direcciÓn general de posgrados maestrÍa en auditoria …
TRANSCRIPT
1
UNIVERSIDAD TECNOLÓGICA EQUINOCCIAL
DIRECCIÓN GENERAL DE POSGRADOS
MAESTRÍA EN AUDITORIA Y FINANZAS
TRABAJO DE GRADO
PARA LA OBTENCIÓN DEL TÍTULO DE:
MAGISTER EN AUDITORIA Y FINANZAS
“LA GESTIÓN DE PROCESOS COMO HERRAMIENTA PARA LA
ADMINISTRACIÓN DEL RIESGO OPERATIVO DEL BANCO DEL
INSTITUTO ECUATORIANO DE SEGURIDAD SOCIAL: EVALUAR SU
IMPACTO EN LA IDENTIFICACIÓN Y MONITOREO DEL RIESGO
OPERATIVO Y PLANTEAMIENTO DEL MODELO DE SOLUCIÓN”
AUTOR:
CARLOS FABRICIO LASTRA CALDERÓN
DIRECTOR:
ING. MARCO VINICIO ARIAS
Quito, Ecuador
Febrero - 2015
2
DEDICATORIA
A mis padres que con su amor y sacrificio marcaron mi camino, viviendo la felicidad de
luchar por un sueño. A mi esposa cuyas palabras son aliento y motor de mis días.
3
AGRADECIMIENTOS
A la Universidad Tecnológica Equinoccial por su empeño en formar profesionales de
alto nivel, y para aquellos maestros que buscan día a día entregar su conocimiento con
la convicción de marcar nuestras vidas y formar mejores profesionales, pero ante todo
mejores personas.
4
ÍNDICE
Contenido Páginas
RESUMEN ....................................................................................................................... 8
CAPÍTULO I .................................................................................................................. 10
EL PROBLEMA ............................................................................................................ 10
PLANTEAMIENTO DEL PROBLEMA ................................................................... 11
Contextualización ....................................................................................................... 11
Contexto Macro ....................................................................................................... 11
Contexto Meso ........................................................................................................ 12
Contexto Micro ........................................................................................................ 12
Análisis Crítico ........................................................................................................... 13
FORMULACIÓN DEL PROBLEMA ........................................................................ 14
SISTEMATIZACIÓN DEL PROBLEMA ................................................................. 14
OBJETIVOS DE LA INVESTIGACIÓN .................................................................. 15
Objetivo General: ........................................................................................................ 15
Objetivos Específicos: ................................................................................................ 15
JUSTIFICACIÓN ....................................................................................................... 15
Impacto ....................................................................................................................... 15
Aporte y Beneficios .................................................................................................... 16
ALCANCE DE LA INVESTIGACIÓN ..................................................................... 17
CAPÍTULO II ................................................................................................................. 18
MARCO DE REFERENCIA ......................................................................................... 18
ANTECEDENTES ..................................................................................................... 18
MARCO TEÓRICO ................................................................................................... 19
Comité de Supervisión Bancaria de Basilea (BCBS) ................................................. 19
Basilea I.................................................................................................................... 19
Basilea II................................................................................................................... 20
5
Gestión Integral del Riesgo – Informe COSO ERM .................................................. 22
Marco referencial de la Gestión de Riesgos Corporativos COSO ERM. .................. 23
Componentes de la Gestión de Riesgos Corporativos ........................................... 25
Relación entre objetivos y componentes ................................................................ 29
Roles y Responsabilidades ...................................................................................... 30
Superintendencia de Bancos y Seguros del Ecuador .................................................. 35
Gestión del Riesgo Operativo - Resolución JB-2005-834 ........................................ 35
Gestión de Procesos .................................................................................................... 37
Sistema de Gestión de Procesos ............................................................................. 37
La Gestión de Procesos y La Gestión del Riesgo Operativo ...................................... 40
MARCO LEGAL ........................................................................................................ 41
MARCO TEMPORAL, ESPACIAL .......................................................................... 41
CAPÍTULO III ............................................................................................................... 42
PLANTEAMIENTO DE HIPOTESIS O PROPOSICIÓN ............................................ 42
HIPOTESIS O PROPOSICIÓN GENERAL DE LA INVESTIGACIÓN ................. 42
HIPOTESIS O PROPOSICIONES ESPECÍFICAS DE LA INVESTIGACIÓN: ..... 42
SISTEMA DE VARIABLES ...................................................................................... 43
MARCO METODOLOGICO ..................................................................................... 44
Diseño de la Investigación .......................................................................................... 44
Tipo de Investigación .................................................................................................. 44
Métodos de Investigación ........................................................................................... 45
Población o muestra .................................................................................................... 45
Técnicas e Instrumentos de Recolección de Datos. .................................................... 45
Técnicas de procesamiento y análisis de los datos ..................................................... 46
Confiabilidad de validez de los instrumentos ............................................................. 46
CAPÍTULO IV ............................................................................................................... 47
DESARROLLO DE LA INVESTIGACIÓN ................................................................. 47
EVALUACIÓN DEL SISTEMA DE GESTIÓN DE PROCESOS DEL BIESS ....... 47
Madurez del Sistema ................................................................................................... 47
Procesos Repetibles ................................................................................................ 47
Procesos Definidos .................................................................................................. 48
Procesos Controlados. ............................................................................................. 60
6
Procesos Mejorados. ............................................................................................... 60
EVALUACIÓN DEL IMPACTO EN LA IDENTIFICACIÓN Y MONITOREO DEL
RIESGO OPERATIVO DEL BIESS. ......................................................................... 60
Identificación de Eventos de Riesgo. .......................................................................... 60
Actividades de Control. .............................................................................................. 62
Monitoreo del Riesgo Operativo. ................................................................................ 64
DEFINICIÓN DEL MODELO DE GESTIÓN DE PROCESOS. .............................. 67
Definición del Proceso. ............................................................................................... 68
Levantamiento y documentación del Proceso. ....................................................... 68
Monitoreo y medición de procesos ............................................................................. 84
Mejora Continua: Solución estructurada de problemas, Portafolio de Mejoras e
Implementación .......................................................................................................... 88
CAPÍTULO IV ............................................................................................................... 94
CONCLUSIONES Y RECOMENDACIONES ............................................................. 94
CONCLUSIONES ...................................................................................................... 94
RECOMENDACIONES ............................................................................................. 96
BIBLIOGRAFÍA Y REFERENCIAS ........................................................................ 98
ANEXOS .................................................................................................................. 100
7
ÍNDICE DE ILUSTRACIONES
Contenido Páginas
Figura 1. Causas de las deficiencias en la Gestión del Riesgo Operativo ..................... 14
Figura 2. Marco Integrado de la Gestión del Riesgo ..................................................... 30
Figura 3. Sistema de Variables de la Investigación ....................................................... 43
Figura 4. Operaciones de crédito hipotecario concedidas 2010 - 2014 ......................... 48
Figura 5. El Proceso ....................................................................................................... 50
Figura 6. Elementos del proceso .................................................................................... 51
Figura 7. Diagrama de componentes del proceso .......................................................... 51
Figura 8. El Proceso y su desagregación ....................................................................... 52
Figura 9. Gestión de Procesos y Gestión Funcional ...................................................... 53
Figura 10. Gestión de Procesos y Gestión Funcional .................................................... 54
Figura 11. Mapa de procesos del BIESS ....................................................................... 55
Figura 12. Riesgo operativo en créditos hipotecarios .................................................... 63
Figura 13. Normativa referente a Riesgo Operativo aprobada ...................................... 64
Figura 14. Normativa referente a Riesgo Operativo en proceso de aprobación ............ 64
Figura 15. Implementación recomendaciones entres de control .................................... 65
Figura 16. Cumplimientos de observaciones entes de control ....................................... 66
Figura 17. Ciclo de Madurez del Proceso ...................................................................... 68
Figura 18. Elementos del Proceso .................................................................................. 69
Figura 19. Elementos del Proceso BIESS ...................................................................... 70
Figura 20. Elementos del Proceso y Cadena de Valor BIESS ...................................... 71
Figura 21. Cadena de Valor y Macro Procesos BIESS .................................................. 71
Figura 22. Jerarquía de Procesos ................................................................................... 72
Figura 23. Jerarquía de procesos y nomenclatura .......................................................... 74
Figura 24. Elementos del Inventario de Procesos .......................................................... 75
Figura 25. Metodología caracterización de procesos – SIPOC ..................................... 76
Figura 26. La Gestión de Procesos y la Pirámide Documental ..................................... 77
Figura 27. Relación Actividades & Tareas .................................................................... 78
Figura 28. Preguntas claves del levantamiento .............................................................. 81
Figura 29. Códigos de control de versión. ..................................................................... 81
Figura 30. Niveles revisión y aprobación del marco normativo interno ........................ 82
Figura 31. Ficha de Indicadores ..................................................................................... 87
Figura 32. Diagrama de Causa y Efecto ........................................................................ 90
Figura 33. Diagrama de Pareto ...................................................................................... 91
8
RESUMEN
PRIMER CAPÍTULO
El sistema financiero impulsado por un acelerado desarrollo tecnológico que le ha
brindado grandes oportunidades para ampliar su gama de productos y servicios hacia el
usuario final, mismo que ha incrementado su nivel de exigencias como resultado de la
globalización de las comunicaciones y el comercial mundial. Estas oportunidades
generadas por el desarrollo tecnológico para el sistema productivo y financiero han
venido acompañados con un incremento de los niveles de exposición a eventos de
riesgos que pueden afectar la supervivencia de las organizaciones e incluso la
estabilidad de todo un país o región del planeta. Entre los riesgos que han tomado
mayor preponderancia en las últimas décadas tenemos al riesgo operativo, cuya falta de
una gestión oportuna ha llevado en los últimos cuarenta años a generar crisis financieras
a nivel mundial con niveles de pérdidas que superan los miles de millones de dólares.
SEGUNDO CAPÍTULO:
Preocupados por el avance, sofisticación y frecuencia con que los eventos de riesgo
operativo se presentan en la instituciones del sistema financiero internacional,
organizaciones como el Comité de Supervisión Bancaria de Basilia (BCBS), COSO
ERM y los entes encargados de la supervisión y control de los sistemas financieros
locales, han planteado una serie de mecanismos tendientes a generar modelos de
Gestión Integral del Riesgo en general y específicamente del riesgo operativo.
TERCER CAPÍTULO:
Las fuentes de información utilizadas para el desarrollo de la investigación utilizadas
primordialmente son la base documental de los procesos del banco, informes de
auditoría, matrices de riesgos y más elementos obtenidos de los archivos del banco
tendientes a estudiar elementos particulares del sistema de gestión de procesos y su
relación con la gestión del riesgo operativo, que nos permitan inducir hacia toda la
organización las características del problema en estudio.
9
CUARTO CAPÍTULO:
El desarrollo de la investigación dio inicio con la evaluación del Sistema de Gestión de
Procesos del BIESS y la determinación del nivel de madurez que esta ha alcanzado,
para luego determinar su relación y aporte a la Gestión del Riesgo Operativo. Se evaluó
la pertinencia de las herramientas utilizadas en la gestión de dichos riegos y su relación
a la gestión de procesos considerando que estos últimos son unos de los factores más
preponderantes de dichos eventos de riesgo y que necesariamente deben estar
vinculados los procesos de identificación, control y monitoreo de los mismos.
10
CAPÍTULO I
EL PROBLEMA
En las últimas décadas la globalización y el desarrollo tecnológico acelerado, entre otros
factores han permito el surgimiento de mercados financieros más completos,
caracterizados por la diversificación de la gama de productos y canales disponibles de
interacción con las entidades financieras a nivel mundial.
Este crecimiento, ha traído de la mano un incremento de la exposición por parte
de las entidades financieras, a un sin número de eventos de riesgo, tales como: errores
operativos, fraudes internos o externos, fallas de sistemas informáticos, incumplimiento
del marco normativo, fuga de información, etc.
Entre los casos más sonados de pérdidas generadas por una inadecuada
administración del riesgo operativo tenemos, la quiebra del Barings Bank en 1995,
donde la falta de controles permitió que uno de sus ejecutivos invirtiera asumiendo altos
riesgos y luego ocultara las pérdidas generadas en cuentas ficticias. El total de perdidas
alcanzaron los 1300 millones de libras, el doble del capital disponible del banco
(Chatruc, 2005).
En 1996 tenemos el caso de Sumitomo Bank, donde las pérdidas de acuerdo a
publicación en el diario el Tiempo de Colombia, probablemente alcanzaron US$2.600
millones (Mcgee, & Frank, 1996)
Para julio del 2002 detono el caso de Worldcom, en el cual se determinó el
ocultamiento de pérdidas por 11.000 millones de dólares. (Pozzi, 2006)
11
PLANTEAMIENTO DEL PROBLEMA
Contextualización
Contexto Macro
La quiebra importantes instituciones financieras y su repercusión a nivel internacional
unido a la creciente integración financiera, generó una conciencia respecto a la
necesidad de contar con herramientas de supervisión y control homogéneas, que
garanticen un marco mínimo que regule el funcionamiento de las entidades financieras
internacionales, reduciendo de esta manera el margen de incertidumbre en las
operaciones y su impacto y repercusiones en los mercados financieros internacionales,
generados por problemas locales.
Con este propósito, los países que conformaban el G10 establecen el Comité de
Supervisión Bancaria de Basilea, cuya misión es la desarrollar principios y reglas
apropiadas para regulación y supervisión del sector bancario internacional. El comité
está conformado por los representantes de los bancos centrales o por la autoridad
responsable de supervisar el funcionamiento del sistema financiero de cada uno de los
países miembros.
Como elementos comunes de una crisis bancaría además de la inestabilidad
macroeconómica, Llewellyn (citado por López & Fernández, 2006) menciona:
supervisión inadecuada o con escasos incentivos (regulación de capital inexistente o no
fomentada, indulgencia en los estándares de clasificación de préstamos, dudosa
actuación ante problemas de solvencia…); inapropiada revelación de información;
problemas en los acuerdos de gobierno corporativo de los bancos; peligrosas prácticas
bancarias (entidades que operan con ratios de capital por debajo de los exigidos,
excesivo y rápido crecimiento del préstamo, débiles sistemas de control y gestión de los
riesgos, no inclusión de la prima de riesgo adecuada en los tipos de préstamos,
estándares de contabilidad y política de provisiones inadecuados…) y falta de disciplina
de mercado.
12
Contexto Meso
A pesar de que en el marco legal vigente incluyo el año 2005, mediante la resolución
JB-2005-834, normativa específica para la gestión del riesgo operativo en las
instituciones del sistema financiero nacional, estos parámetros son aún muy generales y
en la mayoría de elementos que contempla la gestión del riesgo operativo, traslada a las
instituciones la definición de los modelos que viabilicen la implementación del sistema.
En los tratados y metodologías establecidas se hace un tratamiento independiente y
hasta casi aislado de estos dos grandes temas como son la Gestión del Riesgo Operativo
y la Gestión de Procesos, a pesar de que todos los tratados establecen como uno de los
principales factores de riesgo operativo es el Proceso.
Contexto Micro
En el año 2009 mediante ley se crea el Banco del Instituto Ecuatoriano de Seguridad
Social, misma que en su artículo 1 dice: “Créase el BANCO DEL INSTITURO
ECUATORIANO DE SEGURIDAD SOCIAL, como una institución financiera pública
con autonomía técnica, administrativa y financiera, con finalidad social y de servicio al
público, de propiedad del Instituto Ecuatoriano de Seguridad Social, denominada en
adelante “el Banco”, con personería jurídica propia, que se regirá por la presente Ley y
su Estatuto.”
El objetivo del banco es la administración de los fondos previsionales públicos
del Instituto Ecuatoriano de Seguridad Social, mediante la prestación de servicios
financieros apegado a criterios de una banca de inversión y para atender los
requerimientos de sus afiliados activos y jubilados.
El banco establece dentro de su declaración de principios, como misión:
“Administrar, de manera eficiente, los recursos previsionales de los asegurados
generando operaciones con retorno social y económico adecuado, que contribuyan a
impulsar la producción, creen valor agregado y garanticen nuevas fuentes de empleo.”
13
Análisis Crítico
Relación Causa y Efecto del Problema.- La falta de un adecuado Sistema de Gestión de
Procesos no permite generar los datos básicos para una adecuada identificación de los
eventos de riesgo operativo inmersos en la ejecución de cada uno de los procesos del
Banco. Estos elementos deben ser considerados dentro de la metodología de
Modelamiento de Procesos, misma que debe permitir tener un adecuado nivel de detalle
que permita tanto la identificación de las vulnerabilidades del proceso así como también
la cuantificación de los impactos y probabilidad de ocurrencia de dichos eventos no
deseados.
De la evaluación de la criticidad de riesgo en conjunto con la definición de los
factores y más componentes donde se origina dicha vulnerabilidad, es posible el
determinar las correspondientes acciones a ser adoptadas como respuesta al riesgo.
Siempre debe considerarse que los recursos son limitados y por ende la priorización de
basarse en una adecuada definición de la criticidad del evento para la supervivencia de
la organización.
Con los riesgos identificados, la valoración y las acciones de respuesta
establecidos, la gestión del riesgo debe concentrar sus esfuerzos en el monitoreo de
dicho controles y en la evaluación de la eficiencia de dichos controles. La gestión de
procesos, como parte del mejoramiento continuo, es la que permitirá la recolección de
información que permita detectar las fallas y oportunidades de mejora dentro del
proceso en general.
14
Deficiencia en la Gestión del Riesgo Operativo
Información no confiable
Deficiencia en Evaluación del Riesgo
Ineficiencia de los Controles
Falla en Monitoreo del Riesgo
Mapa de Procesos y Árbol de Riesgossin integrar
Procesos, Actividades y Tareas sin definición clara de Responsables
Mecanismos de Monitoreo Manuales
Controles y Riesgos sin Categorizar en función del Core del Negocio(Cadena de Valor)
Factores del Riesgo mal identificados(Procesos, Personas, Tecnología y Factores Externos)
Controles no integrados al proceso
Deficiencia en Definición de Criticidad del Proceso
Eventos de riesgo y Tareas sin Relacionar
Factores de Riesgo Mal Ponderados
Factores del Riesgo mal identificados(Procesos, Personas, Tecnología y Factores Externos)
Metodología de evaluación Inexisten o no acorde al Modelo de Negocio
Eventos de Riesgo sin Identificar
Sin Relación Directa de la Gestión de Procesos
Con Relación Directa de la Gestión de Procesos
CAUSAS PRINCIPALES Y SECUNDARIAS DE LAS DEFICIENCIAS EN GESTIÓN DEL RIESGO OPERATIVO
Figura 1. Causas de las deficiencias en la Gestión del Riesgo Operativo
FORMULACIÓN DEL PROBLEMA
¿Cuáles son los factores de la Gestión de Procesos que tienen un impacto directo en la
eficiencia de la Gestión Riesgo Operativo de los procesos críticos del Banco del
Instituto Ecuatoriano de Seguridad Social?
SISTEMATIZACIÓN DEL PROBLEMA
- ¿Cuáles son elementos del Sistema de Gestión de Procesos del BIESS que
contribuyen a la Gestión del Riesgo Operativo del BIESS.?
- ¿Cuáles son las variables que debe considerar el modelo de Gestión de Procesos
del BIESS para facilitar la identificación, evaluación, respuesta y monitoreo de
los eventos de Riesgo Operativo?
- ¿Cuáles son los elementos normativos, organizacionales y funcionales necesarios
para la aplicación de un modelo de Gestión de Procesos enfocado en la Gestión
del Riesgo Operativo?
15
OBJETIVOS DE LA INVESTIGACIÓN
Objetivo General:
Proponer un modelo de Gestión de Procesos que permita apalancar la eficiencia del
Sistema de Gestión del Riesgo Operativo del Banco del Instituto Ecuatoriano de
Seguridad Social.
Objetivos Específicos:
- Evaluar el Sistema de Gestión de Procesos y su impacto como herramienta para
la Gestión del Riesgo Operativo del BIESS.
- Determinar los factores críticos de la Gestión de Riesgo Operativo y su relación
con la Gestión de Procesos.
- Proponer un nuevo modelo de Gestión de Procesos enfocado a facilitar la
identificación, evaluación, respuesta y monitoreo de los eventos de Riesgo
Operativo.
JUSTIFICACIÓN
Impacto
La supervivencia de las organizaciones, está cada vez más supeditada al logro de la
satisfacción de las necesidades de sus clientes e incluso a superar las expectativas de
estos con los productos o servicios ofertados, pero los clientes no son los únicos a
quienes debemos satisfacer, los accionistas o propietarios también tienen expectativas y
exigencias que deben ser cumplidas. Estas dos condicionantes determinan que
cualquiera que sea el modelo del negocio y la estrategia que adopte la institución,
siempre deberán ser apalancadas en la eficiencia, la eficacia, el control pérdidas y una
16
rentabilidad razonable. Estos principios son los fundamentos entorno a los cuales se
giran la Gestión de Procesos y la Gestión del Riesgo Operativo, siendo estos conceptos
complementarios para llegar a un mismo fin como es la supervivencia de la
organización.
El éxito en la Gestión de los Fondos Previsionales que se administra en el BIESS
tiene un impacto directo en la sostenibilidad del Sistema de Seguridad Social del
Ecuador y por ende los beneficiados son la masa de Afiliados y Pensionistas del IESS
que al momento alcanzan alrededor de los 3’500.000.
El costo de implementar los procedimientos de Identificación, Medición, Control
y Mejora de los procesos no necesariamente implica inversión adicional para la
institución. Muchos de los elementos de Control Previo y Concurrente para el
monitoreo de los controles o respuestas para los Riesgos identificados solo dependen de
la implementación de buenas prácticas operativas de control sobre los procesos críticos
de la organización. La automatización es un horizonte ideal, pero no siempre el más
práctico, medido en términos de tiempos de implementación, costos e impacto sobre el
objetivo de control planteado.
Aporte y Beneficios
Con este trabajo se propone lograr el planteamiento de una metodología, que permita
generar elementos de control previo y concurrente que faciliten la Gestión del Riesgo
Operativo. La Gestión de Procesos tiene inmerso dentro si, la búsqueda de eficiencia,
eficacia y productividad en la ejecución de procesos de negocio mediante el
mejoramiento continuo, mismo que debe estar basado en las mediciones y controles
establecidos a los factores de éxitos del proceso, para la reducción de re procesos o
desperdicios por fallas en el proceso, errores humanos, o fallas de los sistema
tecnológicos de apoyo.
17
La Gestión del Riesgo Operativo considera cuatro factores a controlarse para la
reducción de pérdidas, estos factores son: el proceso, las personas, la tecnología y los
factores externos.
Como se puede apreciar, tanto la Gestión de Procesos como la Gestión del
Riesgo Operativo trabajan sobre los mismos elementos por lo cual son conceptos
complementarios que buscan un mismo objetivo, la supervivencia de la organización en
el tiempo.
ALCANCE DE LA INVESTIGACIÓN
El presente estudio tomara como marco de referencia lo establecido en los acuerdos de
Basilea II, Coso ERM, la Resolución JB-2005-834 sobre riesgo operativo y la base
teórica de Gestión de procesos para el mejoramiento continuo.
El banco inicio sus operaciones en octubre del año 2010, siendo la Súper
Intendencia del Bancos y Seguros en conjunto con la Contraloría General del Estado los
entes responsables de su control. Se utilizara como base para la evaluación de la gestión
del riesgo operativo los informes y resultados de las auditorias realizados por estas
entidades más las matrices para identificación de riesgos utilizadas por la entidad para la
gestión del riesgo operativo.
El mapa de procesos institucional permitirá evaluar los componentes del sistema
que permiten el suministro de información confiable para la gestión del riesgo y el
impacto de esta información en dicha gestión.
18
CAPÍTULO II
MARCO DE REFERENCIA
ANTECEDENTES
El acuerdo de capitales denominado “Convergencia internacional de medidas y
estándares de capital” se firmó el 11 de julio de 1988 y tenía como objeto el fijar
estándares referentes al capital mínimo que los bancos internacionales de los países del
G10 debían mantener como respaldo de sus activos de riesgo.
En siguientes años después de la emisión del primer acuerdo se dieron algunas
reformar tendientes a mejorar la aplicación de los planteamientos establecidos, tomando
en consideración la complejidad del mundo bancario y la sensibilidad de este al riesgo.
Las propuestas y opiniones de los diferentes reguladores, supervisores y otros actores
involucrados en el sector fueron recogidas y discutidas en busca de generar un
planteamiento acorde a las necesidades del mercado. Para diciembre de 2001 el comité
crea el Grupo de Implementación del Acuerdo conocido por sus siglas en inglés AIG
(ACCORD IMPLEMENTATION GROUP) con la misión de facilitar la puesta en
marcha del acuerdo publicado el 26 de junio de 2004 denominado.
En Ecuador en el año 2005 como parte de la implementación de medidas para la
Administración del Riesgo Operativo se emite la resolución de la Junta Bancaria JB-
2005-834 misma que establece unos criterios mínimos para la generación de un
adecuado ambiente de control de las Instituciones del Sistema Financiero Nacional.
Para Banco del IESS que abrió sus operaciones en octubre del 2010 la Súper
Intendencia de Banco y Seguros estableció como plazo límite para el establecimiento de
dicha medida diciembre del 2014.
19
MARCO TEÓRICO
Comité de Supervisión Bancaria de Basilea (BCBS1)
Este organismo fue constituido por los bancos centrales de los países denominado G10,
como respuesta a los problemas surgidos en los mercados financieros internacionales a
raíz del colapso del sistema de administración de tasas de Bretton Woods en 1973.
Inicialmente fue nombrado como Comité de Regulaciones Bancarias y Prácticas de
Supervisión2 para a posterior pasar a llamarse Comité de Supervisión Bancaria de
Basilea conocido por sus siglas en inglés BSCB (BASEL COMMITTEE ON
BANKING SUPERVISION).
Su principal objetivo es el de mejorar la estabilidad financiera de los mercados
internacionales con la generación de un conjunto de conocimientos basados en las
mejoras prácticas obtenidas de la cooperación de sus países miembros en materia de
supervisión bancaria.
El comité tuvo su primera reunión en febrero de 1975 y se han mantenido
reuniones periódicas tres o cuatro veces al año. Para el año 2009 el Comité amplió su
número de integrantes, incluyendo en la actualidad a 27 jurisdicciones. El Comité
informa a un órgano de supervisión compuesto por los Responsables de los Bancos
Centrales o de los Organismos encargados de la Supervisión y Control del sistema
bancario de los países miembros.
Basilea I
Este primer acuerdo denominado Basilea I fue suscrito en el año 1988 y considera
explícitamente al riesgo de crédito y estipula que los bancos deben mantener como
capital mínimo el 8% de los activos ajustados ponderados por el riesgo establecido a
1 Basel Committee on Banking Supervision
2 A brief history of the Basel Committee: Committee on Banking Regulations and Supervisory Practices
20
partir de los estados financieros consolidados de la entidad, con al menos la mitad de
dicho capital en el “Nivel 1” (acciones reveladas y reservas de capital). El “Nivel 2”
podría incluir, entre otros, instrumentos de capital de deuda hibrida. (López &
Fernández, 2006).
Basilea II
En esta propuesta se pasa de un enfoque de tipo contable a otro más dinámico orientado
a la aplicación de modelos más sofisticados de medición del riesgo. Adicional al riesgo
de crédito se propone el tratamiento explícito de otros tipos de riesgos y se le da
relevancia al riesgo operativo (Marasca, Figueroa, Stefanelli & Indri, 2003)
Se planea un modelo basado en tres pilares que buscan optimizar los
requerimientos de capital en función de una determinación más dinámica del riesgo,
mejorar la calidad de revisión de las entidades supervisoras y el empuje a generar una
cultura financiera basada en la disciplina de mercado.
Aunque en este comité no existe la participación de países de nuestra región y el
mismo no es de aplicación forzosa para los países no miembros, América Latina será
afectada en muchos sentidos, empezando con que los bancos de Estados Unidos y la
Unión Europea donde si se aplican Basilea II, miden sus exposiciones frente a la región
y por ende se realizan ajustes a las condiciones de crédito a los sectores privados y
públicos de esta y adicionalmente se afectarán de manera directa por la aplicación que el
sector bancario de la región aplica dicho modelo (Arzbach & Ramirez, 2004)
Pilares de Basilea
La propuesta plantea que los esfuerzos deben enfocarse en tres pilares:
- Requerimiento mínimo de capital,
- Proceso de supervisión bancaria y
- Disciplina de mercado
21
El Riesgo Operativo
Hasta la publicación del Basilea II, el riesgo operativo estaba rodeado de mucha
heterogeneidad y no existía marcos de referencias técnico o normativos que hagan
referencia al mismo, de hecho se hacía alusión a él de manera general como todo
aquello que no era riesgo de crédito ni riesgo de mercado.
Riesgo operacional es el riesgo de sufrir pérdidas debido a la inadecuación o a
fallos en los procesos, personal y sistemas internos o bien por causa de eventos
externos. Lo que incluye el riesgo legal pero excluye a los riesgos reputacional,
estratégico y sistémico. (Pacheco, 2009, p.5).
1) Métodos de Cálculo de Capital por Riesgo Operacional
El acuerdo establece tres métodos de cálculo:
2) Método del Indicador Básico.
∑
EI = Indicador de exposición (media de tres años de los ingresos brutos
positivos)
α = 15%
3) Método Estándar.
∑ [∑ ]
Línea de negocios →
Finanzas corporal → 18%
Negociación y ventas → 18%
Banca minorista → 12%
Banca Comercial → 15%
Pagos y Liquidación → 18%
22
Serv. agencia-custodia → 15%
Gestión de activos → 12%
Intermed. Minorista → 12%
4) Métodos de Medición Avanzada.
- Método de Medición Interna
- Enfoque de Distribución de pérdidas
- Aproximación por Scorecards
Gestión Integral del Riesgo – Informe COSO ERM
El Comité de Organizaciones Patrocinadoras de la Comisión Treadway, conocido por
sus siglas en inglés COSO (The Committee of Sponsoring Organizations of the
Treadway Commission) es una organización privada creada en 1985 para patrocinar a la
“National Commisión on Fraudulent Financial Reporting” (Conocida como la
“Treadway Commisión” en honor a su primer presidente James C. Treadway, Jr.). Se
encuentra conformada por las cinco mayores asociaciones profesionales de los Estados
Unidos: La Asociación Americana de Contadores (AAA), El Instituto Americano de
Contadores Públicos Certificados (AICPA), la Internacional de Ejecutivos Financieros
(FEI), el Instituto de Auditores Internos (IIA), y la Asociación de Nacional de
Contadores (IMA) es independiente e incluye a representantes del sector industrial,
contadores públicos, firmas de inversión y la Bolsa de Valores de Nueva York (NYSE).
De acuerdo a la página web del Comité de Organizaciones Patrocinadoras de la
Comisión Treadway (COSO) su misión es:
Proporcionar liderazgo a través del desarrollo de marcos generales y
de orientación sobre la gestión del riesgo empresarial, el control
interno y la disuasión del fraude diseñado para mejorar el desempeño
organizacional y la gobernabilidad y reducir el alcance del fraude en
las organizaciones.
23
La Comisión ha trabajo en el desarrollo de marcos referenciales para la mejora de la
Gobernabilidad y Desempeño Operacional, el Control Interno, la Disuasión del Fraude
y la Administración del Riesgo Empresarial, para nuestro trabajo nos enfocaremos en
este último marco referencial.
Marco referencial de la Gestión de Riesgos Corporativos COSO ERM.
En su resumen ejecutivo del marco referencial se plantea que toda organización tiene
como fin último la generación de valor para sus grupos de interés en un entorno donde
la constante es la carencia de certezas, poniendo en el tapete el principal dilema que
debe enfrentar la dirección respecto al nivel de incertidumbre aceptable en la búsqueda
de incrementar el valor para esos grupos de interés (Coso, 2004). Lo cual conlleva que
a mayores beneficios las instituciones deben estar dispuestas a enfrentar mayores
riesgos lo cual se traduce en el apetito de riesgo3
La incertidumbre como tal no es positiva ni negativa ya que conlleva amenazas y
oportunidades, dependiendo de la forma en que explotemos nuestras fortalezas y
controlemos las debilidades, siendo la gestión del riesgo la herramienta más adecuada
para enfrentar la de manera efectiva logrando mejorar la capacidad de generar valor.
Entre los beneficios que una gestión del riesgo genera para una organización
tenemos que permite:
a) Alinear el riesgo aceptado y la estrategia.
b) Mejorar las decisiones de respuesta a los riesgos.
c) Reducir las sorpresas y pérdidas operativas.
d) Identificar y gestionar la diversidad de riesgos para toda la entidad.
3 “El apetito es el nivel de riesgo que la empresa quiere aceptar y su tolerancia será la desviación respecto
a este nivel. La capacidad será el nivel máximo de riesgo que una organización puede soportar en la
persecución de sus objetivos” (Instituto de Auditores Externos de España, 2012).
24
e) Aprovechar las oportunidades.
f) Mejorar la dotación de capital.
Definición de la Gestión de Riesgos Corporativos
COSO en su marco referencial lo define como: “La gestión de riesgos corporativos es
un proceso efectuado por el consejo de administración de una entidad, su dirección y
restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado
para identificar eventos potenciales que pueda afectar a la organización, gestionar sus
riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el
logro de los objetivos” (Comité de Organizaciones Patrocinadoras de la Comisión
Treadway, 2012).
Consecución de Objetivos
Como se había establecido en un comienzo la gestión de riesgos corporativos busca
apoyar a la dirección en su búsqueda de generar valor, para lo cual esta establece una
serie de estrategias tendientes al logro de unos objetivos de crecimiento y rentabilidad.
El marco de COSO ERM para tal efecto clasifica los objetivos en cuatro categorías:
- Estrategia: Son de alto nivel y están alineados con la misión institucional.
- Operaciones: Relacionados al uso eficaz y eficiente de los recursos.
- Información: Buscan la fiabilidad de la información generada.
- Cumplimiento: Enfocados al cumplimiento del marco legal y regulatorio.
Los dos primeros por la influencia que reciben de factores externos, la gestión de
riesgos busca proporcionar una seguridad razonable de que los niveles directivos sean
informados de forma oportuna el estado de avance en su consecución, mientras tanto los
objetivos relativos a la información y cumplimiento, al ser mas de carácter interno se
puede esperar una seguridad razonable en su logro.
25
Componentes de la Gestión de Riesgos Corporativos
Este marco referencial para la Gestión de Riesgos Corporativos estable ocho
componentes relacionados entre sí, derivados de la forma en la cual los niveles
directivos conducen la empresa, mismos que detallamos y transcribimos acorde a lo
expuesto en el informe de COSO ERM.
- Ambiente interno
- Establecimiento de objetivos
- Identificación de eventos
- Evaluación de riesgos
- Respuesta al riesgo
- Actividades de Control
- Información y comunicación
- Supervisión
Ambiente interno
Abarca el tono de una organización y establece la base de cómo el personal de la
entidad percibe y trata los riesgos, incluyendo la filosofía de administración de riesgo y
el riesgo aceptado, la integridad, valores éticos y el ambiente en el cual operan. Los
factores que se contempla son:
- Filosofía de la administración de riesgos
- Apetito al riesgo
- Integridad y valores éticos
- Visión del Directorio
- Compromiso de competencia profesional
- Estructura organizativa
- Asignación de autoridad y responsabilidad
- Políticas y prácticas de recursos humanos
26
Establecimiento de objetivos
Los objetivos deben existir antes de que la dirección pueda identificar potenciales
eventos que afecten su consecución. La administración de riesgos corporativos asegura
que la dirección ha establecido un proceso para fijar objetivos y que los objetivos
seleccionados apoyan la misión de la entidad y están en línea con ella, además de ser
consecuentes con el riesgo aceptado. Los factores que se contempla son:
- Objetivos estratégicos
- Objetivos relacionados
- Objetivos seleccionados
- Apetito de riesgo
- Tolerancia al riesgo
Identificación de eventos
Los eventos internos y externos que afectan a los objetivos de la entidad deben ser
identificados, diferenciando entre riesgos y oportunidades. Estas últimas revierten hacia
la estrategia de la dirección o los procesos para fijar objetivos. Los factores que se
contempla son:
- Eventos
- Factores que influyen
- Técnicas de identificación de eventos
- Interdependencia de eventos
- Categorías de eventos
- Distinción entre riesgos y oportunidades
Existen variadas técnicas para la identificación de riesgos, dependiendo del
grado de sofisticación de las empresas y de las fuentes de información disponibles.
Entre las más conocidas tenemos:
- Análisis PEST (Factores políticos, económicos, sociales y tecnológicos).
27
- Análisis DOFA (Debilidades, oportunidades, fortalezas y amenazas).
- Inventario de eventos.
- Análisis estadístico basado en información histórica (de la empresa/sector).
- Entrevistas y cesiones grupales guiadas por facilitadores.
- Análisis de flujos de procesos.
Estos últimos tienen relación directa con la Gestión de Procesos que establece
una base documental adecuada para aplicar este tipo de técnicas.
Evaluación de riesgos
Los riesgos se analizan considerando su probabilidad e impacto como base para
determinar cómo deben ser gestionados y se evalúan desde una doble perspectiva,
inherente y residual.
Probabilidad entendida como la posibilidad de materializarse un evento negativo
que genere una pérdida o daño económico cuantificable para la empresa. Impacto que
proyectado en función de datos históricos de eventos debidamente categorizados tanto
internos como externos. Los factores que se contempla son:
- Riesgo inherente y residual
- El establecimiento de probabilidad e impacto
- Fuentes de datos
- Técnicas de Evaluación
- Relación de eventos
Respuesta al riesgo
La dirección selecciona las posibles respuestas - evitar, aceptar, reducir o compartir los
riesgos - desarrollando una serie de acciones para alinearlos con el riesgo aceptado y las
tolerancias al riesgo de la entidad. Los factores que se contempla son:
28
- Evaluación de posibles respuestas
- Selección de respuestas
- Vista del portafolio
Las categorías de posibles respuestas al riesgo son:
- Evitarlo o rechazarlo: Se toman acciones para descontinuar las
actividades que generan el riesgo.
- Reducir o mitigar: Se establecen medidas para reducir la probabilidad de
ocurrencia, el impacto económico o una combinación de ambas.
- Compartirlo: Se busca transferir el riesgo de forma total o parcial, ya sea
su probabilidad de ocurrencia o su impacto.
- Aceptarlo: En este caso no se toma ninguna acción.
La visión del portafolio de riesgos propone que el riesgo sea considerado como
un solo conjunto tanto a nivel de unidades de negocio como a nivel de toda la entidad y
entendiendo siempre que los riesgos están interrelacionados y que el perfil de riesgo
residual total de la entidad está acorde con su apetito de riesgo global de la misma.
Actividades de Control
Las políticas y procedimientos se establecen e implantan para ayudar a asegurar que las
respuestas a los riesgos se llevan a cabo eficazmente. Los factores que se contempla
son:
- Integración con Respuesta a los Riesgos
- Tipos de actividades de control
- Políticas y Procedimientos
- Los controles sobre los Sistemas de Información
- Entidad específica
29
Información y comunicación
La información relevante se identifica, captura y comunica en forma y plazo adecuado
para permitir al personal afrontar sus responsabilidades. Una comunicación efectiva
debe producirse en un sentido amplio, fluyendo hacia abajo, a través, y hacia arriba de
la entidad. Los factores que se contempla son:
- Información
- Comunicación
Supervisión y Monitoreo
La totalidad de la gestión de riesgos corporativos se supervisa, realizando
modificaciones oportunas cuando se necesiten. Este monitoreo se lleva a cabo mediante
actividades permanentes de la dirección, evaluaciones independientes o ambas
actuaciones a la vez.
Debe entenderse que la administración de riesgos corporativos no constituye un
proceso secuencial, ya que cada componente puede afectar de forma multidireccional e
iterativa a cualquier o todos los demás componentes. Los factores que se contempla
son:
- Monitoreo de las actividades en marcha
- Evaluaciones independientes
- Reporte de deficiencias
Relación entre objetivos y componentes
De acuerdo al informe de COSO ERM, La relación entre los objetivos y los
componentes de la Gestión de Riesgos Corporativos se representa de forma
30
tridimensional en un cubo donde las cuatro categorías de objetivos están representadas
por columnas verticales, los ocho componentes se muestran en filas horizontales y las
unidades de la entidad constan en la tercera dimensión del cubo, como se muestra en el
siguiente gráfico.
Figura 2. Marco Integrado de la Gestión del Riesgo
Nota Fuente: Committee of Sponsoring Organizations of the Treadway Commission (2004),
Enterprise Risk Management – Integrated Framework - Executive Summary, 2004.
Roles y Responsabilidades
La gestión de riesgos corporativos es responsabilidad de todos los integrantes de la
organización y cada nivel organizativo tiene un campo de acción específico. Mario
Ambrosone en publicación de página web de A&H Consultores estable las siguientes
responsabilidades para cada nivel de la organización:
Consejo de Dirección
- El Consejo de Dirección u organismo similar es el responsable de proveer una
supervisión de alto nivel de la gestión de riesgos corporativos. Su función principal
31
es revisar el riesgo asumido y compararlo con el apetito al riesgo definido
oportunamente.
- Es el responsable de seleccionar la gerencia; o sea que por carácter transitivo,
define qué se espera en términos de valores éticos e integridad.
- A su vez, se reserva la autoridad en ciertas decisión es clave, por lo que es el
principal definidor de la estrategia de la organización.
- Sus miembros deben ser capaces, objetivos e inquisidores.
- Deben utilizar la totalidad de los recursos con el objeto de conducir
investigaciones especiales y tener un canal de comunicación fluido con los
auditores internos y externos.
- Pueden utilizar Comités para que se ocupen de temas específicos, siendo los más
comunes los Comités de Auditoría.
Alta Gerencia
- La gerencia superior es directamente responsable por todas las actividades de la
entidad, incluyendo la gestión de riesgos corporativos.
- El CEO en el máximo responsable y debe asumir la “propiedad” del tema.
Además, puede influenciar al Consejo de Dirección.
- Sus responsabilidades incluyen verificar que todos los componentes de la gestión
de riesgos corporativos funcionan adecuadamente, objetivo que cumple
proporcionando liderazgo y dirección al resto de la alta gerencia, y reuniéndose
periódicamente con ellos para revisar sus responsabilidades.
- Con toda esta información, el CEO está en condiciones de monitorear las
actividades en relación al apetito al riesgo definido.
- El resto de la alta gerencia, generalmente a cargo de las unidades o áreas clave,
tienen la responsabilidad de administrar los riesgos relacionados con sus propias
áreas.
- Generalmente, hay gerentes con responsabilidades específicas de gestión de
riesgos. Los mismos juegan un rol más activo en el tema, y son los responsables de
ejecutar ciertos procedimientos de evaluación de riesgos y de establecer
respuestas.
32
- Otras funciones de staff, como Recursos Humanos, Compliance o Legales, tienen
roles relevantes en la definición o el diseño de algunos de los componentes del
framework
Oficial de Riegos
- Algunas compañías han establecido un coordinador centralizado para facilitar la
gestión de riesgos: el oficial de riesgos
- Suele tener responsabilidad en el monitoreo de la gestión de riesgos y en asistir a
otros gerentes en reportar la información relacionada con riesgos.
- Algunas compañías le han asignado este rol a un miembro de la alta gerencia con
otras funciones como el CFO o el Gerente de Auditoría, mientras que otras
entidades han considerado que la función es en sí tan relevante que requiere una
persona con dedicación full-time
- Para que su trabajo sea efectivo debe tener una dependencia directa del número
uno de la compañía.
- Sus responsabilidades son establecer las políticas de riesgos; ser facilitadores en lo
que a mecanismos de gestión de riesgos se refiere; establecer un lenguaje común
que incluya medidas comunes para el impacto y la probabilidad de ocurrencia, así
como categorías de riesgos estándares; y desarrollar herramientas de reporte y de
cuantificación de riesgos
Gerente de Finanzas
- Las áreas de “Finanzas” y “Control” son de una particular importancia debido a
que sus actividades tienen puntos de contacto con todas las unidades operativas y
de negocio.
- Estos ejecutivos generalmente son responsables de establecer planes y
presupuestos, y suelen ser claves en relación a la forma en que la organización
ejerce la gestión de riesgos.
- El CFO juega un rol crítico en el establecimiento de los objetivos, durante la
selección de la estrategia, y en el análisis de riesgos.
33
Auditores Internos
- Los auditores internos desempeñan un rol clave en evaluar la efectividad de la
gestión de riesgos, así como en la recomendación de aspectos susceptibles de
mejora.
- Dentro de sus responsabilidades, los auditores internos asisten al Comité de
Dirección y a la alta gerencia, examinando, evaluando, reportando y
recomendando mejoras en relación con la efectividad de la gestión de riesgos
corporativos de la entidad.
Otro Personal de la entidad
- Virtualmente, cada persona juega algún rol en la gestión de riesgos: o bien pueden
producir información utilizada durante el proceso, o pueden llevar a cabo acciones
necesarias para la ejecución de algunas de sus tareas asociadas.
- Por otro lado, todo el personal es responsable de mantener los flujos de
información y comunicación inherentes al proceso de gestión de riesgos.
Auditores externos
- Los auditores externos proveen al Comité de Dirección y a la alta gerencia de una
visión objetiva e independiente, que puede contribuir al logro de los objetivos de la
entidad.
- Adicionalmente a los estados financieros, el auditor externo puede generar
hallazgos de auditoría, información analítica y recomendaciones relacionadas con
la consecución de objetivos.
34
Entes reguladores
- Los entes reguladores afectan la administración de riesgos de diversas entidades,
ya sea mediante requerimientos para establecer determinados mecanismos de
gestión o a través de revisiones en organizaciones en particular.
- En el primero de los casos, una regulación puede proveer el impulso para que una
organización comience a asegurarse que la gestión de riesgos cumple con los
requisitos mínimos establecidos.
- Adicionalmente, la revisión en una entidad en particular por parte del regulador,
puede proveer información útil acerca del nivel de eficiencia en la gestión de
riesgos, e incluso a veces puede hasta generar recomendaciones para la solución de
las deficiencias detectadas.
Otros terceros
- Clientes, proveedores, socios de negocio y otros terceros que interactúan con la
entidad suelen ser una importante fuente de información utilizada en la gestión de
riesgos. Estos datos pueden ser sumamente relevantes para el cumplimiento de
objetivos, por lo que la entidad debe contar con mecanismos adecuados para
recibir dicha información en forma íntegra y oportuna.
- Los bancos, por ejemplo, puede requerir informes relacionados con el
cumplimiento de ciertas condiciones establecidas en un convenio crediticio.
- Del mismo modo, los analistas financieros y las agencias calificadoras solicitan y
analizan información relacionada con el cumplimiento de objetivos.
- Una tarea similar a la del punto anterior también es llevada a cabo por la prensa
escrita y otros medios de comunicación.
- Algunas organizaciones suelen tercerizar funciones de negocio, delegando las
actividades del día a día y el control de las mismas. En estos casos, la entidad no
puede ni debe renunciar a su responsabilidad de manejar los riesgos asociados con
estas tareas, por lo que está obligada a implementar un programa para monitorear
las mismas.
35
Superintendencia de Bancos y Seguros del Ecuador
Gestión del Riesgo Operativo - Resolución JB-2005-834
Definición del Riesgo
La codificación de resoluciones de la Superintendencia de Banco en su Libro I Normas
generales para las instituciones del sistema financiero, Titulo X, Capítulo I, Sección 1,
Artículo 2.1 define al riesgo como “la posibilidad de que se produzca un hecho
generador de pérdidas que afecten el valor económico de las instituciones”. Y en el
artículo 2.9 define al Riesgo Operativo como:
Es la posibilidad de que se produzcan pérdidas debido a eventos
originados en fallas o insuficiencia de procesos, personas, sistemas
internos, tecnología, y en la presencia de eventos externos
imprevistos. Incluye el riesgo legal pero excluye los riesgos sistémico
y de reputación.
Agrupa una variedad de riesgos relacionados con deficiencias de
control interno; sistemas, procesos y procedimientos inadecuados;
errores humanos y fraudes; fallas en los sistemas informáticos;
ocurrencia de eventos externos o internos adversos, es decir, aquellos
que afectan la capacidad de la institución para responder por sus
compromisos de manera oportuna, o comprometen sus intereses;
Tipos de Riesgo
De igual manera la codificación de resoluciones de la Superintendencia de Banco en su
Libro I Normas generales para las instituciones del sistema financiero, Titulo X,
Capítulo I, Sección 1, en su Artículo 2 detalla los siguientes tipos de riesgos:
- Riesgo de crédito;
- Riesgo de mercado;
- Riesgo de tasa de interés;
- Riesgo de tipo de cambio;
- Riesgo de liquidez;
- Riesgo Operativo;
- Riesgo legal; y,
- Riesgo de reputación.
36
Factores del Riesgo
De acuerdo a la norma de riesgo operativo emitida por la junta bancaria, las
instituciones del sistema financiero deben administrar adecuadamente los aspectos que
se detallan a continuación:
- Procesos.
- Personas.
- Tecnología de la Información.
- Eventos Externo.
Administración del Riesgo Operativo
Las instituciones están obligadas a implementar un sistema que permita una adecuada
identificación, medición, control o mitigación y el monitoreo de sus exposiciones a este
tipo de riesgo de tal forma que se pueda garantizar de forma razonable la estabilidad a
largo plazo y la continuidad del negocio.
Líneas de negocio y eventos de riesgo operativo
El sistema deberá permitir la identificación, para cada línea de negocio de los posibles
eventos de riesgo, agrupando los mismos por tipo de evento y determinando el origen o
factor como fallas del proceso, las personas, la tecnología de información y los eventos
externos.
Clasificación de eventos de Riesgo Operativo:
- Fraude Interno;
- Fraude Externo;
- Prácticas laborales y seguridad del ambiente de trabajo;
- Prácticas relacionadas con los clientes, los productos y el negocio;
37
- Daños a los activos fijos;
- Interrupción del negocio por fallas en la tecnología de información; y
- Deficiencias en la ejecución de procesos, en el procesamiento de
operaciones y en las relaciones con proveedores y terceros.
Gestión de Procesos
Un proceso es un conjunto de actividades secuenciales que permite la transformación de
unas entradas en bienes o servicios para la satisfacción de determinadas necesidades
identificadas en nuestros clientes o usuarios.
Se conoce como gestión de procesos a los mecanismos, medios y
procedimientos tendientes a la búsqueda de la mejora continua de un proceso,
entendiéndose que los mismos son siempre perfectibles.
Sistema de Gestión de Procesos
Madurez del Proceso.
Como base para nuestro trabajo hemos considerado las bases conceptuales del Modelo
de Capacidad y Madurez o CMM (Capability Madurity Model) publicado en 1991 por
el Instituto de Ingeniería del Software conocido como SEI por sus siglas en inglés
(Software Engineering Institute), mismo que nace como respuesta a los problemas de
mal funcionamiento e inconformidad respecto a las expectativas en los programas
informáticos. De acuerdo al SEI en el CMM se establece cinco niveles de madurez de
un proceso:
Inicial.- Las organizaciones en este nivel no disponen de un ambiente estable
para el desarrollo y mantenimiento de software. Aunque se utilicen técnicas
correctas de ingeniería, los esfuerzos se ven minados por falta de planificación.
El éxito de los proyectos se basa la mayoría de las veces en el esfuerzo personal,
38
aunque a menudo se producen fracasos y casi siempre retrasos y sobrecostes. El
resultado de los proyectos es impredecible.
Repetible.- En este nivel las organizaciones disponen de unas prácticas
institucionalizadas de gestión de proyectos, existen unas métricas básicas y un
razonable seguimiento de la calidad. La relación con subcontratistas y clientes
está gestionada sistemáticamente.
Definido.- Además de una buena gestión de proyectos, a este nivel las
organizaciones disponen de correctos procedimientos de coordinación entre
grupos, formación del personal, técnicas de ingeniería más detallada y un nivel
más avanzado de métricas en los procesos. Se implementan técnicas de revisión
por pares (peer reviews).
Gestionado.- Se caracteriza porque las organizaciones disponen de un conjunto
de métricas significativas de calidad y productividad, que se usan de modo
sistemático para la toma de decisiones y la gestión de riesgos. El software
resultante es de alta calidad.
Optimizado.- La organización completa está volcada en la mejora continua de
los procesos. Se hace uso intensivo de las métricas y se gestiona el proceso de
innovación.
Considerando que lo dicho anteriormente se diseñó para la gestión de proyectos
de desarrollo de software, hemos adaptado los siguientes niveles para medir la madurez
de los procesos del sector financiero.
Repetible.- En esta fase se ejecutan de forma constante una serie de pasos
secuenciales que generan un producto o servicio con unas características y una
variabilidad aceptable para satisfacer las necesidades del cliente.
Documentado.- El proceso ha sido definido y por tanto no solo se conocen los
pasos secuenciales del mismo, sino adicionalmente se tiene claramente identificados los
factores que permiten conseguir un producto o servicio dentro de los estándares
exigidos por nuestros clientes. Se conoce los factores de éxito, sus indicadores de
desempeño, los límites y responsabilidades de cada uno de sus actores.
39
Controlado.- Se ha implementado mecanismos que permitan la recolección de
datos para la medición y control de los indicadores de desempeño identificados. Se
dispone de datos estadísticos que permiten conocer la variabilidad del proceso y sus
causas.
Mejorado.- Se ha implementados mecanismos de análisis e identificación de
problemas y sus causas para la búsqueda e implementación de mejoras de forma
continua. Es decir se ha implementado la solución estructurada de problemas para
emprender con proyectos de mejora operativa o tecnológica de los procesos.
Modelamiento de Procesos
Es una técnica que permite de forma estructura la documentación de un proceso.
Mapa de Procesos y Cadena de Valor
Es una herramienta mediante la cual nos permite identificar en base al modelo de
gestión de la organización cuales son elementos de nuestros procesos los que generan
valor hacia nuestros clientes. Se denomina la cadena de valor y refleja en un mapa
conceptual los macro procesos que componen nuestro mapa de procesos y el inventario
de procesos, subprocesos y actividades que componen el mismo.
La Resolución JB-2005-834 de riesgo operativo, en su artículo 4.1 establece tres
tipos de procesos:
- Procesos Gobernantes o Estratégicos.- Se consideran a aquellos que
proporcionan directrices a los demás procesos y son realizados por el
directorio u organismo que haga sus veces y por la alta gerencia para poder
cumplir con los objetivos y políticas institucionales. Se refieren a la
planificación estratégica, los lineamientos de acción básicos, la estructura
organizacional, la administración integral de riesgos, entre otros;
- Procesos Productivos, claves o esenciales.- Son los procesos esenciales de
la entidad destinados a llevar a cabo las actividades que permiten ejecutar
40
efectivamente las políticas y estrategias relacionadas con la calidad de los
productos o servicios que ofrecen a sus clientes; y,
- Procesos Habilitantes o de apoyo.- Son aquellos que apoyan a los
procesos gobernantes y productivos, se encargan de proporcionar personal
competente, reducir los riesgos del trabajo, preservar la calidad de los
materiales, equipos y herramientas, mantener las condiciones de
operatividad y funcionamiento, coordinar y controlar la eficacia del
desempeño administrativo y la optimización de los recursos.
Medición y Control de Procesos
La medición y control de proceso tiene tres elementos principales que son:
- Indicadores de un proceso: Eficiencia, Eficacia y Productividad
- Levantamiento de datos de un proceso: Manual o Automática
- SLA y OLA de un proceso: Acuerdos de Servicio (Cliente Externo y
Acuerdo de nivel de operación (Clientes Internos)
La Mejora Continua.
Tiene los siguientes componentes básicos:
- Identificación de Oportunidades de Mejora
- Solución estructurada de problemas
- Mejoras Operativas o Rápidas.
- Mejoras Tecnológicas.
La Gestión de Procesos y La Gestión del Riesgo Operativo
La interacción entre estas dos disciplinas se da en dos etapas de la gestión de procesos:
- El diseño y levantamiento de procesos
- El monitoreo y seguimiento de su ejecución.
41
El modelo de gestión debe considerar maximizar la eficiencia de la
identificación de eventos de riesgo y monitoreo de las actividades de control de los
riesgos operativos con la implementación de los siguientes procedimientos:
- Levantamiento y diseño de procesos para Identificar Riesgos
- Levantamiento y diseño de procesos para Establecer Controles
- Monitoreo y evaluación de controles.
- El mejoramiento continuo del proceso.
MARCO LEGAL
El trabajo se lo realizará con la base legal expresada en el numeral 2.2 de éste
documento.
MARCO TEMPORAL, ESPACIAL
La presente investigación enfocará la recopilación de información de los eventos de
riesgo y evaluación de la madurez de los modelos de Gestión de Procesos y de Gestión
del Riesgo Operativo desde la apertura del banco en el año 2010, hasta el primer
trimestre del 2014.
42
CAPÍTULO III
PLANTEAMIENTO DE HIPOTESIS O PROPOSICIÓN
HIPOTESIS O PROPOSICIÓN GENERAL DE LA INVESTIGACIÓN
La implementación de un Sistema de Gestión de Procesos enfocado en fortalecer los
procesos críticos del banco, mediante la identificación temprana de eventos de riesgo
operativo, permitirá una eficiente evaluación, respuesta, comunicación y monitoreo de
los mismos dentro del sistema de Gestión del Riesgo Operativo del Banco del IESS.
HIPOTESIS O PROPOSICIONES ESPECÍFICAS DE LA INVESTIGACIÓN:
- El Modelo de Gestión de Procesos de BIESS no contiene elementos que permitan
una adecuada Gestión del Riesgo Operativo.
- La implementación de un sistema de Gestión de Procesos enfocada en los factores
del Riesgo Operativo permitirá mejorar la Identificación, Respuesta y Monitoreo de
los eventos de riesgo.
- El Marco Normativo, Organizacional y Funcional del Banco permitirá la
implementación de un sistema de Gestión de Procesos enfocada en el Riesgo
Operativo.
43
SISTEMA DE VARIABLES
HIP
OT
ES
IS:
La
imp
lem
enta
ció
n d
e un
Sis
tem
a d
e G
esti
ón
de
Pro
ceso
s en
foca
do
en
fo
rtal
ecer
lo
s pro
ceso
s cr
ític
os
del
ban
co,
med
ian
te l
a id
enti
fica
ció
n
tem
pra
na
de
even
tos
de
ries
go o
per
ativ
o,
per
mit
irá
un
a ef
icie
nte
ev
alu
ació
n,
resp
ues
ta,
com
un
icac
ión
y m
on
ito
reo
de
los
mis
mo
s d
entr
o d
el
sist
ema
de
Ges
tió
n d
el R
iesg
o O
per
ativ
o d
el B
anco
del
IE
SS
. VARIABLES INDICADORES
VARIABLE
DIRECTA
VARIABLE INDIRECTA
IDENTIFICACION
DE EVENTOS DE
RIESGO
Levantamiento e Identificación de
Procesos
Eventos de Riesgo
Identificados
Diseño de Procesos
Metodología de Gestión de
Procesos: Mapa de Procesos,
Inventario y Procesos Críticos
Manual de Revisión y Aprobación
VALORACIÓN
DEL RIESGO
Metodología de Evaluación del
Riesgo
Confiabilidad de la
Valoración del Riesgo
Probabilidad de Ocurrencia:
Volumen Transaccional
Impacto o Magnitud del Daño: Valor
Económico de la perdida
MEDIDAS DE
CONTROL O
MITIGACIÓN
Recursos Tecnológicos
Riesgo Residual
Recursos Humanos
Procesos
Recursos Financieros
MONITOREO DE
LAS MEDIDAS
DE CONTROL
Recursos Tecnológicos
Controles Eficientes
Recursos Humanos
Procesos
Recursos Financieros
MODELO DE
GESTIÓN DEL
RIESGO
OPERATIVO
Modelo de Negocio del Banco
Procesos Gestionados Mapa de Procesos e Inventario
Figura 3. Sistema de Variables de la Investigación
44
MARCO METODOLOGICO
Diseño de la Investigación
La presente investigación se realizara tomando como fuente de información la
documentación existente el Banco del IESS como son manuales y procedimientos que
permitan determinar el estado de madurez del sistema de gestión de procesos. De igual
manera se usa como base de análisis las matrices de riesgos identificados, los informes
de auditoría interna, externa y de los entes de control que supervisan la operación del
banco, para identificar las principales debilidades, causas y origen de los riesgos a los
cuales se encuentra expuesto el banco, lo cual nos permitirá identificar los elementos del
Sistema de Gestión de Riesgo Operativo que deben ser fortalecidos desde la gestión de
procesos.
Adicionalmente se realizar un investigación bibliográfica que permita la
identificación de mejores prácticas internacionales dentro de estas dos disciplinas que
permitan el planteamiento de un modelo de gestión que maximice la sinergia que estas
dos herramientas de gestión empresarial.
Tipo de Investigación
En una primera fase la investigación será exploratoria para evaluar la madurez de los
modelos de gestión implementados y su efectividad en el logro de los objetivos
planteados en sus respectivos ámbitos. La segunda fase se enfocara en una
investigación bibliográfica que permita la identificación de buenas prácticas
internacionales a fin de definir un modelo de gestión apropiado a las características
propias del modelo de negocio del BIESS.
45
Métodos de Investigación
El método a utilizar para la presente investigación será el inductivo ya que realizaremos
un análisis específico a un grupo de eventos de riesgo identificados para determinar sus
factores y variables de origen para luego generalizar al conjunto de eventos por tipo y
dentro de cada línea de negocio del Banco.
En todas las etapas de la investigación se utilizará diferentes métodos y técnicas,
tales como el método analítico sintético para analizar diferentes tratados teóricos de
diferentes autores y fuentes de información especializada, para sintetizar los
fundamentos teóricos de ésta investigación; el método analítico sintético nos permitirá
el análisis de los resultados para medir la madurez de los sistemas y la factibilidad de
implementación del modelo propuesto.
Población o muestra
No se definirá una muestra pues la investigación se enfocara en el conjunto de procesos
de negocio que conforman la cadena de valor dentro del mapa de procesos del banco del
IESS
Población
Procesos de la Cadena de Valor del Banco del IESS.
Técnicas e Instrumentos de Recolección de Datos.
En la investigación se utilizarán, entrevistas, registros de control, encuestas y técnicas
específicas para evaluación de riesgos operativo y para la determinación de la madurez
del modelo. Los instrumentos que básicamente se contarán serán actas de entrevistas,
matrices de Excel para evaluación, grabadoras, cámaras fotográficas, paquetes
informáticos para gestión de bases de datos y medios de almacenaje magnético de
información.
46
Técnicas de procesamiento y análisis de los datos
Con base a las características de los datos y en su momento se usarán medidas de
tendencia central que permitan la estandarización de los criterios.
Confiabilidad de validez de los instrumentos
Todos instrumentos para la recolección de información contarán con la firma de
responsabilidad de las responsables de cada proceso garantizando la confiabilidad de los
mismos.
47
CAPÍTULO IV
DESARROLLO DE LA INVESTIGACIÓN
EVALUACIÓN DEL SISTEMA DE GESTIÓN DE PROCESOS DEL BIESS
Madurez del Sistema
La madurez de un proceso como se lo había definido en el Marco Teórico viene dado en
cuatro etapas que son Proceso Repetible, Proceso Definido o Documentado, Proceso
Medido y Controlado y el Proceso Mejorado
Procesos Repetibles
El primer nivel corresponde a procesos que son repetibles, es decir son enteramente
empíricos y dependen enteramente del de la habilidad, conocimiento y experiencia del
ejecutor. El Banco del IESS obviamente por ser un negocio en marcha, los procesos del
Core de Negocio y de la Cadena de Valor en su mayoría son repetibles y generan
productos y servicios en condiciones y características razonablemente iguales es decir
con un rango de variabilidad y éxito aceptables, como se lo puede observar en el cuadro
siguiente, donde se resume la colocación del banco en estos cuatro años desde su
creación y apertura al público el 18 de octubre de 2010.
48
Figura 4. Operaciones de crédito hipotecario concedidas 2010 - 2014
Nota Fuente: Coordinación de Estudios y Planificación del BIESS
Procesos Definidos
El siguiente nivel corresponde a procesos definidos, lo cual se caracteriza por tres
elementos importantes:
- Procesos documentados;
- Indicadores de desempeño identificados; y,
- Niveles de servicio establecidos, por sus siglas en ingles conocidos como
SLA (Service Level Agreement) y OLA (Operative Level Agreement).
En los procesos del banco podemos observar que tiene parte de los elementos que
caracterizan a esta etapa de madurez de un proceso.
1,000
6,000
11,000
16,000
21,000
26,000
31,000
2010 2011 2012 2013 2014
3,439
21,512
25,228 28,733
24,496
BANCO DEL IESS PRESTAMOS HIPOTECARIOS
Número de Operaciones Concedidas
49
Elementos de la Etapa de Procesos Documentados
De la información recibida del banco podemos identificar los siguientes componentes
de la documentación de soporte del modelamiento de procesos que caracterizan a esta
etapa de madurez de un proceso:
Mapa de Procesos del BIESS
El Directorio del Banco mediante resolución No. BIESS-016-2011 expide el PLAN
ESTRATÉGICO el cual se estableció la misión, visión y valores del banco, mismos que
se detallan continuación.
Misión
Administrar, de manera eficiente, los recursos previsionales de los asegurados
generando operaciones financieras con retorno social y económico adecuado, que
contribuyan a impulsar la producción, creen valor agregado y garanticen nuevas fuentes
de empleo.
Visión
Ser la institución Financiera Pública reconocida por la excelencia en la generación de
rendimientos y servicios financieros para beneficio de los asegurados del IESS, la
integridad de su gente y su contribución al desarrollo nacional.
Valores
- Compromiso institucional.
- Vocación de servicio a los asegurados.
- Integridad.
- Liderazgo de los mandos medios.
- Orientación a resultados.
- Mejoramiento Continuo.
50
En abril de 2011 con resolución administrativa No. 001-GRIE-GEPL-GGEB-2011 el
Gerente de General resuelve aprobar y expedir el Mapa de Procesos Institucional del
Banco del Instituto Ecuatoriano de Seguridad Social, documento en el cual se presentan
algunas definiciones generales que recogemos a continuación y que nos permitirán
evaluar el estado actual de la documentación de los procesos y su documentación de
soporte:
DEFINICIONES GENERALES:
PROCESO
Es un desarrollo ordenado y secuencial de una serie de actividades, a partir de
entradas que van añadiendo valor en la búsqueda de satisfacer las necesidades y
expectativas de los afiliados y jubilados.
Figura 5. El Proceso
Nota fuente: Mapa del Procesos del BIESS- Resolución No. 001-GRIE-GEPL-GGEB-2011
El conjunto de actividades del Banco forman un proceso, el cual tiene una
finalidad que es hacer posible la misión del Banco. Este proceso adecuadamente
desplegado se descompone en otros procesos de nivel inferior.
ACTIVIDAD ACTIVIDAD ACTIVIDAD
ENTRADA SALIDA
51
TODO PROCESO TIENE UN “PROVEEDOR” DIRECTO Y UN
“CLIENTE” DIRECTO, YA SEA INTERNO O EXTERNO
Figura 6. Elementos del proceso
Nota fuente: Mapa del Procesos del BIESS- Res. No. 001-GRIE-GEPL-GGEB-2011
Un proceso debe cumplir las siguientes condiciones:
- Realizarse de manera repetida, sistemática y medible buscando obtener
resultados útiles para clientes internos o externos.
- Tener una cierta entidad y complejidad. Debe ser un conjunto de
actividades de trabajo interrelacionadas que entre sí, que están
caracterizadas por un conjunto de entradas (inputs) específicos y tareas de
valor añadido que producen un conjunto de resultados (outputs) específicos
DIAGRAMA DE PROCESOS
Figura 7. Diagrama de componentes del proceso
Nota fuente: Mapa del Procesos del BIESS- Res. No. 001-GRIE-GEPL-GGEB-2011
Actividades
SALIDA ENTRADA
Recursos
Proveedor Cliente
52
El diagrama consiste en la representación de la actividad, como un rectángulo, al
cual le rodea cuatro tipos de flechas (en sustantivo), como se puede observar en el
gráfico. Las flechas de entradas son los insumos que recibe la actividad. Las
flechas de salidas son los resultados de una actividad, también representados por
los productos y/o servicios. Las flechas de controles son aquellos elementos que
representan un control y/o guía para realizar las actividades. Finalmente las
flechas de mecanismos son los elementos que representan los recursos utilizados
para realizar las actividades.
El siguiente paso es el desarrollo de los procesos y sus secuencias con un enfoque
sistémico. Un enfoque sistémico parte de una visualización global o genérica, que
gradualmente va bajando por niveles hasta llegar a un nivel de mayor detalle.
Figura 8. El Proceso y su desagregación
Nota fuente: Mapa del Procesos del BIESS- Res. No. 001-GRIE-GEPL-GGEB-2011
PROCEDIMIENTOSPROCEDIMIENTOS
FUNCION1 FUNCION2 FUNCION3
INICIO
FINAL
FINAL
FUNCION1 FUNCION2 FUNCION3
INICIO
FINAL
FINAL
53
El nivel de detalle depende mucho de la necesidad de minucia que se requiera
como guía de trabajo.
Como se puede apreciar para la identificación y elaboración del mapa de
procesos se utilizaron conceptos comúnmente aceptados referentes a la
definición y los niveles de desagregación de un proceso desde un nivel
macro hasta el nivel de tareas.
En dicho documento se resalta las bondades de un modelo de gestión
basado en procesos de uno basado en funciones. A continuación
presentamos el cuadro comparativo de las principales características de
estos dos modelos de gestión que hemos encontrado en dicho documento.
Figura 9. Gestión de Procesos y Gestión Funcional
Nota fuente: Mapa del Procesos del BIESS- Res. No. 001-GRIE-GEPL-GGEB-2011
54
ORGANIZACIÓN
FUNCIONAL
GESTION POR
PROCESOS
Organización por Departamentos/Producto Organización por Procesos
Autoridad Jefes Departamentales Autoridad responsables del proceso
Principio de jerarquía y de control Principio de autonomía y de autocontrol
Orientación hacia el jefe o departamento Orientación hacia el cliente
Ejercicio del mando por supervisión
vigilancia
Ejercicio del mando por excepción, apoyo o
control
Principio de eficiencia: Ser más productivo Principio de eficiencia: Ser más competitivos
Como hacer mejor lo que siempre hemos
hecho Para quien lo hacemos y que debemos hacer
Compartimentación, visión vertical Eliminación de barreras, visión transversal
Enfoque a la línea jerárquica Enfoque al cliente externo
La línea jerárquica ejerce su poder personal
sobre recursos humanos y técnicos
Los recursos humanos y técnicos se utilizan
para aportar valor a los clientes
No hay responsabilidad de todo el proceso Existe responsabilidad sobre el conjunto de las
actividades del proceso
El cliente ve la estructura. El organigrama es
visible El cliente ve el proceso horizontalmente.
Las actividades se encuadran en el
Departamento
Las actividades se estructuran en procesos
Figura 10. Gestión de Procesos y Gestión Funcional
Nota fuente: Mapa del Procesos del BIESS- Res. No. 001-GRIE-GEPL-GGEB-2011
Es importante recalcar que estos dos modelos lejos de ser antagónicos son
complementarios ya que la visión funcional nos permite establecer roles y
responsabilidades dentro una organización mientras por otro lado la visión
de procesos nos permite identificar los factores claves de éxito del proceso
y que se traducen en el logro del fin último y razón de ser toda
organización como es la supervivencia en el tiempo, misma que se logra
mediante el lograr la satisfacción de todos los grupos de interés, llámense
estos clientes, accionistas o dueños y la sociedad en general.
55
Estructura del Mapa de Procesos del BIESS
Figura 11. Mapa de procesos del BIESS
Nota fuente: Mapa del Procesos del BIESS- Res. No. 001-GRIE-GEPL-GGEB-2011
Con el objeto de garantizar la optimización de los recursos y la
estandarización de las actividades, el BIESS cuenta con procesos definidos
de conformidad con la estrategia, y las políticas adoptadas y aprobadas por
el Directorio, que son agrupados de la siguiente manera:
- Procesos Gobernantes o Estratégicos.- Se considerarán a aquellos que
proporcionan directrices a los demás procesos y son realizados por el
directorio y la gerencia general. Se refieren a los lineamientos de acción
básicos, la estructura organizacional, la administración integral de los
riesgos, entre otros. Procesos estratégicos son aquellos que trasladan los
valores de la organización a todos los demás procesos, estableciendo
formas de actuación internas, relaciones con la sociedad y la estructura de
gestión de la organización.
56
- Procesos Productivos o Clave.- Son los procesos esenciales del BIESS
destinados a llevar a cabo las actividades que permitan ejecutar
efectivamente las políticas y estrategias relacionadas con la calidad de los
productos y servicios que se ofrecen a los afiliados y jubilados,
contribuyendo directamente a satisfacer sus necesidades y requerimientos.
- Procesos habilitantes o de Apoyo.- Son aquellos que apoyan a los
procesos gobernantes y productivos ( de negocio), se encargan de
proporcionar personal competente, reducir los riesgos del trabajo,
seguridad, preservar la calidad de los materiales, equipos y herramientas,
mantener las condiciones de operatividad y funcionamiento, coordinar y
controlar la eficacia del desempeño administrativo y la optimización de los
recursos. Los procesos de soporte están centrados en dar soporte a los
clientes internos.
Inventario de Procesos
En el inventario de procesos del banco (Anexo 2) podemos apreciar que están
identificados hasta los procesos de nivel 2, es decir se muestran los Macro Procesos
(nivel 0), los Procesos (Nivel 1) y los Sub procesos (Nivel 2), así como también la
clasificación de tipo de proceso y la unidad funcional responsable de su ejecución.
Del análisis realizado a la información recibida y dado la antigüedad del
inventario de procesos y considerando que el banco no ha implementado
procedimientos de control y actualización del inventario de procesos se puede
determinar que el mencionado documento no representa la realidad del momento del
banco y por ende no cumple el rol para el cual fue concebido, es decir no permite
dimensionar la estructura de procesos del banco y sus correspondientes inter relaciones
que permiten identificar los componentes claves de la cadena de valor y peor aún los
riesgos a los cuales está expuesto todo el sistema productivo y administrativo del
modelo de negocio del banco.
57
El documento como tal desde su origen muestra una falencia en su nivel de
detalle al solo llegar al nivel de Sub Procesos, los cual genera que no exista una
adecuada visión de sistema del conjunto de procesos, pues son las actividades en
conjunto con los entradas y salidas de cada proceso lo que nos permite identificar las
relaciones e inter dependencias del sistema. Es importante señalar que un elemento
clave de la gestión de procesos es la adecuada delimitación e identificación de
responsables de un proceso y por ende considerando que un proceso está compuesto por
actividades ejecutadas en forma secuencial por diferentes áreas funcionales, son estas
finalmente las que nos permiten visualizar de forma clara el alcance de un proceso y sus
diferentes actores con sus respectivos ámbitos de responsabilidad, definidos en las
entradas y salidas de cada actividad que conforman la denominada Cadena de Valor,
elemento fundamental de la Gestión de Procesos y la Gestión del Riesgo Operativo.
Procesos documentados en Manuales de Procedimientos e Instructivos
Caracterización del Proceso: De la revisión realizada a la documentación de los
procesos, correspondientes a Manuales de Procedimientos e Instructivos se puede
evidenciar que los mismos no muestran en su contenido de forma metodológica los
elementos o componentes de un proceso. En la documentación se puede ver la
existencia de una secuencia de actividades diagramadas pero no es posible determinar
con claridad las entradas de cada proceso con sus respectivos proveedores y de igual
manera las salidas o productos con sus correspondientes clientes y menos aún la
igualdad que debe existir entre salidas de un procesos con la correspondiente entrada
al siguiente acorde a la cadena de valor del modelo de negocio. Esta igualdad es la
clave que permite identificar la interacción que existe entre todos los procesos de un
modelo y por consiguiente son las interfaces de un sistema. Una salida sin un cliente
es un desperdicio y una entrada sin un proveedor será siempre un riesgo de para del
proceso al no disponer de todos los insumos para la su ejecución.
58
Otro factor importante es la descripción de las condiciones de aceptación y
salida de cada insumo y producto respectivamente.
La descripción adecuada de cada uno de los medios requeridos para ejecución
del proceso es fundamental ya que la omisión de los mismos lleva una visión
incompleta del sistema a no estar contemplada en la descripción las acciones y
delimitación de la acción de las personas (recurso humano), las herramientas (recursos
tecnológicos) y la infraestructura e insumos (recursos materiales). Recordemos que los
factores del riesgo operativo son precisamente los procesos, las personas, la tecnología y
otros factores externos.
Procesos Transversales a las Áreas Funcionales: Entre la documentación analizada
tenemos los siguientes manuales:
- Manual Operativo del Área Administrativa.
- Manual Operativo del Área Financiera y de Operaciones.
- Manual Operativo de Contabilidad y Presupuesto.
- Manual Operativo de Crédito Hipotecario.
- Manual Operativo de Crédito Quirografario.
- Manual Operativo de Crédito Prendario.
- Manual Operativo de Pagos.
- Manual Operativo de Estudios y Planificación.
- Manual Operativo de Gestión Legal.
- Manual Operativo de Inversiones.
- Manual Operativo de Mercadeo de Productos y Servicios.
- Manual de Procedimientos de Tesorería.
- Manual Operativo de Relaciones Públicas y Comunicaciones.
De la revisión realizada se puede determinar que la documentación no corresponde a
una visión de la gestión basada en procesos, ya que hace la descripción de las
actividades y funciones correspondientes a áreas funciones específicas, perdiendo la
perspectiva de transversalidad de los procesos que atraviesan o van decantando de
59
forma vertical en cada silo funcional las actividades que son de responsabilidad de
cada área o unidad. Esto se puede evidenciar en muchos de los documentos ya que sus
mismos nombres lo expresan con claridad el alcance de su contenido enunciado como
“Manual Operativo del Área”
Adicionalmente dentro de los participantes podemos encontrar como
participantes tanto a unidades funcionales como personas con sus cargos y rol funcional,
lo cual nos muestra que no existe un nivel uniforme de diagramación de los procesos y
por lo tanto no existe una clara identificación de los intervinientes con sus
responsabilidades dentro del mismo así como su alcance. La definición de
responsabilidades y alcance es fundamental para la posterior medición e identificación
de las fallas en los procesos así como sus causas y efectos. De igual manera esta
delimitación nos permite hacer una adecuada Gestión del Riesgo Operativo al poder
identificar dentro del proceso las características y naturaleza de las actividades con sus
actores o personas responsables de su ejecución.
Actividades = Unidades Funcionales de la Organización.
Tareas = Roles Funcionales de las Personas.
Indicadores de Desempeño: Ninguno de los documentos tiene identificado
indicadores de desempeño para ninguno de los procesos.
Mapa de Riesgos y Controles: El poder identificar dentro de la organización cada
uno de los riesgos operativos a los cuales está expuesta en su diario accionar es
fundamental para una adecuada Gestión del Riesgo Operativo, ya que esto permite a
los actores del proceso tener un nivel de conciencia y participar activamente en la
generación de una ambiente de control adecuado. Esta identificación de los riesgos y
su valoración en función del impacto que podrían causar unido a su identificación
plena dentro del mapa de procesos permite a los usuarios responsables de su ejecución
el adecuado dimensionamiento de su exposición durante la ejecución de una u otra
tarea y la importancia relativa de los controles implementados. Son los actores del
proceso que tienen una visión más clara de las implicaciones de los controles
propuestos y su efectividad.
60
Procesos Controlados.
Como es evidente al estar identificados los indicadores de desempeño de un proceso,
tampoco existen datos que permitan determinar el desempeño de un proceso, por lo
cual esta es una esta etapa de madurez que los procesos del BIESS no han alcanzado.
Etapa fundamenta para la toma de decisiones basada en hecho y datos que permiten
reducir la incertidumbre y sobre todo el enfoque de las posibles soluciones o mejoras a
las causas más predominantes de los problemas de cada proceso.
Procesos Mejorados.
Para el mejoramiento de procesos se obtiene información de varias fuentes de
retroalimentación respecto al desempeño del proceso, a los riesgos identificados con
sus controles, así como la eficiencia de los mismos al mitigar la posibilidad de
materialización de los mismos o de sus impactos. Entre las principales fuentes
tenemos: 1) Historial de pérdidas o fallas del proceso; 2) La matriz de riesgos
identificados por el sistema de control interno; 3) Los informes de auditoría tanto
interna como externa que alertan de vulnerabilidades o debilidad en los controles.
EVALUACIÓN DEL IMPACTO EN LA IDENTIFICACIÓN Y MONITOREO DEL
RIESGO OPERATIVO DEL BIESS.
Identificación de Eventos de Riesgo.
Un elemento fundamental de la Gestión del Riesgo es la identificación de eventos
derivados de las fallas o insuficiencias en los procesos, personas, tecnología o por
eventos externos que de materializar podrían causar pérdidas económicas a la
organización.
Entre los principales factores que establece la metodología de Coso ERM, están
las técnicas de identificación de eventos de riesgo, siendo de las más conocidas y con
mayor facilidad y efectividad en su aplicación al riesgo operativo las siguientes:
61
- Análisis de flujos de procesos.
- Inventario de eventos.
- Análisis estadístico basado en información histórica (de la
empresa/sector).
- Entrevistas y cesiones grupales guiadas por facilitadores.
El análisis de flujos de procesos es fundamental para la Gestión del Riesgo
operativo, ya que con un adecuado nivel de detalle en la descripción de la secuencia de
actividades y tareas del proceso; identificación precisa de sus actores y sus
responsabilidades; determinación de las herramientas utilizadas para la ejecución del
proceso y su la identificación plena de las interacciones del proceso con su entorno o
procesos relacionados, mediante la recepción de insumos o entrega de productos en sus
diferentes interacciones como proveedor o cliente interno.
Del análisis de flujos se puede partir hacia el uso de técnicas de identificación
complementarias como son entrevistas y cesiones grupales que buscan el juicio de
expertos que permitan identificar, dentro del flujo de proceso, posibles eventos de
riegos, su probabilidad de ocurrencia y su posible impacto.
Anclado al flujo se generan inventario de eventos identificados así como la
información estadísticas de la materialización histórica de los mismos, lo cual permite
realizar proyecciones con niveles de incertidumbre menor al estar basada en tendencias
históricas de los hechos ocurridos.
Como podemos apreciar cualquier técnica de identificación de eventos de
riesgos operativos terminará dependiendo de la confiabilidad de los flujos de procesos
levantados y la riqueza de información que estos proveen a los responsables de dicha
identificación. Siendo los procesos el origen en sí de los riesgos operativos es lógico
que una adecuada gestión de los mismos incida en forma directa en la Gestión del
Riesgo Operativo.
62
Actividades de Control.
Estas constituyen las políticas, normas y procedimientos que permiten asegurar el
cumplimiento de las respuestas establecidas para cada evento de riesgo identificado.
Estas respuestas están presentes en todos los niveles de la organización y de forma
transversal al igual que el proceso. De la revisión realizada a los procesos del banco
podemos establecer que existe un conjunto de actividades de control tales como
verificaciones, conciliaciones de cuentas versus módulos transaccionales, niveles de
aprobación diferenciados de los niveles ejecutores, segregación de funciones y
seguridad en la gestión de los activos; sin embargo no se puede evidenciar una
correlación directa entre los actividades de control con sus correspondientes eventos
de riesgo identificados en la matriz de riesgos del BIESS. Como se puede apreciar en
el ejemplo siguiente tomado de la Matriz de Riesgos Operativos de una de las
gerencias del BIESS (Anexo1), la matriz de riesgos está configurada en base a las
áreas funcionales y la referencia del proceso expuesto al evento de riesgo no tiene
ninguna relación con el mapa e inventario de procesos del banco; lo cual nos permite
establecer que la evaluación del riesgo residual no tiene suficientes elementos de
juicio para su cálculo o peor aún no existen medios que permitan evaluar el
desempeño de estas actividades de control en relación al factor del riesgo y su origen.
No 1
FECHA 31/08/2011
MACRO-PROCESO OPERACIONES
PROCESO MANTENIMIENTO (PH)
SUBPROCESO DESEMBOLSO
AREA
RESPONSABLE HIPOTECARIOS
FACTOR DE RIESGO PROCESOS
TIPO DE EVENTO Deficiencias en la ejecución de procesos, en el procesamiento de
operaciones y en las relaciones con los proveedores.
EVENTO DE RIESGO Interrupciones de negocio y fallas en los sistemas.
63
RIESGO Posible riesgo de fallas o manipulación de la información al realizar
pagos manuales, posible evento de fraude interno.
FALLA O
INSUFICIENCIA
Se realizan pagos manuales debido a que no se encuentra desarrollado
completamente el producto Compra de terreno y construcción y
Sustitución de Hipoteca en el sistema de préstamos hipotecarios, por lo
que la fase del desembolso automático no existe.
Figura 12. Riesgo operativo en créditos hipotecarios
Nota fuente: Matriz de Riesgo Operativo del BIESS - 2011
Los macro procesos de acuerdo al Inventario de procesos del banco (Anexo 2),
vigente a la fecha de registro de la matriz de riesgo operativo, no existe ningún macro
proceso denominado “Operaciones” y tampoco el proceso denominado “Mantenimiento
(PH)”. El sub proceso “Desembolso” es parte del proceso “Crédito Hipotecario” pero
no se especifica el macro proceso al cual corresponde el mismo. El inventario no
contempla la línea de negocio a la cual corresponden dichos procesos, incumplimiento
lo establecido en la resolución JB-834-2005 de Riesgo Operativo de la Superintendencia
de bancos.
En lo referente al área dueña de dichos procesos y por ende responsable de
ejecutar las acciones de control determinadas como respuesta al riesgo identificado,
hemos verificado en el Manual Orgánico Funcional del BIESS y no existe ninguna área
con esa denominación, por lo cual la ejecución de las actividades de control no estarían
cargo de ninguna área funcional del banco y por ende la efectividad y eficiencia de la
respuesta al riesgo sería prácticamente nula.
Similares problemas se puede observar en los restantes registros de la matriz de
riesgo operativo, evidenciándose de forma frecuente la confusión entre un macro
proceso y las denominaciones de las unidades funcionales tales como: Estudios y
Planificación, Proyectos, Crédito y Operaciones entre otras. En conclusión el no
disponer de una herramienta que permita identificar de forma clara los procesos donde
se originan cada uno de los riesgos a los cuales el banco está expuesto, hace que su
evaluación, respuestas y actividades de control no cumplan con el objetivo deseado.
64
Monitoreo del Riesgo Operativo.
Al igual que cualquier sistema, el de gestión de riesgo operativo debe contemplar la
revisión de sus componentes y la correspondiente evaluación de funcionamiento a lo
largo del tiempo. Dichas revisiones son llevadas a cabo mediante supervisión
continua, evaluaciones independientes o una combinación de ambas. Esto se define
en función de la complejidad de la organización y sobre todo de la evaluación del
riesgo basada en la madurez del sistema.
De la revisión realizada el banco dispone de la siguiente documentación
referente al sistema de Gestión del Riesgo Operativo:
NOMBRE DEL DOCUMENTO OBSERVACIÓN
Políticas de administración integral de riesgos BIESS 015 2010;
Políticas de Continuidad del Negocio BIESS-21-2013
Política de Seguridad de la Información BIESS 008 2011; R. BIESS 003 2013
Manual de Administración Integral de Riesgos BIESS 011 2012; R. BIESS018 2013
Reglamento Comité Administración Integral de
Riesgos BIESS 016 2010
Reglamento Comité Calificación de Activos de Riesgo BIESS 031 2011
Reglamento de Seguridad de la Información BIESS 004 2013
Figura 13. Normativa referente a Riesgo Operativo aprobada
Nota fuente: Intranet Banco del IESS - Secretaría General 2014
Siendo los componentes de seguridad de la información los más relevantes
dentro del marco normativo interno vigente, ya que al momento se encuentra en estado
de elaboración los elementos normativos que permitirían viabilizar la implementación
del sistema, siendo estos los que se detallan a continuación:
NOMBRE DEL DOCUMENTO TD
Reforma a la Política Integral de Riesgos sobre Riesgo Operativo PL
Manual General de Gestión de Seguridad de la Información MG
Manual General de Continuidad del Negocio MG
Metodología de Gestión del Riesgo Operativo MT
Metodología de Continuidad del Negocio MT
Figura 14. Normativa referente a Riesgo Operativo en proceso de aprobación
Nota fuente: Informes de seguimiento - Departamento de Calidad y Procesos
65
Como se puede apreciar los componentes del sistema están en etapa de
construcción por lo cual es evidente que los procesos de monitorio y supervisión
continua del sistema no existen o se los realiza de manera muy insipiente sin que pueda
evidenciarse de manera estructurada la existencia de datos que permitan realizar una
evaluación de la efectividad de las respuestas al riesgo, las actividades de control y peor
aún del sistema en sí.
En las evaluaciones independientes realizadas por las diferentes auditorias tanto
internas como externas de los entes de control y de la auditora externa contratada se
puede evidenciar numerosas observaciones referentes al ambiente de control y por ende
a la Gestión del Riesgo. A continuación presentamos un cuadro resumen de las
observaciones levantadas por los entes de control y el estado de implementación de las
recomendaciones planteadas al 31 de Julio de 2014
ESTADO DE
IMPLEMENTACIÓN CANTIDAD %
Recomendaciones Cumplidas 44 16%
Recomendaciones en Proceso 110 41%
Recomendaciones Vencidas 111 41%
Recomendaciones Sin Fecha 3 1%
TOTAL RECOMENDACIONES 268 100% Figura 15. Implementación recomendaciones entres de control
Nota fuente: Oficio BIESS-O-AUIN-159-2014
66
Figura 16. Cumplimientos de observaciones entes de control
Nota fuente: Oficio BIESS-O-AUIN-159-2014
Como parte del proceso de supervisión permanente existen un sin número de
actividades a través de las cuales los diferentes niveles de la organización realizan un
monitoreo del desempeño de los sistemas, monitoreo que está sustentado básicamente
en la revisión de indicadores tanto del proceso como del negocio. Entre las más
utilizadas podemos mencionar resúmenes de ventas, devoluciones, despachos
retrasados, faltantes y sobrantes de caja, resúmenes de cartera, colocación de cartera,
solicitudes en proceso, presupuestos, informes de riesgos, porcentajes de avance de
proyectos estratégicos, en fin un sin número de reportes e informes de las diferentes
áreas de la organización. Informes que traducidos en indicadores de desempeño y
gestión permitirán a todos los niveles tener información clave para una oportuna
reacción ante una sobre exposición al riesgo.
Los indicadores de gestión y desempeño son la esencia de la Gestión de
Procesos, ya que como premisa para el mejoramiento está el control del proceso
67
mediante la medición de su desempeño que generan información basada en hechos para
la toma de decisiones y una eficiente asignación de recursos basada en análisis de causa
y efecto, también conocida como solución estructurada de problemas, que implica el
levantamiento de datos, el análisis de los mismos, la identificación de las causas y sus
efectos, para finalmente realizar un determinación de las principales causas a corregir y
que ocasionan la mayor cantidad de problemas, aplicando el principio de Pareto,
también conocido como la regla del 80-20.
DEFINICIÓN DEL MODELO DE GESTIÓN DE PROCESOS.
El modelo de gestión de procesos a plantearse busca establecer una estructura
normativa y operativa que permita a la organización mecanismos de autodepuración,
basados en el análisis de hechos y datos obtenidos de la gestión diaria de cada uno de
sus procesos, con un enfoque adicional para la generación de herramientas confiables
y de fácil aplicación para la identificación del riesgo, determinación de las actividades
de control y el posterior monitoreo o supervisión del sistema, lo cual conllevara a
tener un impacto positivo en la Gestión del Riesgo Operativo y por ende a la
generación de un adecuado ambiente de control en la organización.
El gráfico que se muestra a continuación muestra las cuatro grandes fase de la
madurez de un proceso que el sistema buscara alcanzar con cada uno de los procesos del
banco. El sistema buscará generar las herramientas y el entorno necesario para el auto
mejoramiento continuo de los procesos. Mejoramiento enfocado en la reducción de la
variabilidad de los resultados, el incremento de la productividad pero sobre todo en la
reducción de los desperdicios o pérdidas ocasionadas por la materialización de eventos
de riesgo operativo.
68
Figura 17. Ciclo de Madurez del Proceso
Nota Fuente: Adaptado de los niveles de madurez del CMM
Definición del Proceso.
Levantamiento y documentación del Proceso.
Definición de modelos para el levantamiento y documentación
El primer paso para un adecuado levantamiento es la preparación de las herramientas
necesarias que permitan plasmar de forma clara las características del proceso y todos
sus componentes con sus interacciones en el sistema.
La preparación generara todos los formatos magnéticos e impresos necesarios
para el relevamiento de información, análisis y síntesis para la documentación de los
procesos.
- Mapa de Procesos y Cadena de Valor
- Inventario de Procesos
- Caracterización del Proceso (SIPOC)
- Jerarquía Documental (Pirámide documental)
- Políticas y Normas
- Manuales e Instructivos
69
Mapa de Procesos y Cadena de Valor del BIESS.
La identificación del mapa de procesos y la cadena de valor del banco debe iniciar con
la identificación de los elementos que caracterizan el Macro Proceso llamado Banco.
Debemos tener en cuenta que toda organización, sin importar su finalidad, nace en las
personas y deja de existir debido a ellas. En otras palabras las organizaciones tienen su
origen en la identificación de una necesidad de las personas, misma que mediante la
generación de un producto o prestación de un servicio se busca satisfacer. El éxito o
fracaso viene dado precisamente en la capacidad de entender dicha necesidad y los
elementos que generen la satisfacción de la misma. Esta capacidad es traducida en un
conjunto de actividades desarrolladas y que pueden ser agrupadas y clasificadas en
función de su incidencia para el logro de dicho objetivo y se la denomina Cadena de
Valor.
En el siguiente cuadro podemos apreciar los elementos de un proceso que deben
ser considerados a momento de modelar el mapa de procesos y la cadena de valor de
una organización.
Figura 18. Elementos del Proceso
Nota Fuente: Adaptado de ISO 9001:2008
La identificación, agrupación y clasificación de estas grandes actividades debe
nacer de una reflexión acerca de las actividades que se desarrollan en la organización y
de cómo éstas influyen o se orientan hacia la consecución del producto o servicio que
permitirá satisfacer la necesidad identificada en nuestros clientes.
70
Acorde a la normativa de Riesgo Operativo de la Junta Bancario JB-2005-834
los procesos de una institución financiera debe será agrupados en:
- Procesos Gobernantes o Estratégicos;
- Procesos Productivos o claves;
- Procesos Habilitantes o de Apoyo.
Figura 19. Elementos del Proceso BIESS
Nota Fuente: Adaptado del Mapa de Procesos del BIESS
Acorde al modelo planteado el Mapa de Procesos y la Cadena de Valor se
representarán con el siguiente diagrama.
71
Figura 20. Elementos del Proceso y Cadena de Valor BIESS
Nota Fuente: Adaptado del Mapa de Procesos del BIESS
Figura 21. Cadena de Valor y Macro Procesos BIESS
Nota Fuente: Adaptado del Mapa de Procesos del BIESS
72
Inventario de Procesos.
Partiendo del mapa de procesos podemos empezar la identificación de los componentes
de cada una de estas macro actividades y sus interacciones con el resto de procesos que
conforman el sistema. Es importante tener claro que las interacciones entre cada uno
de los procesos se dan básicamente mediante el intercambio de productos o servicios
ya sea en calidad de proveedor de un insumo o como cliente del mismo.
Para estructurar de forma adecuada el inventario de procesos es importante tener
claro el esquema y jerarquía de los diferentes niveles de diagramación de los procesos.
Figura 22. Jerarquía de Procesos
Nota Fuente: Adaptado del Mapa de Procesos del BIESS
73
Como se puede apreciar en la gráfica anterior los niveles 3 y 4 han sido
diferenciados con el color verde y amarillo, esta diferenciación se la hace ya que son en
estos niveles donde se hace operativa la gestión de procesos, siendo los restantes
niveles, agrupaciones que pueden variar dependiendo de factores subjetivos y del
alcance que el analista de procesos desee darle a cada segmento del proceso. Por el
contrario las actividades son responsabilidades concretas que deben ser ejecutadas por
cada una de las áreas funcionales de una organización, de igual manera acontece con las
tareas, salvo que estas son ejecutadas por personas con roles funcionales específicos.
La definición de responsabilidades y el alcance de estas dentro del proceso son
las claves para la gestión de un proceso, ya que esto nos permite poder establecer puntos
de control en tramos específicos del proceso para medir dos tipos de indicadores básicos
como son eficacia en función del número de reprocesos y de eficiencia basados en los
tiempos de ejecución. De igual manera es en las actividades donde se generan los
eventos de riesgo operativo ya sea por una falla en su diseño, una mala ejecución o por
fallas en los sistemas de apoyo, por lo cual es precisamente en ellas donde se plantean
las actividades de control para dar respuesta a dichos riesgos. Estos dos elementos
(riesgo y actividad de control) son piezas claves que deben ser incluidas dentro del
mapa de procesos y su inventario, lo cual incidirá de forma directa en su gestión al
mejorar los procesos de comunicación y difusión de información creando cultura de
gestión de riesgos.
Para la documentación de los procesos de cada uno de los diferentes niveles se
sugieren las siguientes convenciones utilizadas como nomenclatura entre los
profesionales de la gestión de procesos:
Tipo de Proceso Convención para la
Documentación
Ejemplos
Nivel 0 (Macro proceso) Se utilizará la palabra
Gestión
Gestión de Crédito
Gestión de Talento
Humano
Nivel 1 (Proceso)
Se utilizarán de acción
terminados en: SIÓN,
CIÓN, IÓN.
Concesión Préstamos
Hipotecarios
Selección de Personal
74
Nivel 2 (Sub-Proceso)
Se utilizarán los verbos de
acción terminados en: SIÓN,
CIÓN, IÓN.
Administración de Cartera
Capacitación de empleados
Nivel 3 (Actividades) Se emplearan los verbos en
infinitivo.
Instrumentar Operación
Capacitar empleados
Nivel 4 (Tareas) Se emplearan los verbos en
infinitivo.
Cuadrar Caja
Capacitar empleados Figura 23. Jerarquía de procesos y nomenclatura
El inventario de procesos debe contener como mínimo con la siguiente
información para una adecuada gestión de los procesos y como también del riesgo
operativo tal como lo específica la resolución JB-2005-834 en su artículo 4.1:
- Tipo de proceso (gobernante, productivo o de apoyo).
- Nombre del proceso.
- Nivel jerárquico del proceso (Macro proceso, proceso, subproceso y
actividad)
- Responsables de cada proceso.
- Productos y servicios que genera el proceso.
- Identificación de procesos críticos del negocio.
- Fecha de aprobación.
- Fecha de actualización.
- Línea de negocio a la que pertenece.
- Indicadores de gestión del proceso.
- Riesgo identificado.
- Actividad de control.
A continuación presentamos el esquema básico que debe seguir el Inventario de
Procesos para efectos didácticos y en el Anexo No. 3 podemos encontrar la aplicación
de la estructura del inventario de procesos en formato Excel.
75
Figura 24. Elementos del Inventario de Procesos
Ficha de caracterización de procesos.
Para la caracterización de los procesos hemos tomado la metodología denominada
SIPOC por sus siglas en Ingles de SUPPLIER – INPUT – PROCESS – OUTPUT –
CUSTOMER.
En los gráficos que se muestran a continuación presentamos los elementos que
deben ser considerados en las plantillas de levantamiento de los datos de
caracterización:
76
Figura 25. Metodología caracterización de procesos – SIPOC
Nota fuente: Adaptado de Tecnológico de Monterrey, La Ruta de la Calidad y las 7 Herramientas Básicas,
Centro de Calidad y Manufactura, México-Monterrey. 1996
Jerarquía Documental (Pirámide documental)
Con la finalidad de regular los procesos de elaboración, revisión y aprobación de la
normativa interna del banco se ha establecido la siguiente pirámide documental que
busca robustecer los procesos de control normativos y dinamizar sus procesos de
revisión y aprobación.
Como habíamos planteado en los párrafos anteriores dentro de los elementos del
proceso se puede evidenciar dos grupos de funciones: Ejecución y Control.
El control viene dado principalmente por los elementos normativos del proceso
que determinan las condiciones y requisitos que debe cumplir el proceso durante la
generación del producto o servicio y la ejecución corresponde a la secuencia de
actividades que deben ser seguidas durante la operación. Parte importante de este
componente operativo es la definición de responsabilidades así como la identificación
de los medios utilizados como soporte para el mismo.
Estas dos funciones se materializan en el Marco Normativo y en el Marco
Operativo del sistema. El primero compuesto por Políticas, Códigos, Normas y
77
Reglamentos y el segundo correspondiente a Manuales Operativos o de Procesos,
Instructivos y Metodologías.
Figura 26. La Gestión de Procesos y la Pirámide Documental
Políticas y Normas
No existe una estructura recomendada para este tipo de documentos pero es imperioso
que existe un mapeo razonable de la normativa del proceso versus el mismo, con la
finalidad de que no existan segmentos del procesos que estén debidamente regulados o
que su actualización este fuera del ámbito establecido. Es importante recordar que en
la administración pública no se puede hacer aquellos que la norma establece a
diferencia del sector privado donde la restricción está dada por la norma, estando
habilitados para actuar de la forma que se considere conveniente para los fines de la
organización entre tanto no se transgreda dichas normas.
78
Manuales Operativos e Instructivos
Para efectos de poder documentar de forma clara los procesos con todas sus
definiciones es importante que se establezca como principio fundamental al momento
de elaborar la documentación correspondiente que los Manuales Operativos
corresponden a nivel 3 de diagramación, es decir estos reflejan el conjunto de
actividades ejecutadas por cada una de las áreas funcionales de una organización para
la generación de un producto o servicio, distribución de actividades que debe guardar
los principios básicos de control interno como son el control por oposición y la
segregación de funciones. Por el lado de los instructivos estos corresponden al
siguiente nivel de desagregación de los procesos, es decir al explotar cada una de las
actividades en su secuencia de tareas desarrolladas por cada una de las personas del
área responsable de la ejecución de la actividad, es decir podemos resumir que como
diferencia entre actividad y tarea es que la primera es desarrollada por una unidad
funcional y las tareas por una persona acorde al rol funcional asignado a la misma.
Figura 27. Relación Actividades & Tareas
Dentro de los elementos de un proceso, considerados como principales que debe
contener tanto manuales operativos como instructivos tenemos los siguientes:
1. Entradas.- Insumos requerido para iniciar el proceso/procedimiento y su
correspondiente proveedor.
2. Salidas.- Producto o servicio resultante del proceso/procedimiento
especificando el cliente o beneficiario del mismo.
3. Delimitación.- Describe la actividad inicial y final del proceso/procedimiento.
79
4. Procesos Relacionados.- Procesos inmediatamente anterior, posterior, a la par
o que dependen del proceso en referencia.
5. Recursos.- Áreas funcionales /Personas responsables de la ejecución y
herramientas utilizadas como soporte.
6. Recurso Tecnológico.- Detalle de las herramientas tecnológicas utilizadas
durante la ejecución del proceso.
7. Recurso Humano.- Detalle de las personas que intervienen en el proceso.
8. Diagrama de flujo.- Representación gráfica del proceso/procedimiento que
indica la secuencia de los pasos a seguirse, los responsables, los insumos, los
proveedores, los componentes tecnológicos utilizados en la ejecución del
proceso, los productos y los clientes del mismo.
9. Narrativa del flujo.- Descripción detallada y ampliada de las actividades y
reglas de negocio utilizadas en el diagrama de flujo.
10. Indicadores.- Miden el desempeño del proceso en función de la eficiencia,
eficacia y productividad.
Identificación, diseño y Levantamiento de Procesos
El levantamiento de procesos requiere la utilización de varias técnicas de
levantamiento de información tales como la revisión documental, la entrevista y la
observación de campo directa para determinar los diferentes elementos del proceso
tales como entradas, salidas, secuencia de actividades, conocer los controles que
aplican al proceso, entender los factores de éxito, los riesgos a los que está expuesto y
recopilar los soportes o registros que se utilizan en el mismo.
Identificación de los Procesos
A continuación detallamos un grupo de preguntas cuyas respuestas nos permitirán
identificar de manera más objetiva los elementos de un proceso.
- ¿Cuáles son los productos y/o servicios que genera la unidad?
- ¿Cuál es el impacto directo del producto para el cliente final?
80
- ¿Qué condiciones y características deben cumplir los productos para su
aceptación por parte del cliente?
- ¿Quiénes son los clientes o beneficiarios del proceso?
- ¿Cuáles son insumos que se requieren para dar inicio al proceso?
- ¿Qué condiciones y características deben cumplir los insumos para su utilización
en el proceso?
- ¿Cuáles son los proveedores de dichos insumos?
- ¿Cuáles son las consecuencias de no disponer de dichos insumos y su impacto en
el producto?
- ¿Cuáles actividades son necesarias desde la entrada de insumos hasta la
transformación o elaboración del producto y/o servicio?
- ¿Quiénes son los responsables de cada actividad o tarea?
- ¿Cuáles son los riesgos a los que está expuesto el proceso?
- ¿Cuáles son los controles determinados para mitigar dichos riesgos?
- ¿Cuáles son las reglas o normas que cumplir el proceso?
- ¿Qué herramientas y equipos se requieren para soportar el proceso?
- ¿Qué formatos o plantillas se utilizan en el proceso?
Caracterización de los Procesos.
Con toda la información recolectada estamos en condiciones de caracterizar el proceso
a fin de determinar sus elementos e interacciones con los restantes procesos del sistema
y de esta manera modelar el mapa de procesos y su cadena de valor. Para esto
utilizamos la plantilla de la metodología SIPOC mostrada en los párrafos anteriores.
Levantamiento de Entradas y Salidas del Proceso.
Para obtener la descripción de la tarea se recomienda considerar cubrir las siguientes
preguntas:
81
Pregunta Descripción
¿Quién? Se refiere a la persona responsable, puesto o rol que
interviene en la tarea.
¿Qué? Se menciona cual es la tarea que se ejecuta
¿Cómo? Se refiere a los métodos y técnicas aplicadas para realizar la
tarea.
¿Dónde? Se refiere a la ubicación física del lugar donde el personal
realiza la tarea.
¿Por qué? Se procede a obtener una justificación breve de la actividad. Figura 28. Preguntas claves del levantamiento
Figura 29. Códigos de control de versión.
Codificación de Procesos.
La identificación de los procesos y su estructura jerárquica se codifica conforme a las
iniciales de cada uno de los mismos seguido de una numeración que indica su
jerarquía. Así tenemos la siguiente notación:
Revisión y Aprobación
La revisión y aprobación son las instancias donde nos permite hacer operativo los
procesos de identificación de eventos de riesgos, evaluación, respuesta y actividades de
control, ya que en esta instancia es donde las áreas de control previo a la
implementación de cual proceso, es donde pueden aplicar la evaluaciones
correspondientes a fin de determinar los niveles de exposición del proceso y los
NIVEL CODIGO INTERPRETACIÓN
Nivel 0 Y.N1
Una letra que representan el tipo de proceso: (G = Gobernante o
Estratégico, P = Productivo o clave y A = Apoyo o soporte) y
dos dígitos (N1) que corresponden al secuencial para cada
macro proceso.
Nivel 1 Y.N1.N2 Donde N2 es el número secuencial del proceso correspondiente
al proceso de nivel 1.
Nivel 2 Y.N1.N2.N3 Donde N3 es el número secuencial del procesos de nivel 2 o
Subproceso.
Nivel 3 Y.N1.N2.N3.N4 Donde N4 es el número secuencial de las actividades
relacionadas al proceso.
82
controles aceptables para dar respuesta adecuada al riesgo acorde a los límites de
exposición establecidos.
La aprobación de los documentos de soporte se plantea de acuerdo al siguiente
esquema:
Figura 30. Niveles revisión y aprobación del marco normativo interno
Control de Inventario de Procesos, documentos y registros
El área de Calidad y Procesos deberá definir un responsable de la custodia,
administración y actualización del Inventario de Procesos, mismo que será responsable
del versionamiento y control de la documentación operativa de los procesos.
El Responsable designado por parte del área de Calidad y Procesos a partir del
Inventario de Procesos y en base a la información proporcionada por los dueños del
mismo evalúa las solicitudes de cambio o ajustes al Inventario.
El requerimiento para la actualización del Inventario debe venir acompañado de
un informe en donde se fundamente los motivos y componentes para aplicar los
ajustes. Para el versionamiento se tendrá en cuenta los siguientes elementos:
- Solicitud de los modelos vigentes a la fecha
83
- Modificación y aprobación de los modelos acorde a los alcances planteados por
el dueño de los procesos, validando siempre que los cambios correspondan a
actividades o tareas implementadas.
- Los manuales de procedimientos e instructivos son documentos descriptivos de la
realidad del proceso mas no de proyecciones futuras deseadas.
- La aprobación del documento debe estar acorde a lo establecido en la normativa
interna del banco para la aprobación de documentos normativos.
- El custodio o administrador del inventario de procesos deberá realizar las
validaciones pertinentes entre los cambios autorizados y el modelo vigente a fin
de garantizar la integridad del proceso.
Para el control de versión se utilizará la siguiente nomenclatura:
VN.NN.NN
V = Versión.
N = Número de versión publicada.
NN = Número de versión del proceso de revisión.
NN = Número de versión del proceso de aprobación.
Ejemplo: V1.02.01
Interpretación: Es la versión 1 publicada, se realizaron dos ajustes en el proceso de
revisión y un ajuste en el proceso de aprobación.
Una vez aprobados los documentos generados y/o actualizados, se procede a
actualizar el inventario de procesos que a la vez contiene lista maestra de documentos
y los publica en el repositorio documental o Intranet del Banco. Finalmente se actualiza
las copias físicas controladas, recogiendo las versiones obsoletas y las archiva.
84
Todo documento impreso que se requiera entregar al personal, se debe
identificar con la nomenclatura de “Copia Controlada” a fin de prevenir el uso
inadecuado.
Monitoreo y medición de procesos
Uno de los elementos claves de un sistema de gestión de procesos es la medición de los
mismos a fin de evaluar su desempeño en términos de eficiencia y eficacia. Medición
que tiene como finalidad la determinación de necesidades de mejora o correcciones al
proceso. Apalancados en este elemento dentro de la metodología de gestión de
procesos introduciremos los procesos de monitoreo de cumplimiento de las actividades
de control establecidas como respuesta a los eventos de riesgos identificados y la
medición de la eficacia de los mismos, lo cual nos permitirá al igual que los demás
indicadores el establecimiento de mejoras al proceso, pero en este caso en particular,
enfocadas a mejorar la calidad de las actividades de control.
Indicadores de desempeño
La Premisa que dice “Solo lo que se mide se controla y solo lo que se controla se puede
mejorar” es fundamental ya que el monitoreo o supervisión se lo realiza a través de la
medición de indicadores de desempeño del proceso, los cuales son definidos en la ficha
de caracterización. De acuerdo a Kaplan Roberth en su segunda edición del 2002 de su
publicación Cuadro de Mando Integral establece los siguientes componentes para la
determinación indicadores:
- Descripción.- Es la denominación que el indicador tiene, la cual refleja la
medición que se hace a través de éste.
- Responsable de la medición.- Se refiere a quien debe realizar esta medición.
- Fuente de información.- Se refiere al lugar donde se puede obtener la
información para la medición.
- Frecuencia de medición.- Se refiere a la periodicidad en la que se debe realizar
la medición del indicador. Generalmente es mensual.
85
- Meta mínima.- Esta meta marca la línea entre una medición aceptable y una
inaceptable del indicador, un valor menor a este es una clara señal de que se
necesita hacer cambios.
- Meta satisfactoria.- Es el siguiente punto alcanzable de medición o una media
entre la meta mínima y la sobresaliente.
- Meta sobresaliente.- Es una meta alcanzable pero a la vez un reto que en la
mayor parte de los casos puede ser alcanzado después de un período importante
de tiempo.
- Fórmula.- Es la forma de cálculo con la que se obtiene el valor del indicador.
Diseño de Indicadores
Al momento de diseñar un indicador debemos recordar que este es un instrumento de
monitoreo construido en base a un grupo de variables identificadas como factores de
éxito en logro del objetivo planteado para el proceso o sistema y su evolución en a lo
largo del tiempo. Adicional se debe considerar que el control y la eficiencia son
elementos contrapuestos de un proceso y que debemos buscar el punto óptimo para
reducir los riesgos o medir el desempeño y mantener el nivel óptimo de resultados del
proceso. Por lo dicho está claro que al momento de establecer un indicador existen
consideraciones de índole económicas que debemos contemplar.
A continuación detallamos algunos criterios que debemos analizar previo a establecer
los indicadores:
- La relación entre los indicadores y el cumplimiento de los objetivos.
- Los factores críticos para el cumplimiento de la estrategia.
- La situación de los procesos de la organización.
- Los recursos necesarios para el establecimiento de los indicadores.
- La fiabilidad del cálculo de los indicadores.
- La motivación del personal inducida por el indicador.
La denominación del indicador es clave para su interpretación y debe ajustarse
a la mejor definición del objetivo adicionalmente debe tener los siguientes elementos.
86
- Fórmula de Cálculo.
- Fuentes de datos.
- Medio de recolección de datos: Automático o manual.
- Periodicidad: mensual, trimestral o anual.
- Magnitud: unidades, peso, longitud, etc.
- Formato: recuento, porcentaje, ratio, etc.
Conviene definir las responsabilidades inherentes a la captación de la
información, el análisis de los efectos, la explotación de los resultados y la
comunicación de las conclusiones a las personas responsables del proceso ya que esto
permitirá una adecuada toma de decisiones para el ajuste del mismo.
Los límites y tolerancias de los indicadores pueden estar representados por
máximos o mínimos del parámetro a conseguir, su valor nominal o la consecución
sucesiva de valores en el tiempo.
A continuación detallamos los pasos que debemos seguir para la construcción
de un indicador y la información básica que debe contener la hoja de control del
mismo:
1. Definir lo que se desea medir: Objetivo, Proceso, Actividad, etc.
2. Identificar los factores de éxito. Condiciones de aceptación del producto o
servicio.
3. Identificar las variables que conforman cada factor.
4. Dar un nombre al indicador.
5. Describir la interpretación del indicador.
6. Definir el responsable del cálculo.
7. Establecer la frecuencia de cálculo.
8. Determinar el estándar u objetivo para el indicador (rango de tolerancia).
9. Definir el responsable del análisis y monitoreo de la evolución del indicador.
87
Macro Proceso Gestión de Crédito
Proceso Gestión de Préstamo Hipotecario
Sub Proceso Concesión de Préstamo Hipotecario para Vivienda
Terminada, Bienes Inmuebles y Terrenos
Actividad Realizar Avalúo del Bien Inmueble
Nombre Tiempo Promedio de Ejecución Avalúo
Descripción
Mide el tiempo promedio en días para la elaboración de un
avaluó desde la recepción de la documentación del bien
inmueble hasta la entrega del informe.
Responsable del
Indicador
Fábrica de Operaciones
Responsable del
Análisis
Gerencia de Operaciones
Fuentes de
Información Fórmula de Cálculo Frecuencia
Meta
(SLA
/OLA)
BPM Préstamos
Hipotecarios
Tiempo Empleado / Tiempo
Máximo
Diaria 5 Días
Figura 31. Ficha de Indicadores
Evaluación de Indicadores
De forma periódica se debe realizar una evaluación de la eficiencia del indicador, la
cual tiene como objetivo determinar qué tan representativa es la información generada
por el indicador en función del objetivo final del proceso o actividad a ser monitoreada
y la determinación del costo/beneficio del mismo. A continuación ponemos algunos de
los elementos que ser considerados para la evaluación de un indicador y la decisión de
mantenerlo o no:
- Utilidad con respecto al costo de recolección de datos.
- Confiabilidad de los datos e integridad de la fuente.
- Claridad de la variable utilizada frente al objetivo.
- Redundancia con otros indicadores.
- Oportunidad de la frecuencia de medición establecida.
- Facilidad en la obtención de datos.
- Mecanismos de recolección de datos.
- Difusión y comunicación oportuna de los resultados.
88
La validación de indicadores es una actividad continua en el tiempo para
garantizar la pertinencia de los mismos frente a los objetivos planteados.
Para el caso de los indicadores correspondientes a las actividades de control es
fundamental que dicha evaluación este atada a la pertinencia del control frente a los
niveles de exposición determinados para cada tipo de riesgo.
Mejora Continua: Solución estructurada de problemas, Portafolio de
Mejoras e Implementación
Debemos entender el mejoramiento continuo como la capacidad que tiene la gestión de
procesos para disminuir la variabilidad de los resultados de un proceso mediante la
identificación oportuna de sus desviaciones, sus causas y efectos dentro del sistema
productivo y sobre todo en la satisfacción del cliente, que como habíamos dicho en un
inicio son el principio y fin de toda organización. Nacen con las necesidades no
satisfechas de las personas y permanecen en el tiempo mientras logren satisfacer las
mismas, entendiéndose que estas personas son representadas por los clientes y los
accionistas o grupos de interés de la organización.
El mejoramiento continuo estará soportado en los procesos de: 1) Identificación
de oportunidades de Mejora; 2) Solución estructurada de problemas; y, 3)
Implementación del portafolio de mejoras también conocido como acciones correctivas
y preventivas.
Identificación de oportunidades de mejora
Este proceso se alimenta de la información recibida por parte de los procesos de
Monitoreo, mediación y control de indicadores, Informes de auditorías internas y
externas, Identificación y monitoreo del Riesgo Operativo, Evaluación de la
89
actividades de control y de las propuestas de mejora planteadas por los usuarios
responsables del proceso.
La información recibida es debidamente clasificada y tabulada por cada uno de
los procesos dando prioridad en función de la cadena de valor y de la criticidad de los
mismos en base a los principios de Continuidad del Negocio.
Solución estructurada de problemas
La solución estructurada de problemas es un proceso que busca la identificación de las
causas que originan las desviaciones o fallas del proceso y determina el impacto de las
mismas con la finalidad de buscar las soluciones óptimas balanceando costo/beneficio
de las diferentes alternativas planteadas. Para ello se apalanca en diferentes técnicas de
análisis de datos y en los denominados grupos de mejora, que están constituidos por
equipos de especialistas o expertos en el problema y por personal del área responsable
de la gestión de proceso que cumple con la función de moderador de las discusiones y
sobre todo como elemento ajeno al proceso que cuestione la validez de las soluciones
desde la perspectiva del cliente.
Entre las principales herramientas utilizadas para cumplir con el objetivo de
este proceso tenemos:
Diagrama Causa-Efecto.- Es una forma de organizar y representar las diferentes
teorías propuestas sobre las causas de un problema. Es también llamado "Espina de
Pescado" por la forma en que se van colocando cada una de las causas o razones que a
entender originan un problema.
Tiene la ventaja de que permite visualizar de una manera muy rápida y clara, la
relación que posee cada una de las causas con las demás razones que inciden en el
origen del problema. En algunas oportunidades son causas independientes y en otras,
existe una íntima relación entre ellas, las que pueden estar actuando en cadena.
90
Es importante considerar solo aquellas causas que representen de mejor manera
el origen del problema, ya que el tener demasiados elementos vuelve confuso al
diagrama perdiendo claridad para el análisis.
Deficiencia en la Gestión del Riesgo Operativo
Información no confiable
Deficiencia en Evaluación del Riesgo
Ineficiencia de los Controles
Falla en Monitoreo del Riesgo
Mapa de Procesos y Árbol de Riesgossin integrar
Procesos, Actividades y Tareas sin definición clara de Responsables
Mecanismos de Monitoreo Manuales
Controles y Riesgos sin Categorizar en función del Core del Negocio(Cadena de Valor)
Factores del Riesgo mal identificados(Procesos, Personas, Tecnología y Factores Externos)
Controles no integrados al proceso
Deficiencia en Definición de Criticidad del Proceso
Eventos de riesgo y Tareas sin Relacionar
Factores de Riesgo Mal Ponderados
Factores del Riesgo mal identificados(Procesos, Personas, Tecnología y Factores Externos)
Metodología de evaluación Inexisten o no acorde al Modelo de Negocio
Eventos de Riesgo sin Identificar
Sin Relación Directa de la Gestión de Procesos
Con Relación Directa de la Gestión de Procesos
CAUSAS PRINCIPALES Y SECUNDARIAS DE LAS DEFICIENCIAS EN GESTIÓN DEL RIESGO OPERATIVO
Figura 32. Diagrama de Causa y Efecto
Diagrama de Pareto.- Es una gráfica para organizar datos de forma que estos queden
en orden descendente, de izquierda a derecha y separados por barras. Constituye un
sencillo y gráfico método de análisis que permite discriminar entre las causas más
importantes de un problema (los pocos y vitales) y las que lo son menos (los muchos y
triviales).
Es también conocido como el 80/20 donde se establece que el 80% de los
problemas son originados por el 20% de las causas, lo cual nos permite tomar decisión
que optimicen el uso de recursos y maximicen la eficacia de las soluciones.
91
Figura 33. Diagrama de Pareto
Histograma.- Es herramienta estadística que permite la presentación grafica de una
variable en forma de barras, que muestran la frecuencia de la observación. Permite
obtener una perspectiva de la distribución de una población o muestra con respecto a
una característica cuantitativa.
Lluvia de ideas.- Es una herramienta muy difundida y de fácil aplicación que permite
al grupo de mejora establecer de forma empírica el conjunto de posibles causas y
efectos que luego serán analizados de forma particular para ir segregando aquellos de
mayor representatividad respecto al problema en estudio.
Matriz de Priorización.- Esta matriz se complementa con el diagrama de Pareto ya
que permite establecer el conjunto de soluciones más óptimas en función de la
criticidad de los problemas y su impacto en el sistema.
Como resultado del análisis realizado a la información por parte del grupo de
mejora se establece un conjunto de acciones correctivas y preventivas para el
mejoramiento del proceso y de sus actividades de control, con la finalidad de estas
últimas de mitigar la exposición al riesgo identificada en la Gestión del Riesgo
Operativo.
92
Implementación del Portafolio de Mejoras
Este conjunto de acciones correctivas y preventivas identificadas con la solución
estructurada de problemas, pasan a constituir un portafolio de mejoras al proceso,
mismas que deben ser clasificadas en función de la complejidad de su implementación
en dos categorías:
- Mejoras operativas
- Mejoras tecnológicas
Las primeras de ellas corresponden a cambios en el proceso operativo cuya
implementación no requiere de incorporar nuevos elementos al proceso y está
supeditada a la disposición del dueño de los mismos para su ejecución. Estos cambios
corresponden usualmente a tareas duplicadas, tareas que no agregan valor al producto
final del proceso o la implementación de actividades de control simples de tipo manual.
La implementación de estos cambios se instrumentan mediante la elaboración
del nuevo flujo de actividades o tareas y la aprobación por parte de los niveles
correspondientes de los Manuales operativos e instructivos que soportan al proceso,
luego de lo cual de requerirse se da una fase de capacitación o entrenamiento a los
usuarios responsables de la ejecución del proceso previo a su salida a producción o
ejecución en vivo.
Por otro lado mejoras tecnológicas, como su nombre lo indica están
condicionadas su implementación al desarrollo o adquisición de herramientas
tecnológicas que soporte la ejecución de las mismas. Este tipo de mejoras son
canalizados dependiendo de la complejidad del desarrollo en proyecto de desarrollo
que pueden ser categorizados en los siguientes tipos:
- Cambios simples y mantenimiento de aplicaciones informáticas
- Requerimientos funcionales para desarrollo de nuevas opciones al sistema
o nuevas aplicaciones.
93
- Proyectos de Adquisición o desarrollo de plataformas informáticas o
sistemas.
Al igual que en las mejoras operativas, la instrumentación de estas mejoras se
materializan con la aprobación de los documentos de soporte del proceso. Los
manuales e instructivos, según sea el caso, son elaborados en conjunto con las áreas
responsables del proceso una vez que las herramientas tecnológicas desarrolladas están
en fase de prueba o certificación previo a al versionamiento del sistema al ambiente
denominado de producción. En esta etapa de implementación de las aplicaciones la
documentación del proceso es actualizada en función de la nueva realidad y bondades
que brinda el sistema, debiendo al igual que las mejoras operativas aprobarse la
documentación, capacitarse al personal previo a su ejecución directa en el denominado
ambiente de producción.
Todos cambios en la documentación deberán acogerse a lo establecido en el
proceso de versionamiento y control de registros establecido en la fase de
documentación de procesos.
94
CAPÍTULO IV
CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES
Basados en los elementos constitutivos de la Gestión de Procesos, de la Gestión de
Riesgo Operativo y en la información recopilada durante la investigación podemos
llegar a las siguientes conclusiones:
Primera conclusión.- El modelo de Gestión de Procesos de BIESS se encuentra en
una etapa primaria de implementación ya que dispones de elementos básicos de la
etapa de definición de procesos, con documentación parcial y sin los correspondientes
mecanismos de actualización y control de registros que garanticen la integridad de la
información por lo cual la primera hipótesis o proposición especifica planteada es
correcta:
“El Modelo de Gestión de Procesos de BIESS no contiene elementos que permitan
una adecuada Gestión del Riesgo Operativo”
Segunda conclusión.- Al ser los procesos unos de los cuatro factores del riesgos
operativo conjuntamente con las personas, la tecnología y los factores externos,
considerando que el origen del riesgo operativo, como su nombre lo indicada es la
operación o ejecución del proceso, la adecuada gestión de los mismos enfocada a dar
elementos de análisis mediante los procesos de levantamiento y diseño de flujos para la
identificación de eventos riesgo, permitir el monitoreo y evaluación del riegos a través
de la identificación, medición y evaluación de indicadores de desempeño de las
actividades de control, permiten potenciar los factores de éxito de la Gestión del
Riesgo Operativo y por ende generar una adecuado ambiente de control. Lo dicho
permite establecer que la segunda hipótesis o proposición específica es correcta.
“La implementación de un sistema de Gestión de Procesos enfocada en los factores
del Riesgo Operativo permitirá mejorar la Identificación, Respuesta y Monitoreo de
95
los eventos de riesgo.”
Tercera conclusión.- La estructura organizacional del Banco está basada en principios
contemporáneos de buen gobierno corporativo, con una clara diferenciación de los
niveles Directivos y Administrativos, siendo los primeros los encargados de emitir la
normativa y elementos de control de la gestión administrativa del banco, siendo esta
ultima la encarga de la ejecución del conjunto de actividades necesarias para la
generación del servicio. La pirámide documental planteada en la metodología de
gestión de procesos permitirá hacer operativos los elementos que fortalezcan los
procesos de identificación, evaluación, respuesta, actividades de control y monitoreo
del sistema de Gestión del Riesgo Operativo. Lo expuesto nos permite confirmar que la
tercera hipótesis o proposición es correcta.
“El Marco Normativo, Organizacional y Funcional del Banco permitirá la
implementación de un sistema de Gestión de Procesos enfocada en el Riesgo
Operativo.”
Conclusión final.- El Banco del IESS reúne todos los elementos legales, estructurales,
funcionales y operativos que viabilizan la implementación de un Sistema de Gestión
de Procesos con elementos para fortalecer la Gestión del Riesgo Operativo. La
implementación de procesos de revisión para la identificación de eventos de riesgo
operativo en la fase de levantamiento y diseño de procesos permitirá potenciar la
evaluación, respuesta y determinación de las actividades de control de forma temprana,
permitiendo integrar el inventario de procesos con sus correspondientes eventos de
riesgo y actividades de control. Los indicadores de desempeño integrados a los
indicadores de eficacia de las actividades de control garantizaran un adecuado
desempeño del proceso de monitoreo del Sistema de Gestión del Riesgo Operativo del
BIESS. La hipótesis o proposición general, en base a lo expuesto, es acertada.
“La implementación de un Sistema de Gestión de Procesos enfocado en fortalecer los
procesos críticos del banco, mediante la identificación temprana de eventos de riesgo
operativo, permitirá una eficiente evaluación, respuesta, comunicación y monitoreo
96
de los mismos dentro del sistema de Gestión del Riesgo Operativo del Banco del
IESS.”
RECOMENDACIONES
La administración eficiente de los recursos previsiones buscando retorno social y
económico adecuado que debe permitir la sustentabilidad del sistema de pensiones y la
contribución al impulso del sector productivo del país, obligan al BIESS a contar con
herramientas de gestión que permitan generar una estructura organizacional robusta,
capaz de auto depurarse y adaptarse de forma dinámica a los cambios y retos cada vez
más exigentes del mercado financiero. El modelo de negocio del banco se apalanca en
el uso exhaustivo de herramientas tecnológicas con procesos de atención basados en
modelos virtuales lo cual expone a la institución a un conjunto de riesgos cada vez más
sofisticados, cuyas respuestas demanda precisión y agilidad. Todo el entorno descrito
hace imperiosa la eficacia y la eficiencia en la gestión de la organización, elementos
fundamentales de la Gestión de Procesos y de la Gestión del Riesgo Operativo que
enfocan su metodologías a la reducción de costos ya sean estos por perdidas,
desperdicios o problemas en la ejecución de un proceso. Por lo expuesto y base a las
hipótesis o proposiciones planteadas hacemos las siguientes recomendaciones:
Primera recomendación.- Para el fortalecimiento y optimización del modelo de
negocio del banco se recomienda continuar con la implementación del Sistema de
Gestión de Procesos, culminando la fase de Levantamiento, actualización y
documentación de los procesos del banco utilizando la lineamientos de establecidos en
la Metodología de Gestión de Procesos planteada en la presente investigación, misma
que permitirá contar con documentos de soporte debidamente sistematizados y que
reflejen de forma clara los elementos del proceso, sus interacciones en el sistema y su
cadena de valor.
Segunda recomendación.- Implementar los procesos de revisión y control planteados
en la metodología, ya que impulsar a que los elementos comunes de la Gestión de
97
Procesos y la Gestión del Riesgo Operativo sean potenciados para fortalecer los
procesos de identificación, evaluación, respuesta y monitoreo del riesgo, permitiendo
una reducción considerable de la exposición del banco a eventos de riego operativo
generados por el factor procesos. Este fortalecimientos se lo materializara con la
aprobación de la pirámide documental que regula los procesos de revisión y
aprobación de normativa del banco, priorizando el identificación temprana de los
eventos de riesgo en las fases de revisión de los manuales operativos e instructivos de
cada uno de los procesos, debiendo ser en esta etapa donde debe incorporarse al
inventario de procesos los riesgos identificados y sus correspondientes actividades de
control establecidas como respuesta a los mismos.
Tercera recomendación.- La aprobación de la normativa referente a los procesos de
revisión y aprobación de la documentación de soporte, mediante la cual se apalanque
la implementación de procesos de revisión para identificación temprana de eventos de
riesgos, mismos que sean inventariados en conjunto a sus actividades de control y los
correspondientes indicadores de eficacia de dichos controles. Esto permitirá que el
modelo de gestión de procesos potencie la gestión del riesgo operativo.
Recomendación final.- Se debe impulsar de forma categórica la implementación de
todas las fases del Sistema de Gestión de Procesos del BIESS, hasta llegar a la
medición y control de los procesos como base del mejoramiento continuo. Alcanzar la
madurez del sistema permitirá a la institución contar con información confiable del
desempeño de sus procesos para una toma de decisiones basada en hechos, reduciendo
el nivel de incertidumbre propia de estos eventos.
98
BIBLIOGRAFÍA Y REFERENCIAS
1. Gutiérrez, C., & Fernandez, J. (2006). Evolución del proceso de regulación
bancaria hasta Basilea-2: origen, características y posibles efectos. Pecunia, 2
(6), 28-29. Recuperado de https://buleria.unileon.es/handle/10612/797
2. Marasca, R., Figueroa, M., Stefanelli, D., & Indri, A. (2003). Basilea II: Hacia
un nuevo esquema de medición de riesgos. Recuperado de
http://www.felaban.com/boletin_clain/basileaII.pdf
3. Jiménez, E., & Martín, J. (2005). El nuevo acuerdo de Basilea y la gestión del
riesgo operacional. Universia Business Review – Actualidad Económica,
3(1698), 6-7. Recuperado de http://ubr.universia.net/pdfs/ubr0032005054.pdf
4. Basel Committee on Banking Supervision (2013), A brief history of the Basel
Committee, 2013. Basel, Bank for International Settlements. Recuperado de:
http://www.bis.org/bcbs/history.htm
5. Arzbach, M, & Ramirez, L (2004), Basilea II y sus Implicaciones sobre las
Cooperativas de Ahorro y Crédito en América Latina – Una primera
aproximación. Recuperado de http://www.dgrv.org
6. Bravo, J. (2011). Gestión de Procesos (Alineados con la estrategia). Santiango
de Chile: Editorial Evolución S.A.
7. Zaratiegui, J. (1999). La gestión por procesos: Su papel e importancia en la
empresa. Economía Industrial, 330, 81-88.
8. Celina, C. (2005, 12, 26). El hombre que quebró al Barings. La Nación.
Recuperado de http://www.lanacion.com.ar/767621-el-hombre-que-quebro-al-
barings
9. Mcgee, S., & Frank S. (1996, 06, 17). El caso de Sumitomo reabre el debate
sobre los controles en el mercado del cobre. El Tiempo. Recuperado de
http://www.eltiempo.com/archivo/documento/MAM-457261
10. Normas Generales para la aplicación de la Ley General de Instituciones del
Sistema Financiero, Libro I, Capítulo V: De la Gestión del Riesgo Operativo.
99
11. Pozzi, S. (2006, 09, 27). Ebbers ingresa en prisión por el fraude de WolrdCom.
El País. Recuperado de
http://elpais.com/diario/2006/09/27/economia/1159308028_850215.html
12. Kaplan Roberth, Norton David (2ª Edición 2002): Cuadro de Mando Integral,
Editorial Gestión 2000, España.
13. Tecnológico de Monterrey; La Ruta de la Calidad y las 7 Herramientas Básicas,
Centro de Calidad y Manufactura, México-Monterrey. 1996
14. Committee of Sponsoring Organizations of the Treadway Commission (2004),
Enterprise Risk Management – Integrated Framework - Executive Summary,
2004. USA, Committee of Sponsoring Organizations of the Treadway
Commission. Recuperado de:
http://www.coso.org/documents/coso_erm_executivesummary.pdf
15. Software Engineering Institute (2011), Appraisal Method for Process
Improvement (SCAMPISM
), 2011. Carnegie Mellon, Carnegie Mellon
University. Recuperado de:
http://sei.cmu.edu/asset_files/Handbook/2011_002_001_15311.pdf
16. Organización Internacional para la Estandarización (2008); Sistemas de Gestión
de la Calidad – Normas ISO 9001:2008, 2008. Ginebra, Secretaría Central de la
Organización Internacional para la Estandarización.
100
ANEXOS ANEXO 1: Matriz de Riesgo Operativo – Gerencia de Estudios y Planificación 2011
No FECHAMACRO-
PROCESOPROCESO SUBPROCESO
AREA
RESPONSABLE
FACTOR DE
RIESGOTIPO DE EVENTO EVENTO DE RIESGO RIESGO FALLA O INSUFICIENCIA
1 31/08/2011 OPERACIONESMANTENIMIENTO
(PH)DESEMBOLSO HIPOTECARIOS PROCESOS
DEFICIENCIAS EN LA EJECUCIÓN DE
PROCESOS, EN EL PROCESAMIENTO DE
OPERACIONES Y EN LAS RELACIONES CON
LOS PROVEEDORES.
INTERRUPCIONES DE
NEGOCIO Y FALLAS EN LOS
SISTEMAS
Posible riesgo de fallas o manipulación de la información al realizar
pagos manuales, posible evento de fraude interno.
Se realizan pagos manuales debido a que no se
encuentra desarrollado completamente el producto
Compra de terreno y construcción y Sustitución de
Hipoteca en el sistema de préstamos hipotecarios , por
lo que la fase del desembolso automático no existe.
2 17/10/2011ESTUDIOS Y
PLANIFICACIÓN
CALIDAD Y
PROCESOS
ELABORACIÓN DE
PROCESOS Y
PROCEDIMIENTOS
ESTUDIOS Y
PLANIFICACIONPROCESOS
DEFICIENCIAS EN LA EJECUCIÓN DE
PROCESOS, EN EL PROCESAMIENTO DE
OPERACIONES Y EN LAS RELACIONES CON
LOS PROVEEDORES.
MAL DISEÑO DE PROCESOS.
. Riesgo de mantener procedimientos operativos que no se ajusten a la
situación real del negocio.
. Riesgo de inconsistencias y/o diferencias en la operación de cada
funcionario/empleado.
. Riesgo de falta de soporte que guíe las operaciones realizadas en el
Banco.
. Riesgo de insuficiencias en la capacitación de personal nuevo, mismo
que no conoce la operatividad del Banco.
. Riesgo de observaciones de las Entidades de Control.
Procedimientos documentados y aprobados que no se
sujetan a la situación real del Banco.
Falta de normativa para la gestión y actualización de
políticas y procedimientos que norman los principales
procesos del Banco.
3 21/10/2011 CRÉDITOOTORGAMIENTO
(PH)CANCELACIÓN
ESTUDIOS Y
PLANIFICACIONPROCESOS
DEFICIENCIAS EN LA EJECUCIÓN DE
PROCESOS, EN EL PROCESAMIENTO DE
OPERACIONES Y EN LAS RELACIONES CON
PROVEEDORES Y TERCEROS
DEFICIENCIA DE LOS
PROCESOS DE DESARROLLO
Y/O IMPLANTACIÓN
Que se realicen procesos ineficientes, por no contar con manuales
operativos validados previamente por todas las áreas involucradas.
Solicitar cambios de los manuales posteriores a la aprobación del
Directorio, generan retrasos en los procesos.
La Gerencia de Crédito, solicita cambios al Manual
operativo de cancelación de operaciones crediticias con
entidades financieras, sustitución de hipoteca y compra
de vivienda hipotecada una vez que fue aprobado por
Directorio.
4 18/11/2011ESTUDIOS Y
PLANIFICACIÓNPROYECTOS PROYECTOS
ESTUDIOS Y
PLANIFICACIONPROCESOS
FALTA DE CLARIDAD, ESPECIFICACIONES
Y/O COORDINACIÓN ENTRE ÁREAS.
DEFICIENCIAS EN LA
EJECUCIÓN DE PROCESOS,
EN EL PROCESAMIENTO DE
OPERACIONES Y EN LAS
RELACIONES CON
PROVEEDORES Y OTROS
EXTERNOS.
Implementación de requerimientos funcionales en el aplicativo sin la
definición de los procesos operativos formalizados además de la
socialización de los mismos.
Requerimientos funcionales presentados sin el soporte
de un proceso aprobado y documentado, lo que
ocasiona que se pasen a producción sin haber sido
socializados con todos los participantes del proceso.
101
ANEXO 2: Inventario de Procesos BIESS 2011 – Resolución Administrativa No. 001-GRIE-GEPL-GGEB-2011
105
ANEXO 3: Estructura de Inventario de Procesos –Formato Excel
BANCO DEL INSTITUTO ECUATORIANO DE SEGURIDAD SOCIAL
INVENTARIO DE PROCESOS
FECHA DE ACTUALIZACIÓN DD-MMM-AAAA
CODIGO
PROCESOTP NIVEL
T
ENOMBRE DEL
PROCESOPRODUCTO LINEA DOCUMENTO DE SOPORTE
AREA
RESPONSABLE
EVENTO DE
RIESGO
ACTIVIDAD DE
CONTROL
INDICADOR DE
DESEMPEÑO
FECHA
MODIFICACIÓNG.00.00.00.00 G Agrupación PROCESOS GOBERNANTES O ESTRATÉGICOSG.01 G Macro Proceso Macro Proceso 1
G.01.01 G Proceso Proceso 1
G.01.01.01 G Sub Proceso Sub Proceso 1 Plan Estratégico 35% G01010100 MP - Manual Operativo 1
G.01.01.01.01 G Actividad M Actividad 1 Plan Estratégico 35% G01010101 IN - Instructivo 1 Departamento A Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
G.01.01.01.02 G Actividad M Actividad 2 Plan Estratégico 35% G01010102 IN - Instructivo 2 Departamento A Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
G.01.01.01.03 G Actividad M Actividad 3 Plan Estratégico 35% G01010103 IN - Instructivo 3 Departamento B Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
G.01.01.01.04 G Actividad M Actividad 4 Plan Estratégico 35% G01010104 IN - Instructivo 4 Departamento C Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
G.01.01.01.05 G Actividad M Actividad 5 Plan Estratégico 35% G01010105 IN - Instructivo 5 Departamento A Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
G.01.01.01.06 G Actividad M Actividad 6 Plan Estratégico 35% G01010106 IN - Instructivo 6 Departamento B Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
G.01.01.01.07 G Actividad M Actividad 7 Plan Estratégico 35% G01010107 IN - Instructivo 7 Departamento A Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
G.01.01.01.08 G Actividad M Actividad 8 Plan Estratégico 35% G01010108 IN - Instructivo 8 Departamento C Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
P.00.00.00.00 P Agrupación PROCESOS PRODUCTIVOS O CLAVESP.02 P Macro Proceso Macro Proceso 1
P.02.01 P Proceso Proceso 1
P.02.01.01 P Sub Proceso Sub Proceso 1 Plan Estratégico 35% G01010100 MP - Manual Operativo 1
P.02.01.01.01 P Actividad M Actividad 1 Plan Estratégico 35% G01010101 IN - Instructivo 1 Departamento A Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
P.02.01.01.02 P Actividad M Actividad 2 Plan Estratégico 35% G01010102 IN - Instructivo 2 Departamento A Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
P.02.01.01.03 P Actividad M Actividad 3 Plan Estratégico 35% G01010103 IN - Instructivo 3 Departamento B Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
P.02.01.01.04 P Actividad M Actividad 4 Plan Estratégico 35% G01010104 IN - Instructivo 4 Departamento C Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
P.02.01.01.05 P Actividad M Actividad 5 Plan Estratégico 35% G01010105 IN - Instructivo 5 Departamento A Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
P.02.01.01.06 P Actividad M Actividad 6 Plan Estratégico 35% G01010106 IN - Instructivo 6 Departamento B Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
P.02.01.01.07 P Actividad M Actividad 7 Plan Estratégico 35% G01010107 IN - Instructivo 7 Departamento A Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
P.02.01.01.08 P Actividad M Actividad 8 Plan Estratégico 35% G01010108 IN - Instructivo 8 Departamento C Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
A.00.00.00.00 A Agrupación PROCESOS DE SOPORTE O APOYOA.01 A Macro Proceso Macro Proceso 1
A.03.01 A Proceso Proceso 1
A.03.01.01 A Sub Proceso Sub Proceso 1 Plan Estratégico 35% G01010100 MP - Manual Operativo 1
A.03.01.01.01 A Actividad M Actividad 1 Plan Estratégico 35% G01010101 IN - Instructivo 1 Departamento A Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
A.03.01.01.02 A Actividad M Actividad 2 Plan Estratégico 35% G01010102 IN - Instructivo 2 Departamento A Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
A.03.01.01.03 A Actividad M Actividad 3 Plan Estratégico 35% G01010103 IN - Instructivo 3 Departamento B Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
A.03.01.01.04 A Actividad M Actividad 4 Plan Estratégico 35% G01010104 IN - Instructivo 4 Departamento C Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
A.03.01.01.05 A Actividad M Actividad 5 Plan Estratégico 35% G01010105 IN - Instructivo 5 Departamento A Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
A.03.01.01.06 A Actividad M Actividad 6 Plan Estratégico 35% G01010106 IN - Instructivo 6 Departamento B Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
A.03.01.01.07 A Actividad M Actividad 7 Plan Estratégico 35% G01010107 IN - Instructivo 7 Departamento A Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA
A.03.01.01.08 A Actividad M Actividad 8 Plan Estratégico 35% G01010108 IN - Instructivo 8 Departamento C Evento Tipo 1 Actividad de Control Indicador 1 DD-MMM-AAAA