UNIVERSIDAD ANDINA SIMÓN BOLÍVAR

MAESTRÍAS EN GESTIÓN FINANCIERA Y ADMINISTRACIÓN DE RIESGOS FINANCIEROS

MATERIA: RIESGO OPERATIVO
NOMBRES: ANTONIO LAVERDE
DANIEL MONTENEGRO
PILAR RUALES
SEBASTIAN SISALEMA
MARLENE UMAGINGA
FECHA: Quito, 02 DE AGOSTO DE 2023

Tema: Caso Riesgo Operativo

1. Antecedentes

Las entidades financieras que realizan sus funciones dentro del territorio
nacional han establecido ciertas normas para mitigar el riesgo frente a futuros créditos
incobrables que pueden desencadenarse por diferentes situaciones políticas,
económicas o por una cultura de pago por parte de los clientes. Las Cooperativas al
momento de llegar a la concesión de un crédito con el deudor, obligan a firmar ciertos
documentos que sirven como garantías frente a cualquier adversidad que surja. Las
constantes llamadas a los socios que han caído en mora han desencadenado una ola de
inconformidades por exceso de intereses y por divulgación de sus datos personales a
terceros, lo que ha generado denuncias en los diferentes organismos de control.

2. Descripción del caso de Riesgo Operativo Producto de experiencia propia

El siguiente acontecimiento surgió en una Cooperativa segmento 1 de nuestro

país, un cliente solicitaba información para un crédito por un monto de $2.000 a 15
meses, el Gestor negocios de la sucursal Quito, agencia Villaflora había sufrido un
accidente que le obligo a estar ausente de sus actividades durante un mes. La persona
que se haría cargo de sus actividades sería el Operativo de atención al cliente quien
realizaría las dos funciones durante este período.

El cliente nunca había solicitado un crédito en alguna institución financiera,

por lo que, su score financiero estaba vacío, sin embargo, poseía una cuenta de ahorros
en esta cooperativa con un monto menor a $300. El cliente al escuchar en varios
medios de telecomunicación la facilidad para acceder a un crédito, decidió acercarse a
las oficinas de la Cooperativa y solicitar información, el oficial de crédito sustituto
facilito la documentación necesaria para que calificase y accediera el préstamo. Al día
siguiente, el cliente se acercó con los requerimientos necesarios y el oficial de crédito
sustituto acepto el otorgamiento de este crédito, se comenzó a gestionar la
documentación necesaria para dejar constancia legal entre las partes y proceder con el
desembolso por parte de la cooperativa.

Las primeras 6 cuotas el socio pagaba a tiempo sus letras del préstamo, sin
embargo, a partir del séptimo mes el cliente comenzó a tener problemas para cubrir la
totalidad de sus cuotas, realizaba pequeños abonos que no cubrían la cuota vencida
del crédito, y al transcurrir 60 días, la Cooperativa decidió apoyarse en la empresa de
cobranza externa, que gestiona la cartera vencida mayor a este plazo; aplicando las
gestiones de seguimiento a esta operación, para que se presione mediante llamadas,
mensajes de texto, inclusive dejando mensajes a terceros, para tener una respuesta
pronta de pago. Adicional por encontrarse en mora más de 30 días, la Cooperativa
procedió con la publicación de los valores vencidos en el Buró de Crédito.

El socio al sentirse agobiado por las constantes llamadas decidió presentar una
denuncia en la defensoría del pueblo para establecer sus derechos como deudor, el
cual manifestó que nunca había firmado ningún documento que se le atribuyese estar
en constante hostigamiento de parte de la cooperativa por algún crédito vencido. La
defensoría del pueblo envió una notificación hacia la empresa de cobranza, solicitando
los sustentos necesarios donde muestre la conformidad del deudor a que se le informe
periódicamente el pago de su deuda. La empresa de cobranza cedió el caso, donde la
Cooperativa al momento de verificar su archivo no encontró el documento que
autorizará el procedimiento de usar sus datos personales. La defensoría del pueblo al
no tener el sustento necesario, sancionó a la Cooperativa y esta llego a un acuerdo con
el deudor, de no volverlo a llamar y ampliar el plazo de pago.

Durante este periodo se desembolsaron 3.000 operaciones a nivel nacional, en

la ciudad de Quito, agencia Villaflora donde residía el cliente que presento la queja, se
registraron 20 operaciones con el mismo inconveniente, ante lo cual la Cooperativa
tomo acciones correctivas.

3. Identificación de los factores de riesgo

El riesgo operacional podría causar pérdidas tanto económicas como humanas, por
causa de errores, procesos internos inadecuados y fallas de los sistemas, así como de
las personas, por lo tanto, todas las empresas sean estas instituciones financieras,
comerciales, aseguradoras, etc., deben trabajar en identificar los riesgos a los cuales se
encuentran expuestos y definir estrategias que permitan, evaluar, controlar y mitigar el
riesgo en forma oportuna. La gestión de riesgos operativo debe tomar en cuenta los
factores internos que se convierten en una vulnerabilidad, y los fatores externos que
dan origen a las amenazas.

Los factores internos se generan por la propia actividad de la compañía, cómo, por
ejemplo: una inadecuada administración de caja, problemas en la producción,
comercialización, mientras que los factores externos son las condiciones políticas,
económicas, sociales, desastres naturales que afectan el desempeño de un
determinado sector o un país, como las crisis económicas, inestabilidad de tasas, etc.

A continuación, se explicará algunos de los riesgos operativos, más comunes.

 Recursos humanos

Si un empleado tiene acceso a transacciones que no son de su competencia, puede

alterar información sensible o tener a su disposición datos confidenciales de los
clientes y de la compañía, lo que puede resultar en fraudes, robos, secuestro de la
información y sabotajes.

 Falta de segregación de funciones

 Para que las responsabilidades de una o varias áreas de la compañía no recaigan en
una sola persona, se deben separar las actividades. De ese modo, ningún funcionario
debe gestionar todas las etapas de una transacción. Si no hay segregación de
funciones, una persona podría acceder a transacciones para realizar acciones no
autorizadas o fraudulentas.

 Administración de usuarios y contraseñas

Si una persona accede a sistemas de información que son sensibles para la

compañía o cuenta con acceso a usuarios o a contraseñas que no son de su
responsabilidad, puede aumentar el riesgo de pérdida de confidencialidad o exponer
los datos a modificaciones no autorizadas.

 Falla en los procesos

Factores de riesgo operacional entran a transacciones registradas de forma

incompleta, con información imprecisa o fuera del periodo contable correspondiente.
Cuando se utiliza un formato incorrecto para ingresar los datos o se registran sin
contrastar con los datos existentes, se pueden afectar de forma grave los registros
contables.

Objetivo: Otorgar un promedio de 3.000 operaciones de crédito al mes,

cumpliendo con los requisitos establecidos con respecto a la documentación y
autorizaciones pertinentes, definidas por la unidad de Riesgos.

Riesgo Operativo: Personas

 Falla en el proceso de capacitación y verificación documentación

 Falla en el proceso de back up

4. Identificación de los eventos de riesgo

Evento: Ejecución de Procesos de Gestión

En el caso de la Cooperativa Pepito 2 se utilizará los siguientes pasos para

identificar los factores de Riesgos
 Recopilar información
Es necesario identificar los factores de riesgo operacional a partir de la revisión
de los procesos, de autoevaluaciones y el análisis del lugar donde opera la
Cooperativa para conocer el contexto económico, político, social y ambiental,
además de construir información tanto externa como interna para evaluar
amenazas
Como parte de la normativa de manejo de Riesgos en las Cooperativas del
Ecuador, es necesario que todos los clientes que se vinculen a la institución
como sujeto de crédito, deberán llenar un formulario de vinculación, donde se
detalle datos personales como dirección, teléfono, ciudad, referencias
bancarias, referencias personales, detalle de activos y pasivos, adicional, entre
otros, adicional, debe constar una declaración donde permite a la institución en
este caso Cooperativa Pepitos 2 poder consultar información y verificar la
autenticidad de la información detallada, así como la publicación de datos de
cliente en el caso que se requiera.
Esto debe ser ejecutado por la persona que se encarga de la atención al cliente
y recepción de datos, dentro del proceso se establece que debe ser firma
original por parte del cliente y esto documentos debe estar en custodia del área
de archivo en la respectivo file del cliente.

 Clasifica cada riesgo

Aquí hay que clasificar los posibles riesgos, realizar un inventario de los mismos
para valorar y establecer el nivel de amenaza, así como las acciones que se van
a implementar. Se debe analizar el grado de probabilidad, impacto y ocurrencia
de cada riesgo (alto, medio o bajo) e incluir indicadores tanto cuantitativos
como cualitativos para evaluar periódicamente el perfil de riesgo operacional.

 Utiliza herramientas tecnológicas

El uso de una herramienta tecnológica como un software ayuda a identificar las
amenazas, tener alertas, mejorar el análisis, optimizar el monitoreo y visibilizar
procesos internos. Un software, por ejemplo, permite integrar todos los datos
de la empresa, de esta forma, se unifica la información y se fomenta una cultura
 de gestión de riesgo. Así mismo, ayuda a comprender mejor los procesos de la
organización, adicional, este sistema actúa en tiempo real, lo que permite
controlar el riesgo, así como tomar decisiones y medidas oportunas.

Vulnerabilidad

5. Causas de los eventos

Las causas relacionadas con el riesgo operativo pueden variar según el giro del
negocio, pero las causas más comunes relacionadas a un riesgo operativo son:
Desregulación, globalización de servicios, Sofisticación tecnología de servicios
financieros, Nuevas actividades y canales, Fusiones y Terrorismo. (Velastegui
2020)
Para el caso de estudio las causas se categorizaron en nuevas actividades y
canales y funciones. Mas adelante se lo detallara de manera específica.
Otro punto importante en la gestión del Riego Operativo es reconocer los
eventos que pueden generar pérdidas a la compañía pueden ser: Fraude
interno, Fraude externo, Empleo y seguridad, Daños de activos, Interrupciones
del software, Ejecución de procesos de gestión y Prácticas con clientes,
productos y negocios. (Velastegui 2020)
Para el caso de estudio los eventos se categorizaron en la Ejecución de procesos
de gestión y Prácticas con clientes, productos y negocios.
A continuación, detalle del caso de estudio.
El Oficial de crédito de la Cooperativa Pepito 2 de la Agencia Villaflora de la
ciudad de Quito tuvo un accidente que lo dejo incapacitado por 30 días. La
agencia Villaflora coloca un 0.0067% de créditos del total de las operaciones
crediticias este fue uno de los primeros factores que RRHH tomo en cuenta para
seleccionar al personal que reemplazaría al oficinal de crédito durante su
incapacidad también evaluaron el costo de movilizar a un oficial de crédito con
experiencia a la agencia Villaflora pero el costo era muy alto y también no podía
descuidar su portafolio de clientes, tomando en cuenta estos dos factores: el
porcentaje de colocaciones y costos de movilizar a un oficial de crédito RRHH
decidió que el operativo de atención al cliente sea la persona que reemplace al
oficial de crédito durante su incapacidad. El operativo de atención al cliente
durante este periodo desempeño dos funciones. La capacitación para
desempeñar las funciones de oficial de crédito empezó de manera inmediata de
forma telemática tres horas al día, se entregó los manuales correspondientes al
proceso para otorgar un crédito. El oficial de crédito que estaba capacitando
estaba pendiente de las inquietudes del operativo de atención al cliente
durante el periodo de capacitación no surgió inquietud alguna. Durante este
periodo se realizaron 20 colocaciones de crédito al parecer todas cumplieron
con el proceso establecido y no hubo novedad alguna.
Tiempo después por la queja de un cliente se materializa el error en el check list
de los documentos que un cliente debe presentar para acceder a un crédito.
Faltaba la firma en el documento de autorización para el uso de su información.
Este evento puede tener varias causas como, por ejemplo: el operativo de
atención al cliente tenía mucha carga de trabajo ya que estaba desempeñando
dos funciones, una capacitación poco clara, pero hay que tomar en cuenta que
nunca reporto esta novedad al capacitador.
Después de conversar con el operativo de atención al cliente manifestó que la
explicación no fue clara y que les dio prioridad a sus funciones dejando a un
lado la función en la cual estaba reemplazando y no se percató que faltaba un
documento super importante en el proceso para otorgar un crédito.
Como se mencionó anteriormente este error sucedió en la cooperativa Pepito 2
agencia Villaflora es un evento de nuevas actividades y funciones, el operativo
de atención al cliente no tuvo un seguimiento adecuado por parte del
capacitador. Hizo falta revisiones diarias al final del día de las actividades por
parte del capacitador, se debía tomar en cuenta que el operador de crédito
estaba realizando dos funciones, todas las actividades correspondientes al
oficial de crédito era nuevo para esta persona y fue de un día para otro.
Los eventos de este error terminaron en una queja y multa que se los
categorizo en la ejecución de procesos de gestión y prácticas con clientes,
productos y negocios. El oficial de atención al cliente no tomo en cuenta la
 magnitud de su falta de revisión y poca prioridad que le dio a los procesos que
se le encomendó. Este evento se efecto al presupuesto de la Cooperativa y
reputación de la misma.

6. Impacto de los eventos de riesgo operativo

Los eventos de riesgo operativo en las cooperativas de ahorro y crédito pueden

tener diversos impactos significativos. Estos eventos abarcan errores operativos,
fraudes internos, externos, desastres naturales o eventos cibernéticos, entre otros. Los
impactos principales incluyen:

 Pérdidas financieras: hacen referencia a pérdida de activos, sanciones o multas

regulatorias, y costos de remediación.
 Reputación: Las cooperativas de ahorro y crédito dependen de la confianza de
sus socios y público en general. Los eventos de riesgo operativo pueden dañar
la reputación de la institución financiera, lo que podría llevar a una pérdida de
socios y clientes.
 Cumplimiento normativo: Los eventos de riesgo operativo asociados a errores
de personas pueden dar lugar a incumplimientos de las regulaciones financieras
y normativas, lo que conlleva sanciones.

Para poder medir el riesgo operativo es necesario realizar una estimación y conocer
dos aspectos:

 La probabilidad de ocurrencia del riesgo.

 El impacto que el mismo generaría en la organización.

Probabilidad de ocurrencia

La probabilidad de ocurrencia de riesgo se mide con criterios de frecuencia o criterios

de factibilidad.

 Los criterios de frecuencia: analizan número de eventos sucedidos en un

determinado periodo de tiempo. Este criterio lo emplearemos ante hechos que
 ya han ocurrido. El análisis de la frecuencia debe ajustarse según cada proceso y
según los datos históricos de los que dispongamos.
 Los criterios de factibilidad: identifican la existencia de factores, tanto internos
como externos, que podrían generar una situación de riesgo. Este criterio lo
utilizaremos ante situaciones no ocurridas aún.

La tabla que usaremos como herramienta para determinar tales probabilidades será la
siguiente:

Nivel Descripción Ocurrencia Frecuencia

En la mayoría de las
5 Casi seguro Más de 1 vez al año
circunstancias

En gran parte de las

4 Probable Al menos 1 vez en el último año
circunstancias

Al menos 1 vez en los últimos 2

3 Posible En algún momento
años

Al menos 1 vez en los últimos 5

2 Improbable En algún momento
años.

No ha ocurrido en los 5 últimos

1 Rara vez En circunstancias excepcionales
años

Impacto

Cuando hablamos de impacto, nos estamos refiriendo al conjunto de consecuencias

que la materialización del riesgo puede generar en la organización en cuestión.

Para analizar los niveles de impacto de cada riesgo, empleamos una tabla de
calificación del impacto, que diferencia los siguientes niveles de impacto de riesgo:

 Catastrófico.
 Mayor.
 Moderado.
 Menor.
 Insignificante.
 Así pues, mediante estas dos herramientas y una vez conocida tanto la probabilidad
de ocurrencia como el nivel de impacto de cada riesgo, procedemos a calcular la zona
de riesgo (riesgo inherente), cruzando ambos datos a través de la matriz de evaluación
de riesgos y en base a ella podremos calificar el riesgo identificado en:

 Casi Seguro.
 Probable.
 Imposible.
 Rara vez.

Probabilidad de ocurrencia

Clasificación Descripción Factor

Raro Ha ocurrido por lo menos una vez en los últimos cinco 1
años
Improbable Ha ocurrido por lo menos una vez en los últimos tres años 2
Posible Ha ocurrido por lo menos una vez en los últimos dos años 3
Probable Ha ocurrido por lo menos una vez en el último año 4
Seguro Ha ocurrido por lo menos una vez en el último semestre 5
Tabla 2. Probabilidad de ocurrencia

En la tabla anterior clasificamos la probabilidad de ocurrencia como seguro con un

factor de 5, ya que ha ocurrido 20 veces en el último semestre.
Frecuencia. - Número de veces que se materializa el riesgo / número de veces que se
ejecuta la actividad. En nuestro caso la probabilidad de ocurrencia se determina por:
20 veces / 3.000 créditos, igual a 0.006%

Clasificación Descripción Factor

Extraordinario 0% - 0,05% 1
Esporádico 0,051% - 2% 2
No repetitivo 2,01% - 5% 3
Repetitivo 5,01% - 10% 4
Altamente 10,01% - 100% 5
Repetitivo
Tabla 3. Frecuencia

En la tabla de frecuencia clasificamos el riesgo como extraordinario, con un factor de

uno.
Proceso. - Rango de tiempo en el cual se ejecuta el proceso. El proceso de
otorgamiento de créditos se lo realiza a diario. Por esta razón se clasifica el riesgo como
seguro con un factor de cinco.

Clasificación Descripción Factor

Raro Anual 1
Improbable Trimestral - Semestral 2
Posible Mensual 3
Probable Semanal - Quincenal 4
Seguro Diario o superior 5
Tabla 4. Proceso

Impacto Legal. - En la parte de impacto legal como se había indicado, se produjo una
sanción a la cooperativa. Por esta razón el riesgo se clasifica como menor con un factor
de 2.

Clasificación Descripción Factor

Insignificante Evento de riesgo que podría llamar la atención de las 1
autoridades
Menor Glosas, multas. 2
Moderado Eventos derivados de las categorías de riesgo legal que pueden 3
implicar procesos de investigación por parte de la Autoridad.
Determinación de responsabilidades a los administradores o
Suspensión de administradores. Se puede generar un impacto
en la continuidad en la prestación de servicios no CORE del
negocio
Mayor Eventos derivados de las categorías de riesgo legal que 4
generen un impacto en la capacidad de operar
parcialmente afectando una línea de negocio (CORE) u
objeto principal, generando un incumplimiento normativo
de disposiciones legales y normativas o emisión o cambio
de normas que afecten el normal desarrollo de las
actividades de la organización o emisión de sanciones
judiciales a cargo produciendo:
- Declaración de práctica insegura y no autorizada
- Determinación de responsabilidades a los administradores
- Sanciones a la entidad integrada
Catastrófico Situaciones o eventos derivados de las categorías de riesgo legal 5
que generen un impacto en la capacidad de operar afectando
de manera sistémica la capacidad de operar las líneas de
negocio CORE u objeto principal derivadas de elementos tales
como el incumplimiento normativo, la emisión de nuevas
normas o de nuevas disposiciones legales que afecten el normal
desarrollo de las actividades del Negocio. Igualmente se predica
de la emisión de sanciones judiciales a cargo produciendo entre
otras la declaración de práctica insegura y no autorizada, y
procesos legales en contra de la entidad integrada y sus
administradores.
Tabla 5. Impacto Legal
Impacto Económico. - La multa hacia la cooperativa fue de XXXXX, en la clasificación
debido al valor lo identificamos como insignificante con un factor de uno.

Clasificación Descripción Factor

Insignificante 0.001 de la utilidad neta 1
Menor 0.005 de la utilidad neta 2
Moderado 0.02 de la utilidad neta 3
Mayor 0.1 de la utilidad neta 4
Catastrófico Mayor a 0.1 de la utilidad neta 5
Tabla 6. Impacto económico

Valoración de los riesgos

Para valorar el riesgo inherente en nuestro caso utilizamos las variables de frecuencia e
impacto. El factor de probabilidad de ocurrencia que es la más alta “Seguro (5)” y el
factor de impacto económico es “Insignificante (1)”. El mapa de calor quedaría de la
siguiente forma con una clasificación en verde que sería “Baja”.

Casi seguro
5
Probable
4
Probabilidad

Posible
3
Improbable
2
Raro
1
Insignificante Menor Moderado Mayor Catastrófico
1 2 3 4 5
Impacto económico
Tabla 7. Mapa de calor

7. Acciones de control

Control Correctivo

Un control correctivo, obtiene información acerca de actividades completadas,

es decir, ocurren después del hecho. Los controles correctivos mitigan el impacto del
evento y permiten la mejora del desempeño futuro aprendiendo de errores pasados.
Investigación y corrección del error: Una vez identificado el error, se debe llevar a cabo
una investigación para determinar la causa raíz y corregir el error que llevó a la
publicación sin autorización el cliente de la información en el Buró de Crédito.

Comunicación con los clientes afectados: Es importante contactar a los clientes que se
vieron afectados por la publicación incorrecta y proporcionarles disculpas para acordar
la corrección de los documentos. Además, se deben informar las medidas correctivas
que se están tomando para evitar que el problema se repita.

Revisión de políticas y procedimientos: Se deben revisar las políticas y procedimientos

existentes para asegurarse de que incluyan controles adicionales que prevengan este
tipo de error en el futuro.

Control Preventivo

Un control preventivo anticipa y previenen los eventos adversos. Los controles

preventivos mitigan la probabilidad de ocurrencia de un evento.

Capacitación y entrenamiento: Proporcionar capacitación continua al personal de

atención al cliente y recepción de documentos para asegurar que comprendan la
importancia de verificar la autenticidad de los sustentos y los procedimientos
adecuados para manejar la información de los clientes.

Procesos de verificación y doble revisión: Implementar procedimientos que requieran

que al menos dos personas verifiquen la autenticidad y validez de los documentos
antes de proceder con la indagación o publicación de datos en el Buró de Crédito.

Actualización de políticas y procedimientos: Asegurarse de que las políticas y

procedimientos estén actualizados y reflejen las mejores prácticas para evitar errores
en la recepción y manejo de documentos.

Revisiones internas regulares: Realizar revisiones internas periódicas para evaluar la

efectividad de los controles preventivos implementados y verificar que se cumplan
adecuadamente.

Control Detectivo
Ajustan procesos en curso. Estos controles en tiempo real monitorean actividades en el
presente para evitar que se desvíen o se incumplan los resultados esperados. Un
control detectivo puede mitigar la probabilidad.

Monitoreo y revisión de registros: Establecer un sistema para revisar periódicamente

los registros y documentos procesados para detectar posibles errores o anomalías.

Auditorías internas y externas: Realizar auditorías tanto internas como externas para
evaluar la efectividad de los controles implementados y detectar cualquier riesgo no
identificado anteriormente.

Alertas y notificaciones automáticas: Implementar alertas y notificaciones automáticas

para detectar actividades sospechosas o inusuales en el manejo de la información de
los clientes.

8. Lecciones aprendidas

Bibliografía
Velastegui, Ivan. 2020. «Superintendencia de Economia Popular y Solidaria.» Gestión de Riesgo
Operativo | SEPS. 28 de Agosto. Último acceso: 31 de Julio de 2023.
https://www.seps.gob.ec/wp-content/uploads/Gestion-Riesgo-Operativo.pdf.