Academia cero control lavado de activos

Manual para el sistema de gestión del riesgo operacional  

Contar con un adecuado sistema permite que la compañía no se vea enfrentada a amenazas que puedan afectar sus finanzas. 

h_PP_manual_sistema_gestion_riesgo

Introducción

La mayoría de organizaciones sin importar a qué sector pertenecen están expuestas a sufrir pérdidas financieras por diferentes causas. Para evitar verse enfrentados a ese tipo de amenazas se recomienda contar con un adecuado sistema de gestión de riesgos operacionales enfocado en la ISO 31000, con el fin de contar con un plan de contingencia que ofrezca garantías frente a los inconvenientes que se puedan presentar, ya sean a través de procesos, tecnología, infraestructura, eventos externos o fallas humanas. 

Es importante que una vez sean identificados los riesgos operativos, estos tengan la posibilidad de ser medibles y a su vez controlados, a través de las políticas corporativas y estrategias establecidas. Estos deben estar compuestos por documentos, estructura de la compañía, registro de eventos, órganos de control, plan de continuidad, divulgación de la información y capacitación a los miembros de la empresa. 

En el siguiente manual usted encontrará toda la información relacionada al sistema de gestión del riesgo operativo, las clases que existen, los procedimientos, etapas y principios que se deben seguir. 

¿Qué es el riesgo operativo?

01_manual_sistema_gestion_riesgos_interna

Se puede definir como la posibilidad de incurrir en pérdidas debido a fallas humanas, tecnológicas, ambientales, de infraestructura o externas que puedan poner en peligro el habitual desarrollo de las actividades de la compañía y que impidan el cumplimiento de los objetivos corporativos.

Lo nombrado anteriormente incluye todo lo relacionado al riesgo legal, pero deja a un lado los riesgos relacionados a la reputación y sistemáticos, al igual que no se toma en cuenta las pérdidas que se den por factores económicos, sociales o políticos. 

Este tipo de riesgo es inherente a todos sistemas y procesos que son realizados por humanos. 

De acuerdo a Basilea este es “un riesgo de pérdidas económicas resultante de la falta de adecuación o ineficiencia en los procesos internos y ante cambios procedentes del exterior, por parte de la actuación del personal o de los sistemas integrados en la unidad productiva”. 

Clases

07_manual_sistema_gestion_riesgos_interna

Clasificar los riesgos según la categoría a la que pertenecen permite identificarlos con mayor facilidad. Por eso, a continuación le presentamos las siete clases de riesgo operativo que existen para que pueda reconocerlas dentro de su compañía.

Fraude interno 

El robo, los sobornos o el incumplimiento de las regulaciones por parte de empleados directos o terceros vinculados contractualmente con su empresa son riesgos producidos por fraudes internos.

Fraude externo

Este tipo de riesgo se origina por la actuación de personas externas a la entidad. Pueden presentarse a través de robos, falsificaciones o ataques informáticos.

Fallas tecnológicas

Si su compañía se expone a fallos en los sistemas de cómputo, en el hardware o en el software de la empresa, debe identificar los riesgos que estos eventos generan.

Ejecución y gestión de procesos

Los errores en la gestión de procesos también implican un riesgo para su compañía. En este sentido, la captura de transacciones, el monitoreo, el reporte y la documentación de clientes, así como la gestión de cuentas deben ser evaluados para reconocer posibles riesgos operacionales.

Relaciones laborales y seguridad en el puesto de trabajo

Toda actuación que infrinja la legislación laboral y la seguridad en el trabajo puede generar un riesgo patente. Por eso, esté atento a posibles reclamaciones por daños personales o a casos de discriminación laboral dentro de la empresa.

Daños a activos materiales

Circunstancias fortuitas como incendios, terremotos, actos terroristas, entre otros, pueden poner en riesgo los activos físicos de su entidad, así que identifique los daños o perjuicios que estos eventos puedan ocasionar.

Clientes, productos y prácticas empresariales

Finalmente, esta última clase de riesgo operativo se refiere a actos como competencia desleal, perjuicios a los clientes e información engañosa sobre los productos, lo que puede implicar un riesgo de incumplimiento involuntario y o por negligencia. 

Sistema de gestión del riesgo operacional

03_manual_sistema_gestion_riesgos_interna

El sistema de gestión de riesgos operativos es una de las buenas prácticas que realizan las juntas directivas de las entidades.

Este se define como un proceso repetitivo, el cual está compuesto por una serie de pasos que se deben llevar a cabo con una estructura establecida, con el fin de mejorar la toma de decisiones y de proteger uno de los activos más importantes de la empresa como lo son las finanzas.

Aquí, el riesgo operacional se debe identificar, evaluar, monitorear, controlar y mitigar. Para hacerlo de una manera correcta es importante que el sistema cuente con un proceso de monitoreo eficiente, el cual debe realizarse periódicamente para poder identificar a tiempo si alguno de los controles no están dando resultados o no es el adecuado para que se puedan tomar decisiones a tiempo y que a su vez se reduzca la frecuencia y alcance de las pérdidas. 

Marco

02_manual_sistema_gestion_riesgos_interna

  • Gobierno y cultura de riesgo: se establecen los responsables, en qué estarán a cargo y de qué manera se creará la cultura dentro de la empresa. 
  • Infraestructura y herramientas: se define como tal el riesgo operativo, las herramientas y datos que se van a utilizar para prevenirlo.
  • Estrategia, políticas, procedimientos y controles: capacidad para abordar la complejidad y el apetito de riesgo. 
  • Evaluación, monitoreo y pruebas: alcance y frecuencia definidos para monitoreo y pruebas.
  • Datos, mediciones y reportes: identificación oportuna, medición y reporte de riesgos.
  • Capacitación y comunicaciones: necesidades formativas y plan de desarrollo.
  • Escalamiento y resolución: transparencia, monitoreo de asuntos y planes de remediación.
  • Reputación y eventos externos: vigilancia de eventos externos y revisión de datos históricos para identificar eventos de pérdida potencial.

Tomado de: Gestión del riesgo operacional, implementación, datos y analítica de Deloitte. 

Políticas

08_manual_sistema_gestion_riesgos_interna

Comisión de riesgo operacional

El cual se encarga de velar por el cumplimiento del marco de gestión de riesgo operativo establecido. Su misión es identificar, medir, monitorear y dar a conocer los niveles de riesgo a los que se encuentra la institución.

Por otro lado, deben darle adecuado manejo a los procedimientos los cuales deben estar enfocados en los requerimientos de las normas locales e internacionales.

Líneas de negocio

Se clasifican y establecen de acuerdo a las exigencias de los entes de control y de lo que la empresa defina. Normalmente se dividen en:

  • Finanzas corporativas.
  • Negocios y ventas.
  • Banca minorista y comercial.
  • Pagos y liquidación.
  • Servicios
  • Administración de activos.
  • Intermediación.

Auditoría

Se debe realizar una auditoría interna la cual permita revisar a profundidad si la medidas correctivas son las adecuadas y están dando los resultados esperados.

Hay que tener en cuenta que la auditoría no es la responsable de la gestión de los riesgos operativos. Sin embargo, podrá dar a conocer desde su experiencia las recomendaciones para contar con un sistema adecuado.

Procedimiento interno

Se debe crear un manual que indique cómo se deben llevar a cabo los procedimientos, cuáles herramientas se van a usar y cómo se ejecutará el sistema de gestión de riesgos operacionales. 

Aquí se deben plasmar los riesgos a los que está expuesta la compañía, cómo sería el escenario en caso de que alguno se materialice y cuáles son los pasos que se deben seguir. 

Difusión interna

Es indispensable fomentar la cultura de riesgos dentro de la empresa, para que todos los miembros de la compañía tanto internos como externos estén enterados de todo lo relacionado a la gestión de riesgos de este tipo. 

Para esto se deben crear capacitaciones, cursos y charlas en las que se les dé a conocer sobre la visión, políticas, procedimientos y responsabilidades, ya que todos los empleados harán parte de la gestión y de cierta manera serán responsables de su implementación.

Continuidad de negocio

Cuando hablamos de continuidad de negocio nos referimos a la capacidad que tienen las empresas para sobrevivir ante un riesgo que se pueda presentar de manera interna o externa, afectando el normal desarrollo de las actividades. Sin embargo, las compañías deben tener la habilidad para reaccionar de manera inmediata frente a una amenaza y continuar prestando sus servicios de manera “habitual” con el fin de evitar la interrupción y el desarrollo normal de sus labores cotidianas. 

Cumplimiento normativo 

El sistema cumplirá con todos los requisitos legales exigidos por los entes de control nacionales e internacionales y a su vez procurará mantenerse al día teniendo en cuenta las modificaciones y actualizaciones que se hagan. 

Procedimientos

Al contar con un sistema de gestión de riesgos se le de dar cumplimiento a los siguientes objetivos:

  • Crear una cultura organizacional fuerte y contundente.
  • Minimizar los datos que se puedan presentar por fallas humanas.
  • Disminuir la probabilidad de ocurrencia de los riesgos.
  • Contar con un registro de eventos que contribuya en la reducción de incidentes.
  • Tener plenamente identificados los riesgos y contar con los controles requeridos. 

En cuanto al tema de procedimientos se debe llevar a cabo los siguientes:

Autoevaluación 

Da la posibilidad de identificar los puntos críticos de la gestión y conocer de manera detallada la calidad del sistema que se está implementando, con el fin de poder hacerle mejoras.

También brinda la oportunidad de que se puedan identificar nuevos riesgos los cuales se puedan evidenciar a través de talleres, reuniones grupales que estén enfocadas en conocer si la empresa puede estar expuesta a nuevos riesgos y cómo se está llevando el control de los existentes. 

Reporte de eventos y pérdidas

Los responsables del sistema de gestión de riesgos deben reportar los riesgos operativos que se materializaron y las pérdidas que estos causaron con el fin de que se pueda analizar la situación y de esta manera identificar si con los sucesos pueden aparecer nuevos riesgos.

Indicadores  

Se deben definir para que sea pueda hacer una medición periódica de los riesgos y la vez detectar e identificar cambios en los riesgos evaluados.  

Asignación de riesgos

Estos se deben clasificar con el fin de crear un mapa de riesgos ya sea de productos o servicios teniendo en cuenta la línea de negocios o el evento de pérdida al que esté asociado. Esta herramienta permite ver a gran escala los riesgos registrados y designar su prioridad.

Informes de gestión

Estos permiten que se tenga un control sobre la administración de riesgos operativos y conocer a fondo toda la información que ha sido documentada. 

Allí deben prevalecer los datos relacionados a los resultados, seguimiento y las correcciones que se le aplicaron a alguno de los controles o procesos de la gestión.

Estos deben ser analizados por la junta directiva y aprobar las nuevas estrategias que se plantearon para contar con un sistema de riesgo operacional óptimo. 

Estructura

10_manual_sistema_gestion_riesgos_interna

Etapas

04_manual_sistema_gestion_riesgos_interna

Es un hecho que todas las organizaciones tienen objetivos estratégicos diferentes y que el nivel de exposición al riesgo también varía de empresa a empresa. Sin embargo, el proceso de gestión de riesgo siempre tiene 5 etapas básicas que determinan el nivel de madurez de la administración de riesgos en el interior de la entidad.

Primera etapa: base tradicional.

En esta fase no existe una estructura formal para abordar los riesgos. De esta manera, al considerar que los riesgos siempre están presentes, los gestores de riesgo actúan de manera independiente.

Para verificar las pérdidas, el área de cumplimiento depende en exceso de la auditoría interna. Como en esta etapa la cultura de riesgo no está difundida en todos los niveles de la empresa, existe una dependencia total de la calidad y la integridad de los funcionarios y accionistas para mantener un control adecuado de los eventos.

Segunda etapa: concientización

Esta etapa del proceso de gestión de riesgo operativo es alcanzada por las empresas que establecen un área específica para gerenciar los riesgos. Definen políticas, responsabilidades y herramientas de apoyo.

Entre los recursos con los que cuentan los gestores para administrar el riesgo en esta fase se encuentran el mapeamiento de procesos para identificar riesgos y formalizar controles, estructuración del banco de datos del historial de pérdidas, diseño de indicadores de eficiencia y rentabilidad.

Tercera etapa: monitoreo

Después de haber identificado todos los riesgos, es importante interpretar su impacto en los procesos del negocio. En esta etapa del proceso de gestión de riesgos operacionales, se hace un seguimiento del nivel de riesgo actual y de la efectividad de las funciones de administración de riesgos.

Los indicadores de riesgo, tanto cualitativos como cuantitativos, así como las metas o los límites, se establecen con el fin de monitorearlos. Las medidas de exposición al riesgo se consolidan en un cuadro de mando integral para medir el desempeño del negocio con relación a los riesgos. En esta fase, la gestión se descentraliza en todas las áreas de la organización y se afianza la cultura de riesgo. Asimismo, el monitoreo deja de depender del área de cumplimiento y se asignan responsables de analizar y monitorear los procesos y las actividades.

Cuarta etapa: cuantificación

Esta es una de las etapas del proceso de gestión del riesgo operativo en la que la organización obtiene una mayor madurez. En esta fase la institución ya cuenta con una mejor comprensión de cuál es su situación frente a la exposición al riesgo operativo.

Los gestores ya tienen la capacidad de concentrarse en cuantificar los riesgos y predecir eventos futuros. Por eso, utilizan herramientas más analíticas que se basan en datos reales, ya que el banco de datos de pérdidas de la etapa 2 ahora posee información suficiente para tomar decisiones.

Quinta etapa: integración

La importancia de la gestión del riesgo operativo es reconocida por todas las áreas del negocio, las cuales se preocupan por integrar completamente la cuantificación de todos los riesgos de la organización, y no se limitan solo a considerar los riesgos operacionales. En este sentido, la cuantificación se aplica a la planeación estratégica y a la mejora en la calidad de los procesos.

En esta quinta etapa la empresa ya habrá orientado el proceso de desarrollo de la gestión del riesgo operativo según los lineamientos de los organismos de control y cumple con los requisitos establecidos por el Comité de Basilea. 

Principios

09_manual_sistema_gestion_riesgos_interna

  • Visión del riesgo: esta debe ir alineada con la visión organizacional.
  • Valor: son los beneficios que se van a tener en corto y largo plazo.
  • Primeros procesos: se le debe dar prioridad a los procesos que se van a implementar y luego revisar qué tecnología se va a utilizar.
  • Roles claros: designar a los encargados de cada área y tener claro qué ejecuciones van a realizar. 
  • Relevancia: el enfoque que se le da a las líneas de negocio.
  • Influencia: se tiene en cuenta el entorno existente.
  • Cultura de riesgo: contar con personas que lideren esta iniciativa y brinden conocimiento a todos los miembros de la organización. 

Responsables

06_manual_sistema_gestion_riesgos_interna

Junta directiva:

  • Determinar las políticas relacionadas al sistema de gestión operativo.
  • Aprobar el manual de políticas diseñado para la empresa.
  • Realizar el monitoreo pertinente al sistema.
  • Crear las medidas preventivas frente al perfil del riesgo operativo enfocándose en el nivel de tolerancia que tiene la organización.
  • Dar a conocer su opinión frente a los informes que son presentados.
  • Hacerle seguimiento a la auditoría que realizan los entes de control. 
  • Brindarle a la empresa los recursos necesarios para el adecuado funcionamiento al sistema. 

Representante legal:

  • Diseñar el manual de políticas.
  • Velar el cumplimiento de las políticas establecidas.
  • Hacerle seguimiento a las etapas del sistema.
  • Designar a los responsables del departamento encargado.
  • Adoptar medidas relativas al perfil de riesgo teniendo en cuenta la tolerancia.
  • Contar con una adecuada aplicación de los controles.
  • Recibir y evaluar los informes presentados.
  • Presentar un informe sobre la evolución y aspectos a destacar del sistema de gestión.

Departamento de riesgo operativo:

  • Tener al personal adecuado y con conocimiento en la gestión de riesgo operativo.
  • Tener capacidad de toma de decisiones.
  • No depender de los entes de control, departamento de tecnología, ni intereses que puedan originar conflictos de intereses.
  • Contar con los recursos necesarios para poder llevar a cabo todas las funciones.
  • Definición de estrategias, metodologías y procedimientos para la administración de riesgos operativos y que cumplan con los requisitos legales.
  • Crear el sistema de reportes internos y externos.
  • Administrar los riesgos operativos.
  • Contar con la información necesaria para el registro de eventos
  • Evaluar si los controles son los adecuados.
  • Establecer y monitorear el perfil de riesgo de la organización.
  • Contar con los modelos adecuados de medición. 
  • Crear  programas de capacitación enfocados en la gestión de riesgo operativo.
  • Proponer los cambios en los controles si es necesario hacerlo. 

Desafíos

En la actualidad la mayoría de empresas están ajustando el modelo de gestión de riesgos operativos por medio de tres líneas de defensa para hacer más eficaces los sistemas.

05_manual_sistema_gestion_riesgos_interna

Descargue el manual para el sistema de gestión del riesgo operacional

Compártalo en sus redes sociales