INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS

Transcripción

1 INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN MODELO DE RIESGO OPERACIONAL EN LA EMPRESA TESIS QUE PARA OBTENER EL GRADO DE MAESTRO EN ADMINISTRACIÓN PRESENTA: OMAR SAMANO REYES DIRECTOR: DR. SEGIO RAÚL JIMÉNEZ JEREZ MÉXICO, D.F. 2013

2 2

3 3

4 Cuando se innova, se corre el riesgo de cometer errores, es mejor admitirlo rápidamente y continuar con otra innovación Steve Jobs Estoy enormemente agradecido con el Instituto Politécnico Nacional, por todas las enseñanzas, experiencias y sobre todo por dejarme ser parte en su lista de profesionistas. G R A C I A S A Oscar por la paciencia, Susy, Flor, Violes, Ma Gloria & Carla por la confianza, A tod@s mis sobrinos les comparto y dedico este trabajo. Al Dr. Sergio Jiménez, por el apoyo y aportaciones. 4

5 I N D I C E Resumen... 8 Summary 9 Introducción Capítulo I El Sistema de la Empresa y sus Riesgos 1.1 Operación del Negocio Teoría General de Sistemas Enfoque de Sistemas Enfoque de Sistemas y la Teoría de Organización La Organización como un Sistema Abierto Sistemas Integrados en las Empresas Generalidades del Riesgo y su Gestión en la Empresa Generalidades del Riesgo: Riesgo vs Futuro; Otros Aspectos del Riesgo; Ciencia y Riesgo; Incertidumbre en los Negocios Riesgo en las Operaciones de la Empresa Riesgo Operacional (RO) Definición Etapas para Gestión del RO: Identificación, Evaluación, Medición, Monitoreo, Control y Reporte Fuentes del RO Técnicas, Modelos y/o Métodos para la Administración del Riesgo Operacional (RO) Modelo 1 Capability Maturity Model Integration (CMMI) Escenario CCMI Componentes de un Área de Procesos Trabajando con todas las Variables Categorías de Áreas del Procesos CMMI Utilizando los Modelos de CCMI La Institucionalización de Procesos Metas Genéricas y Prácticas Genéricas Modelo 2 Committee of Sponsoring Organization (COSO) Objetivos COSO Componentes de COSO Ambiente de Control Evaluación de Riesgos Actividades de Control Información y Comunicación Monitoreo Capítulo II Perfil de Negocio de la Empresa 2.1 Antecedentes de la Empresa Razones y Alcance de la Empresa Generalidades de la Empresa: Historia, Misión, Visión y Filosofía Características Operativas del Call-Center Estructura Organizacional Asignación de Funciones Roles y Responsabilidades Estrategias Operativas Productividad y Eficiencia Enfocados a Motivación y Competitividad Perfil del Negocio Operativo Políticas Clave de la Operación Características de Recursos Humanos Normatividad del Centro Operativo.. 53 Capítulo III Diagnóstico a la Situación Organizacional y Operativa de la Empresa 3.1 Alcance de la Revisión

6 3.2 Conclusión General del Diagnóstico Resumen de Observaciones Calificaciones del Proceso por Componente COSO Ambiente de Control Evaluación de Riesgos Actividades de Control Información y Comunicación Monitoreo.. 64 Capítulo IV Identificación y Evaluación del Riesgo Operacional, sobre las Gestiones de la Empresa y Definición del Modelo 4.1 Implementación de Una Cultura de Riesgos Definición de las Categorías del Riesgo Operativo Desarrollo del Modelo de Riesgo Operativo Propuesta del Modelo del Riesgo Operativo.. 94 Conclusiones. 97 Referencias Bibliográficas 99 6

7 ÍNDICE FIGURAS Y TABLAS Figura Modelo Sistemático de la Organización Figura GEMA (Gente, Equipos, Material y Ambiente) 22 Figura Fuentes Principales del Riesgo Operacional.. 23 Figura Modelo COSO.. 32 Figura Estructura Organizacional de la Empresa.. 41 Tabla Balance Scorecard de la Empresa.. 43 Tabla Tabla de Reconocimiento para la Entrega de Bonos de Gestores de Cobranza. 44 Tabla Análisis de Tasa de Contactos por Horario. 44 Flujo Procedimientos de Cobranza. 45 Figura Flujograma Operacional por Facultad Actividades de Cobranza. 46 Figura Pilares de la Operación del Call Center 47 Tabla Características, Correspondientes a la Plantilla Operativa del Call-Center 52 Gráfica Antigüedad del Personal 53 Gráfica Calificaciones por componente COSO 66 Figura Pirámide de la Cultura de Riesgos 67 Tabla Esquema de la Empresa para Gestionar sus Riesgos Operativos Matriz Modelo de Riesgo Operacional de la Empresa

8 R E S U M E N Este trabajo está basado en la operación actual de una empresa de servicios de Call-Center (CC), en el cual las áreas de oportunidad de los procesos requiere mejoras desde la administración del personal hasta el seguimiento y/ó monitoreo de los resultados de productividad del CC. Se identificaran las debilidades en los procesos y propondrán mejoras basadas en la implementación de un modelo que permita al administrador y responsable principal de coordinar la operación del CC, evaluar e identificar los aspectos de riesgo. Los errores o fallas de los procesos que pueden cuantificarse en pérdidas, tienen su fuente u origen a través debilidades importantes para los negocios en sus sistemas, estas fuentes deben ser estudiadas y evaluadas por el Gerente para que posteriormente estas sean identificadas como riesgos operativos (RO). El RO, está presente en los procesos ante la probabilidad de pérdidas derivadas de gestiones internas inadecuadas o fallidas, ya sea por error humano o de sistemas así como es el riesgo de pérdidas derivado de factores externos (incumplimiento a regulaciones, fraudes, robos, etc.). De ahí, que el objetivo principal de este trabajo es identificar las condiciones y analizar las mermas en los procesos operativos que incrementan la probabilidad de estar sujetos de RO dentro del CC, ocasionando pérdidas; solucionar ó definir planes de acción de prevención en áreas de oportunidad para minimizar ó mitigar RO; y desarrollar un modelo flexible de RO para las empresas, que su actividad es la prestación de servicios. Una práctica para que el Gerente explote sus habilidades y tome de referencia para la identificación y gestión de riesgos operativos como de control que pueden mitigar los impactos de errores o fallas en los procesos, es a través del uso de un marco de control, que en este trabajo se identifica como COSO (Committee of Sponsoring Organizations). El COSO es un modelo de control, que proporciona una estructura ideal y simple dentro de la cual los objetivos pueden agruparse en la administración de riesgos. Se requiere definir y desarrollar los siguientes componentes interrelacionados, e implementación en los procesos: Ambiente de control Evaluación de riesgos Actividades de control Información / Comunicación Monitoreo Se pretende que la investigación, este basada en los departamentos o aquellas unidades de negocio criticas, para la operación del CC. Identificando y evaluando el diseño y condiciones de las fuentes de RO controlable.. Se identificará por componentes COSO el proceso del CC y haciendo frente a los riesgos operativos, permitirá implementar una cultura de administración, gestión del riesgo operativo y prevención permanente. 8

9 S U M M A R Y This work is based on the current operation of a service company Call-Center (CC), in which the opportunity areas for process improvements required from staff management and monitoring of the results of productivity CC. It will identify weaknesses in processes and propose improvements based on the implementation of a model that allows the administrator and primary responsibility for coordinating the operation of the CC, evaluate and identify areas of risk. Errors or failures of processes that can be quantified in losses, they have their source through to business weaknesses in their systems, these sources should be studied and evaluated by the manager so that later these are identified as operational risks (OR ). The OR is present in the proceedings before the likelihood of losses from inadequate or failed internal procedures, whether by human error or systems as well as the risk of losses arising from external factors (breach of regulations, fraud, theft, etc.). So that, the main objective of this work is to identify and analyze conditions reductions in operational processes that increase the probability of being subject to OR within the CC, causing losses; solve or define preventive action plans in areas of opportunity to minimize or mitigate OR, and develop a flexible model of OR for companies, their activity is the provision of services. A practice that can be used by the Manager and exploit his skills and take reference in order to indentify and manage operational risks and controls, that can be used to mitigate the impacts of errors or failures in processes, is through the use of a control framework, which we identify as COSO (Committee of Sponsoring Organizations). The COSO is a control model, which provides a simple and ideal structure in which the objectives can be gathered into risk management. We need to define and develop the following interrelated components: Control Environment Risk Assessment Control Activities Information / Communication Monitoring The intention of this research includes some departments or business units critical to the operation of the CC. Identifying and evaluating the design and conditions OR controllable sources. COSO components are identified by the CC process and addressing operational risk, it will implement a culture of management, operational risk management and permanent prevention. 9

10 I N T R O D U C C I Ó N Antecedentes El término riesgo operacional (RO), previo a lo establecido por el Comité de Basilea II, existe como concepto genérico al menos desde 1991, con la publicación del documento Internal Control Integrated Framework por el Committee of Sponsoring Organizations of the Treadway Commission (COSO) 1, bajo este marco de control la evaluación de riesgos consiste en la identificación y análisis inmediato de los riesgos que influyen en el logro de los objetivos de negocio y en la formulación de las bases para determinar cómo deberían administrarse los riesgos. Debido a que las condiciones económicas, de la industria, regulatorias y operativas seguirán cambiando, se requiere de mecanismos que permitan identificar y enfrentar los riesgos asociados con el cambio. Así también, los grandes avances tecnológicos inherentes al fenómeno de la globalización, ha motivado el manejo de información a través de una apertura de redes significativa, en el sector económico la industria de los Call-Centers (CC) ha evaluado esta situación con una visión de retos y oportunidades para incrementar sus niveles de demandas en este servicio. Derivado de esta situación la cantidad de trabajo requerido es un aspecto crítico de las definiciones técnicas en un CC, como por ejemplo debido a la existencia de horas pico y, por tanto, la fluctuación del tráfico telefónico o redes cibernéticas. La administración del trabajo en esta industria desarrolla técnicas predictivas cada vez más precisas para conocer las necesidades de cargas de trabajo humano, sin embargo es difícil evitar la subutilización o bien la escasez de operadores. Ello obliga a la multifuncionalidad de los mismos, de modo de atender campañas simultáneamente, lo cual podría ser equivalente a estrictos parámetros (lineamientos ó normas), para el factor humano y condiciones de trabajo que afectan el clima y la calidad de vida laboral, que implican como principal amenaza riesgos operativos de la empresa y probablemente a mediano/largo plazo un decremento en la demanda de servicios contratados para esta industria. Por lo tanto, el entorno de un negocio mantiene una serie de factores de incertidumbre internos y externos (ajenos al negocio), ligados e inherentes en cada proceso y actividad de la empresa; la incertidumbre va a representar la probabilidad de que uno de los factores pueda dañar una de las actividades o un conjunto de los elementos en los subsistemas (gente, equipo, material y ambiente) que interrelacionan en el negocio, deteriorando el logro de metas y objetivos de la misma. Estos eventos de incertidumbre están relacionados actualmente, con las principales fuentes del RO 2 : procesos internos, personas, tecnología, eventos externos. Procesos internos: Posibilidad de pérdidas relacionadas con el diseño inapropiado de los procesos críticos o con políticas y procedimientos inadecuados o inexistentes dentro de la empresa, que puedan tener como consecuencia el desarrollo deficiente de las operaciones y servicios o la suspensión de los mismas. Personas: Posibilidad de pérdidas asociadas con negligencia, error humano, sabotaje, fraude, robo, apropiación de información sensible, falta de especificaciones claras en los 1 COSO fue organizado en 1985 para patrocinar la Comisión Nacional de Información Financiera Fraudulenta, una iniciativa del sector privado que estudia los factores causales que pueden dar lugar a información financiera fraudulenta. También elaboró recomendaciones para las empresas públicas y sus auditores independientes, para la Securities and Exchange Commission (SEC) y otros reguladores, como para las instituciones educativas. 2 Riesgo operacional (incluye el riesgo legal): Se refiere a las pérdidas potenciales resultantes de sistemas inadecuados, fallas administrativas, controles defectuosos, fraude, o error humano. Francisco Alonso Rodriguez Wyler Ortiz, D. (2010). Riesgo Operativo. México: Veritas IMCP

11 términos de contratación del personal, inapropiadas relaciones interpersonales y ambiente laboral desfavorable. Se pueden también incluir pérdidas asociadas con insuficiencia de personal o personal con destrezas inadecuadas, entrenamiento y capacitación inadecuada y/o prácticas débiles de contratación. Tecnología: Posibilidad de pérdidas derivadas del uso de inadecuados sistemas de información y tecnologías relacionadas, que pueden afectar el desarrollo de las operaciones y servicios que realiza la empresa al atentar contra la confidencialidad, integridad, disponibilidad y oportunidad de la información. Eventos Externos: Posibilidad de pérdidas derivadas de la ocurrencia de eventos ajenos al control de la empresa que pueden alterar el desarrollo de sus actividades, afectando a los procesos internos, personas y tecnología de información. Entre otros factores, se podrán tomar en consideración los riesgos que implican las contingencias legales, las fallas en los servicios públicos, la ocurrencia de desastres naturales, atentados y actos delictivos, así como las fallas en servicios críticos provistos por terceros. Otros riesgos asociados con eventos externos incluyen: el rápido paso de cambio en las leyes, regulaciones o guías, así como el riesgo político o del país. Justificación y Objetivo del Trabajo Derivado de la identificación de estas fuentes, toda actividad realizada en una empresa, sea chica, mediana o grande, tiene riesgos operacionales que involucran a las personas que llevan a cabo la ejecución de sus procesos, riesgos que pueden ser minimizados o incluso eliminados si se realizan con las medidas de gestión adecuadas, que estén fundamentadas en la implementación de un modelo y cultura de riesgos solida. El objetivo de este trabajo, es identificar las condiciones y analizar las mermas en los procesos operativos, que incrementan la probabilidad de estar sujetos de RO, ocasionando pérdidas; solucionar o definir planes de acción de prevención en áreas de oportunidad para minimizar o mitigar RO; y desarrollar un modelo flexible de RO para las empresas, que su actividad en nuestro caso particular es la prestación de servicios. Del mismo modo, determinar los requisitos indispensables o básicos que se requieren en un proceso operativo de las empresas, para capturar, medir, y gestionar datos no formalizados que se presentan como errores y tienen un impacto de pérdidas; mediante una visión y administración preventiva del RO. Para llevar a cabo y cumplir los objetivos descritos con anterioridad, este trabajo se desarrolla con cuatro principales capítulos, en los que primeramente se plasma de manera genérica las referencias y aspectos teóricos de los diversos sistemas y antecedentes de los diferentes tipos de riesgos, que se pueden presentar en la empresa; posteriormente se incluye una descripción sobre las características de negocio de la empresa caso de estudio para que en el capitulo tres, se identifiquen los procesos críticos, su reglamentación así como las áreas de oportunidad que serán la base para una evaluación de riesgos operativos, que finalmente se implementaran mediante un modelo basado en COSO, en el último capítulo. 11

12 CAPÍTULO I El Sistema de la Empresa y sus Riesgos El presente capítulo contiene los aspectos teóricos, que se consideran necesarios y que todos debemos tomar en cuenta para comprender los fines que persigue este trabajo; pero sobre todo para que tómenos de guía, punto de partida o referencia a quienes en algún momento busquemos la manera para implementar una gestión preventiva ante contingencias o simple y sencillamente tengamos en mente qué lugar ocupamos y porqué es necesario estar o no estar cumpliendo con nuestras funciones encomendadas. En este primer capítulo encontraremos definiciones relacionadas con la operación del negocio desde el punto de vista sistemático, identificando el momento en el que intervienen factores inherentes que podrían debilitar nuestro sistema y adecuando técnicas, métodos y modelos para controlar estos factores, a través de su administración. 1.1 OPERACIÓN DEL NEGOCIO Un aspecto importante y básico de las empresas para todos los miembros, que formen parte de ella, en todos los niveles según el marco de la organización y la administración (E.Kast Freemont, 1988), es precisamente entender el funcionamiento y razón de ser de cada instrumento, activo (tangible o intangible) que se encuentran dentro y fuera de la empresa, el por qué son necesarios y en que se relacionan con las metas y objetivos de la misma. Debemos tener claro que toda empresa debe estar formada y estructurada en base a sus objetivos y estrategias, por lo tanto las funciones y operaciones que la empresa requiere deben estar integradas para atender cada necesidad oportunamente del negocio. Por eso es relevante para los administradores que estemos en constante relación con la operación del negocio y todo aquello con lo que tenga conexión, es decir el sistema de nuestra empresa; esto nos lleva a que en la actualidad existen fundamentos acerca de los sistemas que rigen la operación de los negocios, de los cuales un antecedente importante y tradicional es la Teoría General los Sistemas (TGS) de Bertalanffy 3, que se menciona a continuación: TEORÍA GENERAL DE SISTEMAS (TGS) El término sistema cubre una amplia gama de nuestro mundo físico, biológico y social; un sistema puede definirse según Bertalanffy (1968) como un todo unitario organizado, compuesto por dos o más partes, componentes o subsistemas interdependientes y delineados por límites identificables de su suprasistema ambiental. Así también Bertalanffy (1968) describe que los principios generales del enfoque moderno de la organización por sistemas, surgen de la evolución continua o cambios relevantes, lo que ocasionó un fenómeno de paralelismo de ideas y que ha llegado a representar una oportunidad para formular y desarrollar principios de un sistema general. 3 El nombre teoría general de sistemas y conceptos básicos fueron expuestos por el biólogo Ludwig Von Bertalanffy. Para tener una visión amplia de sus puntos de vista en General System Theory; Foundations, Development, Applications, publicado por George Braziller, New York en

13 La teoría general de sistemas (TGS), globalmente analiza todos los tipos de sistemas, pero se parte de su primera clasificación, es decir los sistemas cerrado o abiertos. Los sistemas físicos pueden considerarse cerrados en relación con su ambiente; y los sistemas biológicos y sociales no son cerrados, sino que están en constante interacción con el medio que los rodea; esta característica es precisamente lo que tiene una profunda importancia para las organizaciones. Un concepto importante, que ayuda en la distinción entre un sistema abierto o cerrado, es cuando se habla de límites, ya que el sistema cerrado tiene límites rígidos e impenetrables, mientras que el sistema abierto tiene límites permeables entre si y un suprasistema más amplio, entiéndase el término suprasistema como el sistema que integra a los sistemas desde el punto de vista de pertenencia. En una organización dichos límites son lo que fijan el ámbito de las actividades. Dos definiciones significativas que toma la TGS, son los términos homeostasis y entropía. La homeostasis es la propiedad de un sistema que define su nivel de respuesta y de adaptación al contexto. Es el nivel de adaptación permanente del sistema o su tendencia a la supervivencia dinámica. Los sistemas altamente homeostáticos sufren transformaciones estructurales en igual medida que el contexto sufre transformaciones, ambos actúan como condicionantes del nivel de evolución. Por otro lado, la entropía de un sistema es el desgaste que el sistema presenta por el transcurso del tiempo o por el funcionamiento del mismo. Los sistemas altamente entrópicos tienden a desaparecer por el desgaste generado por su proceso sistémico. Los mismos deben tener rigurosos sistemas de control y mecanismos de revisión, reelaboración y cambio permanente, para evitar su desaparición a través del tiempo. En un sistema cerrado la entropía siempre debe ser positiva. Sin embargo en los sistemas abiertos, la entropía puede ser reducida o mejor aun transformarse en entropía negativa, es decir, un proceso de organización más completo y de capacidad para transformar los recursos. Esto es posible porque en los sistemas abiertos los recursos utilizados para reducir el proceso de entropía se toman del medio externo. En una empresa, aun y cuando los recursos humanos se consideran el subsistema más importante de la organización, la parte fundamental que se requiere para que este funcione es principalmente implementar un sistema razonable basado en roles, responsabilidades, facultades y/ó funciones; relacionando los niveles de comunicación e información, de esta manera el sistema se encontrará balanceado aun considerando los límites a la TGS ENFOQUE DE SISTEMAS Partiendo de la teoría tradicional de las organizaciones, así como en muchas de las ciencias, los subsistemas han sido estudiados separadamente, con la intención de reunir después las partes en un todo. El enfoque de sistemas precisa que eso no es posible y que el punto de partida debe ser con el sistema total. El enfoque de sistemas: Es un esquema metodológico que sirve como guía para la solución de problemas, en especial hacia aquellos que surgen en la dirección o administración de un sistema, al existir una discrepancia entre lo que se tiene y lo que se desea, su problemática, sus componentes y su solución. El proceso de transformación de un insumo (problemática) en un producto (acciones planificadas) requiere de la creación de una metodología organizada en tres grandes subsistemas: Formulación del problema Identificación y diseño de soluciones Control de resultados 13

14 El enfoque de sistemas tiene como propósito hacer frente a los problemas cada vez más complejos que plantean la tecnología y las organizaciones modernas, problemas que por su naturaleza rebasan nuestra intuición y para lo que es fundamental comprender su estructura y proceso (subsistema, relaciones, restricciones del medio ambiente, etc.). Proceso de Solución de Problemas utilizando el Enfoque de Sistemas: Subsistema Formulación del Problema: Tiene como función el identificar los problemas presentes y los previsibles para el futuro, además de explicar la razón de su existencia y para su comprensión se divide de la siguiente manera: Planteamiento de la problemática. Investigación de lo real. Formulación de lo deseado. Evaluación y diagnóstico. Subsistema Identificación y Diseño de Soluciones: Su propósito es plantear y juzgar las posibles formas de intervención, así como la elaboración de los programas, presupuestos y diseños requeridos para pasar a la fase de ejecución, este punto está dividido en: Generación y evaluación de alternativas. Formulación de bases estratégicas. Desarrollo de la solución. Subsistema Control de Resultados: Todo plan estrategia o programa está sujeto a ajustes o replanteamientos al detectar errores, omisiones, cambios en el medio ambiente, variaciones en la estructura de valores, etc. Y este punto está dividido de la siguiente manera: Planeación del control. Evaluación de resultados y adaptación ENFOQUE DE SISTEMAS Y LA TEORIA DE ORGANIZACIÓN La teoría de la organización tradicional utilizaba un enfoque de sistema cerrado altamente estructurado. La teoría moderna ha avanzado hacia el enfoque de sistemas abiertos. En el libo Administración en las Organizaciones, Freemont E. Kast (1988) menciona, que las cualidades distintivas de la moderna teoría de la organización son su base conceptual analítica, su dependencia de datos de investigación empíricos y sobre todo, su naturaleza sintetizadora e investigadora. Estas cualidades están agrupadas en una filosofía que acepta la premisa de que la única manera significativa de estudiar la organización es como un sistema social. Por otro lado, el sociólogo George Homans en sus estudios a los grupos humanos (1977) desarrolló un modelo de sistemas sociales adecuado para grupos pequeños y también para grandes organizaciones; desde su punto de vista una organización está formada por un sistema ambiental externo y un sistema interno de relaciones que son independientes. Hay tres elementos de un sistema social: Las actividades que la gente desempeña, las interacciones que ocurren entre la gente en el desempeño de estas tareas, y los sentimientos que se desarrollan entre las personas. Estos elementos se refuerzan mutuamente, es decir, las actividades conjuntas conducen a interacciones y sentimientos comunes. Así actualmente podemos considerar la organización como un sistema dinámico, constantemente en cambio y en adaptación a las presiones internas y externas, y que está en un proceso continuo de evolución. 14

15 1.1.4 LA ORGANIZACIÓN COMO UN SISTEMA ABIERTO La organización puede ser considerada en términos de un modelo de sistema abierto general. El sistema abierto está en constante interacción con su medio ambiente y logra un estado estable o equilibrio dinámico, al mismo tiempo que retiene la capacidad para trabajar o la transformación de energía. Para que el sistema subsista debe recibir una entrada suficiente de recursos para mantener sus operaciones y también para exportar al medio ambiente los recursos transformados, en cantidades suficientes para continuar el ciclo. Por ejemplo, las organizaciones empresariales tienen entradas de la sociedad en forma de gente, materiales, dinero e información; las transforman en productos, servicios y recompensas para los miembros de la organización, lo suficiente grandes para que sigan participando. Para las empresas, el dinero y el mercado representan un mecanismo para reciclar los recursos entre la compañía y su medio ambiente. Pero también los límites del sistema deben evitar que algunos factores del ambiente afecten al sistema, en estos casos se debe buscar la manera de obtener los insumos que el sistema requiera por medios alternos, que no los expongan a riesgos SISTEMAS INTEGRADOS EN LAS EMPRESAS Este subtema es medular en el capítulo, ya que también podemos considerar a la organización como un sistema sociotécnico abierto integrado de varios subsistemas; el subsistema de valores y objetivos, por ejemplo, es uno de los más importantes, la organización cumple con una función para la sociedad, y si quiere tener éxito, debe responder a los requerimientos sociales, considerando los valores de un medio ambiente sociocultural. El subsistema técnico se refiere al conocimiento requerido para el desempeño de las tareas, incluyendo las técnicas utilizadas en la transformación de entradas en productos. Este subsistema adquiere su forma de acuerdo con la especialización y habilidades requeridas, las herramientas de trabajo y la instalación para la ejecución de funciones encomendadas. El sistema psicosocial integrado por individuos y grupos en interacción, consisten en el comportamiento individual y la motivación, relaciones de función y posición, dinámica de grupos y sistemas de influencia; estas fuerzas crean el clima organizacional. La estructura como sistema, se refiere a la forma en que las tareas de la organización están divididas (diferenciación) y son coordinadas (integración). La estructura está determinada por los estatutos de la organización, por descripciones de puesto y posición, por reglas y procedimientos; tiene que ver también con esquemas de autoridad, comunicación y flujo de trabajo. El subsistema administración abarca toda la organización al relacionarla con su medio ambiente, fijar los objetivos, desarrollar planes estratégicos y operativos, diseñas la estructura y establecer procesos de control. El enfoque moderno considera la organización como un sistema sociotécnico abierto, y considera todos los subsistemas primarios y sus interacciones. Este modelo de sistemas integrados, en base al enfoque de contingencias (Freemont E. Kast & James E. Rosenzweig. Administración en las Organizaciones. 1988), se ilustra con el siguiente esquema 1.1 que ilustra el modelo sistemático de la organización: 15

16 SISTEMA AMBIENTAL Subsistema Administrativo Fijación de objetivos Planeación Organización Dirección Control Subsistema Técnico Conocimiento Técnicas Instalaciones Equipo Subsistema Estructural Subsistema Psicosocial Recursos Humanos Actitudes Percepciones Motivaciones Dinámica de grupo Liderazgo Comunicación Relaciones interpersonales Tareas Flujo de trabajo Grupos de trabajo Autoridad Flujo de información Procesamientos Reglas Figura Modelo Sistemático de la Organización Mantener un ambiente estable entre los insumos de entrada y salida de los sistemas de la organización, es importante ya que en la medida que estos estén balanceados, sean sólidos y suficientes permitirán el cumplimiento de las metas, objetivos y asegurarán la subsistencia de la organización. 16

17 1.2 GENERALIDADES DEL RIESGO Y SU GESTIÓN EN LA EMPRESA En este segundo apartado del capítulo I, encontraremos el fundamento teórico que nos permitirá conocer los antecedentes del riesgo, su importancia y clasificación con el objetivo de justificar la importancia de visualizarlo en los procesos operativos del negocio, que los administradores deben considerar o evaluar para no desviar el cumplimiento de metas y objetivos, mismos que involucran la toma de decisiones GENERALIDADES DEL RIESGO El origen etimológico del riesgo tiende a confundirlo con la palabra peligro: Risk (en inglés), rischio (en italiano), risque (en francés), risiko (en alemán) y riesgo (en español) provienen del peligro. En China, definen el riesgo como un peligro en potencia que pudiera generar una oportunidad. Un antecedente importante, son los estudios e investigaciones realizadas por Niklas Luhmann en Sociología del Riesgo (2006), en donde describe que hay una parte de la vida, con decepciones inherentes a las expectativas, y aún con lo que no está previsto lo registramos como casualidad, pero no se puede dejar todo al azar, se tiene que buscar un orden sistemático. Partiendo de este enfoque podemos relacionar la palabra riesgo como parte de la cultura moderna, ya que estudios revelan que las culturas antiguas hablaban de peligro y trataban de protegerse de la incertidumbre del futuro por medio de la adivinación, la desgracia se explicó después del pecado y se rechazaba profetizar el peligro para evitar sufrir el autocumplimiento de los daños. Como antecedente relevante, es que desde la Edad Media se nos ha permitido saber que con la proliferación de los viajes de navegación, se constituyen las compañías aseguradoras y se habla de controlar el riesgo por medio de la contratación de un seguro. También se le considera al riesgo (tradición racionalista), como una decisión que tal como se puede proveer, se lamentará más tarde en el caso de que ocurra un daño que se esperaba evitar. De esta manera el cálculo de riesgo se trata de un cálculo temporal, para que el daño pueda ser evitado y sin embargo pueden aceptarse acciones riesgosas, que por lo tanto impliquen un daño, siempre y cuando éste se justifique a su magnitud y probabilidad de que ocurra. Luhmann en Sociología del Riesgo (2006), también describe al riesgo, como un fenómeno de contingencia múltiple, que ofrece diferentes perspectivas a diferentes observadores. El concepto conjunto de riesgo-seguridad, se trata de observaciones de primer orden, y para garantizar la seguridad se exige más y mejor información. La distinción entre riesgo y peligro, se refiere al caso en que el daño es consecuencia de la decisión para el primer caso, en cambio en el segundo el daño es provocado externamente, y se le atribuye al medio ambiente. Además Luhmann (2006) y su criterio, nos describe que mientras más conciencia se tiene del riesgo, más información y más complejos son los cálculos respecto al futuro y mayor es la incertidumbre, existe por lo tanto mayor riesgo. Los directivos en una empresa buscan confirmar que el proceso está bajo control, la prevención no ocurre, no se evalúan correctamente los riesgos, de esta manera se convierten en algo no pronosticable. 17

18 Riesgo vs Futuro Al intentar anticiparse, se encuentra una variedad de situaciones, de manera que la inseguridad se multiplica a medida que se intenta aclarar el futuro. Entonces, la evaluación del riesgo se complica porque depende del tiempo en que se lleva a cabo y estos nos podría generar toma de decisiones poco factibles; lo que a futuro nos podría ocasionar que cuando se analicé alguna decisión que tomamos, no se entiende por qué se adoptó una actitud tan riesgosa o se actuó con tanta precaución. En la medida en que se reconoce que no se tiene el tiempo suficiente para conseguir la información necesaria, las posibilidades de racionalizar las decisiones se ve reducida. Sin embargo, la sociedad depende cada vez más de las decisiones y se le da mayor importancia al futuro. Las posibilidades de selección son ahora mayores y las decisiones le otorgan más valor a la información. Otros Aspectos del Riesgo 4 Relacionado con los sistemas funcionales.- Se corren los menos riesgos posibles tratando de aprovechar las oportunidades y mientras no suceda así, se decide esperar la posición adecuada. Los riesgos se transfieren entre los sistemas funcionales, y que las cosas salgan bien depende ahora de que los sistemas funcionales puedan soportar con sus propios medios el riesgo de los otros sistemas. Es por ello que el futuro aparece como un daño posiblemente ya incontrolable. Ante las decisiones y afectaciones.- Las instancias corren riesgos al tomar decisiones, que se convierten en un peligro para los afectados en tanto se trata de un evento externo a éstos. Además hay una pérdida de confianza por parte de los afectados respecto a la evaluación de los riesgos que hacen los expertos y se construye una evaluación propia desde la perspectiva del peligro. La atribución de riesgos a las decisiones se realiza sin un cálculo racional y en ocasiones sin que la instancia de decisión pueda ser identificada. En el sistema económico.- El dinero es el medio de comunicación simbólicamente generalizado del sistema económico y por ello le atribuye una posición central a los bancos en el análisis del riesgo económico ya que proveen capacidad de pago a la economía. Son los encargados de la transformación del riesgo, de realizar una compensación de tiempo entre posibilidades y capacidades de pago, comercializan promesas de pago. 4 Niklas, Luhmann. (2006). Sociología del Riesgo. Universidad Iberoamericana, México. 18

19 Ciencia y Riesgo Un proyecto de investigación tiene el riesgo de que sus hipótesis puedan resultar erróneas o que no se pueda determinar el valor de verdad de las mismas. El investigador se protege de este riesgo tratando de aumentar la probabilidad de que la investigación arroje resultados publicables, o de lograr al menos refutar un conocimiento incuestionado de alguna teoría trascendente. La investigación debe producir una verdad que prueba su eficacia. El riesgo es aquello que no se logra. El peligro de la investigación está en que logre producir conocimiento nuevo. La aplicación del conocimiento puede conducir a daños. Sin embargo para la ciencia, la verdad sólo tiene un significado positivo. Incertidumbre en los Negocios En el sistema de comunicación existe la tendencia a sobreestimar las expectativas favorables y subestimar las expectativas desfavorables. Cuando ocurre un daño considerado previamente improbable se procede a la búsqueda de las causas, a clarificar el contenido de la decisión y las responsabilidades. Sin embargo, Luhmann (2006) discute también la posibilidad de que la organización ignore los daños y trate de justificar la decisión incorrecta y trate de legitimar la línea seguida. Si posteriormente se multiplican los daños puede llegarse al extremo de buscar responsables, cambiar directivos pero no aprender de los errores. La organización puede terminar descargando en su entorno los riesgos que para ella resultan insoportables. La labor de la dirección en este caso resulta crucial para percibir los riesgos, absorber la inseguridad, y crear un entorno favorable para que los empleados perciban el riesgo y sean adversos a él. Pero este criterio y muchas veces cambio en las organización, no es un aspecto fácil de implementar en los negocios, ya que requiere incluso de promover una cultura enfocada a riesgos, desde la parte operativa, de control y negocio de la empresa. Pero realmente, el ignorar el riesgo y de cierta manera tenerlo incontrolado hace que el logro de los objetivos operacionales sea incierto? La respuesta a esta pregunta, la relaciono con una de las primeras clasificaciones del riesgo: riesgo puro y riesgo especulativo. El riesgo especulativo es aquel riesgo en la cual existe la posibilidad de ganar o perder, como por ejemplo las apuestas o los juegos de azar. En cambio el riesgo puro es el que se da en la empresa y existe la posibilidad de perder o no perder pero jamás ganar. El riesgo puro en la empresa, según el estudio de Prevención de Riesgos de Belmar (2007), a su vez se clasifica en: Riesgo inherente Riesgo incorporado El riesgo inherente: Es aquel riesgo que por su naturaleza no se puede separar de la situación donde existe. Es propio del trabajo a realizar. Es el riesgo propio de cada empresa de acuerdo a su actividad. El riesgo incorporado: Es aquel riesgo que no es propio de la actividad, sino que es producto de conductas poco responsables de un trabajador, el que asume otros riesgos con objeto de 19

20 conseguir algo que cree que es bueno para el y/o para la empresa, como por ejemplo ganar tiempo, terminar antes el trabajo para destacar, demostrar a sus compañeros que es mejor, etc. Los riesgos inherentes en una empresa se deben controlar y/o eliminar los que sean posibles, ya que como estos están en directa relación con la actividad de la empresa, si estos no lo asumen no puede existir. Los riesgos incorporados se deben eliminar de inmediato. Cuando un riesgo en los proceso de la empresa se sale de nuestro control producen accidentes que provocan muertes, lesiones, incapacitantes, daños a los equipos, materiales y/o medio ambiente. Todo esto resulta como perdida para la empresa, ya que ha ocurrido un accidente la empresa debe: 1.- Contratar un nuevo trabajador y prepararlo para esa actividad. 2.- Redistribuir los trabajadores en el área. 3.- Pérdidas de tiempo 4.- Aumentos de seguro 5.- Comprar o reparar la maquinaria y/o equipos 6.- Pago de indemnizaciones 7.- Pérdida de tiempo de los trabajadores involucrados en el accidente RIESGO EN LAS OPERACIONES DE LA EMPRESA RIESGO OPERACIONAL (RO) Toda actividad realizada en una empresa, sea chica, mediana o grande, tiene ciertos riesgos para las personas que la llevan a cabo; riesgos que pueden ser minimizados o incluso eliminados si se realizan con las medidas de control y gestión adecuadamente, sin embargo, aun cuando en muchas ocasiones se asume la conveniencia de aplicarlas, no siempre son tenidas en cuenta de forma voluntaria por los individuos que las llevan a cabo. Actualmente, se tiene identificada la siguiente clasificación de riesgos, según la regulación para instituciones prestadoras de servicios financieros: Riesgo Financiero: Riesgo de Crédito, Riesgo de Mercado, Riesgo de Liquidez Riesgo Operativo u Operacional 5, y Riesgo Legal o de Cumplimiento Para efectos de mi investigación, solo se considera el riesgo operacional. Para que una organización cumpla objetivos y metas, es necesario que los sistemas y subsistemas que la componen funcionen en armonía y de manera eficiente. Cuando se presenta alguna de las siguientes situaciones, se puede decir que se está incurriendo en un riesgo operativo que puede originar pérdidas a la entidad, así como un aumento de costos y gastos: - Incumplimiento de normas y procedimientos para la ejecución de un proceso - Falta de documentación de procesos - Falta de confidencialidad de la información - Fallas en los procedimientos por errores humanos 5 Los Principios de RIESGOS Generalmente Aceptados (PRGA) y los lineamientos del Comité de Basilea (Suiza -1995) coinciden en asignar a La Gerencia, la responsabilidad directa de toda pérdida o disminución en el patrimonio de la empresa, por tanto, la gerencia es responsable de identificar todos los RIESGOS operacionales a los cuales la institución está expuesta y asegurar la implementación de una administración eficiente de estos RIESGOS. 20

21 A diferencia de otras prácticas o riesgos, el riesgo operativo no sólo se puede erradicar, sino que es intrínseco al propio negocio, por lo que, voluntariamente o no, se debe de aprender a vivir con él. Pero aunque sea un mal necesario, lo que no se puede o no se debe de hacer si se quiere garantizar la supervivencia de las entidades, es ignorar sus efectos o menospreciar su importancia, asumiendo que es imposible evitar sus consecuencias, a continuación definiremos para mayor contexto el riesgo operativo y se describirán las etapas para la gestión del mismo Definición: Existen diversas definiciones que se han dado al concepto de riesgo operativo, pero entre ellas, a continuación se menciona la emitida por el Comité de Basilea 6, la cual señala que: El riesgo operativo es el que proviene de fallas de información en los sistemas o en los controles internos que pueden provocar una pérdida inesperada. Este riesgo se asocia con errores humanos, fallas en los procesos e inadecuados sistemas y controles Por lo que se acaba de exponer, se infiere que el riesgo operativo puede definirse como sigue: El riesgo de pérdida como resultado de procesos, gente y sistemas inadecuados o fallas en procesos internos, gente y sistemas de eventos externos. Se pueden destacar las siguientes características: 1- Es antiguo y está presente en cualquier clase de negocio. 2- Es inherente a toda actividad en que intervengan personas, procesos y plataformas tecnológicas. 3- Es complejo, como consecuencia de la gran diversidad de causas que lo originan. 4- Las grandes pérdidas que ha ocasionado en las empresas, muestran el desconocimiento que de él se tiene y la falta de herramientas para gestionarlo Etapas para Gestión del Riesgo Operativo u Operacional Como principio general, las entidades deben contar con una estrategia que establezca principios para la identificación, medición, control, monitoreo y mitigación del riesgo operativo. Las entidades deberían desarrollar su propio enfoque y metodología para la gestión de riesgos, de acuerdo con su objeto social, tamaño, naturaleza y complejidad de operaciones y otras características. La implementación del sistema de gestión de riesgo operativo debería considerar todas las etapas de gestión de riesgo, incluyendo la identificación, evaluación, medición, monitoreo y control. Identificación La identificación efectiva del riesgo considera tanto los factores internos como externos que podrían afectar adversamente el logro de los objetivos institucionales. Evaluación Para todos los riesgos operativos materiales que han sido identificados, la entidad debería decidir si usa procedimientos apropiados de control y/o mitigación de los riesgos o asumirlos. Para aquellos riesgos que no pueden ser controlados, la entidad debería decidir si los acepta, reduce el nivel de actividad del negocio expuesta o se retira de esta actividad completamente. Todos los riesgos materiales deberían ser evaluados por probabilidad de ocurrencia e impacto a la medición de la vulnerabilidad de la entidad a este riesgo. Cuando sea posible, la entidad debería usar controles internos apropiados u otras estrategias de mitigación, como los seguros. 6 El Comité de Supervisión Bancaria de Basilea como mejor se conoce, constituye un foro para la cooperación regular en materia de supervisión bancaria. Su objetivo es mejorar la calidad de la supervisión bancaria en todo el mundo. Se trata de hacerlo mediante el intercambio de información sobre cuestiones de supervisión nacionales, enfoques y técnicas, con el fin de promover el entendimiento común. En este sentido, el Comité es mejor conocido por sus normas internacionales sobre la adecuación del capital, los Principios Básicos para una Supervisión Bancaria Efectiva, y el concordato de supervisión bancaria transfronteriza. 21

22 Medición Las entidades deberían estimar el riesgo inherente en todas sus actividades, productos, áreas particulares o conjuntos de actividades o portafolios, usando técnicas cualitativas basadas en análisis expertos, técnicas cuantitativas que estiman el potencial de pérdidas operativas a un nivel de confianza dado o una combinación de ambos. Monitoreo Un proceso efectivo de monitoreo es esencial para una gestión adecuada del riesgo operativo. Un monitoreo regular de las actividades puede ofrecer la ventaja de detectar rápidamente y corregir deficiencias en las políticas, procesos y procedimientos de gestión del riesgo operativo. El monitoreo regular también fomenta la identificación temprana de cambios materiales en el perfil de riesgo, así como la aparición de nuevos riesgos. El alcance de las actividades de monitoreo incluye todos los aspectos de la gestión del riesgo operativo en un ciclo de vida consistente con la naturaleza de sus riesgos y el volumen, tamaño y complejidad de las operaciones. Control Después de identificar y medir los riesgos a los que está expuesta, la entidad debería concentrarse en la calidad de la estructura de control interno. El control del riesgo operativo puede ser conducido como una parte integral de las operaciones o a través de evaluaciones periódicas separadas, o ambas. Todas las deficiencias o desviaciones deben ser reportadas a la gerencia. Reporte Debe existir un reporte regular de la información pertinente a la dirección, a la alta gerencia, al personal y a partes externas interesadas, como clientes, proveedores, reguladores y accionistas. El reporte puede incluir información interna y externa, así como información financiera y operativa Fuentes del Riesgo Operacional Generalmente, la información que llega a un gerente es distinta a la información real de lo sucedido en un evento no deseado que produce pérdidas o accidente, al interior de la empresa lo que perjudica la toma de una oportuna y efectiva decisión, para el control efectivo de los riesgos que producen o pueden producir lesiones a los trabajadores o daños a los materiales, equipos, maquinaria y medio ambiente. En términos generales, el sistema empresa está compuesto por cuatro subsistemas que son gente, equipos, material y ambiente también son conocidos por las siglas GEMA, tomada del estudio de Prevención de riesgos del profesor Belmar Muñoz Victor, Asociación Chilena de Seguridad (2007), y que se representa a través de la siguiente figura 1.2: Figura 1.2 GEMA (Gente, Equipos, Material y Ambiente) 22

23 GEMA es un conjunto de elementos o subsistemas bien interrelacionados e interactuando de manera armónica, estos dan lugar a los resultados operacionales y financieros que la empresa ha planeado obtener. La empresa necesita de estos cuatro elementos componentes o subsistemas por lo que siempre requieren especial atención en cada uno de ellos y cuando un riesgo no es controlado en cada una de las etapas de su generación, puede dañar a uno de ellos o todos juntos, como por ejemplo lo ocurrido en un incendio o una demanda judicial. En los cuatro elementos mencionados existen riesgos específicos que se deben controlar en forma efectiva para que estos no produzcan pérdidas, estos riesgos tienen relación con la actividad específica de cada empresa, ya que los riesgos de una empresa de transporte son diferentes a una empresa minera, de servicios, metalmecánica, etc., aunque por supuesto existen riesgos comunes en todas las actividades; es precisamente a través de este enfoque en donde podemos observar las cuatro principales fuentes del riesgo operacional, en la siguiente figura: Procesos internos Personas TI Eventos externos Figura 1.3 Fuentes Principales del Riesgo Operacional La figura 1.3 ilustrado bajo la definición de las principales cuatro fuentes del riesgo operativo, según el Comité de Supervisión Bancaria de Basilea (BCBS), hace referencia a los procesos internos, que por su propia naturaleza mantienen un riesgo inherente en el cumplimiento de objetivos y metas; las personas, las cuales se enfoca a la debida diligencia de sus gestiones; los aspectos de tecnología de información, que son limitaciones en el procesamiento de información a través de los sistemas; y finalmente los eventos externos que son situaciones ajenas que están fuera del control de las empresas, como por ejemplo impactos económicos, catástrofes naturales. 23

24 1.3 TÉCNICAS, MODELOS Y MÉTODOS PARA LA ADMINISTRACIÓN DEL RIESGO OPERACIONAL (RO) Como se ha venido exponiendo, cada organización, línea de negocios y/o proceso establece, ya sea formal o informalmente, objetivos específicos que esperan lograr a través del desarrollo de estrategias. Aunque la mayoría de objetivos son específicos de una actividad o área en particular, algunos pueden ser comunes o se comparten en múltiple aéreas. Los objetivos pueden estar relacionados ya sea con el negocio y con la administración del riesgo. Por lo tanto, la definición de objetivos es una condición previa a la evaluación de riesgo y al desarrollo del proceso. Los objetivos relacionados con el negocio incluyen los objetivos financieros, operativos, aquellos referidos a clientes y los recursos humanos; y se vuelven más específicos en la medida en que se alinean con la estructura organizacional, desde las líneas de negocio, unidades de negocio, procesos y subprocesos que residen dentro. Como referencia para este trabajo, se consideran dos principales modelos y marcos de referencia, en los cuales se puede administrar, segregar y analizar, los objetivos y procesos de una organización en base a riesgos: Capability Maturity Model Integration (CMMI) 7 y Committee of Sponsoring Organizations (COSO) MODELO 1 CAPABILITY MATURITY MODEL INTEGRATION (CMMI) CMMI, describe los enfoques continuo y por fases para la mejora de procesos. Los procesos ayudan no solo a los trabajadores sino también a la tecnología de la organización a alcanzar los objetivos del negocio. CMMI describe la trayectoria de una mejora evolutiva apropiada de procesos inmaduros a procesos maduros y disciplinados, con mejora en la calidad y la efectividad. Se puede decir que el ciclo de mejora continua no tiene fin. La aplicación exitosa de CMMI ha aumentado la calidad, la productividad, han mejorado el tiempo de ciclo y han hecho que el tiempo y el presupuesto para desarrollar un proyecto sean más predecibles. Puede ser útil en administración de proyectos, administración de procesos, ingeniería de sistemas, ingeniería de hardware, ingeniería de software y otros procesos de apoyo. Cada nivel de madurez proporciona un conjunto de áreas de procesos que caracterizan las diferentes conductas organizacionales. Si ya se está usando una representación, es mejor permanecer con ella que cambiarla. Si no se conoce dónde empezar y cuál proceso elegir para mejorarlo, la representación por etapas es lo adecuado, pues proporciona un conjunto específico de procesos para mejorar en cada una de las etapas. Si la organización tiene un conocimiento maduro de los objetivos de su negocio, es probable que tenga un mapeo completo de sus procesos y sus objetivos de negocio. Esa organización puede encontrar útil la representación continua para evaluar sus procesos y determinar si esos procesos están apoyando sus objetivos de negocio. 7 A partir de noviembre de 1986 el SEI, a requerimiento del Gobierno Federal de los Estados Unidos de América, desarrolló una primera definición de un modelo de madurez de procesos en el desarrollo de software, que se publicó en septiembre de Este trabajo evolucionó al modelo CMM o SW-CMM (CMM for Software), cuya última versión (v1.1) se publicó en febrero de Internal Control Integrated Framework,

25 Escenario CMMI Se usa representación continua por lo que se seleccionan los procesos que son importantes para los objetivos del negocio. Como hay N áreas de proceso sobre las cuales elegir, es difícil la elección con cuál área se empieza, hay que estrechar el campo de elección, por ejemplo, si el competidor siempre lanza su producto antes que la empresa, puedes elegir mejorar los procesos de administración de proyectos y de ingeniería. Específicamente se seleccionarían las áreas de integración de producto, desarrollo de requerimientos, administración de requerimientos, soluciones técnicas, validación, verificación, planeación del proyecto, monitoreo y control del proyecto. De estas áreas todavía se puede seleccionar aquella que presente más problemas, digamos que el problema es el proceso de requerimientos, por lo que se seleccionan las áreas de los procesos desarrollo de requerimientos y administración de requerimientos, para empezar con los esfuerzos de mejora. Luego hay que decidir cuánta mejora necesita esa área. Si está muy mal esa área entonces hay que mejorar para obtener el nivel 1 de capacidad Los procesos de desarrollo y administración de requerimientos están bien para cada proyecto pero no administran los procesos? Por ejemplo, las políticas, la capacitación y las herramientas no se han implementado para apoyar los procesos. Si los procesos de requerimientos están funcionando bien, pero no hay infraestructura de apoyo, el objetivo de mejora de procesos debe ser para obtener un nivel 2 de capacidad Están todos los procesos de desarrollo y administración de requerimientos funcionando bien, pero cada proyecto realiza esos procesos de forma distinta? Por ejemplo, tu proceso de licitación de requerimientos no se realiza consistentemente en toda la organización. Si este es el caso, el objetivo de mejora debe ser para alcanzar el nivel 3 de capacidad. Consistentemente administras y realizas los procesos de desarrollo y administración de requerimientos pero no hay una forma objetiva para controlar y mejorar los procesos? Si este es el caso el objetivo de la mejora de procesos debe ser obtener el nivel de capacidad 4 Le gustaría a la organización haber seleccionado los subprocesos correctos para mejorar basado en objetivos cuantitativos y maximizar el negocio? Si es así el objetivo es alcanzar el nivel 5 de capacidad para los procesos seleccionados. De este escenario, es claro que lo primero que se necesita es entender cuáles procesos necesitan mejora y cuánto se desea que maduren esos procesos. Esta forma de proceder refleja el principio fundamental que está atrás de la representación continua Componentes de un Área de Procesos Los componentes de cada área de procesos las prácticas genéricas y las metas genéricas según el modelo CMMI, que son componentes requeridos, esperados e informativos son las tres categorías en que se agrupan los componentes del modelo, mismas que a continuación se describen: Componentes requeridos.- Describe lo que una organización debe realizar para satisfacer un área de proceso. La realización de esto debe ser implementada de forma visible en los procesos de una organización. Los componentes requeridos en CMMI son las metas específicas y genéricas. La satisfacción de una meta se usa tanto para evaluar así como para que sean las bases para decidir si un proceso ha sido realizado y satisfecho. Componentes esperados.- Describe lo que una organización puede implementar para realizar los componentes requeridos. Guían a aquellos quienes implementan mejoras o realizan evaluaciones. Los componentes esperados incluyen las prácticas específicas y genéricas. Antes de considerar 25

26 que una meta ha sido satisfecha, ya sea la práctica como ha sido descrita o cualquier alternativa aceptable, están presentes en los procesos de planeación e implementación de la organización. Componentes informativos.- Proporcionan detalles que ayudan a las organizaciones para empezar a pensar cómo enfocar los componentes requeridos y esperados. Las subprácticas, que son típicamente productos de trabajo, amplificaciones, elaboración de prácticas genéricas, los títulos de metas y prácticas, notas sobre metas y prácticas, y referencias y ejemplos de componentes del modelo informativo. Un área de proceso es un clúster de prácticas relacionadas en un área que cuando se implementa colectivamente satisface un conjunto de metas consideradas importantes para realizar una mejora en esa área. Áreas relacionadas de procesos.- Listan las referencias a áreas de procesos relacionadas y refleja relaciones de alto nivel entre las áreas de proceso. Es un componente informativo. Ejemplo en el área de proceso relacionada Planeación de Proyecto es Refiérase al área de proceso de Administración del riesgo para más información sobre la identificación y manejo de riesgos Metas específicas.- Describe las características únicas que deben estar presentes para satisfacer un área de procesos. ES un componente requerido del modelo y se usa en evaluación para ayudar a determinar si un área de proceso está satisfecha. Ejemplo del área de proceso Administración de la Configuración es la integridad de las líneas base se establece y mantiene. Solo la declaración de la meta específica es un componente requerido del modelo. El título de meta específica, precedido por un número de meta, y cualquier nota asociada con la meta se consideran componentes del modelo informativo. Metas genéricas.- Se les llama genéricas porque la misma declaración de meta se aplica a múltiples áreas de proceso. Describe las características que deben estar presentes para institucionalizar el proceso que implementa un área de proceso. Es un componente requerido del modelo y se usa en evaluaciones para determinar si un área de proceso está satisfecha. Ejemplo de meta genérica El proceso es institucionalizado como un proceso definido. Solo la declaración de meta genérica es un componente requerido del modelo, cualquier nota adicional es un componente informativo. Metas específicas y prácticas sumarias.- Ambas proporcionan un resumen de alto nivel de las metas específicas las cuales son componentes requeridos y las prácticas específicas las cuales son componentes esperados. Amas son componentes informativos. Prácticas específicas. Es la descripción de una actividad que se considera importante al realizar la meta específica asociada. Las prácticas específicas describen las actividades que se espera que resulten en la realización de una meta específica de un área de proceso. ES un componente esperado del modelo. Ejemplo del área de proceso Control y Monitoreo de Proceso El monitoreo concuerda contra aquellos identificados en el plan de proyecto. Solo la declaración de una práctica específica es un componente esperado del modelo Trabajando con todas las Variables Los niveles también pueden ser el resultado de jerarquizar evaluaciones, las cuales pueden ser realizadas por las organizaciones, ya sean estas pequeñas, grandes o pequeños grupos o divisiones dentro de las organizaciones. 26

27 Una organización debe satisfacer todas las metas apropiadas del área de proceso o conjuntos de áreas de procesos que son el objetivo de la mejora, sin importar si el nivel es de capacidad o de madurez. Tienen los mismos componentes, esto es, áreas de proceso, metas específicas y prácticas genéricas, y esos componentes tienen la misma jerarquía y configuración. Los niveles de madurez de la representación por etapas se aplican a la mejora de procesos de una organización realizados a través de áreas múltiples de procesos. Entendiendo los niveles de capacidad Un nivel de capacidad consiste de una meta genérica y su práctica genérica relacionada en la forma en que ambas se relacionan a un área de proceso, lo cual puede mejorar los procesos asociados con esa área de procesos. Al momento de satisfacer la meta genérica y la práctica genérica en cada nivel de capacidad, se generan beneficios en la mejora de procesos para esa área de proceso. Nivel de capacidad 0: Incompleto.- Un proceso incompleto es el que ni siquiera está parcialmente realizado. Una o más de las metas específicas del área de proceso no están satisfechas y no existen metas genéricas para este nivel ya que no hay razón para institucionalizar un proceso realizado parcialmente. Nivel de capacidad 1: realizado.- Es un proceso que satisface las metas específicas del área de proceso. Apoya y capacita las necesidades de trabajo para producir productos del trabajo. Aunque de este nivel resultan mejoras importantes, pueden perderse con el tiempo si no se institucionalizan. Nivel de capacidad 2: administrado.- Es un proceso realizado (nivel de capacidad 1) que tiene la infraestructura básica para apoyar el proceso. Se planea y ejecuta de acuerdo a una política; emplea personal capacitado quien tiene los recursos adecuados para producir resultados controlados; implica a interesados relevantes; se monitorea, controla y revisa y se evalúa por adherencia a la descripción de su proceso. La disciplina del proceso se refleja por el nivel de capacidad 2 que asegura que las prácticas existentes se retienen en tiempos de estrés. Nivel de capacidad 3: definido.- Un proceso definido es un proceso administrado (nivel 2) que se ajusta a la medida a los procesos estándar de la organización de acuerdo a guías propias de la organización, y contribuye a la medición de productos del trabajo y a otra información de la mejora de procesos. Una distinción crítica de los niveles de capacidad 2 y 3 es el alcance de los estándares, la descripción de los procesos y los procedimientos. Al nivel 2, estos elementos pueden ser totalmente diferentes en cada caso específico del proceso, por ejemplo, en un proyecto particular. Al nivel 3, estos tres elementos para un proyecto se ajustan a la medida a partir de un conjunto de procesos estándar organizacionales para adecuarlos a un proyecto particular o a una unidad organizacional y así ser más consistentes, excepto por la diferencia permitida por la guía de ajuste. Otra diferencia grande es que en el nivel 3, los procesos son típicamente descritos de manera más rigurosa que en el nivel 2. Un proceso definido claramente el propósito, entradas, criterios de entrada, actividades, roles, medidas, etapas de verificación, salidas y criterios extras. Al nivel 3 los procesos se administran más proactivamente entendiendo las relaciones de las actividades de los procesos y las medidas detalladas del proceso, sus productos de trabajo y sus servicios. 27

28 Nivel de capacidad 4: administrado cuantitativamente.- Es un proceso definido (nivel 3) que se controla usando la estadística y otras técnicas cuantitativas. Los objetivos cuantitativos para calidad y desempeño de procesos se estableces y usan como criterios para administrar el proceso. Se entiende el desempeño de calidad y de procesos en términos estadísticos y se administran a lo largo de toda la vida del proceso. Nivel de capacidad 5: optimizado.- Es un proceso administrado cuantitativamente (nivel 4) que se ha mejorado con base a un entendimiento de las causas comunes de variación inherentes al proceso. El enfoque de un proceso optimizado es la mejora continua del desempeño del proceso a través de mejoras tanto incrementales como innovadoras. Avanzando a través de niveles de capacidad.- Los niveles de capacidad de un área proceso se realizan a través de la aplicación de prácticas genéricas o alternativas adecuadas a los procesos asociados con esa área de proceso. Alcanzando el nivel de capacidad 1 para un área de proceso es equivalente a decir que los procesos asociados con esa área de proceso son procesos realizados. En resumen, alcanzando el nivel 2 es equivalente a decir que hay una política que indica que se realizará el proceso. Hay un plan para realizarlo, se proporcionan los recursos, se asignan responsabilidades, se capacita al personal, se seleccionan productos del trabajo controlados relacionados al proceso y así sucesivamente, es decir, en el nivel 2 el proceso puede planearse y monitorearse justo como cualquier proyecto o actividad de apoyo. En el nivel 3 un área de proceso supone que existe un proceso estándar organizacional asociado con esa área de proceso, la cual puede ajustarse a la medida de las necesidades del proyecto, por lo que ahora los procesos en la organización son ahora más consistentemente definidos y aplicados, pues se basan en procesos estándar. En el nivel 4 supone que el área de proceso es un conductor clave del negocio que la organización quiere administrar usando técnicas cuantitativas estadísticas, Este análisis da a la empresa más visión del desempeño del subproceso seleccionado que hará a la organización más competitiva en el mercado. En el nivel 5 el área de proceso supone que se ha estabilizado el subproceso seleccionado y que quieres reducir las causas de variación que son comunes, ya que la variación es un fenómeno natural en los procesos, Entendiendo los Niveles de Madurez Un nivel de madurez consiste de prácticas específicas y genéricas para un conjunto predeterminado de áreas de proceso que mejoran el desempeño total de la organización. El nivel de madurez proporciona una forma de predecir el desempeño organizacional para una disciplina o conjunto de disciplinas dadas. La organización se enfoca a la mejora de procesos sobre un número de áreas de procesos a la vez y aquellas áreas requieren sofisticación según va mejorando la organización. Un nivel de madurez se define como una plataforma evolutiva para la mejora de procesos organizacionales. Cada nivel de madurez madura un conjunto importante de procesos en la organización preparándose para moverse al siguiente nivel. Los niveles de madurez se miden por la realización de metas genéricas y específicas asociadas con cada conjunto predefinido de áreas de proceso. Nivel de madurez 1: inicial.- Usualmente es caótico. La organización normalmente no proporciona un ambiente estable para apoyar los procesos. El éxito en esas organizaciones depende de la 28

29 capacidad de la gente y no del uso adecuado de los procesos. Debido a este caos, las organizaciones en este nivel normalmente exceden sus presupuestos y se salen fácilmente de los tiempos programados. SE caracteriza por acuerdos excesivos y por el abandono de los procesos en tiempos de crisis y por la incapacidad de repetir los éxitos. Nivel de madurez 2: administrado.- Aquí la organización asegura que los procesos se planean y ejecutan de acuerdo a una política, se emplea a gente capacitada quien tiene los recursos necesarios para elaborar productos de resultados controlados; se monitorean, controlan y revisan; se evalúan por adherencia a la descripción de sus procesos. Las prácticas se pueden retener en tiempos de estrés. Aquí se identifican las entradas y las salidas del proceso, así como restricciones de presupuesto calendario, y los recursos necesarios para obtener el producto final. El proceso es repetible, es decir, las mismas entradas producen las mismas salidas, por lo que se puede decir que ya existe un proceso, pero no existe un gran control del mismo, pues lo único que se percibe es una caja negra que transforma entradas en salidas. Teniendo en cuenta que solo se puede medir lo que se percibe o se ve, en este nivel se deben recoger métricas sobre los requisitos, tamaño y volatilidad, el tamaño del producto obtenido (funcional o físico), los recursos necesarios, el costo y el calendario. Nivel de madurez 3: Definido.- Aquí se entiende que los procesos se describen en estándares, procedimientos, herramientas y métodos. Una diferencia importante entre los niveles 2 y 3 es el enfoque de los estándares, descripción de procesos y procedimientos. Existe ya una mayor visibilidad del proceso, ya que no solo se conocen sus entradas y salidas, sino también su interior, esto es, se conocen sus entradas y salidas internas o productos intermedios, de forma que estos productos intermedios pueden ser analizados, medidos y evaluados al estar definidos y visibles, por lo que en este nivel se pueden recoger medidas de producto. Se puede realizar un seguimiento sobre los defectos descubiertos en cada tipo de producto y se puede comparar la densidad de defectos con respecto a valores predeterminados Nivel de madurez 4: administrado cuantitativamente.- Aquí la organización y los proyectos establecen objetivos cuantitativos para la calidad y el desempeño de los procesos y los usan como criterios para administrar procesos. Aquí se incorpora la gestión como actividad fundamental de cualquier proceso. Las actividades básicas no experimentan cambios. Las medidas recogidas en este nivel tienen como objetivo fundamental estabilizar el proceso para obtener los niveles de calidad y productividad esperados. Nivel de madurez 5: optimizado.- Aquí la organización mejora los procesos de forma continua con un entendimiento cuantitativo de las causas comunes de variación inherentes a los procesos. Normalmente se eliminan y añaden actividades en el proceso y se cambia la estructura del proceso. Avanzando a través de los niveles de madurez.- Las organizaciones pueden realizar mejoras progresivas en su madurez organizacional realizando un control a nivel de proyectos y continuando a niveles más avanzados, usando técnicas tanto cuantitativas como cualitativas. Un proceso definido que es de nivel 3 puede ser un gran riesgo si se coloca en el nivel 2 y las prácticas administrativas son deficientes. 29

30 Categorías de Áreas de Proceso en CMMI Las categorías en que se agrupa las áreas de proceso son: administración de proceso y administración de proyecto, relacionando la ingeniería y apoyo (soporte). Las áreas de procesos se pueden clasificar como Básicas y Avanzadas; lo que esto significa es que primero se deben implementar las Básicas y luego las Avanzadas para asegurar que se han alcanzado los prerrequisitos para una implementación exitosa. Administración de Proceso Las áreas de proceso de la Administración de Proceso contienen actividades de proyectos cruzados relacionados con definir, planear, desplegar, implementar, monitorear, controlar, evaluar, medir y mejora de procesos. Son las siguientes: Procesos Organizacionales, Definición de Proceso Organizacional, capacitación Organizacional, Desempeño de Proceso Organizacional, Innovación y Despliegue Organizacional. Áreas de proceso Básicas de Administración de Proceso.- Dan a la organización la capacidad para documentar y compartir las mejores prácticas; basado en un entendimiento de las fortalezas y debilidades actuales de los procesos de la organización. Áreas de proceso de Administración Avanzada de Procesos.- Proporciona una capacidad mejorada para alcanzar los objetivos cuantitativos de desempeño en procesos y calidad. Administración de Proyectos Cubre actividades de planeación, monitoreo y control del proyecto y se conforma de Planeación de Proyecto (PP), Control y Monitoreo del Proyecto (CMP), Administrador de Acuerdos con el Proveedor (AAP), Administración Integrada de Proyectos (AIP), Administración del Riesgo (ARSK) y Administración Cuantitativa de Proyectos (ACP). Área de proyectos Administración Básica de Proyectos.- Se refiere a las actividades relacionadas a establecer y mantener el plan de proyecto, establecer y mantener los acuerdos, monitoreo del progreso contra el plan, tomar acciones correctivas y administrar acuerdos con el proveedor. Áreas de proceso Administración Avanzada de Proyecto.- Se encarga de actividades como establecer procesos definidos que se ajusten al conjunto de procesos estándar de la organización, colaborando con los participantes, administrando el riesgo, formando equipos integrados y administrando cuantitativamente a los procesos definidos del proyecto. El área de Administración del Riesgo toma a su cargo el control del riesgo de manera continua, con actividades como parámetros de identificación de riesgo, evaluación del riesgo y mitigación del riesgo Utilizando los Modelos de CMMI La complejidad de los productos demanda una visión integrada de cómo hacen los negocios las organizaciones. CMMI puede reducir el costo de la mejora de procesos en las empresas que dependen de múltiples funciones o grupos para elaborar productos y servicios. CMMI no solo para mejorar la calidad, reducir costos, optimizar la programación de actividades, sino también cómo están trabajando los procesos mejorados. Como en todos los procesos de mejora, el factor principal es que la alta dirección. Se deben hacer tres selecciones para aplicar CMMI en una organización para la mejora de procesos: seleccionar una parte de la organización, seleccionar un modelo y seleccionar una representación. 30

31 El punto crítico es seleccionar los proyectos que estarán implicados en la mejora. Seleccionar un modelo depende de las áreas de la organización que estén interesadas en mejorar La Institucionalización de Procesos - Metas Genéricas y Prácticas Genéricas La institucionalización es importante en la mejora de procesos. Implica que los procesos están arraigados en la forma en que sea realiza el trabajo y hay acuerdo y consistencia para realizar los procesos. Cuando cambian los requerimientos y objetivos de un proceso, su implementación también requiere cambios para asegurar que permanece siendo efectivo. Las prácticas genéricas describen actividades dirigidas a esos aspectos de institucionalización. El grado de institucionalización se incorpora en las metas genéricas expresadas en los nombres de los procesos asociados con cada meta. Un proceso administrado es un proceso realizado; un proceso definido es un proceso administrado; un proceso administrado cuantitativamente es un proceso definido y un proceso optimizado es un proceso administrado cuantitativamente. Hay un plan para realizarlo. Hay una política que indica que se debe hacer. Se proporcionan recursos, se asignan responsabilidades, se capacita al personal, se seleccionan productos del trabajo, se controla, es decir, el proceso se planea y monitorea como cualquier proyecto o actividad de apoyo. 31

32 1.3.2 MODELO 2 COMMITTEE OF SPONSORING ORGANIZATIONS (COSO)9 El marco de COSO proporciona una estructura ideal y simple dentro de la cual estos objetivos pueden agruparse en la administración de riesgos. Los conceptos de control adoptados por una organización, pueden ser basados en los principios desarrollados por el Committee of Sponsoring Organizations of the Treadway Commission, tal como se puede observar en la sección Control Interno Marco Integrado (mayo 1994). Los controles internos son establecidos por una organización para poder cumplir con su misión y con sus objetivos de negocio. Estos controles permiten a la Dirección enfrentar situaciones económicas y competitivas cambiantes, atender las demandas y prioridades fluctuantes de los clientes y realizar reestructuraciones con miras al crecimiento. Los controles internos promueven la eficiencia, reducen el riesgo de pérdida de activos y contribuyen a asegurar la confiabilidad de la información para la toma de decisiones, así como garantizar el cumplimiento con leyes y regulaciones. Los procesos de negocio pasan por un sub-proceso de administración básico de planeación/diseño, ejecución/hacerlo operativo y monitoreo. Los controles internos se integran a estos sub-procesos, los cuales están orientados al logro de uno ó más de los objetivos. Debe hacerse notar que los controles internos sólo proporcionan una seguridad razonable, no una seguridad absoluta del logro de estos objetivos. La probabilidad de su logro es afectada por limitaciones inherentes a los sistemas, incluyendo el juicio personal que lleva a la toma errónea de decisiones, las restricciones en costos, colusiones, evasivas e incumplimientos en general. Si bien varios sistemas de control interno (incluyendo cada proceso subyacente) pueden tener características diferentes y únicas, todos deben incorporar los siguientes principios o componentes interrelacionados, mostrados en la siguiente figura tomada de la página web Figura COSO es un modelo tridimensional 9 Committee of Sponsoring Organizations of the Treadway Commission, sección Control Interno Marco Integrado (mayo 1994). 32

33 Objetivos de COSO El COSO tiene tres objetivos fundamentales: Eficiencia de la operación Se refiere a los objetivos operacionales de la institución los cuales se relacionan con el uso eficaz y eficiente de los recursos disponibles: Activos Fijos Valores Reputación Capacidad de servicio Confiabilidad de los Reportes Financieros Para que los estados financieros sean confiables deben cumplir los siguientes requisitos: Principios contables aceptados y apropiados a las circunstancias. Información financiera suficiente y apropiada, resumida y clasificada en forma adecuada. Presentación de hechos, transacciones y acontecimientos de tal forma que los estados financieros reflejen adecuadamente la situación financiera, los resultados de las operaciones y los flujos de orígenes y aplicaciones de recursos en forma apropiada y razonable. Cumplimiento con leyes y regulaciones Se refiere a que una entidad desarrolla su actividad dentro del marco de una legalidad y unos reglamentos que regulan los más diversos aspectos de sus relaciones sociales y operativas como lo son la normativa mercantil, contable, bancaria, civil, laboral, financiera, medio ambiente, seguridad, lavado de dinero, etc Componentes de COSO Toda área o empresa independientemente de la actividad que desarrollen requiere definir y desarrollar los siguientes componentes interrelacionados en el Marco Integral de control interno: Ambiente de control Evaluación de riesgos Actividades de control Información / Comunicación Monitoreo Ambiente de Control El ambiente de control establece el enfoque de la empresa, constituyendo la base de todo el proceso de Control interno, ya que determina las pautas de comportamiento y tienen una influencia fundamental en el nivel de conciencia del personal respecto del control ya que proporciona disciplina y estructura. El ambiente de control representa la combinación de factores que afectan las políticas y procedimientos de la institución, fortaleciendo o debilitando sus controles Los componentes del ambiente de control son: - La integridad y la ética Por muy eficaces que pudieran ser los controles internos, éstos no pueden estar por encima de las personas que los llevan a cabo. La ética no consiste solo en el cumplimiento de las leyes. Es fundamentalmente un compromiso de adhesión a unos valores y la capacidad de llevarlos a la práctica de forma permanente. El impacto negativo que pueden llegar a tener los comportamientos 33

34 empresariales dirigidos únicamente a conseguir resultados a corto plazo pasando por encima de los intereses legítimos de proveedores, clientes, empleados, etc. puede llegar a ser muy importante para la empresa. - Competencia profesional Para poder cubrir cada puesto de trabajo por personas capaces de realizar las labores correspondientes de una forma competente, es necesaria la existencia de procesos de definición de puestos y actividades, de selección de personal, de formación, de evaluación y de promoción. - Participación de Gobierno Corporativo Es muy importante que el Consejo de Administración sea capaz de dejar sentir su presencia en el control y dirección de la organización. Las capacidades del Consejo para demostrar que la autoridad de la dirección deriva de una delegación por su parte, la existencia de miembros no ejecutivos independientes dentro del mismo y la existencia de organismos tales como el Comité de Auditoría dentro del Consejo con capacidad de comunicación directa con elementos de control como los auditores internos y externos, son elementos fundamentales para crear un entorno propicio para un desarrollo adecuado del control interno. - El estilo y filosofía gerencial Los estilos gerenciales marcan el nivel de riesgo en la empresa y pueden afectar al control interno. Un planteamiento orientado excesivamente al riesgo, unas actitudes poco propicias a la prudencia o la falta de tomar en cuenta a los aspectos de control o administrativos al emprender negocios son indicativos de riesgos de control interno. Una gerencia que sin dejar de afrontar los riesgos empresariales toma en cuenta todos los elementos necesarios para su seguimiento, evitando riesgos improcedentes y que consideran los aspectos positivos y negativos de cada alternativa, crea una actitud positiva de control interno en la organización. Estructura organizacional Cada área o empresa desarrolla la estructura organizacional más conveniente a sus necesidades. Hay estructuras más jerárquicas que otras, más centralizadas que otras, etc. El adecuar la estructura organizacional de cada área o empresa a su tamaño, tipo de actividad y objetivos es fundamental para que el control interno pueda desarrollarse en forma adecuada, ya que ello define las líneas de responsabilidad y autoridad, así como los canales por los que fluye la información. - Delegación de autoridad y responsabilidades Consiste en las facultades y responsabilidades concedidas a los diferentes miembros de la organización para que desarrollen sus funciones. El problema reside en saber cuál es el grado adecuado de delegación de autoridad, ya que debe únicamente delegarse autoridad en la medida necesaria para lograr los objetivos del área. La delegación de autoridad debe ir acompañada de un conocimiento y aceptación claros e indudables de los objetivos del área o empresa subsidiaria del Grupo por parte de quien recibe la autoridad y de un nivel de supervisión adecuado. - Políticas y prácticas de recursos humanos Desde los procedimientos de contratación, hasta la formación, pasando por las evaluaciones, promociones y asesoramiento y control de personal, pueden dejar muy claro cuál es el nivel mínimo que se exige y las pautas de comportamiento en materia de integridad y comportamiento ético. También debe quedar claro que el incumplimiento tendrá una respuesta. 34

35 Evaluación de Riesgos Empezaremos definiendo los conceptos de riesgo (sus tipos) y evaluación, según COSO: Riesgo: - Es una medida de incertidumbre. - La incertidumbre involucra el logro de los objetivos institucionales. - El riesgo incluye las consecuencias y probabilidad de que un evento negativo ocurra. Evaluación El logro de objetivos de la empresa enfrenta una variedad de riesgos procedentes de fuentes externas e internas que deben ser evaluados, lo que se traduce en: - Identificarlos adecuadamente - Asignarles prioridad - Identificar controles adecuados para administrarlos - Evaluar la efectividad de los medios para administrarlos Previamente a determinar los riesgos hay que determinar los objetivos. Cada área debe determinar sus objetivos, sus puntos fuertes y débiles y las oportunidades y amenazas del entorno. De esta manera obtendrá un plan estratégico que identificará los factores de éxito o condiciones previas para que la entidad consiga sus objetivos. El manejo de riesgos se realiza a través de una administración integral de riesgos, por clase y tipos: I. Riesgos cuantificables Son aquellos para los cuales es posible conformar bases estadísticas que permitan medir sus pérdidas potenciales, y dentro de éstos, se encuentran los siguientes: a) Riesgos discrecionales, que son aquellos resultantes de la toma de una posición de riesgo, tales como el: - Riesgo de crédito o crediticio, que se define como la pérdida potencial por la falta de pago de un acreditado o contraparte en las operaciones que efectúan las instituciones, incluyendo las garantías reales o personales que les otorguen, así como cualquier otro mecanismo de mitigación utilizado por las instituciones de crédito. - Riesgo de liquidez, que se define como la pérdida potencial por la imposibilidad o dificultad de renovar pasivos o de contratar otros en condiciones normales para la institución, por la venta anticipada o forzosa de activos a descuentos inusuales para hacer frente a sus obligaciones, o bien, por el hecho de que una posición no pueda ser oportunamente enajenada, adquirida o cubierta mediante el establecimiento de una posición contraria equivalente. - Riesgo de mercado, que se define como la pérdida potencial por cambios en los factores de riesgo que inciden sobre la valuación o sobre los resultados esperados de las operaciones activas, pasivas o causantes de pasivo contingente, tales como tasas de interés, tipos de cambio, índices de precios, entre otros. b) Riesgos no discrecionales, que son aquellos resultantes de la operación del negocio, pero que no son producto de la toma de una posición de riesgo, tales como: - El riesgo operativo, que se define como la pérdida potencial por fallas o deficiencias en los controles internos, por errores en el procesamiento y almacenamiento de las operaciones o en la transmisión de información, así como por resoluciones administrativas y judiciales adversas, fraudes o robos y comprende, entre otros, al riesgo tecnológico y al riesgo legal, en el entendido de que: 35

36 - El riesgo tecnológico, se define como la pérdida potencial por daños, interrupción, alteración o fallas derivadas del uso o dependencia en el hardware, software, sistemas, aplicaciones, redes y cualquier otro canal de distribución de información en la prestación de servicios bancarios con los clientes de la institución. - El riesgo legal, se define como la pérdida potencial por el incumplimiento de las disposiciones legales y administrativas aplicables, la emisión de resoluciones administrativas y judiciales desfavorables y la aplicación de sanciones, en relación con las operaciones que las instituciones llevan a cabo. II. Riesgos no cuantificables Son aquellos derivados de eventos imprevistos para los cuales no se puede conformar una base estadística que permita medir las pérdidas potenciales. - Riesgo reputacional, consiste en que se genere una publicidad negativa sobre la entidad o sobre sus productos y/o servicios, lo cual desencadenará la creación de una mala imagen frente a las personas / organizaciones con las que se encuentra vinculada Actividades de Control Las actividades de control junto con ciertas actividades de gestión nos ayudarán a evitar que los riesgos a los que está sujeta la institución se lleguen a materializar y producir efectos negativos en ésta. Las actividades de control se traducen en políticas (lo que debe de hacerse) y procedimientos (mecanismos concretos de control) que ayudan a asegurar que las directrices de la gerencia son llevadas a cabo. Las actividades de control constituyen un elemento importante del proceso mediante el que una entidad consigue sus objetivos. Las actividades de control constituyen un elemento importante del proceso mediante el que una entidad consigue sus objetivos. Algunos de los posibles mecanismos de control utilizables: - Segregación de funciones El riesgo de que se puedan producir errores o irregularidades en el desarrollo y registro de las transacciones disminuye si las diferentes partes que componen el proceso se ejecutan por diferentes personas. Las responsabilidades de autorizar, ejecutar, registrar y comprobar una transacción deben de quedar en la medida de lo posible segregadas y diferenciadas. Este es uno de los mecanismos de control interno más importante y efectivo. - Análisis realizados por la dirección La dirección analiza los resultados obtenidos comparándolos con períodos anteriores y por supuesto, con los presupuestos. Este tipo de actuación es una actividad de control muy importante para la consecución de objetivos, puesto que la información oportuna y apropiada constituye en la mayoría de los casos la primera base para la correcta toma de decisiones. - Controles físicos El conteo físico de los activos (existencias, títulos negociables, tesorería, etc.) y la comprobación de los resultados con los registros de control constituye una medida de control que puede resultar significativa para conseguir objetivos tanto de información financiera como de operaciones. - Mecanismos de seguimiento del proceso de información Se trata de comprobaciones realizadas para asegurarse de la existencia, exactitud, totalidad y autorización de las transacciones registradas. 36

37 - Gestión de funciones de actividad Este tipo de controles está constituido por las revisiones de los resultados obtenidos en una actividad por parte de los responsables correspondientes y a niveles sucesivamente más altos. - Indicadores de rendimiento Incluye el análisis combinado de diferentes conjuntos de datos (operativos o financieros) y la puesta en marcha de acciones correctivas. - Controles de los sistemas de información Un elemento crítico para el éxito de la institución es la administración efectiva de la información y de la Tecnología de la Información (TI) relacionada. En la actualidad con todos los avances tecnológicos la información viaja a través del "ciberespacio" sin las restricciones de tiempo, distancia y velocidad, este elemento crítico emerge de: - La creciente dependencia en información y en los sistemas que proporcionan dicha información. - La creciente vulnerabilidad y un amplio espectro de amenazas tales como las " ciber amenazas" como lo pueden ser los virus informáticos, gusanos, etc. y la guerra de información. - La escala y el costo de las inversiones actuales y futuras en información y en tecnología de información. - El potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos. - Aseveraciones del registro financiero Se refiere al establecimiento de controles que aseguren el cumplimiento a las aseveraciones del registro financiero y la evaluación de los registros de las operaciones realizadas por las áreas, las cuales son: - Registro de Operación: Todas las transacciones y otros eventos y circunstancias que ocurrieron durante un período específico, y que debieron ser reconocidas en el mismo, de hecho han sido registradas ó consideradas, por lo que no existen activos, pasivos ó transacciones no registradas y no se omite ninguna revelación. - Exactitud: Todos los detalles de las transacciones son capturados adecuadamente, registrados de acuerdo a principios contables y registrados en el período apropiado. - Existencia de Transacciones: Los activos, pasivos y derechos sobre intereses existen a una fecha determinada y las transacciones se registran en el período establecido. - Valuación: Los activos y pasivos son registrados por el monto apropiado en apego a los principios contables. - Entidad Independiente: Los activos y pasivos son reportados de buena fe en el balance y son derechos y obligaciones del Grupo a una fecha determinada. - Presentación y Revelación: Todas las partidas en los estados financieros son descritas y clasificadas correctamente, así como claramente presentadas de acuerdo con los principios contables. - Autorización: Todos los ingresos y gastos se operan únicamente con autorización de los Directores del Grupo. - Control Interno (Salvaguarda): Prevención y detección oportuna de uso, adquisición, ó disposición no autorizada de activos Información y Comunicación La información relevante se debe identificar, capturar y comunicar en forma y tiempo que permita a la gente llevar a cabo sus responsabilidades. Es necesario identificar cual es la información relevante y, disponer de los mecanismos oportunos para recogerla y comunicarla en forma y tiempo oportunos, de tal forma que la misma pueda cumplir los objetivos previstos. 37

38 La información se recoge de fuentes internas y externas y se comunica a destinatarios tanto internos como externos. Los flujos de información pueden ser tanto verticales como horizontales o transversales a lo largo y ancho por la estructura organizativa de la institución y pueden tener carácter tanto formal como informal. La institución y sus áreas deben valorar sus necesidades de sistemas de información en función de sus objetivos, para responder a estas necesidades debe atenderse a los siguientes aspectos relativos a la calidad de la información: - Contenido. La información debe ser necesaria y relevante. - Tiempo. La información debe transmitirse en tiempo oportuno y adecuado. - Actualidad. La información debe ser la más reciente posible. - Accesibilidad. Los miembros de la organización que necesiten utilizar información, deben poder acceder a la misma con facilidad. La comunicación en general es la transmisión de información interna y externa. Aquí se trata de comunicación que afecta a las responsabilidades y expectativas de los miembros de la institución. Los canales de comunicación habituales que determinan la estructura jerárquica de la institución deben ser la fórmula habitual de comunicación. Lo mismo que con el personal, la dirección busca canales de comunicación abiertos con el exterior: clientes, proveedores, bancos, organismos reguladores, auditores externos, asesores legales, analistas financieros, etc. Aspecto importante en este punto es considerar si la Gerencia toma oportuna y apropiadas acciones de seguimiento en relación a estas comunicaciones. La comunicación interna son todos los flujos e intercambios de información que tienen lugar dentro de la empresa y que dan como resultado el óptimo conocimiento de la actividad y desarrollo de las funciones por parte de las áreas y empresas que lo integran y ésta se da por la interrelación entre el personal, y puede ser catalogada en comunicación formal, informal, vertical y horizontal. Otro aspecto significativo a tomar en cuenta es la comunicación con el Consejo de Administración Monitoreo El monitoreo es el proceso de evaluación del diseño y operación de los controles por parte del personal apropiado, siendo en tiempo y tomando acciones necesarias. Esto aplica a todas las actividades dentro de la institución y algunas veces también a los contratistas externos. El objetivo del monitoreo es asegurar que el sistema está funcionando adecuadamente y que va adaptándose a las necesidades y cambios de circunstancias. La dirección debe disponer de los instrumentos necesarios para asegurarse de que esto es realmente así. Para comprender el proceso de monitoreo se deben considerar los siguientes factores: - Si se llevan a cabo evaluaciones periódicas del control interno - Grado en que el personal, en el desarrollo de sus funciones regulares, obtiene evidencia de que el sistema de control interno continúa funcionando. - Grado en que las comunicaciones de partes externas corroboran la información generada internamente o indican problemas. - Si la gerencia sigue las recomendaciones que le hacen los auditores internos y externos o de cualquier otra entidad revisora. 38

39 CAPÍTULO II Perfil de Negocio de la Empresa El presente capitulo esta dirigido a la empresa caso de estudio, que es un Call-Center, incluye sus características y forma de operar, procedimientos, así como lineamientos normativos del centro de trabajo para el staff, estas son las normas de comportamiento al personal, esta información fue tomada de la empresa para fines de este estudio; por lo que se pretende describir el perfil del negocio, de la empresa sobre la cual posteriormente se evaluaran sus condiciones operativas y analizaran sus fuentes especificas de riesgo operativo. 2.1 ANTECEDENTES DE LA EMPRESA Razones y Alcance de la Empresa El caso sujeto a estudio, corresponde a una empresa prestadora de servicios en la Ciudad de México y algunos territorios del interior de la República Mexicana, pero para efectos de confidencialidad de aquí en adelante se le identificará solo como La Empresa o Call-Center. Es importante mencionar que La Empresa forma parte de un Grupo, el cual su principal razón de negocio es el sector financiero. A continuación se exponen dos ideas del alcance de este trabajo y el porqué La Empresa, fue seleccionada para realizar el análisis e investigaciones: Primero, actualmente 1 de cada 3 empresas en México considera o ha considerado la tercerización 10, como una opción viable y efectiva para llevar a cabo procesos operativos clave de la misma, en este sentido La Empresa, que recientemente fue creada por el Grupo al que pertenece, obtuvo su personal derivado de una migración de empleados que realizaban estas gestiones operativas en el Grupo, cambiando desde las condiciones laborales hasta las políticas y procedimientos operativos y la resistencia al cambio siempre es un gran reto, La Empresa ahora mantiene propósitos, específicos actuando como una línea de negocio especialista en gestionar procesos operativos de Call-Center que más adelante describiremos. Segundo, La Empresa forma parte del Grupo bajo el concepto de una entidad con propósito específico (EPE) sin influencia significativa 11, por lo cual se excluye de la consolidación financiera del Grupo y de esta manera se excluye del alcance al Grupo como entidad; por lo cual el propósito principal de este trabajo cubrirá solo aspectos independientes de La Empresa. Cabe mencionar que la información que se incluye en este capítulo fue consultada y tiene su fundamento en manuales internos de políticas y procedimientos de La Empresa, así como de recopilación de información como parte del trabajo de campo, para el análisis de este trabajo Generalidades de la Empresa La Empresa fue creada el 26 de julio de 2010, con la actividad principal de prestar servicios profesionales e independientes, a través de un Call-Center (CC) para gestionar operativamente cobranza, atención a aclaraciones de clientes y oferta de productos ó servicios. 10 Tercerización/Outsourcing es el proceso en el cual una empresa identifica una porción de su proceso de negocio que podría ser desempeñada más eficientemente y/o más efectivamente por otra empresa, la cual es contratada para desarrollar de manera independiente esa porción de negocio. Esto libera a la primera organización para enfocarse en la parte o función central de su negocio. FUENTE: Instituto Mexicano de Telemarketing (IMT). 11 Normas de Información Financieras (NIF) C-7 Inversiones en Asociadas. 39

40 En Noviembre de 2010, el CC fue movido de su localización en la Ciudad de México (Centro Histórico) a otra instalación más grande en Cuautitlán Izcalli en el Estado de México, lo cual permitió incrementar su planta de personal de 265 a 830 empleados contratados. La misión y visión de La Empresa, se relaciona con la del Grupo de manera general, siendo estas: Misión Ser una de las Instituciones más eficiente y rentable del país, que ofrezca productos y servicios innovadores y de alta calidad, diseñados para satisfacer las necesidades de sus clientes. Visión Cada uno de quienes conforman la empresa, buscamos constituirnos en un asesor dispuesto a ofrecer su experiencia y conocimientos para ayudar y orientar a nuestros clientes en la satisfacción de sus necesidades. Filosofía Nuestra filosofía se base en el principio: PRIMERO LA GENTE Por ello, nos distingue la calidez humana con la que incondicionalmente atendemos a nuestros clientes internos o externos. Pero también, la calidad profesional con la cual desarrollamos nuestro trabajo. 40

41 2.2 CARACTERISTICAS OPERATIVAS DEL CALL CENTER Estructura Organizacional La distribución de trabajo y/ó asignaciones de funciones, roles, responsabilidades, así como las líneas de reporte y comunicación están formalizadas a través de la siguiente estructura organizacional, figura 2.1 diseño propio: DIR CALL CENTER Coord Oficina de Proyectos Call Center Superv Call Center Subdir MIS y WFM Personal Sindicato Dir Adj Call Center Servicio a Clientes Subdir Ventas Dir Adj Aclaraciones 2 GT Inbound (SAC 1/ SAC 2) GT Soporte Operación GT Calidad GT Electrónica y Autoservicios 3 GT Inbound/ Outbound GT Aclaraciones y Admón. GT Aclaración Adquirente/ Emisora GT Cheques y Servicio Superv (12) Superv (5) Superv (3) Superv (11) Subgerente Aclaraciones Subgerente Aclaraciones (2) Subgerente Aclaraciones Chq Líder Equipo (42) Analistas Soporte Operación (6) Analistas Calidad (24) Líder Equipo (56) Analistas Centro Inf Clientes (10) Analistas Clientes (8) Analistas Clientes (9) Ejecutivos (180) Ejecutivos (285) Aclarador Atención Clientes (47) Aclarador Atención Clientes (57) Aclarador Atención Clientes (52) Figura 2.1 Estructura Organizacional de la Empresa Caso de Estudio PUESTOS: Asignación de Funciones Roles y Responsabilidades La Dirección Adj Call Center Servicio a Clientes (DACC) en conjunto con la Subdirección Ventas, es responsable de realizar llamadas para promoción y venta de productos y servicios por teléfonos, principalmente venta de seguros, tarjetas de crédito y activación de líneas de crédito, los procesos principales se identifican como: Inbound, que consiste en contestar las llamadas de los clientes y proporcionarles información general de productos y servicios, como activación de tarjetas de débito y crédito, reporte de robo-extravío previo a la autenticación de los mismos, así como la promoción y venta de seguros. Outbound, que consiste en realizar llamadas para promoción y venta de productos y servicios por teléfonos, principalmente venta de seguros, tarjetas de crédito y activación de líneas de crédito. 41

42 La Dir Adj Aclaraciones (DAA), tiene la facultad para representar y obligar en cada Entidad Federativa ante las autoridades y ante el Cliente, la recepción, seguimiento y resolución de solicitudes de aclaración sobre sus transacciones. En adición, la Dirección Adj Call Center Servicio a Clientes (DACC), es responsable de administrar la cartera morosa desde su asignación inicial hasta su regularización, bonificación, o castigo; entiéndase que las funciones de esta Dirección se consideran de las más relevantes en el Call- Center. La estructura organizacional de la DACC, que para fines de este trabajo se identificó como las más relevante de los procesos del Call-Center, al mes de abril 2011, está constituida por 4 gerencias y por un total de 272 puestos de gestoría divididos en los siguientes procesos de cobranza: Proceso Preventiva, Over limit y Front End Mid Range Hard Core Cobranza Preventiva (Over limit & Front End) Periodo de Morosidad Sin morosidad De 1 a 30 días De 31 a 90 días El área de cobranza es la responsable de gestionar cuentas que no son morosas, pero que, dado el nivel de riesgo, es necesario efectuar una labor de cobranza preventiva y/o educación crediticia y cultura de pago puntual. Cobranza de cuentas sobregiradas al corriente (Mid Range) El área de cobranza, y en la medida de la capacidad instalada, también es responsable de gestionar la cobranza de cuentas que, aunque están al corriente en sus pagos, es decir, no tienen pagos vencidos todavía, tienen algún sobregiro. Cobranza por edades de morosidad (Hard Core) El área de cobranza es la responsable de gestionar todas aquellas cuentas que no hayan cubierto el pago mínimo en forma oportuna antes de su siguiente fecha de corte, es decir todas aquellas cuentas que no reflejen un pago en un periodo de 30 días o más después de su último corte, y por lo tanto se reflejan en alguna edad de morosidad. Cobranza de seguimiento a promesas de pago Esta actividad consiste en reforzar la labor de cobranza a fin de mejorar el indicador de porcentaje de promesas de pago cumplidas y para ello, se deben efectuar llamadas a todos los clientes que tienen una promesa de pago pendiente por cumplirse, como mínimo, al día siguiente de la fecha del vencimiento de la misma, esta gestión es responsabilidad entre los tres procesos anteriores. 42

43 2.2.3 Estrategias Operativas Cada mes en función a la estacionalidad del año en materia de cobranza y prestación de servicios, de la experiencia en la supervisión, en las situaciones económicas especiales del país y en las necesidades del negocio, se determinarán estrategias de cobranza que ayuden a mejorar la productividad y efectividad. Esas estrategias deberán ser elaboradas en conjunto por los Gerentes y Supervisores del área de Cobranza, para ser aprobadas por la DACC y llevarse a cabo en la forma autorizada. Los objetivos y metas principales desde el enfoque financiero y de factor humano, están constituidos a través del siguiente Balance Scorecard, que se obtuvo de la unidad de Planeación Financiera del Call-Center: Balanced Scorecard 2011 Misión: Ofrecer la mejor alternativa de crédito para nuestro segmento de mercado, a través de una atención personalizada de calidad y precio adecuado. Iniciativas claves Medición del Desempeño Pond 2011 ($ Millones) I. CONSTRUIR RELACIONES DE ALTO VALOR CON NUESTROS CLIENTES FINANCIERO 1.1. Inculcar cultura de pago puntual en nuestros clientes 1. Utilidad Neta de Operación 2010: -$ % -$ Implementar diversas alternativas de pago a fin de minimizar problemática de clientes 2. Indice de Productividad 2010: 67% 5.0% <= 67% 1.3. Atención cordial y oportuna, tanto en llamadas de salida como de entrada 3. Cartera Total 2010: $1, % $ Cartera Vencida / Cartera Total 2010: 29% 5.0% 22% 5. PCL's y Cartera Adquirida 2010: $302.5 MM 5.0% $257.8 MM 6. Recuperación de la Cartera 2010: 0.66% 5.0% 2.33% II. CRECER DE FORMA SOSTENIDA CON RENTABILIDAD 7. Indicador de cobranza 5.0% 2.1. Implementar estrategias dirigidas a dismunuir el % de cancelación por morosidad 2.2. Establecer altos niveles de calidad, productividad y eficiencia, en servicios de cobranza 2.3. Establecer estrategias dirigidas a la retención y recuperación de clientes III. ESTABLECER UNA RED MULTICANAL EFICIENTE, QUE RESPONDA A LAS NECESIDADES DE CADA SEGMENTO 3.1. Apalancarse en la red de sucursales para mejorar la comunicación con el cliente CLIENTE 1. % Abandono Inbound 4.0% 5% 2. % Promesas de pago Avg. 4.0% 80% 3. % Promesas de pago cumplidas Avg. 4.0% 30% IV. MEJORAR LA EFICIENCIA OPERATIVA Y LA PRODUCTIVIDAD 4. % Tasa de contacto Avg. 4.0% 15% 4.1. Mejorar medios y sistemas de comunicación entre los centros de cobranza 4.2. Aprovechar tecnologías, Recursos Humanos y Metodologias 4.3. Concluir el proceso de integración con la Filial 4.4. Mantener la productividad en la media de la industria OPERACIÓN 4.5. Mejorar la productividad del portafolio mediante la mejora en procesos y resultados operativos 1. Resolución de hallazgos de auditorias 4.0% Cumplir 3. Cobranza tarjetas morosas 4.0% Implementar 4. Cobranza de otros productos 3.0% Implementar V. FORTALECER EL CONTROL DE RIESGOS 5. Cobranza de buckets 1 a 3 4.0% Implementar 5.1. Mejorar retroalimentación a las áreas de crédito 6. Información de Buro de Credito para labor de cobranza 4.0% Implementar 5.2. Reforzar la recuperación de slados en cuentas canceladas 5.3. Asegurar las estrategias de cobranza preventiva FACTOR HUMANO 1. Evaluacion satisfactoria punto de vista (70%) 4.0% Cumplir VI. DESARROLLAR EL LIDERAZGO COMO UNA VENTAJA COMPETITIVA 2. Retroalimentacion continua 4.0% Cumplir 6.1. Aprovechar talentos dentro del área para crecimiento 3. Procesos de incentivos continuos 4.0% Cumplir 6.2. Crear culturas para compartir talentos y liderazgos 4. Capacitación continua 4.0% Cumplir 6.3 Apoyar en la implantación del Modelo de Liderazgo de la Filial Tabla Balance Scorecard del a Empresa 43

44 2.2.4 Productividad y Eficiencia Enfocados a Motivación y Competitividad La productividad y eficiencia de los ejecutivos es evaluada en forma diaria, con las cifras acumuladas de los indicadores principales del área como son, llamadas, contactos, mensajes, promesas de pago, promesas de pago cumplidas, dinero recuperado, tiempos escribiendo, en espera, hablando en el sistema, etc. A estos indicadores se les suman los resultados de las variables de recursos humanos para evaluar el desempeño (puntualidad, inasistencias, incumplimientos en el reglamento interno, etc.); se tomarán en cuenta los promedios diarios de cada operador, a fin de determinar a los de mejor y peor resultado del mes, a fin de otorgar un reconocimiento y reforzar la capacitación respectivamente de acuerdo a los porcentajes máximos de la siguiente tabla 2.3, del reconocimiento para la entrega compensación variable, tomada del Manual Interno de Procedimientos para Operación del Call-Center: Bucket TABLA DE RECONOCIMIENTO PARA LA ENTREGA DE BONOS DE GESTORES DE COBRANZA % de Gestores que obtienen bono % de Gestores que obtienen bono del 100% del salario % de Gestores que obtienen bono del 50% del salario % de Gestores que obtienen bono del 25% del salario % de Gestores que obtienen capacitación de refuerzo Front end 25% 5% 10% 10% 10% Mid Range 25% 5% 10% 10% 10% Hard Core 30% 5% 10% 15% 10% Skip 25% 5% 10% 10% 10% Visitadores 30% 5% 10% 15% 10% Scotiabank 25% 5% 10% 10% 10% Scotiabank Mora 25% 5% 10% 10% 10% Inbound 25% 5% 10% 10% 10% Comprada 25% 5% 10% 10% 10% T Leader 25% 5% 10% 10% 10% Uno de los indicadores de productividad relevantes para medición de la gestión de cobranza es la tasa de contacto (índice real de clientes contactados en base a las cuentas totales trabajadas), en promedio en un día normal de actividades se puede ilustrar con la siguiente tabla 2.4 del análisis de tasas de contacto, tomada del Manual Interno de Procedimientos para Operación del Call- Center: Análisis de Tasa de Contacto por Horario Horario "9:00 a 14:30" Mes Numero de Gestores Cuentas Trabajadas Numero de Contacto Tasa de Contacto Julio 33 46,951 7,886 17% Agosto 33 51,575 7,420 14% Septiembre 30 46,527 6,445 14% Octubre 31 53,074 6,662 13% Noviembre 31 50,736 6,440 13% Diciembre 32 50,882 7,073 14% Enero 31 53,874 6,365 12% Febrero 35 52,180 6,277 12% Marzo 28 25,074 3,294 13% Abril 23 38,356 4,811 13% Total 469,229 62,673 13% Horario "14:30 a 21:00" Mes Numero de Gestores Cuentas Trabajadas Numero de Contacto Tasa de Contacto Julio 14 19,165 2,774 14% Agosto 15 19,493 2,558 13% Septiembre 18 22,913 2,944 13% Octubre 19 31,682 3,929 12% Noviembre 17 27,774 3,059 11% Diciembre 22 36,548 4,701 13% Enero 22 38,760 4,607 12% Febrero 17 25,063 3,425 14% Marzo 16 11,726 1,975 17% Abril 13 19,416 3,036 16% Total 252,540 33,008 13% Horario "16:30 a 11:00" Mes Numero de Gestores Cuentas Trabajadas Numero de Contacto Tasa de Contacto Julio 13 22,584 4,008 18% Agosto 12 21,693 3,682 17% Septiembre 12 20,463 3,390 17% Octubre 10 18,591 3,082 17% Noviembre 11 15,492 2,193 14% Diciembre 7 10,042 1,143 11% Enero 8 12,730 1,249 10% Febrero 9 15,685 1,905 12% Marzo 11 8,324 1,190 14% Abril 10 16,100 2,416 15% Total 161,704 24,258 15% 44

45 2.2.5 Perfil del Negocio Operativo A continuación, de manera ilustrativa se muestra el flujo para el caso de la gestión general de cobranza, tomado de la presentación de Recursos Humanos, para capacitación de los gestores: Flujo 2.5 Procedimientos de Cobranza El flujo de cobranza de la figura 2.5, fue elaborado en base a las prácticas actuales implementadas por el Call-Center, como gestiones diarias de su operación. 45

46 La operación en el caso de gestiones de cobranza, a detalle por facultad de actividades, se muestra en el siguiente flujo grama 2.6: INICIO Ciclo de los sistemas relacionados con la Cobranza. (proceso diario) TSYS, registra y proporciona las bases de datos de la cartera de crédito para realizar la cobranza. 1 Mensualmente, en base a los saldos de la cartera de crédito y un capacity plan, el Director Cobranza (DC), determina el número de Gestores que participaran en cada Gerencia. Las Gerencias, en base a sus estrategias, proyectos o campañas determinan y/o se ponen de acuerdo respecto a los equipos, comunicando al DC para su autorización. Los Supervisores, elaboran un calendario (autorizado por el Gerente), que incluye la estrategia de cobranza, horarios y ID de los Gestores que atenderán las cuentas a recuperar, este plan lo envía a la GDC. La GDC, obtiene de los Gerentes y/ó Supervisores las estrategias ó campañas de cobranza, para ejecutarlas en el sistema Conversations. Dando acceso a los Gestores en las cuentas y equipos que se les asignan. Con el reporte diario de productividad, tanto el Supervisor como Gerente, determinan el proyecto ó campaña para gestionar la cobranza; y en base a las capacidades/ habilidades de cada gestor el equipo y tipo de cartera en los que puedan especializarse. Las estrategias son diseñadas por el Supervisor y autorizadas por el Gerente de manera, que existan las mismas oportunidades y condiciones para los gestores, de competitividad en sus objetivos de productividad. 1 BD por bucket de morosidad TSYS en interfase con CACS clasifica la información de acuerdo con su morosidad. CACS en interfase con Conversations, asigna a cada gestor las estrategías ó campañas para realizar la cobranza. La Gerencia Diseño Cobranza (GDC), diariamente obtiene del sistema CACS un inventario y estatus de las bases de datos de las carteras, el cual es proporcionado a cada Gerencia para que procedan a la administración de sus campañas para trabajar las cuentas. Los planes, campañas o estrategias de cobranza elaboradas por los Gerentes y autorizadas por la DC; son comunicadas a los Supervisores correspondientes y GDC. Los Supervisores, determinan las cuentas que cada Gestor atenderá, apegándose al as estrategias y campañas determinadas por su Gerente. El Coordinador Mis Cobranza (CMC), diariamente obtiene de los sistemas CACS y Conversations, los reportes de eficiencia y productividad de la cobranza, que detallan el trabajo realizado a cada cuenta que realizó cada Gestor. El reporte es enviado a la DC y Gerencias. El reporte contiene información de cada gestor; de productividad: intentos, mensajes, contactos, promesas de pago, cuentas trabajadas y dinero cobrado. De eficiencia: timepos (logeado, hablando, escribiendo, etc). Ejemplo: El mismo número de cuentas, distribuyendo la misma facilidad ó dificultad de obtener alguna promesa de pago, y condiciones de la cartera. 46

47 De manera ilustrativa, a continuación se hace mención de los principales pilares de operación, en la siguiente figura 2.7, tomado de la presentación de Recursos Humanos, para capacitación de los gestores: 9 Pasos de la gestión Scripts de Seguimiento Modelo de negociación Mensaje dirigido Convertir al receptor del mensaje en un aliado Recordatorio de la promesa de pago Capacitación inicial de 3 semanas, teórica y práctica Capacitación mensual al 10% del staff Capacitación Continua MIS Reportes Gerenciales Scorecard Compensación Variable Sana competencia Indicadores de productividad, eficiencia, calidad y disciplina Incentivo del 20% al 30% de l staff Estrategias dirigidas correctamente 2 ó 3 veces a la semana Para todo el equipo Evaluación mensual y trimestral Coaching Evaluación Formal Políticas Clave de la Operación Indicadores de Productividad Para efectos de medición de la productividad del área, se elaboran y analizan reportes diarios, que contienen la información de la operación de cobranza, para determinar la productividad y eficiencia de la misma en términos de: Cuentas trabajadas, Contactos, Mensajes, Promesas de pago, Promesas de pago cumplidas, Dinero cobrado, Tiempos de trabajo, Flujos de cuentas en morosidad (Net Flow, mora dinámica, Is-was, net credit losses), Re-habilitación de cuentas morosas. Los reportes que contienen esa información son la tarjeta de puntuación de productividad de gestores (Collector Scorecard) y el reporte de indicadores. 47

48 Estados de cobranza La forma de segregar las cuentas por cobrar, es mediante las diferentes áreas funcionales y estados de cobranza que se elaboran dentro del sistema de cobranza, con la finalidad de que cada segregación sea priorizada para la gestión en función al nivel de riesgo, morosidad o actividad a realizar sobre las cuentas. Sin ser limitativa, la lista de los estados para cada edad de morosidad de cuentas para cobrar será: a) Cobranza normal por bucket b) Promesas de pago c) Promesas de pago para el día siguiente, para seguimiento d) Promesas de pago rotas del día anterior e) Saldos mayores f) Saldos menores g) Ilocalizables h) Aclaraciones i) Fraudes j) Trámites administrativos k) Cuentas en convenio, por tipo de arreglo l) Revisión del supervisor Reglas de marcación A fin de establecer los horarios de marcación dentro de las estrategias del sistema de marcación predictivo, se establece que esos horarios para el tipo de teléfonos serán los siguientes: Llamadas al teléfono de casa. Matutino Llamadas al teléfono de oficina. Mediodía y tardes Llamadas al teléfono de casa. Nocturno Llamadas a teléfonos celulares. Todo el día Llamadas a teléfonos de recados y referencias. Todo el día Esta combinación es llevada a cabo preferentemente y de acuerdo a los volúmenes de teléfonos para marcación diaria; y desde luego tomando en cuenta el orden de las cuentas por cobrar. Intensidad de la gestión de cobranza La intensidad de llamadas es de suma importancia para la gestión telefónica, y es determinada en forma mensual y diaria en función a los volúmenes de cuentas por cobrar y el número de gestores disponibles para hacer la labor de cobranza. Los 9 pasos de la gestión de cobranza Todas las cuentas gestionadas para cobranza deben ser cobradas a través del patrón de los nueve pasos, a menos que éstas hayan sido cobradas previamente y la siguiente gestión sea resultado de una promesa rota, pago parcial o seguimiento a una promesa. Los nueve pasos de la gestión de cobranza, tomados del Manual Interno de Procedimientos para Operación del Call-Center: 1. Saluda amablemente a quien conteste y Buenos Días, Luisa? (Sí) Es usted Luisa 48

49 asegúrate que hablas con el Cliente 2. Preséntate diciendo que le llama (Tu nombre) del Call-Center en relación a su cuenta 3. Hacer una PAUSA y permite que el cliente explique por qué no realizo su pago 4. Si no hay reacción del cliente, indícale el atraso y el monto vencido, y solicita el pago inmediato 5. Si el cliente no puede o no quiere pagar el monto solicitado intenta averiguar la causa de la imposibilidad para pagar y escucha atentamente Martínez? (Sí) Sra. Martínez, Le habla Eduardo Rodríguez del Call-Center en relación a su cuenta. (PAUSA DE 3 SEGUNDOS) Sra. Martínez, nosotros necesitamos un pago por la cantidad de 450 el día de hoy para poner su cuenta al corriente. Sra. Martínez, Ha tenido usted un gasto o evento inesperado que no le ha permitido hacer sus pagos? Negocia un arreglo de pago satisfactorio Asegura la promesa y confirma el arreglo de pago Verifica la información de la cuenta del cliente Agradece al cliente Si usted no puede hacer el pago total vencido, entonces... Entonces, vamos a confirmar nuestro arreglo de pago: Usted realizará un pago de $ 200 pesos en Bancomer el día de mañana antes de las 2:00 de la tarde, y otros $ 400 pesos... Sra. Martínez, Está usted recibiendo sus estados de cuenta? Cuál es su número de teléfono de su casa/trabajo? Cuál es su número de teléfono celular? Muchas gracias, Sra. Martínez. Que tenga buen día. Escalamiento El proceso de escalamiento, es la responsabilidad que tiene el gestor y el Líder de Equipo para poder transferir una llamada a su Supervisor para que la termine con una mejor respuesta por parte del cliente. Este proceso puede ser ejecutado de acuerdo a una estrategia de cobranza o por decisión del gestor como se describe a continuación: En el área de cobranza se debe hacer el escalamiento de llamadas cuando hay una negativa o imposibilidad de pago por parte del cliente, y entonces el Gestor tiene como obligación transferir esta llamada al Líder de Equipo o Supervisor. También, existe la obligación de escalar la llamada cuando un cliente ya rompió dos veces una promesa de pago en forma consecutiva, y en el siguiente contacto, el Líder de Equipo debe hacer mención a la seriedad del compromiso. Cada vez que un Gestor escale una llamada, debe hacer mención al cliente de que va a transferir esa llamada a su Gerente. 49

50 Alternamiento Para las cuentas que no sean trabajadas por medio del sistema de marcación predictivo y que por lo tanto se trabajan en forma manual, cada vez que algún Gestor en el transcurso del día intente contactar al cliente para la gestión de cobranza, en todos los teléfonos que hay en el sistema y aún así no logre el contacto o dejar mensaje con algún conocido del cliente, debe usar la opción de suspender la gestión y entonces la llamada será reprogramada para volver a salir en la fila de trabajo en un horario posterior para nuevos intentos en todos los teléfonos nuevamente, ya sea dentro del turno del mismo gestor o preferentemente en otro diferente. Programación de una llamada En aquellos casos en los que se intenta una llamada de cobranza y el gestor reciba información de que el cliente no se encuentra o no está disponible para tomar la llamada en ese momento, pero informa del horario de ese mismo día en que le puede localizar al cliente en ese teléfono, el gestor deberá programar la cuenta para que en el horario determinado por la información que se recibe, se intente nuevamente la llamada de gestión. Manejo y obtención de la promesa de pago En los casos donde el cliente sea contactado, se intentará obtener una promesa de pago, y necesariamente se tratará de obtener esa promesa de pago por el total del pago mínimo generado en el mes, más el vencido, estrictamente para hoy o para mañana y así regularizar la cuenta, e informar el sobregiro en su caso y requerir el pago del mismo. En ningún caso el Gestor debe aceptar una Promesa de Pago por una cantidad menor al importe correspondiente a los 2 pagos mínimos vencidos más antiguos, a menos que sea autorizado por el Líder de Equipo o el Supervisor, y para ello quedará la nota respectiva en el sistema, con el motivo de tal negociación. En todos aquellos casos en los cuales el cliente no pueda hacer un pago por la cantidad requerida, el gestor debe negociar un acuerdo de pagos con el cliente, mismo que no debe rebasar un periodo mayor a 30 días o bien que los pagos sean efectuados inmediatamente después de su fecha límite de pago. En todos los casos el término para realizar el primer o único pago de la promesa, no debe ser mayor a 5 días y máximo 3 más de hold date en función al lugar de pago por el desfase de la llegada del pago al sistema; si el cliente solicita una extensión mayor de tiempo o rebasa la fecha de corte de la cuenta, debe ser manejado como un escalamiento y en todos los casos con autorización del Líder de Equipo. La única persona que tiene la facultad para hacer una promesa de pago es el tarjetahabiente o bien aquella que manifieste ser la responsable de los pagos de la cuenta. En todos los casos la promesa de pago debe contar con la siguiente información: a) Códigos de acción y resultado b) Persona con la que se obtiene el contacto c) Cuánto estará pagando d) En donde estará pagando e) A qué hora estará pagando, usando (antes de X hora del día) f) Razón de mora g) Arreglo de pago posterior, en caso de ser necesario h) Teléfono de contacto i) Que está pagando (Cuota o sobregiro, etc.) j) Fecha de pago 50

51 k) Hold date. Tal información es estrictamente necesaria para el proceso de seguimiento. Seguimiento de la promesa de pago A fin de asegurar el cumplimiento de las promesas de pago, es estrictamente necesario hacer un seguimiento a cada una de ellas. El seguimiento debe de hacerse como mínimo con una llamada telefónica, esto será el día anterior al pago para recordatorio de este, el día en que se comprometió el pago y de no haberlo encontrado al día siguiente, aplicando los scripts elaborados especialmente para tal actividad. Este tipo de gestión deberá tener prioridad diaria a la demás gestión de cobranza. Resultado de la llamada El Gestor de cobranza entra en el estado correspondiente o recibe la llamada por el sistema de marcación predictivo para hacer la labor de cobranza, y como resultado de este trabajo se deberá ingresar un código de acción y uno de resultado tales como llamada a casa, oficina, celular, etc. mensaje en contestadora o con un tercero, contacto, no conocen al cliente, ya pago, promesa de pago, negativa de pago, etc.; con la nota respectiva. El Gestor tiene siempre la obligación de intentar localizar y hablar con el cliente y, en caso de que éste trabaje por medio del sistema de marcación predictivo, puede hacer llamadas manuales siempre y cuando tenga por informes de las llamadas anteriores, una alta posibilidad del lugar de contacto del cliente en ese momento, en caso de que el gestor no trabaje por medio del sistema de marcación, tiene la obligación de intentar en todos los teléfonos disponibles. Finalmente el objetivo siempre será tener contacto con el cliente para negociar con él un arreglo de pago que en el periodo del ciclo, regularice la cuenta para que se ponga al corriente, o como mínimo para disminuir la edad de morosidad como mínimo en un Bucket; esto es, el pago para el ciclo, a negociar mínimo debe de ser por los dos pagos vencidos más antiguos Características de Recursos Humanos De las variables fundamentales para mi estudio, se encuentra el factor humano, continuando con la Compañía de ejemplo describiré las condiciones y características principales en materia de recursos humanos, que se mencionaron en la estructura organizacional, los cuales se encuentran segregados de la siguiente manera: 35 Supervisores/ Subgerentes, 155 Team Leaders/ Analistas y 621 Ejecutivos de cobranza y de atención ó seguimiento a aclaraciones de los clientes. En el caso de los Team leaders y Gestores de cobranza se encuentran segregados en 2 horarios (matutino y vespertino). En la siguiente tabla 2.8, de manera resumida se enuncia la información promedio principal y características, correspondientes a la plantilla operativa del Call-Center, realizada mediante consultas e información obtenida de la Unidad de Recursos Humanos: 51

52 Puesto Responsabilidades # de Plantilla % Sueldo A B C D E F G H I J K L M N O Supervisor/ Subgerente 1. Supervisar, entrenar, evaluar y retroalimentar la posición de Líder de Equipo de Cobranza y/ó gestiones de aclaraciones. 2. Atender llamadas escaladas por su Líder de Equipo. 3. Definir e implementar estrategias para la mejora de procesos. 4. Elaborar reportes derivados del área de Cobranza. 5. Revisar y trabajar en los resultados su operación. E S T A D I S T I C A S G E N E R A L E S*** 35 4% 14, % 0% 100% 25% 0% 100% 10% 90% 0% 100% 11% 33% 50% 50% 100% TeamLeader/ Analistas Ejecutivos 1. Aplicar evaluación de coaching y evaluación formal al equipo. 2. Retroalimentación a ejecutivos. 3. Mantener un alto grado de motivación en los gestores de cobranza. 1.Efectuar llamadas telefónicas para conseguir información de localización de clientes, verificación de teléfonos y cobranza; dar seguimiento a gestiones de aclaraciones % 10, % 0% 100% 25% 0% 100% 70% 30% 0% 0% 5% 61% 3% 97% 100% % 6,444 96% 4% 81% 25% 78% 100% 78% 10% 6% 16% 10% 55% 8% 92% 100% % Tabla Características, Correspondientes a la Plantilla Operativa del Call-Center A= Planta B= Eventuales C= Prestasiones de Ley D= Plan Compensación Variable E= Medio Tiempo F= Rotación de Turno G= Estudiante H= Profesionista I= Educación Basica J= Disponibilidad para mobilidad K= Hombres L= Mujeres M= Casados N= Solteros O= Horario mixto (rotación) 52

53 Es importante mencionar que las características de contratación varían dependiendo del puesto: En el caso de los Supervisores y Team-leaders, estos son contratados de planta desde su ingreso a la empresa. Para los Ejecutivos, estos de contratan eventualmente y en un lapso de 3 meses dependiendo su productividad se les asigna la planta en la empresa. Antigüedad de Personal La antigüedad de personal a abril 2011 se describe a continuación en la grafica 2.9, esta información fue tomada bajo información oficial de Recursos Humanos del Call-Center, durante el trabajo de campo: ANTIGÜEDAD DE PERSONAL 74, 9% 407, 49% 141, 17% 208, 25% 1 a 3 meses 3 a 6 meses 6 a 12 meses + 1 año Normatividad del Centro Operativo El Call-Center tiene implementadas las siguientes normas, con el fin de de regular el buen funcionamiento de la operación y la sana convivencia del personal. ASISTENCIA Y PUNTUALIDAD 1. Es obligación de todo el personal del área el cumplimiento estricto de los horarios establecidos 2. Las horas de entrada serán puntuales, por lo tanto, cada minuto no autorizado o injustificado fuera del horario establecido, será considerado como retraso 3. Cualquier retraso injustificado por un lapso mayor de 20 minutos será sancionado con la suspensión de labores de ese día, y se aplicarán las medidas de una inasistencia laboral 4. Cualquier cambio temporal de horario, deberá ser autorizado por el Gerente del área 5. Cualquier cambio definitivo del horario de trabajo, deberá ser autorizado por el Gerente del área y solamente al inicio de cada mes 6. Cualquier permiso de ausencia, retiro de labores o de retardo, deberá ser autorizado por el Gerente del área 53

54 7. Cualquier visita para atención al servicio médico, deberá ser autorizado por algún supervisor del área del trabajador 8. Únicamente se aceptarán como justificantes médicos o incapacidades, los autorizados por el área de Recursos Humanos (Ver política de Administración Interna) 9. Es obligación del empleado avisar a su supervisor cualquier inasistencia o retardo a sus labores; y en su oportunidad justificarlas con ellos mismos 10. Cada 3 retardos tienen como consecuencia la suspensión de un día de labores, que será elegido por el supervisor de acuerdo a las cargas de trabajo faltas injustificadas causarán rescisión del contrato laboral 12. Los momentos para descanso serán definidos por sus supervisores y serán respetados de manera estricta a fin de evitar afectaciones a la operación NORMAS DE CONDUCTA 1. Está prohibido fumar y consumir alcohol o drogas dentro de las instalaciones del centro operativo 2. Está prohibido el uso de teléfonos celulares dentro del centro operativo en horarios laborales 3. Los operadores y Team Leaders solo podrán hacer llamadas telefónicas personales, en los teléfonos de sus supervisores y con autorización previa 4. No se podrá llevar a cabo ninguna actividad de tipo comercial o de entretenimiento dentro del call center (Ventas, rifas, sorteos, tandas, etc.) 5. No se podrán llevar a cabo ningún tipo de reuniones que no estén autorizadas por los supervisores y que no tengan relación con el trabajo 6. Está prohibido ingerir cualquier clase de alimentos dentro del centro operativo 7. Se permite ingerir bebidas dentro del centro operativo, siempre y cuando sea en los recipientes autorizados 8. Todos los empleados deben tener una conducta honorable, lenguaje y trato educado y respetuoso con clientes, supervisores y compañeros de trabajo 9. Es responsabilidad de cada empleado tener un buen cuidado de su imagen, vestimenta y aseo personal en el centro operativo 10. Cada empleado tiene derecho a recibir un trato digno y respetuoso de sus supervisores 11. Se prohíbe la promoción de preferencias ideológicas, políticas y sexuales dentro del centro operativo 12. Cualquier operador deberá pedir autorización a su supervisor para levantarse de su estación de trabajo 13. Cualquier empleado deberá avisar a su supervisor cuando se ausente de su estación de trabajo 14. Todo empleado está obligado a seguir las reglas de vestimenta y apariencia personal que determine el área de Recursos Humanos 15. Todo empleado debe mantener posturas adecuadas en la estación de trabajo 16. No se permite realizar actividades que no se relacionen con su labor, dentro del centro operativo, tales como, leer periódico o revistas, tejer, bordar, hacer tareas escolares, etc. 17. No se permite recibir visitas personales dentro del centro operativo 54

55 CONTINUIDAD DE LA OPERACIÓN 1. Es obligatorio el uso de lockers para guardar pertenencias personales antes del inicio de las labores 2. Cualquier daño causado al mobiliario o instalaciones del call center que no sea ocasionado por el uso normal, será cubierto por el empleado 3. Es obligación del empleado mantener limpio su lugar de trabajo 4. Las herramientas de trabajo solo deberán ser usadas para el desempeño de sus funciones 5. No se podrán personalizar las estaciones de trabajo, es decir, solo se podrá pegar información respecto a sus funciones 6. Las claves de acceso a las computadoras y sistemas son de uso personal e intransferibles, por lo que cada empleado es responsable del uso que se les dé 7. Está prohibida la salida de información y equipo del centro operativo, a menos que se tenga autorización por escrito de un supervisor y sea informada al área de seguridad 8. Todo empleado tiene derecho a aplicar para las diferentes vacantes que sean publicadas en el centro operativo; siempre y cuando cumplan con el perfil y requisitos establecidos para esas vacantes 9. Todos los empleados deben mantener niveles de voz adecuados, para no interferir en el trabajo de los demás 10. Todo empleado está obligado a cumplir con las disposiciones e instrucciones laborales de sus supervisores, aunque estos no sean sus jefes directos 11. Cualquier interrupción de la operación o tecnología del centro operativo debe ser comunicado en forma inmediata a los supervisores 12. Los operadores no podrán ingresar al centro operativo fuera de sus horarios laborales, sin la autorización del Gerente del área ASISTENCIA A CURSOS Y REUNIONES 1. Cada empleado tiene la obligación de asistir en forma puntual dentro de sus horarios laborales a las diferentes capacitaciones y reuniones de trabajo programadas por su supervisor 2. Todo empleado está obligado a presentar las evaluaciones que les sean requeridas respecto al desempeño de su labor o a las capacitaciones proporcionadas y obtener evaluaciones satisfactorias (mejor de 80%) SANCIONES 1. El incumplimiento a las disposiciones del presente reglamento será sancionado según la gravedad de la falta, con las siguientes medidas: a. Amonestación Verbal, b. Ticket con impacto en la evaluación diaria de desempeño, c. Acta Administrativa enviada a su expediente de Recursos Humanos, d. Puesta a disposición de Recursos Humanos para la sanción correspondiente. 2. Cualquier sanción de las mencionadas deberá integrarse al expediente de cada empleado para ser tomada en cuenta en procedimientos internos 55

56 CAPÍTULO III Diagnóstico a la Situación Organizacional y Operativa de la Empresa En este capítulo, una vez explicados los aspectos y características generales de la empresa, se busca analizar y evidenciar la necesidad del estudio del riesgo operacional en los negocios; es decir en esta sección se pretende revelar uno de los fundamentos que sustentan este trabajo, el cual fue una auditoria que se realizó de manera interna sobre las prácticas, funciones, responsabilidades y gestiones operativas del Call-Center. En los resultados se pueden observar los impactos que llegasen a ocurrir, derivado de la mala identificación, evaluación y manejo del riesgo operativo, mismos que posteriormente tomaremos de base para visualizar e implementar un esquema y/ó modelo que permita la administración de los mismos. A continuación se menciona el resultado del diagnóstico realizado a la operación del Call-Center: Como antecedente, la revisión se llevó a cabo en octubre de 2012 y tuvo como objetivo la revisión y validación de los controles implementados por la administración del Call-Center (CC), mismo que aseguren la efectividad de sus procesos operativos. La estructura del diagnóstico incluye: I) Alcance de la Revisión, II) Conclusión General, III) Resumen de Observaciones, y el IV) Calificaciones del Proceso por Componente COSO. 3.1 ALCANCE DE LA REVISIÓN La revisión se centró en los procesos y controles establecidos para la recepción, administración y atención de los clientes y/ó usuarios del CC, los procesos revisados fueron: Cumplimiento de requerimientos regulatorios, Determinación de quebrantos Seguridad lógica Registros contables Actividades de supervisión y análisis al ambiente de control. La auditoría se realizó usando el marco de control interno conocido como COSO (Committee of Sponsoring Organizations of the Treadway Commission), el cual es una norma internacional. 3.2 CONCLUSIÓN GENERAL DEL DIAGNÓSTICO La conclusión y opinión de los auditores sobre los procesos operativos del CC fueron negativos, haciendo referencia a que la eficiencia y efectividad de los controles internos establecidos para administración y gestiones operativas del CC, eran insatisfactorios. La opinión de los auditores se basó en los siguientes aspectos de mejora: Los procedimientos establecidos para la administración del CC, presentan debilidades en las actividades de supervisión y control para garantizar su correcto funcionamiento, específicamente para la administración y conciliación de su operativa vs sus aplicativos contables, lo que propicia pérdidas financieras que afectan los resultados de la empresa. Así mismo esta falta de supervisión 56

57 y control se ha visto reflejada en errores operativos por parte del personal del CC, adicional al riesgo reputacional y de sanciones por parte de la autoridad a las que podrían hacerse acreedores. Derivado de errores operativos en la contabilidad, se han presentado impactos fiscales pagando indebidamente impuestos por aproximadamente MXN$ 47 millones en Se identificaron debilidades en el ambiente de control en cuanto a la supervisión y autorización del tiempo extraordinario; personal de la empresa de tercerización que firma descripciones de puestos en el formato de la empresa, esto puede generar relación laboral y conflictos laborales con el personal. 3.3 RESUMEN DE OBSERVACIONES Se identificaron 5 observaciones de riesgo relevante para el CC, las cuales se mencionan a continuación: # Descripción de Observación Nivel de Riesgo Responsable de Solución Fecha Esperada de Solución 1 Pérdidas Operativas Alto Dir Call Center Octubre, 2013 Personal del Call Center (ó CC de ahora en adelante) no realiza las actividades necesarias para la aclaración de transacciones de tarjetas no reconocidas por los clientes, lo cual ha generado pérdidas que la empresa tiene que absorber. 2 Errores Operativos Se identificaron errores operativos respecto a: generación de más de un folio para la misma aclaración, abonos duplicados por cargos no reconocidos y falta de documentación en los expedientes. 3 Partidas Antiguas Falta de supervisión para la eliminación oportuna de partidas por transacciones pendientes, existen partidas hasta con antigüedad de 400 días. Alto Dir Call Center Septiembre, 2013 Alto Dir Call Center Septiembre,

58 # Descripción de Observación Nivel de Riesgo Responsable de Solución Fecha Esperada de Solución Impactos Fiscales y Contables Alto Dir Call Center Agosto, 2013 Se observaron errores en el registro para gastos por aclaraciones de clientes, los cuales tuvieron efectos fiscales y contables, ya que se pagó de manera injustificada impuesto de MXN$ 21 millones. 4 Conciliaciones Alto Dir Call Center Diciembre, 2013 No realizan procesos de conciliación diarios de las solicitudes de clientes para atención y seguimiento contra el aplicativo que gestiona y mantiene el control de los folios. 5 Ambiente de control Alto Dir Call Center Diciembre, 2013 Autorización de Tiempo Extraordinario: Existen debilidades en el proceso de autorización y supervisión de pago de tiempo extraordinario. Evaluaciones de Desempeño: No se llevó a cabo el proceso anual de evaluaciones de desempeño en apego a las políticas vigentes. Estructura Organizacional: La estructura del CC se encuentra desactualizada y presenta diferencias y puestos vacantes no considerados por la Recursos Humanos. Descripciones de puestos: Existe personal que realiza funciones distintas a las establecidas en su perfil y descripción de puesto. 58

59 3.4 CALIFICACIONES DEL PROCESO POR COMPONENTE COSO Componente COSO Ambiente de Control Estructura Organizacional Calificación Control Interno 2 Auditoria Actual 5B 4B Auditoria Previa NA Evaluación del Control El ambiente de control es la parte central de una organización y establece el tono a influir en la conciencia del control de sus empleados. Son los cimientos de todos los componentes de control e influye en la forma en que los objetivos son establecidos, los riesgos son evaluados y los controles son estructurados y se hacen cumplir. La efectividad y eficiencia del ambiente de control tiene influencia de la cultura organizacional, el estilo operacional de la Administración y de la competencia de la Gerencia/Dirección y personal. También cubre el diseño organizacional, la delegación de autoridad y responsabilidad y las Políticas y Procedimientos de Recursos Humanos. El proceso de actualización de la estructura organizacional requiere mejorar, debido a: La estructura oficial no es la que realmente está operando en el área. Aún y cuando en la estructura se observan adecuados niveles de supervisión y tramos de control, de acuerdo a los flujos que se elaboraron así como a las pruebas realizadas, las actividades de supervisión no son suficientes, o en algunos casos no existen. El control del personal que se tiene en el área difiere de la nómina reportada por Recursos Humanos, identificando una diferencia de 8 personas y 25 puestos vacantes, mismos que la Dir Call Center (DCC) no tenía registrados. Asignación de niveles de autoridad y responsabilidad 4B El proceso de elaboración y actualización de descripciones de puestos (DP s) requiere mejorar debido a: El personal de tercerización cuenta con DP s firmadas en formato para personal del CC, lo cual representa un riesgo al establecer una relación laboral con personal de tercerización. 1 Las evaluaciones de control interno se basan en los principios establecidos en el Marco de Control Interno (COSO - Committee of Sponsoring Organizations of the Treadway Commission) 2 Se utiliza una estructura de calificación dividida en dos partes para comunicar nuestra opinión sobre la situación de los controles internos; una calificación numérica representando la condición evaluada de controles internos en una escala de 3 a 5 (3: Satisfactorio, 4: Necesita Mejorar y 5: Insatisfactorio); y una calificación alfabética que refleja la tendencia evaluada de los controles internos en una escala de A a C (A: Mejorando, B: Estable y C: Deteriorando). 59

60 Componente COSO 1 Calificación Control Interno 2 Auditoria Actual Auditoria Previa Evaluación del Control Existe personal realizando funciones distintas a su puesto, las cuales no están documentadas, se identificaron dos Líderes de Equipo, realizando funciones relacionadas con el seguimiento y eliminación de partidas por transacciones que se generan de la función de aclaraciones de clientes. Las descripciones de puestos con personal a su cargo, no contienen actividades y responsabilidades de supervisión específicas, la que contiene es muy general. Las DP s presentan errores o falta de información como: clave del puesto, puestos que le reportan o al que reporta, nombre del área a la que pertenece, entre otras. Evaluaciones de Desempeño 5B El proceso de evaluaciones de desempeño en la DCC es insatisfactorio, ya que se identificó lo siguiente: No se realizaron las sesiones de retroalimentación a todo el personal que correspondía. En 12 evaluaciones de personal con más de 9 meses en la empresa/área, los formatos carecen de los comentarios correspondientes a la evaluación semestral (abril 2012), por lo que no es posible asegurar que dicho proceso se haya llevado a cabo. Empleados inconformes debido a que no tuvieron reunión de retroalimentación, por lo que desconocen la calificación a su desempeño con base en la cual se determinó si eran o no acreedores a pago de bono Los formatos carecen de: firma del jefe inmediato y/o del segundo supervisor, comentarios de retroalimentación y calificación semestral y/o anual por parte de empleado y/o del jefe. Programa de vacaciones 3B La administración y control de cumplimiento del programa anual de vacaciones es adecuado: Sólo el 17.5% del personal está cumpliendo su primer año de servicio y/o es personal con antigüedad mayor, por lo que están en tiempo para gozar su periodo vacacional. 60

61 Componente COSO 1 Pago de Tiempo Extraordinario Calificación Control Interno 2 Auditoria Actual 5C Auditoria Previa Evaluación del Control Sólo se recomienda revisar los formatos de autorización de vacaciones ya que se identificaron algunos errores en el año al que corresponde el periodo de vacaciones. Respecto al rol de sustitución este se encuentra establecido para los puestos clave (Director, Gerente, Supervisor y Líder Equipo), sólo se identifican 4 puestos de supervisión sin reemplazo y para un Gerente su reemplazo son analistas. El proceso para determinar y autorizar el pago de horas extraordinarias es inefectivo, se identificó: Días pagados sin existir soporte de que el empleado asistió/ingreso al área. Empleados que laboran por más de 13 horas y/ó doblan horario, sin pagarles el total de horas extra laboradas. Empleados que laboran por tiempo menor a su jornada diaria (10 horas) y se les está pagando por tiempo extraordinario. Las solicitudes para el pago de jornada extraordinaria, carecen de la firma del Director del área en señal de autorización. Las listas de asistencia, no integran al total del personal del área, no se aseguran que todo el personal se registre, omiten indicar si la falta de registro se debe a ausencia por vacaciones, incapacidad o permiso, el proceso de destrucción se realiza de manera semestral por lo que ya no se cuenta con listas de los primeros 7 meses del año 2012 y los listados no son firmados por los Gerentes y/o supervisores como señal de supervisión. Plan de Continuidad del Negocio (BCP) 3B El proceso de elaboración y actualización del BCP del CC es efectivo, el nivel de criticidad asignado es adecuado para asegurar la continuidad en la atención oportuna de las aclaraciones de clientes, así mismo es del conocimiento del personal, sólo se recomienda actualizar el listado de empleados así como las listas de chequeo. 61

62 Componente COSO Evaluación de Riesgos Autoevaluación del Cumplimiento Establecimiento de Objetivos Cumplimiento a requerimientos oficiales Calificación Control Interno 2 Auditoria Actual 5B 3B 5B 4B Auditoria Previa NA Evaluación del Control La evaluación de riesgos consiste en la identificación y análisis inmediato de los riesgos que influyen en el logro de los objetivos de negocio y en la formulación de las bases para determinar cómo deberían administrarse los riesgos. Debido a que las condiciones económicas, de la industria, regulatorias y operativas seguirán cambiando, se requiere de mecanismos que permitan identificar y enfrentar los riesgos asociados con el cambio. El proceso de autoevaluación de riesgos es adecuado, fueron identificados los principales riesgos y de manera general se están tomando acciones para mitigarlos, no obstante de manera independiente se emitirán las observaciones correspondientes sobre los riesgos que se identificaron como resultado de la auditoria, en el proceso de aclaraciones de clientes para la implementación de acciones necesarias. El proceso de establecimiento de objetivos fue completado, sin embargo su cumplimiento es inefectivo, ninguno de los objetivos fue atendido en su totalidad de acuerdo a lo establecido en el Balance Score Card actual de la DCC. El cumplimiento de requerimientos oficiales requiere mejorar debido a que se identificó: El proceso actual para la elaboración del reporte R27 es manual, utilizando una hoja de cálculo Excel, para poder integrar el total de información requerida por la autoridad. Dependencia de personal para la elaboración del R27, debido a que un solo empleado se encarga de la elaboración, integración, validación y entrega al área de Información oficial para su envío a la autoridad. El procedimiento para la realización, elaboración del R27 hasta su entrega, no se encuentra debidamente documentado ni formalizado. 62

63 Componente COSO Actividades de Control Políticas y procedimientos Calificación Control Interno 2 Auditoria Actual 4B 4B Auditoria Previa NA Evaluación del Control Las actividades de control representan las políticas y procedimientos que permiten asegurar el cumplimiento de las directivas de la Administración y que se estén tomando las medidas necesarias para enfrentar los riesgos que afectan al logro de los objetivos de la organización. Las actividades de control se presentan en todos los niveles y funciones de la organización. El proceso de elaboración y actualización de Políticas y procedimientos requiere mejorar: Se identificaron procedimientos que no han sido documentados, entre ellos las facultades operativas para la autorización de operaciones. Y los procedimientos que actualmente se encuentran publicados requieren ser actualizados respecto a la operación real, puestos oficiales, segregación de funciones y rutinas de supervisión. Registro contable 5B El proceso de registro contable es infectivo, debido a que se identificaron debilidades como: Falta de conciliación diaria o mensual de los saldos registrados en las cuentas de resultados. La conciliación de saldos de cuentas activas y pasivas solo la realizan 2 veces al mes por los movimientos registrados los días 15 y 30. No se apegan a la política de transacción exprés por saldo menor para el caso de las pérdidas operativas. Falta de control para evitar realizar más de dos bonificaciones al año por saldo menor a los clientes. Impactos fiscales derivados de errores en la estimación, registro, seguimiento y eliminación de partidas por transacciones, provocando el pago indebido de impuestos por MXN$ 47 millones por el ejercicio

64 Componente COSO 1 Calificación Control Interno 2 Auditoria Actual Auditoria Previa Evaluación del Control De acuerdo a lo observado durante las entrevistas con el personal, el proceso de seguridad lógica es efectivo: Seguridad lógica Información y Comunicación 3B 4B NA Los aplicativos externos cuentan con accesos personalizados y los aplicativos internos son administrados por el área Operativa de Seguridad Informática. Confirmamos que el personal asignado a la DCC a octubre de 2012, contaba con los accesos necesarios para la operación de aclaraciones de clientes, a excepción del Director, quien sólo tenía acceso a los aplicativos internos generales para todos los empleados de la empresa. La información y comunicación representa la identificación, recopilación y difusión adecuada y oportuna de información interna y externa a fin de que el personal pueda cumplir con sus responsabilidades. Esto incluye comunicar claramente la importancia y seriedad de las responsabilidades de control a los empleados, proporcionándoles los medios para comunicar información relevante a la Administración. El proceso de elaboración y emisión de reportes gerenciales que se provee a la alta dirección requiere mejorar, debido a: Elaboración de reportes gerenciales 4B Existen errores en el detalle (en la fecha de atención y la fecha compromiso) de los soportes de dichos indicadores clave, lo que permite ver que carece de confiabilidad. Los resultados que se informan en los reportes/indicadores a la DCC y Alta Dirección, no es congruente con los resultados que emite la autoridad Monitoreo 5B NA El monitoreo evalúa la calidad de los sistemas de control y su capacidad para adaptarse a los cambios que puedan surgir. Esta evaluación puede desarrollarse a través de la combinación de actividades de monitoreo incorporadas en varios procesos o a través de evaluaciones independientes. Incluye la supervisión de la Gerencia/Dirección sobre la efectividad del diseño de la estructura de 64

65 Componente COSO 1 Supervisión gerencial Calificación Control Interno 2 Auditoria Actual 5B Auditoria Previa Evaluación del Control control interno propuesta en un contexto cambiante, la oportuna evaluación del diseño y operación de actividades de control y resolución y un adecuado reporte de deficiencias de control a un nivel jerárquico superior. Con base en las entrevistas realizadas, errores detectados y observaciones generadas de esta revisión, se considera que los procesos de supervisión son inefectivos en todos los niveles dentro de la DCC, debido a: Se carece de evidencia que garantice una supervisión efectiva a los procesos diarios de atención de aclaraciones de clientes, la supervisión aleatoria no asegura que las aclaraciones se atiendan en tiempo y forma. Se carece de rutinas de supervisión efectivas que permitan detectar errores operativos y que estos sean corregidos en tiempo, provocando un incremento en la aplicación de quebrantos sin soporte y por lo tanto en pérdidas para la empresa. Seguimiento y eliminación de partidas pendientes 5B De acuerdo a las pruebas que se realizaron al proceso de seguimiento y eliminación de partidas y/ó transacciones pendientes en la gestión de aclaración de clientes, se evalúa este proceso como inefectivo ya que se identificó que existe: Partidas por transacciones pendientes ó por atender, con antigüedad desde 11 días hasta 333 días en partidas deudoras. Partidas por transacciones pendientes ó por atender, con una antigüedad de 490 días en cuentas acreedoras. Falta de seguimiento oportuno e inmediato transacciones pendientes ó por atender. 65

66 Finalmente en la grafica 3.1., podemos observar claramente las debilidades en los procesos operativos del Call- Center, se muestra un resumen general de calificaciones por componente COSO en el cual se puede apreciar que los aspectos con más impacto desfavorable, están identificados en el ambiente de control, información, comunicación y monitoreo, por lo que la Administración tendrá que implementar medidas prioritarias para mitigación de riesgos operativos en áreas de oportunidad del Call-Center como son en: Asignación de autoridad roles y responsabilidades, evaluación de desempeño, pago extraordinario, establecimiento de objetivos, registro contable, supervisión general y mayor atención en las gestiones de las aclaraciones con clientes. Grafica 3.1. Calificaciones por componente COSO De las áreas de oportunidad, que se hizo énfasis en el párrafo anterior, que están identificadas ó agrupadas por componente COSO partiremos para proponer el modelo de gestión, identificación y evaluación del riesgo operativo que desarrollaremos en el siguiente capítulo. 66

67 CAPÍTULO IV Identificación y Evaluación del Riesgo Operacional, Sobre las Gestiones de la Empresa y Definición del Modelo En el capítulo anterior, a través del diagnóstico realizado al proceso operativo de la empresa, nos podemos percatar que en ocasiones las prioridades operativas de las empresas muchas veces no nos permiten tomar la conciencia o tiempo adecuado para evaluar o percatarnos de situaciones que ponen en riesgo las actividades del negocio, y los efectos a un mediano o largo plazo pueden ser altas pérdidas financieras o costos innecesarios. En complemento, en este capítulo implementaremos en base a los fundamentos teóricos expuestos en el capítulo 1, la manera de cómo podemos involucrar en nuestras gestiones, el hábito de prevenir y tomar acciones correctivas o mitigantes ante los principales factores de riesgo a los que están expuestos los procesos, con el fin de evitar una situación negativa que como ejemplo observamos en el diagnóstico expuesto del capítulo IMPLEMENTACIÓN DE UNA CULTURA DE RIESGOS Como parte fundamental, cada empresa debe de contar, tener implementado y formalizado, un adecuado Modelo de Gestión de Riesgos (MGR), a su vez que este sea motivado a su cumplimiento a través de los administradores o dueños de los procesos. El MGR puede estar estructurado de la siguiente manera, según la figura 4.1 edición propia bajo las mejores practicas para la implementación de un MGR: Gobierno de Riesgos Para visualizar el riesgo operacional, es importante que conozcamos primero cuál es el proceso general de gestión de riesgos. Apetito por el Riesgo Técnicas de Gestión de Riesgos Riesgos Financieros - Operativo - Reputacional - Ambiental CULTURA DE RIESGOS SOLIDA Figura Pirámide de la Cultura de Riesgos Gobierno de Riesgos.- La empresa debe contar con una estructura de riesgos bien establecida, que incluyan a la Junta Directiva de manera activa y comprometida, la cual se apoye en un equipo de Alta Dirección con experiencia y un grupo de gestión de riesgos centralizado, que motive a las áreas operativas en su implementación o reforzamiento. 67

68 Apetito por el Riesgo.- La empresa debe establecer pautas claras sobre el nivel y los tipos de riesgos que están dispuestos a asumir de manera conservadora. Técnicas de Gestión de Riesgos.- Son las herramientas que debe utilizar la empresa para administrar el riesgo. Se revisan y se actualizan periódicamente para que sean coherentes con las actividades de toma de riesgos y se adapten a las operaciones y las estrategias del negocio. Riesgos.- El riesgo operativo es uno de los riesgos que debemos administrar, al igual que los riesgos financieros, reputacional ó ambiental. 4.2 DEFINICIÓN DE LAS CATEGORIAS DEL RIESGO OPERATIVO Para efectos de este trabajo, el riesgo principal a estudiar es el riesgo operacional, del cual se han definido e inventariado de la siguiente manera, los principales tipos de riesgos operativos, mismos que podemos utilizar para la identificación, evaluación y gestiones en las unidades de la empresa: Categoría de Riesgo Definición Gestión de Continuidad en el Negocio Inhabilidad para restaurar de manera oportuna las operaciones de negocios después de un evento que haya causado su interrupción. Gestión del Cambio El cambio en los negocios no alcanzará los beneficios o resultados deseados debido a una gestión de proyectos, distribución de recursos, comunicación y coordinación ineficaces, o a una inadecuada consideración de los requisitos comerciales y reglamentarios. Clientes Falla en conocer a los clientes de la empresa, en atraer a nuevos clientes, en la gestión de servicio al cliente, y en retener relaciones rentables a largo plazo. Medioambiental Asuntos medioambientales que involucren a la empresa o sus clientes, los cuales podrían afectar el rendimiento. Estándares Éticos Riesgos resultantes de individuos (directores y empleados) con intereses directos o indirectos, sean estos reales, potenciales o percibidos, que sean contrapuestos o no alineados con los intereses de la empresa y/o sus clientes, o de fallas en actuar con integridad y de conformidad con los principios establecidos en las reglas para la conducta en los negocios de la empresa y sus políticas suplementarias. Fraude Externo y Criminalidad Actividades fraudulentas y otras de carácter delictivo perpetradas por terceras partes contra la empresa exponiéndolo a pérdidas financieras. Informes Financieros Errores que en forma individual o en combinación con otros, podrían resultar en errores significativos de los estados financieros. Fraude Interno Actividades fraudulentas perpetradas por empleados contra la empresa exponiéndola a pérdidas financieras. Legal La forma en la que la empresa conduce sus negocios podría resultar en demandas judiciales, multas, sanciones, o encarcelamiento de oficiales de la empresa, los cuales pueden perturbar o afectar sus operaciones, su condición financiera, o podrían resultar en contratos sin fuerza legal. Organización Ausencia de esfuerzo coordinado por parte de los diferentes miembros de una unidad para el logro de los objetivos, y para el buen funcionamiento del gobierno interno, de la estructura y de los roles y responsabilidades. Contratación Externa y Terceros como Proveedores de Servicios El proveedor de servicios falla en la provisión de los mismos o en su nivel de desempeño, con respecto a lo requerido para brindar un apoyo efectivo a la actividad de negocios correspondiente. Recursos Humanos Inhabilidad para atraer y retener empleados productivos y competentes que alcancen las expectativas institucionales de rendimiento y conducta. Privacidad Fallas en proteger la información personal confidencial personal y/o comercial de los clientes y en conducir las actividades de negocios de conformidad con las leyes de privacidad aplicables, reglamentos, políticas y procedimientos internos y estándares éticos esperados por los organismos reguladores, clientes, inversionistas y empleados. Procesos y Procedimientos Inhabilidad para garantizar el procesamiento confiable de las transacciones y el cumplimiento de las políticas y los procedimientos 68

69 Cumplimiento de Reglamentos Tecnología establecidos. Las actividades de negocios podrían no ser conducidas de conformidad con los reglamentos, políticas y procedimientos internos aplicables y estándares éticos esperados por los organismos reguladores, clientes, y empleados. Falla de los sistemas y servicios de información (tales como los sistemas de aplicación e infraestructuras de soporte tecnológico) para satisfacer los requerimientos del negocio de manera efectiva, eficiente y segura. Entonces de manera general, la identificación de debilidades por medio de categorías de riesgo en los procesos y posteriormente enfrentarlos con los componentes de control (en nuestro caso COSO), nos darían como resultado una escala o estimación del riesgo operativo (RO), y así surge el primer diagrama y esquema de la empresa propuesto para gestionar sus riesgos operativos, el cual es el siguiente esquema 4.2: 69