Imagina que una entidad bancaria sufre una caída de su sistema de pagos durante tres horas. O que una fábrica de alimentos retira del mercado un lote completo por un error en el etiquetado de alérgenos. ¿Tiene esto algo que ver con el riesgo de mercado o el riesgo de crédito? No directamente. Estamos ante el riesgo operativo, ese gran desconocido que, sin embargo, es responsable de la mayoría de las pérdidas diarias en las organizaciones.
En 2022, según datos de la ORX (Asociación Internacional de Riesgos Operativos), las pérdidas reportadas por grandes entidades superaron los 7.500 millones de dólares solo por fallos internos y externos evitables. Si estás estudiando finanzas, administración, auditoría o ingeniería de procesos, entender el riesgo operativo no es una opción: es una necesidad profesional.
En este artículo no solo aprenderás su definición exacta según Basilea, sino que exploraremos 10 ejemplos reales sector por sector, los 7 tipos de riesgos operativos, y te daremos una metodología práctica para identificarlos.
¿Qué es el riesgo operativo? Definición técnica y sencilla
La definición más aceptada a nivel global proviene del Comité de Supervisión Bancaria de Basilea (Basilea II y III):
“El riesgo operativo es el riesgo de pérdida derivada de la inadequación o fallo de los procesos internos, las personas, los sistemas o de eventos externos.”
Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y el reputacional (aunque en la práctica, un fallo operativo suele dañar también la reputación).
Para un estudiante: Es el riesgo de que algo salga mal en el día a día de una empresa por culpa de personas, máquinas, procedimientos o factores externos inesperados, generando una pérdida económica.
Diferencia clave con otros riesgos
| Tipo de riesgo | Origen principal | ¿Predecible? |
|---|---|---|
| Riesgo de mercado | Cambios en precios (acciones, divisas) | Sí, con modelos estadísticos |
| Riesgo de crédito | Impago de un cliente | Sí, con análisis de solvencia |
| Riesgo operativo | Fallos internos o externos imprevistos | Difícil, más cualitativo |
Por qué el riesgo operativo es crucial hoy (y no solo en bancos)
Tradicionalmente, el riesgo operativo se estudiaba en banca. Pero tras el colapso de Barings Bank en 1995 (un solo trader causó pérdidas por 1.300 millones de dólares) y la crisis financiera de 2008, se extendió a:
- Salud: Errores médicos, caída de historiales clínicos.
- Logística: Fallo en cadena de frío.
- Tecnología: Ciberataques, caídas de servidores.
- Manufactura: Defectos de calidad, paradas no planificadas.
Dato revelador: El 63% de las empresas que sufren un gran riesgo operativo (como un incendio o un ciberataque grave) quiebran en los 12 meses siguientes si no tienen un plan de continuidad (FEMA, 2021).
Los 7 tipos de riesgos operativos (clasificación Basilea)
Para que puedas identificarlos en cualquier caso práctico, Basilea los divide en 7 categorías:
Globalización vs. proteccionismo: Comparación entre apertura comercial y políticas de restricción
- Fraude interno – Robos, corrupción, uso de información privilegiada por empleados.
- Fraude externo – Ataques informáticos, suplantación, robos por terceros.
- Relaciones laborales y seguridad en el puesto de trabajo – Demandas laborales, accidentes laborales graves.
- Prácticas comerciales y clientes – Publicidad engañosa, incumplimiento de contratos.
- Daños a activos físicos – Incendios, inundaciones, terremotos.
- Interrupción del negocio y fallos de sistemas – Caída de servidores, fallos eléctricos.
- Ejecución, entrega y gestión de procesos – Errores administrativos, fallos en conciliaciones.
A continuación, ejemplos reales de cada uno.
Ejemplos reales de riesgos operativos por sector
Ejemplo 1 (Fraude interno): SocGen y Kerviel (2008)
Un trader francés burló los controles internos y tomó posiciones no autorizadas por más de 50.000 millones de euros. La pérdida fue de 4.900 millones. Lección: Los fallos en segregación de funciones y supervisión son letales.
Ejemplo 2 (Fraude externo): Ciberataque a Colonial Pipeline (2021)
Un grupo de ransomware paralizó el mayor oleoducto de combustible de EE.UU. durante 5 días. Pago de rescate: 4,4 millones de dólares. Lección: La ciberseguridad es parte del riesgo operativo.
Ejemplo 3 (Procesos): Wells Fargo (2016)
Empleados crearon millones de cuentas bancarias falsas sin consentimiento del cliente para cumplir metas. Multa: 3.000 millones de dólares. Lección: Los incentivos mal diseñados generan riesgos operativos masivos.
Ejemplo 4 (Sistemas): Caída de Meta (WhatsApp, Instagram, Facebook – 2021)
Un cambio de configuración en routers desconectó todas las plataformas durante 6 horas. Pérdida estimada: 100 millones de dólares en ingresos publicitarios. Lección: Un error interno de TI es riesgo operativo puro.
España y su importancia en el Comercio Global
Ejemplo 5 (Daños físicos): Incendio en fábrica de Airbus (2019)
Un cortocircuito destruyó parte de la planta de Alabama, retrasando entregas del A220 y A320 durante meses. Coste: >100 millones de euros. Lección: Los activos físicos necesitan redundancia.
Ejemplo 6 (Salud): Error de dosis en hospital británico (2020)
Un fallo en la preparación automatizada de quimioterapia provocó sobredosis a 16 pacientes. Indemnizaciones y costes legales: 25 millones de libras. Lección: Los fallos de proceso en salud son vidas y dinero.
Ejemplo 7 (Logística): Colapso de la cadena de frío de Moderna (2022)
Un transportista apagó por error un congelador con 2.000 dosis de vacuna. Pérdida directa: 300.000 dólares más desabastecimiento. Lección: El error humano sigue siendo la principal causa.
Cómo identificar riesgos operativos en una organización
Cuando hagas prácticas o trabajes en auditoría, usa esta matriz 3 pasos:
Paso 1 – Mapeo de procesos
Dibuja el flujo de cada área (compras, producción, facturación). Señala cada punto donde interviene una persona, una máquina o un dato.
Paso 2 – Autoevaluación de riesgos (RCSA)
Pregunta a los responsables: “¿Qué podría fallar aquí?”. Valora probabilidad (baja/media/alta) e impacto (€ bajo/medio/alto).
Paso 3 – Indicadores clave de riesgo (KRIs)
Ejemplos: número de quejas de clientes / mes, horas de caída de sistema, rotación de personal crítico.
Ejemplo práctico: En una tienda online, un KRI de riesgo operativo sería “porcentaje de pedidos con error en el picking”. Si sube del 2% al 5%, hay riesgo de pérdidas por devoluciones.
Métricas de medición del riesgo operativo (para tu examen)
En el máster o certificación PRM (Professional Risk Manager), te pedirán conocer:
- SMA (Standardized Measurement Approach) – Método de Basilea para calcular capital por riesgo operativo. Usa el promedio de pérdidas históricas + un componente de negocio (BI).
- Valor en Riesgo Operativo (OpVaR) – Similar al VaR financiero, pero con distribuciones de severidad de pérdidas.
- Número de eventos – Simple: cuántos fallos operativos ocurren al mes.
Fórmula básica de pérdida esperada (riesgo operativo):
Pérdida esperada = Probabilidad de fallo × Impacto económico medio
Si un proceso tiene un 5% de probabilidad anual de fallar y el impacto es 200.000 € → Pérdida esperada = 10.000 €/año.
Marco de gestión: Plan de Continuidad de Negocio (BCP) y SAS
Dos pilares fundamentales que debes conocer:
- BCP (Business Continuity Plan): Procedimientos para seguir operando ante una caída (servidores alternativos, personal de respaldo, proveedores secundarios).
- SAS (Sistema de Administración de Seguridad Operacional) – Usado en aviación y energía. Ciclo: identificar → analizar → mitigar → monitorear.
Caso exitoso: Una aerolínea con SAS bien implementado reduce en un 40% los retrasos por fallos técnicos (IATA, 2023).
Errores comunes al estudiar riesgo operativo (evítalos)
- Confundirlo con riesgo de cumplimiento (compliance) – El riesgo legal es parte del operativo, pero no todo el compliance es operativo.
- Pensar que solo aplica a grandes bancos – Una pyme también sufre fraude de empleados o caída de su ERP.
- Olvidar el riesgo de terceros – Si tu proveedor cloud cae, tú también asumes el riesgo operativo.
- No cuantificarlo – Decir “es bajo” sin métricas es un error grave.
Herramientas digitales para gestión de riesgos operativos (2025)
Como estudiante, familiarízate con:
- SAP Risk Management – Para empresas industriales.
- MetricStream – Líder en cumplimiento y riesgos operativos.
- ServiceNow GRC – Muy usado en tecnológicas.
- Resilience (ex-Castellan) – Para BCP y análisis de escenarios.
Resultados de aprendizaje
- Definir con precisión el riesgo operativo según Basilea y diferenciarlo del riesgo de mercado y crédito.
- Identificar al menos 5 de los 7 tipos de riesgos operativos con ejemplos reales.
- Explicar por qué un fallo de sistema (como caída de Meta) es un riesgo operativo y no un fallo técnico aislado.
- Aplicar la metodología RCSA (autoevaluación) para detectar riesgos en un proceso sencillo (ejemplo: pedidos online).
- Calcular la pérdida esperada por riesgo operativo usando probabilidad e impacto.
- Diferenciar entre un plan de continuidad (BCP) y una autoevaluación de riesgos.
- Mencionar dos herramientas digitales usadas en la gestión profesional del riesgo operativo.
Explora más sobre este tema
Selecciona un tema y sigue aprendiendo...
