Riesgo operacional es aquel que puede provocar pérdidas debido a errores
humanos, procesos internos inadecuados o defectuosos, fallos en los sistemas y como consecuencia de acontecimientos externos. Esta definición incluye el riesgo legal y excluye el riesgo estratégico y/o de negocio y el riesgo reputacional.
El riesgo operacional es inherente a todas las actividades, productos, sistemas y
procesos, y sus orígenes son muy variados (procesos, fraudes internos y externos, tecnológicos, recursos humanos, prácticas comerciales, desastres, proveedores).
Factores de riesgo operacional
Recursos humanos
Uno de los factores de riesgo operacional son las actividades desempeñadas por
las personas, ya sea por la competencia, conducta ética o atribuciones que tenga un funcionario.
Cuando un empleado tiene acceso a transacciones que no son de su
competencia, puede llegar a cambiar información sensible o tener a su disposición datos confidenciales de los clientes o de la compañía, lo que puede resultar en fraudes, robos, sabotajes, etc.
Falta en la segregación de funciones
Uno de los principios de control interno de una empresa es la segregación de
funciones. Esta consiste en separar las actividades para que las responsabilidades de una o varias áreas de la compañía no recaigan en una sola persona. De ese modo ningún funcionario debe gestionar todas las etapas de una transacción.
Cuando no hay segregación de funciones, un usuario podría acceder
a transacciones para realizar acciones no autorizadas o fraudulentas. Por eso, es un factor de riesgo operativo.
Muchos bancos, como el JP Morgan Chase, el Banco Barings o el Banco Société
Générale, han sufrido grandes pérdidas por una inadecuada segregación de funciones.
Administración de usuarios y contraseñas
Los sistemas, la infraestructura, la disponibilidad de almacenamiento y el
procesamiento de la red de una empresa son factores de riesgo operacional.
En ese sentido, si un usuario accede a sistemas de información que son sensibles
para la compañía o cuenta con acceso a usuarios o a contraseñas que no son de su responsabilidad, puede aumentarse el riesgo de pérdida de confidencialidad o exponer los datos a modificaciones no autorizadas.
Mediciones del riesgo operacional
El riesgo operativo se puede calcular de tres modos diferentes:
1. Método del indicador básico
Para calcular el riesgo operativo a través de este método, se realiza un promedio
de los últimos tres años de los ingresos brutos anuales positivos, permitiendo así estimar el volumen de operaciones.
2. Método estándar
Se calculan los ingresos brutos de cada línea de negocio y se le multiplica a cada
uno de ellos un factor, calculando la provisión de capital para cada línea de negocio.
3. Métodos de medición avanzada
A través de este método, el riesgo operativo se calcula mediante funciones de
distribución de probabilidad. 4 pasos para reducir la subjetividad en la gestión del riesgo operacional
1. Identificar los riesgos. Para apuntar al objetivo desde la identificación, se
debe contar con técnicas formales. 2. Calificar los riesgos. 3. Calificar los controles. 4. Calificar el nivel de mitigación.