RIESGO OPERACIONAL

EN LOS PROCESOS DE COMPRA
EN UNA PYME DEL SECTOR REAL
Karina Cruz Peña - Rafael Ricardo Rojas
Administradores de Empresas Comerciales - Universidad Colegio Mayor de Cundinamarca.
RESUMEN

En Colombia gran parte de las empresas que conforman nuestra estructura

económica son Pymes, pequeñas y medianas empresas, las cuales fomentan
el desarrollo económico y social de nuestro país, este documento les ayudará
a desarrollar un método que les permita evaluar las pérdidas generadas en
el área de compras y abastecimiento resultantes de eventos como: fraude
interno, fallas de los sistemas, fallas de los procesos, entre otras, las cuales
se constituyen como riesgo operativo. 

Se pretende que por medio de los resultados del estudio una pyme pueda
evaluar, medir y cuantificar el riesgo operacional al cual está expuesta en
su proceso de compras, llevando un registro de los eventos y analizando
todos los pasos del proceso, las partes involucradas y las posibles pérdidas,
de tal forma que sea una herramienta de administración para empresarios,
que les permita tomar decisiones de administración del riesgo operativo de
forma más acertada.

Este trabajo busca que se preste mayor atención a un aspecto que en

Colombia no tiene la importancia que debería. El riesgo operativo puede
generar pérdidas considerables en una organización; llevándola incluso a la
quiebra, es por esto que al leer el trabajo el empresario o interesado, estará
lo suficientemente informado de la relevancia que tiene este tipo de riesgo
y tendrá las herramientas para una adecuada administración.

Aquí se muestran los diferentes conceptos del riesgo en general, enfocándonos

a continuación únicamente en el riesgo de tipo operacional, los diferentes
métodos de cuantificación del riesgo, así como también las críticas que se
le hacen a estos métodos por parte de diferentes autores.

Palabras Clave: Riesgo operativo, proceso de compras, cuantificación, pyme.

 AGENDA DE CALIDAD  23

ABSTRACT

In Colombia, most of the companies that comprise our economic structure are
SMEs or PYMES, small and medium-sized enterprises, which promote economic and
social development of our country. This document will help createa method that
allows them to assess the losses generated in the purchasing and supply area as a
result of internal fraud, system failures and process failures, among others, which
constitute Operational Risk.

Intends that through the results of the study an SMEs can assess, measure and
quantify operational risk to which it is exposed in its procurement process, carrying
a record of events and analyzing all steps of the process, the parties involved and
possible losses; so that becomes a management tool for entrepreneurs, allowing
them to form operational risk management decisions in a more accurate way.

This paper seeks to give greater attention to an aspect that in Colombia does not
have the importance that deserves. Operational risk can generate substantial losses
in an organization; even causing bankruptcy. This is why by reading this research the
employer or person concerned, will be sufficiently informed of the relevance that
this type of risk has and will have the tools for a proper administration.

Here are the different concepts of risk in general, then focusing only on the risk
of operational type, the different methods of quantification of risk as well as the
criticisms that are made to these methods by different authors.

8
 Universidad Colegio Mayor de Cundinamarca

INTRODUCCIÓN
 
Debido a la importancia que actualmente tiene la gestión de compras, se han
desarrollado diferentes teorías, procesos, estudios, libros incluso escuelas en las
que se enseña exclusivamente “la ciencia de comprar”. Este trabajo se concentra
no en las formas o prácticas adecuadas para comprar; se enfoca más bien en todos
aquellos procesos, factores internos o externos, y en general todos los fenóme-
nos que se deben detectar y monitorear, al llevar a cabo una compra, puesto que
representan un riesgo operacional para la empresa, es decir la investigación se
concentra en identificar los riesgos operacionales en los procesos de compras y
cuantificarlos mediante un modelo para elaborar un sistema de administración
de riesgo operacional. 

Esta investigación encuentra su justificación debido a que la participación de las

pequeñas y medianas empresas en la economía de Colombia cada vez es más
significativa,por tal razón, si se tiene en cuenta que estas empresas no cuentan
con procesos administrativos estructurados y planeados en áreas tan importantes
como ventas, facturación, contabilidad y por supuesto procesos de compras, se
podrá establecer que están perdiendo competitividad por falta de planeación en
sus procedimientos. 

En la actualidad se dice que comprar bien es vender bien, y que comprar es un arte
(Palacio, 2011). El departamento de compras es muy importante en una organización
y si su gestión es inadecuada, los costos aumentarán automáticamente. Teniendo en
cuenta que las pymes representan un alto porcentaje del total de las empresas en
Colombia y carecen de políticas y procedimientos rigurosos que mitiguen el riesgo
de cometer errores en el proceso de compra, esta probabilidad aumenta.

Este trabajo es relevante debido a que con sus resultados una empresa podrá evaluar
e identificar los aspectos que debe mejorar, y los que la están afectando haciéndola
menos competitiva. Asimismo tendrá una herramienta para desarrollar programas
y/o políticas de compras efectivas que generen un impacto en la estructura de
costos de la organización.

Para el desarrollo de este trabajo se realiza una recopilación de información sufi-

ciente que permita una mejor comprensión y análisis sobre el tema, una vez reco-
pilados los datos serán estudiados y posteriormente se inicia con el desarrollo del
contenido detectando los riesgos más significativos y los de mayor frecuencia en
cada una de las etapas del proceso, continuando con la aplicación de modelo de
cuantificación del riesgo.

El riesgo operacional es considerado actualmente de gran impacto en las organiza-

ciones, sin embargo no siempre fue así, en la actualidad quizá más que nunca los

9
 AGENDA DE CALIDAD  23

empresarios y directivos se esfuerzan por controlar todo tipo de costos adicionales

que se puedan derivar de la mala ejecución en los procesos, lo que traduce riesgo
operacional.

Pero es desde su reglamentación en el acuerdo de Basilea II cuando el mundo em-

presarial y especialmente el sector financiero se dan cuenta de la vasta importancia
que tiene, desarrollando medidas y programas de gestión de riesgo operativo (Soto
Quintana, 2009).

Estas medidas aparecen principalmente en las entidades del sector financiero;

el sector real de la economía, en este caso nacional, ya viene trabajando al res-
pecto con herramientas como la norma Colombiana de gestión del riesgo NTC
5254 expedida por el Instituto Colombiano de Normas Técnicas y Certificación
(ICONTEC), la cual trata el riesgo operacional desde una perspectiva general no
solo financiera.

Sin embargo, antes de hablar de riesgo operacional, se debe entender el concepto

de riesgo en general, los diferentes tipos de riesgo a los que una empresa está ex-
puesta y por supuesto sus características, dentro de las definiciones más aceptadas
por diferentes autores están las siguientes:

Definición de Riesgo Operativo

Definir ¿qué es el riesgo operacional? Es sencillo, una definición del riesgo operativo
es descrita por la Superintendencia Financiera de Colombia (SFC), “se entiende por
Riesgo Operativo, la posibilidad de incurrir en pérdidas por deficiencias, falla o in-
adecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura
o por la ocurrencia de acontecimientos externos”. Esta definición incluye el riesgo
legal y reputacional, asociados a tales factores (SFC, 2007).

Por otra parte la norma Técnica Colombiana NTC 5254 define el riesgo como la
posibilidad de que suceda algo que tendrá impacto en los objetivos; el cual se
mide en términos de la probabilidad de consecuencias y posibilidad de ocurrencia
(ICONTEC, 2004), en esta definición el término consecuencia se refiere al resulta-
do de un evento expresado cualitativa o cuantitativamente, así la consecuencia
general de un riesgo es la perdida de dinero o recursos en general, por otro lado
la “posibilidad de ocurrencia” hace referencia a la frecuencia con la que se puede
presentar el evento.

Por último el acuerdo bancario Basilea II, define el riesgo operacional como “El riesgo
de pérdida resultante por fallas en los procesos internos, humanos y de los sistemas
o por eventos externos”. Esta definición incluye el riesgo legal, dejando por fuera
los riesgos “estratégico y reputacional” (Asobancaria, 2006).

10
 Universidad Colegio Mayor de Cundinamarca

Así mismo el denominado informe del Comitee of Sponsoring Organizations (COSO)

define el riesgo como la posibilidad de que un evento ocurra y afecte adversamente
la consecución de objetivos (COSO, 2005). Otra definición que es ampliamente acep-
tada es que el riesgo operacional es “El riesgo de pérdida debido a las diferencias
o las fallas de los procesos, el personal y los sistemas internos, o bien a causa de
acontecimientos externos” (Chávez y Núñez, 2010).

De las anteriores definiciones se puede afirmar que el concepto de riesgo es bas-

tante extenso y abarca un sinnúmero de situaciones o eventos posibles dentro de
diferentes contextos, por eso se han creado diferente tipos de riesgo dentro de las
cuales se encuentra:

Tipos de Riesgo

Riesgo de Mercado: la posibilidad de que las entidades incurran en pérdidas aso-

ciadas a la disminución del valor de sus portafolios, las asociadas a la disminución
del valor de sus portafolios, las caídas del valor de las carteras colectivas o fondos
que administran, por efecto de cambios en el precio de los instrumentos financieros
en los cuales se mantienen posiciones dentro o fuera del balance” (SFC 1995). Toda
pérdida de la empresa asociada a cambios en el mercado.

Riesgo de Crédito: la probabilidad de que una empresa incurra en pérdidas como

consecuencia del incumplimiento, ya sea de la misma o de su contraparte, de las
obligaciones contractuales adquiridas. El riesgo de crédito se presenta cuando la
empresa solicita un crédito u otorga uno, a un cliente por ejemplo, si la contrapar-
te no está en condiciones para cumplir con su obligación el riesgo se materializa
causando pérdidas a ambas partes.

Riesgo de Liquidez: el riesgo de liquidez se refiere a la incapacidad de una empre-

sa de cubrir sus obligaciones en el momento pactado debido a falta de dinero en
“efectivo”. Ejemplo de este es el caso reciente de Interbolsa en el cual la empresa
utilizó la figura de Repos para transar acciones pero en el momento pactado no
tuvo como cubrir la obligación, lo cual generó poco tiempo después la quiebra del
grupo Interbolsa.

Riesgo Reputacional: este se refleja en una organización por la pérdida de clientes,

disminución de ingresos o procesos judiciales que se presentan por desprestigio,
mala imagen o publicidad negativa (Bedoya, 2009). El caso Interbolsa también sirve
como ejemplo para este tipo de riesgo, si se contempla que una vez capitalizado el
riesgo de liquidez la empresa fue blanco de un gran número de críticas, de diferentes
fuentes, lo cual generó una mala imagen de la empresa y posterior investigación
por parte de las entidades financieras colombianas.

11
 AGENDA DE CALIDAD  23

Existen otros tipos de riesgo, sin embargo se mencionan solo los que se considera
que tienen mayor grado de correlación con el tema de esta investigación, es de
aclarar que los tipos de riesgo mencionados no son excluyentes, es decir una em-
presa puede presentar y capitalizar dos o tres de ellos al mismo tiempo, hecho que
es muy común.

Categorías en las cuales se puede presentar el Riesgo Operacional

El acuerdo Basilea II establece siete grandes categorías dentro de las cuales se puede
presentar el riesgo operacional:

• Fraude Interno: actos que de forma intencionada buscan defraudar o apro-

piarse indebidamente de activos de la entidad o incumplir normas o leyes, en
los que está implicado, al menos, un empleado o administrador de la entidad.
Ejemplos: robo por parte de empleados, utilización de información confidencial
en beneficio propio.

• Fraude Externo: actos, realizados por una persona externa a la entidad, que
buscan defraudar, apropiarse indebidamente de activos de la misma o incum-
plir normas o leyes. Ejemplos: atraco, falsificación, intrusión a los sistemas
informáticos.

• Relaciones laborales: actos que son incompatibles con la legislación laboral,

con los acuerdos internos de trabajo y, en general, la legislación vigente sobre la
materia. Ejemplos: infracción en las normas de salud ocupacional, acusaciones
de discriminación.

• Clientes: fallas negligentes o involuntarias de las obligaciones frente a los clientes

y que impiden satisfacer una obligación profesional frente a estos. Ejemplos:
abuso de información confidencial de los clientes, lavado de dinero, ventas de
productos no autorizados.

• Daños a activos físicos: pérdidas derivadas de daños o perjuicios a activos

físicos de la entidad. Ejemplos: terrorismo, vandalismo, desastres naturales.

• Fallas tecnológicas: pérdidas derivadas de incidentes por fallas tecnológicas.

Ejemplos: fallas del hardware, fallas del software, fallas en las telecomunica-
ciones.

• Ejecución y administración de procesos: pérdidas derivadas de errores en la

ejecución y administración de los procesos. Ejemplos: errores en la introduc-
ción de datos, falta de oportunidad en la respuesta, errores en los modelos,
deficiencias en la administración de los proveedores.

12
 Universidad Colegio Mayor de Cundinamarca

A su vez el documento está basado en tres pilares o principios, Requerimiento Mínimo

de Capital, Proceso de Supervisión Bancaria y Disciplina de Mercado y establece tres
métodos o modelos de medición del riesgo operativo: Básico, Estándar y Medición
Avanzada del Advances Measurement Approach (AMA), los cuales serán explicados
de forma detallada más adelante.

Pero para contextualizar mejor el riesgo operacional está el ejemplo de “un em-
pleado de Lehman Brothers, en mayo de 2001. El broker, al ejecutar una orden de
venta, añadió un cero más a la derecha y realizó una operación de 300 millones de
libras esterlinas, en lugar de los 30 millones perseguidos. La venta la ejecutó sobre
un conjunto de valores del índice londinense FTSE 100, lo que provocó un descenso
del índice de 120 puntos, equivalentes a unos 40 millardos de libras en pérdidas”
(Jiménez, 2005).

El ejemplo anterior sintetiza de forma clara y resumida dos cosas, primero, la forma
en la que el riesgo operacional impacta las finanzas de cualquier organización, ya
que este tipo de eventos han ocurrido a lo largo de la historia en diferentes ocasio-
nes llevando incluso a la quiebra a muchas organizaciones. La materialización de un
riesgo operativo de alto impacto dentro de una empresa va a afectar gravemente
las finanzas de la misma.

Por otro lado, el ejemplo nos muestra la importancia de gestionar el riesgo operativo,
ya que una adecuada gestión del riesgo tendrá como resultado la mitigación de los
mismos a su mínimo nivel, lo cual es llamativo para los inversionistas. Entiéndase
por proceso de gestión de riesgo el proceso de “aplicación sistémica de políticas
de gestión, procedimientos y prácticas, a las tareas de establecimiento de contex-
to, identificación, análisis, evaluación, tratamiento, monitoreo y comunicación del
riesgo (ICONTEC, 2004).

Grupos que constituyen el riesgo

Por otra parte Soto (2009), hace una clasificación en la que define cuatro grandes
grupos que constituyen el riesgo operacional, a saber:

1. Personal. Pérdidas asociadas con violaciones intencionales de las políticas

internas por parte del personal actual o que ya no labora en la empresas.

2. Procesos. Pérdidas que han sido incurridas por deficiencias en algún proce-
dimiento vigente, o por la falta de algún procedimiento. Las pérdidas en esta
categoría pueden derivarse de errores o fallas del personal en el seguimiento
de algún procedimiento.

13
 AGENDA DE CALIDAD  23

3. Sistemas. Pérdidas ocasionadas por fallas en los sistemas o la tecnología ac-

tuales.

4. Externos. Pérdidas como resultado de fuerzas de la naturaleza o como resultado

de eventos o situaciones ocasionados por terceros.

Entre la literatura de riesgo operacional en Colombia, toma gran importancia la

Norma Técnica Colombiana 5254 que es una adaptación modificada de la AS/NZ
4360:1999 Risk Management, la cual regula y reglamenta la gestión del riesgo ope-
racional. De acuerdo con el documento esta es una norma genérica, que se adapta
a cualquier sector de la industria Colombiana según las necesidades particulares
de cada organización, con el fin de proporcionar herramientas que permitan un
control de los costos y procesos que pueden llegar a representar pérdidas para la
compañía, también se busca fomentar una cultura de mitigación de riesgo tanto
individual como organizacional.

El objeto de esta norma es “Ofrecer unos requisitos generales para el establecimiento

e implementación del proceso de gestión del riesgo, que involucra la determinación
del contexto y la identificación, análisis, evaluación, tratamiento, comunicación y
monitoreo regular de los riesgos” (ICONTEC, 2004), con el fin de minimizar las pér-
didas y aumentar las oportunidades.

La norma menciona que para desarrollar un Programa de Gestión de Riesgo es

necesaria una política de gestión de riesgo organizacional y un mecanismo de
soporte; esta política debe ser pertinente para las estrategias de la organización,
junto con sus metas, objetivos y la naturaleza del negocio, la dirección de la
compañía debe asegurar que esta sea entendida, implantada y mantenida en
todos los niveles.

Elementos para desarrollar un Programa de Gestión de Riesgo

Para desarrollar un programa de gestión del riesgo en una empresa, existen unos
elementos principales los cuales son (Norma Técnica Colombiana, 2004):

• Establecer el contexto, estratégico, organizacional y de gestión de riesgo en

el cual ocurrirá el resto del proceso; se debe tener en cuenta la necesidad de
equilibrar costos, beneficios y oportunidad.

• Identificar riesgo, que, por qué y cómo pueden surgir elementos de riesgo,
como base para análisis posterior, se deben incluir todos los riesgos estén o
no bajo el control de la organización.

14
 Universidad Colegio Mayor de Cundinamarca

• Analizar riesgo, determinar los controles existentes y analizar los riesgos como
consecuencia y posibilidad basándose en dichos controles.

• Evaluar los riesgos, comparar los niveles de riesgo contra los criterios pre-
establecidos puede ser de forma cualitativa o cuantitativa.

• Tratar los riesgos, dar seguimiento a los riesgos más bajos e implementar es-
trategias para los riesgos específicos asignando recursos.

• Monitorear y revisar, regularmente el sistema de gestión de riesgo implantado

y realizar cambios si es necesario.

• Comunicar y consultar, con las áreas pertinentes durante las etapas del proceso.

Los siguientes diagramas ilustran de una mejor forma estos elementos principales.

Gráfico 1:  Proceso general del riesgo operativo.

Fuente: NTC 5254, p. 8.

15
 AGENDA DE CALIDAD  23

Gráfico 2.  Proceso de gestión de riesgo. Analizar los riesgos.

Fuente: NTC 5254, pág. 11

16
 Universidad Colegio Mayor de Cundinamarca

Gráfico 3:  Proceso del tratamiento del riesgo

Fuente: NTC 5254, pág. 16

Sin embargo en la tesis (Bedoya, 2009) se hace una dura crítica a los modelos de
Riesgo Operativo existentes ya que de acuerdo con este documento se concentran
más en la gestión cualitativa, descuidando los aspectos cuantitativos que son más
importantes ya que representan la parte monetaria o financiera, las pérdidas reales
en dinero.

La crítica realizada al documento de Basilea II es que los dos primeros métodos,

básico y estándar se basan en la utilidad bruta de la compañía aumentando el nivel
de riesgo, razón por la cual no son del todo confiables, mientras que el método
avanzado necesita un mínimo de cinco años de constitución de la organización para
obtener la información necesaria (Bedoya, 2009).

Sistema de Administración de Riesgo Operativo (SARO)

“En el año 2007; la Superintendencia Financiera de Colombia; Expidió la Circular

Externa 041 de 2007, la cual establece los requisitos para la implementación de un
Sistema de Administración de Riesgo Operativo” (Bedoya; 2009, p. 26).

17
 AGENDA DE CALIDAD  23

SARO es el conjunto de elementos tales como políticas, procedimientos, documen-

tación, estructura organizacional, registro de eventos de riesgo operativo, órganos
de control, plataforma tecnológica, divulgación de información y capacitación me-
diante los cuales las entidades identifican, miden, controlan y monitorean el riesgo
operativo (SFC, citado en Bedoya, 2009, p. 26).

El SARO está conformado por estas cuatro últimas etapas principales las cuales son,
identificación, medición, control y monitoreo.

Gráfico 4:  Sistema de Administración de Riesgo Operativo.

Modelos para la cuantificación del R.O.

SARO

ETAPAS ELEMENTOS

Identificación
Plataforma Tecnológica

Medición
Políticas Procedimientos

Control
Documentación Estructura

Monitoreo Registros ERO Órganos de control

Divulgación Capacitación

Fuente: Bedoya, 2009, p. 27.

Dentro de su tesis (Bedoya, 2009) muestra los modelos existentes para la cuantifi-
cación del Riesgo Operacional.

Entre los modelos actuariales que se han desarrollado se encuentran:

18
 Universidad Colegio Mayor de Cundinamarca

• “Una curva es ajustada para agregar las pérdidas experimentadas y esa curva
es usada para estimar percentiles extremos” (Arbeláez, Franco y otros, citado
en Bedoya, 2009, p. 26):

• La frecuencia y severidad de los eventos de pérdidas son ajustadas a distri-

buciones de probabilidad separadas, que luego son modeladas estocástica-
mente para producir una función de probabilidad combinada que se usa para
producir medidas de capital a través del OpVaR reflejado en un periodo de un
año y un nivel de confianza del 99,9% (Cornalba y Giudici citado en Bedoya,
2009, p. 26).

Sin embargo se presenta el inconveniente que dado las características de los datos
de riesgo operativo es posible que ninguna distribución de probabilidad paramé-
trica se ajuste adecuadamente a estos datos y se tenga que recurrir a algún tipo de
distribución que nos explique de forma correcta el comportamiento de los datos
principalmente en la cola derecha; es decir para aquellos casos en que se presenta
baja frecuencia pero una alta severidad.

• Para solucionar el inconveniente del modelo anterior se utiliza Teoría de Va-

lores Extremos (TVE), una curva separada se ajusta a eventos de pérdida de
baja frecuencia y alta severidad, y luego se combina con las distribuciones
separadas de otros eventos. Este método ha sido reconocida en los últimos
años en el modelado de eventos raros y su impacto en la gestión de seguros y
en la cuantificación del riesgo operacional (Chávez–Demoulin et al. ; citado en
Bedoya, 2009, p. 26).

• “Métodos robustos para la modelación del riesgo operacional en donde se plan-

tea que el modelo requerido para la distribución de perdidas debe presentar
alta curtosis, sesgo positivo severo y excesiva pesadez de la cola” (Chernobai
& Rachev, citado en Bedoya, 2009, p. 26).

METODOLOGÍA

Como se mencionó en el Marco Teórico, existen varios métodos de cuantificación

del riesgo operativo, unos más comunes y aceptados que otros, unos más complejos
y exactos que otros dependiendo del tipo de empresa a la cual se pretenda aplicar,
dependiendo también de los autores o autoridades que los estudian o reglamentan.

Algunos de los más importantes métodos y modelos para cuantificar el riesgo ope-
rativo son los siguientes:

–  Método de Indicador Básico.

–  Método Estándar.

19
 AGENDA DE CALIDAD  23

–  Método Avanzado.
–  Modelo POT.
–  Modelo OpVaR.

Los tres primeros métodos son desarrollados por el Comité de Basilea y ampliamen-
te difundidos en los programas de gestión de riesgo que esta organización realiza
a nivel mundial, mientras que los dos siguientes son modelos vienen tomando
bastante fuerza en este campo, puesto que presentan ventajas para el objetivo de
cuantificar el riesgo, además de que se siguen mejorando alguno apliques de los
mismos, como es el caso del OpVaR.

Método de indicador Básico: lo primero que se debe mencionar en este método

es que el Comité de Basilea determinó que “Los bancos que opten por aplicar el
Método de Indicador Básico deberán cubrir el riesgo operativo con un capital equi-
valente a un porcentaje fijo, denominado alfa, de los ingresos brutos promedio de
los tres últimos años” (Basilea II, 2003, p. 13).

El indicador básico es un requerimiento mínimo de capital que los bancos, porque

está desarrollado para estos, deben cumplir como medida de gestión del riesgo
operativo, es decir para que ante capitalizaciones del riesgo operativo el estableci-
miento tenga como cumplirlo, la fórmula para este método es:

KBIA = GI x a

Donde:

KBIA = requerimiento de capital en el Método del Indicador Básico.

GI = ingresos brutos promedio de los tres últimos años.
a = 15 % parámetro definido por el Comité de Basilea.

Las variables de este método son claras, por un lado están los GI (ingresos brutos
promedio de los últimos tres años), y por otro lado está el denominado ALFA, que
es el porcentaje fijo de los ingresos brutos dado por Basilea para cubrir el riesgo.
Para llegar al valor de KABIA se debe contar con la información de los ingresos en
los periodos solicitados y aplicarlos a la fórmula.

Método Estándar: “Las actividades de los bancos se dividen en ocho líneas de ne-
gocio y el requerimiento de capital de cada línea se calcula multiplicando el ingreso
bruto por un factor (denominado beta β), que se asigna a cada línea” (Basilea II,
2003, p. 13).

“El ingreso bruto de cada línea de negocio es un indicador amplio que permite
aproximar el volumen de operaciones del banco, y en consecuencia el probable

20
 Universidad Colegio Mayor de Cundinamarca

nivel de riesgo operativo que sume el banco en cada línea de negocio” (Basilea II,
2003, p. 13).

“El requerimiento de capital se calcula por suma simple de valores ponderados

correspondientes a cada línea de negocio, el que puede expresarse de la siguiente
manera” (Basilea II, 2003, p. 13):

KTSA = ∑(GI1-8 x β1-8)

Donde:

KTSA =  requerimiento de capital en el Método Estándar

GI1-8 = ingresos brutos promedio de los tres últimos años, en cada una
de las líneas de negocio.
β1-8 = parámetros definidos por el Comité de Basilea para cada línea
de negocio.

Método Avanzado: en este método, la exigencia de capital por riesgo operativo es

determinada por un sistema interno de estimación de riesgo operativo propio de
cada entidad, mediante la aplicación de criterios cuantitativos y cualitativos, y re-
quiere la autorización del supervisor para su implementación (Basilea II, 2003, p. 13).

Los criterios mínimos son:

1) Su directorio o alta dirección se encuentran altamente involucrados en la vigi-

lancia de su política de gestión de riesgo operativo.
2) Posee un sistema de gestión de riesgo operativo conceptualmente sólido y
aplicado en su integridad.
3) Cuenta con recursos suficientes para aplicarlo en las principales líneas de ne-
gocio, así como en las áreas de control y auditoría (Basilea II, 2003, p. 14).

“Este sistema debe ser verificado (incluyendo “stress testing”) por los auditores in-
ternos y externos del banco y por el supervisor y deberá demostrar que su calidad es
comparable al exigido en el método IRB de riesgo de crédito” (Basilea II; 2003, p. 14).

“El supervisor puede autorizar a utilizar parcialmente el método AMA en ciertas

áreas y en otras el método del indicador básico y/o el método estándar, sin em-
bargo, se espera que los bancos activos internacionalmente y los especializados
en procesamiento masivo de información adopten gradualmente el método AMA”
(Basilea II, 2003, p. 14).

Esta información se complementa con la siguiente definición: Los modelos AMA se

basan en el cálculo interno de una entidad financiera de la frecuencia y la severidad

21
 AGENDA DE CALIDAD  23

(monto de pérdida) por un evento de riesgo operativo. Los modelos de Distribución

de Pérdidas Agregadas (LDA) combinan las distribuciones de frecuencia y severidad
para construir una distribución de pérdidas totales y, con base en esta distribución,
calcular la medida de riesgo requerida como un cuantil de dicha distribución. Las
estimaciones de potenciales pérdidas por riesgo operativo bajo el enfoque AMA
están sujetas a las siguientes condiciones (Mora; 2010, p. 189):

• Datos internos.
• Datos externos.
• Análisis de escenarios.
• Entorno del negocio y factores de control interno.

Modelo POT de Pareto: Este método “se basa en la distribución generalizada de

Pareto (GPD: Generalised Pareto Distribution); donde la función de distribución
acumulativa es expresada mediante los siguientes dos parámetros” (Moscadelli,
citado en Bedoya, 2009, p. XX).

Donde X ≥ 0 si ε ≥ 0, 0 ≤ X ≤ σ/ε si ε < 0

Donde ε y σ representan respectivamente los parámetros de forma y escala.

Ahora, si a Fx (x) una función de distribución de una variable aleatoria X que describe
el comportamiento de un evento de riesgo operativo y sea Fµ (y) la distribución de
excesos del umbral u. La distribución de exceso puede ser introducida como una
función de distribución condicional (Moscadelli, citado en Bedoya, 2009).

En este punto cabe resaltar que el método de cuantificación de riesgo a desarrollar

en este trabajo será el que se describe a continuación OpVaR, y que anterior a todos
los pasos o procedimientos que se nombrarán se antepondrá la elaboración de un
flujo grama del proceso de compras de una empresa del sector real.

Modelo OP VaR: el modelo OpVaR (Operational Value at Risk) es una adaptación

del modelo VaR que se desarrolla ampliamente para cuantificar el riesgo de merca-
do, en este caso para cuantificar el riesgo operativo, el VaR refleja que tan grande
es el riesgo para un cierto horizonte de tiempo y con un cierto grado de confianza
(Bedoya, 2009). Este modelo es a su vez una aplicación o un complemento de los
modelos LDA descritos en el método de medición AMA propuestos por el acuerdo
de Basilea II.

22
 Universidad Colegio Mayor de Cundinamarca

Para desarrollar el modelo VaR operativo se debe contar con los datos de frecuencia
de los eventos y severidad o impacto de los mismos de un periodo determinado, de
la calidad de los datos dependerá la precisión del resultado, de estas dos variables
además se deben hallar sus distribuciones de probabilidad.

Como señala (Bedoya, 2009) “Para encontrar la distribución que mejor se ajusta
a los datos tanto para la frecuencia como para la severidad es necesario realizar
pruebas de bondad de ajuste; estas pruebas están basadas en la hipótesis nula de
que no hay diferencias significativas entre la distribución muestral y la teórica. Están
basadas en las siguientes hipótesis” (p. 33):

Vs

Ahora hay que someter los datos a pruebas de bondad a través de test como los
que señala (Cruz, 2002):

Kolmogorov-Smirnov: verifica la diferencia en la forma entre la distribución empírica

y la distribución teórica. El test es basado en la máxima distancia observada entre
las dos funciones.

Donde:
Dn = es conocida como la distancia KS.
n = es el número de datos.

k = es el rango de los datos.

F(x) = es la distribución teórica.

El problema es que el estadístico KS cuida solo el máximo nivel de discrepancia, sin

considerar si la distribución tiene una forma entera razonable.

Anderson-Darling está definido como:

Donde:

23
 AGENDA DE CALIDAD  23

n = Número total de datos.

F(x) = Función de distribución teórica
f(x) = Función de densidad teórica
Fn(x) = i/n
I = Rango acumulado de los datos.

Esta prueba las distancias verticales son integradas sobre todos los valores de x para
hacer el máximo uso de los datos observados.

Chi-cuadrado: se basa en la comparación entre la frecuencia observada en un in-

tervalo de clase y la frecuencia esperada en dicho intervalo.

Donde:

Oi = Total de valores que caen en el intervalo i.

Ei = Número esperado de valores en el intervalo i.
k = Número de intervalos de clase en que se distribuyen las observaciones.

Estos son solo tres Test para hallar la forma en que se distribuyen los datos, sin
embargo existen otros que no se describen puesto que son menos comunes en el
modelo OpVaR.

Distribuciones de datos aplicables al modelo OpVAR

Una vez se cuenta con los resultados del test descrito anteriormente se procede a
ajustar los datos con la distribución más conveniente.

Dentro de las distribuciones de datos más aceptadas encontramos las siguientes:

• Distribución normal.
• Distribución LogNormal.
• Distribución generalizada de Pareto.
• Distribución de Poisson.

Distribución Normal: la distribución normal, cuya media es 0 y desviación estándar

es 1 se le conoce como la normal unitaria, estándar o tipificada, como se menciona
en el seminario de investigación de la Universidad Nacional de Colombia (Univer-
sidad Nacional, Seminario de Investigación, 2013).

24
 Universidad Colegio Mayor de Cundinamarca

Recordemos que el valor z por definición describe la posición de una observación

y relativa a la media en unidades de la desviación estándar. En este caso el cálculo
de Z tiene tres aplicaciones importantes: a) para calcular probabilidades, b) para
estandarizar datos de cambios debidos al crecimiento y poder diferenciarlos de los
debidos a un tratamiento, c) para comparar datos procedentes de escalas numé-
ricas diferentes.

Donde:
Z = Estandarización de la variable X que es continua.
X = Variable
µ = Media
σ = Varianza

Aunque para el método VaR la distribución normal no es la recomendable ya que

según Bedoya (2009, p. 33), “Los procesos estocásticos que pueden explicar las
pérdidas operacionales no pueden ser explicados por una distribución normal como
si puede esperarse para el riesgo de mercado”. Para este trabajo se aplicara dicha
distribución basándonos en la teoría estadística que dice que todas las distribucio-
nes en el largo plazo tienen un comportamiento propio de una distribución normal.

Distribución LogNormal: se dice que una variable aleatoria no negativa tiene una
distribución lognormal si la variable aleatoria Y=ln(X) tiene una distribución normal.
La función de densidad resultante de una variable aleatoria lognormal cuando ln(X)
esta normalmente distribuida con parámetros [ y σ es (Devore, 2001):

Distribución generalizada de Pareto: donde la función de distribución acumulativa

es expresada mediante los siguientes tres parámetros (Moscadelli, 2004):

Donde x ≥ 0 si ε ≥ 0, 0 ≤ x ≤ -σ/ε si ε< 0

ε, μ y σ representan respectivamente los parámetros de forma, localización
y escala.

25
 AGENDA DE CALIDAD  23

Distribución de Poisson: esta distribución es la más indicada para ajustar la frecuencia.

Se dice que una variable aleatoria tiene una distribución de Poisson si la distribución
de probabilidad es (Devore, 2001):

X = es el número de ocurrencias de un evento.

λ = es un número real positivo, equivale al número esperado de ocurrencias
durante un intervalo dado.

Después de someter los datos a la distribución que más se ajuste a estos, por separado
frecuencia y severidad, se debe consolidar la información de ambas variables para
obtener así la Distribución de pérdidas operacionales agregada la cual nos permite
determinar el porcentaje o valor de pérdida que presenta la empresa.

El proceso para determinar las pérdidas agregadas se describe en (Cruz, citado en

Bedoya, 2009) así:

Teniendo la función de distribución (donde U representa las pérdidas operacionales

Individuales):

La derivación de una formula explicita para FN(t)(N) es en la mayoría de los casos es

imposible. Usualmente se asume que los procesos (N(t) y U) son estocásticamente
independientes; derivado de esto, se obtiene la siguiente relación fundamental:

Donde es la funcion de distribucion de la suma de

k variables aleatorias independientes con la misma distribución de U.

26
 Universidad Colegio Mayor de Cundinamarca

Gráfico 5.  Modelo de agregación de la severidad y la frecuencia.

Fuente: Cruz, 2002, p. 103.

Una solución práctica para la agregación es utilizar simulación con ayuda de alguna
hoja de cálculo. El analista tendría que generar N simulaciones de las distribuciones
de frecuencias y para cada uno de los eventos generados según la frecuencia, se
genera observación de severidad. Con los totales de la simulación se construye la
distribución agregada. De esta distribución se obtiene un percentil de acuerdo con
un nivel de confianza determinado (Comúnmente al 95%); este valor determina el
VaR de riesgo operativo de la entidad (Bedoya, 2009).

Es decir que después de realizar las simulaciones correspondientes se llegara al valor

en riesgo que presenta la entidad, al valor de la perdida, y por esa vía a las conclu-
siones finales de todo el ejercicio, conclusiones en las que se deberá establecer lo
que está haciendo bien y lo que está haciendo mal la organización, las medidas que
debe adoptar para mitigar el riesgo operacional y por supuesto lo que no se debe
seguir haciendo puesto que representa una pérdida para la empresa.

APLICACIÓN DE LA METODOLOGÍA

Flujograma de Procesos

El proceso de cuantificación del riesgo y medición del OpVaR, se inicia con la ela-
boración de un flujograma de procesos, el cual contempla todos los pasos por los
que trascurre la realización de una compra en una empresa con las características
de este trabajo, flujograma que se presenta a continuación:

27
 AGENDA DE CALIDAD  23

Gráfico 6:  Flujo Grama de Proceso.

Fuente: Autores.

A continuación se listan todos los pasos del proceso relacionado anteriormente,

también la frecuencia de ocurrencia y la severidad de pérdida de cada uno. En la
última columna se muestra la relación de multiplicar la severidad expresada en
pesos por la frecuencia mensual de los eventos.

28
 Universidad Colegio Mayor de Cundinamarca

Tabla 1. Datos.

Severidad Severidad en Severidad *

PROCESOS Posibles riesgos. Frecuencia.
1 -10 pesos. Frecuencia.
No hay una identificación precisa del
8 1 $30.000.000 $30.000.000
producto o servicio que se requiere.
No está la persona autorizada para
4 3 $ 5.000.000 $15.000.000
solicitar comprar.
Que el requerimiento se realice fuera
Requerimiento. 5 7 $10.000.000 $70.000.000
de tiempo.
Que el requerimiento no esté
5 3 $10.000.000 $30.000.000
presupuestado.
Que el requerimiento no esté
5 9 $10.000.000 $90.000.000
planeado.
Perdida de documentos. 4 3 $ 5.000.000 $15.000.000
Recibir documentos fuera del tiempo
4 3 $ 5.000.000 $15.000.000
establecido.
Recepción
de Solicitud. No llevar registro de los
4 10 $ 5.000.000 $50.000.000
requerimientos recibidos.
Recibir documentos sin la
5 10 $10.000.000 $100.000.000
autorización correspondiente.
Inventario mal alimentado. 8 1 $30.000.000 $ 30.000.000
Verificación Inventario insuficiente. 5 9 $10.000.000 $ 90.000.000
en Stock.
Información errada por parte del
5 4 $10.000.000 $ 40.000.000
encargado.
Solicitar cotizaciones sin la
8 2 $30.000.000 $ 60.000.000
información completa.
Solicitud Solicitar cotización solo a un
5 2 $10.000.000 $ 20.000.000
de Cotización. proveedor.
Errores de digitación al enviar la
2 9 $ 500.000 $ 4.500.000
solicitud de cotización.
Cotización de productos diferentes. 7 10 $20.000.000 $200.000.000
Cotización sin verificar, disponibilidad
7 3 $20.000.000 $ 60.000.000
(tiempos).
Cotización
del Proveedor. Cotización sin corroborar precios. 3 6 $ 1.000.000 $ 6.000.000
Cotización desactualizada. 1 5 $ 300.000 $ 1.500.000
Demora en la cotización. 5 2 $10.000.000 $ 20.000.000
Recepción No tener control de las cotizaciones. 4 8 $ 5.000.000 $ 40.000.000
de Cotizaciones. No reportar las cotizaciones. 4 5 $ 5.000.000 $ 25.000.000
No verificar condiciones de tiempo. 7 10 $20.000.000 $200.000.000
No verificar condiciones de calidad. 8 1 $30.000.000 $ 30.000.000
No verificar condiciones de precio. 8 1 $30.000.000 $ 30.000.000
Análisis de
Cotizaciones. No verificar especificaciones de los
8 1 $30.000.000 $ 30.000.000
productos o servicios.
No verificar condiciones de pago. 5 4 $15.000.000 $ 60.000.000
No verificar condiciones de entrega. 6 1 $15.000.000 $ 15.000.000

29
 AGENDA DE CALIDAD  23

Severidad Severidad en Severidad *

PROCESOS Posibles riesgos. Frecuencia.
1 -10 pesos. Frecuencia.
No existencia de presupuesto. 6 5 $15.000.000 $ 75.000.000
Gasto no presupuestado. 6 9 $15.000.000 $135.000.000
No detectar que no está
6 8 $15.000.000 $120.000.000
presupuestado.
Verificar contra No verificar que supera lo
5 5 $10.000.000 $ 50.000.000
Presupuesto. presupuestado.
Manipulación del presupuesto. 5 9 $10.000.000 $ 90.000.000
Presupuesto desactualizado. 5 2 $10.000.000 $ 20.000.000
Que el presupuesto no se ajuste a los
4 5 $ 5.000.000 $ 25.000.000
precios del mercado.
Que no esté definido la persona que
4 8 $ 5.000.000 $ 40.000.000
aprueba el gasto.
Ausencia de la persona que aprueba
5 6 $10.000.000 $ 60.000.000
el gasto.

Aprobación Falta de conocimiento por parte del

7 6 $20.000.000 $120.000.000
del Gasto. autorizado.
Conflicto de intereses por parte de
alguno de los involucrados en el 7 7 $20.000.000 $140.000.000
proceso.
Falta de información para aprobar
5 8 $10.000.000 $ 80.000.000
el gasto.
Errores al diligenciar la Orden de
4 8 $ 5.000.000 $ 40.000.000
Compra (O.C.).
Generación
y envío Conflicto de intereses. 5 6 $10.000.000 $ 60.000.000
de la Orden Falta de información precisa para
de Compra. 5 6 $10.000.000 $ 60.000.000
elaborar la O.C.
Errores al enviar la O.C. 5 8 $10.000.000 $ 80.000.000
Recepción de No reportar la O.C. 3 8 $ 1.000.000 $ 8.000.000
Orden de Compra
y Trámite. Mal control de documentos. 4 6 $ 5.000.000 $ 30.000.000
Despacho errado de los productos. 7 6 $20.000.000 $120.000.000
Despacho Entrega por fuera del tiempo
y Entrega del 8 7 $30.000.000 $210.000.000
establecido.
Pedido.
Despacho y entrega sin documentos. 3 1 $ 1.000.000 $ 1.000.000
No verificación del producto o
5 2 $ 1.000.000 $ 2.000.000
servicio recibido.
No documentación del producto o
2 3 $ 500.000 $ 1.500.000
Recepción servicio recibido.
y Verificación No reportar el recibido del producto
del Pedido. 4 9 $ 5.000.000 $ 45.000.000
o servicio.
Decepcionar productos que no
cumplan con las condiciones de 7 7 $20.000.000 $140.000.000
calidad.

30
 Universidad Colegio Mayor de Cundinamarca

Severidad Severidad en Severidad *

PROCESOS Posibles riesgos. Frecuencia.
1 -10 pesos. Frecuencia.
Fallas humanas al ingresar los datos
Ingreso al 6 6 $15.000.000 $ 90.000.000
al sistema.
Sistema.
Mal control de documentos. 3 6 $ 1.000.000 $ 6.000.000
Entregar productos o servicios
8 3 $30.000.000 $ 90.000.000
diferentes a los solicitados.
Entrega de productos que no
cumplan con las condiciones de 7 4 $20.000.000 $ 80.000.000
Entregar al calidad.
Usuario del Entregar productos dañados o
7 9 $20.000.000 $180.000.000
Producto. defectuosos.
Entregar productos fuera del tiempo
6 4 $15.000.000 $ 60.000.000
establecido.
Entregar productos sin
3 10 $ 1.000.000 $ 10.000.000
documentación.
Recepción Que el usuario no verifique lo que se
4 7 $ 5.000.000 $ 35.000.000
e Inspección le está entregando.
del Usuario. Ausencia del usuario. 1 7 $ 300.000 $ 2.100.000
Que no se tenga control del cierre de
2 8 $ 500.000 $ 4.000.000
los requerimientos.

Cierre del Que no se documente el cierre del

2 4 $ 500.000 $ 2.000.000
Requerimiento. requerimiento.
Que se cierre el requerimiento sin
haber suministrado el producto o 6 3 $15.000.000 $ 45.000.000
servicio.
Que el proveedor facture con precios
5 10 $10.000.000 $100.000.000
diferentes a los cotizados.
Que el proveedor no incluya
5 9 $10.000.000 $ 90.000.000
descuentos o plazos pactados.
Confrontar Que la facturación no se haga en el
4 7 $ 5.000.000 $ 35.000.000
Facturación. periodo establecido.
Fallas al diligenciar la factura,
5 6 $10.000.000 $ 60.000.000
nombres, razón social, entre otros.
No llevar registro y control de la
5 6 $10.000.000 $ 60.000.000
facturación.
Archivo y No realizar archivo y seguimiento al
2 1 $ 500.000 $ 500.000
Seguimiento. proceso.

Fuente: Los Autores.

31
 AGENDA DE CALIDAD  23

Tabla 2.  Resumen Tabla de Datos.

N° Datos 71 Varianza Frecuencia 8,185110664

Media Severidad 5,042253521 Desviación Estándar 2,860963241
Varianza Severidad 3,212474849 Nivel De Confianza 95%
Desviación Estándar 1,792337817 Desviación Estándar, 5,127812608
Media Frecuencia 5,605633803 Severidad * Frecuencia
Fuente: Los Autores.

Se debe aclarar que no fue posible encontrar una empresa que tuviera registro, o
que estuviese en disposición de someterlos a este estudio, de información en cuanto
a frecuencia de eventos de riesgo operacional en el área de compras y severidad
de los mismos, es por esto que los valores expuesto en la tabla anterior, fueron
arrojados por el método aleatorio del Excel.

Para continuar con la aplicación del VaR, se procederá a valorizar los datos de se-
veridad expresados en la tabla anterior, para esto se debe iniciar por recordar el
objeto de este trabajo; Cuantificar el riesgo operativo en los procesos de compra
en una empresa mediana del sector real, se hace esta observación para indicar
que el máximo valor en riesgo (monto) corresponde al valor máximo promedio de
compras en una empresa mediana del sector real durante un día, suma que está
estimada en $50.000.000,oo m/cte.

Esto quiere decir que una compra que presente un riesgo de severidad 10 repre-
sentara la probabilidad de perdida máxima de $ 50.000.000, a continuación la tabla
de conversión de severidad a pesos.

Tabla 3.  Conversión de Nivel de Severidad a Pesos.

Nivel de Severidad Valor en pesos de la Severidad

1 $ 300.000
2 $ 500.000
3 $ 1.000.000
4 $ 5.000.000
5 $ 10.000.000
6 $ 15.000.000
7 $ 20.000.000
8 $ 30.000.000
9 $ 40.000.000
10 $ 50.000.000
Fuente: Los Autores.

32
 Universidad Colegio Mayor de Cundinamarca

Después de analizar los datos de severidad y pérdida, se hallan los valores necesarios
para obtener el VaR los cuales son:

Tabla 4.  Datos para hallar el VaR.

Varianza. 3,21247%
Desviación estándar. 5,12781%
Nivel de confianza. 95%
F 1,644853627
S $ 50.000.000
T (día) 1
Fuente: Los Autores.

A continuación se someten los datos a la fórmula del VaR.

Donde:

F = Valor que determina el nivel de confianza llamado también Z.

S = Monto total en riesgo.
σ = Riesgo de la operación o proceso.
T = Tiempo.

Reemplazamos:

Tabla 5.  Medición del VaR.

Varianza. 3,21247%
Desviación estándar. 5,12781%
Nivel de confianza. 95%
F 1,644853627
S $ 50.000.000
T 1
VaR $ 4.217.251
Porcentaje. 8%
Fuente: Los Autores.

VaR = 1,644853627 * 50.000.000 * 0.051278 * 1

VaR = $ 4.217.251

33
 AGENDA DE CALIDAD  23

Interpretación del resultado

Para empezar se tuvieron en cuenta 19 subprocesos del proceso general de compras

y abastecimiento, los cuales se identificaron después de un análisis e investigación
de cuáles son los subprocesos más comunes en las diferentes empresas que se
ajustan al objeto de este estudio.

Se analizó cuáles son los riesgos operativos que se presentan en cada uno de los
subprocesos, identificando un total de 71 riesgos; a cada uno de estos se le asignó
un nivel de severidad y un estimado de frecuencia, que como ya se mencionó se
obtuvo a través del método aleatorio de Excel.

Teniendo en cuenta lo anterior el OpVaR arrojado quiere decir que en un día con
un máximo de compras de $ 50.000.000 de pesos, la organización tendrá con un
95% de confianza una potencial perdida de $ 4.217.251 lo que corresponde al 8%
del monto.

El valor arrojado si bien podría ser mayor, también se puede disminuir; a través
de políticas de procesos más estandarizados o de la implementación del SARO, el
cual le permita a la organización mitigar aún más los posibles riesgos y mejorar sus
procesos. Es decir que el valor arrojado le da al gerente o empresario la información
pero no las estrategias para controlar el riesgo al que está expuesto.

Por otra parte el resultado guarda relación con el principio de que los hechos con
baja frecuencia tienen una alta severidad y viceversa, igualmente si se desea hacer
el ejercicio por periodos de tiempo, como por ejemplo mensualmente, se deberá
multiplicar el número de operaciones realizadas en un día por la cantidad de días
que se desee analizar.

Ahora, se debe aclarar que el VaR no es una herramienta de gestión del riesgo, este
solo nos indica el valor máximo de perdida, lo que sigue en adelante corresponde
al encargado de gestionar dicho riesgo, en el campo financiero se suelen aplicar las
llamadas coberturas financieras, mientras que para el sector real se vienen desa-
rrollando programas de gestión del riesgo enmarcados dentro del llamado SARO.

CONCLUSIONES

La primera conclusión es que el riesgo operativo en las empresas del sector real,
resulta ser un tema muy actual, el cual no ha gozado de grandes investigaciones
hasta el momento, ni en número ni en calidad, además de que hace falta una po-
sición unificada respecto a cuál es el mejor modelo de cuantificación del riesgo
operativo y/o cual es el más eficiente para tal objetivo. Esto es solo para indicar que
el tema está en desarrollo y hay bastantes conceptos y variables por desarrollar e

34
 Universidad Colegio Mayor de Cundinamarca

incógnitas por despejar. Sin embargo, puesto que es un aspecto que involucra a todo
tipo de organización es cuestión de tiempo para que se desarrolle ampliamente a
nivel mundial.

También se puede concluir que el éxito para realizar un trabajo de cuantificación

de riesgo cualquiera que sea su tipo, dependerá de la información histórica que
se tenga, de los datos y la calidad de los mismos; una información errada arrojara
resultados errados que pueden incluso llevar a tomar decisiones muy perjudiciales
para la organización. 

La distribución de los datos; la cual determinará en gran parte los resultados, no se

ajusta a una distribución paramétrica en el tema de la severidad, por lo cual aunque
en este trabajo se optó por seguir la teoría estadística según la cual toda distribu-
ción en el largo plazo tiene un comportamiento normal, se menciona que de otro
modo, el mejor método para realizar tal medición del riesgo es el POT de Pareto, el
cual involucrara obligatoriamente someter los datos a la simulación de Montecarlo. 

Después de repasar algunas de las metodologías existentes para cuantificar el riesgo

operacional se evidencian varias situaciones; en primer lugar la data, la teoría están
dirigidos casi en un cien por ciento al sector financiero, más exactamente al sector
bancario, dejando a un lado las empresas del sector real, esto quizás obedezca a
una mayor preocupación por parte de este sector para protegerse de todo tipo de
riesgo, pero sin duda es un aspecto en el que las empresas del sector real deben
colocar mayor atención, en la actualidad se habla mucho de las tendencias y teorías
administrativas como eje de la gestión empresarial, pero no se debe descuidar un
aspecto tan relevante como es protegerse del riesgo operacional el cual además
está intrínsecamente en cualquier tipo de organización.

Por otro lado se observa que no hay un modelo predominante en la materia, como
sí lo hay, por ejemplo, para medir el riesgo de mercado; esto debido quizás a la
complejidad de algunos métodos, los cuales requieren de datos de mucho tiempo
atrás, por lo general las empresas no cuentan con esa información, y la simplicidad
de otros, lo cual los hace menos precisos en los valores que arrojan.

Desde el punto de vista gerencial, otra conclusión es que el OpVaR que arroja el
ejercicio es un valor para tomar decisiones, dependiendo de qué tan alto o bajo sea,
sin embargo este método no dará resultados acerca de cómo se debe administrar o
gestionar el riesgo operacional; es una herramienta que siempre dará valores mas
no estrategias.

La metodología OpVaR para cuantificar el riesgo operativo, se constituye como un

método con grandes bondades pero también con grandes falencias en las que los

35
 AGENDA DE CALIDAD  23

estudiosos del área deberán seguir investigando en pro de encontrar un modelo

aceptado universalmente para la cuantificación del riesgo operacional.

De la metodología planteada se puede concluir que será de gran beneficio para cual-
quier organización siempre y cuando se trabaje sobre datos reales y se estructure
adecuadamente el/los proceso/s, se ajusten adecuadamente las distribuciones y
se realicen las simulaciones suficientes.

BIBLIOGRAFÍA

Asobancaria (2006). www. Asobancaria.com, Recuperado el 22 de 07 de 2013, dispo-

nible en internet, http://www.asobancaria.com/portal/pls/portal/docs/1/758144.PDF.
Bedoya, D.A. (2009). Propuesta para el modelamiento del riesgo operativo en una
entidad financiera. Bogotá: Universidad Nacional de Colombia, p.XX.

Basilea II: Hacia un nuevo esquema de medición de riesgos. Recuperado de: http://
www.felaban.com/boletin_clain/basileaII.pdf . Revisado el: 23-07-13.

Cruz, M. (2002) Modeling, measuring and hedging operational risk. British Library.
P – 346.

Devore, J (2001) L. Probabilidad y estadística para ingeniería y ciencias. México:

Thomson editores. Quinta edición.

Gestión del riesgo operacional en la banca universal Venezolana. Revista Venezolana

de Gerencia [online]. 2009.

Instituto Colombiano de Normas Técnicas (ICONTEC). NTC 5254 –Gestión del Riesgo.
Mayo de 2004. Bogotá – Colombia.

Instituto Colombiano de Normas Tecnicas Icontec (2004). http://www.seso.org.ec/.

Recuperado el 23 de 07 de 2013, disponible en internet, http://www.seso.org.ec/
downloads/material%202012/documentos%20adicionales%20curso%20sart%20
agosto%202012/ntc%205254.pdf

Jiménez, E. J. (13 de 07 de 2005). Universia Business Review. Recuperado el 20 de

07 de 2013, de http://ubr.universia.net/pdfs/UBR0032005054.pdf.

Jiménez, E. J. (13 de 07 de 2005). Universia Business Review. Recuperado el 20 de

07 de 2013, de http://ubr.universia.net/pdfs/UBR0032005054.pdf.

Mora, A. (2010). Cuantificación del riesgo operativo en entidades financieras en

Colombia. Colegio de Estudios Superiores de Administración Bogotá: (CESA). P 191.

36
 Universidad Colegio Mayor de Cundinamarca

Moscadelli, Marco. (2004) The modelling of operational risk: experience with the
analysis of the data collected by the Basel Committee.

Palacio, A. M. (2011). Administracion De Compras: Quien Compra Bien, Vende Bien.

Madrid: Starbook Editorial.
Soto, A. J. Stagg, M. y  Valente, M. R. Gestión del riesgo operacional en la banca
universal Venezolana. Revista Venezolana de Gerencia [online]. 2009.

The committee of sponsoring organizations of the treadway Commission (COSO).

Administración de riesgos corporativos – Marcointegrado. Diciembre de 2005. USA.

37