• No se han encontrado resultados

Área. Componente: Evaluación de riesgos. Sistema Nacional de Control, Auditoría Gubernamental y Política Anticorrupción

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "Área. Componente: Evaluación de riesgos. Sistema Nacional de Control, Auditoría Gubernamental y Política Anticorrupción"

Copied!
6
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 6 página )

Texto completo

(1)

Sistema Nacional de Control, Auditoría Gubernamental y Política Anticorrupción

1

IX

Componente: Evaluación de riesgos

Sistema Nacional de Control,

Auditoría Gubernamental y

Política Anticorrupción

Área

Informe E

special

IX

Autora : Mg. Marushka Naydú Mesa Pinto*

Título : Componente: Evaluación de riesgos - Parte fi nal

Fuente : Actualidad Gubernamental, Nº 67 - Mayo 2014

Ficha Técnica

Sumario

1. Introducción

2. Herramientas, políticas y buenas prácticas para la implementación del componente

3. Administración de riesgos 4. Conclusiones

1.

Introducción

En el artículo publicado el mes anterior1, tratamos del

componen-te Evaluación de riesgos, haciendo referencia a sus dos primeras normas básicas; es decir, al «Planeamiento de la administración de riesgos» y a la «Identifi cación de los riesgos».

En esta ocasión trataremos sobre las dos normas básicas restantes: «Valoración de los riesgos» y «Respuesta al riesgo»; a tal efecto, relacionaremos lo dispuesto por la Resolución de Contraloría N° 320-2006-CG «Normas de Control Interno», con lo señalado por la Resolución de Contraloría N° 458-2008-CG «Guía para la implementación del Sistema de Control Interno en las entidades del Estado» (en adelante, la Guía).

Asimismo, haremos referencia al documento del Committee of Sponsoring Organization of the Treadway Commission (COSO), denominado «Gestión de Riesgos Corporativos Marco Integra-do» (COSO - ERM) Resumen Ejecutivo de setiembre de 2004 (en adelante, el documento COSO - ERM) para complementar aquellos puntos en donde resulte necesario.

* Abogada por la Universidad San Martín de Porres (USMP). Magíster en Gestión Pública de la Uni-versidad de ESAN; egresada de la Maestría en Derecho de los Negocios de la USMP; titulada como Especialista en Administración de Negocios en IPAE. Graduada en el Programa de Especialización de Ejecutivos de ESAN, con mención en Administración; ha concluido el curso de Public Finance and Performance Management en Maryland School of Public Policy de la Universidad de Maryland EE.UU.6; así como el diplomado de Ética Pública, Transparencia y Anticorrupción, en la Universidad Nacional del Litoral de Argentina.

Con más de veinte años en el sector público, en áreas tributarias, administrativas y actualmente dedicada a la implementación del Sistema de Control Interno bajo el Modelo COSO.

Amplia experiencia docente, a la fecha se desempeña como profesora en la Escuela Nacional de Control de la Contraloría General de la República y en el Diplomado en Gerencia en la Administración Pública en ESAN.

1 «Componente: Evaluación de riesgos (Parte I)» en Actualidad Gubernamental Nº 66, Abril 2014.

2. Herramientas, políticas y buenas prácticas para

la implementación del componente Evaluación

de riesgos

Como recordamos, en el artículo anterior la última norma básica tratada fue la de «Identifi cación de los riesgos»2; identifi cación, que debe centrarse en aquellos riesgos más signifi cativos para

la entidad; es decir, aquellos relacionados con el desarrollo de los procesos y los objetivos institucionales.

En este punto, es preciso recordar que el establecimiento de objetivos es una condición previa para la evaluación de riesgos; y en tal sentido, dichos objetivos deben establecerse tanto a nivel de entidad como a nivel de procesos, antes de proceder con la

identifi cación3 y evaluación de riesgos.

Al respecto, la Guía señala que una vez identifi cados los riesgos

se elabora un registro, al cual denomina Registro de identifi cación de riesgos; el que contiene la descripción de las causas o factores (internos o externos) que originan los riesgos, así como los posi-bles efectos; agregando al respecto, que entender la importancia del manejo del riesgo implica conocer con más detalle conceptos como proceso, subproceso, objetivos del subproceso, entre otros; conceptos que trataremos en la siguiente publicación.

A tal efecto, presenta el siguiente ejemplo de formato de

iden-tifi cación de riesgos:

Registro de identifi cación de riesgos

Entidad: Fecha: Proceso:

Subproceso Objetivo del subproceso Riesgo Tipo de riesgo tores internos Causas (fac-y externos)

Efectos/con-secuencias

Es el caso que una vez identifi cados los riesgos, corresponde

valorarlos y darles una respuesta adecuada; en tal sentido, con-tinuando con el desarrollo del componente Evaluación de ries-gos, corresponde tratar sobre las dos normas básicas siguientes: «Valoración de los riesgos» y «Respuesta al riesgo».

2 Entendiéndose como riesgos a aquellos eventos con un resultado negativo que puedan afectar la consecución de los objetivos de la entidad.

3 Mediante la utilización de técnicas de recopilación y diagramación.

Parte

fi nal

Parte

fi nal

Fe de erratas: Revista Nº 66 Área IX.En el segundo gráfi co de la primera columna de la pág.

(2)

Informe Especial

2

IX

2.1. Valoración de riesgos

La Resolución de Contraloría N° 320-2006-CG respecto a esta norma básica establece:

«El análisis o valoración del riesgo le permite a la entidad considerar cómo los riesgo potenciales pueden afectar el logro de sus objetivos. Se inicia con un estudio detallado de los temas puntuales sobre riesgos que

se hayan decidido evaluar. El propósito es obtener la sufi ciente

infor-mación acerca de las situaciones de riesgo para estimar su probabilidad de ocurrencia, tiempo, respuesta y consecuencias».

En este sentido, la resolución establece que la entidad debe va-lorar los riesgos bajo dos perspectivas: Probabilidad e Impacto4;

en donde la probabilidad representa la posibilidad de ocurrencia, mientras que el impacto representa el efecto de la ocurrencia; de-biendo estimar ambos factores usando datos de eventos pasados, los cuales pueden proveer una base objetiva en comparación con los estimados subjetivos, como técnicas prospectivas.

Asimismo, establece que la metodología de análisis o valoración del riesgo de una entidad debe normalmente comprender una combinación de técnicas cualitativas y cuantitativas, pero que usualmente las entidades utilizan técnicas cualitativas de

valo-ración cuando los riesgos no son cuantifi cables o cuando el uso de datos no es verifi cable.

Respecto a las técnicas cualitativas, señala que estas consisten en

la evaluación de la prioridad de los riesgos identifi cados, usando

como criterios la probabilidad de ocurrencia, el impacto de la materialización de los riesgos sobre los objetivos, además de otros factores tales como la tolerancia al riesgo y costos, entre otros.

En este punto, cabe indicar la defi nición que el documento

del COSO - ERM establece respecto al concepto de «Tolerancia al riesgo», el cual según señala, corresponde a los niveles aceptables de desviación relativa a la consecución de los objetivos, los cuales pueden medirse con las mismas unidades que los objetivos

co-rrespondientes; así por ejemplo, señala que si una empresa fi ja

un objetivo del 98 % de puntualidad para sus entregas, con una desviación aceptable (tolerancia al riesgo) del 97 % y el 100 %,

está defi niendo en estos dos últimos porcentajes su nivel de riesgo aceptado, al cual fi ja como una orientación para establecer los

objetivos.

En cuanto a las técnicas cuantitativas, la resolución señala que son usadas para analizar numéricamente el efecto de los riesgos

identifi cados en los objetivos.

De otro lado, la norma en mención, al tratar de la evaluación de riesgos, señala que la entidad puede valorar cómo los riesgos se correlacionan; es decir, se combinan e interactúan para crear

probabilidades o impactos signifi cativamente diferentes,

preci-sando al respecto lo siguiente:

Riesgos correlacionados positivamente

El impacto de los riesgos puede ser bajo, pero con una correlación

positiva de los mismos, el impacto aumenta. Las entidades los valora

individual-mente, pudiendo agruparlos en categorías comunes, cuando ocurran en múltiples unidades. Riesgos no correlacionados

positivamente

En este punto, conviene indicar lo que el documento COSO - ERM señala al respecto, debiendo aclararse que no trata de correlatividad de «riesgos» sino de relaciones de «eventos»; en tal sentido, debe tenerse en cuenta que el modelo –entre sus

4 La Guía señala: Probabilidad es la posibilidad de ocurrencia del riesgo, la cual puede ser medida con criterios de frecuencia o teniendo en cuenta la presencia de factores internos y externos que puedan propiciar el riesgo, aunque este no se haya materializado. Impacto son las consecuencias que puede ocasionar a la entidad la materialización del riesgo.

ocho componente– contiene el denominado Identifi cación de Eventos5, el que para nuestro caso, en alguna medida equivaldría

al subcomponentes «Identifi cación de riesgos» contenido en el componente «Evaluación de riesgos» (debiendo tenerse en cuenta la diferencia conceptual entre evento y riesgo).

Es el caso que el documento COSO - ERM respecto a las relaciones entre eventos señala, que cuando los eventos potenciales no están relacionados entre sí, la dirección los evalúa individualmente; pero cuando exista correlación entre los eventos o estos se combinen o interaccionen para crear probabilidades o impactos

signifi cativamente diferentes, la dirección los evaluará en su

conjunto, pues aunque el impacto de un solo evento pueda ser ligero, el impacto de una secuencia o combinación de eventos

puede ser más signifi cativo.

Al respecto señala los siguientes ejemplos:

Eventos potenciales no relacionados entre sí: Una empresa con

unida-des de negocio expuestas a diferentes fl uctuaciones de precios (tales

como el de la pasta de papel o el de moneda extranjera) evaluaría los riesgos independientemente de los movimientos del mercado. Eventos potenciales relacionados entre sí: Una válvula defectuosa de un depósito de propano en un almacén de distribución origina un escape de gas, mientras se mantienen cerradas las puertas

de la instalación para retener el calor de las ofi cinas adyacentes.

Cuando el conductor de un camión que se acerca al almacén activa un dispositivo de control remoto para abrir las puertas, la presencia conjunta del gas con la chispa del motor de la puerta causa una explosión.

2.1.1. Escalas cualitativa y cuantitativa de los riesgos

La Guía señala que la valoración de los riesgos se efectuará sobre la base de la información obtenida en el registro de riesgos6, para

lo cual presenta las escalas que pueden utilizarse para analizar los riesgos, tanto desde el punto de vista cualitativo como cuan-titativo, según se señala a continuación:

2.1.1.1. Análisis cualitativo

Se efectúa mediante la utilización de escalas descriptivas para demostrar la magnitud de consecuencias potenciales sobre los objetivos, las que pueden incidir en tiempo, costo, alcance o calidad (impacto) y su posibilidad de ocurrencia de cada riesgo

específi co (probabilidad); escalas que se pueden modifi car o

ajus-tar a las circunstancias de las necesidades de cada organización. Respecto a estas escalas la Guía señala que tanto para probabi-lidad como para impacto, se deben establecer las categorías a

utilizar y la descripción de cada una de ellas con el fi n de que

cada persona que aplique la escala, mida a través de ella los mis-mos ítems; a manera de ejemplo presenta las siguientes escalas: Escala cualitativa de probabilidad:

Probable

Es muy frecuente la matererialización del riesgo o se presume que llegará a materializarse.

Improbable

Es poco frecuente la materialización del riesgo o se presume que no llegará a materializarse.

Posible

Es muy frecuente la matererialización del riesgo o se presume que posiblemente se podrá materializar.

5 Defi ne al «evento» como un incidente o acontecimiento derivado de fuentes internas o externas,

que afecta a la implantación de la estrategia o la consecución de objetivos, los cuales pueden tener un impacto positivo, negativo o ambos tipos a la vez.

(3)

Sistema Nacional de Control, Auditoría Gubernamental y Política Anticorrupción

3

IX

Escala cualitativa de impacto:

Desastroso

Si el hecho llegara a presentarse, tendría alto impacto o efecto sobre la entidad.

Leve

Si el hecho llegara a presentarse, tendría bajo impacto o efecto en la entidad.

Moderado

Si el hecho llegara a presentarse, tendría medio impacto o efecto en la entidad.

Agrega además, que las entidades pueden construir sus propias escalas de acuerdo con su naturaleza y a las características de sus procesos y procedimientos, de forma que estas escalas se ajusten

al análisis de los riesgos identifi cados.

2.1.1.2. Análisis cuantitativo

En cuanto al análisis cuantitativo, la Guía señala que mediante este se representa los valores numéricos para la elaboración de tablas de registro de riesgos; la calidad del análisis depende de lo precisas y completas que estén las cifras utilizadas. Señala al respecto, que la forma en la cual la probabilidad y el impacto son expresadas y las formas por las cuales ellos se combinan para proveer el nivel de riesgo puede variar de acuerdo al tipo de riesgo.

Las escalas cuantitativas de probabilidad e impacto que, a manera de ejemplo presenta la Guía, son las siguientes:

Probabilidad de ocurrencia Nivel

0-25 Improbable 26-70 Posible 71-100 Probable Impacto Nivel 0-25 Leve 26-70 Moderado 71-100 Desastroso

Al igual que en el caso del Análisis Cualitativo, la Guía señala

que cada entidad puede modifi car o ajustar las escalas, de

acuerdo con su naturaleza y a las características de sus procesos y procedimientos.

Por su lado, el documento del COSO - ERM señala que la meto-dología de evaluación de riesgos de una entidad consiste en una combinación de técnicas cualitativas y cuantitativas; indicando que a menudo se aplican técnicas cualitativas cuando los riesgos

no se prestan a una cuantifi cación o cuando no están disponibles datos sufi cientes y creíbles para la evaluación cuantitativa o la obtención y análisis de ellos no resulte efi caz por su coste.

Agrega, que típicamente las técnicas cuantitativas aportan más

precisión y se usan en actividades más complejas y sofi sticadas,

para complementar las técnicas cualitativas, las que normalmente exigen un mayor grado de esfuerzo y rigor.

El documento en mención proporciona algunos ejemplos de técnicas cuantitativas de evaluación de riesgos, las que se men-cionan a continuación:

Benchmarking: proceso comparativo entre entidades, que enfoca eventos o procesos concretos, compara medidas y

resultados mediante métricas comunes e identifi ca

oportuni-dades de mejora. Se desarrollan datos sobre dichos eventos y procesos y mediciones para comparar el funcionamiento. Algunas empresas usan esta técnica para evaluar la proba-bilidad e impacto de eventos en un sector determinado.

Modelos probabilísticos: sobre la base de ciertas hipótesis, los modelos probabilísticos relacionan una gama de eventos, con su probabilidad de ocurrencia e impacto resultante. Ambos conceptos se evalúan a partir de datos históricos o resultados

simulados que refl ejen hipótesis de comportamiento futuro. • Modelos no probabilísticos: aplican hipótesis subjetivas para

estimar el impacto de eventos sin una probabilidad asociada

cuantifi cada. La evaluación de impacto de eventos se basa en

datos históricos o simulados e hipótesis de comportamiento futuro. Ejemplo de este tipo de modelos son las medidas de sensibilidad, las pruebas de carga y los análisis de escenarios. En cuanto a las técnicas cuantitativas, el documento COSO - ERM señala que para conseguir consenso se puede aplicar el mismo

enfoque que se usa en la identifi cación de eventos, tales como

entrevistas y grupos de trabajo; que para el caso peruano serían las técnicas de recopilación establecidas en la Guía.

2.1.2. Matriz de probabilidad e impacto

La Guía señala que la Matriz de probabilidad e impacto (también

denominada Tabla de búsqueda) especifi ca combinaciones de probabilidad e impacto que llevan a la califi cación de los riesgos, de donde el nivel de puntuación de dicha califi cación ayuda a guiar las respuestas a los riesgos, toda vez que las califi caciones asignadas defi nen la priorización en la atención de los mismos.

En este sentido, para establecer dichas combinaciones se utilizan valores para cada perspectiva de valoración, es decir tanto para la probabilidad como para el impacto, bien sea bajo el análisis cualitativo o cuantitativo; así por ejemplo si se utiliza una escala de valoración de 1 a 3 se tiene: Probabilidad Valor Probable 3 Posible 2 Improbable 1 Impacto Valor Desastroso 3 Moderado 2 Leve 1

Es así, que si a un determinado riesgo se le otorga una califi cación

en cuanto a probabilidad de «probable» (valor 3) y en cuanto a impacto de «desastroso» (valor 3), tendríamos un nivel de riesgo de 9 (3 x 3); nivel que responde a un riesgo inaceptable.

Si la califi cación de la probabilidad es «posible» (valor 2) y el impacto «desastroso» (valor 3), el nivel de riesgo sería 6 (2 x 3); nivel que responde a un riesgo importante; asimismo, ocurriría si la probabilidad es «probable» (valor 3) y el impacto es «mode-rado» (valor 2), el nivel de riesgo sería 6 (3 x 2).

Mientras que el nivel de riesgo sería moderado si la califi cación

de la probabilidad es «improbable» (valor 1) y la del impacto «desastroso» (valor 3); o la probabilidad es «posible» (valor 2) y el impacto «moderado» (valor 2); o la probabilidad es «probable» (valor 3) y el impacto «leve» (valor 1); como se observa, el nivel de riesgo es moderado cuando la evaluación de este da como resultado 4 o 3.

Un nivel total de riesgo 2 representa un riesgo «tolerable», el cual surge de un nivel de probabilidad de «posible» (valor 2) y un impacto «leve» (valor 1); así como también de un nivel de probabilidad «improbable» (valor 1) y un impacto «moderado» (valor 2).

(4)

Informe Especial

4

IX

Finalmente, tendríamos un nivel de riesgo de 1 (1 x 1), es decir, un riesgo aceptable, cuando la probabilidad es «improbable» (valor 1) y el impacto es «leve» (valor 1), de donde resulta un nivel total de riesgo de 1.

Como se observa, el nivel de riesgo responde a la multiplicación del valor de la probabilidad y el valor del impacto.

Teniendo en cuenta la escala de valoración señalada, los niveles

de riesgo son defi nidos por la Guía como sigue: Riesgo inaceptable

Se requiere acción inmediata. Planes de tratamiento requeridos, implementados y reportados a la alta dirección.

Riesgo importante

Se requiere atención de la alta dirección. Planes de tratamiento requeridos, implementados y reportados

a los jefes de las ofi cinas, divisiones, entre otros.

Riesgo moderado

Debe ser administrado con procedimientos normales de control.

Riesgo tolerable

Menores efectos que pueden ser fácilmente reme-diados. Se administra con procedimientos rutinarios.

Riesgo aceptable

Riesgo insignifi cante. No se requiere ninguna acción.

Respecto, a los niveles de riesgo, la Guía establece que dichas combinaciones pueden usarse en términos descriptivos o valores numéricos, dependiendo de la preferencia de la entidad; y que es precisamente esta la que debe determinar qué combinaciones utilizará. Asimismo, indica que una vez valorados los riesgos, la puntuación del riesgo ayuda a guiar las respuestas a los riesgos.

A manera de ejemplo, y con el fi n de visualizar las posibles

com-binaciones para determinar el nivel de riesgo, la Guía propone la siguiente «Matriz de probabilidad e impacto», también llamada Mapa de riesgos, la cual ha sido diseñada con una escala de 1 a 9 (o de 3 x 3):

Matriz de probabilidad e impacto Impacto

1 2 3

Leve Moderado Desastroso

Probabilidad Probable 3 Riesgo3 moderado 6 Riesgo importante 3 Riesgo inaceptable Posible 2 Riesgo2 tolerable 4 Riesgo moderado 2 Riesgo importante Improbable 1 Riesgo2 aceptable 2 Riesgo tolerable 2 Riesgo moderado Zona ROJA de riesgos «inaceptables» e «importantes».

Zona AMARILLA de riesgos «moderados». Zona VERDE de riesgos «tolerables» y «aceptables».

Como se observa de la matriz anterior, la zona roja representa aquellos riesgos «inaceptables» e «importantes», aquellos cuyo nivel de riesgo se encuentra entre 9 y 6, respectivamente; la zona amarilla representa los riesgos «moderados» cuyo nivel de riesgo

se encuentra entre 4 y 3; y fi nalmente la zona verde, en la que

el nivel de riesgos es de 2 y 1 representando riesgos «tolerables» y «aceptables», respectivamente.

En este punto conviene señalar, que considerando que la Guía

indica que queda a criterio de la entidad defi nir qué

combina-ciones utilizará, para establecer el nivel del riesgo, a continuación se muestra un mapa de riesgo que contiene cuatro niveles de probabilidad y cuatro de impacto; en este sentido, se recomienda utilizar niveles de criterios de evaluación de riesgo impares, ya que evita el sesgo de ubicarse en el medio de la escala.

Mapa de riesgo Probabilidad Impacto Muy alta Alta Media Baja

Leve Moderada Grave Crítica

Zona riesgo inaceptable Zona riesgo importante Zona riesgo moderado Zona riesgo aceptable

Asimismo, se recomienda elaborar un mapa de riesgos por cada

proceso, con el fi n de facilitar la administración del riesgo.

2.2. Respuesta al riesgo

La Resolución de Contraloría N° 320-2006-CG respecto a esta norma básica establece:

«La administración identifi ca las opciones de respuesta al riesgo

conside-rando la probabilidad y el impacto en relación con la tolerancia al riesgo

y su relación costo /benefi cio. La consideración del manejo del riesgo y

la selección e implementación de una respuesta son parte integral de la administración de los riesgos».

En este sentido, señala que una parte crítica es la estrategia de res-puesta al riesgo por la que opte la entidad, pues se debe seleccionar la opción más adecuada para su manejo (evitarlos, reducirlos, com-partirlos o transferirlos y aceptarlos) y su debida implementación. Al respecto, la Guía señala que la entidad para seleccionar la res-puesta al riesgo, debe evaluar el efecto que esta tendrá sobre la

probabilidad y el impacto, así como los costos y benefi cios que se

generarán, señalando que debe seleccionar aquella respuesta que sitúe el riesgo residual dentro de la tolerancia al riesgo establecida.

En este punto es preciso señalar la defi nición que contiene la Guía

respecto al riesgo residual7, entendiendo por tal, a aquel riesgo

que permanece después que la dirección toma acciones de control necesarias para reducir la probabilidad y consecuencia8 del riesgo.

En relación con esto, señala que el riesgo residual podrá ser valo-rado tomando en consideración los riesgos inicialmente evaluados contra aquellas respuestas y acciones de control que minimizaron dicho riesgo; señalando que para ello, se tendrá que determinar

la efi cacia de las acciones de control implementadas o existentes,

permitiendo así determinar el adecuado riesgo residual.

7 Según el documento de COSO-ERM, el riesgo residual es aquel que permanece después de que la dirección desarrolle sus respuestas a los riesgos.

(5)

Sistema Nacional de Control, Auditoría Gubernamental y Política Anticorrupción

5

IX

Asimismo, la Guía señala que para efectos prácticos de la de-terminación del riesgo residual se considerarán los siguientes criterios:

Criterios Valoración del riesgo residual

No existen actividades de control Se mantiene el nivel de riesgo inicial Existen actividades de control Se reduce en un nivel del riesgo inicial Existen actividades de control

efi caces Se reduce en dos niveles el riesgo inicial

En este punto, conviene indicar también la defi nición de riesgo inherente9, que si bien es cierto no está contenida en la Guía,

resulta importante su distinción con el riesgo residual.

Al respecto, en el documento del COSO - ERM cuando se hace referencia al componente Evaluación de riesgos, se señala que los riesgos se analizan considerando su probabilidad e impacto como base para determinar cómo deben ser gestionados, y se evalúan desde una doble perspectiva, inherente y residual.

En tal sentido, defi ne al riesgo inherente como aquel al que enfrenta una entidad en ausencia de acciones de la dirección

para modifi car su probabilidad o impacto.

De lo expuesto podemos concluir, lo siguiente:

Riesgos inherente+ Controles = Riesgo residual

Riesgo inherente

Control

Riesgo residual

De otro lado, en cuanto a la respuesta al riesgo, la Guía señala que existen cuatro posibles acciones a seguir, las mismas que se señalan a continuación:

Evitar

• Implica tomar medidas para prevenir el riesgo. • Es la primera alternativa a considerar.

Compartir o transferir

• Consiste en trasladar el impacto negativo de una

amenaza, junto con la propiedad de la respuesta a un tercero.

Reducir

• Implica reducir tanto la probabilidad (medidas

de prevención) como el impacto (medidas de protección).

Asumir

• Implica no ejecutar ninguna acción respecto al

riesgo residual.

La Guía señala que la elección de cualquiera de las acciones indi-cadas, debe considerar la viabilidad jurídica, técnica, institucional,

fi nanciera y económica de la entidad.

Asimismo, establece que luego de elegida la respuesta al riesgo,

la entidad debe identifi car las actividades de control que

per-mitan asegurar que las respuestas a los riesgos se lleven a cabo de manera adecuada y oportuna; debiendo considerar cómo se relacionan entre sí, pues una sola puede afectar riesgos múltiples, o caso contrario, se requerirán múltiples acciones de control para una respuesta a un riesgo.

9 También denominado Riesgo puro o Riesgo absoluto.

Finalmente, la Guía propone una «Matriz de riesgos», la cual señala constituye una herramienta metodológica que permite hacer un inventario de riesgos sistemáticamente agrupados por clase o tipo de riesgo y ordenado prioritariamente de acuerdo con el nivel de riesgos; que incluye además, la recomendación de acciones y responsables de su implantación.

A continuación, se muestra el modelo de «Matriz de Riesgos» incluido en la Guía:

Riesgo

Evaluación de riesgo Respuesta al riesgo Riesgo

resi-dual

Respon-sable Impacto Probabilidad Nivel de riesgo

Res-puesta Accio-nes

Activi-dades

de control Nivel Valor Nivel Valor Nivel Valor

3. Administración de riesgos

Habiendo terminado de tratar el componente «Evaluación de riesgos», no podemos dejar de referirnos a la «Administración de riesgos» como un concepto integral, el cual constituye un proceso continuo que permite reducir el nivel de los riesgos a

los que está expuesta la entidad, con el fi n de que los objetivos

establecidos sean alcanzados.

Al respecto, en la publicación anterior10, al referirnos a la norma

general para el componente «Evaluación de riesgos», señalamos que según lo establecido en la Resolución de Contraloría N° 320-2006-CG este es parte del proceso de administración de riesgos e incluye: planeamiento, identifi cación, valoración y análisis, manejo o respuesta y el monitoreo de los riesgos de la entidad; concepto que

se ve refl ejado en el siguiente esquema:

Administración de riesgos Planeamiento Manejo o respuesta Monitoreo Evaluación de riesgos Identifi cación Valoración o análisis Normas básicas para la evalua-ción de riesgos R.C. N° 320-2006-CG

Como se observa, del concepto anterior fl uye que la

Admi-nistración de riesgos contiene al componente evaluación de riesgos, así como al monitoreo, actividad que la resolución de Contraloría no describe como una de las normas básicas de dicho componente11.

La norma básica Planeación de la administración de riesgos, en relación con la Administración de riesgos, señala que es un proceso que debe ser ejecutado en todas las entidades, debiendo el titular o funcionario designado, asignar la responsabilidad de

su ejecución a un área o unidad orgánica, la cual debe defi nir la

metodología, estrategias, tácticas y procedimientos para el proceso de administración de riesgos; no eximiendo con ello, a que las

demás áreas identifi quen los eventos potenciales que pudieran

afectar la adecuada ejecución de sus proceso, así como el logro de

10 Numeral 2).

11 Sin embargo, en los comentarios de la norma básica referida al Planeamiento de la administración de riesgos, se señala que el monitoreo debe estar incluido en dicho sub- componente, y asimismo deben establecerse métricas que permitan efectuarlo.

(6)

Informe Especial

6

IX

sus objetivos y los de la entidad, con el propósito de mantenerlos dentro del margen de tolerancia que les permita proporcionar la seguridad razonable sobre su cumplimiento.

Asimismo, señala que la Administración de riesgos es un pro-ceso continuo, dado los constantes cambios en las condiciones gubernamentales, económicas, tecnológicas, regulatorias y operacionales, el cual debe formar parte de la cultura de una

entidad, y debe estar incorporada en la fi losofía, prácticas y

procesos de negocio de la entidad, y no ser vista ni practicada como una actividad separada, pues cuando esto se logra todos en la entidad pasan a estar involucrados en ella.

En este punto es preciso indicar, que para entender con claridad lo que es la Administración (Gestión) de riesgos debe tenerse en cuenta lo señalado por el documento COSO-ERM denominado Gestión de riesgos corporativos - Marco integrado, el cual sirve de antecedente a la Resolución de Contraloría N° 320-2006-CG . Al respecto establece que la gestión de riesgos corporativos12 se

ocupa de los riesgos y oportunidades que afectan a la creación

de valor o su preservación; y se defi ne de la siguiente manera:

«La gestión de riesgos corporativos es un proceso efectuado por el con-sejo de administración de una entidad, su dirección y restante personal,

aplicable a la defi nición de estrategias en toda la entidad y diseñado para identifi car eventos potenciales que puedan afectar a la

organiza-ción, gestionar sus riesgos dentro del riesgo aceptado y proporcionar la seguridad razonable sobre el logro de objetivos».

Estableciendo además, que la Gestión de riesgos corporativos comprende ocho componentes, entre los que se encuentra el de Supervisión (Monitoring); señalando al respecto, que este permite supervisar-revisar la presencia y funcionamiento de los componen-tes de la gestión de riesgos corporativos a lo largo del tiempo, pues

las respuestas a los riesgos que en antaño eran efi caces podrían

volverse irrelevantes, y asimismo las actividades de control pueden

resultar menos efi caces o inexistentes, o los objetivos de la entidad

pueden cambiar; pudiendo ser esto originado por la llegada de nuevo personal, cambios en la estructura u orientación de la enti-dad o introducción de nuevos procesos; todo lo cual origina que la dirección necesite determinar si el funcionamiento de la gestión

de riesgos corporativos continúa siendo efi caz.

De otro lado, si bien es cierto no está contenido como antece-dente en nuestra legislación, en este punto resulta conveniente hacer referencia al Estándar Australiano AS/NZ 4360:1999 «Administración de riesgos».

Dicho estándar defi ne a la «Administración de riesgos» como la cultura, procesos y estructuras que están dirigidas hacia la administración efectiva de oportunidades potenciales y efec-tos adversos; constituyendo una parte integral del proceso de administración; siendo además un proceso iterativo de mejora continua, el cual cuenta con los elementos principales que se

muestran en la siguiente fi gura:

Comunicar y consultar Establecer el contexto Monitorear y revisar

Identifi car riesgos

Analizar riesgos Evaluar riesgos Tratar riesgos

12 El documento COSO-ERM señala en su glosario, que la gestión de riesgos corporativos es una parte del proceso de gestión y está integrada a él; entendiendo por este último a la serie de acciones tomadas por la dirección para conducir una entidad.

Asimismo, resulta pertinente señalar lo que establece la Norma ISO 31000:2009 «Gestión de riesgos. Principios y directrices»

al respecto. Dicha norma defi ne que la gestión de riesgos

com-prende a las actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo.

Señalando además, que cuando en su texto se refi era la «Gestión de riesgos» lo hace en relación con la arquitectura (principios, marco de trabajo y proceso) para gestionar los riesgos de manera

efi caz; de donde para el caso bajo análisis, corresponde hacer

referencia presentar al elemento «proceso» de la arquitectura

en mención, el cual se refi ere al «Proceso de gestión de riesgo». Al respecto señala que el «Proceso de gestión de riesgos» debería ser parte de la gestión, integrarse en la cultura y en las prácticas, y adaptarse a los procesos de negocio de la organización.

En este sentido, a fi n de esquematizar el Proceso de gestión de riesgos, la Norma ISO 31000, presenta la siguiente fi gura:

Establecimiento del contexto

Identifi cación del riesgo

Análisis del riesgo

Evaluación del riesgo

Seguimiento y revisión Comunicación

y consulta

Tratamiento del riesgo Apreciación del riesgo

4. Conclusiones

La valoración de los riesgos se efectúa bajo dos perspectivas: probabilidad e impacto, entendiéndose por la primera, a la posibilidad de ocurrencia; y por la segunda, al efecto de la ocurrencia.

Dicha valorización se realiza utilizando técnicas cualitativas y cuantitativas, respecto a las cuales cada entidad –de acuerdo a su naturaleza, a sus procesos y procedimientos– pueden construir sus propias escalas.

Las combinaciones entre probabilidad e impacto, determinan el nivel de riesgo que afecta el objetivo que se busca preservar, pudiendo dichas combinaciones expresarse en términos descrip-tivos o en valores numéricos.

Luego de determinado el nivel del riesgo, se debe defi nir la

respuesta que se le dará al mismo, la cual puede ser: evitar, reducir, compartir o transferir y asumir; debiendo tenerse en

consideración los costos y benefi cio que se generarán, así como

la tolerancia al riesgo de la entidad.

Una vez que se han tomado las acciones necesarias para reducir la probabilidad o el impacto, resulta el riego residual, el mismo que antes de instaurar dichas acciones, constituyó el riesgo inherente. La Administración de riesgos forma parte de la gestión de la entidad, como un proceso continuo que permite reducir el nivel de los riesgos a los que está expuesta.

Referencias

Descargar ahora ( PDF - 6 página - 1.81 MB )

Documento similar

SISTEMA WEB CON REACT PARA LA GESTIÓN DE INCIDENCIAS EN EL ÁREA DE SISTEMAS INFORMÁTICOS EN LA EMPRESA CONSUTIC

Se hace presente el instrumento a ser aplicado en la empresa CONSUTIC dentro del área de Sistemas informáticos en los servicios de mesa de ayuda mediante un

EL LIBERALSOCIALISMOPARA BOBBIO Y PARA NOSOTROS

Partiendo de las ideas sobre el liberalsocialismo en el pensamiento de Norberto B OBBIO y hallando en el ámbito del constitucionalismo el terreno propicio, no ya para un

III Curso de Feedback Clínico para Tutores de Medicina Intensiva

Este curso se ha diseñado especialmente para guiar a los tutores clínicos de Medicina Intensiva en proporcionar un feedback, estructurado y.. efectivo, a los residentes durante

Guías dinámicas de ayudas e incentivos para empresas

Convocatoria de ayudas públicas en régimen de concurrencia competitiva para proyectos de carácter no productivo de la medida 19 "LEADER" en el marco del Programa de

Guías dinámicas de ayudas e incentivos para empresas

Convocatoria de las bases reguladoras para la concesión de ayudas del Ayuntamiento de Benacazón destinadas a emprendedores/as para la creación de empresas de trabajo autónomo en

Guías dinámicas de ayudas e incentivos para empresas

Título Convocatoria que tiene por objeto promover la participación en el programa plan internacional de promoción, cofinanciado en un 50% por el Fondo Europeo de Desarrollo

Propuesta de documentación de un sistema de gestión de la calidad para los procesos de diseño, realización y comercialización en MEDDEX SA de CV.

Por lo anterior se considera que el desarrollo de un Sistema de Gestión de la Calidad es de vital importancia para MEDDEX, el cual tiene como finalidad

Action plan for the prevention and control of noncommunicable diseases in the WHO European Region

diabetes, chronic respiratory disease and cancer) targeted in the Global Action Plan on NCDs as well as other noncommunicable conditions of particular concern in the European