¿Qué se entiende por riesgo operativo en una organización?

La gestión de riesgos

El riesgo operativo puede definirse, a grandes rasgos, como la posibilidad que tiene una compañía, empresa o organización de sufrir pérdidas de carácter financiero por diversas causas. Para evitar estos riesgos o minimizar sus consecuencias es recomendable poner en marcha un Sistema de Gestión de Riesgos basado en ISO 31000 para poder hacer frente con mayores garantías a las amenazas provocadas por fallos o insuficiencias en las personas, procesos, tecnología, sistemas internos, cuestiones legales y eventos externos imprevistos.

Es importante tener muy en cuenta el conocido como riesgo legal, que son las pérdidas que puede sufrir una compañía al ser multada, sancionada u obligada a reparar daños, como resultado de haber incumplido normas legales u obligaciones de los contratos. Dentro de los riesgos legales se incluyen también los perjuicios originados por errores en contratos y transacciones, como resultado de actuaciones malintencionadas, negligencia o descuido.

Principales factores de riesgo operativo

Los riesgos operativos se dan, sobre todo, en 4 ámbitos distintos:

1. Recursos humanos.
2. Procesos internos.
3. Tecnología de la Información.
4. Eventos externos.

A continuación citamos los principales factores de riesgo dentro de cada ámbito:

Recursos humanos

• Pérdidas financieras asociadas con negligencia, error humano, sabotaje, fraude o robo.
• Apropiación indebida de información sensible.
• Lavado de dinero.
• Ambiente laboral desfavorable.
• Errores o falta de las especificaciones necesarias en los términos de contratación del personal, entre otros factores.
• Inadecuada selección de personal por no identificar claramente el perfil que necesita la empresa en cada momento o selección de personas con competencias insuficientes o capacitación inadecuada.
• Formación de personal errónea o insuficiente.

Procesos Internos

• Diseño inapropiado de los procesos críticos de la organización.
• Políticas y procedimientos inadecuados o inexistentes.
• Desarrollo deficiente de las operaciones.
• Fallos de infraestructura o logísticos o que lleva a la suspensión (temporal o permanente) de la producción o la ejecución de servicios.
• Riesgos asociados a fallos en los modelos utilizados.
• Errores en las transacciones.
• Evaluación inadecuada de contratos.
• Errores de contabilidad.
• Fallos en los cálculos de los recursos necesarios para determinadas operaciones.
• Incumplimiento de plazos.
• Presupuestos mal calculados o diseñados.
• Deficiencias en los proceso de gestión de documentación.

Tecnología de Información

• Ataques informáticos que provoquen el robo de datos de la propia empresa o de terceros.
• Fallos de hardware o software.
• Mal funcionamiento o selección incorrecta de las herramientas informáticas de al empresa.
• Pérdidas financieras derivadas del uso de inadecuados sistemas de información y tecnologías.
• Anormal desarrollo de operaciones y servicios que realiza la compañía por fallos informáticos.
• Pérdida de información o de material informático (hardware y software) por contingencias como: incendios, inundaciones o averías graves.
• Riesgos derivados a fallas en la seguridad y continuidad operativa de los sistemas informáticos.
• Errores en el desarrollo e implementación de dichos sistemas y/o su compatibilidad e integración.
• Problemas de calidad de información.
• Inadecuada inversión en tecnología.
• Falla o interrupción de los sistemas.
• Recuperación inadecuada de desastres y/o la continuidad de los planes de negocio.

El Sistema de Gestión de Riesgos debe ser capaz de identificar el riesgo operativo #ISO31000

Click To Tweet

Eventos Externos

Dentro de este grupo se incluyen todos los posibles eventos ajenos al control de la empresa que puedan alterar, de alguna forma, al desarrollo de sus actividades, como por ejemplo:

• Contingencias legales.
• Fallas en los servicios públicos.
• Desastres naturales, atentados y actos delictivos.
• Cambios en las leyes y normativos.
• Riesgo político del país.
• Revueltas sociales.

Además de identificarse, dicho riesgo operativo debe ser capaz de medirse y controlarse a través de la definición de la políticas empresariales adecuadas y los procedimientos óptimos. Dichos procedimientos deben incluir los siguientes aspectos: gestión documental, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plan de continuidad, plataforma tecnológica, divulgación de información y capacitación profesional.

La Plataforma ISOTools facilita la automatización de los Sistemas de Gestión de Riesgos

La Plataforma Tecnológica ISOTools permite la automatización y sencilla implantación de las normas relacionadas con la seguridad corporativa. Entre ellas cabe destacar la ISO 31000 para la gestión de los riesgos corporativos, cuyos requisitos posibilitan la continuidad del negocio ante circunstancias imprevistas.

Uno de los aspectos más destacable de ISOTools es que posibilita una gestión integral de todos los riesgos corporativos, tanto los inherentes a la propia empresa como los que pueden ocurrir por causas externas.