Implementación de un proceso de Gestión de Riesgos en la Empresa de Alojamiento "Villa Centro"

Texto completo

(1)

(2)

(3) Jamás te desesperarás, aún estando en las más sombrías aflicciones, pues de las nubes más negras cae agua limpia y fecundante. Miguel de Unamuno.

(4)

(5) Dedico este trabajo a quienes, tanto como yo, anhelaron este momento: v A mis abuelos que adoro y que tanto se preocupan por Mí. v A mis maravillosos padres, a quienes debo todo lo que soy. v A Henry, por el amor y apoyo inmenso que me ofrece..

(6)

(7) Que mi agradecimiento llegue a todas aquellas personas, que de una forma u otra, me apoyaron en la realización de este trabajo: v A mi tutor, por todo el tiempo que me dedicó y por haberme dado la oportunidad de contar con él. v A Nancy, por su apoyo incondicional, por haber podido contar con ella, por todo el tiempo que me dedicó y las cosas que me enseñó. v A Henry, por su inmensa ayuda, por su preocupación, por apoyarme cuando más lo necesité, por soportarme y por estar siempre a mi lado. v A mi madrecita, por estar ahí siempre para escucharme y ayudarme, por preocuparse tanto por mí y por haberme dado todo lo que soy. v A mi papá, que aunque lejos todo este tiempo, tanto se preocupó por mí, por lo orgullosa que me hace sentir y por haber anhelado tanto este momento. _ A los dos, gracias por su dedicación y confianza en mí _ v A mis abuelitos queridos, que nunca dejan de pensar y preocuparse por mí, por estar siempre pendientes y darme tanto cariño. v A mi hermanita que, aunque pequeña, ha estado pendiente de mi. v A Lila, por cuidarme tanto para que todo me salga bien. v A Osmara, por ser la amiga con que siempre puedo contar. v A Ana y Norbel por toda su inmensa ayuda. v A Geisy, que desde los primeros momentos me ayudó. v A Lisette, que desde lejos también puso su granito de arena. v A Luis Angel, Uniesky, Yudislay, Carlitos, Kety, , Yanet por darme su ayuda cuando la necesité. v Y a tantas otras personas que contribuyeron a que la realización de este trabajo fuera posible y aunque no mencione sus nombres, les estoy eternamente agradecida. v A la Revolución, A la Universidad, a la Facultad, a los profesores que, de una forma u otra, tuvieron que ver con mi formación A todos, mi eterno agradecimiento..

(8)

(9) Resumen Resumen: El riesgo está asociado a la incertidumbre, por lo que resulta inherente a toda actividad económica. Sus efectos se pueden percibir como desviaciones en los resultados respecto a lo esperado, de forma positiva o negativa. Resulta imprescindible llevar a cabo la gestión de los mismos para garantizar el logro de los objetivos de las empresas. Es por ello que el objetivo de presente trabajo consiste en implementar un proceso de Gestión de Riesgos en la Empresa de Alojamiento ¨ Villa Centro ¨, debido a que la Empresa no lleva a cabo una adecuada Gestión de Riegos, limitándose solo a la elaboración de un Plan de Prevención contra ilegalidades, indisciplinas y manifestaciones de corrupción. La elaboración de este documento no constituye un proceso de Gestión de Riesgos, pues no comprende riesgos identificados, reconociendo solo Puntos Vulnerables. El proceso implementado permitió obtener un listado de los riesgos a que está expuesta la Empresa, establecer un orden de prioridad para los mismos, una vez realizado su correspondiente análisis y evaluación, y ofrecer las medidas de tratamiento para cada riesgo identificado. Los resultados correspondientes a cada una de las etapas que componen el proceso implementado, se obtuvieron mediante la utilización de técnicas y herramientas que demostraron la validez y aceptación de su aplicación..

(10)

(11) Summary Summary: The risk is associated with douds , it is present in all economic activity. Its effects can be seen as deviations in results than expected, either positive or negative. It is essential to carry out management to ensure the achievement of Companies' facts. By means of this work is intended to implement a process of risk management at the company ¨ Villa Center, since the company does not carry out an appropriate risk management, limited only to the development of a prevention plan against illegalities, and manifestations of corruption. The preparation of this document does not constitute a risk management process because it does not cover risks, recognizing only weakness. Implemented process allowed a list of the risks to which the company is exposed, establishing an order of priority for them, only made an analysis, and provide the techniques to ensure proper treatment. The results that i obtained in of all the stages were through the use of certain techniques and tools demonstrated the validity and acceptance of your application..

(12)

(13) Índice Índice: Introducción. ..1. Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su gestión. ....4. I.1: Conceptualización del término riesgo. .4. I.2: Clasificaciones del riesgo. ..8. I.3: La gestión de Riesgos. ... ...10. I.4: Proceso de Gestión de Riesgos. .18. Capítulo II: Caracterización de la Empresa de Alojamiento Villa Centro y diagnóstico de su Gestión de Riesgos. ..35. II.1: Caracterización de la Empresa de Alojamiento Villa Centro. .35. II.2: Diagnóstico de la Gestión de Riesgos. ... 51. Capítulo III: Implementación del Proceso de Gestión de Riesgos. 61. III.1: Primera etapa: Establecimiento de contexto. ..61. III.2: Segunda etapa: Identificación de riesgos. ... 62. III.3: Tercera etapa: Análisis y evaluación. 64. III.4: Cuarta etapa: Tratamiento. .73. III.5: Quinta etapa: Monitoreo y revisión III.6: Sexta etapa: Comunicación y consulta Conclusiones Generales. .. ... 74 .74 ..78. Recomendaciones. .79. Bibliografía. ..80. Anexos.

(14)

(15) Introducción Introducción: El mundo actual padece una crisis económica y financiera en medio de la cual se desenvuelve el panorama económico internacional. Esta crisis global envuelve a la economía real y hace sentir sus efectos a escala mundial. Evidentemente, tales circunstancias hacen mayores los impedimentos para que las organizaciones alcancen sus objetivos y metas. Estos hechos demuestran que la propia existencia de las empresas y el logro de sus objetivos dependen de su capacidad para enfrentar dichos cambios. Para ello las empresas están adoptando profesionalmente funciones específicas llevadas a cabo por departamentos especializados en el manejo de los riesgos tanto de sus activos como de sus pasivos, equilibrando la rentabilidad de poder asumir los riesgos implícitos en los negocios, logrando así una mayor eficiencia y eficacia de los procesos para una mayor efectividad y seguridad razonable, como también determinando mecanismos de medición, fuentes de información confiables y oportunas, series históricas de valores relevantes y sistemas computarizados. A la integración de todas estas actividades se le ha denominado Administración de Riesgos. Resulta evidente que el hecho de conocer los riesgos a que se enfrentan las organizaciones no es suficiente, solo administrándolos. se obtendrán nuevas oportunidades de fortalecer y. aumentar la rentabilidad, crecer, innovar y asegurar la obtención de las metas y objetivos. En el caso específico cubano, la desaparición del campo socialista en Europa del este entre 1989 y 1991, hizo necesaria una redefinición de las relaciones con el resto del mundo, que incluye la necesaria actualización en los avances experimentados en la ciencia y la técnica financiera al nivel de los países más desarrollados, evitando copiar. Tomar los instrumentos financieros que hoy en día utilizan esos países y adaptarlos a los objetivos y necesidades de la economía cubana no resulta fácil y requiere talento y consagración, pero sobre todo, una convicción plena en los principios del socialismo. El desarrollo en la ciencia y la técnica de las finanzas en Cuba, tiene dos grandes retos: el riesgo financiero y la estructura del financiamiento de la empresa (Ravelo, 1999) En todo este proceso de transformaciones y debido a las condiciones específicas en que opera la economía cubana, teniendo en cuenta además su vínculo con las exigencias de la competencia internacional, el control oportuno y eficaz de la actividad económica es esencial para la dirección a cualquier nivel. Como se planteara en la Resolución Económica del V 1.

(16) Introducción Congreso del Partido Comunista de Cuba (PCC), resulta una condición indispensable la implantación de un estricto control que garantice el uso eficiente de los recursos y que sea interno al mecanismo de gestión, así no dependerá únicamente de comprobaciones externas. Para dar respuesta a tales requerimientos, se aprueba en el año 2003 la Resolución 297 del Ministerio de Finanzas y Precios (MFP). Esta resolución no solo aportó elementos técnicos para la conformación de sistemas de Control Interno en función de garantizar niveles óptimos de eficiencia y eficacia en la gestión empresarial, sino que además incluyó una actividad que por primera vez se introduce en el empresariado cubano: su componente No. 2 Evaluación de riesgos que establece la evaluación de vulnerabilidades a partir de la investigación y análisis de los riesgos. De esta forma se actúa en virtud de minimizar los riesgos generados por la situación actual en que se desenvuelven todas las organizaciones cubanas y de controlar los recursos materiales, humanos y financieros de los que disponen. para llevar a cabo su. actividad. La Empresa de Alojamiento Villa Centro , ubicada en la ciudad de Santa Clara, constituye. el. objeto de estudio de la presente investigación. En esta, al igual que en todas las empresas del país, se encuentra implementada la Resolución 297/03 del MFP. Se puede decir que la empresa presenta deficiencias en lo relacionado al componente Evaluación de Riesgos de dicha Resolución, pues se limita a la elaboración de un Plan General para la prevención, detección y enfrentamiento a las indisciplinas, ilegalidades y manifestaciones de corrupción, dando cumplimiento a lo establecido por la Resolución 13/06 del Ministerio de Auditoría y Control (MAC). Esto es lo más cercano que realiza la empresa a un proceso de Gestión de Riesgos, pero evidentemente no llega a serlo. Solo se definen Puntos Vulnerables y Posibles Manifestaciones asociadas a los mismos, los riesgos no se encuentran identificados y por tanto, tampoco jerarquizados por orden de importancia. El documento que se elabora en la empresa presenta además Medidas a Tomar, Responsables, Ejecutantes y Fecha de Cumplimiento, pero estas no constituyen etapas que conformen un proceso de Gestión de Riesgos que garantice un adecuado manejo de los mismos en función de minimizar sus efectos negativos en el logro de los objetivos de la Empresa. Precisamente esta constituye la situación problémica a enfrentar en la presente investigación, que se plantea como Objetivo General: Implementar un proceso que garantice una adecuada Gestión de Riesgos en la Empresa de Alojamiento Villa Centro . 2.

(17) Introducción Para darle cumplimiento al mismo se proponen los siguientes Objetivos Específicos: 1. Establecer el marco conceptual en relación al riesgo y su gestión. 2. Caracterizar la Empresa de Alojamiento Villa Centro . 3. Diagnosticar el estado actual de la Gestión de Riesgos en la Empresa. 4. Implementar un proceso que permita gestionar los riesgos en la Empresa de Alojamiento Villa Centro . Para verificar el cumplimiento de los objetivos propuestos se plantea la siguiente Hipótesis: Si se implementa un proceso de Gestión de Riesgos en la Empresa de Alojamiento Villa Centro se contribuirá a la minimización de los efectos negativos de los mismos en el logro de los objetivos de la entidad. Se redactó el presente informe para la presentación de los resultados de la investigación, el mismo consta de un resumen que aborda aspectos esenciales de su contenido y resultados; la introducción plantea la justificación del trabajo, objetivos e importancia; el desarrollo está conformado por tres capítulos, en estos se organiza el contenido de la siguiente manera: §. Capítulo I: Contiene el marco teórico referencial de la investigación. Aborda aspectos teóricos relacionados con el riesgo empresarial y su administración. Se describe el proceso de Gestión de Riesgos a utilizar en la presente investigación, profundizando en el contenido de sus etapas y en las herramientas a utilizar en la ejecución de cada una de ellas.. §. Capítulo II: Ofrece una caracterización de la Empresa de Alojamiento Villa Centro y un diagnóstico de la Administración de Riesgos en la entidad.. §. Capítulo III: Se Implementa el proceso de Administración de Riesgos en la Empresa de Alojamiento Villa Centro .. 3.

(18)

(19) Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. En el presente capítulo se brindan aspectos teóricos relacionados con el riesgo y su administración1: diferentes definiciones y clasificaciones del riesgo empresarial, así como definiciones, características y etapas de la Administración de Riesgos, incluyendo algunos de los estándares establecidos internacionalmente. Además se describe el proceso a utilizar en la presente investigación y las etapas que lo conforman, presentando sus principales características y las técnicas y herramientas que pueden aplicarse para obtener los resultados deseados durante su ejecución. I.1: Conceptualización del término riesgo. Al analizar el significado de la palabra riesgo, se debe tener en cuenta que proviene del latín risicare. Así se le denominaba en la antigüedad a la capacidad de navegar alrededor de un arrecife o roca (Enciclopedia Encarta). La vida del hombre puede ser comparada con este tipo de navegación porque se desarrolla en un espacio globalizado en que al mismo tiempo se producen bienestar y peligro, información e incertidumbre, opciones e inseguridad. Generalizando la situación, Beck2 (1986) expone en su obra La Sociedad del riesgo la idea que en la modernidad avanzada, la producción social de riqueza va acompañada sistemáticamente por la producción social de riesgo. El riesgo es un concepto que bien se podría llamar vital por su vínculo con toda la acción del hombre. Se puede decir que no hay actividad de la vida, de los negocios o de cualquier otro asunto, que no incluya el elemento riesgo. Es válido señalar que el riesgo no ha sido conceptuado de forma íntegra sino de manera fragmentada, de acuerdo con el enfoque de cada disciplina involucrada en su valoración, por lo que ha incrementado su complejidad y la manera como las personas lo entienden (Casas, 1998; León, 2003; Koprinarov, 2005). El Diccionario de la Real Academia de la Lengua Española define el riesgo como la contingencia o proximidad de un daño.. 1. Se emplea también el término gestión , el cual, en una de sus acepciones se define como acción o efecto de administrar; por tanto, la Gestión de Riesgos se refiere a Administración de Riesgos. También suele utilizarse el término gerencia. 2 Ulrich Beck: Sociólogo alemán. Contribuyó con nuevos conceptos a la Sociología alemana, incluyendo la llamada "sociedad del riesgo" y la "segunda modernidad".. 4.

(20) Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. Las primeras contribuciones relacionadas con una definición del término riesgo, desde el punto de vista económico, se remontan a 1921 cuando se publica el libro clásico Riesgo, Incertidumbre y Beneficio del economista norteamericano Frank H. Knight3. La idea principal de este primer estudio de los riesgos económicos es que ser empresario significa correr riesgos porque es imposible obtener ganancias sin enfrentarse con los riesgos en el ambiente económico. Este autor considera que el riesgo empresarial tiene su fundamento en el carácter probabalístico de la actividad empresarial, así como en la relativa incertidumbre situacional en que se desarrolla esta actividad. Las definiciones del término riesgo se interpretan en el espacio de las categorías probabilidades, nivel de riesgo e incertidumbre. La probabilidad es la proporción de veces que ocurre un evento particular en un tiempo determinado, asumiendo que las condiciones fundamentales permanecen constantes. Se asocia al concepto de aleatoriedad, azar. Aunque se desconoce qué sucederá en un futuro, se posee información sobre las veces que el evento (riesgo) ocurre en un tiempo y bajo determinadas condiciones (Blanco, 2007). El nivel de riesgo es la medida del riesgo. Este se compone de dos factores: la frecuencia y la consecuencia, también llamada intensidad, repercusión, impacto o severidad del riesgo. La frecuencia representa el número de ocurrencias en un período de tiempo definido. La consecuencia o intensidad no es más que el resultado de un evento, es decir, la magnitud de los efectos de la ocurrencia de un riesgo (Blanco, 2007). Según el Estándar Australiano/ Neo Zelandés (AS/NZS 4360:1999)4 puede haber más de una consecuencia de un mismo evento, estas pueden estar en el rango de positivas a negativas, ser expresadas cualitativa o cuantitativamente y son determinadas en relación con el logro de los objetivos. La incertidumbre, por su parte, es la imposibilidad de conocer o predecir el resultado de una situación en el futuro (Blanco, 2007). Kaufmann. y Gil (1990) plantean que la incertidumbre y el azar no. corresponden a un mismo nivel de información . La incertidumbre constituye el principal elemento a tener en cuenta para lograr identificar los riesgos, pues, de no existir la imposibilidad de conocer la ocurrencia o no de eventos futuros, no se estaría expuesto a sufrir sus efectos adversos. La incertidumbre anuncia el riesgo, se considera la antesala del mismo (González, 2009). Por tanto, existe riesgo en cualquier situación en que no se sabe con exactitud lo que ocurrirá en el futuro, no hay riesgos. 3. Frank Hyneman Knight fue un importante economista durante la primera mitad del siglo XX. En 1921 publicó su obra Riesgo, Incerteza y Beneficio . 4 Uno de los modelos internacionales de estandarización para la Administración de Riesgos o para la evaluación del Control Interno. Se amplía información en el epígrafe I.3. 5.

(21) Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. donde no hay incertidumbre. Resulta evidente que aunque se conozca la probabilidad de ocurrencia de un evento, siempre existirá la incertidumbre de cuántas veces ocurrirá y de cuáles serán sus efectos. Según Martínez (1998) el riesgo es un evento incierto, indeseable, imprevisto e involuntario que, en caso de producirse, puede tener consecuencias negativas para quien lo sufre y puede generar al mismo tiempo necesidades cuantificables económicamente, haciendo peligrar en determinadas ocasiones la estabilidad económico-financiera de la empresa. Para Ambrustery (2001) el riesgo se define como cualquier condición que produzca una condición adversa en detrimento del producto. Según Quirós (2003) el riesgo no es más que la probabilidad de ocurrencia de hechos o fenómenos internos o externos que pueden afectar el cumplimiento de los objetivos en la organización. Para León (2004) el riesgo existe cuando se tienen dos o más posibilidades entre las cuales optar, sin poder conocer de antemano los resultados a que conducirá cada una. Todo riesgo encierra, pues, la posibilidad de ganar o de perder, cuanto mayor es la posible pérdida, tanto mayor es el riesgo. La mayoría de las definiciones anteriores tienen en común que sólo consideran el riesgo en su aspecto negativo al presentar términos tales como daño, peligro, adversidad, pérdidas, fracasos, evento incierto e indeseable y no perciben el riesgo en su potencial de oportunidades para mejorar el desempeño empresarial. Predomina el criterio de reconocer y percibir el riesgo únicamente como un elemento adverso, sin embargo, detrás del riesgo siempre ha existido algo positivo, una oportunidad. A diferencia de la concepción habitual, que interpreta el riesgo en términos de peligro o impactos negativos, el Estándar Australiano, desde su versión de 1995 define el riesgo como la exposición a las consecuencias de la incertidumbre, la contingencia de que suceda algo que tenga un impacto sobre los objetivos. Esta última definición resulta más amplia al reconocer que el riesgo, más que un posible resultado no deseado es la posibilidad de la desviación de este resultado de lo esperado, planeado o deseado, tanto en sentido favorable como negativo. Esta interpretación del riesgo, considerándolo tanto como fuente de beneficios como pérdidas futuras, no es del todo nueva: es ampliamente conocida la relación rentabilidad-riesgo inherente a las decisiones financieras. Por tanto se reconoce la posibilidad de la obtención de beneficios si se corren determinados riesgos. Señala González (2002) que esta dicotomía está presente en todas las decisiones del negocio en la medida en que su objetivo está siempre indisolublemente ligado a la obtención de determinados niveles de rentabilidad y a la maximización del valor de la empresa para su propietario. 6.

(22) Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. Tal vez buscando considerar ambas caras del riesgo y al mismo tiempo evitar confusiones con la percepción de pérdida que este término provoca, el Committee of Sponsoring Organizations of the Tread Way Commission5 introduce la palabra evento para designar el hecho que puede ocurrir en el futuro con determinadas consecuencias. De esta forma señala que los eventos pueden tener impacto negativo, positivo o ambos. Los eventos con impacto negativo representan riesgos que pueden impedir la creación de valor o erosionar el valor ya existente. Los eventos con impacto positivo pueden compensar los impactos negativos o representar oportunidades. Las oportunidades son la posibilidad de que un evento ocurra e influya positivamente en el logro de los objetivos, apoyando la creación o protección del valor. El riesgo es algo objetivo, que no depende de la voluntad y del deseo del empresario, pero es también en parte una vivencia particular, la experiencia de la duda, el entusiasmo de la esperanza conjuntamente con el recelo por el potencial fracaso. La expresión correr riesgos es una manifestación perfecta de la doble cara del riesgo, significa tanto el proceso como su interiorización. La autora de la presente investigación propone la siguiente definición, tomando en consideración los elementos planteados anteriormente: probabilidad de ocurrencia de hechos internos y externos que tengan un impacto sobre los objetivos trazados por una organización, provocando una desviación entre lo esperado, planificado o deseado y los resultados, encerrando la posibilidad de ganar o perder. I.2: Clasificaciones del riesgo. Todas las actividades empresariales conllevan un riesgo, el carácter universal de los mismos está dado por el hecho de poder manifestarse y afectar todos los sectores y áreas de una organización económica. Por tanto, para los fines de su administración es necesario clasificarlos. El hecho de clasificar los riesgos ofrece un nivel de uniformidad y armonía en el momento de su identificación. Sin embargo en el mundo de las finanzas, clasificar los riesgos se convierte en una tarea compleja por la multifactoriedad de agentes causales. Este carácter multifactorial se presta a confusiones, por lo que resulta común que en vez de clasificar los riesgos se clasifiquen las causas que los originan, así se evita que se cometan errores en este sentido. Existe variedad de criterios a la hora de clasificar los riesgos, cada clasificación va a estar en correspondencia con los diferentes escenarios, disciplinas, estrategias y contextos tenidos en cuenta por sus autores. 5. Más conocido como COSO.. 7.

(23) Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. En la presente investigación se asumen las siguientes clasificaciones: 1. La Resolución 297 propone la división de los riesgos en internos y externos, reconociendo como riesgos internos a aquellos provocados por la actividad específica de la empresa o por sus características internas en el funcionamiento; y como riesgos externos, los elementos fuera de la organización que afectan, en alguna medida, el cumplimiento de sus objetivos. 2. Blanco (2007) divide los riesgos de una empresa en económicos y financieros. Reconocen como económicos a aquellos riesgos que provocan la imposibilidad de garantizar el nivel del resultado de una organización y que viene determinado por un conjunto de factores inherentes al mercado en el que opera y propios de su situación, en el que no tiene nada que ver su estructura financiera. Como riesgo financiero identifican la contingencia o probabilidad de incurrir en una pérdida patrimonial como resultado de una transacción financiera, o bien por mantener un desequilibrio o posición entre determinados activos y pasivos. Esta autora incluye los riesgos de mercado, liquidez y de crédito dentro de los riesgos financieros. Los riesgos de mercado son los riesgos que afectan al tenedor de cualquier tipo de valor, ante las fluctuaciones de precio ocasionadas por los movimientos normales del mercado, están relacionados con la inestabilidad de la coyuntura económica, con las perdidas potenciales por cambios de los precios de los artículos de venta que produce la empresa, con inconvenientes de liquidez; entre otros. El riesgo de liquidez es la posibilidad de que una organización no sea capaz de atender a sus compromisos de pago a corto plazo. El riesgo de crédito es la posible pérdida que asume un agente económico como consecuencia del incumplimiento de las obligaciones contractuales que incumben a las contrapartes con las que se relaciona. 3. Atendiendo a las consecuencias se clasifican en riesgos puros y especulativos según Armada (2005). Para este autor los riesgos puros son aquellos cuya ocurrencia siempre trae aparejado un daño o pérdida (accidentes de trabajo, huracanes, rotura de equipos). Por el contrario, la consecuencia de la ocurrencia de los riesgos especulativos puede ser una pérdida o una ganancia. Según Quincosa (2006) el riesgo puro se clasifica a su vez en riesgo inherente y riesgo incorporado. Este autor plantea que el riesgo inherente es propio de cada empresa en dependencia de la actividad que realice. Son fenómenos producidos por factores objetivos que vienen de la misma 8.

(24) Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. naturaleza de la actividad empresarial, mientras que el riesgo incorporado es aquel que no es propio de la actividad de la empresa en cuestión, sino que es producto de conductas irresponsables del personal. 4. Los riesgos se pueden dividir también en estáticos y dinámicos según Blanco (2007). Se clasifican como estáticos aquellos riesgos relacionados con la acción irregular de las fuerzas de la naturaleza o los errores y delitos del comportamiento humano. Los riesgos dinámicos son provocados por las exigencias de los cambios del entorno y la organización (nueva tecnología, condiciones ambientales, expectativas del consumidor, por citar algunos). 5. Koprinarov (2005) clasifica los riesgos basándose en las diferentes funciones que realiza una empresa, en este sentido introduce las clasificaciones de legales, organizacionales y tecnológicos. El riesgo legal se presenta por la posibilidad de ser sancionado multado u obligado a pagar daños punitivos como resultado de acciones, supervisiones o de acuerdos privados entre las partes. El riesgo organizacional es la probabilidad de pérdidas por errores e ineficiencia de la organización interna de la empresa (fallas del control interno, de las normativas del trabajo, por citar algunos). De carácter tecnológico son los riesgos relacionados con la probabilidad de daños ambientales, averías, incendios, fallas de los equipos tecnológicos, entre otros. Para Quincosa (2006) la clasificación que más se ajusta al entorno empresarial cubano es la que divide los riesgos en puros y especulativos pues la mayoría de los fenómenos que se pueden presentar en las entidades cubanas son provocados por conductas poco responsables de los trabajadores o por hechos vinculados al objeto social de la empresa. La autora de la presente investigación está de acuerdo con esta idea pero es necesario tener en cuenta que, aunque sea la clasificación más común en el entorno empresarial cubano, esto no significa que las empresas cubanas no estén expuestas a riesgos que reciban otras clasificaciones. I.3: La Gestión de Riesgos. Dado que el riesgo queda inevitablemente ligado a la incertidumbre sobre eventos futuros y que, por tanto, resulta imposible eliminarlo: la única forma de enfrentarlo es administrándolo. La Administración de Riesgos es una disciplina relativamente joven, aunque se practica desde hace mucho tiempo. Sus verdaderos inicios se remontan al momento en que el hombre superó su creencia en los poderes sobrenaturales como fuerzas que decidían el resultado de su actividad económica y social. Sin embargo, los desarrollos matemáticos que sirven de base al instrumental que utiliza la 9.

(25) Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. Administración de Riesgos no comienzan a salir a la luz hasta la segunda mitad de siglo XVII (Blanco, 2007). Milton Friedman6 y Joseph E. Stiglitz7 son reconocidos entre los padres de la teoría de la elección en situación de riesgo e incertidumbre. Sobre la base de sus estudios se desarrolló entre los años 1950 al 70, la teoría moderna de la gestión financiera. En los años 70 del siglo pasado se introducen nuevos aspectos en la teoría de riesgos. Su desarrollo conduce a la comprensión que la toma de decisiones en situación de riesgo es mucho más complicada que la reflejada a través de las teorías de la gestión financiera. Según Rahnema (2000) hasta finales de la década del 90, para muchos gestores de riesgo, el riesgo significaba la probabilidad de que ocurrieran acontecimientos que podrían causar pérdidas y daños económicos para la empresa. Este tipo de riesgo se gestionaba de forma individual y mediante una serie de actividades cuyo propósito era reducir la probabilidad de ocurrencia de estos riesgos. Más tarde tuvo lugar la aparición de modelos integrales de Gestión de Riesgos, que incluyen todo tipo de riesgos a los cuales una empresa puede estar expuesta. Según estos modelos, un sistema de Gestión de Riesgos debe tener en cuenta tanto los riesgos financieros, como los operacionales y estratégicos. Para Rahnema (2000), existen básicamente dos grandes grupos de teorías o enfoques de la Gestión de Riesgos. El enfoque tradicional sostiene que el principal objetivo de la Gestión de Riesgos es identificar los riesgos e intentar proteger a la empresa frente a ellos mediante el uso de coberturas. Ha sido más reciente la aparición de enfoques de creación de valor que destaca la importancia de la política de Gestión de Riesgos como una parte integral de la estrategia global de creación de valor en una empresa. Según este autor, el eje principal de este enfoque se sitúa en el reconocimiento de la relación inseparable entre el crecimiento sostenible en la creación de valor y los riesgos pues este enfoque considera que una adecuada gestión puede convertirlos en conductores de valor, por lo que la Gestión de Riesgos debe tener como objetivo principal mitigar o eliminar aquellos riesgos con un impacto adverso o negativo sobre la creación de valor y, al mismo tiempo, buscar los riesgos cuyo impacto es positivo. Este autor considera que según este enfoque el riesgo tiene tres componentes que a su vez 6. Milton Friedman: economista estadounidense, principal figura de la denominada escuela de Chicago y del monetarismo que esta propugnaba. Obtuvo el Premio Nobel de Economía en 1976 por sus adelantos en el campo del análisis del consumo, de la historia y teoría monetaria y por su demostración de la complejidad de las políticas estabilizadoras. Fue el fundador de la teoría monetarista. 7 Joseph Eugene Stiglitz: economista estadounidense. Ha recibido la Medalla John Bates Clark (1979) y el Premio Nobel de Economía (2001). Es conocido por su visión crítica de la globalización y de los economistas de libre mercado.. 10.

(26) Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. son los principales determinantes de objetivos de la política de gestión de riesgos en una empresa: incertidumbre, oportunidades y peligros. El componente de incertidumbre se refiere a la distribución de todos los posibles resultados de un determinado acontecimiento en el futuro, tanto positivos como negativos. En este contexto el objetivo de la Gestión de Riesgos es reducir la desviación entre resultados anticipados y reales. El componente de oportunidad se refiere al concepto implícito en la relación entre el riesgo y rentabilidad, a mayor riesgo, mayor el potencial de ganancias o pérdidas. En este contexto la política de Gestión de Riesgos tiene un carácter ofensivo y su principal objetivo es maximizar las ganancias potenciales dadas las limitaciones impuestas por el entorno operativo de la empresa y minimizar las pérdidas potenciales. El componente de peligro es la percepción de riesgos más frecuente que tienen los directivos (pérdidas económicas, robos, fraudes, daños y lesiones, demandas jurídicas). En este contexto, la política de gestión de riesgos tiene un carácter defensivo y tiene como objetivo instalar sistemas y medidas de control para reducir la probabilidad de ocurrencia de estos tipos de inventos con un coste razonable. Para Martínez (1998) la Administración de Riesgos es un método lógico y sistemático para identificar, evaluar y manejar los riesgos asociados a cualquier actividad, función o proceso, de forma tal que permita a la entidad que lo realiza, aprovechar las oportunidades de expansión, minimizando las pérdidas. Navarro y Pérez (1999) definen la Administración de Riesgos como el proceso para la conservación de los activos y del poder de generación de beneficios de una empresa, mediante la minimización del efecto financiero de las pérdidas accidentales. Consienten en que su principal objetivo es la planificación efectiva de los recursos necesarios para recuperar el equilibrio financiero y la efectividad operativa después de una pérdida fortuita y, de esta forma, obtener a corto plazo una estabilidad del costo de los riesgos y a largo plazo la minimización de los riesgos. La administración y control de los riesgos debe comenzarse a entender desde su concepto básico: "es el proceso continuo basado en el conocimiento, evaluación, manejo de los riesgos y sus impactos que mejora la toma de decisiones corporativas" (Rahnema, 2000). Arce (2005) reconoce la Administración de Riesgos como una parte integral de las buenas prácticas gerenciales. Es un proceso iterativo que consta de pasos, los cuales, cuando son ejecutados en secuencia, posibilitan una mejora continua en el proceso de toma de decisiones.. 11.

(27) Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. Lo común a estas definiciones es que reconocen que la Administración de Riesgos es una actividad que debe realizar la empresa y que la misma tiene repercusión en sus resultados. El Estándar Australiano (1999) reconoce que la Administración de Riesgos incluye la cultura, procesos y estructuras que están dirigidos hacia la administración eficaz de oportunidades potenciales y efectos adversos. Como proceso, la misma consiste en la aplicación sistemática de políticas, procedimientos y prácticas de administración a sus tareas propias. La autora de la presente investigación considera que la definición más acabada desde el punto de vista del alcance de la Administración de Riesgos, es la dada por COSO (2004), que en su informe señala: La Administración de Riesgos empresariales es un proceso, efectuado por la dirección de la entidad, directores y demás personal, aplicado a la estrategia y al establecimiento de objetivos y que se desarrolla a través de toda la organización, destinado a identificar los eventos potenciales que pueden afectar la entidad y manejar los riesgos dentro de su apetito de riesgo para proveer una seguridad razonable en el logro de los objetivos de dicha entidad . Su mérito está además en introducir nuevos elementos: la Administración de Riesgos se realiza por todo el personal de la empresa y no sólo por su equipo directivo y en todas las áreas y a todos los niveles de la organización. Reconoce además el apetito de riesgo de la empresa, definiéndolo como los riesgos que una organización está dispuesta a asumir en su actividad, teniendo en cuenta el contexto de sus objetivos empresariales y sus imperativos estratégicos. Teniendo en cuenta que en la presente investigación los riesgos se consideran hechos internos o externos que pueden originar resultados en forma de pérdidas o de beneficios para la empresa, su autora considera que su gestión debe ser el conjunto de las actividades que persiguen el doble objetivo, tanto de proteger a la empresa, como de explotar las oportunidades de beneficio que Los mismos ofrecen. Para entrar a analizar propiamente las características de la Administración de Riesgos se puede decir que se desarrolla como un proceso, con sus entradas, transformación y salidas. Las entradas al proceso son los eventos (riesgos), la transformación ocurre cuando se analizan los riesgos y se valoran todas las posibles formas de tratamiento que requieren en función de su frecuencia e impacto, y las salidas son los riesgos controlados. Este proceso se desarrolla en un ambiente formado por los objetivos de la organización, la cultura empresarial, la moral y los valores éticos de sus empleados, directivos y personas ajenas que forman parte del microentorno empresarial (Blanco, 2007). 12.

(28) Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. La gestión tiene que efectuarse como una actividad continua, que forja, planifica, organiza y controla todo el proceso desde el momento de reunir la información y elaborar la política hacia los riesgos, hasta el monitoreo y la comunicación de los resultados después de ejercer esta política (Wikipedia, 2009). Otro rasgo importante de la Gestión de Riesgos es su carácter integral, para tener éxito debe implicar todos los niveles y sectores de la institución empresarial. Un riesgo nunca viene solo y siempre afecta muchas actividades y resultados de la empresa. Por tal razón la eficiencia de la gestión depende en gran medida si se logra un sistema de gestión que cubre a la empresa y si se alcanzan soluciones integrales en el enfrentamiento de los riesgos. Tradicionalmente la Administración de Riesgos ha sido considerada como un proceso de tres etapas: identificación, evaluación y análisis y tratamiento de riesgos (Blanco, 2007). La identificación es el proceso de determinar qué puede suceder, dónde, cuándo, por qué y cómo. Presupone, primero, escanear el entorno interno y externo para verificar si hay señales de cambio en sus estructuras o en los procesos y tendencias que podrían exponer la empresa a riesgos; y en segundo, establecer las amenazas y/o oportunidades que podrían tener algún impacto sobre el funcionamiento y objetivos de la empresa (Blanco, 2007). Para definir un riesgo es necesario conocer su causa, que es la que va a determinar la existencia de este y si puede afectar a la empresa o no (Toledano, 2003). El resultado final de esta etapa es un inventario lo más completo posible de los riesgos a que está expuesta la organización por áreas, procesos, productos, proyectos. El inventario de riesgos nunca llega a ser un producto acabado, al cambiar las condiciones tecnológicas, los requerimientos de seguridad, de calidad o del cliente; cambian los riesgos. La actualización permanente de este inventario se convierte en condición necesaria de un proceso eficaz de Administración de Riesgos (Blanco, 2007). El análisis y evaluación implica la estimación de la magnitud de las consecuencias de los eventos potenciales y sus frecuencias para establecer el nivel de riesgo y el establecimiento de un orden de prioridad para el tratamiento de los mismos. El producto de esta etapa es una lista de riesgos con prioridades para una acción posterior. El tratamiento es la etapa del proceso de Administración de Riesgos donde se identifican y evalúan las opciones para tratar el riesgo y se preparan e implementan los planes de tratamiento de éstos.. 13.

(29) Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. Aunque las etapas de identificación, análisis y evaluación y tratamiento pudieran llamarse el núcleo del proceso de Administración de Riesgos, en la práctica su ejecución sin un nexo con la misión, la estrategia, los objetivos y en general, con la gestión empresarial, le resta eficacia en sus resultados. La primera versión del Estándar Australiano sobre Administración de Riesgos propone un proceso más detallado, que incluye, además de la identificación, análisis, evaluación y tratamiento de los riesgos, otras tareas que contribuyen a la incorporación de la Administración de Riesgos a la dirección estratégica de la organización. Estas tareas son establecer el contexto, comunicar y consultar, y monitorear y revisar. El establecimiento del contexto consiste en establecer el contexto estratégico, organizacional y de gestión en los cuales tendrá lugar el proceso de Gestión de Riesgos. Establecer la política de riesgos, los responsables y sus roles, los procesos que se gestionarán y sus mecanismos. La etapa de monitoreo y revisión consiste en definir y utilizar mecanismos para monitorear y revisar el desempeño de la Gestión de Riesgos y dar cuenta de la evolución del nivel del riesgo en procesos críticos para la administración. La etapa de comunicación y consulta consiste en definir y utilizar mecanismos para comunicar y consultar con los interesados internos y externos, según resulte apropiado en cada etapa del proceso de Gestión de Riesgos. El Estándar Australiano, referido anteriormente, constituye uno de los Modelos Contemporáneos para la Administración de Riesgos. Es el más difundido y aceptado planteando la Administración de Riesgos como una parte integral del proceso de administración y la cataloga como un proceso multifacético, iterativo y de mejora continua (Pérez, 2009). Provee una guía genérica para el establecimiento e implementación del proceso de Administración de Riesgos, involucrando el establecimiento del contexto y la identificación, análisis, evaluación, tratamiento, comunicación y el monitoreo en curso de los riesgos (Gonzáles, 2009). Otro de los Modelos Contemporáneos es el denominado COSO, que tiene como objetivo definir un nuevo marco conceptual del Control Interno, capaz de integrar las diversas definiciones y conceptos que venían siendo utilizados sobre este tema, logrando así que se contara con un marco conceptual común, una visión integradora capaz de satisfacer las demandas generalizadas de todos los sectores involucrados. El citado informe COSO define la Evaluación de Riesgos como uno de los componentes del Control Interno. Posee cinco componentes de control: Ambiente de control, Evaluación de riesgo, Actividades de control, Información y Comunicación y Monitoreo, los cuales al ser integrados en cada una de las unidades de negocio de la organización, ayudan a lograr los objetivos de control para. 14.

(30) Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. alcanzar los objetivos del negocio, preparación de cuentas financieras confiables y el cumplimiento de leyes y regulaciones (Iturbide, 2005) Especialistas como DMR-Consulting (2005) proponen un método llamado Administración del Riesgo Operacional (ARO), cuyo objetivo principal es operativizar una metodología de trabajo, incorporando los indicadores necesarios. Además proponen identificar el riesgo, clasificarlo e incorporarlo en la base de datos, buscar sus causas, proponer medidas de cambio con base en la gestión de procesos y realizar su seguimiento. Pinkerton Consulting and Investigations8, propone como metodología para la Gestión de Riesgos los requisitos del Informe Tumbull (CSJ, 1999). Contiene un cuestionario para conocer si las empresas son conscientes de sus riesgos, si estos se valoran, comunican y entienden claramente, si cuentan con una estructura organizativa que propicie una gestión eficaz y una mitigación de los riesgos, si existe control a todos los niveles de la empresa y si el sistema de valoración de riesgos es transparente de modo que permita estimar el riesgo. Como requisitos básicos establece que la junta directiva debe mantener un sistema sólido de Control Interno, un miembro de la junta debe realizar una revisión de la eficacia del sistema de Control Interno de la empresa con una periodicidad mínima anual y la revisión anual tiene que abarcar todo tipo de controles, incluyendo control financiero, operativo, y de conformidad y Gestión de Riesgos. El Fondo para la Agricultura y la Alimentación de las Naciones Unidas FAO, aplica un sistema que internacionalmente ha tenido un gran impacto por el enfoque utilizado para la Gestión de Riesgos, que es el sistema de Análisis de Peligros y Puntos Críticos de Control (APPCC), utilizado para la prevención de la seguridad de alimentos ( FAO, 2002). A partir de los resultados prácticos referidos de su aplicación en la industria alimentaria, este sistema se ha venido utilizando y se ha convertido en una práctica aceptada en otros sectores productivos y de servicios, con excelentes resultados (Rooney y Ambrustery, 2001). En Cuba la Administración de Riesgos se enmarca en el Control Interno con la Resolución 297 del MFP de Cuba, que surge dada la necesidad de tener un instrumento capaz de lograr la eficacia y eficiencia en el trabajo de las empresas cubanas, con el desarrollo de nuevos términos relacionados con el Control Interno y la introducción de nuevas cuestiones que aportaran elementos generalizadores para la elaboración del sistema de Control Interno en las entidades (Hurtado, 2007).. 8. Empresa consultora inglesa y una de las más grandes del mundo.. 15.

(31) Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. La Resolución 297 presenta similitudes con el modelo COSO. Establece cinco componentes del control: Ambiente de control, Evaluación de riesgos, Actividades de control, Información y comunicación y Supervisión y monitoreo. Estos componentes, con un enfoque estratégico dentro de las entidades, deben incluir normas y procedimientos de carácter general para ser considerados en el diseño de los sistemas de Control Interno de cada entidad, contribuyendo así a un sistema de control integrado y permitiendo evaluar si la estructura organizativa es adecuada al tamaño de la entidad, tipo de actividad y objetivos aprobados, si se definen las líneas de responsabilidad y autoridad, así como los canales por los que fluye la información. Su componente número 2: Evaluación de riesgos, plantea una evaluación de la vulnerabilidad del sistema a partir de la investigación y análisis de los riesgos relevantes y el punto hasta el cual el control vigente los neutraliza, estableciendo para ello las siguientes normas de evaluación del riesgo: identificación del riesgo, estimación de riesgo, determinación de los objetivos de control y detección del cambio. Sin dudas, la Administración de Riesgos ha sido reconocida como una herramienta de la que no puede prescindir la dirección de una empresa en su empeño por lograr una mejora continua de sus procesos y alcanzar sus objetivos estratégicos. Los modelos o estándares mencionados anteriormente proponen formas y procedimientos para llevar a cabo dicho proceso, pero es preciso tener en cuenta que ninguno de estos modelos presenta el procedimiento absoluto ni perfecto, sino que cada entidad debe apropiarse de los elementos que le resulten válidos y adecuados a sus propias características y actividades específicas. Más allá de lo eficiente o acertado que pueda resultar un modelo, en la capacidad que tenga la dirección de la empresa para adecuarlo a su realidad, radicará la efectividad y resultados de la Gestión de Riegos, sin dejar de un lado la voluntad y capacidad de los directivos y trabajadores en general para llevarlo a cabo. Solo combinando todos los factores anteriormente referidos se alcanzará un eficiente proceso de Gestión de Riesgos. 1.4: Proceso para la Gestión de Riesgos. El epígrafe I.3 ha mostrado la diversidad de modelos y estándares que existen para la Administración de Riesgos. Las empresas cubanas para gestionar sus riesgos, se rigen por la Resolución 297, sin embargo, dicha reglamentación presenta limitaciones. Según González (2009) el modo de identificación que establece la Resolución 297 resulta ambiguo, no hace referencia a las herramientas a utilizar. Para este autor la Resolución 297 hace mucho énfasis en qué debe hacerse pero no siempre especifica con claridad cómo . Según Quincosa (2006) no diferencia los riesgos de las causas que le dan origen; 16.

(32) Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. haciendo mayor hincapié en la clasificación de los riesgos en internos o externos y en la importancia de determinar los puntos claves de la entidad. A pesar de ser considerados los riesgos un componente esencial del Control Interno, la manera tan ambigua en que este tema es desarrollado en la Resolución 297, imposibilita una gestión eficaz de los mismos. Las definiciones y la variedad de términos, no están expuestos con la suficiente claridad que permita a las entidades aplicar correctamente los elementos contenidos en el componente Evaluación de riesgos, profundizando fundamentalmente en la identificación y evaluación de riesgos (Hurtado, 2007). Teniendo en cuenta las limitaciones que presenta la Resolución 297 para la Gestión de Riesgos, se retoma el proceso propuesto por Pérez (2009) y Rodríguez (2009), diseñado a partir de una interrelación entre el Estándar Australiano y la Resolución 297, para dar cumplimiento al Objetivo General de la presente investigación. Está conformado por las siguientes etapas: 1. Establecimiento de contextos. 2. Identificación de riesgos. 3. Análisis y evaluación de riesgos. 4. Tratamiento del riesgo. 5. Monitoreo y revisión. 6. Comunicación e información. El establecimiento del contexto estratégico, organizacional y de la Administración de Riesgos de la entidad, reviste singular importancia para el resto del proceso. En esta etapa se definen los parámetros básicos dentro de los cuales deben. administrarse los riesgos, quedando establecido el contexto. estratégico, organizacional, así como la definición de la Administración de Riesgos. La identificación de riesgos es sumamente importante, pues permite determinar de una manera más exacta el nivel de exposición de una entidad o negocio a un riesgo. El desarrollo de la etapa de identificación, debe incluir la especificación de los puntos claves del organismo, así como proveer una lista de todas las fuentes de riesgos y áreas de impacto. A raíz de la gran cantidad potencial de fuentes e impactos, se debe desarrollar una lista genérica que focalice las actividades de identificación de riesgos y contribuya a una administración más efectiva. Las fuentes de 17.

(33) Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. riesgos y áreas de impacto genéricas son seleccionadas de acuerdo a su relevancia para la actividad bajo estudio. El equipo o grupo de trabajo encargado de llevar a cabo la Administración de Riesgos debe realizar dos acciones fundamentales en esta etapa: el medir y el jerarquizar los riesgos. Se entiende por medir, el hecho de asignarle un valor previamente identificado y por jerarquizar, el ordenamiento que pudiera ser mediante el establecimiento de rangos. De este modo, se pueden establecer categorías para cada uno de los riesgos identificados, lo que permite determinar cuáles son los más importantes y urgentes y que, por tanto, requieren una atención inmediata, y cuáles son los de menor importancia y podrían ser atendidos posteriormente. La evaluación del riesgo es la cuantificación de las exposiciones a riesgos, basadas en su impacto financiero en la empresa y expresadas en términos monetarios. Esta etapa es muy importante, ya que permite discriminar la información generada en la fase de identificación y facilita. establecer las. prioridades de solución. El producto de un análisis y evaluación de riesgos es una lista de riesgos con prioridades para una acción posterior. Deberían considerarse los objetivos de la organización y el grado de oportunidad que podrían resultar de tomar el riesgo. Las decisiones deben tener en cuenta el amplio contexto del riesgo e incluir una consideración de la tolerabilidad de los riesgos sostenidos por las partes fuera de la organización que se benefician de ellos. El tratamiento de los riesgos involucra identificar el rango de opciones para tratar los riesgos, evaluar esas opciones, preparar planes para tratamiento de los riesgos e implementarlos. Es necesario monitorear los riesgos, la efectividad del plan de tratamiento de los riesgos, las estrategias y el sistema de administración que se establece para controlar la implementación. Los riesgos y la efectividad de las medidas de control necesitan ser monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos. Pocos riesgos permanecen estáticos. La comunicación e información constituye una consideración importante en cada paso del proceso de Administración de Riesgos. Es importante desarrollar un plan de comunicación para los interesados internos y externos desde la etapa más temprana del proceso. Este plan debería encarar aspectos relativos al riesgo en sí mismo y al proceso para administrarlo. Esta etapa involucra un diálogo en ambas direcciones entre los interesados, con el esfuerzo focalizado en la consulta, más que un flujo de información en un solo sentido del tomador de decisión hacia los interesados. 18.

(34) Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. Para que este proceso resulte viable es imprescindible la utilización de técnicas y herramientas que garantizan su operatividad, posibilitando la obtención de la información correspondiente a cada una de las etapas que lo conforman. Resulta válido aclarar que la selección de las técnicas y herramientas a utilizar debe estar en correspondencia con las características propias de la entidad donde se pretenda implementar el proceso de Gestión de Riesgos y de acuerdo a las posibilidades reales que posibiliten su utilización. Según Quincosa (2006) es factible aplicar varias herramientas y técnicas para identificar riesgos, como por ejemplo: entrevistas estructuradas con expertos en el área de interés, reuniones con directivos y con personas de todos los niveles en la entidad, evaluaciones individuales usando cuestionarios, entrevistas e indagaciones con personas ajenas a la entidad, diagramas de análisis tales como árboles de error, de eventos y diagramas de flujo, revisiones periódicas de factores económicos y tecnológicos que puedan afectar la organización, entre otros. La Federation of European Risk Management Associations9 para la identificación de los riesgos propone las siguientes técnicas: Tormenta de ideas10. Es una herramienta de trabajo grupal que facilita el surgimiento de nuevas ideas sobre un tema o problema determinado. Se utiliza con el objetivo de generar ideas originales en un ambiente relajado. La principal regla del método es aplazar el juicio, ya que en un principio toda idea es válida y ninguna debe ser rechazada. Habitualmente, en una reunión para resolución de problemas, muchas ideas tal vez aprovechables mueren precozmente ante una observación sobre su inutilidad o carácter disparatado. De ese modo se impide que las ideas generen, por analogía, más ideas, y además se inhibe la creatividad de los participantes. La tormenta de ideas busca tácticamente la cantidad sin pretensiones de calidad y se valora la originalidad. Cualquier persona del grupo puede aportar cualquier idea de cualquier índole. Un análisis ulterior explota estratégicamente la validez cualitativa de lo producido con esta técnica. Encuesta. La encuesta se realiza para siempre en función de un cuestionario, siendo éste por tanto, el documento básico para obtener la información en la gran mayoría de las investigaciones y estudios de mercado. El cuestionario es un documento formado por un conjunto de preguntas que deben estar redactadas de 9. Conocida con las siglas de FERMA. Se conoce además como lluvia de ideas o brainstorming. Fue ideada en el año 1941 por Alex Faickney Osborn.. 10. 19.

(35) Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. forma coherente, y organizadas, secuenciadas y estructuradas de acuerdo con una determinada planificación, con el fin de que sus respuestas nos puedan ofrecer toda la información que se precisa. Estudios empresariales que se centren en cada proceso de negocio y describan tanto los procesos internos como los factores externos que puedan influir en estos procesos. Establecimiento de criterios de competencia comparativa (benchmaking) en la industria. El benchmarking es un anglicismo que, en las ciencias de la administración de empresas, puede definirse como un proceso sistemático y continuo para evaluar comparativamente los productos, servicios y procesos de trabajo en organizaciones. Consiste en tomar "comparadores" o. benchmarks. a aquellos productos, servicios y procesos de trabajo que pertenezcan a organizaciones que evidencien las mejores prácticas sobre el área de interés, con el propósito de transferir el conocimiento de las mejores prácticas y su aplicación. Análisis de distintos escenarios. Evalúa el efecto que uno o más eventos tienen sobre un objetivo. Puede ser utilizado en conexión con la planificación de la continuidad de la organización o con la estimación del impacto de un fallo del sistema o de la red, reflejando así el efecto en todo el negocio. Investigación de incidentes. Auditoría e inspección. Método HAZOP11. Involucra la investigación de desviaciones del intento de diseño o propósito de un proceso, por un grupo de individuos con experiencia en diferentes áreas. El grupo es guiado, en un proceso estructurado de tormenta de ideas, por un líder, que crea la estructura, al utilizar un conjunto de palabras guías o claves (no, mayor, menor) para examinar desviaciones de las condiciones normales de un proceso en varios puntos. clave. (nodos). de. todo. el. proceso.. Estas palabras guías, se aplican a parámetros relevantes del proceso para identificar las causas y consecuencias. de. desviaciones. en. estos. parámetros. de. sus. valores. normales.. Finalmente, la identificación de las consecuencias inaceptables, resulta en recomendaciones para 11. Se conoce además como Análisis de Riesgo y de Operatividad de los Procesos, fue desarrollado por ingenieros de "ICI Chemicals" de Inglaterra a mediados de los años 70.. 20.

(36) Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. mejorar el proceso. Estas pueden indicar modificaciones en el diseño, requerimientos en los procedimientos operativos, modificaciones en la documentación, mayor investigación, entre otras. Según Quincosa (2006) las técnicas de identificación de riesgos entran en tres categorías con diferentes perspectivas del tiempo: pasado, presente y futuro. Para este autor, la revisión histórica se centra en lo que ya ocurrió en el pasado. Las evaluaciones actuales constituyen una técnica que requiere la consideración detallada de la situación actual, analizando sus características con respecto a estructuras y modelos dados para exponer áreas de incertidumbre. A diferencia de la revisión histórica, la técnica de evaluación actual no tiene en cuenta los puntos de referencia, está basada puramente en el examen de lo que existe hoy. Las técnicas creativas constituyen otra de las técnicas. En la identificación de riesgos se puede utilizar la imaginación para encontrar los posibles riesgos que podrían afectar al alcance futuro de objetivos. Esta técnica depende de la habilidad de los participantes en el proyecto para pensar de forma creativa, tanto individualmente como en grupos, y su éxito es mejorado a menudo por el uso de un facilitador con las habilidades necesarias. Las técnicas de revisión histórica dependen de la experiencia previa de la situación existente, las técnicas de evaluación actual dependen de la calidad del proceso de diagnóstico y de hasta qué punto las personas entiendan lo que está pasando, asimismo el éxito de las técnicas de creatividad está en correspondencia con la habilidad de los participantes para imaginar el futuro. Los elementos anteriores demuestran que todas tienen sus puntos débiles, por lo que una combinación de ellas arrojaría mejores resultados. Resulta muy importante tener en cuenta que la información sobre eventos pasados debe ser revisada cuidadosamente, pues las condiciones en que opera la organización pueden cambiar: el subsistema de operaciones de la empresa está en constante transformación, debido a cambios en la tecnología, los productos y servicios, mercados, proveedores, la legislación vigente y otras exigencias del entorno; estas condiciones potencian la importancia de la opinión de los expertos. El modelo COSO (2004) comprende una combinación de técnicas basadas en el pasado y en el futuro para la identificación de riesgos, proponiendo las siguientes: • Inventarios de eventos. Se utilizan listados de eventos posibles comunes a un sector o área funcional específica, que pueden ser elaborados internamente en la entidad o ser listas externas genéricas, en cuyo caso deben ser revisadas y adaptadas a la entidad. 21.

(37) Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. • Talleres de trabajo. Reunión de personas de diversas funciones o niveles para desarrollar una lista de acontecimientos relacionados con los objetivos estratégicos de una determinada unidad organizacional. • Entrevistas, cuestionarios y encuestas. Tienen el propósito de averiguar los puntos de vista y conocimientos del personal de la empresa, en relación con los acontecimientos pasados y los posibles acontecimientos futuros. • Análisis del flujo de procesos. Consiste en representar esquemáticamente un proceso con el objetivo de comprender las interrelaciones entre las entradas, tareas, salidas y responsabilidades de sus componentes. Con su ayuda los acontecimientos pueden ser identificados y considerados frente a los objetivos del proceso. • Principales indicadores de eventos e indicadores de alarma. Son mediciones cualitativas o cuantitativas que proporcionan un mayor conocimiento de los riesgos potenciales. Para resultar útiles, los principales indicadores de riesgos deben estar disponibles para la dirección de manera oportuna. Los indicadores de alarma se centran habitualmente en operaciones diarias y se emiten cuando se sobrepasa el umbral preestablecido. • Seguimiento de datos de eventos con pérdidas. El seguimiento de la información relevante puede ayudar a una organización a identificar acontecimientos pasados con un impacto negativo y a cuantificar las pérdidas asociadas, a fin de predecir futuros sucesos. Las bases de datos de eventos con pérdidas asociadas contienen información sobre aquellos acontecimientos reales que cumplen criterios específicos. Algunas empresas realizan el seguimiento de una serie de datos externos, por ejemplo: principales indicadores económicos, con el fin de identificar movimientos que apunten a un cambio en la demanda de sus productos y servicios. En los diferentes criterios sobresale como elemento común la utilización de técnicas como las entrevistas, encuestas, cuestionarios y la realización de técnicas grupales. Resulta conveniente involucrar a diferentes participantes para obtener diversidad de ideas. Una organización que confía en un único punto de vista o que solo usa un tipo de técnica de identificación es probable que olvide riesgos importantes, dejándola expuesta a amenazas que podían evitarse, y olvidándose de oportunidades. Las múltiples perspectivas ofrecen una visión de los riesgos que podrían tener impacto, llevando consigo una identificación de riesgos más efectiva. 22.

(38) Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. Luego de identificar los riesgos debe procederse a su análisis y evaluación. Según COSO (2004) en esta etapa se deben combinar técnicas cualitativas y cuantitativas. Se aplican técnicas cualitativas cuando los riesgos no se prestan a la cuantificación o cuando no están disponibles datos suficientes y creíbles para una evaluación cuantitativa o la obtención y análisis de ellos no resulte eficiente por su costo. Las técnicas cuantitativas típicamente aportan más precisión y se usan en actividades más complejas y sofisticadas, para complementar las técnicas cualitativas12. No siempre es posible cuantificar monetariamente las pérdidas debido a la envergadura o características que presentan muchos riesgos. Por tal razón existen varios métodos que facilitan la estimación, utilizando para ello una clasificación cualitativa de los mismos a partir de una estimación de la frecuencia y el impacto financiero que los mismos tengan sobre la entidad, según Del Toro y Col (2005). Según Rahnema (2000) una vez que los. riesgos han sido identificados es necesario estimar la. probabilidad de ocurrencia de estos riesgos y valorar sus consecuencias e impactos en el logro de los objetivos de la empresa. Según Blanco (2007), en vez de utilizar el término probabilidad de ocurrencia resulta más adecuado el término de frecuencia para señalar la periodicidad de manifestación de un riesgo. Para este autor la frecuencia con que se manifiesta un riesgo y la intensidad de sus consecuencias, constituyen las dos variables fundamentales de un riesgo. La intensidad de sus consecuencias es conocida también como severidad o consecuencias. Ambas variables se expresan en términos de criterios de impactos monetarios, técnicos, humanos e intangibles. Entre los métodos más conocidos para el análisis cualitativo se encuentran el método del criterio de frecuencia de Prouty y el método del criterio de gravedad o financiero, los cuales evalúan la frecuencia y las consecuencias de los riesgos respectivamente. El método del criterio de frecuencia de Prouty divide los riesgos considerando los criterios siguientes: - Riesgo poco frecuente: Si la frecuencia de ocurrencia es casi nula, prácticamente el evento no sucede. - Riesgo moderado: Si sucede una vez en un lapso de tiempo.. 12. COSO (2004): Gestión de Riesgos Corporativos. Marco Integrado. Técnicas de Aplicación, p. 47. 23.

(39) Capítulo I: Aspectos teóricos relacionados con el riesgo empresarial y su administración. - Riesgo frecuente: Si sucede regularmente. El método del criterio de gravedad o financiero clasifica los riesgos según el impacto financiero que tengan sobre la entidad, agrupándolos del modo siguiente: - Riesgo leve: Si el impacto financiero de las pérdidas se puede llevar contra el presupuesto de gastos y este los asume. - Riesgo moderado: Si el impacto financiero de las pérdidas hace necesaria una autorización fuera del presupuesto para sobrellevarlo financieramente. - Riesgo grave: Si el impacto financiero de las pérdidas afecta las utilidades pero se mantiene la continuidad del proceso productivo. - Riesgo catastrófico: Si el impacto financiero de las pérdidas pone en peligro la supervivencia de la entidad. Estos dos métodos pueden resultar apropiados cuando no existe información suficiente. Tienen en común la necesidad de opiniones de expertos y la relativa sencillez de la clasificación. Es válido aclarar la importancia de utilizar la opinión de expertos para el análisis de los riesgos, información que por su carácter subjetivo necesita ser procesada con las técnicas apropiadas para ello (Blanco, 2007). El Estándar Australiano ofrece las siguientes medidas cualitativas de frecuencia o probabilidad de ocurrencia: -. Rara: Puede ocurrir solo en circunstancias excepcionales.. -. Improbable: Pudo ocurrir en algún momento.. -. Posible: Podría ocurrir en algún momento.. -. Probable: Probablemente ocurrirá en la mayoría de las circunstancias.. -. Casi cierta: Se espera que ocurra en la mayoría de las circunstancias.. Como medidas cualitativas de consecuencias o impactos establece como: -. Insignificante: Baja pérdida financiera, asumible por el presupuesto. Daños insignificantes o pequeños a personas naturales o jurídicas.. -. Menor: Cuando el presupuesto los asume, pérdida financiera media. Daños menores a personas naturales o jurídicas. 24.