tesis daniel guillén_riesgo_operativo
TRANSCRIPT
UNIVERSIDAD DEL PACÍFICO ESCUELA DE NEGOCIOS
ESCUELA DE POSTGRADO Y EMPRENDEDORES
PROPUESTA DE ADMINISTRACIÓN Y EVALUACIÓN DEL
RIESGO OPERATIVO PARA EMPRESAS DE MANUFACTURA EN
EL ECUADOR
TESIS PREVIA A LA OBTENCIÓN DEL GRADO DE MAGÍSTER EN ADMINISTRACIÓN DE EMPRESAS
MENCIÓN EN FINANZAS
AUTOR Daniel Mauricio Guillén López.
CUENCA Junio del 2008
ii
iii
UNIVERSIDAD DEL PACÍFICO ESCUELA DE NEGOCIOS
ESCUELA DE POSTGRADOS Y EMPRENDEDORES
PROPUESTA DE ADMINISTRACIÓN Y EVALUACIÓN DEL
RIESGO OPERATIVO PARA EMPRESAS DE MANUFACTURA EN
EL ECUADOR
TESIS PREVIA A LA OBTENCIÓN DEL GRADO DE MAGÍSTER EN ADMINISTRACIÓN DE EMPRESAS
MENCIÓN EN FINANZAS
AUTOR Daniel Mauricio Guillén López.
DIRECTOR Econ. Esteban López Sacoto
CUENCA Junio del 2008
iv
DECLARACIÓN
Yo, Daniel Mauricio Guillén López, declaro bajo juramento que el trabajo aquí descrito
es de mí autoría; que no ha sido previamente presentado para ningún grado, calificación
profesional, o proyecto público ni privado; y que he consultado las referencias
bibliográficas que se incluyen en este documento.
__________________________
Ing. Daniel Mauricio Guillén López
v
CERTIFICACIÓN
Certifico que el presente trabajo fue desarrollado por el Ing. Daniel Mauricio Guillén
López, bajo mi supervisión.
_______________________ Econ. Esteban López Sacoto DIRECTOR DE TESIS
vi
CONTENIDOS RESUMEN ix
PRESENTACION xiv
CAPÍTULO I
RIESGO OPERATIVO DEFINICIÓN ASPECTOS NORMATIVOS Y 1
REGLAMENTOS 1.1 INTRODUCCIÓN 1
1.2 DEFINICIÓN 3
1.2.1 CARACTERISTICAS E IMPORTANCIA DEL RIESGO OPERACIONAL. 5
1.3 FUENTES DE RIESGO OPERATIVO. 6
1.3.1 PROCESOS INTERNOS. 7
1.3.2 PERSONAS. 7
1.3.3 TECNOLOGÍA DE LA INFORMACIÓN. 8
1.3.4 EVENTOS EXTERNOS. 8
1.3.5 FUENTES DE PÉRDIDAS SUSTANCIALES SEGÚN BASILEA II. 8
1.4. ASPECTOS NORMATIVOS Y REGLAMENTOS. 10
CAPÍTULO II
GESTIÓN DEL RIESGO OPERATIVO Y SU CLASIFICACIÓN. 13 2.1 INTRODUCCIÓN 13
2.2 ORGANIZACIÓN. 15
2.2.1 CARGOS Y RESPONSABILIDADES. 15
2.2.1.1 Alta gerencia. 15
2.2.1.2 Jefe de riesgos. 15 2.2.1.3 Supervisor de Riesgos. 15
2.2.1.4 Controladores de riesgos. 16 2.2.1.5 Auditores Internos. 16
2.3 IMPLEMENTACIÓN INICIAL. 16
2.3.1 POR DONDE EMPEZAR. 16
2.3.2 CREAR UNA CULTURA DE RIESGO. 17
2.3.3 IMPLEMENTACIÓN. 17
vii
2.4 ADMINISTRACIÓN DEL RIESGO OPERATIVO. 17
2.4.1 IDENTIFICACIÓN Y MEDICIÓN. 18
2.4.1.1 Matriz de riesgos. 19 2.4.1.1.1 Auto evaluaciones. 21 2.4.1.1.2 Pérdidas en las bases de datos. 21 2.4.1.1.3 Análisis de los procesos del negocio. 22 2.4.1.1.4 Análisis de escenarios. 23 2.4.1.1.5 Indicadores de riesgos. 24
2.4.1.2 Enfoques para el cálculo del capital regulatorio. 24 2.4.1.2.1 Enfoque para mediciones internas. 25
2.4.1.2.1.1 Enfoque Básico. 26 2.4.1.2.1.2 Enfoque Estándar. 26
2.4.1.2.2 Enfoque distribución de pérdidas. 27 2.4.1.2.3 Enfoque con los cuadros de mandos o Scorecard. 28
2.4.2 CONTROL O TRATAMIENTO. 28
2.4.2.1 Evitar el Riesgo. 28 2.4.2.2 Mitigar el Riesgo. 28 2.4.2.3 Compartir y transferir el riesgo. 29
2.4.2.3.1 Seguro. 29 2.4.2.4 Aceptar el riesgo. 29
2.4.3 MONITOREO. 30
2.4.3.1 Monitoreo continuo. 30 2.4.3.2 Inspecciones. 30
2.4.4 REPORTES. 31
2.4.4.1 Comunicación e información. 31 2.4.4.2 Reportes. 31
CAPÍTULO III
MÉTODOS ESPECÍFICOS DE MEDICIÓN DEL RIESGO 32
OPERATIVO INTERNO Y EXTERNO. 3.1 INTRODUCCIÓN 32
3.2 INFRAESTRUCTURA 32
3.2.1 RIESGOS GENERALES INFRAESTRUCTURA. 32
3.2.2 RIESGOS ESPECIALES – INFRAESTRUCTURA 34
3.2.3 MEDIDAS A CONSIDERAR – INFRAESTRUCTURA 34
3.3 SISTEMAS O TECNOLOGÍA DE LA INFORMACIÓN 36
3.3.1 RIESGOS GENERALES – TECNOLOGÍA DE LA INFORMACIÓN 36
3.3.2 RIESGOS ESPECIALES – TECNOLOGÍA DE LA INFORMACIÓN 38
3.3.3 MEDIDAS A CONSIDERAR TECNOLOGÍA DE LA INFORMACIÓN 39
3.4 PROCESOS 42
3.4.1 RIESGOS GENERALES – PROCESOS 42
3.4.2 MEDIDAS A CONSIDERAR – PROCESOS 44
viii
3.5 PERSONAS 46
3.5.1 RIESGOS GENERALES – PERSONAS 46
3.5.2 MEDIDAS A CONSIDERAR – PERSONAS 47
3.6 EVENTOS EXTERNOS 50
3.6.1 RIESGOS GENERALES – EVENTOS EXTERNOS 50
3.6.2 MEDIDAS A CONSIDERAR – EVENTOS EXTERNOS 52
3.7 RIESGO LEGAL 53
3.7.1 CONSIDERACIONES GENERALES DEL RIESGO LEGAL. 53
CAPÍTULO IV
FUNCIONAMIENTO DE LAS EMPRESAS DE 55
MANUFACTURA EN EL ECUADOR. 4.1 INTRODUCCIÓN 55
4.2 DIRECTORIO. 55
4.3 GERENTE GENERAL. 55
4.4 VICEPRESIDENCIA DE MANUFACTURA. 56
4.5 VICEPRESIDENCIA COMERCIAL. 58
4.6 VICEPRESIDENCIA FINANCIERA. 59
4.7 VICEPRESIDENCIA DE RECURSOS HUMANOS. 60
4.8 EJEMPLOS DE EMPRESAS DE MANUFACTURA EN EL ECUADOR 61
4.8.1 COMPAÑÍA ECUATORIANA DEL CAUCHO. 61
4.8.2 COMPAÑÍA INDURAMA. 62
4.8.3 STUACION CON RESPECTO A LA ADMINISTRACION DEL 64
RIESGO OPERATIVO.
CAPÍTULO V
MANUAL PARA CONTROLAR EL RIESGO OPERATIVO 65
EN UNA EMPRESA DE MANUFACTURA EN EL ECUADOR
CAPÍTULO VI
CONCLUSIONES Y RECOMENDACIONES 79
MARCO CONCEPTUAL 81
BIBLIOGRAFÍA 83
ix
RESUMEN
El riesgo operacional según lo propone el Comité de Basilea es la posibilidad de
que se ocasionen pérdidas a las empresas por eventos o hechos derivados de
fallas o insuficiencias en sus procesos, en las personas internas o relacionadas,
en la tecnología de la información o pérdidas por eventos externos.
Cuando una compañía usa empleados, sistemas, se desenvuelve dentro de un
ambiente social, económico y político; experimenta el riesgo operativo, el cual
nace como una forma de enfrentar todo el cambio tecnológico de la última
generación, creando una conciencia de riesgo en las empresas y analizando las
principales fuentes de riesgo de este tipo entre las cuales tenemos: El riesgo de
personas que es común para todas las empresas sin importar el tipo o línea de
negocio, ya que siempre estarán expuestas a errores humanos, sabotajes,
fraudes, robos, paralizaciones, apropiación de información, negligencia,
inapropiadas relaciones interpersonales, todas estas relacionadas con la
naturaleza misma de las personas que laboran en la compañía, luego se
describe el riesgo en la tecnología de la información, la cual con el avance de
los sistemas informáticos se ha vuelto crítico para una empresa ya que puede
afectar el funcionamiento mismo de la compañía, este riesgo está asociado a la
violación de las seguridades en los sistemas y las redes de la empresa, la
inadecuada inversión o implementación de sistemas de la empresa, así como
también todo lo que respecta al mantenimiento, renovación de tecnología e
interrupción de los sistemas, otro factor descrito son los riesgos externos que
dependen del desenvolvimiento de la empresa en un medio ambiente y todos
los agentes externos a los que está expuesta.
Es importante dentro de este contexto hacer un análisis mas profundo de las
fuentes de pérdidas según Basilea II entre las cuales constan: El fraude interno,
fraude externo, relaciones laborales, seguridad, clientes productos, prácticas de
x
negocio, daños a activos, alteraciones en la actividad, fallos en los sistemas,
errores en la introducción de datos y finalmente documentación incompleta
Para iniciar el estudio se analiza todos los aspectos normativos y reglamentos
que existen con respecto a la administración del riesgo operativo, por un lado
para las empresas de manufactura en el Ecuador no existe un documento
formal que trate este tema, por el otro para las instituciones financieras tenemos
un reglamento de la Superintendencia de Bancos y Seguros (Capítulo V, Res.
No. JB2005834 de 20 de octubre de 2005) muy elaborado el cual se describen
lineamientos generales para entender este tipo de riesgo, evaluarlo,
monitorearlo y con el tiempo mitigarlo. Este documento es analizado para
determinar similitudes, diferencias y el grado de aplicación del riesgo operativo
en las empresas de manufactura, desde el punto de vista primordial tanto los
bancos como las empresas de manufactura utilizan personas y sistemas para
poder llevar adelante su negocio, por lo tanto los riesgos inherentes a estos dos
grandes grupos son similares; cabe destacar que la principal diferencia en las
empresas de manufactura radica en que estas usan procesos de origen químico
o físico para obtener su producto terminado; además de los procesos
administrativos.
Se analizan algunas herramientas para manejar y administrar los riesgos, entre
las cuales tenemos: las matrices de riesgos en las cuales se muestran
gráficamente los riesgos de acuerdo a su frecuencia de ocurrencia y a su
severidad, de esta manera las empresas podrán determinar a simple vista el
grado de exposición al riesgo que tienen.
Para una adecuada administración del riesgo en una empresa hace falta una
estructura organizacional apropiada que permita conocer de manera exacta los
roles y responsabilidades de las distintas instancias encargadas de la
administración, la organización más común es de forma piramidal
encontrándose a la cabeza la alta gerencia, que es la responsable del manejo
de todos los riesgos y de la planeación de estrategias; luego tenemos al jefe de
riesgos que es el encargado de la implementación de las estrategias; para
xi
colaborar con éste tenemos a los supervisores de riesgos, cuya tarea principal
es la de control; además dependiendo del tamaño de la institución se cuenta
con controladores de riesgos y auditores internos.
Para administrar correctamente el riesgo operativo es necesario conocerlo a
cabalidad y contar con un plan de implementación adecuado. Para cumplir con
dicho plan, en primer lugar se debe iniciar por realizar una evaluación de la
situación del riesgo operativo en una empresa, ya que en toda compañía
existen mecanismos de control, los cuales deben ser evaluados, para
determinar la posición real de la empresa y sus distintas líneas de negocio
desde el punto de vista del riesgo operativo. Es importante que mientras se
procede con la evaluación se cree una cultura de riesgo en el personal, y
explicar de manera clara el riesgo que se está analizando para que no sea
confundido con riesgos de otro tipo o naturaleza. Una vez determinado el perfil
de riesgo de la empresa se debe realizar un plan para mitigar el riesgo de
acuerdo a la misión y la visión de la empresa, para finalmente implementarlo
comenzando por un plan piloto y luego extendiéndolo a toda la empresa o
institución.
La administración de riesgos no es cuestión de una auditoria, corregir las no
conformidades y no preocuparse hasta la próxima auditoria. Por el contrario es
un proceso continuo hasta crear una conciencia empresarial de manejo de
riesgos. Este manejo continuo puede ser descrito como un ciclo comprendido
por los siguientes pasos: Identificación, medición, control y monitoreo. En cuanto
a la identificación consiste en conocer los puntos principales de riesgo, luego es
necesario medirlos para lo cual se propone algunos métodos de medición entre
los cuales tenemos: La matriz de riesgos, que describe de manera detallada la
situación de cada riesgo; también se describe los enfoques para el cálculo del
capital regulatorio desde los tres perspectivas propuestas por Basilea II, además
dos métodos adicionales, el enfoque de distribución de pérdidas y el enfoque de
los cuadros de mando o scorecard. (Alexander, 230)
xii
Una vez que tenemos el perfil de riesgo de la compañía e identificados los
riesgos uno a uno, viene la etapa de control o tratamiento de los mismos para
mejorar su calidad, es decir, bajar su frecuencia, severidad o ambos, para
cumplir este objetivo hay varias opciones entre las cuales están: Evitar el riesgo,
lo cual no siempre es posible y se debe hacer un análisis costo beneficio para
determinar si es o no factible de implementarlo; en segundo lugar tenemos
mitigar el riesgo, que no es otra cosa que tomar directrices orientadas a bajar la
severidad o la frecuencia del riesgo dado; y finalmente tenemos la opción de
transferir o compartir el riesgo que la empresa no considera factible o rentable
retener, para lo cual se cuenta con planes de seguro.
La administración del riesgo operativo es un proceso continuo por lo tanto se
deben establecer procedimientos de monitoreo para encontrar puntos de no
conformidad y poder tratarlos.
Se hace referencia a los métodos específicos de medición del riesgo operativo,
dicho de otra manera los puntos de análisis para establecer el
riesgo operativo en una empresa de manufactura, además, la forma de mitigarlo
o controlarlo. En este aspecto tenemos la descripción de los riesgos divididos
en: infraestructura, que tiene que ver con el lugar donde funciona la empresa o
departamento en análisis incluyendo el mantenimiento, la definición de
responsabilidades y las situaciones de emergencia que se podrían presentar;
sistemas o tecnología de la información, en la cual se describen todos los
riesgos y la forma de mitigarlos con respecto a la calidad del software, a la
seguridad de los sistemas y el manejo de la información en cada departamento
o gerencia; procesos, al igual que en los ítems anteriores se determinan los
puntos a considerar en los procesos de la empresa entre los cuales está la
documentación adecuada, el análisis de los procesos como tal y los
procedimientos para la implementación de proyectos en la empresa; en cuanto
al personal se pone especial énfasis en la ética y el código de comportamiento
exigido por la empresa, los errores que pueda cometer el personal y la
suficiencia del recurso humano en las distintas áreas de la empresa; finalmente
xiii
se presenta una breve descripción de los eventos externos que pueden afectar
a la empresa además del riesgo legal que es intrínseco de todos otros riesgos
analizados.
Se hace mención adicionalmente de una manera detallada al funcionamiento de
las empresas de manufactura en el Ecuador desde el punto de vista
organizacional, estableciéndose que la estructura mas utilizada es la de tipo
piramidal, basándose principalmente en la distribución departamental, las
diferentes gerencias o vicepresidencias, llegando en la punta de la pirámide a la
presidencia o dirección general y la junta de accionistas. Para finalizar y como
ejemplo de empresas de manufactura en el Ecuador se presentan junto a una
breve descripción los organigramas de la Compañía Ecuatoriana del Caucho e
Indurama. Es importante resaltar que no existe un conocimiento de lo que
significa riesgo operativo, y por consiguiente no tienen un departamento que se
encargue de la administración de riesgos.
Por último se pone a consideración una propuesta para la auditoria inicial de
riesgo operativo aplicado a una empresa de manufactura mediante la cual se
puede determinar las conformidades y los puntos en donde se debe intervenir
para hacer que una empresa de manufactura esté menos expuesta al riesgo
operativo y de esta manera cumplir con el objetivo principal de la presente tesis.
La conclusión principal radica en que el manejo del riesgo operativo en una
empresa de manufactura debería convertirse en una cultura de riesgo de la
institución o compañía ya que la adecuada administración de los riesgos en una
empresa presentaría beneficios económicos simplemente evitando que la
empresa quede expuesta a situaciones o casos que pueden ser fácilmente
administrados y mitigados. Inclusive el riesgo operativo puede ser utilizado para
generar una nueva forma y visión del manejo del recurso o talento humano en
una compañía o institución.
xiv
PRESENTACION
La administración de riesgos para instituciones bancarias son propuestas por el
Comité de Basilea, para dichas empresas no es nada nuevo administrar los
riesgos de crédito y de mercado, pero últimamente El Comité de Basilea
propone un adecuado manejo y administración del riesgo operativo para evitar
perdidas financieras debido a fallas en los procesos, en la tecnología de la
información, en las personas, o en su defecto por eventos externos que puedan
afectar a las instituciones financieras, en definitiva la propuesta es una nueva
manera de ver los riesgos de una empresa pero de una manera global, teniendo
excelentes resultados en su aplicación en instituciones de esta índole, es claro
que esta visión de administración de riesgos puede ser adaptada a las
empresas de manufactura las cuales no tienen un sistema de manejo de riesgos
muy avanzado y en algunas empresas inclusive la cultura de riesgo es
inexistente.
Basado en lo anterior el presente trabajo presenta un estudio del riesgo
operativo propuesto por el Comité de Basilea para instituciones financieras y lo
adapta a empresas de manufactura, tomando en cuenta su estructura y sus
áreas de mayor exposición.
1
CAPÍTULO I
RIESGO OPERATIVO DEFINICIÓN ASPECTOS
NORMATIVOS Y REGLAMENTOS
1.1 INTRODUCCIÓN
Una de las preguntas que todos se hacen cuando escuchan hablar de
riesgo operativo por primera vez es: ¿Tiene que ver con accidentes de trabajo o
algo parecido? La respuesta desde mi punto de vista es no, un accidente
aislado no puede ser evaluado, medido, monitoreado mucho peor controlado
desde el concepto del riesgo operativo, como veremos más adelante tiene un
enfoque totalmente diferente y está diseñado para manejar determinadas
fuentes de riesgo de una empresa que podrían desencadenar en pérdidas
financieras por deficiencias o fallas en procesos internos, en la tecnología de la
información, en las personas o por ocurrencia de eventos externos adversos;
por otro lado un gran accidente, si puede ser evaluado desde esta óptica para
ilustrar esto me permitiré citar un pasaje del reporte de la International Atomic
Energy Agency (IAEA)
En la Unidad 4 tenía la posibilidad para los operadores de deshabilitar
manualmente ciertos sistemas de seguridad, eliminar sensores que apagan el
proceso en caso de falla, resetear o suprimir varias señales de alarma. Esto
podría ser realizado ordinariamente conectando jumper y alambres […]. Los
procedimientos de operación permitían estas deshabilitaciones bajo ciertas
circunstancias.
Bloquear el sistema de enfriamiento de emergencia y permitir la
operación por un periodo prolongado con el sistema vital de seguridad
deshabilitado es un indicativo de una ausencia de una cultura de seguridad.
2
Pues todos estos pasos y procedimientos aunque suenan ilógicos se dieron uno
a uno en Chernobyl el 26 de abril de 1986.
Este es un claro ejemplo de lo que puede pasar en una empresa con una
pobre cultura de riesgo, más aún el desconocimiento de riesgo operativo,
puesto que existieron errores de procesos y de personas, dando como resultado
una de las peores catástrofes atómicas en la historia, que hasta el día de hoy se
pueden sentir sus consecuencias.
La banca fue la pionera en proponer el manejo y administración
adecuada de este tipo de riesgos, conceptos que estudiaremos en principio para
poder proceder luego a adaptarlos a empresas de manufactura, puesto que
desde el punto de vista más básico la banca como la industria tienen en común
este riesgo debido a que ambas tienen procesos internos para cumplir sus
objetivos, tienen personas para realizar los diferentes trabajos, tienen sistemas y
manejos de información tanto para la operación de la misma empresa como
para la comunicación y coordinación interna, las dos se desenvuelven en un
medio ambiente y están sometidos a eventualidades externas que podrían
afectar su desempeño , y finalmente tienen que cumplir leyes y reglamentos del
país en el que se encuentran; por lo tanto si se pueden tomar los conceptos
desarrollados para la administración del riesgo de la banca, para una empresa
de manufactura lo cual es el objetivo principal de la presente tesis, comprender
el riesgo operativo y presentar una propuesta para el manejo del mismo en las
empresas de Manufactura en el ámbito Ecuatoriano
3
1.2 DEFINICIÓN
El primer concepto de Riesgo operativo se dio por el año de 1999 por Robert
Morris Associated el cual proponía que el riesgo operacional son las pérdidas
directas o indirectas como resultado de un inadecuado manejo o fallas en los
procesos internos, personas y sistemas o por eventos externos. El comité de
Basilea adoptó prácticamente la misma definición pero con unos pequeños
cambios como el de no incluir las pérdidas indirectas puesto que son muy
difíciles de determinar y cuantificar, dejando abierta la puerta para propósitos
internos de las instituciones los riesgos indirectos tales como el servicio, la
reputación, y la interrupción del negocio deben ser considerados.
Jorge Olaya afirma que las empresas de cualquier sector de negocios tienen
diferentes niveles de exposición al Riesgo Operacional lo cual es totalmente
coherente como ya se ha ilustrado en la introducción.
El riesgo operacional no es otra cosa que la posibilidad de ocurrencia de
pérdidas financieras por deficiencias o fallas en los procesos internos, en la
tecnología de información, en las personas o por ocurrencia de eventos
externos adversos. El riesgo operacional incluye el riesgo legal pero excluye el
riesgo estratégico y el de reputación. Este es el concepto más difundido con
respecto al riesgo operacional para entender la interrelación entre estos eventos
se presenta la siguiente Figura 1.1. Figura 1.1 Definición de riesgo operacional de acuerdo con Basilea.
Fuente: Buchelt,5
4
¿Que interrelación tiene con los demás riesgos? ¿Es un riesgo aislado? Voy a
ampliar el concepto para que se tenga una visión más específica de todo lo que
engloba el manejo de este tipo de riesgo.
Los riesgos desde un principio de los tiempos siempre han estado allí, hoy con
el avance de los estudios los hemos definido y clasificado para poder
determinarlos, analizarlos, evaluarlos y mitigarlos, es así como en un principio
para la banca existían sólo los riesgos inherentes a cada línea de negocio,
conciente de esto las entidades bancarias, que han sido las pioneras en el
desarrollo de conceptos de riesgos, formaron en 1974 el Comité de Basilea para
la Supervisión Bancaria con la idea de promover la estabilidad en los bancos y
compartir experiencias de unos con otros para crear una banca segura y
confiable, en el año de 1988 este comité propone el Riesgo de Crédito, para
1996 se llega al concepto del Riesgo de Mercado, por el año de 1999 se
comienza a hablar del riesgo operativo pero no fue sino hasta febrero del 2003
cuando se tiene el documento conocido como Buenas Prácticas para la Gestión
y Supervisión del Riesgo Operativo(Basilea II) el cual tenia plazo para entrar en
vigor hasta el 2006, para ilustrar de mejor manera la evolución de los riesgos
antes descritos tenemos la Figura 1.1 en la cual podemos visualizar de una
manera más amigable la evolución del manejo de riesgos en la banca.
Figura 1.2 Evolución del riesgo según el Comité de Basilea para la Supervisión Bancaria
Fuente: Buchelt,8 modificado por el autor
5
1.2.1 CARACTERISTICAS E IMPORTANCIA DEL RIESGO
OPERACIONAL.
Tan pronto como una compañía usa empleados, sistemas, o está sujeta a
impactos externos emerge el riesgo operacional mucho antes que el riesgo de
mercado o el crediticio. La experiencia muestra que en los pasados 15 años
este tipo de riesgo es la mayor fuente de pérdidas financieras en el sector de la
banca. Muchos de las pérdidas atribuidas a riesgos de mercado o de crédito,
están al menos relacionadas con riesgo operativo, en otras palabras el riesgo
operativo puede ver materializada su pérdida directa o indirectamente en los
riesgos de crédito o de mercado, en la figura 1.3 tenemos ilustrada la
interrelación entre los diferentes riesgos. Figura 1.3 Materialización del riesgo operacional.
Fuente: (Buchelt,11).
Para ilustrar esto tomaré algunos ejemplos: (Buchelt,15)
Ø En Alemania, Jürgen Schneider obtuvo excesivos prestamos de más
de 50 bancos mediante balances falsos y documentos de construcción,
su colapso financiero resultó en pérdidas de 2.4 billones de marcos
alemanes, en este caso los bancos actuaron negligentemente y no
examinaron a profundidad los datos proveídos por Schneider, en
6
definitiva malas decisiones y empleados influenciados por los gerentes
del banco.
Ø El tesorero de Orange County Investment Pool había ganado
sustanciosos rendimientos invirtiendo en inversiones a plazo fijo
mientras los intereses se mantenían estables o decrementaban. Sin
embargo la subida de intereses en el año de 1994 en adelante la
relativa baja en los precios de los bonos, resultaron en enormes
pérdidas (USD 7,8 billones) llevando a Orange County a la bancarrota.
A primera vista parece un caso de riesgo de mercado pero, fue una falla
de modelo de riesgo, y sobre todo una falla de controles internos y
externos, como también falta de conocimiento y manejo de la
competencia.
Estos ejemplos nos permiten ilustrar que el manejo de los riesgos es una
cuestión del día a día y que no necesariamente algo que funcionó antes debe
convertirse en una regla para las inversiones del futuro, con el adecuado manejo
y un control mínimo estas pérdidas se hubieran evitado, debido a estos y
muchos otros casos nace la necesidad de la administración de riesgos siendo el
concepto más nuevo la administración del riesgo operativo.
1.3 FUENTES DE RIESGO OPERATIVO.
El comité de Basilea conciente del cambio fruto del avance de las tecnologías
financieras, la globalización de servicios financieros, las nuevas tecnologías
para el manejo de datos ha determinado que también los perfiles de riesgo
cambien, pero si en la banca se han dado tantos cambios porque no enfocarlo
hacia la industria manufacturera donde también se han dado avances
significativos en las tecnologías de producción, también se dan fusiones y
alianzas estratégicas, también se tiene personal, teniendo esto en cuenta
analizaremos las principales fuentes de riesgo operativo.
7
1.3.1 PROCESOS INTERNOS.
Es la probabilidad de pérdidas financieras relacionadas con el diseño
inapropiado de los procesos críticos y con políticas y procedimientos
inadecuados o inexistentes que puedan tener como consecuencia el desarrollo
deficiente de las operaciones y servicios o la suspensión de los mismos (Medina
,25)
En este sentido podemos decir que en las empresas manufactureras también
comparten este tipo de riesgos obviamente con sus diferencias, pero en este
tipo de empresas también tenemos evaluación de contratos, información
contable, plazos, presupuestos a cumplir y procedimientos para producción.
Errores en cualquiera de estos ámbitos podrían desencadenar en pérdidas
financieras para las empresas al igual que en la banca.
1.3.2 PERSONAS.
Esta es una fuente de riesgo común para todas las empresas no importa
de que tipo o línea de negocio sea, la posibilidad de que se den pérdidas
financieras asociadas con negligencia, error humano, sabotaje, fraude, robo,
paralizaciones, apropiación de información, inapropiadas relaciones
interpersonales, ambiente laboral desfavorable, falta de especificaciones claras
en los términos de contratación de personal o personal con destrezas
inadecuadas, prácticas débiles de contratación y la lista continúa; en definitiva
todo aquello que tenga que ver directamente con el personal que labora en una
empresa.
8
1.3.3 TECNOLOGÍA DE LA INFORMACIÓN.
Es la posibilidad de pérdidas financieras derivadas del uso inadecuado de
sistemas de información y tecnologías relacionadas que puede afectar la
planificación y los servicios que tiene una empresa o institución, en esta fuente
de riesgo se puede incluir errores en la implementación de dichos sistemas,
violaciones a las seguridades del mismo, otro factor importante es la inadecuada
inversión en tecnología, y las fallas e interrupción en los sistemas.
1.3.4 EVENTOS EXTERNOS.
Los eventos externos son comunes para todas las empresas e
instituciones afectándolas en mayor o menor grado y están definidos como la
probabilidad de pérdidas directamente derivadas de sucesos externos a la
empresa y por lo tanto que no están en control de la misma afectando el
desarrollo normal de sus actividades y algunas veces hasta provocando la
interrupción del negocio. En esta fuente de riesgo se deben incluir los de origen
legal, cambio de leyes y condiciones políticas del país, las fallas en los servicios
públicos, desastres naturales, actos delictivos, así como también fallas en los
servicios y productos proveídos por terceros.
1.3.5 FUENTES DE PÉRDIDAS SUSTANCIALES SEGÚN BASILEA II.
El comité de Basilea recomienda que se tenga un claro concepto de lo que
significa el riesgo operativo para poder manejarlo de manera apropiada así
como también da los lineamientos mínimos para el manejo del riesgo operativo
sin que esto signifique que los bancos y empresas financieras en general no
puedan desarrollar mejores estrategias para determinar las fuentes de riesgo,
evaluarlas, medirlas, monitorearlas y transferirlas si el caso lo amerita. A
continuación se recogen los diferentes eventos de riesgo operativo que el
9
comité, en colaboración con la banca, ha identificado como posibles fuentes de
pérdidas sustanciales (Basilea II, 2):
Ø Fraude interno: Errores intencionados en la información sobre
posiciones, robos por parte de empleados, utilización de información
confidencial en beneficio de la cuenta del empleado.
Ø Fraude externo: Atraco, falsificación, circulación de cheques en
descubierto, daños por intrusión en los sistemas informáticos.
Ø Relaciones laborales y seguridad en el puesto de trabajo: Solicitud
de indemnizaciones por parte de los empleados, infracción de las normas
laborales de seguridad e higiene, organización de actividades laborales,
acusaciones de discriminación, responsabilidades generales.
Ø Clientes Productos y prácticas de negocio: Fallas que afecten a
clientes ya sea por parte del personal sin intención o de manera negligente,
así como también, fallas de diseño del producto.
Ø Daños a activos materiales: Terrorismo, vandalismo, terremotos,
incendios, inundaciones.
Ø Alteraciones en la actividad y fallos en los sistemas: Fallos del
hardware o del software, problemas en las telecomunicaciones, interrupción
en la prestación de servicios públicos.
Ø Ejecución, entrega y procesamiento: Errores en la introducción de
datos, documentación jurídica incompleta, concesión de acceso no
autorizado a las cuentas de los clientes, prácticas inadecuadas de
contrapartes distintas de clientes, litigios con distribuidores.
Como podemos ver, ya con conocimiento de causa, las empresas de
manufactura también están expuestas a todos estos riesgos, más allá de eso el
manejo adecuado de estos riesgos permitiría generar una nueva forma de llevar
y controlar una empresa.
10
1.4. ASPECTOS NORMATIVOS Y REGLAMENTOS.
Con respecto a las empresas de manufactura en el Ecuador no existe un
reglamento ni un documento formal que contemple la administración del riesgo
operativo, ni siquiera están concientes de lo expuestos que están a este tipo de
riesgo.
Por otro lado en la banca el panorama es muy diferente, a mi criterio, Ecuador
es uno de los países en América Latina que más ha avanzado en la generación
de reglamentos para la gestión del riesgo operativo, es así como la
Superintendencia de Bancos y Seguros destinando todo un capítulo (Capítulo
V, Res. No. JB2005834 de 20 de octubre de 2005) para reglamentar este fin.
El documento está muy bien elaborado desde el punto de vista de definiciones y
procedimientos que la banca e instituciones financieras deben conocer y seguir
para entender, evaluar, mitigar y monitorear el riego operativo, pero sólo desde
el punto de vista cualitativo, y con una proyección a futuro para poder predecir o
evitar pérdidas ya que no especifica un método para definir los requerimientos
de capital como propone el acuerdo de Basilea.
A continuación se presenta una síntesis del reglamento para la gestión de
riesgo operativo propuesto por la Superintendencia de Bancos y seguros del
Ecuador
Sección I. Ámbito Definiciones y Alcance. En las cuales se propone un marco
conceptual de la terminología que se ha de utilizar, así como también propone
las definiciones de riesgo operativo de acuerdo con lo propuesto por Basilea.
Sección II. Factores del riesgo operativo, hace una reseña muy detallada de
los aspectos que se deben tomar en cuenta para minimizar la probabilidad de
incurrir en pérdidas financieras atribuibles al riesgo operativo, entre las cuales
están procesos, personas, Tecnología de la Información, Eventos Externos.
11
Sección III. Administración del Riesgo Operativo. En esta sección están
contemplados los lineamientos para la administración de este riesgo, haciendo
hincapié en la realidad de que sin este riesgo no es administrado
adecuadamente puede afectar el logro de los objetivos planteados por la
institución y la continuidad de la misma, también lista los eventos de riesgo
operativo que deberán ser analizados por línea de negocio para reducir la
exposición a este riesgo, entre los eventos propuestos tenemos: Fraude interno;
fraude externo; prácticas laborales y seguridad en el ambiente de trabajo;
prácticas relacionadas con los clientes, los productos y el negocio; daños a los
activos físicos; interrupción del negocio por fallas en la tecnología de la
información; y, deficiencias en la ejecución de procesos, en el procesamiento de
operaciones y en las relaciones con proveedores y terceros, propone un ejemplo
de cómo las instituciones podrían clasificar sus eventos, agrupándolos
debidamente por factores de riesgo; una réplica de este cuadro tenemos en el
Anexo A, cabe destacar que no es una obligación para las instituciones
financieras usar un cuadro igual a éste, pero los reportes deben acogerse a
dicho formato, pero, para llegar al mencionado reporte las empresas financieras
y la banca pueden generar sus mapas de riesgos, cuadros de mando, bases de
datos, que más se ajusten a sus necesidades; siempre y cuando constituyan un
manejo formal y estén debidamente documentadas y aprobadas.
Sección IV. Continuidad del negocio. Define en primera instancia la
continuidad del negocio como la capacidad para operar en forma continua y
minimizar las pérdidas en caso de una interrupción severa del negocio, y
propone algunos aspectos claves a ser analizados, para los cuales se deben
presentar los planes de continencia o de continuidad del negocio según sea la
criticidad de la situación.
Sección V. Responsabilidad en la administración del riesgo operativo. En esta
sección se hace referencia a las distintas instancias de una institución y sus
responsabilidades, comenzando por el directorio o quien haga sus veces, el cual
es responsable de aprobar y crear una cultura del manejo del Riesgo Operativo,
12
el comité de administración es el encargado de evaluar las políticas y procesos
así como también designar los lideres encargados de llevar acabo las
actividades previstas para el correcto manejo del riesgo operativo, finalmente
tenemos a los responsables los cuales tendrán que liderar las acciones e
implementaciones orientadas a mitigar el riesgo operativo así como también
monitorearlo y evaluarlo.
Sección VI. Disposiciones generales. Van dirigidas primero a la calificación
adecuada de los proveedores, y a contar con proveedores alternos, luego
dispone que la Superintendencia de Bancos y Seguros tenga la potestad de
recomendar la adopción de medidas adicionales para atenuar la exposición al
riesgo de las entidades controladas, esto en adición a que el ente de control
podrá requerir de las instituciones controladas, la información que considere
necesaria para una adecuada supervisión del riesgo operativo, finalmente deja
en claro las sanciones en caso de incumplimiento a dicho reglamento.
Sección VII. Disposiciones transitorias. Señala los plazos para las distintas
etapas de implementación de las disposiciones previstas.
En resumen, éste es el contenido del capítulo orientado al manejo del riesgo
operativo de la resolución JB2005834 de la Superintendencia de Bancos y
Seguros del Ecuador el cual es muy completo, pero para las empresas de
manufactura no hay ninguna recomendación mucho peor una resolución de
tales magnitudes que les permita una administración adecuada del Riesgo
Operativo.
13
CAPÍTULO II
GESTIÓN DEL RIESGO OPERATIVO Y SU
CLASIFICACIÓN. 2.1 INTRODUCCIÓN Hay varios parámetros que permiten manejar y administrar de una manera
adecuada los riesgos para lo cual en primera instancia hay que conocerlos a
fondo, clasificarlos y de acuerdo a esto tomar decisiones de cómo se los va a
administrar.
Una de las maneras más simples de clasificar a los riesgos de una empresa es
ubicarlos o mapearlos en un cuadro o matriz de riesgos con la frecuencia de
ocurrencias y el impacto que estos riesgos causan en la compañía, de ésta
manera se distinguen tres grandes grupos: en el primero podemos agrupar
todos aquellos eventos que son muy poco frecuentes y con bajas pérdidas
potenciales o de bajo impacto normalmente son los riesgos que asume la
empresa, es decir, acepta los riesgo y se deben incluir en los costos, en el
precio del producto final; en un segundo grupo se encuentran los eventos que
se dan con mucha frecuencia pero que pero que tienen un bajo impacto, para lo
cual ya es necesario una cultura de administración de riesgos ya que pese a
que la severidad es baja la frecuencia de ocurrencia hace que los costos sean
altos, en esta zona de pérdidas esperadas es en la que ya se hace necesaria
una adecuada administración y sistematización de estos riesgos para disminuir
la frecuencia de ocurrencia de los mismos; finalmente está la zona de pérdidas
de consideración, en la cual los eventos que dan origen a éstas, no son muy
frecuentes pero el impacto es de consideración. Entre las herramientas que se
disponen para el manejo de este tipo de riesgos tenemos: Planes de
contingencia, planes de continuidad del negocio y los seguros o transferencia
del riesgo. En la figura 2.1 se muestra la matriz antes descrita.
14
Figura 2.1 Matriz de Administración del riesgo operacional como función del impacto potencial y la frecuencia
Fuente: (Buchelt, 15).
Pero el manejo del riesgo no termina aquí por si sólo, ni existe una receta
exacta para cada institución; por el contrario el manejo de los riesgos tiene que
ser el resultado, de una conjunción entre la misión y la visión de la compañía por
el un lado, y su disponibilidad de tomar riesgos, es decir sus políticas y
estrategias de riesgo, por el otro. Es necesario balancear estos componentes
para comprender la cultura de riesgo de la compañía y generar una
administración que se adecue a su realidad. No se debe olvidar que los
componentes básicos de la administración del riesgo operativo son similares, en
definitiva cada proceso de administración de riesgos no es más que un traje a la
medida de la institución que se está analizando, puesto que cada negocio tiene
sus condiciones particulares lo cual le hace único y por ende es necesario
primero comprenderlo para proponer un esquema de administración de riesgos.
15
2.2 ORGANIZACIÓN. Para realizar una correcta gestión de administración del riesgo operativo es
necesario una organización adecuada, lo que constituye la columna vertebral en
donde la administración de riesgo operativo basa su funcionamiento, en
definitiva un organigrama con responsables, roles y responsabilidades, una
definición y diferenciación clara de los métodos y tareas para el manejo de los
riesgos asociados, y porque no incluir los sistemas computacionales e
infraestructura.
2.2.1 CARGOS Y RESPONSABILIDADES.
Es necesario una definición exacta de roles y responsabilidades en una
empresa para poder administrar el riesgo operativo a cabalidad a continuación
pasamos a describir las partes primordiales del organigrama para este fin.
2.2.1.1 Alta gerencia. Es responsable por todos los riesgos de un banco o
empresa en general así como también de diseñar e planear las estrategias para
administrarlo. Sin el apoyo activo de la alta gerencia no se pueden conseguir
buenos resultados.
2.2.1.2 Jefe de riesgos. Es el responsable de la implementación de las
estrategias de riesgo propuestas por la alta gerencia, en otras palabras es la
instancia encargada de desarrollar y dar soporte a los diferentes proyectos
encaminados a una administración adecuada de los riesgos.
2.2.1.3 Supervisor de Riesgos. La tarea principal de esta instancia es el control de
la administración de riesgo, para poder cumplir ésta tarea tiene que ser
informado de manera detallada de las estrategias y los pasos a seguir para
poder mantener un control adecuado de las mismas, dicho de otra manera tiene
que entender cuales son los puntos en los que se pueden dar pérdidas
importantes para que sea capaz de evaluar y mitigar correctamente los riesgos.
En entidades grandes ésta instancia está formada por un comité ya que cada
línea de negocio requiere de diferentes estrategias y seguimiento.
16
2.2.1.4 Controladores de riesgos. Sólo es aplicable en entidades sumamente
grandes y son los encargados de la implementación de campo de cada uno de
los métodos adoptados tanto para evaluar y monitorear los riesgos así como
también para mitigarlos y controlarlos.
2.2.1.5 Auditores Internos. Estos deben actuar como auditores propiamente
dicho pero también como consejeros y soporte de los proyectos que se
ejecuten, en definitiva, si una auditoria, deja como resultado puntos en los que
se podrían dar potenciales pérdidas, es parte del trabajo de los auditores
recomendar como solucionar o por lo menos, mitigar estas deficiencias, además
de dar asistencia técnica para su implementación.
2.3 IMPLEMENTACIÓN INICIAL. Administrar el riesgo operativo es la finalidad de este trabajo, hasta ahora
sabemos de que se trata, que comprende, sus distintos alcances, y la
organización necesaria para poderlo administrarlo; pero surge las preguntas
¿Por donde empezar?, ¿Cómo administrarlo?, para contestar estas preguntas
en primer lugar se describirá como comenzar un proceso de administración del
riesgo operativo para luego describir de manera más detallada el ciclo de
manejo de riesgos y las diferentes herramientas desarrolladas para este fin.
2.3.1 POR DONDE EMPEZAR.
Hoy en día, en toda empresa ya existe determinados métodos de control, que ya
sea de manera directa o indirecta están encaminados a limitar el riesgo
operativo, pese a que en concepto no se conozca como tal. Debido a que la
administración de toda empresa necesita algún método para poder controlar la
misma y en base a la experiencia adquirida, saben donde se encuentran los
puntos de potenciales pérdidas, cabe destacar que esta “experiencia adquirida”
tiene un costo, el cual, el manejo del riesgo operativo propone evitar o al menos
limitar. Tomado en cuenta lo antes mencionado es claro que se debe comenzar
por una auditoria interna, evaluando desde el punto de vista de riesgo operativo
la situación de cada departamento, tanto en lo que concierne a personas,
17
procesos, sistemas de información o manejo de información, y la infraestructura
que disponen. Para determinar la posición real de la empresa y de todas sus
líneas de negocio frente al riesgo operativo es decir determinar su perfil de
riesgo siempre de acuerdo a la misión y visión de la institución.
2.3.2 CREAR UNA CULTURA DE RIESGO.
Se dice que las mayores pérdidas se han dado cuando se cree que todo anda
bien y que no se corre ningún riesgo, en otras palabras cuando entramos en la
rutina y creemos tener pleno conocimiento de lo que pasa o pueda pasar. Por
esta razón en primera instancia se debe realizar una descripción del riesgo
operativo, que comprende, cuales son sus alcances, como encaja con los otros
riesgos de una empresa y su sistema organizacional, para que no sea
confundido con riesgos de otro tipo o naturaleza, y se fomente una cultura de
riesgo.
2.3.3 IMPLEMENTACIÓN.
Se recomienda comenzar la implementación mediante proyectos piloto en
determinados campos y sólo después de todas las revisiones requeridas
proceder a extenderlos por otros departamentos de la compañía.
Conjuntamente con las medidas que se tomen para esta implementación se
debe comenzar a crear una base de datos, si es que no existe aun, con los
eventos que generen pérdidas y sus cuantías, para en un futuro poder
agruparlas evaluarlas y mitigarlas.
2.4 ADMINISTRACIÓN DEL RIESGO OPERATIVO. La administración de riesgos no es cuestión de una auditoria, corregir lo
que salió como no satisfactorio en la misma y no preocuparse hasta la próxima
auditoria. Por el contrario es un proceso continuo hasta crear una conciencia
empresarial de manejo de riesgos. Este manejo continuo puede ser descrito
como un ciclo mostrado en la figura 2.1 comprendido por los siguientes pasos:
Identificación, Medición, Tratamiento o control y monitoreo.
18
Figura 2.1 Administración del Riesgo operativo.
Fuente: (Buchelt, 24).
2.4.1 IDENTIFICACIÓN Y MEDICIÓN.
La identificación y medición de los riesgos es fundamental para todo el proceso
de administración del riesgo operativo, es importante conocer las fuentes
potenciales de riesgos y como medirlos, en el capítulo tres se profundizan los
puntos específicos de medición.
Basados en el contexto de los objetivos de negocios y en como hacer que estos
se cumplan a cabalidad la pregunta que debemos hacernos es ¿En que riesgos
estamos incurriendo?, ¿Qué podemos prevenir para cumplir los objetivos
trazados? La definición de riesgo operacional provee un amplio contexto para
definir potenciales amenazas, en adición a esto tenemos los eventos históricos
de una empresa y los indicadores de riesgo, que proveen información de cuales
pueden ser las fuentes potenciales de riesgo (Alexander, 246).
Durante la identificación de los riegos debemos considerar algunos aspectos
para determinar el perfil de riesgo de una compañía por ejemplo (Buchelt,24)
Ø Tipo de consumidores, actividades y productos
Ø Diseño, implementación y efectividad de los procesos y sistemas
Ø Cultura de riesgo y tolerancia de riesgo de la Compañía
19
Ø Reglamento del personal y contratación.
Ø Entorno de la Compañía.
El resultado de la identificación de riesgos es un mapa, en el que se detalla los
riesgos a los que se exponen cada línea de negocio o proceso organizacional.
Este mapa de riesgos normalmente tiene dos ejes frecuencia y severidad, el
mismo puede ser determinado tanto cualitativa como cuantitativamente, para
determinar estos valores ya sea de manera cualitativa o cuantitativa tenemos
herramientas tales como: (Buchelt,25)
Ø Auto evaluaciones
Ø Pérdidas en las bases de datos
Ø Análisis del procesos del negocio
Ø Análisis de Escenarios
Ø Indicadores de riesgos.
2.4.1.1 Matriz de riesgos. Cada riesgo tiene que ser mapeado dentro de una
matriz de riesgos en la cual, el un eje se encuentra describe la severidad del
riesgo, en otras palabras el impacto potencial o pérdida financiera que éste
podría acarrear; mientras que el otro describe la frecuencia o probabilidad del
riesgo. Para este estudio en particular usaremos la matriz de riesgo con el
impacto potencial o severidad en el eje de las ordenadas y la probabilidad en las
abscisas de forma cualitativa como muestra la figura 2.2
20
Figura 2.1 Matriz de riesgos.
4 a 5 CASI SEGURO
3 a 4 PROBABLE
2 a 3 MEDIO
1 a 2 IMPROBABLE
0 a 1 RARO
0 a 1
INSIGNIFICANTE 1 a 2 MENOR 2 a 3 MEDIO 3 a 4 MAYOR
4 a 5
CATASTROFICO
PROBABILIDAD DE OCURREN
CIA
IMPACTO POTENCIAL O SEVERIDAD Fuente: (Alexander, 222)
Es claro que esta matriz no está diseñada para darnos una medida precisa del
riesgo, lo cual en la mayor parte de los casos no es realmente posible, pero nos
permite ubicar los riesgos en orden de potenciales pérdidas financieras para la
empresa y de esta manera nos ayuda a priorizar las acciones a tomar. Para este
fin se ha dividido la matriz de riesgos en colores los cuales nos permiten
determinar las acciones que se deben tomar y la frecuencia de revisión según la
tabla 2.1
Tabla 2.1 Clasificación de los riesgos y frecuencia de monitoreo.
RIESGO SIGNIFICANTE
RIESGO ALTO
RIESGO MODERADO
RIESGO BAJO
SEVERIDAD DEL RIESGO MONITOREO E INTERVENCION
CONTROLES ADICIONALES REQUERIDOS
CONTROL FRECUENTE (3 MESES) Y ANALISIS COSTO BENEFICIO
CONTROL MODERADO (6 MESES)
NO NECESITA DE CONTROL FORMAL SOLO MONITOREO PERIODICO
Fuente: (Alexander, 222)
Está claro que el fin de la administración del riesgo operativo consiste que una
vez identificados y medidos los riesgos, se debe tomar las directrices necesarias
para administrarlo y de esta manera poder mejorar la calidad del riesgo, es decir
hacerlo de menor severidad, frecuencia o las dos; en caso de no poder tomar
ninguna acción para mitigar el riesgo y el mismo no es aceptable se debe
21
considerar la opción de compartirlo o transferirlo, tema que se trata mas
adelante.
2.4.1.1.1 Auto evaluaciones. A las auto evaluaciones se las conoce también
como inventario de riesgos y es una importante herramienta a tomar en cuenta
puesto que, en primer lugar nos deja resultados sistemáticos de tipo cuantitativo
o cualitativo según se requiera y en segundo lugar aumenta la conciencia de
riesgo en el personal lo cual es una gran ayuda para un mejor desempeño en
futuros procesos.
En la mayoría de casos las auto evaluaciones toman forma de cuestionarios
estructurados con preguntas cerradas, mesas redondas, grupos focales y
entrevistas complementarias, no hay que olvidar que el propósito fundamental
de esto, es identificar fuentes significativas de riesgo operativo. Una vez
determinados los riesgos se los puede evaluar cuantitativamente usando
cuadros de mandos (scorecards) mediante los cuales se les puede asignar una
frecuencia de pérdidas y una severidad para ubicarlos en la matriz de riesgos
respectivamente. Otra herramienta importante es un análisis FODA (fortalezas,
oportunidades, debilidades y amenazas) el cual puede ayudar a determinar ya
en primera instancia como controlar y mitigar el riesgo, y con un poco de suerte
hasta como hacer de éste una fortaleza para la empresa.
El proceso de auto evaluaciones no tiene que realizarse sólo cuando se
comienza un proceso de administración de riesgo operativo, si no regularmente.
En la práctica la mayoría de los bancos más grandes realizan proceso de auto
evaluaciones una vez al año, y los bancos más pequeños cada vez que un
cambio mayor toma lugar. (Buchelt, 26)
2.4.1.1.2 Pérdidas en las bases de datos. Pérdidas en las bases de datos son de
carácter interno y externo usualmente almacenadas y clasificadas por eventos,
un análisis adecuado y sistemático de estos datos forman base de la situación
de riesgo de la empresa o banco y subsecuentemente nos sirve para el control
de riesgos. La calidad de los modelos de medida del riesgo operacional es
22
directamente proporcional a la calidad de los datos almacenados e
investigaciones realizadas en las pérdidas de bases de datos.
Hay que estar concientes que la mayoría de pérdidas de bases de datos serán
frecuentes pero de baja severidad, lo que se debe tender en esta situación es
reducir la frecuencia de ocurrencia de estas pérdidas, por otro lado pérdidas
mayores de las bases de datos no ocurren a menudo, pero pueden afectar la
estabilidad de la institución, por lo tanto hay que sugerir las adecuadas
directrices para minimizar este riesgo.
La información que es necesaria tomar en cuenta en cada evento de pérdida de
datos son:
Ø Fecha, el evento, la forma en la que fue detectado, y la información a la que
tuvo acceso.
Ø La severidad de la pérdida evaluada en forma financiera si el caso amerita.
Ø Pérdidas relacionadas con compensaciones.
Ø Tipos de eventos y categorías.
Ø Línea de negocios.
Ø Localización de la compañía
Otra decisión importante es como manejar los eventos que no dejaron pérdidas
monetarias, pero que no dejan de ser un riesgo de pérdida o fuga de
información.
2.4.1.1.3 Análisis de los procesos del negocio. La identificación de los procesos de
la empresa pasando por todas la líneas de negocio es sumamente importante
tanto procesos productivos como administrativos para determinar de una
manera adecuada los riesgos debido a los procesos del negocio, hay una
conexión muy cercana entre la auto evaluación y el análisis de procesos puesto
que las encuestas, y grupos focales pueden estar orientados a determinar este
tipo de riesgos. Se analiza los procesos como tal y la cadena de proceso
realizando un estudio de sensibilidad de riesgos, mediante la creación de
23
escenarios, lo cual es obligatorio si se está utilizando el enfoque avanzado para
el calculo del capital.
Mediante la documentación de los procesos y la identificación adecuada de las
unidades envueltas en ellos, estos pueden ser más transparentes y mejorar la
eficiencia y efectividad. Es también sumamente importante determinar cual de
los procesos es especialmente critico y dedicarle un poco más de tiempo al
análisis de riesgos del mismo.
También es muy importante mantener los procesos funcionando y documentar
cualquier actualización a los mismos.
2.4.1.1.4 Análisis de escenarios. El análisis de escenarios está orientado a
posibles eventos de alto impacto que no han ocurrido hasta la fecha, que en
contraste con la recolección de datos que han producido pérdidas en el pasado
el análisis de escenarios enfatiza su orientación en futuras fuentes de riesgo
operativo.
Un escenario debe definir una secuencia de posibles eventos y la descripción de
posibles desarrollos de los mismos, una de las preguntas para desarrollar este
tipo de análisis es ¿Qué pasa si? E inmediatamente transportamos el escenario
al futuro con los análisis posteriores.
Los análisis de escenarios deben ser desarrollados alrededor de las unidades
de la organización de mayor impacto en caso de una pérdida tales como la
tecnología y manejo de la información, la infraestructura y los proveedores,
estos factores tendrán diferente relevancia dependiendo del tipo de negocio.
El análisis de escenarios se lo puede concebir de dos maneras, la primera es
ascendente la cual consiste en identificar cada riesgo medir su impacto y derivar
de todo este análisis los requerimientos de capital; y la segunda y más utilizada
por los grandes bancos es de manera descendente, la cual radica en identificar
24
posibles eventos que produzcan grandes pérdidas y desarrollar el escenario,
conjuntamente con los planes de acción o contingencia que la situación amerite
determinando los responsables de cada acción.
Un aspecto esencial es la necesidad ineludible de la utilización de expertos en el
tema a analizar por lo cual se debe conformar equipos con los jefes de las áreas
involucradas, el jefe de manejo de la información, un experto legal, otro en
seguros y auditores internos.
2.4.1.1.5 Indicadores de riesgos. Los indicadores de riesgo son variables que
proveen información de riesgos y de futuras pérdidas, por lo tanto se los puede
considerar como indicadores tempranos de un evento. Entre los principales
indicadores de riesgo tenemos.
Ø Rotación de personal.
Ø Días de enfermedad del personal
Ø Horas extras
Ø Número y duración de las fallas en los sistemas
Ø Reportes de auditorias internas
Ø Malos ingresos en las cuentas. (bancos)
Junto a estos indicadores existen cientos más pero hay que aplicarlos de
acuerdo a la empresa y tipo de negocio, el desarrollo de indicadores adecuados
es un proceso de prueba y error pero el intercambio de experiencias puede
proveer útiles pistas para evitar caer en caminos sin salida. (Buchelt, 33).
2.4.1.2 Enfoques para el cálculo del capital regulatorio. El documento publicado
por el Comité de Basilea en septiembre del 2001 describe tres métodos para el
cálculo del capital regulatorio. Cabe destacar que en el documento final del
Nuevo Acuerdo de Capital de Basilea estos tres métodos no están incluidos,
sino por el contrario, se ha tomado el primer método y se ha simplificado para la
facilidad de aplicación del mismo, pero en este documento citaremos los tres
enfoques sugeridos y además haremos referencia a otros métodos de
evaluación interna.
25
2.4.1.2.1 Enfoque para mediciones internas. El enfoque de mediciones internas lo
que hace básicamente es tomar a la institución como tal y dividirla en las
diferentes líneas de negocio, luego a cada una de estas líneas las evalúa para
analizar qué tan expuestas están a cada uno de los eventos o fuentes de
pérdida generadas bajo el concepto de riesgo operativo las cuales están listadas
en el apartado 1.3.5. En definitiva cada combinación de línea de negocio y
evento de pérdida debe ser evaluada conjuntamente con la parte del capital que
está expuesta (sumatoria entre los ingresos por intereses y los ingresos no
provenientes de intereses), esto constituye una medida de las pérdidas
esperadas, las cuales multiplicado por el factor de combinación relevante,
obtenemos las pérdidas inesperadas y con la sumatoria de todas éstas, nos da
como resultado el requerimiento de capital para la institución en análisis.
Expresando esto en fórmula, tenemos el enfoque avanzado de los
requerimientos de capital. (Alexander,45)
) ( j i j i i j
j i j i AMA LGE PE EI K • • • • ⋅ ⋅ ⋅ = ∑∑ γ
KAMA = Requerimiento de capital.
i = Línea de negocio
j = Tipo de evento de pérdida
γ = Factor de la combinación relevante EI = Indicador de Exposición
PE = Probabilidad del evento de pérdida
LGE = Pérdida en el evento dado.
Es importante destacar que los factores PE, LGE, están ya determinados y el
valor del factor de combinación relevante es propio de cada institución ya que
depende de cada línea de negocio y evento de pérdida.
26
Basados en esta fórmula y en cálculos actuariales el Comité de Basilea propone
esta medición y dos más simplificadas a las que las denominan como el enfoque
básico y el estándar
2.4.1.2.1.1 Enfoque Básico. En el enfoque básico se simplifica mucho, es
únicamente el capital expuesto de toda la institución basada en los ingresos
netos, multiplicado por un factor “alpha” que no es otra cosa que un factor de
exposición al riesgo obtenido por datos actuariales y propuesto por el Comité de
Basilea que basado en la información hasta el año 2003 se consideraba α =
15%. La fórmula quedaría simplificada a la siguiente. (Alexander,41)
α ⋅ = EI K BMA
KBMA = Requerimiento de capital
EI = Indicador de Exposición (para toda la institución)
α = Valor “alpha” fijado por la comisión, (15%)
2.4.1.2.1.2 Enfoque Estándar. El enfoque estándar también basa los
requerimientos de capital en el ingreso neto, pero por líneas de negocio y
propone diferentes porcentajes llamados “betas” para cada línea de negocio
(tabla 2.2) predefinidas en un número de 8, la sumatoria de esto nos da como
resultado el requerimiento de capital; la fórmula es la siguiente.(Alexander, 44)
∑ =
⋅ = 8
1 i i i SMA EI K β
KBMA = Requerimiento de capital
EI = Indicador de Exposición (para toda la institución)
β = Valor “Beta” fijado por la comisión
27
β1 Finanzas corporativas 18% β2 Negociación y ventas 18% β3 Banca Minorista 12% β4 Banca Comercial 15% β5 Pagos y Liquidación 18% β6 Servicios de acencia y custodia 15% β7 Asministración de activos 12% β8 Intermediación minorista 12%
VALORES DE β POR LINEA DE NEGOCIO
Tabla 2.2 Tabla de líneas de negocio y βs.(Basilea II)
Existen algunos autores que proponen un promedio de hasta los últimos tres
años para determinar los requerimientos de capital, pero, en mi opinión no es
muy acertado en el Ecuador, ya que son bancos que han tenido un crecimiento
sostenido y el hecho de usar un promedio crearía un indicador ficticio y
subdimensionado.
2.4.1.2.2 Enfoque distribución de pérdidas. El enfoque de distribución de pérdidas
es basado en las estadísticas de pérdidas debido al riesgo operacional, la
diferencia fundamental con el enfoque avanzado (AMA) es que se obtienen las
pérdidas esperadas pero no se multiplican por un factor para obtener los
requerimientos de capital o pérdida inesperadas, sino que para llegar a este
valor se usa un método de simulación estadística, ya sea mediante MonteCarlo
o cualquier otro, esta simulación deja como resultado el requerimiento de
capital. En instituciones grandes con una adecuada base de datos prefieren este
tipo de manejo ya que tienen una mayor precisión y menores requerimientos de
capital.
2.4.1.2.3 Enfoque con los cuadros de mandos o Scorecard. Este enfoque está
basado en la idea de controlar el requerimiento de capital mediante la
administración del riesgo operacional con cuadros de mandos, generan
do indicadores de riesgo de cada línea de negocio y evaluándolas cada
determinado tiempo, el análisis de todos estos indicadores dará como resultado
28
el perfil de riesgo, ya que tenemos frecuencia y severidad de los eventos de la
compañía, lo cual es una ventaja debido a que se puede ejercer controles
prácticamente en línea y de este modo limitar las pérdidas inesperadas.
2.4.2 CONTROL O TRATAMIENTO.
Una vez que tenemos el perfil de riesgo de la compañía e identificados los
riesgos uno a uno, viene la etapa de control o tratamiento de los mismos para
mejorar su calidad, es decir, bajar su frecuencia, severidad o ambos.
Dependiendo de los riesgos hay diferentes formas de tratarlos las cuales
abordamos a continuación.
2.4.2.1 Evitar el Riesgo. Se debe hacer un análisis de costo beneficio y optar por
evitar el riesgo si la ganancia de la actividad analizada es menor que el riesgo
esperado, dichas actividades deben ser abandonadas o no lanzadas.
Es importante que tal decisión considere algunos aspectos tales como: el
horizonte estratégico, la disponibilidad de personal experto en el área y el riesgo
reputacional.
2.4.2.2 Mitigar el Riesgo. El objetivo como ya se dijo en la introducción debe
estar orientado a bajar la frecuencia o la severidad de un riesgo dado. Los dos
objetivos pueden ser mejorados mediante un control interno de actividades.
Adicionalmente compartir el riesgo o transferirlo puede ser una opción, en caso
de que éste no pueda ser controlado adecuadamente, con el fin de reducir la
severidad.
Las herramientas más comunes para mitigar el riesgo incluyen una multitud de
salvaguardas organizacionales y medidas de control dentro de las cuales
tenemos:
Ø Procedimientos bien definidos.
Ø Separación de funciones.
Ø Principio de “necesito conocer” acceso a la información y control.
Ø Control al acceso físico
29
Ø Coordinación y validación de sueldos
Ø Limitadas gerencias
Ø Control de inventarios.
Ø Planes de continuidad del negocio en caso de desastres.
2.4.2.3 Compartir y transferir el riesgo. Se debe considerar ya sea compartir o
transferir el riesgo si éste no puede ser reducido o es inadecuadamente
reducido, también si el costo de los controles es mucho más elevado que las
pérdidas esperadas, o el costo de transferir el riesgo. Otro punto de vista a
tomar en cuenta es el perfil de riesgo de la compañía, si ésta desea o no
aceptar el riesgo en discusión. Entre los instrumentos para compartir y/o
transferir los riesgos tenemos a los seguros, contratos de actividades y
funciones fuera de la institución. (Buchelt, 43).
2.4.2.3.1 Seguro. Debería existir una cooperación entre el departamento de
riesgo operacionales y el encargado de tomar los seguros de la empresa, en
algunas empresas el encargado del riesgo operativo maneja también los
seguros relacionados con el mismo (Buchelt, 38)
Entre los seguros ofrecidos para riesgos operacionales tenemos:
Ø Seguro de la propiedad
Ø Seguro de la interrupción del negocio o lucro cesante
Ø Seguro de crímenes de sistemas
Ø Seguro de errores y omisiones
Ø Pólizas de fidelidad (para empleados y directores)
Ø Seguro para tratados no autorizados
Ø Seguro de transporte de valores
2.4.2.3 Aceptar el riesgo. Aceptar el riesgo, es el resultado de un análisis costo
beneficio o una comparación de pesos entre el ingreso neto esperado y el
riesgo. Un razonamiento lógico para aceptar el riesgo sería que el costo del
mismo sea menor que el costo de administración y mitigación del riesgo.
30
Es recomendable que dicha decisión sea sistemáticamente preparada y
documentada especialmente para montos altos de esta manera quedaría clara
la conciencia de aceptación del riesgo para la institución.
2.4.3 MONITOREO.
El monitoreo de todo el ciclo de la administración del riesgo contribuye a su
efectividad. En particular este monitoreo nos sirve para determinar nuevas
debilidades para proceder a corregir y generar indicadores.
Por un lado se debería crear indicadores que permitan conocer y llevar un
registro de los riesgos y las pérdidas generadas por los mismos lo cual requiere
una gran colaboración del personal; mientras que por el otro, se deben crear
procesos para auditorias internas y buscar auditorias externas que nos permitan
conocer la real exposición al riesgo que se tiene, para nuevamente comenzar el
circulo identificando dichas falencias medirlas y proceder a tratarlas.
2.4.3.1 Monitoreo continuo. No se debería delegar el monitoreo sólo a los
auditores internos, si no por el contrario esta tarea debe estar integrada a los
empleados y ser parte de sus responsabilidades mediante la generación de
indicadores, esquemas de incentivo y motivación a los empleados para que
cumplan dichas responsabilidades, por ende establecer sanciones por fallas o
inconformidades.
2.4.3.2 Inspecciones. Los auditores ya sean internos o externos deben analizar
caso por caso las pérdidas y sus severidades así como también tener un
cronograma y esquema de inspecciones definido por línea de negocio. Esto sólo
funciona si las recomendaciones e inconformidades halladas por los auditores
son corregidas en el tiempo establecido.
31
2.4.4 REPORTES.
La tendencia de hoy en día es la transparencia de los riesgos, un reporte
adecuado de los mismos puede aportar al cumplimiento de este objetivo.
2.4.4.1 Comunicación e información. Diferentes grupos organizacionales de una
empresa necesitan diferente tipo de información, por esta razón la información y
resultados deben ser comunicados de una manera adecuada a los distintos
niveles de la empresa, tanto los eventos significativos como los cambios en las
situaciones o perfiles de riesgo. Esto también dependerá de la forma de
administración de la compañía, en algunas la información sólo está confinada a
los altos mandos mientras que, en otras se distribuye de una manera adecuada
a los diferentes niveles teniendo como resultado una sinergia interesante en la
consecución de los objetivos empresariales.
2.4.4.2 Reportes. Los reportes internos son sumamente importantes, debe estar
establecida la frecuencia de presentación de los mismos, por parte del
departamento encargado del manejo del riesgo operativo, a la alta gerencia de
la empresa, el formato de estos es libre y dependerá de cada institución pero
con respecto a los reportes externos normalmente el organismo de control
encargado establece un formato y las bases para el mismo las cuales deben ser
cumplidas a cabalidad.
32
CAPÍTULO III
MÉTODOS ESPECÍFICOS DEMEDICIÓN DEL RIESGO
OPERATIVO INTERNO Y EXTERNO. 3.1 INTRODUCCIÓN El presente capítulo describe los riesgos, métodos específicos y los puntos a
tomar en cuenta en la medición y cuantificación del riesgo operativo así como
también las medidas de control especificas para mitigar o disminuir la exposición
al riesgo de la empresa o institución. Entre éstos abordará los riegos
contemplados en la infraestructura como tal de la empresa, los concernientes a
los sistemas de información, a los diferentes procesos de negocios, al personal,
así como también eventos externos y el riesgo legal al que está expuesta una
institución.
3.2 INFRAESTRUCTURA 3.2.1 RIESGOS GENERALES INFRAESTRUCTURA.
Este riesgo normalmente se manifiesta en la debilidad de la institución frente a
eventos externos, para esto cubriremos todos los riesgos resultantes por una
deficiente o inexistente infraestructura de la empresa desde el punto de vista de
manejo de riesgos, en la figura 3.1, tenemos las causas más importantes de
riesgo operacional en el campo de la infraestructura.
La infraestructura normalmente llega a ser un riesgo, ya sea, que no exista o
que no cumpla los requerimientos adecuados, en el caso de que esté
desactualizada u obsoleta significa que ésta no podrá proveer de la adecuada
protección contra las actuales amenazas, lo que a su vez, puede ocurrir en
cualquier parte de la infraestructura, por ejemplo, las cerraduras de las oficinas
brindaron una protección adecuada tiempo atrás pero, hoy en día se las puede
forzar fácilmente con nuevas herramientas en pocos minutos.
33
Figura 3.1 Riesgo operacional en el campo de la Infraestructura.
Fuente: (Buchelt, 54)
La edad de los equipos, sistemas y maquinaria puede constituir un problema
serio ya que necesitan de un mayor costo de mantenimiento y procesos de
reparación, pese a que estructuralmente los equipos y la maquinaria estén
adecuadamente ubicados y no corran ningún riesgo, los mismos pueden
averiarse y dependiendo de sus características, los repuestos para la reparación
pueden ser virtualmente imposible de conseguir.
El riesgo también se ve incrementado cuando no hay responsabilidades
perfectamente definidas, esto lleva a mal entendidos y errores en los procesos,
por lo cual es sumamente importante tener una organización y distribución
adecuada de tareas y competencias dentro de la institución.
Finalmente, la falta de práctica es crucial ya que la realización de determinada
acción o trabajo, genera la suficiente experiencia en la gente para
desenvolverse frente a una situación dada. Normalmente si un plan de
emergencia no es llevado a la práctica se pueden olvidar detalles que en
principio parecerían insignificantes u obvios, pero, que en la prueba de campo
resulta que son muy importantes y deben ser considerados.
34
3.2.2 RIESGOS ESPECIALES – INFRAESTRUCTURA
En cuanto a los riesgos especiales en el área de infraestructura, dependerá de
la institución en análisis; entre éstos se encuentran las autorizaciones de
accesos, lo cual ayuda a proteger no sólo los activos de la compañía, sino
también la información que es incluso más importante. No basta con controlar
los accesos de personas externas a la institución, internamente existen áreas
que deberían estar reservadas para un limitado número de personas.
Otro punto crucial en el que se pueden generar problemas está relacionado con
las cajas de seguridad y el transporte de activos o mercaderías, éstos riesgos
pueden verse seriamente incrementados con una deficiente seguridad de la
infraestructura.
Además, elementos a tomar en cuenta son las seguridades que presta una
infraestructura para eventos externos, entre los cuales tenemos detectores de
humo, extintores, entre otros, mismos que nos ayudan a contrarrestar un evento
de incendio apenas éste se origine, evitando así cuantiosas pérdidas, los
dispositivos, deben estar ubicados por lo menos en los lugares donde exista
mayor concentración de información y documentos de la institución.
Riesgos relacionados con el suministro de energía siendo aún más crítico en las
instituciones financieras que basan su proceso en sistemas de información,
pese a que una interrupción de energía es un evento externo, es parte de la
infraestructura de la empresa poder hacer frente a este tipo de circunstancias.
También se deben considerar riesgos en el servicio de telecomunicaciones, que
incluyan no sólo, la telefonía móvil y fija, sino también, los enlaces y los
sistemas de comunicación internos de la compañía.
3.2.3 MEDIDAS A CONSIDERAR INFRAESTRUCTURA
La información presentada anteriormente claramente muestra que un análisis de
riesgos y amenazas es el punto más importante para cualquier acción que la
institución deba tomar en el campo de la infraestructura, sin olvidar que todos
los requerimientos que se hagan deben ir de la mano con la visión de la
organización así como también de su tamaño.
35
A continuación se presenta algunos procesos relacionados con las medidas a
considerar para mitigar los riesgos de infraestructura de una institución.
Ø ¿Cómo están asignadas las responsabilidades dentro de una empresa?
Esta pregunta sirve para determinar si existe una coordinación adecuada de
actividades y funciones, para lo cual debe existir un documento formal y el
personal debe estar adecuadamente informado, esto es muy importante para
prevenir riesgos generados por las brechas entre las responsabilidades
asignadas a los colaboradores de la institución.
Ø ¿Se cuenta con procedimientos claros para el mantenimiento y renovación
de la infraestructura y maquinaria? Es especialmente importante para asegurar
la vida útil de la infraestructura y la maquinaria de una empresa, así como
también pérdidas por daños y mal funcionamiento, además, para evitar que
cuando se presente un daño no se pueda conseguir el repuesto adecuado por
estar descontinuado, lo cual arrastraría considerables pérdidas.
Ø ¿Existen los recursos y los conocimientos adecuados? Además de tener
los recursos adecuados una empresa debe asegurarse de que su personal
está apropiadamente entrenado, por ejemplo, personal de seguridad y de
protección contra incendios. En este contexto es importante que el personal
esté actualizado.
Ø ¿La infraestructura está correctamente señalizada? En caso de una
emergencia la infraestructura debe estar correctamente señalizada para
facilitar los procedimientos de evacuación de la misma, esto incluye salidas de
emergencia, señalética y luces de emergencia en caso de que la
infraestructura las requiera.
Ø Hay que determinar también que exista un adecuado control de acceso a la
empresa así como también las seguridades relacionadas con las cajas fuertes
y lugares sensibles donde exista concentración de la información.
36
Ø El manejo adecuado del riesgo operativo recomienda también analizar los
posibles daños que pueden causar elementos externos a la infraestructura
entre los cuales se incluyen fuego, rayo, o agua. La empresa debería contar
con los respectivos planes de contingencia para garantizar, en primer lugar, la
continuidad del negocio, y en segundo lugar, la reparación de desastres. La
institución debe preferentemente contar con contratos de seguros en los
cuales ceda o comparta los riesgos que la empresa no los pueda manejar o
que por su naturaleza generarían grandes pérdidas financieras. Cabe
destacar que se debe tener especial cuidado en incrementar las seguridades
contra estos fenómenos en las áreas donde se tiene sistemas informáticos o
tecnología de la información y debido a la gran dependencia de estos sistemas
en el buen funcionamiento de la empresa, los planes de continuidad del
negocio debe tener un especial énfasis en estas áreas.
Ø Es fundamental que tanto los planes de reparación de desastres como el
de continuidad del negocio, estén adecuadamente documentados y exista los
compromisos contractuales con las empresas y personas involucradas en este
plan según aplique.
Ø Otro factor importante es la existencia de equipos que proporcionen
energía ininterrumpida o UPS para los sistemas de información, estos tienen
que ser de las características y capacidades adecuadas.
3.3 SISTEMAS O TECNOLOGÍA DE LA INFORMACIÓN 3.3.1 RIESGOS GENERALES – TECNOLOGÍA DE LA INFORMACIÓN
El avance de la tecnología ha generado que hoy en día la plataforma en la que
se basa una empresa es en los sistemas o tecnología de la información,
resultando de esto un riesgo muy especial dentro del contexto de riesgo
operativo, puesto que en contraste con el capítulo 3.2 estos riesgos tienen una
naturaleza intangible, sin embargo, los aspectos principales a tomar en cuenta
son los descritos en la figura 3.2
37
Figura 3.2 Riesgo operacional en el campo de la tecnología de la información.
Fuente: (Buchelt, 62)
El software inadecuado o la mala calidad del mismo puede aumentar
considerablemente la exposición al riego de una empresa, este punto no es
únicamente relativo a un software defectuoso sino también a los problemas y
pérdidas que se pueden causar por errores de compatibilidad, configuración, o
costos de actualización.
El problema más serio que se puede suscitar es que el sistema completo
colapse, lo cual puede generar no sólo problemas debido a la perdida de datos
o información sino también debido a retrasos hasta que el sistema esté
operativo nuevamente.
Los errores de procesamiento también son muy peligrosos e inclusive necesitan
de un esfuerzo mucho mayor para poder determinarlos y corregirlos; inclusive si
el software funciona bien se debe analizar el número de usuarios que va a
acceder al mismo, el tiempo de cómputo y la calidad de la red.
La seguridad es un factor crucial en los sistemas, existen varios factores que
deben ser tomados en cuenta entre los cuales están los accesos no autorizados
por terceras personas, que pueden ser con fines de sabotaje, apropiación de
38
datos o información, con fines de obtener ganancias personales, o mucho peor
usar la información y modificarla para un beneficio de la tercera persona que
ingresa en el sistema.
El acceso no autorizado de empleados de la empresa o institución, desde su
punto básico es un riesgo del personal, pero los sistemas de la institución deben
presentar las suficientes garantías para evitar o disminuir este tipo de riesgo.
Otro punto a tomar en cuenta es el ataque de software maliciosos diseñados
para causar daño a los programas, entre estos tenemos a los virus (se
distribuyen pegados a archivos y dispositivos de almacenamiento infectándolos
y dañándolos), gusanos (estos tienen la característica de que se propagan
mediante la red infectando otros computadores), Trojan Horses (se presentan
como programas inofensivos o necesarios para ser instalados por el usuario,
pero esconden un propósito real diferente).
3.3.2 RIESGOS ESPECIALES – TECNOLOGÍA DE LA INFORMACIÓN
Es considerado un riesgo especial de la tecnología de la información a la
protección de los datos, debido a que una insuficiente protección de los mismos
puede generar un riesgo de abuso intencional o falta de cuidado en el manejo.
Este riesgo se puede materializar como rectificación o borrado de datos, lo cual
puede afectar inclusive a un riesgo reputacional si son datos de clientes.
Los respaldos de la información algunos autores los consideran como riesgo de
infraestructura, pero lo consideraremos como un riesgo especial de manejo de
la tecnología de la información debido a que hay varias formas de prevenir esta
perdida de información entre las cuales la más común y económica es el
respaldo de la información cada periodo determinado de tiempo, si la situación
lo amerita inclusive se puede llegar a tener dos sistemas que funcionen en
paralelo en lugares físicos distintos con datos actualizados en línea, cabe
destacar que para esto la empresa deberá tener un procedimiento por escrito y
los empleados a ejecutarlo deben conocerlo.
39
La situación de riesgo es compleja cuando el manejo de la información ha sido
tercerizada ya sea en parte o el total de ella por una o más compañías debido a
que es un riesgo que no está en manos de la institución pero la misma de
alguna manera debe asegurarse del correcto manejo de los sistemas y la
información. Una falla en las empresas encargadas del manejo de la
información no sólo acarrea un riesgo de interrupción del negocio sino también
el riesgo de pérdida de datos. Inclusive si no se tiene los derechos de la
información y de auditar la misma, se corre el riesgo de perder el control de las
actividades fundamentales de la institución, sin mencionar el knowhow de la
compañía.
3.3.3 MEDIDAS A CONSIDERAR TECNOLOGÍA DE LA INFORMACIÓN
En el campo del manejo de la información hay medidas que son necesarias y
posibles de implementarlas, pero en concreto las disposiciones que se tomen
dependerán del tamaño de la empresa o institución, y la influencia de la
tecnología de la información en el proceso de negocio de la empresa.
Algunos métodos y medidas son presentados a continuación:
Ø ¿Qué tan grande es el área de la empresa donde hay empleados
directamente relacionados con los sistemas de información? Especialmente en
instituciones financieras en donde un alto número de empleados trabaja directa
o indirectamente con dichos sistemas, es necesario asegurarse que la
estructura es apropiada para el cumplimiento de estas tareas, desde un simple
departamento de sistemas hasta una subsidiaria encargada del desarrollo,
soporte y manejo del centro de datos.
Ø ¿Quién es responsable de la seguridad de la tecnología de la información?
Hay algunas opciones y cada una tiene su lado positivo y negativo. En primer
lugar, el responsable de los sistemas de la empresa es también el encargado
de la seguridad de los mismos, esto no es muy recomendable ya que no podrá
realizar un trabajo minucioso en este aspecto, luego tenemos un encargado de
40
las seguridades diferente del jefe departamental de sistemas, lo cual es más
adecuado debido a que se realizará un seguimiento más continuo al manejo y
seguridad de la información, para empresas de mayor envergadura puede
haber un equipo encargado de la seguridad, o más aún una empresa
especializada en la seguridad de los sistemas. Como se mencionó en la
introducción todo dependerá del tamaño de la institución y su dependencia de
la tecnología de la información. En todo caso se debe definir claras
responsabilidades en cuanto a la seguridad para que no sea tomado como una
situación marginal o secundaria.
Ø ¿El campo del manejo de la información tiene los recursos adecuados?
Esta pregunta hace referencia no sólo a los recursos materiales que son
necesarios sino también al capital humano. De manera especial en este punto
ya que el conocimiento especializado para la seguridad en los sistemas de
información es particularmente de corto plazo por lo que el personal debe
justificar constantes capacitaciones.
Ø Un punto fundamental es la existencia de una concordancia entre la
estrategia del manejo de la tecnología de la información y el plan estratégico
de la empresa, ya que en caso de no existir el departamento de sistemas se
convierte únicamente en un ente que soluciona problemas a corto plazo o a
corregirlos sobre la marcha lo cual es una pérdida de recursos. Para prevenir
esta situación debería existir una clara estrategia del departamento de
sistemas alineada con el plan estratégico de la empresa o institución, que
defina la situación actual y los pasos futuros.
Ø Para determinar la calidad de la administración del software se deben
tomar en cuenta algunos puntos como probar con un plan piloto el software
especialmente, el desarrollado por la propia institución, para lo cual se requiere
un procedimiento bien definido que contemple tanto hardware como software
del sistema, además de la interconexión con los sistemas ya existentes de
aplicar el caso. Todo programa o sistema que vaya a entrar a servir a la
41
institución debe pasar satisfactoriamente las pruebas, las cuales deben estar
debidamente documentadas para que un experto externo las pueda revisar.
Ø La institución también debe tener procesos bien documentados tanto del
desarrollo del software como de los procedimientos para cargarlo, utilizarlo y
actualizarlo, además de los ejemplos necesarios para su correcto uso.
También debe especificarse las instancias, competencias y responsabilidades
de la administración del software.
Ø Con respecto a la seguridad la empresa debe tomar todas precauciones del
caso de acuerdo a su perfil de riesgo e importancia de la información que
maneja, ésta debería entre otros contemplar la seguridad de la información
que tiene que ver con los objetivos y las estrategias de la empresa o
corporación, la estructura organizacional dentro del campo de seguridad
(responsabilidades y competencias), los datos e información clasificada
confidencial ya sea de clientes o de la misma institución; en este punto en
particular archivos electrónicos y documentos en papel deben ser
considerados, finalmente, los sistemas de aplicación y programas usados por
la institución debido a su importancia en el día a día del negocio.
Ø En instituciones muy grandes es recomendable que el departamento de
seguridad investigue a fondo los incidentes relevantes de falta o rotura de
seguridades de la información, así como también deberían tener un sistema de
monitoreo continuo lo cual puede ser ejecutado de diferentes maneras,
dependiendo de la complejidad e importancia de los sistemas, en este contexto
tienen que existir procesos continuos de actualización de sistemas y medidas
de seguridad.
Ø Es necesario también constatar si existen seguros en el campo de la
tecnología de la información que permitan afrontar un eventual siniestro de
grandes proporciones y la perdida de los sistemas y la información, además en
las empresas que tienen una dependencia de un tercero en el manejo de la
42
información deben existir los convenios contractuales en los cuales les
asegura la confidencialidad de la información así como también los derechos a
realizar auditorias de así requerirlo.
3.4 PROCESOS 3.4.1 RIESGOS GENERALES – PROCESOS
En el estudio del riesgo operacional proveniente de los procesos, es el
primer paso para distinguir entre los casos que basan su riesgo en la
organización del proceso (falla de proceso) y a los que inmiscuyen a las
personas encargadas del proceso en sí (error humano) dicho esto podemos
identificar los siguientes riegos en procesos. Un compendio de este tipo de
riesgos tenemos en la figura 3.3
Figura 3.3 Riesgo operacional en procesos y algunas medidas de control.
Fuente: (Buchelt, 62)
Primero tenemos un proceso con una falla general en el diseño que envuelve un
gran potencial de riesgo operacional, este caso se encuentra típicamente en
áreas en donde los procesos crecieron sin un adecuado procedimiento de
desarrollo. Los campos de negocios más afectados por esta situación son los
que presentan un alto dinamismo y rápido crecimiento, que por su característica
no permite un crecimiento ordenado y metódico, normalmente se contrata
personal para cubrir necesidades inmediatas ya sea de nuevas líneas de
43
negocio o nuevos productos, hasta que llega un momento determinado en que
el riesgo operativo se presenta como procesos sin definiciones claras, por
ejemplo, cuando no hay documentación del mismo, también puede presentarse
como procesos des actualizados en casos donde la realidad difiere de lo que se
solía hacer en el pasado. En todos estos casos hay un aumento de la frecuencia
de errores especialmente cuando empleados son puestos a cargo de un
proceso sin el adecuado entrenamiento o la descripción de sus funciones y los
riesgos.
Los cambios de tecnología son cruciales en la incidencia del riesgo operativo en
una empresa desde una simple transferencia de información desde un medio a
otro más actualizado, hasta la actualización de la maquina principal de la
empresa, en este tipo de procesos se pueden dar errores de diferente índole
que pueden afectar seriamente a la empresa.
Los cuellos de botella son cruciales en todo proceso ya sea de servicios como
de producción, frecuentemente es causado por la falta de recursos, falta de
personal especializado o una inadecuada delegación. Además del potencial
negativo de los cuellos de botella en la velocidad del proceso, tenemos las
consecuencias que podría tener con respecto a toda la línea de producción o de
negocio una falla ya sea de índole humana o de los sistemas.
La redundancia en los procesos trae como consecuencia la reducción de la
velocidad en el proceso en general, ya que se realizan controles o pasos
equivalentes en dos instancias diferentes.
Los proyectos son riesgos específicos que existen sólo por una vez y por un
tiempo limitado, pero, hay que tener en cuenta los riesgos a los que dichos
proyectos están expuestos ya que en el peor de los casos el proyecto podría
fallar lo cual no sólo desencadena en una pérdida de la inversión sino que
también puede afectar a determinada línea de negocio o producción por lo tanto
se debe tener especial cuidado al analizar este tipo de riesgos.
44
3.4.2 MEDIDAS A CONSIDERAR – PROCESOS
Para reducir los riesgos potenciales mencionados en el apartado 3.4.1 es
necesario tomar algunas medidas en la organización ya sea mediante un
departamento específico de la misma o por una institución externa especializada
en este campo, dependiendo del tamaño de la empresa que se tenga en
análisis.
Ø En primer lugar es necesario tener unos cimientos adecuados para la
ejecución de cualquier trabajo o proceso, dichos cimientos están constituidos
por la documentación adecuada de los procesos, por lo tanto, es necesario
generar una cultura que permita mantener los procesos actualizados y bien
documentados, se debe tener en cuenta que no es simplemente necesario que
la documentación exista, sino que esté en un lenguaje adecuado y al alcance,
de los empleados involucrados. Esto permitirá inclusive que nuevos empleados
conozcan exactamente el proceso y sus responsabilidades, reduciendo
drásticamente el tiempo de aprendizaje y los errores.
Ø El involucramiento a los empleados es muy importante para el
mejoramiento de los procesos, ya que la experiencia de estos aporta
significativamente en el knowhow de la compañía o institución, por lo que es
fundamental crear incentivos adecuados para los aportes significativos al
mejoramiento de los procesos, además esto ayudaría a documentar las
mejoras en los procesos.
Ø Hay determinados pasos de control que toda institución debe cumplir
comenzando por mediciones preventivas, que ayudan a corregir fallas durante
el proceso, también hay que tener en mente que la frecuencia e intensidad de
control dependerá de la importancia del proceso en cuestión. Entre los tipos de
controles más frecuentes tenemos el control paralelo, el serial, el redundante y
por muestreo.
45
Ø Adicionalmente a los pasos de control de procesos es importante si la
empresa tiene estándares para el aseguramiento de la calidad o alguna
certificación de proceso como la ISO9001:2000, esto dependerá de los
objetivos de la empresa y su tamaño.
Ø Inclusive en los casos ideales las fallas o errores no pueden ser totalmente
eliminados se debe tener una comisión para analizar los casos de desviación
de la norma definida, con el fin de evitar que el problema se agudice y para
evitar incidentes similares en el futuro.
Ø Los proyectos también deben de tener un especial cuidado cuando pasan
de determinada envergadura, la cual dependerá de la magnitud del proyecto y
el tamaño de la empresa. El manejo del proyecto debe tener responsables
adecuados, un proceso definido para su implementación y todas las medidas
necesarias para minimizar los riesgos del proyecto en sí y el impacto en su
implementación.
Ø Finalmente el riesgo legal tiene que ser considerado en conexión con los
procesos especialmente en el caso del desarrollo de nuevos productos, ya que
estos deben cumplir todas las normas legales de protección al consumidor, por
cuanto es muy necesario envolver en el desarrollo del nuevo producto al
departamento legal de la empresa.
3.5 PERSONAS 3.5.1 RIESGOS GENERALES – PERSONAS
Los riesgos tratados en este apartado son los relacionados con el personal que
trabaja en la empresa, es decir, serán tomados en cuenta sólo los casos en los
que errores, omisiones o acciones deliberadas de los empleados generan
pérdidas financieras a la empresa. El caso de la influencia de terceras personas
46
es considerado riesgo externo y será abordado en el capítulo 3.6. En la figura
3.4 se muestra una pequeña sinopsis del riesgo operacional con respecto al
personal.
Figura 3.4 Riesgo operacional en el campo de los empleados de una empresa.
Fuente: (Buchelt, 79)
El primer riesgo inherente de trabajar con personas es debido a actos criminales
de los empleados, normalmente actos cometidos con el afán de obtener
ganancias personales o causar daño a la empresa. Entre los casos más
importantes tenemos: el robo o hurto, que constituye en la apropiación de
fondos o activos; el fraude, corrupción que va direccionada al acto de aceptar
ciertas ventajas por hacer que empleados actúen de determinada manera o por
realizar acciones que no están alineadas a la ética de la empresa o institución y
finalmente el conocido como crimen informático que consiste en robo de
información, o manipulación de datos de forma deliberada en beneficio propio o
a favor o en perjuicio de un tercero.
Todas las actividades humanas están expuestas a errores y mientras más
compleja es la actividad, más alto será el riesgo. El panorama de este tipo de
riesgos es muy amplio incluyen ingresos de datos incorrectos o procesos
incorrectos por falta de experiencia o conocimiento.
47
Cabe destacar que en contraste con los actos criminales estos errores u
omisiones son causados por negligencia, o falta de experiencia ya que de otra
manera serian considerados actos dolosos.
Los riesgos del personal se ven incrementados cuando no hay el suficiente
capital humano para determinado trabajo, dando como resultado una excesiva
carga de trabajo para los empleados existentes incrementando los cuellos de
botella y la presión en los trabajadores lo cual guía a un aumento de estrés y
frustración en los mismos. La falta de personal en determinada área del negocio
puede ser debido ya sea a un gran crecimiento del área o a medidas no técnicas
de reducción de personal.
Si el planeamiento de personal no toma en cuenta la posibilidad de una
enfermedad o renuncia de alguno de los empleados, los problemas por falta de
colaboradores se podrían ver seriamente incrementados ya que con la persona
que deja la institución se va todo el knowhow y las habilidades adquiridas en su
trabajo a lo largo del tiempo.
Finalmente, el riesgo en la administración es crucial ya que están expuestos a
todos los riesgos antes descritos pero las pérdidas potenciales son mayores.
Existen algunos casos en los que un empleado se convierte en una fuente
potencial de riesgo debido a su posición y habilidades, esto no hace referencia a
la falta de experiencia para cumplir su trabajo, pero por su estatus de
“extraordinario” tiene la facilidad de saltar barreras y controles con la
autorización inclusive de sus superiores para realizar su trabajo ya que éste
genera excelentes resultados a la empresa, pero, hay que determinar el riesgo
de sus acciones e inversiones ya que a mayor rentabilidad siempre se corren
mayores riesgos y también la empresa está más expuesta al fraude.
3.5.2 MEDIDAS A CONSIDERAR – PERSONAS
Una de las medidas más importantes relacionadas con todos los tipos de riegos
de personas es establecer una cultura de la corporación, para reducir estas
amenazas, esto requiere una forma constructiva de enfrentar los errores,
después de todo, la primera respuesta frente a un error es buscar al culpable lo
cual aumenta el riesgo de ni siquiera enterarse de que lo que realmente ocurrió
48
ya que nadie quiere hablar de eso, de esta manera se hace más difícil la
investigación de errores haciendo imposible tomar medidas preventivas para
evitarlos a futuro, por cuanto una cultura de error debe ser creada en la empresa
para el bien de la misma, se describen las medidas a tomarse para disminuir el
riego de personas:
Ø Los principios de ética no deben ser meramente proclamados sino
practicados por la institución, debe existir un código de conducta y pedir su
adhesión voluntaria, para ayudar a crear un clima caracterizado por honestidad
y confianza. Cabe en esta instancia mencionar el slogan “Es bueno confiar,
pero es mejor controlar”
Ø Es importante establecer instancias de aprobación, pasos de control en los
procesos de negocios y si es necesario inclusive crear una línea separada de
controles de procesos.
Ø Algo que es muy importante también es lo que denominaremos como
documentación obligatoria para ciertas acciones y transacciones que bajo
determinadas circunstancias se puede necesitar establecer su trazabilidad,
estos mecanismos pueden ser implementados con la ayuda de los sistemas de
información con instancias como contraseñas, accesos a bases de datos y
transacciones.
Ø Existen medidas a tomarse relacionadas con la estructura organizacional,
en particular con la segregación de funciones, para prevenir que determinada
persona supervise su propio trabajo.
Ø Otro principio que es muy importante es el needtoknow, es preciso
asegurarse que cada empleado tiene acceso a la información adecuada y
suficiente para cumplir su rol de actividades en la empresa, el acceso al resto
de información especialmente la más sensible para la compañía debe ser
bloqueada o restringida y en caso de requerir dicha información debe contar
con una autorización previa.
49
Ø Un instrumento útil para reducir el riesgo a errores es la capacitación, esto
incluye educación y diversas actividades de entrenamiento del personal para
las tareas encomendadas.
Ø Los riesgos relacionados con escasez de recursos humanos puede ser
mitigados con una efectiva planeación, tomando en cuenta no sólo los
requerimientos de las actividades de negocio, sino también factores
especiales, como la fluctuación de las temporadas, el volumen de personas en
vacaciones, y los permisos por enfermedad, entre otros. En casos en que el
problema de personal sea crítico se debe considerar una reingeniería de la
línea de negocios o producción.
Ø Además las auditorias internas juegan un papel fundamental para identificar
y mitigar los riesgos relacionados con el personal.
Ø Procesos que requieren un conocimiento especializado, o los empleados
“estrella” necesitan de una particular atención, controles especializados y
precauciones.
Ø Para prevenir cuellos de botella relacionados con conocimiento
especializado y habilidades, es necesario identificar a estas personas y
adoptar medidas que garanticen la continuidad de la línea de negocio o
producción en caso de una ausencia temporal o definitiva de alguno de estos
colaboradores. En lo posible, una concentración de un conocimiento
especializado en una sola persona tendría que ser evitado y en caso de darse
debe estar lo suficientemente documentado para que un subalterno pueda
asumir el trabajo.
Ø Con respecto a la motivación y los incentivos hay una infinidad de estos
pero, alguno de ellos deberían estar orientados al control y la limitación de los
riesgos de personas. Este tipo de incentivos todavía no son muy comunes y no
50
se han desarrollado pero todo dependerá de la creatividad del empleador o
encargado para generar un comportamiento alineado a los objetivos de la
empresa por parte de los colaboradores.
3.6 EVENTOS EXTERNOS 3.6.1 RIESGOS GENERALES – EVENTOS EXTERNOS
La información presentada en el siguiente texto hace referencia a eventos
externos pero muchos pueden ser identificados y mitigados mediante medidas
vistas ya en el presente capítulo, sin embargo, por su naturaleza ajena a la
empresa son considerados externos y de un impacto potencial elevado. Existen
ejemplos considerados exóticos en este campo tales como guerras y riesgos
políticos entre otros los cuales no serán analizados. En la figura 3.5 se citan
algunos de los riesgos externos que afectan a una empresa, organizados por su
naturaleza. Figura 3.5 Riesgos externos agrupados por su naturaleza.
Fuente: (Buchelt, 84)
Los riesgos relacionados con crimen externo pertenecen a esta categoría de
eventos externos pese a que pueden estar relacionados con amenazas internas
especialmente al personal. Los crímenes externos tienen su detonante en los
valores que tiene una empresa llámense estos dinero o activos,
desencadenando en robos, hurtos, y todo tipo de fraudes. En cuanto a robo y
hurto está perfectamente definido por el simple hecho de citarlos y comprende
51
todo tipo de sustracción de bienes o dinero de propiedad de la empresa por un
tercero con o sin el uso de la fuerza o amenazas a los empleados. En cuanto al
fraude es mucho más delicado ya que necesita de una mayor planeación, en las
instituciones bancarias están expuestas al lavado de dinero, alteración de
documentos, fraude en créditos, insolvencias fraudulentas y a fraudes
relacionados con los sistemas de información lo que constituyen en ingresos
externos no autorizados a los sistemas de la empresa o institución, teniendo
como objetivo el enriquecimiento ilícito de la tercera persona o hacer daño a la
institución o a alguno de sus clientes.
Otro riesgo externo muy peculiar tiene que ver con los empleados y lo
expuestos que estos están con el medio ambiente en el que se desenvuelven, lo
cual puede desencadenar en una temporal o permanente pérdida de un gran
número de empleados, entre los casos que están considerados tenemos
epidemias, desastres naturales, terrorismo. Para limitar esto lo que se
recomienda es tener un adecuado proceso de reemplazo de colaboradores y los
adecuados poderes de representación en una caso extremo.
Los temblores y terremotos, son comúnmente considerados la más destructiva
fuerza natural, ya que sus víctimas sufren un fuerte golpe, tanto en términos
económicos como en pérdidas de vidas humanas, sin embargo, en términos
estadísticos las tormentas y deslaves son mucho más graves.
Con respecto a los rayos y tormenta de rayos, los principales afectados son los
equipos eléctricos causando averías en los mismos y algunas veces hasta
fuego, una causa secundaria que debe ser considerada es las interrupciones de
los servicios ya sean estos de fluido eléctrico o telecomunicaciones.
Las precipitaciones de cualquier tipo (lluvia, granizo, nieve) pueden causar una
gran variedad de daños, ya sea afectando directa (ingreso de agua a las
instalaciones) o indirectamente (mediante deslaves e inundaciones) a la
infraestructura de la empresa como tal o inhabilitando las vías de acceso por un
gran período de tiempo, en este punto tienen que tener especial cuidado las
empresas de manufactura ya que esto podría afectar seriamente a su ciclo
normal de producción.
52
3.6.2 MEDIDAS A CONSIDERAR – EVENTOS EXTERNOS.
Para establecer medidas preventivas es necesario comenzar por un análisis de
riesgos y amenazas. Un análisis de riesgo acorde al tamaño de la institución es
fundamental, el mismo debe tomar en cuenta sus actividades de negocio, sus
procesos productivos, procesos contratados externamente, su ubicación
geográfica, la infraestructura existente y tomar en cuenta indicadores como la
situación de crimen en el lugar en que la empresa o institución se encuentre
emplazada. Con este punto de partida enumeraremos los puntos fundamentales
que debe contemplar una empresa para evitar o al menos limitar los riesgos
externos.
La situación geográfica determina la exposición a varios riesgos de la
naturaleza, se debe analizar la cercanía a ríos, montañas, etc.
Es elemental también tomar en cuenta la infraestructura y lo relacionado con los
sistemas de información desde el punto de vista de las opciones de acceso,
relacionadas con los clientes de la empresa o institución esto incluye contacto
personal, acceso telefónico e ingreso mediante Internet. El portafolio de
productos que se ofrece envuelve diferentes niveles de riesgo para la empresa.
Para los riesgos resultantes por crimen externo es necesario tener las
seguridades adecuadas para disuadir a las terceras personas de cometerlos.
La situación del crimen en el medioambiente en donde se desenvuelve la
compañía puede proveer datos de los crímenes más frecuentes y sus
estrategias, los cuales deben ser utilizados para perfeccionar la exposición a
ese tipo de riesgos de la empresa.
Para disminuir los riesgos de fraude es necesario una cooperación y
coordinación entre las unidades responsables de la mitigación de este riesgo,
entre las cuales están, auditores internos y externos, seguridad de los sistemas
de información, departamento de riesgo operacional, y el departamento legal, lo
cual ayudará al principio básico de conocer a los clientes, para poder tomar
decisiones consensuadas y coherentes.
Implementar servicios de seguridad confiables para proteger las instalaciones
especialmente durante fases de reconstrucción o readecuación de las
instalaciones.
53
Con respecto a los terremotos, incendio, rayos, precipitaciones, inundaciones,
terrorismo, guerra. Es necesario tener planes de seguro adecuados los cuales a
más de permitir a la empresa transferir el riesgo o parte de el, le brindará la
asesoría y recomendaciones necesarias para disminuir la exposición a riesgos
de esta naturaleza, si es posible.
Lo que si es responsabilidad de la empresa, es tener planes de evacuación,
contingencia y de continuidad del negocio en caso de darse algún siniestro.
3.7 RIESGO LEGAL
3.7.1 CONSIDERACIONES GENERALES DEL RIESGO LEGAL.
Es necesario en un principio definir y delimitar el riesgo legal, lo cual no es una
tarea fácil tomando en cuenta que en el acuerdo de Basilea II solamente lo
menciona (Basel Committee on banking Supervision, International Convergence
644) lista ciertos aspectos mediante ejemplos pero no los define. La definición
más aceptada es en la cual menciona que el riesgo legal incluye pero no está
limitado a la exposición a multas, penalizaciones, o daños punitivos resultantes
de acciones de supervisión así como también de resoluciones privadas.
(Buchelt, 90).
En la práctica las definiciones de riesgo legal son usadas para demarcar
diferencias con los otros tipos de riesgos, por ejemplo, el riesgo resultante
acuerdos contractuales en los cuales no son factibles de tomar una acción legal
debido a una vaga interpretación de los contratos, además las leyes y los
requerimientos de los organismos de control son mencionados como riesgo
legal.
Hay una definición que es considerada en una de las primeras publicaciones del
comité de Basilea (Basel, Customer Due Diligence for Banks 4) la cual no ha
sido modificada ni mencionada más adelante.
El riesgo legal es la posibilidad de demandas legales, juzgamientos
adversos o contratos que resultan ser inapelables y que pueden
54
interrumpir o tener efectos adversos en las operaciones o condiciones de
un banco
Esta definición no lista ninguna línea de negocio, tampoco menciona ninguna
situación específica adversa en las “operaciones o condiciones del banco”, por
lo tanto se toma en cuenta un análisis propuesto por Buchelt en el cual hace
referencia a las principales riesgos legales que pueden resultar de las
operaciones de un banco, relacionados con los factores de riesgo mencionados
en el concepto de riesgo operacional. Esto se encuentra resumido en la figura
3.6.
Figura 3.6 Riesgos Legal
Fuente: (Buchelt, 92)
55
CAPÍTULO IV
FUNCIONAMIENTO DE LAS EMPRESAS DE
MANUFACTURA EN EL ECUADOR. 4.1 INTRODUCCIÓN El presente capítulo describe en primera instancia el funcionamiento y la
organización departamental de una empresa de manufactura en general y más
adelante se ilustrará como están organizadas las empresas de manufactura en
el Ecuador tomando como ejemplo a dos de las empresas más grandes del
Azuay (Compañía Ecuatoriana del Caucho e Indurama).
4.2 DIRECTORIO En nuestro medio la forma organizacional de la empresa suele ser de forma
piramidal y termina en un vértice o pico en el cual se encuentran los dueños de
la empresa, dependiendo del tamaño de la misma este pico puede estar
constituido por una o varias personas asumiendo nombres como junta general
de accionistas, o consejo de administración y en otras simplemente directorio.
4.3 GERENTE GENERAL Inmediatamente posterior al directorio tenemos al Gerente General, Director
Gerente o Director General, estas figuras sinónimas constituyen el máximo
responsable de la empresa así como también su representante legal, es el
encargado de proponer las estrategias, y de la administración misma de la
empresa. Inmediatamente debajo de éste se encuentra una distribución
departamental que normalmente funcionan bajo el nombre de vicepresidencias
o gerencias departamentales, entre éstas tenemos:
Ø Manufactura, Producción o Fabricación.
Ø Administración, Finanzas y/o Económico Financiero.
Ø Recursos Humanos o Personal.
Ø Marketing, Comercial o Ventas
56
Estas cuatro áreas son susceptibles de subdividirse en otras, según el tamaño
de las actividades de la empresa.
4.4 VICEPRESIDENCIA DE MANUFACTURA. Se la conoce también como de producción o de fabricación, lo cual hace
referencia a la actividad principal de esta vicepresidencia, y sirve
fundamentalmente para empresas fabriles. En definitiva esta vicepresidencia es
la responsable de la actividad propia de la empresa, es la encargada de la
fabricación de los artefactos o productos que la empresa desea vender es decir,
sin producción no hay empresa. Todas las demás actividades son de una gran
importancia pero son simplemente complementarias para llevar a cabo la tarea
principal que es la razón de existir de la empresa.
Por lo tanto generalmente esta vicepresidencia suele tener a su cargo la mayor
parte del personal, instalaciones e infraestructura de la empresa.
Bajo la supervisión y mando de la vicepresidencia de manufactura están varias
actividades a tomar en cuenta para conseguir un producto terminado entre las
cuales tenemos.
Ø Administración de la maquinaria, talleres e instalaciones de la empresa.
Ø Procesos de producción o fabricación.
Ø Administración y gestión de personal a su cargo.
Ø La adecuada provisión de materias primas y materiales para la producción.
Ø Los métodos de trabajo.
Ø Planificación de la producción.
Ø Administración de los procesos de producción o fabricación.
Ø Control de inventarios tanto de productos en proceso como de producto
terminado
Ø Control o aseguramiento de la calidad.
Ø Servicios de mantenimiento y reparación.
57
Ø Investigación e innovación tecnológica.
Ø Prevención de riesgos laborales y seguridad industrial.
Ø Protección del medio ambiente en la empresa.
Por lo tanto la vicepresidencia de manufactura tiene un amplio espectro de
actividades muy diferentes que cumplir para obtener un producto terminado de
calidad, para lo cual es necesario que se generen departamentos
especializados para el manejo de cada uno de estos campos, de no ser así se
podrían descuidar aspectos importantes y llegar a tener un producto terminado
sin eficacia y/o sin eficiencia lo cual puede generar costos altos a la empresa.
Para evitar esto la vicepresidencia de manufactura tiene gerencias
especializadas para poder producir adecuadamente, entre estos tenemos.
Ø Planificación
Ø Ingeniería Industrial (Métodos y tiempos)
Ø Talleres
Ø Producción.
Ø Compras (materias primas, maquinaria y herramientas)
Ø Mantenimiento.
Ø Control de la calidad
Ø Seguridad industrial y medio ambiente.
De acuerdo a toda la estructura organizacional que necesita la vicepresidencia
de manufactura nacen las diferentes gerencias encargadas del manejo de los
distintos departamentos para los cual se debe tener definido su campo de
acción y sus responsabilidades, estas gerencias pueden variar de una a otra
empresa dependiendo de su tamaño, pero en general la estructura se mantiene.
Es importante recalcar que no existe ninguna regla con respecto a la estructura
organizacional de una empresa, todo dependerá de las necesidades, la
costumbre y la lógica para hacer que una compañía funcione mejor.
58
4.5 VICEPRESIDENCIA COMERCIAL También conocidos como vicepresidencia de marketing, o de ventas. Es la
encargada de la colocación de productos o mercancías, que la empresa fabrica,
en los mercados ya sean locales o internacionales, está interrelacionado con
actividades de mercadeo y la prospección de mercados.
Esto conlleva a determinadas funciones que esta vicepresidencia debe cumplir
entre las cuales tenemos:
Ø Investigación de mercados
Ø El Marketing.
Ø Diseño del producto.
Ø Planificación comercial.
Ø Proyecciones de ventas.
Ø La formación de vendedores.
Ø Políticas y técnicas de promoción de ventas.
Ø Distribución.
Ø Publicidad
Ø Coordinación de la red de ventas.
La vicepresidencia comercial es una pieza clave en una organización ya que de
nada sirve producir determinado producto si no se lo puede comercializar
adecuadamente, por lo tanto para la vicepresidencia comercial el cliente es su
razón de ser y debe siempre estar innovando para fidelizarlo a sus productos y
buscando nuevos campos, horizontes y clientes para que la empresa tenga una
adecuada proyección al futuro.
Para cumplir con este amplio espectro de actividades es necesario la creación
de departamentos especializados entre los más comunes tenemos.
Ø Ventas
Ø Producto
Ø Marketing
59
Ø Exportaciones
Ø Servicio post venta
Ø Logística
Todos estos departamentos se fusionan para crear un producto y un mercado
que lo consuma, para lo cual se necesita un verdadero trabajo en equipo,
conjuntamente con el pleno conocimiento del producto que se va a
comercializar.
4.6 VICEPRESIDENCIA FINANCIERA También conocida como vicepresidencia de administración, o económico
financiera. Esta vicepresidencia es la encargada de la administración de la
empresa, desde el punto de vista del manejo adecuado de los recursos
económicos de la compañía justificándolos en recursos de papel o con sistemas
de información, es decir, es la encargada de administrar los flujos económicos
de la empresa y su buen uso. Esta tarea requiere como en las anteriores de
determinadas funciones para lo cual dependiendo del tamaño de la compañía
tenemos departamentos y a la larga gerencias, que entre las más comunes
constan:
Ø Contabilidad
Ø Costos
Ø Contralorías
Ø Cobros y pagos
Ø Análisis financiero
Ø Tesorería
Ø Elaboración y control de presupuestos
Ø Auditoria interna
Ø Política salarial
60
Todos estos departamentos tienen el fin de llevar un adecuado control de la
situación económico financiera de la empresa así como también de hacer de
ésta rentable para el accionista.
4.7 VICEPRESIDENCIA DE TALENTO HUMANO Esta vicepresidencia esta directamente relacionada con la gestión de personal,
desde captar las necesidades de personal, seleccionarlos, contratarlos,
motivarlos, generar planes de carrera, y hasta lo relacionado con la cesación de
sus funciones, dependiendo de las necesidades de la empresa, por lo tanto para
un manejo adecuado del recurso humano en una compañía es necesario
departamentos especializados para cumplir ciertas tareas y funciones, entre las
cuales tenemos.
Ø Selección de personal Ø Contratación de personal Ø Formación y capacitación del personal. Ø Valoración de cargos y tareas Ø Sistemas de remuneración Ø Expedientes del personal Ø Planes de carrera Ø Comunicación interna Ø Relaciones laborales Ø Convenios colectivos Ø Resolución de conflictos. Ø Servicios complementarios( comedor, servicios médicos, trabajo social) Ø Normas y reglamentos de la empresa Ø Relación con los abogados de la empresa
61
Ø Despidos del personal Ø Integración y motivación.
Como se ve todos estos puntos deberán ser tomados en cuenta para un buen
manejo del recurso humano en una empresa de manufactura, normalmente se
generan gerencias o jefaturas para manejar dichas tareas, siendo también muy
común que bajo determinada gerencia se englobe mas de una función para
optimizar los tiempos de ocupación de los colaboradores de esta
vicepresidencia.
4.8 EJEMPLOS DE EMPRESAS DE MANUFACTURA EN EL
ECUADOR 4.8.1 COMPAÑÍA ECUATORIANA DEL CAUCHO.
Esta compañía es una empresa de manufactura dedicada a la producción y
comercialización de llantas, tiene una nómina de aproximadamente mil personas
y en cuanto a su funcionamiento, tiene una estructura piramidal encontrándose
a la cabeza la presidencia ejecutiva, luego tenemos al asesor legal que reporta y
asiste a gerencia en los problemas y situaciones de índole legal, luego para el
manejo de la empresa como tal se cuenta con la ayuda de cuatro
vicepresidencias, cada una de ellas con sus respectivas gerencias, y éstas a su
vez divididas por jefes departamentales, especialmente en la sección de
manufactura que es la de mayor envergadura. A continuación en la figura 4.1 se
muestra el Organigrama simplificado de la Compañía Ecuatoriana del Caucho.
62
Figura 4.1 Organigrama simplificado de la Compañía Ecuatoriana del Caucho
PRESIDENCIA EJECUTIVA
ASESOR LEGAL
VICEPRESIDENCIA RECURSOS HUMANOS
VICEPRESIDENCIA FINANZAS
VICEPRESIDENCIA COMERCIAL
VICEPRESIDENCIA MANUFACTURA
DESARROLLO ORGANIZACIONAL
SELECCION Y DESARROLLO
CAPACITACION
RELACIONES LABORALES
NOMINA
BIENESTAR SOCIAL
DEPARTAMENTO MEDICO
TRABAJO SOCIAL
COMUNICACION
SERVICIOS GENERALES
ANALISIS FINANC. Y PRESUPUESTO
CONTRALORIA DE MANUFACTURA
SISTEMAS
CONTRALORIA DE MARKETING
TESORERIA
CONTRALORIA DE ADMINISTRACION
PRODUCTO
EXPORTACIONES
MARKETING
VENTAS
OPERACIONES
INDUSTRIALIZACION DEL PRODUCTO
COMPRAS
PRODUCCION
INGENIERIA DE PLANTA CALIDAD
SEGURIDAD INDUSTIAL
INGENIERIA INDUSTIAL
JEFE DE PLANTA 1
JEFE DE PLANTA 2
JEFE DE PLANTA TURNO
JEFE QUIMICO
JEFE ING. DE LLANTAS
JEFE DE UNIFORMIDAD
JEFE DE LAB. DE CALIDAD
JEFE DE DESEMPEÑO
JEFE DE CALIDAD DE PROC.
COMPRAS DE MAT. PRIMA
COMPRAS LOCALES
REPUESTOS
MANTENIMIENTO
ING. ELECTRICA
ING. MECANICA
PROYECTOS
ING. INDUSTIAL
PROGRAMACION DE LA PRODUCCION
LOGISTICA DE DISTRIBUCION
Fuente: (Reinoso, Freddy, Cuenca. 01/2008)
4.8.2 COMPAÑÍA INDURAMA.
Esta compañía es una empresa de manufactura dedicada a la producción de
electrodomésticos de línea blanca, con una nómina de aproximadamente mil
ochocientos empleados, esta empresa también tiene una distribución de tipo
piramidal, teniendo a su cabeza a la Junta de Accionistas, luego se tiene al
comisario y a la auditoria externa que reportan directamente a la Junta de
Accionistas, mas abajo se encuentra el Directorio que es el encargado de tomar
decisiones sobre el manejo estratégico de la empresa además de la generación
de políticas para el personal, luego de éste, tenemos al Director general que es
el encargado de la dirección y administración de la empresa, así como su
representante legal, para asistirle en sus funciones se tienen cinco gerencias
63
ejecutivas las cuales son: La gerencia Comercial, de Manufactura, de Recursos
Humanos, de Finanzas, y de Administración. Dentro de cada una de estas
gerencias se encuentran jefes departamentales especializados en cada una de
las actividades que dichas gerencias requieran. En la figura 4.2 se muestra el
organigrama simplificado de la Empresa Indurada S.A.
Figura 4.2 Organigrama simplificado de Indurada S.A.
COMERCIAL MANUFACTURA RECURSOS HUMANOS
DIRECTOR GENERAL
JUNTA GENERAL DE ACCIONISTAS
ORGANIGRAMA GENERAL INDURAMA
FINANZAS
CONTRALORIA
CONTABILIDAD
TESORERIA Y CARTERA
AUDITORIA INTERNA
ADMINISTRACION
VENTAS
COSTOS
ANALISIS FINANCIERO
DIRECTORIO
COMISARIO
AUDITORIA EXT.
EXPORT.
MERCADEO
POSTVENTA
NOMINAS
ADMINISTR. SALARIAL
SERVICIOS INTEGRACION COMUNICACION
PRODUCCION
INGENIERIA INDUSTRIAL
MANTENIM.
LOGISTICA
COMPRAS
SISTEMAS
DESARROLLO ORGANIZAC.
CALIDAD
Fuente: (Encalada, Mercedes, Cuenca. 01/2008)
4.8.3 STUACION CON RESPECTO A LA ADMINISTRACION DEL RIESGO
OPERATIVO.
Como se ve en los organigramas de las dos empresas estudiadas no existe una
jefatura o instancia que se encargue de la administración de riesgo operativo en
su definición completa, al referirnos a la administración de riesgos, lo que ellos
64
entienden por riesgos son los administrados por las jefaturas de seguridad
industrial y seguridad física, en Indurama y seguridad Industrial en la Compañía
Ecuatoriana del Caucho, cabe destacar que las dos empresas tienen
certificaciones ISO 9000:2001 con lo cual mitigan el riesgo de procesos, pero en
cuanto al riesgo de sistemas de información y personas no hay un manejo
formal.
Tomando en cuenta estos datos se justifica plenamente el objetivo de la
presente tesis, para poder generar una primera aproximación al manejo de
riesgo operativo en las empresas de manufactura en el Ecuador de una manera
global.
65
CAPÍTULO V
MANUAL PARA CONTROLAR EL RIESGO OPERATIVO
EN UNA EMPRESA DE MANUFACTURA EN EL
ECUADOR
La presente auditoria constituye una primera aproximación al manejo del
riesgo operativo en empresas de manufactura en el Ecuador, generando una
visión global de la situación del riesgo operativo en una compañía dada,
analizando los resultados de las vicepresidencias, gerencias y jefaturas
correspondientes,
Las encuestas de riesgo operativo en una empresa de manufactura se deben
realizar mediante una auditoria externa, en su primera aproximación, luego con
la ayuda de consultores de riesgo operativo crear la infraestructura necesaria
para que la empresa tenga su propio departamento de manejo de riesgos, el
cual le va a generar réditos económicos.
66
Elaborado: Ing. Daniel Guillén L. Versión: 001 Revisado: Econ. Esteban López S. Página: 1/13
1 INTRODUCCIÓN 2 INFORMACIÓN GENERAL 3 RIESGOS DE INFRAESTRUCTURA 3.1 MEDIOS E INFRAESTRUCTURA 3.2 MANTENIMIENTO 3.3 DEFINICIÓN DE RESPONSABILIDADES 3.4 EMERGENCIA 4 TECNOLOGÍA DE LA INFORMACIÓN 4.1 SOFTWARE 4.2 SEGURIDAD E INTERRUPCIÓN DE LAS OPERACIONES 4.3 PROVEEDORES EXTERNOS 5 PROCESOS 5.1 DOCUMENTACIÓN 5.2 ANÁLISIS DE PROCESOS 5.3 ADMINISTRACIÓN DE PROYECTOS 6 PERSONAS 6.1 FIDELIDAD O PRINCIPIOS DE ÉTICA 6.2 ERRORES Y RECURSO HUMANO 7 EVENTOS EXTERNOS 7.1 CRIMEN EXTERNO 8 RIESGO LEGAL 9 RESULTADOS
UNIVERSIDAD DEL PACÍFICO GUÍA DE AUDITORIA DE RIESGO OPERATIVO PARA EMPRESAS DE
MANUFACTURA EN EL ECUADOR
67
Elaborado: Ing. Daniel Guillén L. Versión: 001 Revisado: Econ. Esteban López S. Página: 2/13
1 INTRODUCCIÓN
UNIVERSIDAD DEL PACÍFICO GUÍA DE AUDITORIA DE RIESGO OPERATIVO PARA EMPRESAS DE
MANUFACTURA EN EL ECUADOR
La presente auditoria constituye una primera aproximación al manejo del riesgo operativo en empresas de manufactura en el Ecuador, generando una visión global de la situación del riesgo operativo en una compañía dada, analizando los resultados de las vicepresidencias, gerencias y jefaturas correspondientes.
Definición de Riesgo operativo.
El riesgo operativo u operacional no es otra cosa que la posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas en los procesos internos, en la tecnología de información, en las personas o por ocurrencia de eventos externos adversos. El riesgo operacional incluye el riesgo legal pero excluye el riesgo estratégico y el de reputación.
Instrucciones
Ø Se realizará la presente auditoria a todos los departamentos de la empresa desde los niveles de jefaturas hacia arriba.
Ø Se tiene tres opciones para las respuestas a las preguntas dadas, las cuales son: Si, No, y si la pregunta no aplica se deberá dejar en blanco.
68
Elaborado: Ing. Daniel Guillén L. Versión: 001 Revisado: Econ. Esteban López S. Página: 3/13
2 INFORMACIÓN GENERAL
2.1 Fecha:
2.2 Empresa:
2.3 Certificaciones:
2.4 Departamento:
2.5 Código
2.6 Auditor:
2.7 Ciudad
3 RIESGOS DE INFRAESTRUCTURA
3.1 MEDIOS E INFRAESTRUCTURA SI NO
3.1.1 El área o edificio presenta un buen estado de conservación (Ausencia de grietas o aberturas)
3.1.2 El estado de las ventanas es adecuado (Buen estado sin cristales rotos o ausencia de los mismos)
3.1.3 La infraestructura provee la adecuadas señales de restricciones de acceso
3.1.4 La infraestructura tiene medidas de seguridad adecuadas para accesos no autorizados
3.1.5 La limpieza y el orden son adecuados.
3.1.6 Las áreas adyacentes a las instalaciones están limpias
3.1.7 Hay un control adecuado de las llaves y no existen copias adicionales
3.1.9 Existe una póliza de seguro adecuado para la infraestructura y los artefactos contenidos en ella (seguro de incendio robo y/o hurto)
UNIVERSIDAD DEL PACÍFICO GUÍA DE AUDITORIA DE RIESGO OPERATIVO PARA EMPRESAS DE
MANUFACTURA EN EL ECUADOR
69
Elaborado: Ing. Daniel Guillén L. Versión: 001 Revisado: Econ. Esteban López S. Página: 4/13
3.1.10 Existe cajas de seguridad adecuadas para los activos y documentos importantes del departamento.
3.1.11 Existe respaldo de fluido eléctrico (UPS o generador según requiera).
3.2 MANTENIMIENTO SI NO
3.2.1 Existen procedimientos claros para el mantenimiento y renovación de la infraestructura del área o empresa.
3.2.2 Hay un cronograma de mantenimiento establecido para los equipos o maquinaria del área o empresa
3.2.3 Se cumple el cronograma de mantenimiento a cabalidad y están documentados los mismos.
3.2.4 Hay un cronograma de renovación de equipos y maquinaria.
3.2.5 El taller está limpio y ordenado
3.2.6 Existe una revisión periódica de la infraestructura para prevenir fuentes de riesgos (objetos que pueden caer entre otros, ventanales o techos trizados)
3.3 DEFINICIÓN DE RESPONSABILIDADES SI NO
3.3.2 Existe un organigrama de funciones definido
3.3.3 El personal conoce el organigrama con respecto a su área de trabajo
3.4 EMERGENCIA
3.4.1 Se provee al personal la vestimenta y herramientas adecuadas para su trabajo
3.4.2 Dispone de elementos de protección
3.4.3 El personal ha recibido adiestramiento para una eventual evacuación de emergencia
3.4.4 Se tienen dispositivos para combatir una emergencia (Extintores, detectores de humo, alarmas, equipo adecuado)
UNIVERSIDAD DEL PACÍFICO GUÍA DE AUDITORIA DE RIESGO OPERATIVO PARA EMPRESAS DE
MANUFACTURA EN EL ECUADOR
70
Elaborado: Ing. Daniel Guillén L. Versión: 001 Revisado: Econ. Esteban López S. Página: 5/13
SI NO
3.4.5 Se tiene personal capacitado para eventuales emergencias (brigadas contra incendios)
3.4.6 El personal ha recibido al menos una charla de capacitación con respecto a eventuales emergencias durante el último año.
3.4.7 La infraestructura de encuentra bien señalizada (áreas de emergencia, salidas de emergencia)
3.4.8 Se ha realizado ejercicios de evacuación durante el último año.
3.4.9 La empresa tiene planes de continuidad del negocio.
3.4.10 Conoce el rol de su área en el plan de continuidad del negocio.
3.4.11 La empresa tiene planes de contingencia para la recuperacion de desastres
3.4.12 Conoce su rol en los planes de contingencia para la recuperacion de desastres
SI NO Totalizar del Capítulo 3 las respuestas:
UNIVERSIDAD DEL PACIFICO GUIA DE AUDITORIA DE RIESGO OPERATIVO PARA EMPRESAS DE
MANUFACTURA EN EL ECUADOR
71
Elaborado: Ing. Daniel Guillén L. Versión: 001 Revisado: Econ. Esteban López S. Página: 6/13
4 TECNOLOGIA DE LA INFORMACION
4.1 SOFTWARE SI NO
4.1.2 Cuenta con un software para el manejo de la informacion y datos de su departamento o empresa.
4.1.2 El software se acopla a las necesidades de su area o empresa.
4.1.3 Considera que el software que maneja su área o empresa es actualizado
4.1.4 Considera que es software que tiene es mas de lo que necesita su área o empresa.
4.1.5 Si tiene algún problema con el software personal de la misma empresa le puede asistir y solucionar el problema.
4.1.6 Si tiene una necesidad adicional el personal de la empresa está en capacidad de implementar dicha necesidad en el software.
4.1.7 Su sofware tiene algún metodo de correccion o deteccion de errores.
4.1.9 Se tiene un procedimiento claro y un proceso bien documentado para revisar y asegurarse de la calidad y el buen funcionamiento del software
4.2 SEGURIDAD E INTERRUPCION DE LAS OPERACIONES SI NO
4.2.1 El encargado (Persona o Departamento) de la seguridad de los sistemas de la empresa es diferente al jefe de sistemas de la empresa.
4.2.2 El departamento de sistemas a su criterio cuenta con los recursos técnicos adecuados para prestar un buen servicio a la empresa.
4.2.3 Se han sucitado problemas con virus en las computadoras de su área el último año
4.2.4 Para ingresar al sistema se cuenta con una clave de acceso individual por colaborador.
4.2.5 Siente que la información que maneja su departamento está segura fren te a personas ajenas incluyendo revisión o sustracción de información.
4.2.6 Según del normal desempeño de su trabajo, considera que las fallas en el servidor de la compañia son poco precuentes
4.2.7 El acceso a sistemas y bases de datos está limitado a personas autori zadas
4.2.8 Tiene los respaldos adecuados de la información de su área o departa mento (físicos y electrónicos)
UNIVERSIDAD DEL PACIFICO GUIA DE AUDITORIA DE RIESGO OPERATIVO PARA EMPRESAS DE
MANUFACTURA EN EL ECUADOR
72
Elaborado: Ing. Daniel Guillén L. Versión: 001 Revisado: Econ. Esteban López S. Página: 7/13
SI NO 4.2.9 Los respaldos de información del departamento se encuentran en un
emplazamiento diferente (físicos y electrónicos) 4.2.10 Existe un procedimiento escrito para la obtención de respaldos de
información con una frecuencia requerida. 4.2.11 Se cumple el procedimiento de respaldos a la frecuencia adecuada
4.2.12 Existen procesos para analizar incidentes en los que se hayan violentado las seguridades de información y como evitar futuros incidentes
4.2.13 En caso de un siniestro grave ( Incendio ) en el área del servidor de la empresa se puede recuperar toda la información.
4.2.14 Existe un contrato de seguro especializado para proteger los sistemas de información de la empresa (daños en sistemas, crimen)
4.3 PROVEEDORES EXTERNOS SI NO
4.3.1 La empresa posee todos los códigos fuente de programas desarrollados por proveedores externos
4.3.2 La empresa posee todos los derechos del desarrollo de software por parte de proveedores externos
4.3.3 La empresa cuenta con un procedimiento claro y documentado para la evaluación de un software antes de su compra.
4.3.4 Los software adquiridos a proveedores externos se acoplan a las necesi dades de la empresa
4.3.5 Considera que los software adquiridos a proveedores externos están siendo utilizados al menos al 90% de su capacidad.
SI NO Totalizar del Capítulo 4 las respuestas:
UNIVERSIDAD DEL PACÍFICO GUÍA DE AUDITORIA DE RIESGO OPERATIVO PARA EMPRESAS DE
MANUFACTURA EN EL ECUADOR
73
Elaborado: Ing. Daniel Guillén L. Versión: 001 Revisado: Econ. Esteban López S. Página: 8/13
5 PROCESOS
5.1 DOCUMENTACIÓN SI NO
5.1.1 Existe la documentación actualizada de los procesos de la empresa
5.1.2 Dicha documentación está en el lenguaje adecuado y al alcance de los encargados de ejecutar el proceso.
5.1.3 Existe una cultura de actualización de la documentación cuando existe una innovación o cambio en un proceso.
5.1.4 Existen incentivos adecuados para empleados que aporten una mejora significativa en algún proceso de la empresa.
5.1.5 Existen procedimientos escritos sobre como proceder cuando es necesario actualizar un proceso o una fórmula y las personas para aprobarlo.
5.1.6 La documentación sobre los procesos, recetas y sus modificaciones se archiva.
5.1.7 Se puede determinar la trazabilidad de un producto.
5.2 ANÁLISIS DE PROCESOS SI NO
5.2.1 La empresa tiene un departamento o gerencia de Calidad.
5.2.2 La empresa cuenta con alguna certificación de calidad o de procesos actualizada (copia de la certificación).
5.2.3 La empresa cuenta con laboratorios adecuados para realizar el control de calidad de su producto.
5.2.4 Existen procedimientos para corregir fallas durante un proceso.
5.2.5 Cuenta la empresa con controles para el aseguramiento de la calidad de su producto.
5.2.6 Existe una comisión o departamento para analizar los casos en los que se de una desviación de la norma.
UNIVERSIDAD DEL PACÍFICO GUÍA DE AUDITORIA DE RIESGO OPERATIVO PARA EMPRESAS DE
MANUFACTURA EN EL ECUADOR
74
Elaborado: Ing. Daniel Guillén L. Versión: 001 Revisado: Econ. Esteban López S. Página: 9/13
5.3 ADMINISTRACIÓN DE PROYECTOS SI NO
5.3.1 Hay un procedimiento escrito para la justificación de un proyecto en la la empresa
5.3.2 El personal al frente de los proyectos conoce de la finalidad y el objetivo principal del proyecto.
5.3.3 Se exige un cronograma de actividades para la realización de los proyectos en la empresa
5.3.4 Se cumplen a cabalidad los cronogramas propuestos
5.3.5 Se cumplen a cabalidad los presupuestos asignados para los proyectos
5.3.6 Cuando se recibe un proyecto por parte del departamento solicitante se exige toda la documentación necesaria para su uso y mantenimiento.
5.3.7 Si el proyecto lo amerita se exige la contratación de seguros planes de seguros para dicho proyecto.
SI NO Totalizar del Capítulo 5 las respuestas:
UNIVERSIDAD DEL PACÍFICO GUÍA DE AUDITORIA DE RIESGO OPERATIVO PARA EMPRESAS DE
MANUFACTURA EN EL ECUADOR
75
Elaborado: Ing. Daniel Guillén L. Versión: 001 Revisado: Econ. Esteban López S. Página: 10/13
6 PERSONAS
6.1 FIDELIDAD O PRINCIPIOS DE ÉTICA SI NO
6.1.1 Existe un código de conducta del personal dentro de las instalaciones de la empresa.
6.1.2 El personal conoce el código de conducta.
6.1.3 Existen controles adecuados para evitar robos dentro de la empresa.
6.1.4 Existen métodos e instancias de aprobación para sacar equipos, documen tos o herramientas fuera de la empresa.
6.1.5 Existen métodos e instancias de aprobación y control para los procesos administrativos dentro de la empresa.
6.1.6 Todos los colaboradores cumplen los procedimientos de control y aprobación.
6.2 ERRORES Y RECURSO HUMANO SI NO
6.2.1 Existe una estructura organizacional con segregación de funciones definidas para la ejecución de procesos y aprobación de los mismos.
6.2.2 Cada empleado cuenta con la información adecuada y suficiente para cumplir su rol de actividades en la empresa.
6.2.3 Para acceder a información mas sensible de la empresa es necesario una autorización previa.
6.2.4 Dentro del último año de actividades los colaboradores del área han teni do algún curso o charla de capacitación para la ejecución de su trabajo.
6.2.5 Dentro del área existe el suficiente personal para el rol de actividades.
6.2.6 La rotación de personal de su área es baja o inexistente.
6.2.7 En la época de vacaciones de sus empleados existe acumulación de tareas o procesos sin cumplir por falta de personal.
6.2.8 La empresa cuenta con un sistema de auditoria interna o control para revisar y evaluar el trabajo de los colaboradores.
6.2.9 El área o departamento tiene colaboradores a un mismo nivel sin que se distinga ninguno por un conocimiento o habilidades especializadas.
6.2.10 Existe un sistema de incentivos para los colaboradores de la empresa.
SI NO Totalizar del Capítulo 6 las respuestas:
UNIVERSIDAD DEL PACÍFICO GUÍA DE AUDITORIA DE RIESGO OPERATIVO PARA EMPRESAS DE
MANUFACTURA EN EL ECUADOR
76
Elaborado: Ing. Daniel Guillén L. Versión: 001 Revisado: Econ. Esteban López S. Página: 11/13
7 EVENTOS EXTERNOS
7.1 CRIMEN EXTERNO SI NO
7.1.1 En el departamento o área ha existido algún robo de consideración por parte de una persona ajena a la empresa.
7.1.2 En el departamento o área ha existido algún hurto de consideración por parte de una persona ajena a la empresa
7.1.3 Se ha detectado robo o hurto de información del departamento o área.
7.1.4 Se ha detectado robo de información o manipulación de archivos por parte de personas ajenas a la institución mediante el Internet.
7.1.5 Ha existido fraudes a su departamento por parte de personas ajenas a la compañía (Incumplimiento de contratos, alteración de documentos)
7.1.6 Ha existido faltantes de consideración en auditorias de los activos de la empresa o compañía.
7.1.7 Ha existido faltantes de consideración en auditorias de los inventarios de la empresa o compañía.
SI NO Totalizar del Capítulo 7 las respuestas:
UNIVERSIDAD DEL PACÍFICO GUÍA DE AUDITORIA DE RIESGO OPERATIVO PARA EMPRESAS DE
MANUFACTURA EN EL ECUADOR
77
Elaborado: Ing. Daniel Guillén L. Versión: 001 Revisado: Econ. Esteban López S. Página: 12/13
8 RIESGO LEGAL SI NO
8.1 Existe el libro de actas de la Junta General de Accionistas o de Socios
8.2 Se hallan debidamente suscritas por el Presidente y el Secretario cada una de ellas
8.3 Existe el libro de actas del Directorio o del Consejo de Administración según sea el caso
8.4 La empresa suscribe contratos de trabajo con sus empleados
8.5 Las condiciones de trabajo y medio ambiente de la empresa son los adecuados
8.6 El personal dispone del equipo de protección necesario para cumplir su rol de actividades
8.7 Los clientes reciben el trato adecuado a la asesoría requerida
8.8 Los productos que fabrica disponen de garantía de fábrica
8.9 Existe un departamento de servicio post venta.
8.10 Se suscribe contratos con los clientes
8.11 Se suscribe contratos con los proveedores externos (Contratistas, Ingenieros)
8.12 La empresa legaliza los contratos con las entidades pertinentes en caso de ser necesario. (contratos de trabajo y Proyectos)
8.13 Se cuenta con mecanismos de control legal, para que el área responsable analice antes de la suscripción y manifieste su conformidad con lo actuado
8.14 Se cumplen con los manuales de las disposiciones legales y normativas pertinentes (Procedimientos, comportamientos)
8.15 Los manuales que se han expedido para el funcionamiento de la entidad cuentan con la aprobación previa del área legal
SI NO Totalizar del Capítulo 8 las respuestas:
UNIVERSIDAD DEL PACÍFICO GUÍA DE AUDITORIA DE RIESGO OPERATIVO PARA EMPRESAS DE
MANUFACTURA EN EL ECUADOR
78
Versión: 001 Página: 13/13
9 RESULTADOS
Capítulo Incidencia (%) Exposición (%) (% Inc.*% Expos.) RIESGOS DE INFRAESTRUCTURA % % % TECNOLOGíA DE LA INFORMACIłN % % % PROCESOS % % % PERSONAS % % % EVENTOS EXTERNOS % % % RIESGO LEGAL % % % Total. 100% Total del área 0%
Elaborado: Ing. Daniel Guillén L. Revisado: Econ. Esteban López S.
UNIVERSIDAD DEL PACÍFICO GUÍA DE AUDITORIA DE RIESGO OPERATIVO PARA EMPRESAS DE
MANUFACTURA EN EL ECUADOR
La calificación de la presente auditoria no debe ser considerada ni buena ni mala, todo dependerá del tamaño de la empresa analizada y de su cultura de riesgo y de cuanto riesgo están dispuestos a asumir.
Análisis de resultados:
En los Capítulos 3, 4, 5, 6 y 8 cada repuesta negativa es una no conformidad la cual deberá ser analizada posteriormente para tomar las medidas pertinentes en caso de que se desee mitigar estas no conformidades.
Para calcular el porcentaje de Exposición al riesgo operativo de cada capítulo, se debe aplicar la siguiente formula:
100 NO de Número SI de Número
NO de Número Exposición de % ⋅ +
=
En el Capítulo 7 de eventos Externos cada respuesta afirmativa es una no conformidad y de igual manera posteriormente deben ser analizados para determinar las medidas correspondientes para mitigar este tipo de riesgos.
Para calcular el porcentaje de Exposición al riesgo operativo del capítulo 7, se debe aplicar la siguiente formula:
100 NO de Número SI de Número
SI de Número Exposición de % ⋅ +
=
Finalmente dependiendo del departamento que esté en análisis se prorrateará con pesos adecuados o su incidencia en el área, para cada capítulo sacar el porcentaje de exposición al riesgo total del departamento o gerencia auditada, si el resultado es bueno o malo dependerá del perfil de riesgo de cada empresa pero está bien manejado si éste es mayor a un 80%, es aceptable y se deben tomar algunas medidas para mejorarlo si está entre 60% y 80% y si es menor a 60%, es necesaria una intervención para mejorar la administración de riesgos de la empresa pues los mismos podrían materializarse y generar perdidas financieras a la empresa en el corto plazo.
79
CAPÍTULO VI
CONCLUSIONES Y RECOMENDACIONES
El manejo del riesgo operativo en una empresa de manufactura debería
convertirse en una cultura de riesgo de la institución o compañía ya que la
adecuada administración de los riesgos en una empresa presentaría beneficios
económicos, simplemente evitando que la empresa quede expuesta a
situaciones o casos que pueden ser fácilmente administrados. La presente tesis
constituye una primera aproximación para generar una administración de riesgo
operativo en una empresa de manufactura desde la evaluación de los riesgos
hasta su forma controlarlos y mitigarlos.
Si las empresas de manufactura evaluaran de manera objetiva las pérdidas
financieras causadas por un deficiente o inexistente manejo del riesgo operativo
de la compañía mostraría de una manera clara la necesidad de implementar un
manejo adecuado de riesgos, lo cual va, como ha quedado claro, mucho mas
allá que tener una póliza de seguros vigente, sino por el contrario se debe
asumir al riesgo operacional seriamente para minimizar la exposición de la
empresa a dichas pérdidas financieras. Para un programa exitoso de
administración del riesgo operativo, éste debe ser encarado de una manera
proactiva con el involucramiento de la presidencia de la empresa y todos los
gerentes y vicepresidentes, ya que la disminución de la exposición al riesgo
operativo, debería ser un objetivo estratégico de la empresa, para encontrar el
adecuado balance entre productividad y sustentabilidad de la empresa.
El riesgo operativo puede generar una nueva manera de manejar el
departamento de Talento Humano de una compañía de manufactura, con un
sistema basado en riesgos cambiando un poco la visión actual del manejo de
los recursos de una empresa, la cual va de la mano con el dicho “si no se ha
roto no lo arregles”, esto tiene un especial significado pues no demuestra que
muchas de las veces el departamento de Talento Humano se concentra en
80
apagar incendios y no a prevenirlos lo cual sería mucho mas beneficioso desde
el punto de vista económico para la empresa. Aun mas en muchas empresas de
manufactura inclusive en aquellas en que existen certificaciones ISO, el
departamento de Talento Humano tiene una percepción muy subjetiva, ya que
su trabajo es “intangible” pues esta claro que, se puede hablar acerca de algo,
se pueden justificar un sin número de cosas, pero si no se puede medir o
expresar en números, el conocimiento del rendimiento de un departamento
sigue siendo subjetivo, el manejo de este departamento mediante el riesgo
operativo presenta una manera nueva de encarar esta tarea, con la ventaja de
que puede ser medido y evaluado con el pasar del tiempo en términos
económicos.
81
MARCO CONCEPTUAL.
Riesgo operativo. Se basa en la posibilidad de que se ocasionen pérdidas
financieras en las empresas por eventos o hechos derivados de fallas o
insuficiencias en sus procesos ya sea administrativos o del negocio, las
personas internas o relacionadas, la tecnología de información usada y por
eventos externos.
Administración del riesgo operativo. Es el proceso de identificar, medir,
controlar y monitorear el riesgo operativo.
Gestión del riesgo operativo. Conjunto de acciones y procesos encaminadas
a generar una correcta administración del riesgo operativo.
Alta gerencia. Esta conformada por los presidentes y vicepresidentes
ejecutivos, los gerentes generales, vicepresidentes o gerentes departamentales
y otros responsables de ejecutar las disposiciones del directorio.
Pérdidas esperadas. Son las pérdidas que se pueden determinar basadas en
las estadísticas históricas de una institución.
Pérdidas Potenciales. Las pérdidas potenciales son conocidas también como
requerimientos de capital y son las pérdidas esperadas multiplicadas por un
factor de desviación, o también puede ser obtenido mediante métodos de
simulación de escenarios.
ISO 9001:2000. La ISO 9000 es una serie de estándares propuestos por la
organización internacional de estandarización, direccionados a la calidad de la
administración y aseguramiento de la calidad para procesos en empresas,
orientados a productos y servicios para aumentar la satisfacción del cliente.
82
Empresas de manufactura. Empresa en la que se fabrican productos con la
intervención de la máquina y la mano del hombre. También se emplea para
designar aquella empresa que realiza cierto tipo de actividad industrial o al
conjunto de empresas que realizan dicha actividad. Con más precisión, es la
producción o montaje de elementos en productos terminados a gran escala.
Basilea II. Norma para el manejo de los riesgos
Riesgos Reputacionales. Es una nueva rama de estudio, pero básicamente
cuando los riesgos se materializan, la empresa enfrenta lo que se le conoce
como el riesgo reputacional que consiste en la desconfianza de las partes
afectadas con respecto a la empresa.
83
BIBLIOGRAFÍA
Alexander, Carol et al. “Operacional Risk Regulation, Analysis, and
Management”. London, Prentice Hall financial Times, 2003.
Basel Committee on banking Supervision, “Customer Due Diligence for Banks”,
2001 Internet. www.bis.org Acceso 12 mayo 2007.
Basel Committee on banking Supervision, “International Convergence of Capital
Measurement and Capital Standars”, 2004.
Basilea II, “Buenas prácticas para la gestión y supervisión del riesgo operativo”
Secretaría del Comité de Supervisión Bancaria de Basilea, c/o Bank for
International Settlements
Buchelt, Roman et al. “Contol and provision for processes individuals systems
and breakdowns. Austria“ OttoWagnerPlatz 3, 2006.
CH4002 Basilea (Suiza) (febrero de 2003)
IAEA, “The Chernobyl Accident”, Safety Series No. 75 – INSAG7, Vienna, 1992
Internet. www.elus2006.cl/pdf/evolucionmercadopagos.pdf . Acceso 1 marzo
2007.
Loayza Marco. “Seminario ejecutivo para la gestión de riesgos operativos para
la superintendencia de bancos y seguros” Intellity Consulting.(Diciembre de
2006)
84
Marroquin Yuri. “El riesgo operativo” (junio 2003) Internet.
www.clm.com.br/aprisco/risco%20operacional/ElRiesgoOperativo_abbc.pdf
Acceso 1 marzo 2007.
Medina, Alejandro et al. “Riesgo operativo”. Perú, Asociación de Supervisores
Bancarios de las Américas (ASBA), 2006.
Olaya Jorge.”Riesgo operativo en Ecuador”. (6 de julio del 2006) Internet.
riesgooperativo.blogspot.com/ Acceso: 1 marzo 2007.
Reyes José A. “Materialización del riesgo operativo”. KPMGChile (Agosto 2006)
Robert Morris Associated et al. “Operational Risk: The Next Frontier”.
Philadelphia, British Banker’s Association, 1999
Timmermans Lambert. “Modernización de Sistemas de Pagos de Alto Valor y de
Bajo Valor “. XI Encuentro Latinoamericano de usuarios SWIFT. (Julio 2006)
Vilariño Angel. “Riesgo operativo“ (septiembre del 2005) Internet.
www.sib.gob.gt/es/Presentaciones_y_Conferencias/X/1.ppt Acceso 1 marzo
2007.
85
Anexo A: Anexo No. 1 de la Resolución No. JB2005834 aprobada por la Junta Bancaria del Ecuador(Octubre,2005)