Ciberseguridad

LAS 7 CLASES DE RIESGO OPERATIVO

Clasificar los riesgos según la categoría a la que pertenecen permite identificarlos con mayor facilidad. Por eso, a continuación le presentamos las 7 clases de riesgo operativo que existen para que pueda reconocerlas dentro de su compañía.

1. Fraude interno

El robo, los sobornos o el incumplimiento de las regulaciones por parte de empleados directos o terceros vinculados contractualmente con su empresa son riesgos producidos por fraudes internos.

2. Fraude externo
Este tipo de riesgo se origina por la actuación de personas externas a la entidad. Pueden presentarse a través de robos, falsificaciones o ataques informáticos.

3.Fallas tecnológicas
Si su compañía se expone a fallos en los sistemas de cómputo, en el hardware o en el software de la empresa, debe identificar los riesgos que estos eventos generan.

4. Ejecución y gestión de procesos
Los errores en la gestión de procesos también implican un riesgo para su compañía. En este sentido, la captura de transacciones, el monitoreo, el reporte y la documentación de clientes, así como la gestión de cuentas deben ser evaluados para reconocer posibles riesgos operacionales.

5.Relaciones laborales y seguridad en el puesto de trabajo
Toda actuación que infrinja la legislación laboral y la seguridad en el trabajo puede generar un riesgo patente. Por eso, esté atento a posibles reclamaciones por daños personales o a casos de discriminación laboral dentro de la empresa.

6. Daños a activos materiales
Circunstancias fortuitas como incendios, terremotos, actos terroristas, entre otros, pueden poner en riesgo los activos físicos de su entidad, así que identifique los daños o perjuicios que estos eventos puedan ocasionar.

7. Clientes, productos y prácticas empresariales
Finalmente, esta última clase de riesgo operativo se refiere a actos como competencia desleal, perjuicios a los clientes e información engañosa sobre los productos, lo que puede implicar un riesgo de incumplimiento involuntario y negligente.

Aunque puede haber más de ellas, estas 7 categorías le ayudarán a obtener una efectiva gestión de los riesgos. Una vez estos sean identificados, recuerde medirlos, controlarlos y monitorearlos para que pueda implementar de manera adecuada las etapas establecidas en el Sistema de Administración de Riesgo Operativo (SARO).

GUÍA DE MÉTODOS PARA GESTIONAR EL RIESGO OPERATIVO

Un análisis del riesgo debe incluir todos los posibles eventos y pérdidas económicas que estas puedan causar. Una vez la compañía detecte amenazas, debe decidir si evitarlas o asumirlas, de acuerdo con el nivel de tolerancia y apetito de riesgo.

Las empresas que tracen sus objetivos y busquen el éxito, deberán unir esfuerzos para operar de manera eficaz y responsable por medio de la gobernanza, de lo contrario, pagará altos costos por los errores, tendrá poco análisis de riesgos, incapacidad para hacerles frente y dificultad para medir el desempeño de los mismos. Mientras que una buena gestión ayuda a mejores decisiones, a reducir impactos negativos, costos y operaciones.

CLAVES PARA IDENTIFICAR EL RIESGO OPERACIONAL

riesgo operativo

Todas las empresas deben trabajar en identificar sus riesgos y definir estrategias que permitan su evaluación, seguimiento y mitigación de manera oportuna. La gestión del riesgo operativo debe tener en cuenta los factores internos y externos que originan las amenazas.

Los internos se producen por la propia actividad comercial de la compañía, por ejemplo, una mala administración de caja o problemas en la producción; mientras que los externos son las condiciones políticas, económicas o sociales que afectan el desempeño de las empresas de un sector determinado o un país, como las crisis económicas, la inestabilidad de las tasas de cambio y las variaciones de una industria.

Aquí conocerá tres claves para identificar el riesgo operacional de su compañía, para que tome acciones oportunas y para que los impactos de esos posibles eventos no afecten los objetivos de su organización.

1. RECOJA INFORMACIÓN

La empresa debe identificar los factores de riesgo operacional a partir de la revisión de los procesos, de autoevaluaciones y análisis del país donde opera como el contexto económico, político, social y ambiental. Debe construir información tanto externa como interna, que le permita evaluar todas las amenazas.

2. CLASIFIQUE CADA RIESGO

La compañía debe clasificar los posibles riesgos, realizar un inventario de los mismos  para valorar y establecer el nivel de amenaza, así como las acciones que se van a implementar.  Se debe analizar el grado de probabilidad, impacto y ocurrencia de cada riesgo (alto, medio o bajo) e incluir indicadores tanto cuantitativos como cualitativos para evaluar periódicamente el perfil de riesgo operacional.

3. UTILICE HERRAMIENTAS TECNOLÓGICAS

Utilice un sotfware que le ayude a identificar las amenazas, tener alertas, mejorar el análisis, optimizar el monitoreo y visibilizar procesos internos. El software permite integrar todos los datos de la empresa, de esta forma, se unifica la información y se fomenta una cultura de gestión de riesgo. Ayuda a comprender mejor los procesos de la organización, además, este sistema actúa en tiempo real, lo que ayuda a controlar el riesgo, así como tomar decisiones y medidas oportunas.

¿CÓMO ELABORAR UN MAPA DE RIESGOS?

Un mapa se diseña para resaltar las problemáticas operacionales o financieras de la organización, hacer una supervisión y seguimiento de los procesos clave que pueden tener eventos negativos, así como exposiciones o amenazas para desarrollar estrategias con el objetivo de mitigar esos riesgos.

Estos son los pasos para construir un mapa de riesgos:

 1. COMITÉ DE RIESGOS

Lo primero que se debe hacer para diseñar un mapa de riesgos es nombrar un comité de riesgos con el fin de que este recoja información amplia y discriminada para comprender mejor las amenazas. Conformar ese equipo con perfiles competentes es es un compromiso de la alta dirección, de tal manera que debe nombrar  personal que se comprometa con la construcción del mapa.

2. IDENTIFICAR LOS RIESGOS

Para identificar los posibles riesgos, todas las áreas de la empresa deberán hacer un análisis de riesgos, que se interponen en su día a día o en el desarrollo de sus estrategias para lograr sus objetivos. Una vez se identifiquen todos, se deberá describir cada uno para conocer sus posibles consecuencias.

3. VALORAR LOS RIESGOS

Con base a la información que la organización obtuvo en la etapa de identificación, debe clasificar cada riesgo para valorarlos y establecer el nivel de impacto y las acciones que se van a implementar. Para este punto, se debe analizar con indicadores (alto, medio o bajo), el grado de probabilidad, el impacto y la ocurrencia de cada riesgo.

 4. MATRIZ DE PRIORIZACIÓN

Cuando el comité de riesgos clasifique las amenazas, basados en la probabilidad, ocurrencia e impacto que podría traer cada una, deberá elaborar una matriz de priorización para establecer cuáles requieren un tratamiento inmediato.

Aquí se analiza cada riesgo y se clasifica como alto (es muy factible que se presente), medio (factible) o bajo (muy poco factible) y se identifica el mapa con un color distinto alto (rojo), medio (amarillo) bajo (verde).

También se analiza si cada impacto puede ser interno o externo. Este mapa sirve para empezar a trabajar en los riesgos más urgentes y plantear estrategias para reducir sus impactos.

mapa de riesgos

FACTORES DE RIESGO OPERATIVO

El riesgo operacional podría causar pérdidas tanto económicas como humanas, por causa de errores, procesos internos inadecuados y fallas de los sistemas, así como de las personas.  Por ello, Cero le presenta los factores de riesgo operativo que las empresas deben tener en cuenta:

 1. RECURSOS HUMANOS

Si un empleado tiene acceso a transacciones que no son de su competencia, puede alterar información sensible o tener a su disposición datos confidenciales de los clientes y de la compañía, lo que puede resultar en fraudes, robos, secuestro de la información y sabotajes.

 2. FALTA DE SEGREGACIÓN DE FUNCIONES

Para que las responsabilidades de una o varias áreas de la compañía no recaigan en una sola persona, se deben separar las actividades. De ese modo, ningún funcionario debe gestionar todas las etapas de una transacción. Si no hay segregación de funciones, una persona podría acceder a transacciones para realizar acciones no autorizadas o fraudulentas.

3. ADMINISTRACIÓN DE USUARIOS Y CONTRASEÑAS

Si una persona accede a sistemas de información que son sensibles para la compañía o cuenta con acceso a usuarios o a contraseñas que no son de su responsabilidad, puede aumentarse el riesgo de pérdida de confidencialidad o exponer los datos a modificaciones no autorizadas.

4.FALLA EN LOS PROCESOS

Factores de riesgo operacional entran a transacciones registradas de forma incompleta, con información imprecisa o fuera del periodo contable correspondiente. Cuando se utiliza un formato incorrecto para ingresar los datos o se registran sin contrastar con los datos existentes, se pueden afectar de forma grave los registros contables.

LAS ETAPAS DE GESTIÓN DE RIESGO OPERATIVO

Todas las compañías tienen objetivos estratégicos diferentes, sin embargo, el nivel de exposición al riesgo varía de empresa a empresa. Aún así, el proceso de gestión de riesgo tiene cinco etapas básicas que determinan la madurez de la administración de riesgos de la entidad.

1. BASE TRADICIONAL

  1. En la primera etapa no existe una estructura formal para abordar los riesgos. Por ello, los gestores de riesgo actúan de manera independiente, al considerar que esas amenazas todo el tiempo están presentes.
  2. Como en esta etapa la cultura de riesgo no está difundida en todos los niveles de la empresa, hay una dependencia total de la calidad y la integridad de los funcionarios y accionistas para mantener un control adecuado de los eventos.

2. CONCIENTIZACIÓN

El  proceso de gestión de riesgo operativo es alcanzado por las empresas que establecen un área específica para gerenciar los riesgos. Aquí se definen políticas, responsabilidades y herramientas de apoyo.En esta fase, algunos de los recursos son: el mapeamiento de procesos para identificar riesgos y formalizar controles, estructuración del banco de datos del historial de pérdidas, diseño de indicadores de eficiencia y rentabilidad.

3. MONITOREO

En esta etapa se hace un seguimiento del nivel de riesgo actual y de la efectividad de las funciones de administración de riesgos. Tras identificar todas las amenazas, es importante interpretar su impacto en los procesos del negocio.

En esta fase, la gestión se descentraliza en todas las áreas de la organización y se afianza la cultura de riesgo.

Gestión del riesgo financiero

4. CUANTIFICACIÓN

Esta es una de las etapas donde la organización obtiene una mayor madurez porque la institución ya cuenta con una mejor comprensión de cuál es su situación frente a la exposición al riesgo operativo.

5. INTEGRACIÓN

En la quinta etapa, la empresa ya habrá orientado el proceso de desarrollo de la gestión del riesgo operativo, según los lineamientos de los organismos de control y cumple con los requisitos establecidos por el Comité de Basilea.

FUENTE: riesgoscero.com