamente, es una comunicación "de auditor a auditor".

Tipos de reporte SAS 70

 Tipo I: incluye la opinión del auditor acerca de la adecuada descripción
de los controles presentada por la organización de servicios y la idoneidad
del diseño de los mismos para alcanzar los objetivos especificados.
 Tipo II: contiene la información incluida en el reporte Tipo I y, a su vez, la
opinión del auditor del servicio respecto de la efectividad con que operaron
los controles durante el período de tiempo considerado. Provee
información adicional sobre la naturaleza, tiempo, alcance y resultados de
las pruebas del auditor del servicio sobre los controles especificados.

El resultado de una auditoria SAS 70 reflejaría un análisis de una

organización en términos de la efectividad de sus controles. Un informe SAS
TIPO I emitiría un diagnostico desde un punto específico en el tiempo,
mientras que un informe SAS tipo II revelaría la situación dentro un periodo
de tiempo específico.

Un beneficio adicional para las organizaciones de servicio es la posibilidad

de aprovechar la certificación de SAS 70 como un elemento diferenciador en
el mercado establecer una ventaja competitiva frente a otras empresas del
mismo rubro .Cumplir con SAS permite disminuir la cantidad de eventualidad
que interrumpen las actividades del negocio eliminado de manera efectiva la
posibilidad de auditorías esporádicas que tengan el único propósito de
satisfacer los requerimientos establecidos por las organizaciones usuarios .

Las organizaciones usuarias son capaces de obtener una mayor

comprensión y garantía de los controles internos existentes en las
organizaciones de servicios. Además, los informes tipo I y tipo II ayudan a los
auditores externos de las organizaciones de usuarias a reducir el tiempo y los
 costos de tener que informarse sobre los controles en las organizaciones de
servicios.

Tabla 6: SAS-LISTA DE CONTENIDOS DE LOS INFORMES SAS 70 TIPO

I Y TIPO II

INFORMACIÓN TIPO I TIPO II

Reporte de Auditoria SAS 70 Requerido Requerido
Descripción de los controles Requerido Requerido
Información proporcionada por el auditor
lista detallada de los controles y prueba Opcional Opcional
de eficacia operativa
Información proporcionada por la
organización de servicios Opcional Opcional
Consideraciones de control de la
organización de usuarios
controles que las organizaciones
usuarios tienen Opcional Opcional

En general, una auditoria SAS 70 analiza los controles que implementa una
organización de servicios que implementa controles a lo largo de varios
niveles dentro del negocio y no solamente la plataforma identificada como el
objetivo de la auditoria.

El Consejo de Normas de Auditoría del Instituto Americano de Contadores

Públicos Certificados AICPA (siglas en ingles American Institute of
Certificated Public Acountans) ha reemplazado la norma de auditoría SAS 70
por el Statement on Standards for Attestation Engagements SSAE N º 16.
Informes cuyas actualizaciones dan a conocer los controles en una
organización de servicio. La publicación de la SSAE se hizo formalmente en
abril de 2010 con una fecha de vigencia del 15 de junio de 2011.

SAAE 16 se redactó con la intención y el propósito de actualizar la norma

para los informes de la auditoria, para las organizaciones de servicios de los
EE.UU. De tal manera que refleje y cumpla con la nueva norma internacional
de informes de auditoría para organizaciones de servicio.

Para las organizaciones de servicios que actualmente tienen un examen de

auditoría SAS 70 de servicios (“auditoría SAS 70”) es necesario realizar
algunos cambios para llevarse a cabo de manera efectiva la presentación de
informes en virtud del nuevo SSAE 16 estándar.
7. ESTÁNDAR AUDITING N°5

En Junio de 2007, el PCAOB emitió el Auditing Standard N° 5, que sustituye al

Auditing Standart N° 2. AS5 cambiado de manera<a significativa las normas
relativas a las auditorias de control interno sobre los informes financieros.
Los estados financieros se establecieron en el Auditing Standart N°2(AS2), una
auditoria de control interno sobre la información financiera realizado en conjunto
con una auditoria de estados financieros, que entro en vigencia en noviembre
del 2014.
Auditing Standart N° 5 (AS5), una auditoria del control interno sobre la
información financiera que se integra con una auditoria de estados financieros,
efectivo para los años fiscales que terminan el 15 noviembre 2007.
Se ha centrado en el impacto esperado en la eficiencia del auditoria.AS5
prescribe una de arriba hacia abajo, basado en el riesgo de auditoria. Este
también facilita una mejor estabilidad de las auditorias entre las empresas de
diferente tamaño y complejidad, permitiendo el ahorro de costes a es
relativamente mayor para las entidades más pequeñas y menos complejo.
AS5 contempla diversas secciones: introducción, planeamiento de la auditoria,
escala de auditoria, determinación de los riesgos por fraude, método de
aproximación de arriba hacia abajo.
AS5 estable el alcance de aplicación y determina los aspectos de control interno.

8. CONCLUSIONES

El manejo del riesgo operacional y los mecanismos de control y mitigación

son bastantes extensos e importantes debido no solo a las crisis que han
acontecido en los mercados financieros e internacionales.

Los riesgos operativos, para las instituciones, pueden ser más difícil de definir
y gestionar que otros riesgos financieros tradicionales.

El riesgo operativo u operacional puede incluir una amplia gama de

amenazas internas o externas.

Un óptimo funcionamiento de las gerencias de negocios, riesgos y opresiones

incidirán en una adecuada gestión de los riesgos operacionales, gestión que
puede integrarse con acciones de mejor Y ESTABILIDAD EN LOS ingresos.

Los auditores en general han tenido durante mucho tiempo para gestionar los
riesgos como parte de sus funciones. El riesgo operacional es un lugar
generado por la intersección de diversos factores, como fraudes, error al
procesar, la discontinuidad de los negocios, etc.