Gestión de procesos 351
El costo de la mala calidad es varias veces superior al costo de la calidad en la
gran mayoría de los casos.
Para reducir el número de fallas de un proceso, en la cultura ―reactiva‖ es necesa-
rio un incremento sostenido del gasto en control de calidad, especialmente al
final del proceso productivo. En la cultura preventiva, hay un mayor costo inicial
que disminuye en la misma proporción en que desciende el número de fallas.
Esta disminución proporcional es posible porque el énfasis está puesto en el buen
diseño del proceso.
La idea de implantar un programa de calidad, o de mejora continua, generalmente
debe justificarse desde el punto de vista económico. Lo primero es calcular el
costo de la no calidad y luego solicitar asignar un porcentaje de los ahorros po-
tenciales para poder comenzar con el programa.
¿Qué es una operación de negocios?
Una operación de negocios es un proceso que consiste en satisfacer el requeri-
miento de un cliente, lo cual da origen a un producto o servicio. El proceso
toma la forma que se presenta en la figura 15-1. Como metáfora de la relación
comercial, una operación de negocios es de tipo recursiva, porque se da a nivel
de la empresa completa, en una unidad de negocios, cualquier unidad organiza-
cional, un proceso y cualquier actividad del mismo. Una operación de negocios
consta de insumos, valor agregado, producto, venta y servicio posventa. Resulta
evidente que debe verificarse la cantidad y calidad de los insumos recibidos de
los proveedores, así como del producto a entregar.
Proveedores Clientes
Insumos Agregar Producto
valor
Figura 15-1. Una operación de negocios es recursiva
Es mucho más lo que se podría señalar acerca de revisar la cantidad y calidad de
los productos que se proveen en el proceso de agregar valor, además de la forma
de venderlos y de hacer servicio posventa. Es el ciclo completo de una operación
de negocios. Es vital llevar alguna estadística simple.
He aquí un esfuerzo novedoso: el trabajo conjunto con el proveedor para man-
tener el número de fallas en niveles tolerables y decrecientes y resolver cada
problema. ¡No es suficiente con devolverle sus productos defectuosos!
352 Juan Bravo C.
Existen algunas alternativas a la verificación: establecer alianzas estratégicas con
aseguramiento de la calidad, trabajar tipo Just-in-time y certificar proveedores,
entre otras.
Integración de gestión de procesos con la calidad
Al igual que sucedió con la implementación de los ERP (ver capítulo 12), en mu-
chas organizaciones descubrieron los procesos gracias a trabajar en la certifica-
ción en una norma de calidad. Aunque tuvieron la ilusión de que podían ser redi-
señados al mismo tiempo que se trabajaba en la certificación. Muy pronto se die-
ron cuenta que hacer ambas cosas a la vez era prácticamente imposible.
En ese contexto, quienes le dieron prioridad a la certificación, se quedaron en
describir más o menos lo mismo que se hacía antes, sólo con las mejoras eviden-
tes, soltando los ―gatos amarrados‖. Por supuesto, para efectos de la productivi-
dad del proceso ha sido de poca utilidad.
También similar a la experiencia con los ERPs, los ejecutivos de las empresas
comenzaron a darse cuenta que es indispensable tener procesos rediseñados antes
de comenzar un proceso de certificación. Los beneficios del orden, de la produc-
tividad y del control de los procesos son mucho más vitales para una compañía
que una certificación.
La introducción de la gestión de la calidad dejó en evidencia las carencias meto-
dológicas que la mayoría de las empresas tienen para levantar, mejorar y redise-
ñar procesos. Simplemente no saben cómo hacerlo. Es lógico, no es su negocio,
por eso desde el siguiente capítulo nos centramos en métodos concretos para la
gestión de procesos.
Aunque el problema más grave no es no saber. El verdadero problema es no sa-
ber pero creer que sabe. Esta es una cuestión intrínseca de la gestión del cambio.
Se aprecia, por ejemplo, en que elaboran sus diagramas como si estuvieran desti-
nados a un programa de computador en lugar de a un ser humano (ver anexo 10),
inhibiendo casi por completo la participación. También se nota en que el tiempo
destinado a estudiar estas materias a veces ni siquiera llega a unas cien horas.
15.6. Calidad Total
El control total de calidad es un esquema basado en las ideas del Dr. W. Edward
Deming; fue primeramente aplicado y luego perfeccionado en el Japón de la pos-
guerra; tiene su base en una serie de principios:
Mayor eficiencia
Definición de normas de calidad
Aseguramiento de la calidad
Participación y compromiso de todos
Gestión de procesos 353
La calidad es un proceso
Énfasis en las mediciones
Enfoque hacia el cliente
Prevención, no inspección
¡Hágalo bien la primera vez!
Norma del 100%, cero defecto
Esquema de recompensas y castigos
Reducción de la burocracia
Educación y entrenamiento
Necesidad de estructurar un plan
Además, desarrollar cada tarea como si fuera una operación de negocio, con in-
sumos, valor agregado y producto.
Antes de implementar un plan de calidad total, se estima indispensable la exis-
tencia de una organización clara, coherencia, orden, rentas aceptables, baja
rotación de personal y un clima de confianza. Para el funcionamiento del es-
quema, nuevos protagonistas entran a escena: consejo de calidad (alta geren-
cia), gerencia de calidad, equipos guía (para un área de empresa grande), equi-
pos departamentales, equipos interfuncionales, líderes y facilitadores.
Desde el punto de vista de calidad total, en el sistema empresa se observan los
siguientes componentes:
Los trabajadores: Participan, se arriesgan, aplican el concepto de proceso,
están permanentemente entrenados, son capaces de solucionar problemas,
tienen autonomía y su realización personal está en directa relación con la ac-
tividad que desempeñan.
La gerencia: Ha ―mojado la camiseta‖ para lograr estos cambios, asume la
responsabilidad, lidera la definición del negocio, sus objetivos y la mejora
continua, se aparta cuando es necesario para no estorbar en la operación de
un proceso, enseña con el ejemplo, sus decisiones son participativas y basa-
das en mediciones, delega, contrata servicios ajenos al giro del negocio. Su
actividad principal es la de ―facilitador‖ y su contribución a la productividad
tiene un claro valor agregado, más allá de mandar y controlar.
Los procesos del negocio, están en permanente mejoramiento y a veces son
rediseñados. Participan todos los involucrados, se captura la retroalimentación
y se aplica el equilibrio entre especialización e integralidad. La documentación
es breve y está siempre disponible. Se actúa de acuerdo con los requerimientos
del cliente y se verifica la calidad de los insumos según el nivel de exigencia
definido, no dejando pasar los desperfectos.
La organización, como conjunto, tiene objetivos claros y baja jerarquización,
es un ―solo equipo‖ con un horizonte común. Están todos alineados en la
misma dirección y no existen choques entre intereses divergentes.
354 Juan Bravo C.
Relación con el entorno, los clientes y proveedores son socios a quienes se
puede ayudar a perfeccionar sus propios procesos. La organización se debe a
la comunidad, ella adquiere sus productos y suministra personal, tecnología,
infraestructura y otros servicios. Para integrarse con el medio se busca la es-
tandarización, en el marco de una responsabilidad ecológica y social.
Algunas características de implementación en calidad total
La implementación de un programa de calidad es compleja y con múltiples deta-
lles que deben estudiarse detenidamente.
Algunas características de una buena implementación son:
Fluidez, tal vez sea ésta la característica de mayor relevancia en todo el es-
quema; significa quitar del camino aquello que obstaculiza el flujo de un pro-
ceso. Para esto sólo se requiere observar cuidadosamente y aplicar el sentido
común. Así se puede apreciar que son mayoritariamente las jefaturas quienes
frenan los procesos con autorizaciones, ordenamientos arbitrarios y todo tipo
de particularidades.
Rapidez en la obtención de resultados. Al dar verdadera participación a las
personas, crear un ambiente grato de trabajo, buscar la fluidez natural de
cada sistema y capturar la retroalimentación, es posible que grandes aumen-
tos de productividad se hagan sentir de inmediato. Es perfectamente posible
que en un par de meses la empresa tenga cambios substanciales, ¿por qué?
Simplemente porque se eliminaron las barreras que los aprisionaban, ellos
estaban ahí desde antes. Resulta evidente que en la medida que el esquema
se refuerce, los resultados seguirán mejorando.
Preguntas clave. Un grupo de mejoramiento, luego de asegurarse de trabajar
en un proceso que debe existir en la organización, debería preguntar algunas
cosas a quienes realizan cada actividad: ¿para qué es la actividad? ¿se puede
mejorar? ¿usa toda la información que le llega? ¿le llega toda la información
que necesita? ¿quién es su ―socio‖ (la persona que le recibe su trabajo en el
siguiente eslabón)? ¿qué hace él con la información que usted le entrega? ¿le
interesa al cliente?… Un buen ejemplo de la aplicación de preguntas es el
programa Paperless de la División Operaciones y Sistemas del BancoEstado,
donde poco a poco van reduciendo el consumo de papel.
15.7. Manejo de no conformidades
Para obtener óptima calidad y productividad en un proceso, debemos asegurarnos
que cada una de sus actividades tenga el tratamiento de una operación de nego-
cios, es decir, cuidar la calidad como si el próximo paso fuera un cliente externo.
Para lograrlo, lo mínimo es que cada participante esté motivado y convencido de
la importancia de su actividad.
Gestión de procesos 355
Es necesario negociar límites de tolerancia.138
Es importante el cumplimiento de las reglas del juego y la claridad en las sancio-
nes por incumplimiento, es propio de una relación sana. Si considera que esto
suena un poco duro, observe el juego de los niños para apreciar cómo funciona lo
natural del cumplimiento de las reglas del juego. Ellos dan oportunidades y al
mismo tiempo, pueden llegar a excluir a un jugador que sistemáticamente no
cumple las reglas.
Es imprescindible asegurarnos que los insumos provenientes del paso anterior
satisfacen los requerimientos convenidos y si no, comunicarlo. Por ejemplo, si la
solicitud de compra del departamento usuario no trae especificado el producto y
usted, amablemente, lo completa, ¿cómo va a superarse su compañero de traba-
jo?, ¿cómo sabe qué aspectos tiene que mejorar? No estoy hablando de crear si-
tuaciones conflictivas, sino simplemente de devolver el insumo con una nota,
indicando los detalles que no satisfacen el requerimiento previamente convenido
y conocido por todos los involucrados, lo cual generalmente significa capacitar.
Por esta razón es que en Japón es tan popular la frase: el próximo paso es mi
cliente.
Cabe agregar que retroalimentar a las personas respecto a su labor es cada vez más un
requisito, tal como en los programas de evaluación del desempeño.
Lo que corresponde es que cuando detectamos algún error en un insumo, se lo
comuniquemos al proveedor, ya sea externo o interno, como en el ejemplo del
párrafo anterior. Algunas personas piensan que al hacer el trabajo del proveedor
y no comunicarle su error le están haciendo un favor y… eternizan las distorsio-
nes. Precisamente las personas y las organizaciones se desarrollan en la medida
que van aprendiendo de sus errores.
Este ciclo natural se ve interrumpido cuando alguien, por temor, comodidad o
―amabilidad‖, no dice lo que se está haciendo mal…
Una fórmula simple y eficaz que aplican en una empresa constructora es enviar
cada disconformidad al ―paso anterior‖, con copia al departamento de gestión de
calidad, para seguimiento y estadísticas.
Al permitir que cada persona asuma el costo de sus errores, se incrementa la pro-
babilidad de que adapte su conducta de acuerdo con el aprendizaje obtenido (esto
138 Acerca de los límites de tolerancia, permítaseme un ejemplo personal. Como jefe de un departa-
mento de informática en los años 80, manejaba mediciones respecto al nivel de error en el trabajo de
digitación, el cual normalmente se situaba entre 0.1 y 1 % del total digitado. Tenía claro que con ese
nivel de error humano había que funcionar y no había problema porque tomaba las precauciones del
caso, tales como doble digitación, comprobación, validación, etc… Con el tiempo, he visto que esos
porcentajes son bastante aplicables a otras acciones de nuestra vida (tal como aceptar errores de
colaboradores… o integrantes de la familia), mientras se mantengan ahí, no hay problema, siempre
que el diseño lo considere y tomemos las precauciones que correspondan…
356 Juan Bravo C.
refuerza la propuesta de responsabilidad social, en cuanto a que las organizacio-
nes asuman el costo del tiempo que le hacen perder a sus clientes o a las personas
de la comunidad, como en el caso de las pérdidas de tiempo por ―colas‖ para
realizar trámites o por congestiones de tránsito).
Cuando alguien establece una dependencia al evitar que las personas aprendan,
introduce distorsiones que atentan contra la dignidad humana, además de mucha
ineficiencia.
Desde el punto de vista de las nuevas normas de calidad, las no conformidades se
manejan con acciones correctivas y preventivas (ISO 9001:2008, pp. 16-17): ―La
acción correctiva. La organización debe tomar acciones para eliminar las causas
de las no conformidades con objeto de prevenir que vuelvan a ocurrir. Las accio-
nes correctivas deben ser apropiadas a los efectos de las no conformidades en-
contradas. Debe establecerse un procedimiento documentado para definir requisi-
tos para: a) revisar las no conformidades (incluyendo las quejas de los clientes),
b) determinar las causas… c) evaluar y adoptar acciones… d) determinar e im-
plementar las acciones… e) registrar los resultados… f) revisar la eficacia de las
acciones correctivas tomadas.
La acción preventiva. La organización debe determinar acciones para eliminar las
causas de no conformidades potenciales para prevenir su ocurrencia. Las accio-
nes preventivas deben ser apropiadas a los efectos de los problemas potenciales.
Debe establecerse un procedimiento documentado para definir los requisitos pa-
ra: a) determinar las no conformidades potenciales y sus causas, b) evaluar la
necesidad de actuar para prevenir… c) determinar e implementar las acciones
tomadas… d) registrar resultados… e) revisar las acciones preventivas‖.
Siendo este un tema tan delicado, es necesario capacitar y luego actuar frente a
las no conformidades.
15.8. Seis Sigma
Seis Sigma es un método de mejora continua que propone disminuir radicalmente
las fallas de un proceso, más bien evitar la desviación de la meta. Esa desviación
se mide a través de n sigmas.
Para entender un poco mejor: el número de defectos por millón de oportunidades
en cinco sigma es de 233, en cuatro es de 6.210, en tres es de 66.807 y en dos es
de 308.537 (es decir, en este sigma un 30% de la producción tiene defectos).
¿Cuál es la cantidad de defectos por millón en un sigma? 690.000. ¿En cuál sig-
ma está la mayoría de las empresas? La Pyme entre 2 y 3, la gran empresa pre-
ocupada de la calidad, entre 3 y 4.
Un aspecto central de Seis Sigma es la relación causal descrita en la sección 9.4.
Gestión de procesos 357
Enfatizan la conocida fórmula: Y = ƒ(x), Y es el resultado, las x son las causas.
Entonces, Y = ƒ(x1, x2, x3…). El mensaje es salir de la zona de comodidad de
pensar que las cosas suceden mágicamente o que hay un statu quo que no se
puede modificar. El resultado (Y) está en gran medida en nuestras manos al
intervenir en las x. Por ejemplo, en informática la calidad de los informes y
procesos dependen de la calidad de la entrada de datos (ha sido una sorpresa
para muchos que cuando invierten y se aseguran que los datos de entrada están
correctos, la salida mejora). Se puede decir que si entra calidad sale calidad.
Se reconoce a la empresa Motorola como pionera de este método (Bill Smith) y a
General Electric por su aplicación masiva y comprometida. Seis Sigma no incor-
pora nuevas técnicas sino que establece un método para emplear y sacar el mejor
rendimiento a las ya existentes, tales como causa-efecto, control total de calidad,
círculo PDCA y control estadístico de procesos, entre otras.139
Seis Sigma tiene que ver con el nivel de calidad en el que la empresa desea traba-
jar, hace referencia a una curva estadística donde el número de defectos por cada
millón de oportunidades llega sólo a 3,4. Es decir, si su producción de zapatos
fuera de un millón de pares al año, solamente tres tendrían defectos (detectados
en cualquier parte del proceso, no sólo por el cliente). Hay empresas con ese ni-
vel de producción y están muy, muy lejos de esos niveles y no tienen la menor
intención de hacer el esfuerzo para una mejora significativa, claramente Seis
Sigma no es para ellos. Otras empresas, están trabajando en tener procesos de
calidad y fomentan un ambiente apropiado para un programa de este tipo.140
MAMC y 5-S
Se emplea el Método de resolución de problemas Seis Sigma, conocido como
MAMC: Medir, Analizar, Mejorar y Controlar (en otras versiones agregan al co-
mienzo la etapa Definir). Se mide y analiza cuáles son las variables (x) que influ-
yen sobre Y (se emplea el método de hipótesis). Luego, para mejorar, se buscan
relaciones entre las X (se emplea aquí análisis regresivo y diseño experimental).
Luego se implementa la solución obtenida y se controla su aplicación (se pueden
emplear técnicas del tipo prueba de errores y cuadros de control).
También se emplea con bastante frecuencia la técnica de las 5-S: (sección 15.2).
139 En su libro Análisis de la causa raíz, los autores Wilson, Dell y Anderson dicen (p. 6): ―En
Estados Unidos el 0.1% de fallas significa: 16.000 piezas de correo perdidas por hora, 20.000
prescripciones de medicamentos incorrectas por año, 500 operaciones quirúrgicas incorrectas por
semana, 50 bebés recién nacidos se les caen a los médicos por día, 22.000 cheques deducidos de
cuentas corrientes equivocadas por hora, su corazón no late 32.000 veces por año‖.
140 Dice Mauricio León (www.tablero-decomando.com): ―Podemos definir Seis Sigma como: 1) Una
medida estadística del nivel desempeño de un proceso o producto. 2) Un objetivo de lograr casi la
perfección mediante la mejora del desempeño. 3) Un sistema de dirección para lograr un liderazgo
duradero en el negocio y un desempeño de primer nivel en un ámbito global‖.
358 Juan Bravo C.
Actores
En Seis Sigma aparecen diferentes actores:
Líder: es el responsable de la puesta en práctica, puede ser el gerente general,
el presidente del directorio u otro gerente con amplia autoridad.
Equipo de liderazgo: es el comité ejecutivo del proyecto, integrado por ejecu-
tivos del más alto nivel.
Campeón: designado por el equipo de liderazgo, es algún ejecutivo con buen
nivel de autoridad. Es un sponsor que respalda a un equipo de proyecto lide-
rado por un cinturón negro. Es quien dirige las reuniones de avance del pro-
yecto y consigue (negocia) los recursos que el proyecto requiere.
Cinturón negro: se dedica de tiempo completo a detectar y desarrollar opor-
tunidades de mejora y es el encargado de un equipo de proyecto. Entre sus
funciones están el entrenamiento y la motivación de los integrantes de su
equipo.
Cinturón verde: es una persona preparada y certificada en Seis Sigma que
participa en equipos de proyecto y asiste al cinturón negro. Concretar es una
de sus misiones.
Maestro Cinturón Negro: como el maestro Yoda de la Guerra de las Ga-
laxias, es el guía, consejero y entrenador de los cinturones negros que traba-
jan en los diferentes proyectos de la organización.
Alcance de Seis Sigma
Una duda recurrente es si Seis Sigma es una nueva herramienta o provee herra-
mientas más allá de las existentes en el ámbito de la calidad. Barbara Wheat,
Chuck Mills y Mike Carnell, en su libro Seis Sigma, dicen (2004, p. 67): ―El
propósito del Seis Sigma no es ni ha sido nunca introducir nuevas herramientas.
La verdad es que en este momento no las necesitamos, puesto que los encargados
de calidad rara vez utilizan las más sofisticadas que poseemos. La metodología
Seis Sigma se enfoca en la capacidad de vincular entre sí las herramientas para
obtener un flujo lógico. Los datos pasan de una herramienta a otra de manera que
en todo el proyecto haya sinergia. Esa sinergia es la que aumenta la probabilidad
de que un problema se resuelva‖.
En el mismo libro señalan aspectos de tanto sentido común que vale la pena
compartirlos (página 106): ―El consultor no es el que debe resolver los proyectos
de Seis Sigma para la compañía. Sus miembros deben resolverlos por sí mismos.
Esa es la única manera cómo se verifica un cambio en la organización‖. Otra
(página 98): ―Si los empleados no aprenden a identificar el desperdicio, adop-
tarán actividades que no agregan valor, como el trabajo repetido, superfluo o
adicional, como parte del proceso, hasta el punto de escribir los pasos de este
trabajo en sus documentos de procesos estandarizados‖.
Gestión de procesos 359
¿Experiencias en Chile? Ingram Micro, 3M y BancoEstado, entre otras. En el
mundo uno de los casos más significativos es el de General Electric, donde su
presidente ejecutivo, Jack Welch, decidió comprometerse con este método. El
mismo Welch dice (2005, pp. 263-269): ―Soy un ferviente admirador de Seis
Sigma, el programa de calidad que General Electric adoptó de Motorola en 1995
y que sigue practicando en la actualidad. Nada puede compararse a la eficacia de
Seis Sigma en cuanto a mejorar en rendimiento operativo de una empresa… Seis
Sigma es un programa de calidad que cuando todo está dicho y hecho, mejora la
experiencia de los clientes, reduce los costos y forma mejores líderes. Seis Sigma
lo consigue mediante el control del despilfarro y la ineficacia, así como diseñan-
do los productos y los procesos internos de una compañía de tal forma que los
clientes consiguen lo que desean, cuando lo desean y cuando la empresa lo pro-
metió… Seis Sigma no es aplicable en todas las facetas de la empresa… Está
orientado a procesos repetitivos… Una vez comprendida la simple máxima «la
variación es el mal» ya habrá recorrido más de la mitad del camino para conver-
tirse en un experto en Seis Sigma. La otra mitad consiste en erradicar el mal‖.
En todo caso, se aprecia bastante interés en Seis Sigma, incluso es uno de los
temas de la Clase Ejecutiva de la Universidad Católica y El Mercurio, por ejem-
plo, el profesor Alfredo Serpell dice: ―Como toda propuesta nueva, esta iniciativa
ha enfrentado problemas, particularmente en relación a la urgencia que muchas
veces la dirección de las empresas manifiesta sobre la obtención de los resulta-
dos. Ello ha llevado a acelerar equivocadamente el despliegue de esta filosofía de
gestión y su metodología de mejoramiento, violando la sistematización de la
misma y limitando su eficacia‖. Concluye: ―Actualmente Seis Sigma se ha com-
binado con otras iniciativas que tienen propósitos similares: reducción de pérdi-
das en procesos, ahorros en costos de defectos de calidad y aumento del valor
para el cliente‖.
En general, la mayoría de los ejemplos de Seis Sigma giran en torno a labores
productivas aunque no hay problema para aplicar también en el ámbito de la ad-
ministración o servicios. Lo que se requiere es gran volumen de actividades repe-
titivas.
¿Se necesita conocimiento estadístico? Sí, en la pureza del esquema, así como el
conocimiento de múltiples técnicas del ámbito de la gestión total de la calidad y
de la resolución de problemas.
360 Juan Bravo C.
Gestión de procesos 361
Capítulo 16. Gestión del riesgo operacional
Los acontecimientos del 11 de septiembre de 2001 son un
ejemplo trágico de una sorpresa predecible… La mala noticia
es que todas las empresas, incluso la suya, son vulnerables a las
sorpresas predecibles. De hecho, si usted es como la mayoría
de los ejecutivos, probablemente podría mencionar al menos
una crisis o un desastre potencial al que no se ha prestado la
suficiente atención. Por ejemplo, uno de sus mejores clientes
está con problemas financieros y una fábrica en el exterior
puede ser un objetivo terrorista… [La falta de anticipación] Se
explica por tres tipos de barreras: psicológicas,
organizacionales y políticas. Aunque los ejecutivos no consigan
eliminar totalmente estas barreras, sí pueden tomar medidas
prácticas para reducirlas substancialmente.
Michael Watkins y Max Bazerman en Las sorpresas predecibles: los
desastres que usted debió anticipar (p 58).
El objetivo de este capítulo es tener procesos eficientes, eficaces y confiables.
La gestión del riesgo operacional está más allá de la auditoría financiera, de in-
formática y de las auditorías operacionales que se centran en partes de procesos y
métodos para avaluar su eficacia y eficiencia.
La administración del riesgo operacional alcanza a toda la organización y se ori-
gina en el modelo integral del cambio de la organización y en los modelos es-
pecíficos para áreas o procesos de principio a fin. El modelo integral del cambio
es llamado también modelo de negocios y se incluye en el anexo 7. Considera
estrategia, personas, procesos, estructura organizacional y tecnología.
Es una forma de auditoría de continuidad del negocio. Se aprecia un avance de
las normas desde la auditoría específica hacia este concepto.
Algunos aportes:
En la administración del riesgo operacional se habla de seguridad sinérgica
(Diálogo global sector financiero, evento Electronic Safety and Soundness,
10 de septiembre de 2003).
Todo comienza por incorporar las opiniones de la auditoría a nivel del desa-
rrollo completo del modelo integral del cambio, en el contexto de un proyec-
to completo (ver capítulo 8).
Hoy, generalmente el cambio en las organizaciones se origina en el rediseño
de los procesos del negocio. La competitividad, la productividad, la calidad y
la auditoría tienen esa esencia común: la gestión de procesos.
El manejo de la información resulta esencial. Sin información es como si los
objetos del mundo real no existieran. La calidad y oportunidad de la informa-
362 Juan Bravo C.
ción son centrales (más se pierde por no tenerlas que por fraudes o fallas). Se
trata de tener una visión de sistemas de información.
Es esencial plantearse cuál nivel de riesgo se desea tener (efecto de retroali-
mentación de amplificación del efecto), más allá de la homeostasis natural
(retroalimentación de equilibrio).
Es necesario compensar con complejidad interior (educación, ética, procesos
seguros, calidad de vida, buena organización, etc.) la creciente complejidad
del entorno: múltiples plataformas de hardware y software, variedad de len-
guajes y formas de construcción, conectividad, etc.
La visión sistémica aporta conceptos tales como participación, integralidad,
visión holística, teoría del caos: señales tempranas, complejidad y riesgos con-
trolados (ver capítulo 5).
También se puede encontrar aportes desde la gestión de la calidad, en particu-
lar herramientas como el aseguramiento de la calidad, Seis Sigma y mejora
continua (ver capítulos 9 y 15).
No existe problema de seguridad, sólo existe problema del negocio.
En todo caso, para efectos de este texto seguimos con nuestro modelo integral del
cambio aplicado a la gestión del riesgo operacional. Decimos que se trata del ries-
go de producir pérdidas originadas por fallas en directrices estratégicas, personas,
procesos, estructura y tecnología, además de los riesgos por motivos externos a la
organización.
Veremos:
1. ¿Qué es la Gestión del riesgo?
2. ¿Qué hacer con los riesgos?
3. Normas relacionadas al riesgo operacional
4. El rol de las personas en la gestión del riesgo operacional
5. Plan de continuidad operacional del negocio
6. Un modelo para trabajar en eventos de pérdida
7. Procesos de operación segura de un sistema computacional
8. Misión de la auditoría
9. Cuestionario de diagnóstico de riesgo operacional
16.1. ¿Qué es la Gestión del riesgo?
La gestión de riesgos141 es importante y, al mismo tiempo, poco conocida. Se
trata de reconocer los riesgos y hacer gestión de los mismos. Los riesgos se iden-
tifican, evalúan y controlan. Hacer gestión significa tomar variadas acciones, por
ejemplo: ignorarlo, traspasarlo (y tomar una cobertura), neutralizarlo o reducirlo.
141 Decía un amigo, Rolf Achterberg: ―en realidad los riesgos no son riesgos, son certezas, porque
ocurrirán en algún momento, únicamente no sabemos cuándo ni a quien, ahí está la incerteza‖.
Gestión de procesos 363
Hacer gestión de riesgos es imaginar escenarios futuros y apreciar los eventos
que pueden ocurrir, es todo un juego de anticipación. Se determina qué eventos
están dentro de los resultados posibles y cuánto costará cada uno de ellos cuando
ocurra.142 Otros antecedentes aporta Samuel Chávez.143
Hacer gestión de riesgos también significa oír las débiles señales de condiciones
cambiantes y actuar rápido, antes que debamos hacerlo obligatoriamente… Es oír
el ―aleteo de la mariposa‖ y actuar antes que llegue el huracán. Es escuchar lo
que nos grita ese cuasi accidente, un percance que no tuvo efectos sobre las per-
sonas o la propiedad, pero que…podría haberlo tenido.
En el análisis de riesgos, la conocida afirmación de Murphy: si algo puede fallar,
fallará, se toma en cuenta y se definen acciones concretas para cada aspecto del
proyecto que ―puede fallar‖.
La homeostasis del riesgo y la subjetividad
La gestión de riesgos no se contrapone con la percepción o subjetividad propia de
la naturaleza humana, porque habrá personas con diferentes niveles de aversión
al riesgo o de afición al riesgo. En ambos casos, la gestión de riesgos ayudará a
tomar mejores decisiones según el interés individual y colectivo. Ayudará a la
persona que prefiere permanecer la mayor parte del tiempo en su casa y a quien
practica competición de alta velocidad en lanchas. Razonablemente, en ambos
casos las personas quieren cuidarse y disminuir sus riesgos en el contexto de lo
que les parece riesgo aceptable.
Acerca de homeostasis del riesgo, aportan Boerner y Reinke (2003, p. 27): ―Rea-
lizar mejoras en las condiciones de trabajo no garantiza una mejoría en las condi-
ciones de seguridad si a la vez no se modifica la manera en que las personas se
relacionan con los riesgos. La respuesta a esta paradoja, parece encontrarse en la
Teoría de la Homeostasis del riesgo formulada por el psicólogo holandés Gerald
142 El doctor Manuel Ruiz González, en sus clases de doctorado en Chile, comenta acerca de los
importantes cambios que está experimentando la sociedad, para concluir en la importancia de la
anticipación y de la administración de los riesgos: riesgos de quedar afuera, riesgos de hacer,
riesgos de no hacer.
También el análisis de riesgos es central en el mercado internacional de divisas, dice el doctor
Luis Costa en su libro Divisas y riesgos de cambio (pp. 26-27): ―La volatilidad de los tipos de
cambio genera incertidumbre sobre el valor efectivo de un ingreso futuro o el coste de pagos en
una divisa extranjera que debemos realizar en el futuro. Las fluctuaciones de los tipos de cambio,
también llamadas volatilidades, son la causa directa del riesgo de cambio… Las exposiciones al
riesgo de cambio de divisas pueden reducirse o eliminarse mediante técnicas de cobertura‖.
143 Samuel Chávez, en su libro Repensando la Seguridad, señala (p. 129): ―La palabra riesgo, en
su origen arábigo, significa ganarse el pan, para subsistir es preciso correr riesgos. Es decir, los
riesgos son propios de toda actividad humana‖. También señala tres reglas básicas de la gestión
de los riesgos (p. 130): ―No arriesgue más de lo que se puede permitir perder, no arriesgue mucho
por poco y considere las probabilidades‖. Y nos provee de una definición (p. 134): ―Riesgo es la
probabilidad de que en una actividad o condición se produzca una pérdida determinada‖.
364 Juan Bravo C.
J. S. Wilde. Tras estudiar el problema —especialmente en el ámbito de la seguri-
dad vial— por más de 25 años, presentó sus conclusiones en el libro Target
Risk… Toda persona enfrentada a un riesgo —sea vial, de salud, financiero, labo-
ral, amoroso, etc.— determina su conducta como consecuencia de un proceso
subjetivo previo y no consciente, que se desenvuelve en dos fases: en la primera,
percibe los factores que constituyen el peligro, los evalúa subjetivamente y se
forma un juicio respecto de su magnitud… En la segunda, el individuo considera
las ventajas o desventajas que implicaría asumirlo, tomando como parámetro o
referencia la cantidad de riesgo que está dispuesto a asumir‖.
Siguen Boerner y Reinke (p. 28): ―Cuando se implementan medidas diseñadas
para reducir el riesgo, las personas tienden a buscar, mediante ajustes en su con-
ducta, maneras de compensar el impacto de este incremento en el nivel de segu-
ridad que perciben‖. En otras palabras, si se repara una carretera, algunas perso-
nas mantienen el riesgo constante pasando por allí a mayor velocidad.
Para hacer un buen análisis de riesgos estratégicos, es importante considerar la
subjetividad de las personas.144
Nuestro conjunto de creencias
Uno de los aspectos que más obstaculiza la administración de los riesgos, es
nuestro conjunto de creencias, o prejuicios: ―las cosas son así‖, ―el mundo es
como es‖, ―Dios así lo quiere‖, etc. Entre ellas, la creencia en un Dios responsa-
ble de todos los sucesos del día a día es una de las más inmovilizantes. Esto, en-
tre otras razones, hizo que durante la Edad Media la expectativa de vida dismi-
nuyera a niveles cercanos a los treinta años.
Si un obrero se caía de un andamio era porque Dios así lo quería y eso no tenía
que ver con prevención o protecciones, si un niño moría de alguna enfermedad
era la mano de Dios y nada tenía que ver la limpieza, ¡ah, sí, las pestes obvia-
mente eran un castigo!…
Esta forma de pensamiento justificó (y todavía justifica) todo tipo de irresponsa-
bilidades y desatenciones, como salir, o permitir salir, de noche por lugares peli-
grosos, atravesar la calle en mitad de la cuadra, ir a exceso de velocidad (a veces
144 Peter Schwartz, señala en su artículo ―Administración de Riesgos‖ (p. 6): ―En las empresas, la
naturaleza de los riesgos estratégicos no se evalúa como una realidad objetiva, sino más bien a
través de los puntos de vista subjetivos de quienes toman las decisiones. Si bien ciertas evalua-
ciones de riesgos están abiertas al análisis directo de hechos (por lo general cuando los riesgos
son de tipo técnico), los riesgos que más nos preocupan son aquellos cuya naturaleza debe ser
observada e interpretada por quienes están a cargo de tomar decisiones. ¿Qué efecto tendrán en
las decisiones estratégicas las variaciones en las interpretaciones subjetivas de las personas (y
empresas)? ¿Será posible que algunos aspiren demasiado alto y aspiren a realizar demasiadas
cosas en un tiempo demasiado corto o, por el contrario, apunten demasiado bajo y esperen reali-
zar demasiado poco?‖.
Gestión de procesos 365
con pasajeros), dejar de lado la prevención o no dar oportunamente un remedio a
un niño… es que… Dios así lo quiere…
16.2. ¿Qué hacer con los riesgos?
Tal como indicamos, normalmente se manejan tres posibilidades:
Ignorarlo, o dejarlo tal como está, porque estimamos que la pérdida potencial
es muy baja, el riesgo es demasiado pequeño o las posibles soluciones son
más caras.
Traspasarlo, significa que cambiamos una incertidumbre (la pérdida) por una
certeza: un costo fijo, un seguro o una cobertura. Por ejemplo, en caso de ro-
bos en la oficina. Una importante rama en la gestión de riesgos son las cober-
turas, principalmente en la forma de seguros de todo tipo.
Neutralizarlo o reducirlo, lo cual se logra en el mediano y largo plazo princi-
palmente con esfuerzos de prevención que solucionan las causas de los ries-
gos. En el corto plazo generalmente se usan precauciones directas, por ejem-
plo, planes de contingencia para cortes de suministro eléctrico, o qué hacer en
caso de…, tal como usar protecciones en una construcción o disponer de res-
paldos de información en un computador.
Existen técnicas formales y programas computacionales que ayudan en la gestión
de los riesgos, veremos aquí una fórmula sencilla: identificar un riesgo, determi-
nar el nivel de costo a través de estimar la pérdida en dinero o tiempo145 si el
riesgo se cumple, considerar la probabilidad de ocurrencia de la pérdida y el
número de veces a que se expone.
R=CxPxN
Formalmente, obtenemos la magnitud del riesgo (R) multiplicando el costo si
ocurre (C) por la probabilidad de ocurrencia (P) y por el número (N) de veces de
exposición al riesgo en un período determinado, por ejemplo, un año.
Ejemplo de riesgos en el uso de un servidor:
Que entre un ―virus‖ y destruya todo lo que tenemos. Si ocurriera, estimamos
la pérdida en US$ 3.000 y la probabilidad de ocurrencia en 80% en un año
(en una simplificación suponemos que esto puede suceder una vez en el año).
Que falle el disco duro. Si ocurriera, la pérdida sería de US$ 3.200 (conside-
rando la reposición del disco) y la probabilidad que suceda en 1% en un año.
Veamos un resumen en la figura 16-1 (en ambos riesgos suponemos N = 1).
145 El tiempo es relativo, en la organización es equivalente a dinero, para los seres humanos es
vida, irrecuperable y por aquí se puede enlazar con la responsabilidad social.
366 Juan Bravo C.
Riesgo Costo si ocurre Probabilidad de Magnitud del
(US$ ) pérdida (%) riesgo (US$)
Virus
Falla del disco duro 3.000 80 2.400
3.200 1 32
Figura 16-1. Ejemplo de matriz de riesgos
La magnitud del riesgo, o nivel de exposición, ofrece un límite en la inversión
para neutralizarlo. Por ejemplo, en el caso de los virus podemos gastar hasta US$
2.400 para neutralizar ese riesgo, aunque lo más probable es que gastemos menos
al tenerlo bajo control con una combinación de respaldos, antivirus y control de
acceso a lugares riesgosos.
En el caso de falla del disco duro, como la probabilidad es baja, la magnitud del
riesgo también lo es, tal vez solamente con respaldos periódicos es suficiente
para neutralizar, lo cual es una solución de bajo costo. También es posible que se
decida contratar un servicio de respaldo o tomar un seguro (cobertura) para ad-
ministrar ese riesgo.
La magnitud del riesgo y el costo se expresan principalmente en dinero, pero
también se usa para cualquier otra variable de interés, tal como el tiempo de du-
ración de un proyecto o la imagen comercial de una empresa. Por ejemplo, en la
implementación de una aplicación computacional con plazo de 150 semanas de
duración, la variable clave es el tiempo, según vemos en la figura 16-2.
Riesgo Costo si ocurre Probabilidad de Magnitud del
(semanas) pérdida (%) riesgo (semanas)
Carencia de buenos procedimientos
Complejidad no controlada 130 30 39,0
Exceso en los costos
Falta de Liderazgo 100 35 35,0
Escasos conocimientos del equipo
Pretender implementar todo de una vez 60 50 30,0
Dificultades en la conversión
Soporte externo de telefonía 80 30 24,0
Falta de preparación de los usuarios
Intereses dispares 60 20 12,0
40 12 4,8
10 40 4,0
9 40 3,6
8 20 1,6
6 25 1,5
Figura 16-2. Ejemplo de matriz de riesgos en semanas
Nota: En la gestión de procesos y en los proyectos computacionales, normalmen-
te el número de veces de exposición al riesgo (N) es 1, porque cada proyecto se
Gestión de procesos 367
realiza una sola vez. Entonces, la fórmula resulta más simple en este caso: R = C
x P (de todas formas, es algo que debe estudiarse caso a caso).
Como criterio principal, se seleccionaron los riesgos que tuvieran impacto mayor
al 5% del tiempo total del proyecto, es decir, 7,5 semanas (5% de 150 semanas):
Carencia de buenos procedimientos (39 semanas)
Complejidad no controlada (35 semanas)
Exceso en los costos (30 semanas)
Falta de Liderazgo (24 semanas)
Escasos conocimientos del equipo (12 semanas)
Estos riesgos podrían retrasar el proyecto en 140 semanas, prácticamente el doble
de lo presupuestado, así es que se hace necesario definir medidas para traspasar-
los, neutralizarlos o reducirlos.
Se puede concluir que la gestión de riesgos es parte integral de la gestión de pro-
cesos porque ayuda a tener procesos más seguros.
16.3. Normas relacionadas al riesgo operacional
Sólo en la forma de una revisión general para mostrar la importancia que se le da
al concepto, presentamos algunas normas.
a) Norma de la Superintendencia de Bancos e Instituciones Financieras
Se trata del Capítulo 1-13, norma de la Superintendencia chilena de Bancos e
Instituciones Financieras, año 2000. Hemos visto que es de bastante sentido
común y similar a las normas de instituciones reguladoras en otros países. Un
resumen es el siguiente (cursivas del autor):
Materia: clasificación de gestión y solvencia (p. 5), respecto a orientación general
de la evaluación de la gestión de las instituciones financieras, dice: ―las observa-
ciones que emanen de la evaluación de esta Superintendencia deben tener rela-
ción con los controles internos, sistemas de información para toma de decisio-
nes, seguimiento oportuno de los riesgos, clasificación privada de los riesgos y
capacidad para enfrentar escenarios de contingencia‖. Agrega: ―Concuerda con
principios de sana administración… esperar que cada entidad evaluada gestione
eficazmente todos los riesgos importantes que asume o enfrenta‖.
Destaca que la norma se refiere a Evaluación de la Gestión en general.146 Se
podría resumir en: planes, recursos necesarios, proyectos, riesgos que corre la
146 Respecto a la administración del riesgo operacional y tecnológico en la norma de la Superin-
tendencia, señalan (páginas 12 y 13): ―La evaluación se centrará principalmente en los factores de
riesgo que comprometen la continuidad operacional de la entidad, la seguridad de las operaciones
y la calidad de la información requerida para el desarrollo normal de las actividades‖. Revelan
una buena gestión: ―Planes de largo plazo para la infraestructura tecnológica… recursos necesa-
368 Juan Bravo C.
institución, seguimiento, actividades para desarrollo y mantenimiento, detectar
con anticipación, planes de contingencia, información oportuna y confiable, con-
tinuidad operacional, seguridad y resguardo de la información.
b) Informe COSO
El informe COSO (Committee of Sponsoring Organizations of the Treadway
Commission) tiene como marco de referencia identificar interrelaciones entre
riesgos.
La orientación de la primera versión en 1992 es hacia el Control Interno Integra-
do. El enfoque basado en el estándar internacional tiene como bases:
1) Entorno de control. Base del control interno, vital la integración de la alta
administración. Implica: guías morales, código de conducta, competencia
profesional, estilo de administración, estructura organizacional, asignación de
autoridad y responsabilidad, políticas de Recursos Humanos y comité de au-
ditoría. Medición de riesgos. Todos los riesgos deben identificarse, medirse y
gestionarse por personal calificado independiente de auditoría interna y ex-
terna. Orientación al autocontrol y prevención.
2) Control de actividades. En resumen, se trata del control interno operativo más
los conceptos de eficiencia y eficacia.
3) Sistema de Control o Monitoreo. Importancia de las mediciones y el segui-
miento
4) Sistemas de comunicación. Comunicación fluida hacia y desde todos los ac-
tores relevantes, internos y externos.
5) Sistemas de información. Se refiere a los Sistemas de Información necesarios
para la administración de la empresa. Incluye la gestión de los sistemas de in-
formación y el control para la toma de decisiones.
El control interno desde COSO tiene funciones ambiciosas, tales como:
Detectar en plazos conocidos desviaciones de los objetivos
Limitar las sorpresas
Permitir a la organización hacer frente a la evolución de la economía
Fomentar la competitividad
Atender las exigencias y prioridades de los clientes
rios para la actividad normal y proyectos. Políticas para continuidad operacional y resguardo de
información y evitar transacciones no autorizadas, de acuerdo con riesgos que corre la Institu-
ción. Seguimiento alta dirección. Recursos tecnológicos: actividades para desarrollo, manteni-
miento y operación continua de sistemas computacionales y de comunicación (evitar errores,
fraudes, pérdidas o interrupciones). La organización está capacitada para detectar… con anticipa-
ción, riesgos de innovación de nuevos productos. Planes de contingencia actualizados, documen-
tados, difundidos y probados… funciones críticas. Evitar debilidades de control o fugas de infor-
mación confidencial. Información oportuna y confiable a la Superintendencia. Auditorías no
revelan deficiencias… continuidad operacional, seguridad y resguardo de la información‖.
Gestión de procesos 369
Adaptar la estructura organizacional a los desafíos futuros
Fomentar la eficiencia
Reducir el riesgo de pérdida de valor de los activos
Ayudar en la fiabilidad de los Estados Financieros
Ayudar a garantizar el cumplimiento de las leyes y normas vigentes
Con la Gestión de Riesgos en la Empresa (ERM), COSO se orienta hacia la ges-
tión del riesgo operacional, una mirada más amplia que el control interno, más
cercana a la propuesta de Basilea II.
c) BS 7799
La norma British Standard (BS) nace en Gran Bretaña en febrero de 1995 como
respuesta a la carencia de estándares en seguridad informática. Algunas carac-
terísticas:
Énfasis en la administración del riesgo operacional
Se puede adaptar a cada situación particular, a cada negocio
Se trata de un conjunto de buenas prácticas para la seguridad informática y el
detalle de un esquema para construir un sistema de administración de la seguri-
dad (secuencia lógica y sentido común). Se trata de definir una buena práctica
con base en los 10 conceptos globales que provee la norma (que abarcan 127
controles de seguridad). Tiene 3 partes:
Parte 1. Catálogo de buenas prácticas:
Políticas de seguridad
Organización de la seguridad
Clasificación y control de activos
Recursos Humanos
Seguridad Física y ambiental
Gestión de operaciones y comunicación
Control de accesos
Desarrollo y mantención de sistemas
Plan de continuidad del negocio
Cumplimiento y compatibilidad
Parte 2. Sistema de administración de la seguridad informática. Objetivos:
Mantener la continuidad del negocio
Minimizar el riesgo
Maximizar el retorno y oportunidad de negocios
Parte 3. Se publicó en 2005 y cubre gestión y análisis de riesgos. Se alinea con
ISO/IEC 27.001.
370 Juan Bravo C.
d) Normas ISO
ISO corresponde a la Organización Internacional de Estandarización.
Algunas de las normas ISO más frecuentes en la auditoría son:
ISO 17799:2000, nace desde la norma inglesa BS 7799, parte II. Define 127
controles de seguridad ordenados bajo 10 criterios principales. Permite iden-
tificar los resguardos apropiados al negocio particular de la organización o
área específica de responsabilidad. Estos controles tienen una desagregación
más específica que llega a más de 5.000 elementos de control y mejores
prácticas. La norma hace énfasis en la adaptación a cada realidad particular.
La norma BS 7799-2:2002 instruye acerca de como ocupar la norma ISO
17799:2000 para construir, operar, mantener y mejorar un sistema de admi-
nistración de la seguridad informática.
ISO 15408, son criterios comunes, una guía para la gestión de la seguridad IT.
Principalmente ocupada en Japón, se emplea la conocida forma araña para
presentar resultados, por ejemplo: en un estudio realizado a 350 compañías
por Takashi Ohgo en base a nueve criterios: organización general, operación,
educación, administración física, manejo de los usuarios, servidor de datos,
PC clientes, organización del sistema y auditoría, se pudo apreciar que en
promedio estaban a menos de la mitad de los estándares internacionales.
ISO 9001:2008. La serie de normas ISO 9000 son bastante conocidas, destaca
en esta versión el enfoque de procesos, en línea con lo planteado en este li-
bro. Por otra parte, un punto de encuentro se está produciendo con la masiva
incorporación de la gestión de procesos en la gestión de la calidad.
e) CMM
CMM (Capabilitiy Maturity Model), traducido frecuentemente como ―Modelo de
Madurez de Capacidades‖, es la norma preferida en el desarrollo de software. Tie-
ne niveles cada uno más exigente que el anterior que la organización candidata
debe ir certificando.
CMM provee un detalle exhaustivo de cada nivel de madurez y no es difícil de in-
terpretar. Incorpora todo un sistema de mediciones a la madurez de la organización
respecto de las capacidades del desarrollo de software, lo cual facilita los procesos
de evaluación.
Los niveles de madurez que señala CMM son cinco:
Nivel Inicial (Initial): por omisión, todas las empresas están en esta categoría.
Aquí se describe la pseudoanarquía presente en el desarrollo. El proceso de
desarrollo es prácticamente inexistente. Se trabaja ―apagando incendios‖ con
esfuerzos heroicos. Existe inmadurez en el desarrollo. No existe visibilidad
acerca del proceso de desarrollo ni de los resultados del producto de software
en tiempos, costos, errores, etc.
Gestión de procesos 371
Nivel Repetible (Repeatable): en este nivel el proceso se puede repetir, exis-
ten técnicas y normas comunes, hay seguimiento de costos, plazos y funcio-
nalidad en los procesos.
Nivel Definido (Defined): el proceso de desarrollo de software está documen-
tado, estandarizado e integrado.
Nivel Gestionado (Managed): los procesos están bajo un nivel de control
donde la predicción de plazos y costos es posible.
Nivel de optimización (Optimizing): se incorpora el mejoramiento continuo
de los procesos logrado por retroalimentación y por ideas y tecnologías inno-
vadoras.
CMM surgió en 1993 de una iniciativa del Software Engineering Institute (SEI147),
con toda una historia anterior que incluyó estudiar una amplia cantidad de com-
pañías de éxito en el desarrollo de software.
Es uno de los métodos más utilizados para disminuir el riesgo en el ámbito de los
sistemas informáticos.
f) COBIT
La Fundación de Auditoría y Control de Sistemas de Información (ISACA) que
otorga la certificación CISA (Certified Information System Auditor) dispone de una
publicación interesante sobre los Objetivos de Control para la Información y la
Tecnología Relacionada (COBIT: Control OBjetives for Information and related
Technology). De COBIT se puede destacar la orientación al negocio y la visión de
Sistemas de información.
Misión: Investigar, desarrollar, publicar y promover un conjunto actualizado de
objetivos de control en TI (Tecnologías de Información), para su uso diario por los
administradores del negocio y los auditores.
Algunas premisas:
La información y su entorno son los activos más valiosos de la empresa.
El enfoque alcanza a las necesidades de la administración y del usuario.
147 El Software Engineering Institute (SEI) es un Centro de investigación y desarrollo —
financiado con fondos federales— patrocinado por el Departamento de Defensa de Estados
Unidos, por intermedio de la Oficina del Subsecretario de Defensa para la Adquisición,
Tecnología y Logística. El contrato del SEI para la investigación aplicada en el tema de la
metodología de software, fue adjudicado por licitación pública a la Universidad Carnegie
Mellon en Diciembre de 1984. La misión del SEI es: Promover y avanzar en la práctica de
la Ingeniería de Software, porque el software de calidad, producido conforme a plazos y
dentro de un presupuesto, es un componente crítico para los sistemas de defensa de Est a-
dos Unidos. Cumple esta misión promoviendo la evolución de la Ingeniería de Software
desde ser una actividad “ad-hoc” de alto contenido de trabajo de personas, hacia ser una
disciplina bien gestionada y apoyada por tecnología.
372 Juan Bravo C.
La evidente dependencia de la TI y la creciente vulnerabilidad y riesgos para
la información.
El potencial de las TI para cambiar radicalmente las organizaciones y las
prácticas de negocio, crear oportunidades y reducir costos.
La necesidad de estandarización de las actividades de control interno en TI.
La necesidad de un ―Marco Referencial‖ para abordar la complejidad.
Se trata del desarrollo de políticas claras para la seguridad y el control de TI, con
el fin de obtener la aprobación y el apoyo de las entidades, fiscalizadoras y profe-
sionales en todo el mundo.
Los componentes de COBIT son: marco referencial, objetivos de control, guías de
auditoría y herramientas de aplicación.
g) Comité de Basilea
Se trata de un conjunto de acuerdos tomados por los gobernadores de los princi-
pales Bancos Centrales del mundo en julio de 1988 en la ciudad Suiza de Basi-
lea. El acuerdo de Basilea establece requerimientos de capital para los bancos
comerciales (el capital debe representar como mínimo un 8% del total de los
préstamos). Por supuesto, ya era necesario un nuevo acuerdo, Basilea II, el cual
está en aplicación desde el año 2007. Considera sofisticar el acuerdo al incluir,
además de los riesgos de créditos, los riesgos operacionales. La idea es que las
instituciones financieras dejen reservas basados en el riesgo de sus préstamos
como forma de evitar crisis financieras.
Por su importancia, los grandes fabricantes de productos ERP han incorporado
módulos para el manejo de las definiciones de Basilea II.
Definición de riesgo operacional. Según Basilea, el riesgo operacional es el
―Riesgo de pérdida directa o indirecta causada por una insuficiencia o falla de los
procesos, personas y sistemas internos o por un acontecimiento externo‖. Esta
definición incluye el riesgo legal. Sin embargo, no se incluyen los riesgos es-
tratégico y de reputación.
Es importante el enfoque de negocios, la idea es que la gestión del riesgo opera-
cional sea un medio para agregar valor al negocio y el apoyo de la alta dirección
es vital para lograrlo.
El riesgo operacional debe ser tratado en forma independiente de otros riesgos
(de mercado o de créditos), aunque a veces se confunden, como en el caso de una
mala clasificación de riesgo crediticio originada en una mala captación de ante-
cedentes (un riesgo operacional). Ejemplos de riesgos operacionales.148
148 http://www.kpmg.com.co/publicaciones/bol_fin/2004/bolfin%20abril_04.pdf.
Gestión de procesos 373
Relacionados con procesos:
Incorrecta/inoportuna captura, ejecución, y registro de la transacción
Pérdida de activos del cliente
Equivocación en la tasación de los productos
Asignación incorrecta del activo
Errores en las reservas de préstamos
Errores de la contabilidad y en los impuestos
Inadecuada contabilización de registros contables
Errores en abonos y liquidaciones
Relacionados con la gente:
Negocios no autorizados
Abuso de información privilegiada
Fraude
Enfermedades y lesiones de los empleados
Demandas por discriminación
Asuntos de remuneración, beneficios, y terminación de contrato
Problemas de reclutamiento o retención del personal
Relacionados con los sistemas:
Fallas en el hardware y/o software
Indisponibilidad e integridad dudosa de los datos
Acceso no autorizado a la seguridad de la información y de los sistemas
Fallas en las telecomunicaciones
Interrupción de los sistemas
Piratería o virus en la computadora
Relacionados con eventos externos:
Fallas operacionales en las operaciones con proveedores
Incendios o desastres naturales
Terrorismo
Vandalismo, hurto, robo
También los gestores de Basilea tratan de lograr armonía con IFRS (International
Financial Reporting Standards), el nuevo estándar internacional de contabilidad.
374 Juan Bravo C.
16. 4. El rol de las personas en la gestión del riesgo operacional
Cuando en el mundo ya se pensaba que con Sarbanes Oxley149 ya no volverían
casos como Enron, llegó la crisis subprime. Aprendimos que el problema no es-
tuvo en la falta de controles sino que en la falta de ética de los involucrados.
Ya sabemos que nunca podrá haber controles perfectos y los riesgos serán altos si
hay gente pensando en cómo burlarlos en forma ilegal o legal a través de resqui-
cios. De hecho, un principio sistémico dice que mientras más controlado está un
ámbito, más fácil es de burlar.
Por eso Basilea hace énfasis en estos tres factores: personas, procesos y sistemas.
En esta sección nos concentramos en las personas.
Comencemos por reiterar lo indicado en el punto 16.1 acerca de la homeostasis
del riesgo y nuestro sistema de creencias. Debemos trabajar en estos temas, por
ejemplo, a través de enseñar que ¡tenemos libre albedrío! Lo cual nos obliga a
tomar en nuestras manos el destino de nuestras vidas y aprender a manejar los
riesgos, especialmente en el momento de la verdad (ver sección 11.6).
Marco ético
El comportamiento ético tiene su base en conceptos simples y profundos a la vez:
la humanidad, la inteligencia y el sentido común. No es incompatible con el éxito
económico, es más, ambos convergen en el mediano y largo plazo. El comporta-
miento ético se promueve principalmente con el ejemplo y alcanza a todo aspecto
de las comunicaciones en la organización y su entorno, desde la autodisciplina y
el establecimiento de condiciones laborales humanas, hasta el cumplimiento de
los compromisos con todos los grupos de interés.
Los deberes acompañan siempre a los derechos, así como la moral acompaña a la
autonomía.150
Veamos algunas facetas del marco ético:
Honestidad y respeto. Son tan evidentes que no requieren de mayor comenta-
rio. Sólo indicar que incluyen el cumplimiento de compromisos y la cortesía,
entre otras derivaciones.
Integración. Es muy claro que no hay distinción entre ética interna o externa,
algo así como una doble personalidad: en el trabajo y en la vida personal, el
comportamiento ético es uno solo y ocurre en todo tiempo y lugar. Surge de
149 La ley Sarbanes Oxley (2002, Estados Unidos) es una forma de contabilidad y de seguimiento
a las compañías que cotizan en bolsa, destinada a proteger al inversionista. Finalmente no fue tan
efectiva, como lo demostró la crisis subprime de 2008-9.
150 Es lo que explica Barazzutti en Ética pública y sociedad pluralista (p. 27): ―La autonomía del
hombre en cuanto a capacidad de su ser está en la base misma de toda forma de regularse y con-
ducirse a sí mismo. No obstante, cuando se habla de ella se lo hace por referencia a lo moral.
Decir autonomía humana es decir autonomía moral‖.
Gestión de procesos 375
una visión de integración, las organizaciones contratan a una persona integral
y no sólo sus manos o un conocimiento muy específico.
Considerando que responsabilidad social se define como comportamiento ético,
conviene realizar acciones con ese origen (ver sección 6.1):
Entendimiento
Productividad
Bien Común siempre creciente
Beneficio total mayor que costo total, incluyendo a todos
Evitar la irresponsabilidad social
Evitar la improvisación en los cambios
Hacernos responsables
Inteligencia emocional y social
Formación integral
Cultivar las virtudes
Las virtudes corresponden a las facetas más universales de la formación del
carácter, tienen que ver con la superación espiritual, el comportamiento ético y la
orientación al Bien Común. Desde este punto de vista, están más allá de los valo-
res, los cuales son relativos a la cultura individual o colectiva.
William Bennett, ya citado, señala que las virtudes más ampliamente reconocidas
son: autodisciplina, compasión, responsabilidad, amistad, trabajo, coraje, perse-
verancia, honestidad, lealtad y fe… Lo especial de su libro es que enseña las vir-
tudes a través de historias, propias de la cultura de la humanidad. Más detalle en
el libro El encanto de la comunicación.
En su libro Empresas que perduran, Collins y Porras hacen una larga y docu-
mentada relación entre el éxito de largo plazo y la conducta ética o valórica. Más
detalle en el libro Análisis de sistemas.
Código de Ética
Hemos cooperado en definir códigos de conducta en algunas instituciones chile-
nas, en general, los lineamientos son del siguiente tipo (sólo una muestra):
Operaciones comerciales… La confianza es la clave.
Honestidad y cumplimiento de leyes. No hacemos negocios con personas u
organizaciones poco éticas.
Sinceridad en las relaciones con los stakeholders (grupos de interés relacio-
nados con la organización), evitar parcialidades.
Respeto de los acuerdos de confidencialidad.
Gestión interna
Uso adecuado de los bienes de la institución, incluyendo la información
Respeto de las atribuciones con las personas.
376 Juan Bravo C.
Realizar las transacciones autorizadas.
Trabajo de los colaboradores en condiciones ambientales y psicológicas ade-
cuadas.
Cumplimiento de los procedimientos y cooperar en perfeccionarlos siguiendo
el conducto definido para ese efecto.
Conflictos de intereses
Evitar cualquier forma de daño al prestigio de la institución y a la confianza
de los grupos de interés.
Evitar toda forma de beneficios personales o transacciones relacionadas no
informadas y aprobadas, así como cualquier forma de pagos indebidos o al
menos cuestionables.
Cuidar la moralidad económica y la conducta personal dentro y fuera de la
institución, así como evitar regalos y beneficios de personas relacionadas
(considerar que toda forma de atención debería ser de conocimiento público).
Actividades y honorarios externos informados por acciones aprobadas por el
Comité de Ética.
Más que sólo entregar un documento de este tipo a los colaboradores, el mejor
efecto se ha logrado al discutirlo y completar la redacción en forma participativa.
La formación de un Comité de ética es indispensable en este modelo.
16.5. Plan de continuidad operacional del negocio
El objetivo de esta sección es el desarrollo de un plan de continuidad operacional
del negocio. Es una concepción amplia que involucra a toda la organización y
que nace desde su plan estratégico. Es una forma de crear consciencia de las im-
plicancias de una contingencia en los productos y servicios.
Cada organización debe darse su propio plan, lo que veremos a continuación es
sólo un ejemplo.
El Objetivo principal es lograr la operación confiable, eficiente y efectiva.
Objetivos del plan
Los principales objetivos específicos del plan de continuidad operacional son:
Minimizar interrupciones a las operaciones del negocio
Reiniciar operaciones críticas en un tiempo determinado
Minimizar pérdidas financieras
Agilizar la restauración de los servicios
Asegurar a los clientes que sus intereses están protegidos
Limitar la severidad de la interrupción
Mantener una imagen pública positiva de la organización
Gestión de procesos 377
Los hitos principales del plan de continuidad operacional son los mismos del
proceso general de planeación (ver sección 1.4): planear, hacer, controlar y re-
troalimentar.
Programa de trabajo
Este es un ejemplo de programa de trabajo en el plan de continuidad operacional:
Dar inicio al proyecto
Formar equipos
Identificar procesos de principio a fin
Describir los procesos internos
Seleccionar los procesos críticos
Proponer mejoras o rediseño del proceso para aumentar su confiabilidad
Proponer indicadores y mediciones
Identificar y cuantificar los riesgos
Elaborar controles internos y planes de contingencia
Realizar retroalimentación
Contemplar la forma de proponer a la dirección, implementar, documentar, reali-
zar seguimiento, mantener y actualizar
Cada organización debe tener su propia forma de concebir y realizar el plan de
continuidad operacional, ojalá para procesos completos, éste es el esquema más
afín con la gestión del riesgo operacional.
También debe indicarse los tipos de riesgos que serán considerados: riesgos del
mercado, de una operación crediticia, contables, fraudes manuales o tecnológi-
cos, operacionales o de cumplimiento.
Además de cuantificar (lo vimos en la sección 16.2) es necesario considerar:
Expectativas: el costo en imagen para el negocio. Es la percepción de se-
guridad o inseguridad.
Información: calidad de la información para conocer del riesgo y tomar
acciones.
16.6. Un modelo para trabajar en eventos de pérdida
Se trata de abordar los eventos de pérdida de la administración del riesgo opera-
cional de forma que considere los principales lineamientos de Basilea II, en par-
ticular lo que se refiere a personas, procesos y sistemas.
Además de Basilea, el modelo para abordar eventos de pérdida tiene su origen en
otros avances que también aportan en la administración del riesgo operacional:
Modelo integral del cambio (ver anexo 7)
Seis Sigma (ver sección 15.8)
Desarrollo en espiral (ver anexo 4)
378 Juan Bravo C.
a) Identificación de riesgos
A partir de eventos de pérdida reales o potenciales, se trata de conceptualizar
riesgos en la organización. La técnica no es solamente reactiva, sino que también
es preventiva cuando se aplica a eventos de pérdida potenciales.
Se trata de buscar la generalidad de casos que agrupa a situaciones del mismo
tipo.151 Ese sería el riesgo identificado. Por ejemplo, en una sucursal se depositó
un cheque de terceros sin las debidas verificaciones. El riesgo identificado es el
de no verificar apropiadamente los datos de los documentos de depósito.
Es necesario aplicar mediciones y objetivos de cambio a ese riesgo. Consideran-
do el nivel de error que la organización acepta, ¿Seis Sigma?
b) Identificación de causas del riesgo
Existen varias técnicas asociadas a la detección de causas: árbol de decisión,
técnica de los por qué y otras detalladas en los capítulos anteriores. Aquí utiliza-
remos la técnica causa-efecto junto con la detección de prioridades de Pareto, tal
como vimos en la sección 9.4.
Se detectan causas, se analizan y se priorizan, indicando en que porcentaje influ-
ye cada una sobre el riesgo. Se grafican y se lleva un acumulado, cuando se llega
al 80% (en promedio) se tiene el conjunto de causas más relevantes, los pocos
críticos.
El nivel de profundidad al cual se llega tiene que ver con la técnica de desarrollo
en espiral y con el nivel de error aceptable para la organización en algún nivel de
sigma. Una variante es aplicar Pareto extremo y seleccionar sólo la causa más
relevante del riesgo.
c) Propuesta de solución
Se trata de proponer acciones concretas para mitigar el riesgo. De acuerdo con la
siguiente secuencia:
Aplicación de la creatividad: realizar tormenta de ideas para generar un barri-
do de muchas propuestas creativas, no importando que sean o no factibles
(para abrir espacios mentales).
Aplicar restricciones de la solución, factores de decisión y filtros para tener
pocas alternativas factibles.
Realizar evaluación comparativa.
Elaborar propuesta con la opción recomendada.
151 Tal como el concepto de clase de la orientación a objetos en el ámbito de la tecnología de
información.
Gestión de procesos 379
16.7. Procesos de operación segura de un sistema computacional
El objetivo de esta sección es apreciar la potencialidad de la etapa de diseño de
sistemas computacionales, para asegurar el buen funcionamiento del sistema du-
rante su vida útil. Recuérdese que el ámbito de los sistemas es también parte del
riesgo operacional según Basilea II.
El criterio con que abordaremos esta sección es máxima participación del usua-
rio en el diseño y mínimo esfuerzo durante la operación del sistema.
En la sección 2.6 del libro Modelando una solución de software se encuentra
desarrollado este tema. Se presenta aquí sólo un extracto que permite apreciar la
importancia de incluir la seguridad de la aplicación en la etapa de diseño, en lu-
gar de sólo reaccionar frente a una contingencia.
Todo lo que veremos son procesos que deben ser formalizados.
a) Operación del sistema
Entendemos la operación como el conjunto de tareas que permiten el buen fun-
cionamiento de la aplicación, realizadas por especialistas y usuarios. El diseñador
del sistema debería facilitar las tareas técnicas propias de la operación, tales como:
mantención de una bitácora de procesos, control de funcionamiento correcto, uso
eficiente de recursos y reconstrucción de bases de datos.
b) Auditoría computacional
Dado el carácter contralor de la auditoría, ésta tiene tuición sobre todas las áreas de
la empresa. Una de ellas es el área computacional, donde, debido a su alto grado de
especialización, fue necesario crear una nueva rama: la auditoría computacional.
En un esquema de organización centralizada, la auditoría computacional controla
toda la gestión del centro de computación, incluyendo la parte administrativa de los
sistemas de información que de allí se generan y más en particular, se encarga del
control sobre la protección de información.
Las posibilidades de la auditoría computacional son muy amplias, por ejemplo:
Organización del departamento de sistemas
Contratación de personas y evaluación de funciones
Evaluación de necesidades y selección de equipos
Formación de grupos de trabajo, como el comité de informática
Plan general de informática
Plan de recuperación de desastres
Seguridad de las instalaciones
Protección de la información
Método de desarrollo de sistemas y controles incorporados
Entrega de los productos pactados en cada etapa del desarrollo
Implementación de sistemas
380 Juan Bravo C.
Instalaciones físicas
Presupuesto de protección
Presupuesto del departamento de sistemas
Cumplimiento de las normas acordadas
Es aconsejable que en todo grupo de desarrollo participe un auditor computacional,
aunque manteniendo su independencia para conocer la aplicación y avanzar con la
verificación de controles al mismo tiempo que se desarrolla el sistema.
c) Contribución del diseño a la protección de la información
Hoy es indispensable incorporar las condiciones de seguridad que exige el me-
dio. Comencemos por conocer los siguientes términos:
Seguridad: es un concepto amplio que abarca desde la seguridad física de la
instalación hasta la protección de los datos contra accesos no autorizados, al-
teración, hurto o destrucción de la información.
Privacidad: se considera un aspecto particular de la seguridad en lo que se
refiere a la protección de bases de datos contra accesos no autorizados, sean
accidentales o deliberados.
Integridad: es un concepto que se refiere a la calidad de la información alma-
cenada, la que debe ser siempre consistente y estar protegida de invalidacio-
nes accidentales o deliberadas.
Recuperación: es el conjunto de tareas destinadas a poner nuevamente en
marcha el sistema una vez que éste se ha ―caído‖, ya sea a raíz de fallas o
errores, tales como un problema eléctrico o un comando equivocado.
Respaldo: se refiere a la copia de las bases de datos que se mantendrá en otro
lugar, para ser ocupada en caso de error o ―caída‖ del sistema.
Para proteger la información debe hacerse un estudio preciso de todos los posibles
riesgos, cuantificar cada uno de ellos y estimar la probabilidad de ocurrencia en un
cierto período. Así, se obtendrá cuál es el costo aproximado de cada riesgo, lo que
permitirá establecer un presupuesto para el plan de protección.
La protección de información abarca la seguridad, integridad y recuperación de los
sistemas, temas inseparables de la labor de diseño.
d) Seguridad de la información
El concepto de seguridad incluye variados tópicos:
Instalaciones físicas: control de acceso de las personas o riesgo de incendios,
a modo de ejemplo.
Procedimientos administrativos: fugas por errores en el diseño lógico, docu-
mentos faltantes, descuadraturas, etc.
Privacidad de la información: consultar o alterar información privada.
Gestión de procesos 381
La seguridad de la información en el computador se puede perder en forma acci-
dental o deliberada. Las causas más comunes de destrucción accidental de la in-
formación corresponden a fallas en el hardware, fenómenos externos como un cor-
te de energía eléctrica, variaciones de tensión o errores en la estructuración de lógi-
ca. Los dos primeros problemas pueden ser enfrentados con el apoyo de los pro-
veedores y el tercero con la ayuda de herramientas de productividad y mucho, mu-
cho orden.
Respecto de los intentos de infiltración deliberada, la principal forma de evitarlos
es mediante mecanismos de identificación, autentificación y de control de acceso.
Lo ideal para la seguridad de un sistema es que sus mecanismos estén bajo la su-
pervisión de un monitor que registre todas las posibles violaciones.
Hoy, la mayoría de los sistemas administradores de bases de datos traen incorpo-
rados estos y otros mecanismos.
e) Integridad de la información
El problema de la integridad es asegurarse que los datos de las tablas en el com-
putador sean exactos en todo momento, es decir, protegerlos contra invalidacio-
nes accidentales o deliberadas.
Para hacer más comprensible esta descripción, es necesario definir los términos
fallas, errores y ―caídas del sistema‖.
Fallas: se presentan por un mal funcionamiento en el hardware o software o
por una mala operación de las personas. Una falla podría generar errores.
Errores: son registros de datos o partes de programas, almacenados o trans-
mitidos en forma incorrecta.
Caída del sistema: es una detención inesperada de la normal operación del
sistema o la ejecución de operaciones incorrectas en el computador. Tanto
una falla como un error podrían provocar esta ―caída‖.
Algunas medidas que se podrían tomar para asegurar la integridad de los datos en
las bases de datos son:
Prevenir el ingreso de errores a través de exhaustivas validaciones; por ejem-
plo, de rango de valores, tipo de dato y dígito verificador.
Verificaciones de consistencia a través de ―revalidar‖ los datos.
Verificación de claves.
Verificación de reiniciación.
El conjunto de medidas de prevención de integridad tiene que establecerse a nivel
del diseño y de acuerdo con la naturaleza de los datos a proteger.
382 Juan Bravo C.
f) Recuperación de la información
La recuperación de la información está muy influida por el diseño del sistema.
Podría existir recuperación automática en cada función computacional, aunque
esta posibilidad se encuentra directamente relacionada con el sistema de respal-
dos utilizado.
La alternativa más habitual de recuperación de información es la reconstrucción
total, la que se utiliza cuando las tablas maestras deben ser totalmente recons-
truidas. Esta forma de reconstrucción opera trayendo el respaldo de las bases de
datos más recientes y actualizando sobre ellas los movimientos no incorporados a
la fecha.
Para realizar la reconstrucción, el sistema de respaldos consiste en copiar y archivar
fuera del equipo toda la información del sistema en forma periódica.
Todo esto sin contar las facilidades que hoy proveen los sistemas administrado-
res de bases de datos y la externalización del servicio.
16.8. Misión de la auditoría
Desde el punto de vista de los procesos, el área de auditoría se encarga de verifi-
car el cumplimiento de las normas y procedimientos de la empresa.152 Por ejem-
plo, que el procedimiento de otorgamiento de créditos siga las directrices que
fueron planteadas. Realiza inspecciones selectivas de los acuerdos estratégicos
firmados con proveedores y con otros grupos de interés; también verifica la cali-
dad de los sistemas de inventarios y de bienes del activo fijo. Otras tareas son:
verificar el uso de información en centros de costo, recomendar procedimientos y
coordinar la auditoría de la contabilidad.
Como ya hemos visto, orienta su labor hacia procesos seguros y se focaliza en
puntos de control y el análisis de riesgos.
Macazaga y Pascual señalan respecto a la organización por procesos (2006, pp.
63-64): ―Para decirlo en pocas palabras, antes auditábamos la función de una
persona, ahora auditamos el proceso. Si las personas cumplen con los estándares,
el proceso lo va a mostrar. Pero ahora las personas tienen una motivación adicio-
nal para ser eficientes. Antes, con las barreras entre los departamentos, una im-
productividad pasaba desapercibida. Ahora no, hay un sentimiento de grupo que
hace que todos se sientan responsables del proceso‖.
Por otra parte, también la auditoría debiera ser creativa y flexible, ayudando a
buscar la causa de los problemas. Por ejemplo, cuando un procedimiento no se
152 Arens y Loebbecke en su libro Auditoría, un enfoque integral definen (p. 1): ―Es la recopila-
ción y evaluación de datos sobre información cuantificable de una entidad económica para determi-
nar e informar sobre el grado de correspondencia entre la información y los criterios establecidos. La
auditoría debe ser realizada por una persona competente e independiente‖,
Gestión de procesos 383
está cumpliendo, en lugar de penalizar y forzar el cumplimiento, puede averiguar
por qué no se cumple y resolver la(s) causa(s) de fondo: quizás falte capacitación
de los usuarios, el procedimiento está mal planteado, desactualizado o el entorno
cambió, entre muchas otras posibilidades.
En muchas organizaciones el área de auditoría también asume la gestión del ries-
go operacional, sin embargo, la recomendación de Basilea II a las empresas es
disponer de una unidad dedicada exclusivamente a la gestión de esos riesgos.
16.9. Cuestionario de diagnóstico de riesgo operacional
Los cuestionarios son una excelente herramienta de diagnóstico para el riesgo ope-
racional. Pueden ser elaborados al interior de la organización o se pueden emplear
otros preparados desde múltiples fuentes. Un aspecto importante es que normal-
mente sirven también como una autoevaluación.
Sólo como una muestra de la riqueza de este instrumento, se presenta el extracto de
un cuestionario estándar (el original tiene una extensión diez veces superior). En
este cuestionario también se aplica el tipo de calificación más generalmente acep-
tada: desde 1 (no se cumple nunca, muy malo) a 5 (totalmente cierto o muy bueno).
ACCESO
1. El acceso al centro de computación es únicamente por personal autorizado
2. Está nombrado el oficial de seguridad y definidas sus funciones y responsabilidades
3. La password maestra del administrador está distribuida entre dos funcionarios
4. Las contraseñas de los funcionarios se mantienen en forma secreta
5. Los visitantes al centro de computación siempre son acompañados por alguien autorizado
ADMINISTRACIÓN DE CAMBIOS
1. El procedimiento para cambios a los sistemas está disponible
2. Las responsabilidades están claramente definidas en ese procedimiento
3. Existe como procedimiento la Administración de Capacidades y Crecimientos de los sistemas
4. La red, los discos y la memoria son monitoreados al menos para los sistemas críticos
5. Se tiene un listado de todos los sistemas críticos
6. Existe un procedimiento detallado de recuperación
PLAN DE EMERGENCIA
1. Se tiene un plan de emergencia para los sistemas críticos
2. Las líneas de comunicación y mando están claramente definidas en el plan de emergencia
3. El plan de emergencia es probado periódicamente
RECLUTAMIENTO DE PERSONAL
1. Los requisitos para cada puesto están claramente definidos
2. El perfil del solicitante es comparado contra los requisitos del puesto
3. El procedimiento de reclutamiento de personal está definido
CONOCIMIENTOS
1. Se tiene definido el inventario de competencias necesarios para cada puesto de trabajo
2. La capacitación continua al personal es administrada a través de un procedimiento definido
3. Existe un plan de rotación del personal dentro de cada departamento
384 Juan Bravo C.
EVALUACIÓN DEL PERSONAL
1. Los objetivos formulados son alcanzables o razonables
2. Los gerentes y empleados discuten los avances de sus objetivos en forma regular
3. Se cuenta con los equipos y recursos necesarios para el buen desempeño del personal
4. Existe un ambiente de motivación entre el personal
5. Se hacen entrevistas con el personal que presenta su renuncia
CÓDIGO DE ÉTICA
1. Existe un código de ética acerca del comportamiento moral o ético dentro de la empresa
2. Este código o manual de ética es discutido con los empleados
ADMINISTRACIÓN DEL COMPORTAMIENTO
1. Se da un seguimiento formal a las señales de comportamiento no deseado del personal
2. Los intentos de soborno son debidamente sancionados
3. Se toman medidas disciplinarias en caso de mala conducta
ESTILO GERENCIAL
1. La administración actúa en forma cauta con respecto a los diferentes riesgos
2. La información clasificada como confidencial es manejada en forma confidencial
PROCEDIMIENTOS GENERALES
1. Existe aprobación de los procedimientos por la gerencia respectiva y la auditoría interna
2. Se define claramente la responsabilidad y autoridad en cada procedimiento
PROCEDIMIENTOS: CONTROL INTERNO
1. Se tiene el análisis de riesgos para cada procedimiento
2. Los riesgos identificados son mitigados con medidas de control interno adecuadas
3. Las medidas de control interno están automatizadas
4. En la detección de error por el control interno, la fase de corrección está descrita
5. Los errores y sus causas se registran en una bitácora para luego ser analizados
PROCEDIMIENTOS: CUENTAS EN SUSPENSO
1. Existe un procedimiento para abrir, manejar o cerrar una cuenta en suspenso
2. Las cuentas en suspenso son abiertas únicamente cuando son estrictamente necesarias
3. Existe un responsable por cada cuenta en suspenso
4. Los saldos de cuentas en suspenso son reportados en forma individual
Extractos desde: The New Challenges, por Banks, Gerrit Jan den Brink, 2002.
Gestión de procesos 385
Capítulo 17. Caso del Centro de Procesos Nacional
en el BancoEstado
Es importante destacar que no estamos en esta vida para
trabajar sino que trabajamos para vivir. Esto se refuerza con
lecturas que llevan al trabajador a descubrir el tiempo
perdido en cosas que no le reportan tranquilidad interior, y se
queda pensando y preguntándose: ¿cómo lo he hecho?
Benjamín Chacana en Calidad total (p. 35).
Este caso fue presentado inicialmente como parte de la tesis de doctorado del
autor para ejemplificar los conceptos expuestos. En este libro cumple el mismo
rol, es un caso que mantiene su vigencia.
Veremos:
1. ¿Por qué BancoEstado?
2. BancoEstado: historia y estrategia
3. Gestión de procesos en el BancoEstado
4. Aplicar la visión sistémica en la gestión de procesos
5. Responsabilidad social: evitar desvincular
6. Agregar valor en la relación con el cliente
7. Gestión del cambio
8. Metodología de proyectos de rediseño en el BancoEstado
9. Proyecto Centro de Procesos Nacional (CPN)
10. ¿Cómo armar el proyecto?
11. El plan de proyecto
12. Conclusión del caso BancoEstado
17.1. ¿Por qué BancoEstado?
¿Por qué no otro caso o una empresa privada? En realidad hubo varios casos, de
empresas públicas y privadas, que compitieron para ser incluidos en esta investi-
gación. Cualquiera de ellos podría haber servido para explicar los conceptos del
texto. Algunas consideraciones de la elección:
Hitos de éxito en la gestión de procesos.
Importantes avances en modernización de procesos y tecnología
Contexto de una empresa del Estado considerado tradicionalmente adverso al
cambio organizacional.
Una historia que contar desde el punto de vista de método y proyectos.
Áreas de desarrollo adecuadas a los requerimientos de un gran banco.
Una metodología apropiada para realizar el rediseño de procesos.
Aplicación sistemática de la responsabilidad social.
386 Juan Bravo C.
También influyó una razón práctica: la participación del autor en varios proyec-
tos con BancoEstado durante el período de investigación.
¿Por qué el Centro de Procesos Nacional (CPN)?
El proyecto CPN tuvo por objetivo centralizar los procesos de back office de todas
las sucursales. Se seleccionó este proyecto de rediseño de procesos porque los
resultados son impresionantes:
Fueron liberadas 1.100 personas destinadas al back office, lo cual significa
una importante cifra de ahorro en remuneraciones.153
La aplicación de responsabilidad social fue amplia, ninguna de esas personas
fue despedida, se realizó una reconversión en gran escala que permitió refor-
zar grandemente el área comercial y de servicio al cliente. Un dato puede bas-
tar para entender la magnitud del esfuerzo: las colocaciones en el mercado
chileno de créditos de consumo pasaron desde 5% a 13% en el período con-
siderado para el proyecto, cifra que compensa con creces el incremento en
remuneraciones de personas destinadas al front office (hoy ese porcentaje es
prácticamente el doble).
Se logró invertir el orden del trabajo realizado en las sucursales entre back
office y front office, desde un 20% destinado al cliente hasta un porcentaje
superior al 80%.
Se trató de un proceso participativo, donde los mismos trabajadores señala-
ban mejoras que a veces impactaban en descontinuar su propia función.
Se contó con la colaboración del sindicato de la empresa.
También el caso es considerado un ejemplo de coordinación y de responsabilidad
social en el Banco, porque para lograr el crecimiento comercial se optó por privi-
legiar la contratación interna y la reconversión.
17.2. BancoEstado: historia y estrategia
BancoEstado fue creado el primero de septiembre de 1953, con el nombre de
Banco del Estado de Chile, tras la fusión de cuatro instituciones: la Caja Nacio-
nal de Ahorro (que venía desde 1855), la Caja de Crédito Hipotecario (1885), la
Caja de Crédito Agrario (1929) y el Instituto de Crédito Industrial (1930).
Desde su creación ha sido uno de los mayores bancos de Chile, siempre estatal,
hoy (2010) cuenta con nueve mil funcionarios y unos 400 puntos de venta en
todo el país, considerando filiales. Sus colocaciones están dentro de las mayores
153 Una estimación del autor señala un monto de ahorro cercano a los 200 millones de dólares en
un período de 10 años, considerando rentas promedio de la banca en Chile y el costo asociado
(US$ 1.600 por persona x 120 meses x 1.100 personas).
Gestión de procesos 387
de la banca. En los últimos años, junto con las fusiones que dado origen a gran-
des instituciones, como el Banco Santander y el Banco Chile, resulta cada vez
más estratégico reforzar el aspecto competitivo.
Otras cifras al 2010:
Utilidades anuales cercanas a US$ 200 millones
Rentabilidad del 19,5%
Clientes microempresarios: 320.000
Más de 1,2 millones de cuentas RUT activas – crecimiento anual: 100%
Participación total de mercado: 13,3%
Participación en el mercado de los créditos de consumo: 12%.
El presidente del directorio a la fecha del desarrollo del proyecto Centro de Pro-
cesos Nacional (2002-2003) era Jaime Estévez Valencia, destacado economista.
El servicio de gestión de procesos lo ofrecía la Subgerencia de Ingeniería de Pro-
cesos (en ese momento a cargo de Humberto Gómez Cisternas) desde la Geren-
cia División Operaciones y Sistemas (GDOS, dirigida por Fernando León Sade).
En general se le considera una empresa apreciada por la población chilena, bien
administrada que genera utilidades al Fisco y que cumple con un rol social direc-
to, tal como mantener oficinas en lugares alejados o administrar créditos de
clientes muy pequeños, escenarios que los bancos privados no abordan por su
baja o nula rentabilidad.154
Características del entorno
Como todas las organizaciones, el BancoEstado se ve influido por una serie de
características del entorno que condicionan su estrategia:
Desarrollo y aplicación de la ética y los valores
Economía social de mercado como paradigma deseable
Desarrollo amplio de tecnologías de información y de comunicación
Orientación al cliente
Aplicación amplia de la planificación y el análisis de riesgos
Estrategia de adaptación
Fruto de lo anterior, el directorio del BancoEstado impulsó grandes cambios in-
ternos siguiendo los lineamientos definidos en su plan estratégico:
Enfoque a clientes: fuertes acciones de marketing e imagen corporativa que
llevaron a cambiar el tradicional ―Banco del Estado de Chile‖ por ―BancoEs-
tado‖, acompañado de un nuevo logotipo y de una nueva estrategia de publi-
cidad. Se le da énfasis a las prácticas del trabajo ―de cara al cliente‖, con un
rediseño de todos los procesos de soporte operativo y tecnológico.
154 En su sitio web www.bancoestado.cl, se puede encontrar más información.
388 Juan Bravo C.
Enfoque a la eficiencia: para adaptar los procesos de negocios para hacerlos
más eficaces, seguros y eficientes. Este es el lineamiento que llevó al trabajo
en gestión de procesos, junto con una amplia renovación tecnológica.
Rol social: ellos dicen que se puede ―caminar y mascar chicle a la vez‖. Es
decir, el BancoEstado puede competir en un ambiente de libre mercado sin
abandonar su rol social y solidario. El enfoque estratégico se basa en que ―el
mejor rol social que se puede hacer en Chile, es hacer las cosas más eficien-
temente, de manera de abaratar costos y llegar donde los bancos privados no
tienen interés‖.
Gestión ética y de responsabilidad social: entre otros lineamientos actuales
que puede apreciar en el sitio web del banco.
Historias de emprendimiento y responsabilidad (2004) es uno de los libros corporati-
vos del BancoEstado que puede descargar desde su sitio web. En el prólogo (p. 7) José
Mena Valencia, Gerente General Ejecutivo en ese momento, refleja el sentir de los
funcionarios acerca del rol social y la responsabilidad social del Banco, dice: ―Hace
dos años los ejecutivos de BancoEstado tomamos un importante compromiso, frente a
un hombre de mirada y sonrisa sinceras. Ese hombre era Muhammad Yunus, fundador
del Grameen Bank, quien nos visitaba por segunda vez. La palabra empeñada enton-
ces, fue realizar todos los esfuerzos posibles para que la Cumbre Regional de Mi-
crocréditos se efectuara en nuestro país en 2005, declarado como el Año Internacional
del Microcrédito. Nos animaba el liderazgo alcanzado por esta entidad en el ámbito de
las microfinanzas a nivel latinoamericano y un hecho especialmente significativo para
BancoEstado y sus miles de funcionarios, pues conmemoraríamos 150 años otorgando
servicios bancarios a todos los chilenos‖.
―Tuve el inmenso agrado de conocer personalmente al profesor Yunus, en la reunión
anual del Instituto Mundial de Cajas de Ahorro, realizada en Berlín, en julio de 2000.
Para nosotros él ya era un símbolo que exhortaba con su ejemplo a mirar de frente y
asumir acciones concretas a favor de los pobres en un milenio que se iniciaba marcado
por los grandes contrastes sociales. Su llamado y su obra se han esparcido por el mun-
do porque el desafío global de la economía es ser capaz de darle una mayor dignidad al
ser humano y apuntar a que los avances científicos y tecnológicos sean capaces de re-
ducir y, mejor aún, erradicar la pobreza. Los profundos valores que encarnaba la pro-
puesta de Muhammad Yunus y que se viven en el Grameen Bank, fueron en gran me-
dida, la motivación y el impulso inicial del proyecto de Microempresas de BancoEsta-
do. La nuestra ha sido una experiencia enriquecedora ya que vemos en esta tarea, no
sólo un negocio, sino también una empresa social‖.
Desde aquí surgen muchas otras acciones: fomento del área comercial y mayor
inserción en el medio, por ejemplo, uniendo su red de cajeros automáticos a Red-
banc, la red de todos los bancos en Chile.
Es relevante para el análisis del caso CPN señalar que el Directorio de la época
definió tres grandes lineamientos como parte de su misión:
Dar acceso a servicios financieros a todas las personas.
Con tecnología, abrir nuevas oportunidades de desarrollo a las personas.
Gestión de procesos 389
Acercar el Banco a la gente. Es decir, escuchar a los clientes y transformar
los servicios en acciones eficientes y efectivas para el público.
Además, en la estrategia de negocios se declaró explícitamente:
La proporción del tiempo empleado por los funcionarios en las sucursales en
actividades de venta y back office debe pasar desde el tradicional 20%-80% a
80%-20%, es decir, invertir dicha proporción (en la práctica, se ha superado
esa meta, disminuyendo las actividades de back office a menos del 10% de
las funciones de la sucursal).
Realizar la optimización de los procesos (disminución de costos y tiempos)
para automatizar, centralizar y estandarizar.
En un reportaje en el Diario La Tercera (20 de abril de 2003) decían: ―En tres años, la
institución elevó sus créditos en diferentes segmentos, disminuyó su burocracia y co-
menzó a ganarse el respeto de sus competidores. En el mundo privado aseguran que
todo es fruto de la gestión del trío que componen Jaime Estévez, presidente de la enti-
dad, Marco Colodro, vicepresidente, y José Manuel Mena, gerente general‖.
―El próximo proyecto de la troika es replicar en las sucursales el modelo de venta de
las casas comerciales: poner en la entrada de sus locales la fuerza de venta con los
productos en oferta bien presentados y con gente dedicada a atender y a generar nego-
cios. Las colas se irán a otro piso o a un rincón, igual que en las grandes tiendas. Tam-
bién se lo han dicho a los trabajadores. Las sucursales están para vender. Y mientras
más, al mayor número de personas y con el menor riesgo, mejor. Ese es el mensaje del
cambio‖.
En el mismo reportaje también aportan algunas cifras: ―los créditos de consumo han
crecido desde alrededor del 6% a casi el 12% en los últimos dos años‖.
Al año 2010 esa cifra es del 12,2%, meritorio considerando la gran competitividad que
existe en este sector.
17.3. Gestión de procesos en el BancoEstado
En el BancoEstado la gestión de procesos es llamada Ingeniería de Procesos y
desde su incorporación formal en 1998 ha trabajado con principios y modelos
como los de este libro (no es casualidad, considerando el aprendizaje mutuo que
logró con los años).
Objetivos de la gestión de procesos en el BancoEstado
El objetivo ha estado claro: cumplir con los lineamientos estratégicos que esta-
blece la dirección del banco. Desde aquí se extrae la necesidad de aumentar la
productividad, mejorar la calidad del servicio y aumentar la rentabilidad.
En el BancoEstado la gestión de procesos alineada con la estrategia ha permitido
una visión integral que ayudó en la priorización en los procesos.
Dentro de las muchas acciones realizadas, hubo dos tareas estratégicas que tu-
vieron prioridad: contar con un mapa de procesos y un método de rediseño.
390 Juan Bravo C.
1. Mapa de los procesos del banco, permitió contar con un modelo de los pro-
cesos de negocios y de soporte operativo tecnológico, considerando su rela-
ción entre las filiales y entidades externas. Incluye:
o Áreas de cara al cliente: sucursales, fuerza de ventas para microem-
presas, plataformas de negocios de empresas y canales a distancia tipo
Internet, cajeros automáticos y otros.
o Banca de Segmentos: personas, micro y pequeñas empresas, grandes
empresas e institucional para aplicar en forma transversal el soporte
operacional y tecnológico. Lo mismo respecto a filiales: cobranzas,
seguros, corredora de bolsa, administradora fondo vivienda y otras.
o Soporte corporativo centralizado: contabilidad general, logística,
riesgo, planificación, recursos humanos, marketing, comunicaciones,
tecnología y otras.
2. Método de rediseño, como paso previo a trabajar en grandes proyectos.
Probando el método
Se comenzó por trabajar en el Rediseño de los Procesos de la Oficina Principal,
como una forma de probar el método para su aplicación más tarde a mayor escala
con el proyecto CPN.
Con el proyecto de la oficina principal, se pudo apreciar los impactos en la orga-
nización: ver cómo respondía la gente, los ejecutivos y mandos medios. Cómo
funcionaba el método en técnicas de levantamiento y descripción de procesos, de
entrevistas, de estudio de tiempos, etc. Cómo se comportaba la tecnología de
información, cuánto se necesita en los procesos de negocios y operacionales en
las sucursales. Cómo operaba la relación entre la Subgerencia de Ingeniería de
Procesos y la Gerencia de Informática, entre muchos otros aspectos.
Opción por el rediseño
En el BancoEstado claramente la opción ha sido por el rediseño, con la intención
de obtener un beneficio mayor, el cual efectivamente se ha logrado con mejoras
radicales en las variables críticas.
Algunas características del rediseño de procesos expuestas en el texto y que han
sido totalmente aplicadas en los proyectos del BancoEstado son:
Se habla concretamente del cliente externo, es decir, de aquellas personas que
le generan ingresos a la organización.
Se toma muy en cuenta la responsabilidad social, en particular evitando dejar
sin empleo a los buenos funcionarios que quedan liberados de un proceso.
La idea básica es lograr resultados mucho mejores en las variables críticas
para el cliente del proceso (tiempo de atención, costo del servicio, etc.) y así
elevar su nivel de satisfacción.
Gestión de procesos 391
Al inicio del proyecto conviene describir someramente lo que existe para no
sesgar la nueva propuesta con la realidad actual.
Existe una orientación muy clara hacia el exterior del proceso: satisfacción
del cliente, elevar el nivel de competitividad, etc.
Existe participación externa que aporta ideas frescas y ayuda a sacudir la or-
ganización, es el ―efecto consultor‖.7
La gestión de procesos en la estructura organizacional
Hasta antes del 2000 la forma típica de abordar el rediseño de procesos era me-
diante las necesidades de áreas relacionadas: auditoría, informática u otras. Tam-
bién se abordaba mediante la formación de grupos ad-hoc que luego se desarma-
ban, perdiéndose gran parte de la experiencia lograda.
Además, era típico que los proyectos no se terminaban o no se aplicaban después
de completarse. Sin hablar del escaso seguimiento.
A partir del año 2000 se creó en el BancoEstado una incipiente estructura llama-
da ―Grupo de Modernización‖, dependiendo de la Gerencia de Operaciones y
Sistemas, que comenzó con dos personas. Desde el comienzo, el encargado fue
Humberto Gómez Cisternas, quien luego pasó a ser Subgerente cuando el año
2001 se creó la Subgerencia de Ingeniería de Procesos.155 Poco a poco, el número
de integrantes comenzó a crecer hasta llegar a doce en el 2003 (el año 2002 el
número llegó a 45 personas, contando el apoyo externo en la implementación del
proyecto CPN). En los siguientes años ese número fluctuó en ese rango, los profe-
sionales hacían principalmente un rol de coordinadores de proyectos.
En un documento de la misma Subgerencia se lee: ―la misión de la función Ingeniería
de Procesos es liderar y gestionar proyectos de diseño y rediseño de procesos de nego-
cios del banco y su soporte esencial, que generen incrementos en las utilidades de la
Corporación BancoEstado, estableciendo las alianzas necesarias para lograr el cam-
bio‖. En otros documentos se aprecia el estudio del medio, por ejemplo, cómo se ha
incorporado la gestión de procesos en otros bancos, lo cual ayudó a estructurar la Sub-
gerencia de Ingeniería de Procesos acorde con los avances en la estructura organiza-
cional de este ámbito.
La Subgerencia de Ingeniería de Procesos cuenta con tres áreas:
Gestión de procesos
Gestión eficiencia operacional y tecnológica en canales de venta
Gestión del conocimiento
Ya sea la estructura, valores, objetivos o la forma de cumplir con la misión, son
temas de permanente cuestionamiento en la Subgerencia.
155 Cabe indicar como contraste el caso del Banco Santander (Chile), el cual por su carácter de
multinacional, posee una estructura supraorganizacional. Es decir, el énfasis de la gestión de los
procesos está en instancias centralizadas.
392 Juan Bravo C.
El autor tuvo el privilegio de participar en algunos talleres de trabajo en equipo
destinados a estos importantes temas. Por ejemplo, en el tema de principios in-
ternos se proponía: trabajo en equipo, flexibilidad, creatividad, comunicación,
gestión del cambio, calidad en los trabajos desarrollados, autocrítica, tolerancia,
buscar el conocimiento y mucho optimismo.
En su estilo plenamente participativo, en los talleres de capacitación en gestión
de procesos y de trabajo en equipo, organizados por la Subgerencia de Ingeniería
de Procesos, normalmente se invita a los funcionarios de empresas externas que
ahí trabajan.
Desde el comienzo de la formación de estructura, se ha buscado apoyo externo
para gestionar los procesos. Destacan en este período Accenture, consultora in-
ternacional especializada en Banca, C y S, Soluziona y Gamma Ingeniería.
¿Cómo se hace la gestión de procesos en el BancoEstado?
La gestión de procesos se lleva a cabo como un proceso continuo en el BancoEs-
tado, donde los procesos se levantan, rediseñan, implementan y luego se mantie-
nen y mejoran. Siempre está presente la visión de un proceso completo.
En relación al proceso y al producto del rediseño, se aplican las más variadas
ideas, varias de ellas serían llamadas ―nuevas reglas del juego‖:
Flexibilizar los procesos para ofrecer un servicio más personalizado.
Aplicar la tecnología para agregar valor.
Revisar permanentemente los costos.
Centralizar el back office para obtener economías de escala.
Eliminar el segundo y/o tercer control, haciendo bien las cosas desde la pri-
mera vez, entre otras posibilidades.
Eliminar el viaje de los documentos o productos y cambiarlo por mayor mo-
vilidad de quienes operan el proceso.
Ingresar la información al sistema computacional una sola vez y bien valida-
da (revisada minuciosamente en forma manual y computacional).
Lograr que los ejecutivos se involucren en administrar su información.
Hacer participar al cliente en el ingreso de su información (como en el caso
de los cajeros automáticos).
Cambiar la especialización de la estructura por generalización o integralidad.
El criterio de integralidad en la organización del trabajo156 ha sido plenamen-
te aplicado en BancoEstado, en la forma de enriquecer el trabajo de ejecuti-
vos y administrativos, orientándolos a procesos completos en lugar de activi-
dades dispersas.
156 En el capítulo 3 se incluyeron varios casos sobre integralidad.
Gestión de procesos 393
Cumplir con negociar intereses, porque las personas y organizaciones tienen
propósitos diferentes. El autor ha visto como en el BancoEstado se ha recha-
zado la tentación de la imposición autoritaria y se ha preferido invertir tiem-
po, mucho tiempo a veces, en negociaciones que permiten alinear todo, en
busca de la armonía, la cual, aunque no siempre es perfecta, permite hacer
viable los proyectos.
Aplicar la sabiduría de ubicar el momento justo para realizar un cambio.
Gestionar los riesgos, los cuales se identifican, evalúan y se toman variadas
acciones, por ejemplo: ignorarlo, traspasarlo (y tomar una cobertura), neutra-
lizarlo o reducirlo.
Con los resultados y las nuevas reglas en la mano, la experiencia del BancoEsta-
do ayuda a remover el paradigma de la ineficiencia estatal intrínseca. Cualquier
organización, pública o privada, puede ser eficiente.
Por otra parte, en el BancoEstado también buscan y aplican las mejores prácticas
del medio bancario internacional, una especie de commodity de procesos.
Recomendaciones generales
En el capítulo 1 se incluyeron recomendaciones generales, en el Banco aplican
rutinariamente las siguientes:
Alinear cada proyecto con la estrategia del Banco
Comunicar y hacer participar a todos los involucrados
Tomar en cuenta la cultura de la compañía
Contar con el apoyo de un líder influyente
Negociar a todo nivel
Hacer un proyecto piloto
Medir antes y después
Compromiso total y perseverar
Preparar a las personas
Focalizar el trabajo
Esperar resultados en los plazos previstos
El BancoEstado es un ejemplo donde se prueba que las recomendaciones de Fre-
derick W, Taylor se pueden seguir aplicando, con las debidas adaptaciones:
Se trabaja en métodos y programación de tareas, al mismo tiempo que hay
buenas relaciones humanas.
Se estudian los mejores casos de procesos, se definen criterios generales y se
capacita a los demás.
Buscan aumentar sistemáticamente la productividad de los trabajadores,
aprovechando las ventajas del perfeccionamiento continuo, de la disciplina,
del trabajo de equipo, de la tecnología y del sentido común.
394 Juan Bravo C.
17.4. Aplicar la visión sistémica en la gestión de procesos
La aplicación de algunos principios sistémicos es ilustrativa:
Una guía clara y señales precisas: los integrantes de la Subgerencia de Inge-
niería de Procesos, comenzando por su líder, Humberto Gómez, fueron fir-
mes en la disciplina y en mantener principios de calidad y responsabilidad
social.
Cambio cultural orientado a la eficiencia: se reconoce en una nueva forma
de trabajo, antes, lo habitual eran reuniones largas y sin objetivos claros, hoy
son más breves y precisas, al menos en el contexto de la Subgerencia de In-
geniería de Procesos. También la eficiencia en las reuniones se aplica a los
talleres de dos o más días en los balnearios del Banco, antes más relajados y
donde el control lo tomaban quienes preferían compartir hasta altas horas de
la noche. Después los eventos han sido más precisos, sin necesidad de aloja-
miento y focalizándose en lograr los objetivos planteados.
Retroalimentación de amplificación: con el nuevo diseño de procesos y el
cambio cultural poco a poco se avanza en un círculo virtuoso de mayor efi-
ciencia.
Humanidad: en los diseños de procesos en el BancoEstado se aplica auto-
nomía, participación, cambio permanente, integralidad del trabajo y diseño de
ambientes humanos. Por ejemplo, en una línea de trabajo participativa, en los
proyectos mayores se ha incorporando a los dirigentes sindicales, quienes han
tenido una destacada participación en las propuestas de cambio en pro de
mayor eficiencia.
Relaciones: se trabaja en equipo y se cultiva la confianza.
Coherencia, armonía y orden: se ha buscado la identidad del Banco, de la
Gerencia de Operaciones y Sistemas y de la misma Subgerencia de Ingeniería
de Procesos. También se ha hecho todo un esfuerzo para alinear intereses, es-
tablecer sistemas de señales y revisar periódicamente los costos.
Educación para el cambio:157 ha sido una prioridad en las implementaciones
de procesos, se ha capacitado al personal, se le ha hecho participar y se ha
buscado sensibilizar respecto al cambio.
Apertura y libertad: reflejada en un esfuerzo de comunicación, orientación al
cliente y fluidez de la información.
157 El autor tuvo el privilegio de apoyar como monitor en seis talleres destinados a este fin para el
proyecto CPN, en cada taller se reunían alrededor de 40 personas. Se practicaba la tormenta de
ideas para generar propuestas de mejoramiento, normalmente varias decenas en cada taller. Tam-
bién se aplicó la técnica de creatividad Seis sombreros para pensar (Edward de Bono).
Gestión de procesos 395
Aplicando la teoría del caos
El BancoEstado es en parte un caso tan interesante porque el rediseño de proce-
sos se abordó con las nuevas herramientas de la visión sistémica, en particular
los aportes de la teoría del caos:
Aceptar la complejidad: reconocen el mundo y la organización como tal y en
consecuencia emplean las herramientas apropiadas.
Visión ambiciosa de largo plazo: siempre en el BancoEstado el foco es la
estrategia y la visión desafiante y motivadora de largo plazo.
Programa de acción muy preciso para el corto plazo: sus proyectos tienen
una programación detallada de corto plazo.
Actuar a nivel de señales tempranas: aplicado en este caso a la recolección
de cientos de ideas de mejoras logradas en los talleres participativos. Una se-
lección de ellas ha dado origen a los entregables de acción rápida que se
verán en la tercera sección de esta parte.
Aprender a correr riesgos controlados: se hacen pruebas, ensayos, hay gra-
dualidad en la implementación y otras acciones destinadas a mantener a raya
el riesgo (ver capítulo 16).
Repetición de un pequeño conjunto de conceptos: en este caso, aplicado al
entrenamiento reiterado y a un pequeño conjunto de conocimientos que son
la base del trabajo de la Subgerencia de Ingeniería de Procesos: mapa de pro-
cesos, flujograma de información, plan de proyecto, etc.
Aceptación del caos y tolerancia: en el BancoEstado el criterio ha sido cons-
tructivo en lugar de la búsqueda de culpables respecto a los múltiples desaf-
íos y fallas que se presentan en los proyectos.
17.5. Responsabilidad social: evitar desvincular
La responsabilidad social en el BancoEstado se aplicó principalmente para evitar
desvincular. La idea fue realizar un pacto social con los colaboradores, quienes
cooperan en facilitar el cambio para lograr productividad y la empresa conserva
los empleos, aunque no necesariamente los mismos puestos de trabajo.
Efectivamente, se han logrado beneficios:
Se facilitaron los cambios y el clima organizacional mejoró.
El mayor incremento de la productividad financió con holgura los costos in-
volucrados: capacitación, recursos físicos, definición de funciones, etc.
Otra faceta del cuidado con las personas ―liberadas‖, es asegurarse que la retribu-
ción económica permanezca y ojalá aumente en este proceso.
En el proyecto CPN fueron liberados 1.100 colaboradores, la mayor parte fue re-
asignado al área comercial en nuevas líneas de negocios, tan rentables a la larga,
que ha sido necesario contratar más personal.
396 Juan Bravo C.
También fue necesario contratar más personas para el mismo proyecto CPN.
Definitivamente en el BancoEstado demuestran la falacia del antiguo mito: la
mayor productividad incrementará el desempleo, porque solamente en el proyec-
to CPN fueron reasignadas al área comercial unas 800 personas y otras 200 al
funcionamiento del Centro de Procesos Nacional.
Una vez que se abandona el paradigma de que las personas liberadas de un pro-
ceso serán despedidas, es relativamente sencillo considerar esta variable y hasta
resulta fácil encontrarles un destino. Los analistas de procesos lo toman como
algo casi de rutina.
17.6. Agregar valor en la relación con el cliente
A pesar de ser un tema que es difícil de aplicar, en el BancoEstado esta ha sido la
principal forma de priorizar los procesos, se consideran las mediciones a nivel de
las actividades (como en el esquema ABC) y sobre todo el beneficio concreto para
los clientes.
Explica Humberto Gómez: ―La medición a nivel de las actividades es necesaria
porque el Área Central de Planificación del Banco debe proporcionar los costos
basado en actividades, antes y después del rediseño, asegurando así la medición
del real aporte en la generación de valor con el nuevo proceso del negocio‖.
La orientación al cliente está tan arraigada en el trabajo de la Subgerencia de In-
geniería de Procesos en el BancoEstado que cuando se habla de cliente, se refie-
ren al cliente externo, tal como hemos propuesto en este libro. En la gestión de
procesos realizada en el BancoEstado se alejan del concepto cliente interno, no
porque sea erróneo sino porque ha sido malinterpretado. Sucede que muchas per-
sonas piensan que todo termina al satisfacer al cliente interno, olvidando que es
sólo un eslabón de una cadena mayor destinada al verdadero objetivo: atender y
tener contento al cliente externo.
17.7. Gestión del cambio
En el BancoEstado es importante la gestión del cambio y se aplica tanto para la
innovación como para la adaptación. Por ejemplo:
Criterio de gradualidad: el cambio se hace con cuidado y bien planeado.
Negociación efectiva: todos ganan, las negociaciones con el sindicato origi-
naron que se hiciera el pacto social ya comentado, con el énfasis en conservar
los empleos e impulsar los cambios.
Liderazgo de la dirección: ha estado comprometida en el cambio toda la alta
dirección: Presidente del Directorio, Gerente General y Gerentes Divisiona-
les. Además, en todo proyecto importante se ha designado un gerente líder in-
fluyente dentro de la organización.
Gestión de procesos 397
Compromiso personal: quienes lideraron y trabajaron en el proyecto estaban
plenamente comprometidos.158
Agrega Humberto Gómez: ―En todos los proyectos de Ingeniería de Procesos, el
líder invierte entre una y cuatro semanas en conversar con los involucrados a
nivel ejecutivo para sondear, explorar y convencer (antes que vencer, como seña-
la Peter Drucker) y establecer en conjunto con ellos los objetivos y alcances del
proyecto de rediseño. Además, ha sido necesario incorporar la etapa de Consoli-
dación, posterior al cambio, yendo a conversar con los afectados el por qué del
cambio. La Consolidación resultó ser esencial y un imperativo estratégico del
cambio bien hecho‖.
17.8. Metodología de proyectos de rediseño en el BancoEstado
Tal vez uno de los aspectos más relevantes del caso BancoEstado sea la dedica-
ción de los integrantes de la Subgerencia de Ingeniería de Procesos a invertir en
método, el cual perfeccionan en cada oportunidad con los resultados del rediseño
de muchos procesos.
Se establecen roles de personas y grupos de trabajo:
Comité Directivo (alta dirección): define directrices generales, aprueba los
modelos, toma decisiones en los puntos de atención que el líder le pide pro-
nunciamiento y controla el estado de avance general del proyecto.
Comité de Proyecto (ejecutivos de alto rango involucrados): entrega los li-
neamientos generales del proyecto, asesora como especialista al líder del pro-
yecto en los distintos ámbitos del proyecto, valida la estrategia y los modelos
y controla periódicamente los avances.
Grupo de Soporte (asesores internos y externos): entrega en detalle informa-
ción de apoyo y asesora en materias técnicas de su ámbito.
Equipo de Proyecto (profesionales de la Subgerencia de Ingeniería de Proce-
sos más apoyo externo): ejecuta las tareas requeridas en el proyecto.
Líder del Proyecto (generalmente un gerente o subgerente): formula la estra-
tegia para abordar el proyecto, planifica las etapas del proyecto, realiza se-
guimiento y control permanente del avance, presenta el estado de avance ante
los distintos comités, administra el proyecto a nivel de costos, presupuestos y
recursos, mantiene relación con la empresa consultora externa y evalúa las
opciones.
158 En el texto se presentó el caso del Seminario Mayor de Curití, preparado por Enrique Oglias-
tri, el cual muestra que sin férreo compromiso, un gran cambio puede ser destructivo para el sis-
tema. También se mencionó el caso del Instituto de Seguridad del Trabajo (IST) respecto a dis-
minuir la tasa de accidentes laborales y lo que significó en emoción y compromiso.
398 Juan Bravo C.
Jefe de Proyecto (generalmente un profesional con mayor nivel de autoridad
de la Subgerencia de Ingeniería de Procesos): participa con el líder en la for-
mulación de la estrategia, planificación y administración de los recursos, ela-
bora el plan de trabajo, administra el proyecto y el equipo a nivel de activida-
des y tareas y realiza las coordinaciones, dirige y controla al grupo de aseso-
res externos en el logro del objetivo de proyecto, analiza propuestas y contro-
la y registra el estado de avance detallado.
Algunas directrices relacionadas con la metodología:
El Comité Directivo y el Líder del proyecto se hacen asesorar por empresas
consultoras de reconocido prestigio y experiencia en el proceso a rediseñar.
Pueden ser consultoras diferentes.
Se aplica un esquema de avances sucesivos, como en la técnica de avance en
espiral presentada en el anexo 4. Poco a poco se aclaran objetivos y alcance,
en un estilo más bien pragmático y definitivamente realista en cuanto a las
posibilidades de concreción.
Previo al lanzamiento del proyecto, hay tres fases realizadas por el Subgeren-
te de Ingeniería de Procesos: sensibilización, objetivos precisos y alcance del
proyecto, cada una es un proceso de negociación con diferentes niveles ejecu-
tivos que puede tomar varias semanas de trabajo.
Por otra parte, la metodología contempla tres grandes etapas: planificación, eje-
cución y gestión.
Planificación incluye:
Levantamiento y análisis de la situación actual: comienza con el Kick Off o
lanzamiento del proyecto y concluye con la validación de la situación actual.
Corresponde a un diagnóstico de la situación actual.
Definición de la estrategia de negocio: se inicia con el detalle de la situación
actual y concluye con la validación de la estrategia de negocio. Se trata de la
estrategia operacional y tecnológica.
Diseño del modelo conceptual: se inicia con el detalle de la estrategia de ne-
gocio y concluye con la validación del modelo conceptual, operacional y tec-
nológico. Es la confirmación y modelamiento de los requerimientos opera-
cionales y tecnológicos.
Ejecución considera:
Desarrollo: corresponde al diseño detallado de la solución en los procesos y
en la tecnología de información. Se detallan los procedimientos.
Implantación:159 realización propiamente tal y luego optimización, la que en
el caso del proyecto CPN alcanza a dos años.
159 En el BancoEstado usan la palabra ―implantación‖, en el método GSP se dice ―implementa-
ción‖ para el mismo concepto.
Gestión de procesos 399
Gestión
Se refiere a la confirmación de próximos pasos, análisis de cambios y manteni-
miento de procesos.
17.9. Proyecto Centro de Procesos Nacional (CPN)
Es un proyecto que ha significado conocer en detalle los procesos operativos de
las sucursales, para llevarlos a la oficina central con el fin de automatizar, centra-
lizar y estandarizar. Se trata de un proyecto grande por el nivel de inversión rea-
lizada respecto a otros proyectos internos, aunque comparando con la industria
local el presupuesto de gasto e inversiones resultó ser el más bajo para proyectos
similares… y realizado con bastante ingenio.
El CPN tiene varios proyectos relacionados, tal como: infraestructura física para
recibir los procesos centralizados, sistema de control de flujo documental, super-
visión y automatización contable, externalización del canje, tablero de control,
gestión documental, tesorería, centralización de cobranzas y centralización de la
custodia y archivo de seguridad.
La Subgerencia de Ingeniería de Procesos trabaja de cerca con la Gerencia de
Informática, desde aquí se definen los requerimientos para la tecnología de in-
formación.160
Otros proyectos en marcha en la Subgerencia de Ingeniería de Procesos son:
Back office residual en los puntos de ventas (optimización del CPN)
Rediseño del Modelo de Atención en Canales de Distribución
Gestión Proceso Crédito Hipotecario
Gestión de Documentos: consiste en digitalizar procesos documentales
Rediseño de Tesorería
Administración del Riesgo Operativo y Tecnológico según Basilea II
Gestión del Conocimiento
¿En qué consiste el proyecto CPN?
Yendo a la concreción de los planteamientos estratégicos, el proyecto CPN permi-
te la automatización, estandarización y Centralización de Procesos de Sucursa-
les, como también ha sido llamado el proyecto.
Consiste en identificar los procesos de back office que se realizan en las sucursa-
les y ―llevarlos‖ al Centro de Procesos Nacional. Entre comillas lo de ―llevar‖,
porque en muchos casos se trata de procesos automatizados donde solamente se
160 Se trabaja en uniformar estas definiciones con el estándar UML (Unified Modeling Languaje).
Cabe indicar que procesos similares se están desarrollando en la mayoría de los bancos de Chile.
400 Juan Bravo C.
interactúa con el computador, como podría ser el caso del cálculo de las condi-
ciones financieras de un crédito.
El proyecto CPN comenzó en mayo de 2001, en diciembre de 2002 se completó la
fase de centralización con la habilitación en Santiago de un edificio donde se
concentró el trabajo de 400 personas en una primera etapa, número que fue dis-
minuyendo al ir optimizando la solución.
El 2003 el proyecto entró en una etapa de consolidación que se completó en el
2004 con la optimización desde el punto de vista técnico. Desde entonces ha se-
guido en perfeccionamiento.
Comentarios de los usuarios en un análisis que hizo la revista interna de BancoEstado
de abril de 2003: bajo el título ―CPN, Centro de Procesos Nacional, se afianza la nueva
operatoria‖, dicen los editores: ―Las sucursales advierten mejoras substanciales en los
tiempos de respuesta y en la resolución de problemas, lo que a su juicio se debe tanto
al aprendizaje mutuo, como a la asimilación gradual de las nuevas prácticas de traba-
jo‖. También incluyen opiniones desde las sucursales:
Sucursal Santiago Estación: ―Perciben que han mejorado en un 100% los tiempos de
respuesta y entrega en todos los productos. En la sucursal ya casi no tienen devolucio-
nes, ni rechazos. Algo que atribuyen a un mejor funcionamiento del CPN y a que ellos
se acostumbraron al sistema, cumpliendo ciertas exigencias que a veces, involuntaria-
mente, se pasaban por alto‖.
Sucursal San Antonio: ―Fueron oficina piloto en la implantación del CPN, período que
no estuvo exento de algunos problemas. Sin embargo, aseguran que estos se soluciona-
ron progresivamente. Destacan la preocupación de los encargados del proyecto, quie-
nes en las reuniones regionales expusieron los avances de los trabajos comprometidos
para la optimización del sistema. Señalan que gracias al involucramiento de todos los
actores y al criterio aplicado por parte de los Analistas del CPN, el sistema está fun-
cionando‖.
Sucursal Punta Arenas: ―Señalan que la custodia de pagarés y otros documentos me-
joró la seguridad, además de liberar a las sucursales de la carga de trabajo que signifi-
caba hacer periódicamente arqueos y balances de éstos. Sí han tenido problemas en el
curse de renegociaciones y contabilización de los sobregiros traspasados a la cuenta
vencidos, que esperan se solucionen pronto. Asimismo, al actuar como centralizadores
de la región del curse por imagen, han comprobado que con este sistema se logra dar
un tiempo de respuesta menor, de 1 ó 2 días, llegando incluso a cursarse créditos du-
rante el mismo día‖.
Sucursal Ancud: ―Sienten que el CPN fue un acierto, ya que este nuevo procedimiento
uniforma el curse de las operaciones crediticias, aperturas de cuentas corrientes y
otros, lo que se traduce en un mejor control y ordenamiento de los antecedentes en las
carpetas de su clientela. En esta zona, actualmente toma dos días hábiles el curse de las
operaciones‖.
17.10. ¿Cómo armar el proyecto?
Con base en las orientaciones estratégicas del negocio, el directorio de la empre-
sa determinó que el proyecto CPN era crítico.
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
Libro - Gestion de Procesos [3ª Ed.] - Juan Bravo Carrasco
Discover the best professional documents and content resources in AnyFlip Document Base.
Search
Libro - Gestion de Procesos [3ª Ed.] - Juan Bravo Carrasco
- 1 - 50
- 51 - 100
- 101 - 150
- 151 - 200
- 201 - 250
- 251 - 300
- 301 - 350
- 351 - 400
- 401 - 450
- 451 - 474
Pages: