Academia Cero guía para gestionar el riesgo

Guía de métodos para gestionar el Riesgo Operativo

guía métodos para gestión de riesgo operativo

Introducción

Un análisis del riesgo debe incluir todos los posibles eventos y pérdidas económicas que estas puedan causar. Una vez la compañía detecte amenazas, debe decidir si evitarlas o asumirlas, de acuerdo con el nivel de tolerancia y apetito de riesgo.

Las empresas que tracen sus objetivos y busquen el éxito, deberán unir esfuerzos para operar de manera eficaz y responsable por medio de la gobernanza, de lo contrario, pagará altos costos por los errores, tendrá poco análisis de riesgos, incapacidad para hacerles frente y dificultad para medir el desempeño de los mismos. Mientras que una buena gestión ayuda a mejores decisiones, a reducir impactos negativos, costos y operaciones.

En esta guía encontrará las claves para elaborar un mapa de riesgos, identificarlo y mitigar el impacto. Además, conocerá cuáles son las amenazas en una compañía y cuáles son los tipos de eventos negativos a los que podría estar expuesta.

Claves para identificar el Riesgo Operacional

Claves para identificar riesgos operacionales

Todas las empresas deben trabajar en identificar sus riesgos y definir estrategias que permitan su evaluación, seguimiento y mitigación de manera oportuna. La gestión del riesgo operativo debe tener en cuenta los factores internos y externos que originan las amenazas.

Los internos se producen por la propia actividad comercial de la compañía, por ejemplo, una mala administración de caja o problemas en la producción; mientras que los externos son las condiciones políticas, económicas o sociales que afectan el desempeño de las empresas de un sector determinado o un país, como las crisis económicas, la inestabilidad de las tasas de cambio y las variaciones de una industria.

En esta guía conocerá tres claves para identificar el riesgo operacional de su compañía, para que tome acciones oportunas y para que los impactos de esos posibles eventos no afecten los objetivos de su organización.

1. Recoja información

La empresa debe identificar los factores de riesgo operacional a partir de la revisión de los procesos, de autoevaluaciones y análisis del país donde opera como el contexto económico, político, social y ambiental. Debe construir información tanto externa como interna, que le permita evaluar todas las amenazas.

2. Clasifique cada riesgo

La compañía debe clasificar los posibles riesgos, realizar un inventario de los mismos  para valorar y establecer el nivel de amenaza, así como las acciones que se van a implementar.  Se debe analizar el grado de probabilidad, impacto y ocurrencia de cada riesgo (alto, medio o bajo) e incluir indicadores tanto cuantitativos como cualitativos para evaluar periódicamente el perfil de riesgo operacional.

3. Utilice herramientas tecnológicas

Utilice un sotfware que le ayude a identificar las amenazas, tener alertas, mejorar el análisis, optimizar el monitoreo y visibilizar procesos internos. El software permite integrar todos los datos de la empresa, de esta forma, se unifica la información y se fomenta una cultura de gestión de riesgo. Ayuda a comprender mejor los procesos de la organización, además, este sistema actúa en tiempo real, lo que ayuda a controlar el riesgo, así como tomar decisiones y medidas oportunas.

¿Cómo elaborar un mapa de riesgos?

como elaborar un mapa de riesgosias

Un mapa se diseña para resaltar las problemáticas operacionales o financieras de la organización, hacer una supervisión y seguimiento de los procesos clave que pueden tener eventos negativos, así como exposiciones o amenazas para desarrollar estrategcon el objetivo de mitigar esos riesgos.

Estos son los pasos para construir un mapa de riesgos:

 1. Comité de riesgos

Lo primero que se debe hacer para diseñar un mapa de riesgos es nombrar un comité de riesgos con el fin de que este recoja información amplia y discriminada para comprender mejor las amenazas. Conformar ese equipo con perfiles competentes es es un compromiso de la alta dirección, de tal manera que debe nombrar  personal que se comprometa con la construcción del mapa.

2. Identificar los riesgos

Para identificar los posibles riesgos, todas las áreas de la empresa deberán hacer un análisis de riesgos, que se interponen en su día a día o en el desarrollo de sus estrategias para lograr sus objetivos. Una vez se identifiquen todos, se deberá describir cada uno para conocer sus posibles consecuencias.

3. Valorar los riesgos

Con base a la información que la organización obtuvo en la etapa de identificación, debe clasificar cada riesgo para valorarlos y establecer el nivel de impacto y las acciones que se van a implementar. Para este punto, se debe analizar con indicadores (alto, medio o bajo), el grado de probabilidad, el impacto y la ocurrencia de cada riesgo.

 4. Matriz de priorización

Cuando el comité de riesgos clasifique las amenazas, basados en la probabilidad, ocurrencia e impacto que podría traer cada una, deberá elaborar una matriz de priorización para establecer cuáles requieren un tratamiento inmediato.

Aquí se analiza cada riesgo y se clasifica como alto (es muy factible que se presente), medio (factible) o bajo (muy poco factible) y se identifica el mapa con un color distinto alto (rojo), medio (amarillo) bajo (verde).

También se analiza si cada impacto puede ser interno o externo. Este mapa sirve para empezar a trabajar en los riesgos más urgentes y plantear estrategias para reducir sus impactos.

Factores de riesgo operativo

El riesgo operacional podría causar pérdidas tanto económicas como humanas, por causa de errores, procesos internos inadecuados y fallas de los sistemas, así como de las personas.  Por ello, Cero le presenta los factores de riesgo operativo que las empresas deben tener en cuenta:

 1. Recursos humanos

Si un empleado tiene acceso a transacciones que no son de su competencia, puede alterar información sensible o tener a su disposición datos confidenciales de los clientes y de la compañía, lo que puede resultar en fraudes, robos, secuestro de la información y sabotajes.

 2. Falta de segregación de funciones

Para que las responsabilidades de una o varias áreas de la compañía no recaigan en una sola persona, se deben separar las actividades. De ese modo, ningún funcionario debe gestionar todas las etapas de una transacción. Si no hay segregación de funciones, una persona podría acceder a transacciones para realizar acciones no autorizadas o fraudulentas.

3. Administración de usuarios y contraseñas

Si una persona accede a sistemas de información que son sensibles para la compañía o cuenta con acceso a usuarios o a contraseñas que no son de su responsabilidad, puede aumentarse el riesgo de pérdida de confidencialidad o exponer los datos a modificaciones no autorizadas.

4.Falla en los procesos

Factores de riesgo operacional entran a transacciones registradas de forma incompleta, con información imprecisa o fuera del periodo contable correspondiente. Cuando se utiliza un formato incorrecto para ingresar los datos o se registran sin contrastar con los datos existentes, se pueden afectar de forma grave los registros contables.

Las etapas de gestión de Riesgo Operativo

etapas de gestión del riesgo financiero

Todas las compañías tienen objetivos estratégicos diferentes, sin embargo, el nivel de exposición al riesgo varía de empresa a empresa. Aún así, el proceso de gestión de riesgo tiene cinco etapas básicas que determinan la madurez de la administración de riesgos de la entidad.

1. Base tradicional

En la primera etapa no existe una estructura formal para abordar los riesgos. Por ello, los gestores de riesgo actúan de manera independiente, al considerar que esas amenazas todo el tiempo están presentes.

Como en esta etapa la cultura de riesgo no está difundida en todos los niveles de la empresa, hay una dependencia total de la calidad y la integridad de los funcionarios y accionistas para mantener un control adecuado de los eventos.

2. Concientización 

El  proceso de gestión de riesgo operativo es alcanzado por las empresas que establecen un área específica para gerenciar los riesgos. Aquí se definen políticas, responsabilidades y herramientas de apoyo.En esta fase, algunos de los recursos son: el mapeamiento de procesos para identificar riesgos y formalizar controles, estructuración del banco de datos del historial de pérdidas, diseño de indicadores de eficiencia y rentabilidad.

3. Monitoreo 

En esta etapa se hace un seguimiento del nivel de riesgo actual y de la efectividad de las funciones de administración de riesgos. Tras identificar todas las amenazas, es importante interpretar su impacto en los procesos del negocio.

En esta fase, la gestión se descentraliza en todas las áreas de la organización y se afianza la cultura de riesgo.

4. Cuantificación

Esta es una de las etapas donde la organización obtiene una mayor madurez porque la institución ya cuenta con una mejor comprensión de cuál es su situación frente a la exposición al riesgo operativo.5. IntegraciónEn la quinta etapa, la empresa ya habrá orientado el proceso de desarrollo de la gestión del riesgo operativo, según los lineamientos de los organismos de control y cumple con los requisitos establecidos por el Comité de Basilea.

Los tipos de riesgo operativo

1. Fraude interno

El robo, los sobornos o el incumplimiento de las regulaciones por parte de empleados directos o terceros, vinculados contractualmente con su empresa, son riesgos producidos por fraudes internos.

2. Fraude externo

Pueden presentarse a través de robos, falsificaciones o ataques informáticos de personas externas a la entidad.

3.Fallas tecnológicas

Debe identificar los riesgos de fallas en los sistemas de cómputo, en el hardware o en el software de la empresa.

4. Ejecución y gestión de procesos

La captura de transacciones, el monitoreo, el reporte y la documentación de clientes, así como la gestión de cuentas deben ser evaluados para reconocer posibles riesgos operacionales.

 5. Relaciones laborales y seguridad en el puesto de trabajo

Toda actuación que infrinja la legislación laboral y la seguridad en el trabajo puede generar un riesgo patente.

6. Daños a activos materiales

incendios, terremotos y actos terroristas pueden poner en riesgo los activos físicos de su entidad.

7. Clientes, productos y prácticas empresariales

Actos como competencia desleal, perjuicios a los clientes e información engañosa sobre los productos, puede implicar un riesgo de incumplimiento involuntario y negligente.

 

La guía de métodos para gestionar el riesgo operativo

 

Compártalo en sus redes sociales