Metodología para el análisis de riesgos en una entidad pública

PROPUESTA DE METODOLOGÍA PARA EL ANÁLISIS DE LOS RIESGOS
DE MANERA DIFERENCIADA CON RESPECTO AL LOGRO DE LOS
OBJETIVOS DE LA ENTIDAD
Resumen
En las últimas cadas, empresas de todo el mundo han invertido muchos recursos en
mejorar la calidad de sus sistemas de control interno, haciendo énfasis en la valoración
de los riesgos que permite conocer de antemano todos los factores que pueden poner
en dificultad el cumplimiento de los objetivos planteados por la entidad. El desarrollo de
este artículo propone un todo que pretende facilitar la vinculación entre los objetivos
y los riesgos en ellos a partir del alisis, verificación y control de las posibles
desviaciones en los puestos de trabajo y /o procesos, para así determinar los objetivos
de control y elaborar el Plan de Prevención de Riesgos teniendo en cuenta el nivel de
importancia en aras de jerarquizar racionalmente su prioridad de corrección.
Introducción.
El término riesgo se ha convertido desde hace varios años en una palabra recurrente
en la legislación de muchos países y de documentos representativos de probleticas
a nivel mundial, ya sean el cambio climático (Berger, 2009, NC ISO 14001, 2004), la
seguridad laboral (NC 18001, 2005), los accidentes tecnogicos (OIEA, 1999) o los
desastres naturales (ONU, 2005). El sentido común de la generalidad del blico
interpreta el término “riesgo como el resultado de la probabilidad o frecuencia de
ocurrencia de un peligro definido (problema, fallo, accidente, catástrofe natural, fraude,
error humano, etc.) y de la severidad o magnitud de las consecuencias de este hecho
indeseable en caso de que ocurra.
Este término también es aplicable al funcionamiento interno del sistema de gestión de
las empresas y/o instituciones y, aunque sus consecuencias pueden derivar en riesgos
como los descritos, también pueden conducir a rdidas económicas o de prestigio por
actos de negligencia o intencionales relacionados con el personal gestor del proceso.
El sistema de control interno de los procesos en las entidades no es privativo del
sistema socialista, de hecho nace por las experiencias de análisis de riesgos en
grandes empresas privadas de países capitalistas (Coopers and Librand, 1997). La
identificación de estos peligros de manera preventiva, se realiza a través de sistemas
de control y autocontrol que permiten la gestión de los riesgos utilizando los llamados
mapas de riesgos o matrices de fraude (Bueno, 2008).
De manera global, el sistema de control interno es uno de los medios que permite
identificar, analizar, evaluar y dar tratamiento a los riesgos, atendiendo al ambiente
político, social, ecomico, legal y organizativo de la entidad, incluyendo el desarrollo
de los criterios, políticas, planeación estratégica y la minimización de los riesgos.
El Informe COSO (Coopers and Librand, 1997), constituye un material de obligada
referencia cuando se trata el tema de control interno, dado el amplio marco conceptual
que el mismo establece.
La identificación de riesgos, tal como se define por estos autores, tiene como objeto
determinar los aspectos que pueden comprometer el logro de los objetivos de la
entidad, basado en un grado de seguridad razonable que es la confianza de que la
dirección será advertida a tiempo de la existencia de un peligro (riesgo) que
comprometa los objetivos. Una vez identificados estos riesgos se procede a su alisis,
que se basa en la caracterización de los mismos, incluyendo la estimación de la
rdida o coste de cada riesgo, su probabilidad de ocurrencia y el establecimiento de
las medidas para su gestión.
En el informe COSO, sin embargo deja a un lado los métodos de análisis de riesgo,
presentando un enfoque ambiguo para el estudio de la probabilidad de ocurrencia, un
uso de fuentes no rigurosas para los análisis de las pérdidas, arribando finalmente a
una clasificación cualitativa de los riesgos, que ofrecen pocas informaciones
adicionales.
En nuestro país, por ejemplo, el alisis de riesgos se ha convertido en un tema
recurrente en la confección de los planes de prevención exigidos, por la legislación
as de gestión de los riesgos
cubana actual, dentro de los Sistemas de Control Interno de las entidades. Existen
diversos todos para analizar los riesgos de la organización, pero muchos de estos
no ofrecen la información necesaria para lograr priorizar adecuadamente los riesgos
según el impacto o consecuencia que tienen estos sobre los objetivos de la
organización.
Partiendo de todo el razonamiento anterior, constituye objeto de esta investigación los
riesgos asociados a los aspectos deducidos dentro de los planes de prevención,
siendo el problema científico “el vacio metodogico relacionado con la tarea de análisis
de riesgo en el marco de los planes de prevención”.
Desarrollo.
La Gestión de Riesgo es la aplicación sistemática de poticas, procedimientos y
prácticas para identificar, analizar, evaluar, tratar y dar seguimiento a los riesgos, lo que
esencialmente implica el anticiparse a qué puede ir mal, porque puede ocurrir y qué
puede realizarse para evitar o disminuir el riesgo.
Las seis etapas fundamentales del proceso (Gestión de Riesgo) se pueden mostrar
en el siguiente diagrama:
Establecer el contexto de
los riesgos Identificar y definir el ambiente político, social,
económico, legal y organizativo dentro del cual se
lleva a cabo la actividad, el proceso, la decisión,
etc. incluyendo el desarrollo de los criterios,
políticas y estrategias de riesgos.
Identificación de los riesgos
Tomado de Introducción a la Gestión de
Riesgos Empresariales por J. B. Madrigal,
Diciembre 2004
Identificar los activos y recursos que la organización
utiliza para operar y los riesgos potenciales (¿qué puede
ocurrir?) sobre ellos, dentro del contexto, identificando,
a su vez, para cada riesgo el cómo, cuándo, dónde,
porqué y mo puede ocurrir, quiénes pueden estar
involucrados y qué consecuencias puede tener.
Establecer el contexto de los riesgos.
Para establecer el contexto de los riesgos es necesario identificar y definir el ambiente
político, social, económico, legal y organizativo dentro del cual se lleva a cabo la
actividad, el proceso o la decisión, además de determinar los Objetivos de la entidad
mediante una buena planeación estratégica de la organización
En la actualidad el todo que s se utiliza para definir los objetivos de una empresa es la
Matriz DAFO, ya que está herramienta permite según el resultado alcanzado trazar
nuevas estrategias y por ende trazarse nuevas metas, de esta forma los propios objetivos
ponen de manifiesto el cumplimiento de la misión de la organización.
Identificación de los Riesgos.
El primer paso es identificar todos aquellos activos y recursos que la organización
utiliza para operar y alcanzar sus objetivos. Los activos tangibles, financieros y
recursos de la empresa, tales como maquinaria, suministros, empleados, capital e
instalaciones o edificaciones, que son fáciles de identificar. Sin embargo, hay otros activos y
recursos que pueden ser menos obvios, denominados recursos intangibles como por
ejemplo: la competencia de los directivos, la cuota de mercado, la capacidad de crédito, la
cartera de clientes, la reputación, las virtudes de los servicios o productos y los
presupuestos de los insumos que la organización utiliza para producir sus servicios o
productos.
En la actualidad existen muchas técnicas para ayudar a identificar los riesgos. Sin embargo,
los errores humanos son frecuentemente los contribuyentes principales para los riesgos, y
esto es aplicable muy especialmente al ámbito empresarial, las más utilizadas para identificar
estos riesgos son los Alisis de Tareas, Listas de chequeo, Consulta con expertos de las
actividades analizadas y los ejercicios de tormentas de ideas en grupos de experto.
Análisis de los Riesgos.
El análisis de los riesgos es el proceso de identificación de los efectos o resultados
potenciales en el desempeño empresarial.
Para el análisis de los riesgos, existen diversas técnicas, pero probablemente la s
utilizada en el ámbito empresarial es la “tormenta de ideas, donde a partir del dominio de la
actividad empresarial, se crean los escenarios del tipo “¿q sucede si…..?”. Estos
escenarios ayudarán a identificar las acciones que pueden adoptarse para gestionar estos
riesgos, pasando posteriormente a la etapa de la Evaluación del Riesgo.Las desventajas
que tiene la utilización de esta herramienta es que no brinda toda la información necesaria
para identificar qué riesgo incide más en el cumplimiento exitoso del objetivo, para poder así
optimizar los recursos necesarios y garantizar los servicios y productos con la calidad
requerida, priorizando los procesos claves de la organización.
La metodología para la Gestión de Riesgo que proponemos, incorpora una etapa
intermedia antes de Evaluar los Riesgos, que se identificara como Jerarquización de los
Riesgos (ver Fig.No.1), dicha etapa permite cuantificar mediante la ponderación de los
propios expertos de la organización los riesgo potenciales y sus consecuencias
para cada objetivo de la empresa (ver Tabla 1).
Seguimiento
y
Revisn
continua
de
las
etapas
de
Gestn
de
Riesgo
Establecer el
contexto de los
Riesgos
Identificación el
Riesgos
Análisis de los
Riesgos
Jerarquización de
los Riesgos
Evaluación de
los Riesgos
Si
Tolrable
NO
Tratamiento de
los Riesgos
Tabla No.1 Matriz vs Objetivos.
Fig.No.1 Diagrama de las etapas del proceso de Gestión de Riesgo con la incorporación de la nueva
etapa
Para incorporar los datos obtenidos en esta etapa en la Matriz Objetivos vs Riesgos
es necesario la participación de un Grupo de experto, procedente de las diferentes
áreas de la organización, los que valoraran los riesgos según una escala propuesta
previamente, lo que permite ya analizar el impacto o consecuencia en diferentes
dimensiones, obtenndose resultados según el análisis propuestos como se
muestran a manera de ejemplo en la siguiente Tabla No.2
Tabla No. 2 Categoría de Impacto o Consecuencia
El grupo de experto al determinar el impacto o consecuencia de ese riesgo con
respecto a los Objetivos específicos del General lo Pondera. La dicha Ponderación se halla
de la siguiente manera:
Ponderación: (Total de la puntuación del Riesgo / Puntuación xima a obtener).
El resultado de la ponderación se muestra en la Tabla No. 3, donde además permite inferir
entonces el nivel de importancia de ese riesgo (Tabla No. 4) con respecto a ese
objetivo. De esta forma se pueden tomar las acciones que pueden adoptarse para gestionar
estos riesgos.
Tabla No.3 Ejemplo de valoración de Resultado final Matriz Objetivos vs Riesgos.
Tabla No.4 Nivel de Importancia
Teniendo en cuenta los resultados de la Matriz Objetivos vs Riesgos expuesta en la
Tabla No.3 se evidencia que riesgo incide s en los Objetivos Generales y este a su
vez jerarquiza los riesgos identificados por el Grupo de Experto para una posterior
evaluación e incorporación pertinente al Plan de Prevención de Riesgo acorde al nivel
de detección y el nivel de prioridad.
Con la utilización de este todo las pequeñas y medianas empresas en general y muy
particularmente las empresas nacionales, acorde al nuevo Modelo Económico que se
está desarrollando en Cuba, las entidades podrán trazar su plan estratégico para
garantizar con mayor eficiencia minimizar el impacto de los riesgos en las gestión
organizacional, ya que de esta forma los recursos materiales y humanos estarían
enfocados hacia aquellos riesgos que inciden más en el cumplimiento del objetivo.
Ventajas de la utilización de este método y la necesidad de agregar el paso de
Jerarquización de los Riesgos.
1) Determinar un plan estragico priorizando las medidas de los riesgos que
afectan a la empresa.
2) Optimiza los recursos de la empresa.
3) Ahorro de tiempo, dinero y Capital Humano en mejorar la calidad del Sistema de
Control Interno.
4) Garantiza mayor claridad a los directivos en la toma decisiones.
5) Mayor beneficio de Plan de Prevención de Riesgo, en la gestión organizacional.
Evaluación del Riesgo según la metodología propuesta.
Una vez que se han identificado a través de la Jerarquización los efectos potenciales
de los riesgos se deberán establecerse las prioridades para su tratamiento y control.
Los dos elementos fundamentales para evaluar un riesgo son su Probabilidad -
Frecuencia de Ocurrencia (Ver Tabla No.5) y el Impacto o Consecuencia
(Ver Tabla No.2) que pueda inferir en el cumplimiento de los objetivos y en cuento
pueden incurrir en la pérdida económica y de imagen de la empresa.
Tabla No.5 Probabilidad- Frecuencia de Ocurrencia.
Determinando la Probabiliad-Frecuencia de Ocurrencia y el Impacto o Consecuencia de
ese riesgo con respecto al objetivo se define entonces el nivel de riesgo (ver Tabla
No.6), para así establecer el nivel de Prioridad (ver Tabla No.7) que va a tener ese
riesgo para incluirlo en el Plan de Prevención de Riesgo. Los resultados de la
evaluación de riesgo se reflejarán entonces en el Mapa de Riesgo que permitirá
evidenciar el Nivel de Riesgo, el Nivel de Prioridad y el objetivo de control para los
riesgos determinados.
Tabla No.6 Nivel de Riesgo.
Para conocer el nivel de prioridad es necesario conocer el nivel de detección de ese
riesgo. A continuación se muestra la forma de cálculo para determinar la Prioridad de
Riesgo y en la Tabla No.8 se evidencia el significado del Nivel de Detección
Prioridad del riesgo = Rango de Frecuencia * Rango de Impacto * Probabilidad de
detección
Tabla No.7 Nivel de Prioridad.
NP
Rangos
Extremo Nivel de Prioridad
I
101 a 125 puntos
Alto Nivel de Prioridad
II
76 a 100 puntos
Moderado Nivel de Prioridad
III
51 a 75 puntos
Bajo Nivel de Prioridad
IV
26 a 50 puntos
Insignificante Nivel de Prioridad
V
0 a 25 puntos
Tabla No.8 Nivel de Detección del Riesgo
Nivel de Detección Probabilidad de detección
5 Incierto Las actividades de controles existentes no detectan el
problema o no existen actividades de control.
4 Bajo Pocas posibilidades de que sea detectado el problema
con antelación suficiente.
3 Moderado En ocasiones se detecta el problema con antelación
suficiente.
2 Alto Alta probabilidad de ser detectado el problema con
antelación suficiente.
1 Casi Cierto Generalmente siempre se detecta el problema con
antelación suficiente.
Tratamiento de los Riesgos.
Partiendo del resultado dado en el Mapa de Riesgo y estableciendo el Nivel de
prioridad del riesgo se confecciona el Plan Estratégico de Prevención de Riesgo,
para darle el tratamiento al mismo, aplicando medidas para modificar el riesgo, esto
incluye como principal elemento, el control o mitigación del riesgo, para un mejor
control del mismo.
Algunas alternativas para el tratamiento de los riesgos pueden ser:
Evitarlo: abandonando la actividad que lo genera.
Reducir la probabilidad y el impacto: a través de planes de acción y
controles específicos.
Transferirlo: compartiendo el riesgo con un socio estragico, suscripción
de seguros, acuerdos contractuales, entre otros.
Retenerlo: aceptando su nivel de materialización llevándolo a un nivel
residual, incluso administrando sus consecuencias.
Seguimiento y Revisión continúa de las etapas de Gestión de Riesgo.
Después de culminado el Plan Estratégico de Prevención de Riesgo es necesario
supervisar y monitorear los identificados y determinados por los procesos/áreas de las
empresas, dado que muchos de estos pueden cambiar de nivel de importancia en el
tiempo y la Alta Dirección del Centro tendque determinar entonces si el sistema de
control interno disado anteriormente contia siendo relevante y capaz de abordar
nuevos riesgos, y en este reconocimiento la Alta Dirección vuelve a considerar el
diseño de controles cuando se modifican los riesgos, y que los controles diseñados
para disminuir los riesgos a un nivel aceptable, continúan funcionando de forma
efectiva.
2. Alisis de Casos
Para el análisis de Casos vamos a tomar como ejemplo una Empresa la Industria
Alimentaria, y de esa entidad vamos a identificar los riesgos del Proceso de Medición,
Alisis y Mejora que pueden impedir el cumplimiento de los Objetivos Generales.
Empresa XXXX
Objetivos Generales.
1) Lograr que la producción satisfaga la demanda del mercado interno y
garantice los compromisos de exportación.
Exportar 8,801 t/año de producto terminado del plan anual.
Producir 126,141.0 t/año, de ellas 114,139.0 t/o para el mercado normado y
22,002.0 t/o para el mercado en divisas.
Tener menos de 10 reclamaciones en el periodo por incumplimiento de la
entrega en calidad, cantidad y oportunamente.
2) Mantener la Certificación del Sistema Integrado de Gestión.
Obtener resultados Satisfactorios en todas las acciones de control que se
realicen.
Verificar el cumplimiento del Plan de Inspecciones Fitosanitarias.
Verificar el manejo de los desechos sólidos.
Una vez determinado los Objetivos Generales y Espeficos, se identifica los riesgos
del Proceso de Medición, Análisis y Mejora y se le da la puntuación según el Impacto o
Consecuencia que tiene este riesgo potencial con respecto al Objetivo (ver resultado en
la Tabla No.9), ya ponderado el riesgo se determina el nivel de importancia que tiene el
riesgo con respecto a ese objetivo (Tabla No.10) para incluirlo en el Mapa de Riesgo
(Tabla No.11) y culminar con el Plan de Prevención de Riesgo (Tabla No.12)
Tabla No.9 Matriz Objetivos vs Riesgos.
Ejemplo de Ponderación: (Total de la puntuación del Riesgo / Puntuación xima a
obtener).
Perder la Certificación = 7/15 = 0.47
Tabla No. 10 Matriz Objetivos vs Riesgos (Nivel de Importancia)
Con el resultado que se muestra en la Tabla anterior se evidencia cuales son los
riesgos que s incide en el cumplimiento de los Objetivos de Trabajo y partiendo del
análisis del Nivel de importancia se confecciona el Mapa de Riesgo (Tabla No.11), para
desps realizar el Plan de Prevención de Riesgo (Tabla Tabla No.12).
Tabla No.11 Mapa de Riesgo.
Tabla No.12 Plan de Prevención de Riesgo.
Conclusiones.
La propuesta de inclusn, dentro del análisis tradicional de Riesgo, de la etapa
de la Jerarquización de los Riesgo en las empresas, permite optimizar los
recursos y trabajar sobre los riesgos que tengan mayor impacto en el
cumplimiento de los Objetivos.
En el diseño metodológico propuesto como apoyo a la gestión de riesgos dentro
del plan estratégico de prevención de una entidad, de manera jerarquizada
constituye una valiosa herramienta para la cuantificación de los riesgos y su
eficacia se basa en su enfoque de optimización de los recursos para la
prevención con una mayor visión del aspecto económico para la organización.
Bibliografía
1) BERGER, M. (2009), Obama lleva poca cosa a Copenhague, Periódico Granma,
Cuba, viernes, 27 de noviembre de 2009.
2) BUENO CASTAÑEDA, J. L. (2008), Conceptos y Experiencias en Riesgo
Operacional, I Congreso de Auditoría Interna “El Rol y la Visión de la Auditoría
Interna en la Gestión de Riesgos, Instituto de Auditores Internos de Colombia,
Colombia.
3) COOPERS & LYBRAND (1997), Los nuevos conceptos del control interno
(Informe COSO), Ediciones az de Santos, S.A., Madrid, España, ISBN 84-
7978-295-1.
4) MAC (2009), Ley No. 107 de la Contraloría General de la República de Cuba.
5) MAC (2011), Resolución 60 Normas del Sistema de Control Interno.
6) Madrigal. J.B (2004), Introducción a la Gestión de Riesgo Empresariales.
7) NC ISO 14001: 2004. Sistemas de Gestión Ambiental. Requisitos
8) NC 18001:2005. Sistemas de Gestión de Seguridad y Salud en el Trabajo-
Requisitos.
9) Organismo Internacional de Enera Atómica (OIEA) (1999), Principios sicos
de la Seguridad, INSAG-3, Viena, Austria.
10) ONU (2005), Conferencia Mundial sobre la Reducción de los Desastres
Naturales en la ciudad de Kobe de la Prefectura de Hyogo, Kobe, Japón.
11) TORRES, A., PERDOMO, M., et al (2009), Grupo de Alisis de Riesgo y
Confiabilidad de Cuba: 20 años de experiencia en los servicios de análisis de
seguridad, confiabilidad y mantenimiento. Embalse, Córdoba, Argentina [en
nea]: <http:www.monografias.com/trabajos-pdf2/analisis-riesgo-confiabilidad-
seguridadmantenimiento/analisis-riesgo-confiabilidad-seguridad-
mantenimiento.shtml>
Autor:
Ing. Félix Arango az. Consultor. Empresa de Servicio de Aseguramiento de la
Calidad (ESAC), Ministerio de Industria.

Hazle saber al autor que aprecias su trabajo

Estás en libertad de marcarlo con "Me gusta" o no

Tu opinión vale, comenta aquíOculta los comentarios

Comentarios

comentarios

Compártelo con tu mundo

Escrito por:

Cita esta página
Arango Díaz Félix. (2014, septiembre 11). Metodología para el análisis de riesgos en una entidad pública. Recuperado de http://www.gestiopolis.com/metodologia-para-el-analisis-de-riesgos-en-una-entidad-publica/
Arango Díaz, Félix. "Metodología para el análisis de riesgos en una entidad pública". GestioPolis. 11 septiembre 2014. Web. <http://www.gestiopolis.com/metodologia-para-el-analisis-de-riesgos-en-una-entidad-publica/>.
Arango Díaz, Félix. "Metodología para el análisis de riesgos en una entidad pública". GestioPolis. septiembre 11, 2014. Consultado el 3 de Diciembre de 2016. http://www.gestiopolis.com/metodologia-para-el-analisis-de-riesgos-en-una-entidad-publica/.
Arango Díaz, Félix. Metodología para el análisis de riesgos en una entidad pública [en línea]. <http://www.gestiopolis.com/metodologia-para-el-analisis-de-riesgos-en-una-entidad-publica/> [Citado el 3 de Diciembre de 2016].
Copiar
Imagen del encabezado cortesía de grandmaitre en Flickr