RIESGO OPERATIVO. I. Introducción 2. Definición 3. Gestión del Riesgo Operativo 3. Generalidades del Acuerdo de Basilea II 5

Transcripción

1 RIESGO OPERATIVO Por Francisco Alonso Rodríguez-Wyler Ortiz* CONTENIDO TEMÁTICO: I. Introducción 2 II. Antecedentes Definición 3 Gestión del Riesgo Operativo 3 Generalidades del Acuerdo de Basilea II 5 III. Elementos principales para la administración de riesgos Fuentes del Riesgo Operativo 6 Identificación de riesgos 7 Mapeo de riesgos 8 Preguntas claves en el análisis de riesgos 10 IV. Conclusiones Eventos de pérdida por ausencia de una administración de riesgos 14 V. Bibliografía 16

2 I. INTRODUCCION Por qué es importante hablar del riesgo operativo? Aunque para muchos este tema va ligado con los escándalos financieros de Enron y WorldCom, su aplicación no es exclusiva de una empresa de la magnitud de las antes mencionadas. Toda actividad realizada en una empresa, sea chica, mediana o grande, tiene ciertos riesgos para las personas que la llevan a cabo, riesgos que pueden ser minimizados o incluso eliminados si se realizan con las medidas de control adecuadas, sin embargo, aún cuando en muchas ocasiones se asume la conveniencia de aplicarlas, no siempre son tenidas en cuenta de forma voluntaria por los individuos que las llevan a cabo. Las advertencias y recomendaciones de buenas prácticas pueden resultar insuficientes e ineficaces, es por ello que las autoridades toman finalmente la decisión de sustituir dichas recomendaciones por disposiciones de carácter oficial, que aunque no siempre eliminen los riesgos, sí los minimizan y sobre todo concientizan de su existencia. La implicación para todos es muy simple, el entorno ha cambiado, la supervivencia de las organizaciones en un mundo globalizado y altamente competitivo nos obliga a mejorar nuestro desempeño y la buena gestión del riesgo se ha tornado en una decisiva ventaja competitiva; así mismo, las empresas deben de utilizar sus procesos para estar mejor preparadas y ser más transparentes. Para que una organización cumpla objetivos y metas, es necesario que los sistemas y subsistemas que la componen funcionen en armonía y de manera eficiente. Cuando se presenta alguna de las siguientes situaciones, se puede decir que se está incurriendo en un riesgo operativo que puede originar pérdidas a la entidad, así como un aumento de costos y gastos: - Incumplimiento de normas y procedimientos para la ejecución de un proceso - Falta de documentación de procesos - Falta de confidencialidad de la información - Fallas en los procedimientos por errores humanos A diferencia de otras prácticas o riesgos, el riesgo operativo no sólo se puede erradicar, sino que es intrínseco al propio negocio, por lo que, voluntariamente o no, se debe de aprender a vivir con él. Pero aunque sea un mal necesario, lo que no se puede o no se debe de hacer si se quiere garantizar la supervivencia de las entidades, es ignorar sus efectos o menospreciar su importancia, asumiendo que es imposible evitar sus consecuencias. Por lo tanto el presente trabajo tiene la intención de mostrar un breve panorama de lo que es el riesgo operativo, algunos de sus elementos y sus repercusiones al no prestarle la atención que merece debido a su importancia, así como también, se abordan cuestionamientos de gran utilidad, que sirven como una guía para determinar si se está teniendo o no, un control adecuado en la organización.

3 II. ANTECEDENTES Definición: Antes de llegar al concepto del riesgo operativo como tal, es importante que se haga mención del concepto de riesgo, el cual es: El impacto y probabilidad de que un evento no deseado pueda afectar el logro de metas y objetivos. Existen diversas definiciones que se han dado al concepto de riesgo operativo, pero entre ellas, a continuación se menciona la emitida por el Comité de Basilea, la cual señala que: El riesgo operativo es el que proviene de fallas de información en los sistemas o en los controles internos que pueden provocar una pérdida inesperada. Este riesgo se asocia con errores humanos, fallas en los procesos e inadecuados sistemas y controles Por lo que se acaba de exponer, se infiere que el riesgo operativo puede definirse como sigue: El riesgo de pérdida como resultado de procesos, gente y sistemas inadecuados o fallas en procesos internos, gente y sistemas de eventos externos. El hecho de dar una definición es vital, porque supone un gran avance hacia el consenso y la homogeneización de términos. Basilea II ha venido a aportar, en este sentido, un punto de partida básico y un marco de referencia a la hora de tratar este riesgo. De acuerdo con José Antonio Núñez y José Juan Chávez, en su artículo Riesgo operativo: esquema de gestión y modelado del riesgo, del riesgo operativo se pueden destacar las siguientes características: 1- Es antiguo y está presente en cualquier clase de negocio. 2- Es inherente a toda actividad en que intervengan personas, procesos y plataformas tecnológicas. 3- Es complejo, como consecuencia de la gran diversidad de causas que lo originan. 4- Las grandes pérdidas que ha ocasionado en varias empresas, muestran el desconocimiento que de él se tiene y la falta de herramientas para gestionarlo. Gestión del riesgo operativo: Identificación, Evaluación, Medición, Monitoreo y Control Como principio general, las entidades deben contar con una estrategia que establezca principios para la identificación, medición, control, monitoreo y mitigación del riesgo operativo. Las estrategias y políticas deberían ser implementadas por la Función de Gestión de Riesgo, responsable de identificar y gestionar todos los riesgos. La Función de Gestión de Riesgo puede incluir sub-unidades especializadas por riesgos específicos. Las entidades deberían desarrollar su propio enfoque y metodología para la gestión de riesgos, de acuerdo con su objeto social, tamaño, naturaleza y complejidad de operaciones y otras características. La implementación del sistema de gestión de riesgo operativo debería considerar todas las etapas de gestión de riesgo, incluyendo la identificación, evaluación, medición, monitoreo y control.

4 Identificación La identificación efectiva del riesgo considera tanto los factores internos como externos que podrían afectar adversamente el logro de los objetivos institucionales. Evaluación Para todos los riesgos operativos materiales que han sido identificados, la entidad debería decidir si usa procedimientos apropiados de control y/o mitigación de los riesgos o asumirlos. Para aquellos riesgos que no pueden ser controlados, la entidad debería decidir si los acepta, reduce el nivel de actividad del negocio expuesta o se retira de esta actividad completamente. Todos los riesgos materiales deberían ser evaluados por probabilidad de ocurrencia e impacto a la medición de la vulnerabilidad de la entidad a este riesgo. Los riesgos pueden ser aceptados, mitigados o evitados de una manera consistente con la estrategia y el apetito al riesgo institucional. Cuando sea posible, la entidad debería usar controles internos apropiados u otras estrategias de mitigación, como los seguros. Medición Las entidades deberían estimar el riesgo inherente en todas sus actividades, productos, áreas particulares o conjuntos de actividades o portafolios, usando técnicas cualitativas basadas en análisis expertos, técnicas cuantitativas que estiman el potencial de pérdidas operativas a un nivel de confianza dado o una combinación de ambos. Monitoreo Un proceso efectivo de monitoreo es esencial para una gestión adecuada del riesgo operativo. Un monitoreo regular de las actividades puede ofrecer la ventaja de detectar rápidamente y corregir deficiencias en las políticas, procesos y procedimientos de gestión del riesgo operativo. El monitoreo regular también fomenta la identificación temprana de cambios materiales en el perfil de riesgo, así como la aparición de nuevos riesgos. El alcance de las actividades de monitoreo incluye todos los aspectos de la gestión del riesgo operativo en un ciclo de vida consistente con la naturaleza de sus riesgos y el volumen, tamaño y complejidad de las operaciones. Control Después de identificar y medir los riesgos a los que está expuesta, la entidad debería concentrarse en la calidad de la estructura de control interno. El control del riesgo operativo puede ser conducido como una parte integral de las operaciones o a través de evaluaciones periódicas separadas, o ambos. Todas las deficiencias o desviaciones deben ser reportadas a la gerencia. Reporte Debe existir un reporte regular de la información pertinente a la dirección, a la alta gerencia, al personal y a partes externas interesadas, como clientes, proveedores, reguladores y accionistas. El reporte puede incluir información interna y externa, así como información financiera y operativa.

5 Generalidades del Acuerdo de Basilea II En 1988, el comité de supervisión bancaria de Basilea estableció el primer acuerdo de capital, es decir, Basilea I. El centro de dicho documento era el riesgo crediticio de los bancos, a los cuales se les pedía prever un mínimo de capital en caso de insolvencia de los deudores. No fue sino hasta 1996, que se incluyó el riesgo de mercado. Es en 2004 con el acuerdo de Basilea II, cuando se intenta trabajar de una manera más integral acerca de la solvencia y seguridad del sector financiero. Una de las innovaciones en este acuerdo es la inclusión de requerimientos de capital por riesgo operativo. Si bien es cierto que el riesgo operativo existe en todas la funciones de las entidades financieras, desde el primer instante de su vida, y su gestión ha sido importante para disminuir el fraude y desarrollar controles internos, sólo recientemente se ha desarrollado un interés formal por parte de los reguladores, consultores, académicos e instituciones financieras. Lo anterior es debido básicamente a las enormes pérdidas de las entidades financieras registradas por errores operacionales en el mercado, como fueron los casos de Banco Barings y Daiwa Bank en 1995, Sumimoto Bank en 1996 y Allied Irish Bank en El acuerdo de Basilea II no sólo es la búsqueda de cumplimiento de reglas por parte de las entidades financieras, sino pretende incentivar un estándar de mayor calidad en la gestión y control de riesgos y capital, y es a la vez, un reflejo de un clima de atención por parte de los reguladores a los sistemas de control interno y a la cultura de control. La gestión del riesgo operativo es ahora una práctica constante y tan importante como la gestión del riesgo crediticio o del mercado. Como lo menciona Zenón Biagosch, en el apartado El camino hacia Basilea II de la publicación Riesgo Operacional, podríamos decir que Basilea I se basaba en un enfoque de tipo contable y Basilea II propicia un manejo dinámico de los riegos, otorgando a los bancos para la medición del riesgo de crédito tres métodos alternativos (estandarizado, basado en calificaciones internas; básico y avanzado), incentivándose la utilización de la aplicación del método más avanzado. Adicionalmente el nuevo acuerdo propone el tratamiento explícito de otros tipos de riesgos presentes en la industria financiera, introduciendo la medición del riesgo operativo. Cabe recordar que tradicionalmente la gestión del riesgo operativo ha sido y es una parte importante del esfuerzo realizado por los bancos para mitigar el fraude y mantener la integridad de los controles internos, entre otros aspectos. Sin embargo, lo novedoso del nuevo acuerdo es considerar la gestión del riesgo operativo como una práctica integral comparable a la gestión de otros riesgos (como riesgo crediticio o de mercado) y exigir capital regulatorio para afrontarlos. Es de destacar que Basilea II también incorpora la necesidad de contar con buenas prácticas de gestión y supervisión de riesgo operativo, como precondición para aplicar metodologías de medición. Para ello el Comité de Basilea publicó en febrero de 2003 el documento Sound Practices for the Management and Supervision of Operational Risk, en donde se establecen una serie de principios para una gestión y supervisión eficaz del riesgo operativo, de modo que los bancos y autoridades supervisoras puedan utilizarlos al momento de evaluar políticas y prácticas destinadas a gestionar este tipo de riesgos. Se desprende de dicho documento que el enfoque exacto elegido por cada entidad para la administración del riesgo operativo dependerá de una variedad de factores, incluyendo su tamaño y sofisticación y la naturaleza y complejidad de sus actividades. Sin embargo, destaca la existencia de varios elementos que resultan significativos para un esquema efectivo de administración del riesgo operativo para bancos de cualquier tamaño y alcance. Dichos elementos están relacionados

6 con: estrategias claramente definidas y su seguimiento por parte del órgano directivo y de la alta gerencia; una sólida cultura de gestión del riesgo operativo y de control interno; y herramientas eficaces para la transmisión interna de información y planes de contingencia. A su vez el Comité identifica los principales eventos de riesgo operativo, los cuales están relacionados con: el fraude interno y externo; las relaciones laborales y seguridad en el puesto de trabajo (ejemplo: solicitud de indemnizaciones por parte de los empleados, infracción de las normas laborales de seguridad e higiene, organización de actividades laborales, acusaciones de discriminación, responsabilidades generales, etc.); las prácticas con los clientes, productos y negocios (abusos de confianza, abuso de información confidencial sobre el cliente, negociación fraudulenta en las cuentas del banco, lavado de dinero, etc.); los daños a activos materiales (terrorismo, vandalismo, terremotos, incendios, inundaciones, etc.); las alteraciones en la actividad y fallos en los sistemas (fallos del hardware o del software, problemas en las telecomunicaciones, interrupción en la prestación de servicios, etc.); la ejecución, entrega y procesamiento (errores en la introducción de datos, fallos en la administración de las garantías, documentación jurídica incompleta, etc.). Indudablemente todo ello no es algo nuevo, sino que siempre ha sido una parte importante del esfuerzo de los bancos por evitar el fraude, mantener la integridad de los controles internos, reducir los errores en las operaciones, etc. Sí resulta relativamente nueva la consideración de la gestión del Riesgo Operativo como una práctica integral comparable a la gestión del Riesgo del crédito o Riesgo de Mercado. En este sentido, son cada vez más las instituciones convencidas de que los programas de gestión integral del riesgo operativo proporcionan seguridad y solidez. III. ELEMENTOS PRINCIPALES PARA LA ADMINISTRACION DE RIESGOS Cuando se analiza el riesgo operativo, no sólo se trata de mediciones estadísticas de distintas distribuciones de pérdidas, es decir, de análisis con datos históricos, sino también del estudio de posibles escenarios. En concreto, se refiere a incluir el uso de datos internos, datos externos relevantes, análisis de escenarios y sistemas de control interno. En la gestión del riesgo operativo es necesaria la inclusión del juicio del experto, el cual también organiza por prioridades las actividades para la mejora, debido a las diversas fuentes y situaciones en las que se encuentra este riesgo. Fuentes del Riesgo Operativo: Procesos Internos Posibilidad de pérdidas financieras relacionadas con el diseño inapropiado de los procesos críticos, o con políticas y procedimientos inadecuados o inexistentes dentro de la empresa, que puedan tener como consecuencia el desarrollo deficiente de las operaciones y servicios o la suspensión de los mismos. En tal sentido, podrán considerarse entre otros, los riesgos asociados a las fallas en los modelos utilizados, los errores en las transacciones, la evaluación inadecuada de contratos o de la complejidad de productos, operaciones y servicios, los errores en la información contable, la inadecuada compensación, liquidación o pago, la insuficiencia de recursos para el volumen

7 de operaciones, la inadecuada documentación de transacciones, así como el incumplimiento de plazos y presupuestos planeados. Personas Posibilidad de pérdidas financieras asociadas con negligencia, error humano, sabotaje, fraude, robo, paralizaciones, apropiación de información sensible, lavado de dinero, inapropiadas relaciones interpersonales y ambiente laboral desfavorable, falta de especificaciones claras en los términos de contratación del personal, entre otros factores. Se puede también incluir pérdidas asociadas con insuficiencia de personal o personal con destrezas inadecuadas, entrenamiento y capacitación inadecuada y/o prácticas débiles de contratación. Tecnología de Información Posibilidad de pérdidas financieras derivadas del uso de inadecuados sistemas de información y tecnologías relacionadas, que pueden afectar el desarrollo de las operaciones y servicios que realiza la institución al atentar contra la confidencialidad, integridad, disponibilidad y oportunidad de la información. Las instituciones pueden considerar de incluir en ésta área, los riesgos derivados a fallas en la seguridad y continuidad operativa de los sistemas TI, a errores en el desarrollo e implementación de dichos sistemas y su compatibilidad e integración, problemas de calidad de información, inadecuada inversión en tecnología y fallas para alinear la TI con los objetivos de negocio, con entre otros aspectos. Otros riesgos incluyen la falla o interrupción de los sistemas, la recuperación inadecuada de desastres y/o la continuidad de los planes de negocio. Eventos Externos Posibilidad de pérdidas derivadas de la ocurrencia de eventos ajenos al control de la empresa que pueden alterar el desarrollo de sus actividades, afectando a los procesos internos, personas y tecnología de información. Entre otros factores, se podrán tomar en consideración los riesgos que implican las contingencias legales, las fallas en los servicios públicos, la ocurrencia de desastres naturales, atentados y actos delictivos, así como las fallas en servicios críticos provistos por terceros. Otros riesgos asociados con eventos externos incluyen: el rápido paso de cambio en las leyes, regulaciones o guías, así como el riesgo político o del país. Identificación de Riesgos: Como se menciona en la presentación de Riesgo Operativo de Elvia Ojeda, existen dos grupos de riesgos operativos que se pueden conocer en una compañía: - Cuantitativos: incidencias y eventos de pérdida, se basan en información histórica. - Cualitativos: riesgos potenciales, se basan en el juicio experto.

8 La metodología primaria para la identificación de riesgos es la observación de las pérdidas y cada vez que se materializa un riesgo se toman medidas para prevenir su posible recurrencia. Registros históricos sobre incidencias y eventos de pérdidas sobre los procesos operativos son una fuente básica de la información requerida por el análisis de riesgos. Los siguientes puntos son herramientas importantes para la identificación de riesgos: Organigramas funcionales: Revela las divisiones de la organización y sus relaciones, lo que permite al administrador de riesgos entender la naturaleza y el campo de acción de las operaciones de la organización. Se evita que una misma persona, unidad o área realice funciones que no respetan la adecuada segregación de labores, generando conflicto de interés o riesgos operativos que pueden ser evitados fácilmente. Procesos operativos: Permiten al administrador de riesgos conocer cómo se realizan las actividades por área. Diagramas de flujo de procedimientos: Pueden alertar al administrador de riesgos de aspectos inusuales en las operaciones de la empresa y permite descubrir las contingencias que pueden interrumpir sus procesos. El administrador de riesgos se ve forzado a familiarizarse con los aspectos técnicos de las operaciones de la empresa. Matrices de riesgos y controles: Permiten identificar los tipos de riesgo y el perfil inicial de riesgo de un área, aquí es donde se cuantifica el riesgo de una manera cualitativa. Mapeo de Riesgos: De acuerdo a lo externado en el libro La gestión del riesgo operacional. De la teoría a su aplicación por parte de José Pedro Arranz y Manuel Rodríguez, se hace mención que: el objetivo del mapeo de riesgos es hacer una revisión y diagnóstico del sistema de control interno existente en la entidad mediante la identificación de los principales riesgos a los que están expuestas las actividades realizadas, los controles existentes para mitigarlos y las oportunidades de mejora en el proceso de gestión del riesgo. El proceso de identificación y análisis del riesgo y los controles debe ser continuo y es un componente básico para que un sistema de control interno sea efectivo. Para ello es necesario que todos los niveles directivos de la entidad estén involucrados en la gestión de los riesgos y controles de las áreas de negocio de su dependencia y en fomentar una cultura de control interno que ayude a la entidad a conseguir sus objetivos de rentabilidad y rendimiento y a prevenir la pérdida de recursos. La realización del mapa de riesgos, además de encaminar el sistema de control interno a las nuevas tendencias marcadas por el Nuevo Acuerdo de Capitales de Basilea disponiendo de una herramienta de gestión eficiente de los riesgos y controles, aporta otras ventajas a la organización entre las que destacan las siguientes:

9 Potencia la cultura de riesgos y controles en la organización, promoviendo en los empleados la comprensión de los riesgos del negocio y su responsabilidad en el proceso de mitigación a través del control interno. Promueve una continua reflexión crítica, motivando a las unidades de negocio al diseño, construcción y mantenimiento de mejores sistemas de controles efectivos. Contribuye a aumentar la cantidad y calidad de información fiable sobre la situación de control de los riesgos existentes. Contribuye a dar solidez al sistema de control interno y con ello a minimizar la desconfianza sobre auditorías a posteriori, requeridas por los sistemas de control. Permite poner el enfoque en los riesgos más significativos para la entidad y a disminuir los costos en revisiones recurrentes. Un sólido sistema de identificación y gestión de riesgos puede contribuir también a reducir costos en los seguros contratados para cubrir determinados eventos. Una vez puesto de manifiesto los objetivos del mapa de riesgos es necesario establecer los elementos que son necesarios para su desarrollo que, en términos generales, son los que se comentan a continuación: Establecer el ámbito en el que se va a desarrollar el análisis: es el primer paso del proceso, identificar el alcance del trabajo que se va a realizar, en dos vertientes, la correspondiente a la clasificación por áreas de la entidad objeto de análisis y la correspondiente a la tipología de riesgos presentes en las actividades desarrolladas por la entidad. Identificar los riesgos a los que están expuestas las distintas actividades: en el sentido más amplio posible, considerando no sólo la experiencia histórica de aquellos eventos que se hayan materializado en un problema económico, sino cualquier posibilidad de sufrir alguno. Evaluar los riesgos: una vez identificados todos los riesgos potenciales deberemos establecer una valoración que nos permita priorizar según su relevancia. Esta valoración se realiza en términos de importancia del potencial y la frecuencia con la que pueda llegar a producirse. Dicha evaluación debe ir acompañada de un análisis y valoración de los controles establecidos para mitigar los riesgos, con el objeto de conocer la verdadera exposición de la entidad a los mismos. Gestionar los riesgos: una vez identificados y evaluados se pueden establecer las prioridades necesarias y establecer planes con las medidas correctoras que se consideren adecuadas para los riesgos que se determinen como más relevantes Además de establecer los elementos anteriores es necesario definir el enfoque con el que se va a abordar el trabajo. Al respecto podemos apuntar que existen dos posibilidades con distinto grado de sofisticación y dificultad así como con distinto grado de necesidad de información: 1- El enfoque que parte del análisis en profundidad de actividades y procesos al mayor nivel de detalle posible, para posteriormente ir agregando los resultados obtenidos. Este enfoque sólo será posible en el caso de que la entidad tenga un adecuado inventario de

10 procesos perfectamente definidos, incluso con técnicas de flujos, que permita tener identificadas cada una de las tareas y controles que se realizan en un proceso. 2- El enfoque que parte de un nivel más general; mediante entrevistas con responsables de áreas y/o cuestionarios de autoevaluación que nos permite conocer los principales riesgos asociados a las actividades que desarrollan y los controles que hay implantados para mitigarlos. Preguntas clave en el análisis de riesgos: Los siguientes cuestionamientos deben de ser aplicados en las diferentes áreas de la entidad, para poder conocer en qué situación se encuentra y que grado de control y riesgo se tiene. Contabilidad: 1. Se hace una revisión mensual y anual del soporte físico del listado de las cuentas contables que conforman los estados financieros? Es importante tener un soporte de cómo se integran los saldos de cada una de estas cuentas, mismos que deben de estar debidamente firmados por las personas que prepararon y autorizaron cada movimiento. 2. Se cuenta con algún listado de procedimientos a seguir durante cada cierre contable? en caso afirmativo, se siguen y se documentan debidamente? 3. Se tiene registrada la antigüedad de cualquier asunto en conciliación? Su resolución no debe de superar tres meses. 4. Se realizan registros mensuales, trimestrales o anuales de provisiones por ingresos o gastos debidamente soportados? 5. Los registros por provisiones son inmediatamente reversados en cuanto los cargos son realizados? 6. Las cuentas claves de los estados financieros son revisadas de manera analítica, ya sea comparando contra el presupuesto o contra resultados de ejercicios anteriores? Efectivo: 1. Las cuentas bancarias son conciliadas directamente de los estados de cuenta emitidos por los bancos contra los registros contables? 2. Las conciliaciones bancarias son preparadas dentro de los 30 días siguientes al mes inmediato anterior? Es importante que estas conciliaciones sean revisadas por una persona distinta a las que tienen el control de las cuentas de banco.

11 3. El efectivo recibido es depositado en el banco diariamente o al menos una vez por semana para evitar la acumulación de cantidades significativas? 4. Los cheques recibidos son inmediatamente endosados? 5. La actividad de banca electrónica es revisada y controlada diariamente? 6. Se tienen plenamente identificados a las personas que tienen acceso a las cuentas bancarias? 7. La chequera se tiene guardada en un lugar seguro con un acceso limitado? 8. Se cuenta con un listado del personal que tiene acceso a la chequera? En caso de ser varias personas, no todas deben de tener la habilidad de poder firmar cheques. 9. Se hace alguna revisión diaria, semanal o mensual del consecutivo de los cheques en blanco? Esta revisión debe de ser hecha por una persona independiente al manejo de la chequera. 10. Es importante establecer un monto mínimo por el cual sea necesario el obtener dos firmas de autorización para la emisión de cheques. 11. Los cheques cancelados son documentados y resguardados para futuras referencias? 12. Las responsabilidades de la caja chica son asignadas únicamente a una sola persona? Se sugiere que esta persona sea de absoluta confianza. 13. La caja chica opera bajo un fondo fijo que es reembolsado vía cheque? Es recomendable no tener un fondo muy alto. 14. Cada salida de caja chica se hace a través de un recibo firmado por la persona que recibe el dinero y se detalla el motivo? 15. La caja chica se encuentra físicamente resguardada en un lugar seguro? 16. Se realizan de manera sorpresiva arqueos a la persona que maneja la caja chica al menos una vez cada trimestre? Cuentas por cobrar: 1. Los balances de las cuentas por cobrar son actuales y recuperables? 2. Se da un seguimiento a nivel gerencial de aquellas cuentas por cobrar con saldos significativos que no han sido recuperadas? 3. Los registros de los saldos de las cuentas por cobrar coinciden con los montos expresados en los estados financieros? 4. Los límites de crédito y los términos de pago son establecidos y revisados por la gerencia anualmente? 5. Las órdenes de compra de clientes con saldos vencidos son bloqueadas hasta que el saldo pendiente sea liquidado o la gerencia haya aprobado la venta?

12 6. Las órdenes de compra de clientes que exceden su límite de crédito son bloqueadas hasta que la gerencia haya aprobado la venta? 7. Las facturas emitidas llevan una secuencia numérica? 8. Se cuenta con algún procedimiento para asegurarse que lo que se ha entregado a un cliente le ha sido facturado? 9. Los pagos recibidos son registrados en las cuentas por cobrar de cada cliente por una persona diferente a la que recibe el dinero? 10. Se hace un estudio por parte de la gerencia para determinar los montos que se deben de considerar incobrables y que se deben de cancelar? 11. El corte de facturación por un periodo determinado es apropiado y coincide con el corte del inventario? 12. Los reportes de inventarios son conciliados de manera mensual con los reportes de ventas y la facturación? 13. Las cuentas por cobrar al personal están actualizadas y son de empleados activos? Inventarios: 1. El inventario se encuentra físicamente seguro y sólo personal autorizado tiene acceso? 2. Se realiza al menos una vez por mes un conteo físico del inventario y se compara con lo que se tiene en los registros? 3. Se concilian las salidas del inventario con las órdenes de compra de los clientes antes de enviar el producto? 4. Se cuenta con algún procedimiento para asegurarse que las salidas de inventario son registradas? 5. Las personas que realizan el conteo físico del inventario no son las encargadas del control del inventario? 6. Se realiza alguna revisión de material obsoleto o dañado y se da de baja de acuerdo a instrucciones de la gerencia? 7. Los registros de los controles de inventarios coinciden con los montos expresados en los estados financieros? 8. Los contratos con bodegas independientes cuentan con seguros? Compras y Cuentas por Pagar: 1. Los registros de los saldos de las cuentas por pagar coinciden con los montos expresados en los estados financieros?

13 2. Se exigen de dos a tres cotizaciones para compras arriba de montos previamente establecidos? Se sugiere que toda compra arriba de $5,000 pesos sea cotizada. 3. El resultado del análisis de las cotizaciones presentadas y del proveedor seleccionado está documentado? 4. Se cuenta con una lista de proveedores por los que no se pide cotización por determinadas situaciones aprobadas por la dirección? 5. Se cuenta con una lista vigente de contratos que tiene la empresa? 6. Se tiene la certeza de que los contratos son completados y firmados (por las personas adecuadas) antes de ejecutar lo establecido en el contrato? 7. Se cuentan con los seguros correspondientes a los contratos que así lo requieran? 8. Las facturas recibidas se cotejan con lo indicado en la orden de compra o de servicio para asegurarse que solamente se pague lo realmente ordenado y recibido? 9. Las facturas son aprobadas para pago por alguien con suficiente autoridad para hacerlo? 10. Las facturas y/o documentos para pago son marcados como pagados o cancelados para evitar duplicidad de pagos? 11. Se realizan confirmaciones con los proveedores para asegurarse que los saldos de las cuentas por pagar son correctos? Nómina: 1. La nómina es preparada por una persona ajena a las funciones de Recursos Humanos? 2. Los cálculos de nómina son revisados y autorizados por una persona distinta a la que la preparo? 3. Se realizan las provisiones pertinentes de nómina durante y al final del año? 4. Cualquier movimiento de nómina es procesado con la debida autorización? Sistemas: 1. Se cuenta con una lista de los accesos que tienen los empleados a los sistemas con los que cuenta la entidad? En caso de que si, se revisa constantemente? 2. Para tener acceso a los sistemas se llena algún formato firmado por el empleado, su supervisor y la persona encargada de los sistemas? 3. Se remueven los accesos a los sistemas inmediatamente que un empleado renuncia o es despedido?

14 4. La información contenida en los sistemas es respaldada diariamente y mantenida fuera de las instalaciones de la entidad? 5. El cuarto del servidor tiene acceso restringido? 6. Se tiene algún control en cuanto a la instalación de programas no autorizados en el equipo de cómputo proporcionado al personal? 7. Se tiene establecido el cambio de contraseñas de acceso a los sistemas al menos cada tres meses? 8. Se tiene contemplado el desconectar a un usuario de un sistema cuando lleve 30 minutos de inactividad? IV. CONCLUSIONES En los últimos años se ha visto cómo la preocupación por el riesgo operacional, que hasta hace poco tiempo era considerado un riesgo secundario, ha ido creciendo progresivamente. Por una parte, los analistas perciben que la exposición a este riesgo se ha intensificado a medida que las empresas han ido evolucionando (factores decisivos en esta tendencia han sido la mejora de las tecnologías, el desarrollo de nuevas técnicas y la creciente globalización) y por otra parte, las empresas se han visto cada vez más interesadas en la medición de este riesgo; motivadas por la necesidad de políticas más amplias que generen regulación eficaz, modelos racionales de control y supervisión que garanticen su confianza y su seguridad. Eventos de pérdida por ausencia de una administración de riesgos: En coordinación con el sector financiero, el Comité de Basilea ha identificado los siguientes tipos de eventos que pueden resultar en pérdidas sustanciales por riesgo operativo: Fraude Interno Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o incumplir regulaciones, leyes o políticas empresariales en las que se encuentra implicada, al menos, una parte interna a la empresa; no se consideran los eventos asociados con discriminación en el trabajo. Esta categoría incluye eventos como: fraudes, robos (con participación de personal de la empresa), sobornos, entre otros. Fraude Externo Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o soslayar la legislación, por parte un tercero. Esta categoría incluye eventos como: robos, falsificación, ataques informáticos, entre otros. Relaciones laborales y seguridad en el puesto de trabajo Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, sobre higiene o seguridad en el trabajo, sobre el pago de reclamaciones por daños personales, o sobre casos relacionados con discriminación en el trabajo.

15 Clientes, productos y prácticas empresariales Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación profesional frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un producto. Daños a activos materiales Pérdidas derivadas de daños o perjuicios a activos físicos como consecuencia de desastres naturales u otros eventos de fuentes externas. Interrupción del negocio y fallos en los sistemas Pérdidas derivadas de incidencias o interrupciones en el negocio y de fallas en los sistemas. Ejecución, entrega y gestión de procesos Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores. Esta categoría incluye eventos asociados con: captura de transacciones, ejecución y mantenimiento, monitoreo y reporte, entrada y documentación de clientes, gestión de cuentas de clientes, contrapartes de negocio, vendedores y proveedores. Con base en todo lo anterior, como conclusión, el modelo del riesgo operativo es un ciclo en el que se implementan mejoras que responden a los cambios en el entorno y en la organización y los principales puntos de acción que se deben de seguir son los siguientes: Identificar el riesgo Medir (cuantitativa y cualitativamente) Analizar Prevenir Mitigar, transferir, cambiar Comunicar Monitorear

16 V. BIBLIOGRAFIA CHAVEZ GUDIÑO JOSE/NUÑEZ MORA JOSE. Riesgo operativo: esquema de gestión y modelado del riesgo. Análisis Económico No. 58, vol. XXV. FERNANDEZ-LAVIADA, ANA. La gestión del riesgo operacional. De la teoría a su aplicación. Editorial Limusa. NIETO GIMENEZ-MONTESINOS, MARIA ANGELES. El tratamiento del Riesgo Operacional en Basilea II. Estabilidad Financiera No.8, Banco de España. OJEDA APREZA, ELVIA. Riesgo Operativo XXIII Congreso AMA. Argos PRICEWATERHOUSECOOPERS ARGENTINA. Riesgo Operacional. CEO Responsabilidad Social Corporativa, Hot Topics. Año 3. Edición Especial * Francisco Alonso Rodríguez-Wyler Ortiz, Universidad Iberoamericana El Colegio de Contadores Públicos de México, se reserva la reproducción total o parcial de este material. El contenido de los artículos firmados es responsabilidad del autor, sin que éste necesariamente refleje la opinión del Colegio sobre el tema tratado. Cuando se exprese la opinión del Colegio se especificará claramente.