Metodología para el análisis de riesgos en una entidad pública

En las últimas décadas, empresas de todo el mundo han invertido muchos recursos en mejorar la calidad de sus sistemas de control interno, haciendo énfasis en la valoración de los riesgos que permite conocer de antemano todos los factores que pueden poner en dificultad el cumplimiento de los objetivos planteados por la entidad.

El desarrollo de este artículo propone un método que pretende facilitar la vinculación entre los objetivos y los riesgos en ellos   a partir del análisis,   verificación y control de las posibles desviaciones en los puestos de trabajo y /o procesos,  para así determinar los objetivos de control y elaborar el Plan de Prevención de Riesgos teniendo en cuenta el nivel de importancia en aras de jerarquizar racionalmente su prioridad de corrección.

Introducción.

El término riesgo se ha convertido desde hace varios años en una palabra recurrente en la legislación de muchos países y de documentos representativos de problemáticas a nivel mundial, ya sean el cambio climático (Berger, 2009, NC ISO 14001, 2004), la seguridad laboral (NC 18001, 2005), los accidentes tecnológicos (OIEA, 1999) o los desastres naturales  (ONU,  2005).  El  sentido  común  de  la  generalidad  del  público interpreta el término “riesgo” como el resultado de la probabilidad o frecuencia de ocurrencia de un peligro definido (problema, fallo, accidente, catástrofe natural, fraude, error humano, etc.) y de la severidad o magnitud de las consecuencias de este hecho indeseable en caso de que ocurra.

Este término también es aplicable al funcionamiento interno del sistema de gestión de las empresas y/o instituciones y, aunque sus consecuencias pueden derivar en riesgos como los descritos, también pueden conducir a pérdidas económicas o de prestigio por actos de negligencia o intencionales relacionados con el personal gestor del proceso.

El sistema de control interno de los procesos en las entidades no es privativo del sistema  socialista,  de  hecho  nace  por  las  experiencias  de  análisis  de  riesgos  en grandes empresas privadas de países capitalistas (Coopers and Librand, 1997). La identificación de estos peligros de manera preventiva, se realiza a través de sistemas de control y autocontrol que permiten la gestión de los riesgos utilizando los llamados mapas de riesgos o matrices de fraude (Bueno, 2008).

De manera global, el sistema de control interno es uno de los medios que   permite identificar, analizar, evaluar y dar tratamiento a los riesgos, atendiendo al ambiente político, social, económico, legal y organizativo de la entidad,   incluyendo el desarrollo de los criterios, políticas, planeación estratégica y la minimización de los riesgos.

El Informe COSO (Coopers and Librand, 1997), constituye un material de obligada referencia cuando se trata el tema de control interno, dado el amplio marco conceptual que el mismo establece.

La identificación de riesgos, tal como se define por estos autores,  tiene como objeto determinar  los  aspectos  que  pueden  comprometer  el  logro  de  los  objetivos  de  la entidad, basado en un grado de seguridad razonable que es la confianza de que la dirección  será  advertida  a  tiempo  de  la  existencia  de  un  peligro  (riesgo)  que comprometa los objetivos. Una vez identificados estos riesgos se procede a su análisis, que  se basa en la caracterización  de  los mismos,  incluyendo la estimación de  la pérdida o coste de cada riesgo, su probabilidad de ocurrencia y el establecimiento de las medidas para su gestión.

En  el informe COSO, sin embargo   deja a un lado los métodos de análisis de riesgo, presentando un enfoque ambiguo para el estudio de la probabilidad de ocurrencia, un uso de fuentes no rigurosas para los análisis de las pérdidas,  arribando finalmente  a una clasificación cualitativa de los riesgos,   que ofrecen pocas informaciones adicionales.

En nuestro país, por ejemplo,   el análisis de riesgos se ha convertido en un tema recurrente en la confección de los planes de prevención exigidos, por la legislación cubana actual, dentro de los Sistemas de Control Interno de las entidades. Existen diversos métodos para analizar los riesgos de la organización, pero muchos de estos no  ofrecen la información necesaria para lograr priorizar  adecuadamente los riesgos según el impacto o consecuencia que tienen estos sobre los objetivos de la organización.

Partiendo de todo el razonamiento anterior, constituye objeto de esta investigación “los riesgos asociados a los aspectos deducidos dentro  de  los planes de  prevención”, siendo el problema científico “el vacio metodológico relacionado con la tarea de análisis de riesgo en el marco de los planes de prevención”.

Desarrollo.

La Gestión de Riesgo es la aplicación sistemática de políticas, procedimientos y prácticas para identificar, analizar, evaluar, tratar y dar seguimiento a los riesgos, lo que esencialmente  implica el anticiparse a qué puede ir mal, porque puede ocurrir y qué puede realizarse para evitar o disminuir el riesgo.

Las seis etapas fundamentales del proceso (Gestión de Riesgo) se pueden mostrar en el siguiente diagrama:

 

Identificar y definir el ambiente político, social, económico, legal y organizativo dentro del cual se lleva a cabo la actividad, el proceso, la decisión, etc. incluyendo el desarrollo de los criterios, políticas y estrategias de riesgos.
 

Identificar los activos y recursos que la organización utiliza para operar y los riesgos potenciales (¿qué puede ocurrir?) sobre ellos, dentro del contexto, identificando, a su vez, para cada riesgo el cómo, cuándo, dónde, porqué y cómo puede ocurrir, quiénes pueden estar involucrados y qué consecuencias puede tener.

Tomado de Introducción a la Gestión de Riesgos Empresariales por J. B. Madrigal, Diciembre 2004

Establecer el contexto de los riesgos.

Para establecer el contexto de los riesgos es necesario identificar y definir el ambiente político, social, económico, legal y organizativo dentro del cual se lleva  a cabo la actividad, el proceso o la decisión, además de determinar los Objetivos de la entidad mediante una buena planeación estratégica de la organización

En la actualidad el método que más se utiliza para definir los objetivos de una empresa es la Matriz DAFO, ya que está herramienta   permite según el resultado alcanzado trazar nuevas estrategias y por ende trazarse nuevas metas, de esta forma  los propios objetivos ponen de manifiesto  el cumplimiento  de  la misión de la organización.

Identificación de los Riesgos.

El primer paso es identificar todos aquellos activos y recursos que la organización utiliza  para  operar  y  alcanzar  sus  objetivos.  Los  activos  tangibles,  financieros  y recursos de la empresa, tales como maquinaria, suministros, empleados, capital e instalaciones o edificaciones, que son fáciles de identificar. Sin embargo, hay otros activos y recursos que pueden ser menos obvios,   denominados recursos intangibles como por ejemplo: la competencia de los directivos, la cuota de mercado, la capacidad de crédito, la cartera de clientes, la reputación, las virtudes de los servicios o productos y  los  presupuestos  de  los  insumos  que  la  organización  utiliza  para  producir  sus servicios o productos.

En la actualidad existen muchas técnicas para ayudar a identificar los riesgos. Sin embargo, los errores humanos son  frecuentemente los contribuyentes principales para los riesgos, y esto es aplicable muy especialmente al ámbito empresarial, las más utilizadas para identificar estos riesgos son los Análisis de Tareas, Listas de chequeo, Consulta con expertos de las actividades analizadas y los ejercicios de tormentas de ideas en grupos de experto.            

Análisis de los Riesgos.

El análisis de los riesgos es el proceso de identificación de los efectos o resultados potenciales en el desempeño empresarial.

Para el análisis de los riesgos, existen diversas técnicas, pero probablemente la más utilizada en el ámbito empresarial es la “tormenta de ideas”,  donde a partir del dominio de la actividad empresarial,  se  crean los  escenarios del tipo “¿qué sucede si…..?”. Estos escenarios ayudarán a identificar las acciones que pueden adoptarse para gestionar estos riesgos, pasando posteriormente   a la etapa de la Evaluación del Riesgo.Las desventajas que tiene la utilización de esta herramienta es que no  brinda toda  la información necesaria para identificar qué riesgo incide más en el cumplimiento  exitoso del objetivo, para poder  así optimizar los recursos necesarios y garantizar los servicios y  productos  con  la  calidad  requerida,  priorizando  los  procesos  claves  de  la organización.

La metodología para la Gestión de Riesgo que proponemos, incorpora una etapa intermedia antes de Evaluar los Riesgos,  que se identificara como Jerarquización de los Riesgos  (ver Fig.No.1), dicha etapa permite cuantificar  mediante la  ponderación de los propios expertos  de la organización  los riesgo potenciales y sus consecuencias para cada objetivo de la empresa (ver Tabla 1).

Fig.No.1 Diagrama de las etapas del proceso de Gestión de Riesgo con la incorporación de la nueva etapa

Para incorporar los datos obtenidos en esta etapa  en la Matriz  Objetivos vs Riesgos es necesario  la participación de  un Grupo de experto, procedente de las diferentes áreas de la organización, los que valoraran los riesgos según una escala propuesta previamente, lo que   permite ya analizar el impacto o consecuencia   en diferentes dimensiones,  obteniéndose    resultados  según    el  análisis  propuestos    como  se muestran a manera de ejemplo en la  siguiente  Tabla No.2

Tabla No. 2 Categoría de Impacto o Consecuencia

El  grupo  de  experto  al  determinar  el  impacto  o  consecuencia  de  ese  riesgo  con respecto a los Objetivos específicos del General lo Pondera. La dicha Ponderación se halla de la siguiente manera:

Ponderación: (Total de la puntuación del Riesgo / Puntuación máxima a obtener).

El resultado de la ponderación  se muestra en la Tabla No. 3, donde además permite inferir entonces el  nivel de importancia de ese riesgo  (Tabla No. 4)  con respecto a ese objetivo. De esta forma  se pueden  tomar las acciones que pueden adoptarse para gestionar estos riesgos.

Tabla No.3 Ejemplo de valoración  de Resultado final Matriz Objetivos vs Riesgos.

Tabla No.4 Nivel de Importancia

Teniendo en cuenta los resultados de la Matriz Objetivos vs Riesgos expuesta en la Tabla No.3 se evidencia que riesgo incide más en los Objetivos Generales y este  a su vez jerarquiza los riesgos identificados por el Grupo de Experto para una posterior evaluación  e incorporación  pertinente al Plan de Prevención de Riesgo acorde al nivel de detección y el nivel de prioridad.

Con la utilización de este método las pequeñas y medianas empresas en general y muy particularmente las empresas nacionales, acorde al nuevo Modelo Económico que se está desarrollando en Cuba, las   entidades   podrán trazar su plan estratégico para garantizar   con mayor eficiencia minimizar el impacto de los riesgos en las gestión organizacional, ya que de esta forma los recursos materiales y humanos   estarían enfocados hacia aquellos riesgos que  inciden más en el cumplimiento del objetivo.

Ventajas de la utilización de este método y la necesidad de agregar el paso de Jerarquización de los Riesgos.

  • Determinar un  plan  estratégico  priorizando  las  medidas  de  los  riesgos  que afectan a la empresa.
  • Optimiza los recursos de la empresa.
  • Ahorro de tiempo, dinero y Capital Humano en mejorar la calidad del Sistema de Control Interno.
  • Garantiza mayor claridad a los directivos en la toma decisiones.
  • Mayor beneficio de Plan de Prevención de Riesgo, en la gestión organizacional.

Evaluación del Riesgo según la metodología propuesta.

Una vez que se han identificado a través de la Jerarquización  los efectos potenciales de los riesgos se  deberán establecerse las prioridades para su tratamiento y control. Los dos elementos fundamentales para evaluar un riesgo son su Probabilidad –

Frecuencia   de   Ocurrencia   (Ver   Tabla   No.5)      y   el   Impacto   o   Consecuencia (Ver Tabla No.2)  que  pueda inferir en el cumplimiento de los objetivos y en cuento pueden incurrir en la pérdida económica y de imagen de la empresa.

Tabla No.5 Probabilidad- Frecuencia de Ocurrencia.

Determinando la Probabiliad-Frecuencia de Ocurrencia y el Impacto o Consecuencia de  ese riesgo con respecto al objetivo se define   entonces el nivel de riesgo (ver Tabla No.6), para así establecer el nivel de Prioridad (ver Tabla No.7) que va a tener ese riesgo  para  incluirlo  en  el  Plan  de  Prevención  de  Riesgo.  Los  resultados  de  la evaluación de riesgo se reflejarán   entonces en el Mapa de Riesgo que permitirá evidenciar el Nivel de Riesgo,   el Nivel de Prioridad y el objetivo de control para los riesgos determinados.

Para conocer el nivel de prioridad es necesario conocer el nivel de detección de ese riesgo. A continuación se muestra la forma de cálculo para determinar  la Prioridad de Riesgo y en la Tabla No.8 se evidencia el significado del Nivel de Detección Prioridad del riesgo = Rango de Frecuencia * Rango de Impacto * Probabilidad de detección

Tabla No.7 Nivel de Prioridad.

 Nivel de prioridad          NP   Rangos
Extremo Nivel de Prioridad I 101 a 125 puntos
Alto Nivel de Prioridad II 76 a 100 puntos
Moderado Nivel de Prioridad III 51 a 75 puntos
Bajo Nivel de Prioridad IV 26 a 50 puntos
Insignificante Nivel de Prioridad V 0 a 25 puntos

Tabla No.8  Nivel de Detección del Riesgo

   
5 Incierto Las actividades de controles existentes no detectan el problema o no existen actividades de control.
4 Bajo Pocas posibilidades de que sea detectado el problema

 

con antelación suficiente.

3 Moderado En ocasiones se detecta el problema con antelación suficiente.
2 Alto Alta probabilidad de ser detectado el problema con

 

antelación suficiente.

1 Casi  Cierto Generalmente siempre se detecta el problema con

 

Nivel de Detección     Probabilidad de detección

antelación suficiente.

Tratamiento de los Riesgos.

Partiendo del resultado dado en el Mapa de Riesgo y estableciendo el Nivel de prioridad del riesgo se confecciona el Plan Estratégico de Prevención de Riesgo, para darle el tratamiento al mismo, aplicando medidas para modificar el riesgo, esto incluye como principal elemento, el control o mitigación del riesgo, para un mejor control del mismo.

Algunas alternativas para el tratamiento de los riesgos pueden ser:

  • Evitarlo: abandonando la actividad que lo genera.
  • Reducir la probabilidad y el impacto: a través de planes de acción y controles específicos.
  • Transferirlo: compartiendo el riesgo con un socio estratégico, suscripción de seguros, acuerdos contractuales, entre otros.
  • Retenerlo: aceptando  su  nivel  de  materialización  llevándolo  a  un  nivel residual, incluso administrando sus consecuencias.

Seguimiento y Revisión continúa de las etapas de Gestión de Riesgo.

Después de culminado el Plan Estratégico   de Prevención de Riesgo es necesario supervisar y monitorear los identificados y determinados por los procesos/áreas de las empresas, dado  que muchos de estos  pueden cambiar de nivel de importancia en el tiempo y la Alta Dirección del Centro tendrá que determinar entonces  si el sistema de control interno  diseñado anteriormente continúa siendo relevante y capaz de abordar nuevos riesgos, y en este reconocimiento la Alta Dirección vuelve a considerar el diseño de controles cuando se modifican los riesgos, y que los controles diseñados para  disminuir  los  riesgos  a  un  nivel  aceptable,  continúan  funcionando  de  forma efectiva.

  1. Análisis de Casos

Para el análisis de Casos  vamos a  tomar como ejemplo una Empresa  la Industria Alimentaria, y de esa entidad vamos a identificar los riesgos del Proceso de Medición, Análisis y Mejora que pueden impedir el cumplimiento de los Objetivos Generales.

Empresa XXXX

Objetivos Generales.

  • Lograr que la producción satisfaga la demanda del mercado interno y garantice los compromisos de exportación.
  • Exportar 8,801 t/año de producto terminado del plan anual.
  • Producir 126,141.0 t/año, de ellas 114,139.0 t/año para el mercado normado y  22,002.0 t/año para el mercado en divisas.
  • Tener menos  de  10  reclamaciones  en  el  periodo  por  incumplimiento  de  la entrega en calidad, cantidad y oportunamente.
  • Mantener la Certificación del Sistema Integrado de Gestión.
  • Obtener resultados  Satisfactorios  en  todas  las  acciones  de  control  que  se realicen.
  • Verificar el cumplimiento del Plan de Inspecciones Fitosanitarias.
  • Verificar el manejo de los desechos sólidos.

Una vez determinado los Objetivos Generales y Específicos, se identifica los riesgos del Proceso de Medición, Análisis y Mejora y se le da la puntuación según el Impacto o Consecuencia que tiene este riesgo potencial con respecto al Objetivo (ver resultado en la Tabla No.9), ya ponderado el riesgo se determina el nivel de importancia que tiene el riesgo con respecto a ese objetivo (Tabla No.10)  para incluirlo en el Mapa de Riesgo

(Tabla No.11) y culminar con el Plan de Prevención de Riesgo (Tabla No.12)

Ejemplo de Ponderación: (Total la puntuación del Riesgo / Puntuación máxima a obtener).

Perder la Certificación = 7/15 = 0.47

Tabla No. 10 Matriz Objetivos vs Riesgos (Nivel de Importancia)

Con el resultado que se muestra en la Tabla anterior se evidencia cuales son los riesgos que más incide en el cumplimiento de los Objetivos de Trabajo y partiendo del análisis del Nivel de importancia se confecciona el Mapa de Riesgo (Tabla No.11), para después realizar el Plan de Prevención de Riesgo (Tabla Tabla No.12).

Conclusiones.

  • La propuesta de inclusión, dentro del análisis tradicional de Riesgo,  de la etapa de la Jerarquización de los Riesgo en   las empresas, permite optimizar los recursos y trabajar sobre los riesgos que tengan mayor impacto en el cumplimiento de los Objetivos.
  • En el diseño metodológico propuesto como apoyo a la gestión de riesgos dentro del plan estratégico de prevención de una entidad,   de manera jerarquizada constituye una valiosa herramienta  para la   cuantificación de los riesgos y su eficacia   se basa en su enfoque   de optimización de los recursos   para la prevención  con una mayor visión  del aspecto económico para la organización.

Bibliografía

  • BERGER, M. (2009), Obama lleva poca cosa a Copenhague, Periódico Granma, Cuba, viernes, 27 de noviembre de 2009.
  • BUENO CASTAÑEDA,    L.  (2008),  Conceptos  y  Experiencias  en  Riesgo Operacional, I Congreso de Auditoría Interna “El Rol y la Visión de la Auditoría Interna en la Gestión de Riesgos”, Instituto de Auditores Internos de Colombia, Colombia.
  • COOPERS &  LYBRAND  (1997),  Los  nuevos  conceptos  del  control  interno  (Informe COSO), Ediciones Díaz de Santos, S.A., Madrid, España, ISBN 84-  7978-295-1.
  • MAC (2009), Ley No. 107 de la Contraloría General de la República de Cuba.
  • MAC (2011), Resolución 60 Normas del Sistema de Control Interno.
  • J.B (2004), Introducción a la Gestión de Riesgo Empresariales.
  • NC ISO 14001: 2004. Sistemas de Gestión Ambiental. Requisitos
  • NC 18001:2005. Sistemas de Gestión de Seguridad y Salud en el Trabajo- Requisitos.
  • Organismo Internacional Energía Atómica (OIEA) (1999), Principios básicos de la Seguridad, INSAG-3, Viena, Austria.
  • ONU (2005),  Conferencia  Mundial  sobre  la  Reducción  de  los  Desastres  Naturales en la ciudad de Kobe de la Prefectura de Hyogo, Kobe, Japón.
  • TORRES, A., PERDOMO, M., et al (2009), Grupo de Análisis de Riesgo y Confiabilidad de Cuba: 20 años de experiencia en los servicios de análisis de seguridad, confiabilidad y mantenimiento. Embalse, Córdoba, Argentina [en línea]: <http:www.monografias.com/trabajos-pdf2/analisis-riesgo-confiabilidad- seguridadmantenimiento/analisis-riesgo-confiabilidad-seguridad- mantenimiento.shtml>

Cita esta página

Arango Díaz Félix. (2014, septiembre 11). Metodología para el análisis de riesgos en una entidad pública. Recuperado de https://www.gestiopolis.com/metodologia-para-el-analisis-de-riesgos-en-una-entidad-publica/
Arango Díaz Félix. "Metodología para el análisis de riesgos en una entidad pública". gestiopolis. 11 septiembre 2014. Web. <https://www.gestiopolis.com/metodologia-para-el-analisis-de-riesgos-en-una-entidad-publica/>.
Arango Díaz Félix. "Metodología para el análisis de riesgos en una entidad pública". gestiopolis. septiembre 11, 2014. Consultado el . https://www.gestiopolis.com/metodologia-para-el-analisis-de-riesgos-en-una-entidad-publica/.
Arango Díaz Félix. Metodología para el análisis de riesgos en una entidad pública [en línea]. <https://www.gestiopolis.com/metodologia-para-el-analisis-de-riesgos-en-una-entidad-publica/> [Citado el ].
Copiar

Escrito por:

Imagen del encabezado cortesía de grandmaitre en Flickr