Denominamos ‘riesgo operacional’ a toda posible contingencia

que pueda provocar pérdidas a una empresa a causa de errores

humanos, de errores tecnológicos, de procesos internos
defectuosos o fallidos, o a raíz de acontecimientos externos
(fraudes, accidentes, desastres, etc). Esta clase de riesgo es
inherente a todos los sistemas y procesos realizados por
humanos.
 ¿Cuáles son los factores de riesgo?
Procesos internos: Posibles pérdidas financieras relacionadas con
procesos críticos indebidamente diseñados o con procedimientos
inexistentes que pudieran traducirse en el desarrollo deficiente y/o
suspensión de los servicios. Aquí podrían incluirse aspectos como la
evaluación inadecuada de contratos y operaciones, el incumplimiento
de plazos y presupuestos planificados, los errores en las transacciones
o en la información contable, etc
Eventos externos: Posibles pérdidas financieras vinculadas a aquellos eventos que,
siendo ajenos al control de la empresa, puedan alterar el desarrollo de sus actividades.
Esto incluiría los fallos en los servicios públicos, los desastres naturales y atentados, los
conflictos legales y administrativos, así como los problemas derivados de la
conflictividad delictiva o política de un país o región.
Recursos humanos: Entrarían en este apartado las pérdidas financieras asociadas con errores
humanos, negligencias, fraudes, sabotajes, robos, espionaje industrial o lavado de dinero, así
como las derivadas de conflictos laborales o de un ambiente laboral inadecuado.
También pueden incluirse aquí las pérdidas derivadas de una falta de especificaciones claras
en los términos de contratación del personal, o de no contar con una plantilla de trabajadores
con las destrezas y/o capacitación adecuadas.
Tecnologías de la información y la comunicación (TICs): Posibles pérdidas financieras
derivadas de un mal uso de los sistemas de información de la compañía y de tecnologías
relacionadas, así como de la vulneración de la integridad, confidenciales o disponibilidad de
la información digitalizada. Aquí entrarían las brechas en la seguridad informática, errores
de implementación y programación de plataformas tecnológicas, uso de tecnologías
incompatibles entre sí y/o con los sistemas y procedimientos de nuestro negocio.
 

NUMERO RIESGO
IMPACTO
1 Concentración de autoridad
2 Extralimitación de funciones
3 Fraude financiero
4 Malversación de activos
Direccionamiento en la
5 4
Contratación
Vulnerabilidad de los
6 4
sistemas tecnológicos
Alteración, manipulación,
7 enajenación o destrucción
de la información
8 Corrupción Administrativa
VALORACIÓN DEL RIESGO
CRITICIDAD DEL
P R O B A B IL ID A D
5 2
2 3
4 3
4 3
3 12
2 * Deslealtad de los
4 3
4 3
CAUSAS CONSECUENCIAS
RIESGO
(I X P)
Desconocimiento de los
limites de las acciones y Afectación de la imagen de la
10
decisiones que puede compañía
tomar cada colaborador
Desconocimiento de los
limites de las acciones y Información inadecuada a los
6
decisiones que puede grupos de interés
tomar cada colaborador
Manipulación del flujo de
caja.
Pérdidas financieras
12 Reconocimiento
multas y sanciones
inadecuado de gastos y
costos
Desembolsos fraudulentos
12 Inadecuado uso de los Perdidas financieras
activos
*Estudios previos o de
factibilidad superficiales o
manipulados por personal
interesado en el futuro
proceso de contratación.
*Pliegos de condiciones
direccionados y hechos a la
medida de una firma en
particular
Perdida de la imagen corporativa
*Adendas que cambian
condiciones generales del
proceso para favorecer a
grupos determinados.
*Urgencia manifiesta
Inexistente.
*Falla en la seguridad * Daño económico
tecnológica. * Perdida de información sensible.
8
empleados.
*Deslealtad de los * Perdida de la información.
empleados. * Daño de la información.
* Fallas en la custodia de la * Demandas multas y sanciones.
información.
12 * Inadecuada disposición de
activos y de la información.
* Deficiencias en el manejo
documental y archivo.
* Decisiones ajustadas a * Daño de la imagen corporativa.
interés de particulares. * Perdidas Económicas.
12 * Trafico de influencias. * Multas y sanciones.
* Cobro por la realización
de un tramite.

PR O C ES O / PR O YEC T O
NUMERO RIESGO
IMPACTO
1 Concentración de autoridad
2 Extralimitación de funciones
3 Fraude financiero
4 Malversación de activos
Direccionamiento en la
5 4
Contratación
Vulnerabilidad de los
6 4
sistemas tecnológicos
Alteración, manipulación,
7 enajenación o destrucción
de la información
8 Corrupción Administrativa
G E S T IÓ N D E L R IE S G O
DIRECCIÓN DE CONTROL INTERNO
MATRIZ DE RIESGOS OPERACIONALES
VALORACIÓN DEL RIESGO
CRITICIDAD DEL
P R O B A B IL ID A D
5 2
2 3
4 3
4 3
3 12
2 * Deslealtad de los
4 3
4 3
M A P A D E R IE S G O A N T IC O R R U P C IÓ N
CAUSAS
RIESGO
(I X P)
Desconocimiento de los
limites de las acciones y
10
decisiones que puede
tomar cada colaborador
Desconocimiento de los
limites de las acciones y
6
decisiones que puede
tomar cada colaborador
Manipulación del flujo de
caja.
12 Reconocimiento
inadecuado de gastos y
costos
Desembolsos fraudulentos
12 Inadecuado uso de los
activos
*Estudios previos o de
factibilidad superficiales o
manipulados por personal
interesado en el futuro
proceso de contratación.
*Pliegos de condiciones
direccionados y hechos a la
medida de una firma en
particular
Perdida de la imagen corporativa
*Adendas que cambian
condiciones generales del
proceso para favorecer a
grupos determinados.
*Urgencia manifiesta
Inexistente.
*Falla en la seguridad
tecnológica.
8
empleados.
*Deslealtad de los
empleados.
* Fallas en la custodia de la * Demandas multas y sanciones.
información.
12 * Inadecuada disposición de
activos y de la información.
* Deficiencias en el manejo
documental y archivo.
* Decisiones ajustadas a
interés de particulares.
12 * Trafico de influencias.
* Cobro por la realización
de un tramite.
Código F-012-A
Vigencia 1/Oct/2014
Versión 9
Modificación
día/mes/año
30/09/15
ADMINISTRACIÓN DEL RIESGO
Transferencia del Riesgo
CONSECUENCIAS Retención del Riesgo
Acciones Para la Administración del riesgo Monitoreo y Seguimiento
(Controles Internos) Vías de trasmisión (Pólizas)
Afectación de la imagen de la Se debe realizar seguimiento
compañía mínimo cada 90 días.
Información inadecuada a los Se debe realizar seguimiento
grupos de interés mínimo cada 90 días.
Pérdidas financieras Se debe realizar seguimiento
multas y sanciones mínimo cada 60 días.
Se debe realizar seguimiento
Perdidas financieras
mínimo cada 60 días.
1. Cumplir con la
1. Verificación por parte de la Dirección de
normatividad interna y
Control Interno del Cumplimiento de la
externa aplicable a la
normatividad interna y externa aplicable a la
organización.
organización por medio de las auditorias
internas.
2. Cumplir con el
poliza global de manejo
Direccionamiento
oficial y poliza de seguros 2. Verificar el cumplimiento al Direccionamiento
Estrategico,
Estratégico Se debe realizar seguimiento
de fidelidad
mínimo cada 60 días.
3. Conocimiento de los
3. Conocimiento del Código de Buen Gobierno
grupos de interes del
Corporativo, Código de Ética y Plan
Codigo de Buen Gobierno
Anticorrupción por medio de campañas,
Corporativo, Codigo de
capacitaciones y sensibilización.
Etica y Plan Anticorrupcion.
* Daño económico
* Perdida de información sensible.
Se debe realizar seguimiento
mínimo cada 90 días.
* Perdida de la información.
* Daño de la información.
Se debe realizar seguimiento
mínimo cada 60 días.
* Daño de la imagen corporativa.
* Perdidas Económicas.
Se debe realizar seguimiento
* Multas y sanciones.
mínimo cada 60 días.