La siguiente es una metodología de administración del riesgo que pretende lograr objetividad en la valoración de los riesgos, permitiendo el control, seguimiento y evaluación de la administración de riesgos sobre bases objetivas. Igualmente permitirá evaluar objetivamente la eficiencia y eficacia del Sistema de Control Interno.
Para su confección se han estudiado las diversas “escuelas” de administración de riesgos, la estadística, la teoría de probabilidades, las escalas de medición y el control estadístico de calidad; igualmente se ha estudiado el concepto de riesgo y se adopta un concepto más funcional u operacional “aterrizado”, que permite la valoración objetiva de su probabilidad y de su impacto, como también de los factores que lo determinan.
Aunque algunas personas podrían pensar que esta metodología es “ideal” y estén conformes con las metodologías adoptadas en Colombia, como la del Departamento Administrativo de la Función Pública, o lo propuesto por el Modelo Estándar de Control Interno, es preciso considerar si vale la pena hacer un esfuerzo de “Administración del Riesgo” para no obtener resultados objetivamente controlables, evaluables, verificables, que permitan opinar válidamente sobre la eficiencia y eficacia del Control Interno. Este criterio es necesario aplicarlo a todo el Sistema de Control Interno, el cual, en ocasiones utiliza conceptos etéreos, escalas de medición inadecuadas, estimaciones o valoraciones subjetivas, para concluir sobre “la eficiencia y la efectividad” del Sistema de Control Interno, sin haber hecho el estudio de la relación insumo- producto o de la relación logro de efecto deseado sobre meta propuesta de reducción de no conformidades.
Por lo anterior invito a poner en práctica esta metodología “ESTRELLA” y verificar el mejoramiento continuo de la calidad y el acercamiento de la entidad hacia los principios del Sistema de Gestión de Calidad.
1-Conceptos:
Calidad: conjunto de características acordadas, adoptadas y objetivamente verificables que debe poseer el resultado parcial o final de un proceso.
No conformidad: incumplimiento de alguna de las características de calidad, objetivamente verificables, por el servicio o producto generado por un proceso, o alguno de sus resultados parciales.
Riesgo: Probabilidad de presencia de productos o servicios no conformes y su impacto en diferentes variables de la compañía.
Probabilidad: es el porcentaje de no conformidades, aunque se debe expresar en una escala de 0 a 1, en ocasiones se podría expresar como número de no conformidades por hora, día, semana, mes, año…
Impacto: es la sumatoria de los costos, gastos y reducción de ganancias que genera la presencia del nivel de no conformidades.
Control: elemento de la gestión compuesto por el conjunto de elementos y actividades que garantizan el cumplimiento del objetivo o meta propuesto, contiene los siguientes elementos:
- Norma, estándar o medida.
- Instrumento y modo de medición.
- Comparación entre el resultado de la medición de la característica y la norma.
- Evaluación del grado o cantidad de desviación, las causas, posibles soluciones y emisión de una calificación en una escala apropiada al proceso o actividad.
- Implementación de las acciones correctivas y preventivas en el proceso, si hay necesidad.
El control se efectúa en el marco de una organización dada, con su estructura, funciones, relaciones, cultura institucional….
Meta de reducción: es la cantidad porcentual de no conformidades que se desea reducir o el nivel que se desea alcanzar en un periodo de tiempo.
Eficacia: es el logro del afecto deseado, no se puede confundir con el cumplimiento de metas de actividades, acciones, tareas u objetivos.
Eficacia del control: es logro de la reducción de las no conformidades de los resultados parciales o finales según la meta fijada con anterioridad.
Eficiencia: es la relación entre los insumos ya sea en tiempo, materiales, mano de obra o carga fabril y la cantidad de producto generado, este tipo de eficiencia se considera eficiencia técnica; sin embargo si relacionamos el valor de los insumos y el valor del producto generado tendremos el nivel de eficiencia económica.
Eficiencia del control: es la relación insumo -resultados del sistema de control, que permite fijar metas de minimización de costos para cierto nivel de no conformidades de un proceso, subproceso, o actividad.
Macro proceso. Conjunto de procesos relacionados o integrados que contribuyen en la generación de un resultado.
Proceso: conjunto de actividades secuenciales o integradas que contribuyen a generar un producto o servicio.
Actividad: es el conjunto de acciones relacionadas o integradas que contribuyen a la realización parcial del producto o servicio.
Acción: es la ejecución de una tarea que genera valor en el servicio o producto en proceso.
Elementos de un proceso:
El proceso debe contener elementos formales y materiales así:
Formales: adopción formal, mediante acto del la autoridad administrativa de la entidad, socialización.
Materiales o reales:
Insumos o requerimientos determinados clara y precisamente con sus correspondientes requisitos o características de calidad.
Acciones y actividades claramente definidas y suficientes.
Resultados parciales y finales claramente definidos con sus correspondientes características de calidad objetivamente verificables.
Elementos o acciones de control que demuestren objetivamente su eficacia en la reducción de las no conformidades.
Responsables.
Clases de riesgo:
Riesgo inherente, es el nivel “normal” o “aceptable” de presencia de no conformidades dado un estado de desarrollo de insumos, tecnología y nivel de dexteridad humana. Este riesgo se reduce con el avance técnico científico en los factores que determinan la calidad del producto.
Riesgo de control: es la probabilidad error o falla del mecanismo de control, lo cual genera la conclusión de aceptar como controlado un proceso, cuando el nivel de no conformidades excede el nivel de riesgo inherente o de considerar un proceso descontrolado, cuando en realidad el nivel de no conformidades es menor o igual al nivel del riesgo inherente.
Riesgo de Auditoria: es la probabilidad de conceptuar como correcto un nivel de no conformidades resultado de un proceso y sus controles, cuando en realidad el nivel de conformidades excede el limite aceptable o de concluir como no aceptable el nivel de no conformidades, cuando realmente es menor o igual al riesgo inherente.
2- Administración del riesgo
La administración consiste en identificar y valorar los riesgos, priorizar, encontrar los mecanismos de control apropiados para afrontar y mantener controlado el nivel de probabilidad y el valor del impacto, según la política de la entidad.
La política de afrontar los riesgos puede determinar, reducirlos, compartirlos, o asumirlos, según el impacto inmediato en las finanzas y en la imagen de la empresa.
3- Identificación de los riesgos
Proceso de detección del nivel de no conformidades, según las características de calidad adoptadas para los productos o servicios parciales y finales de la empresa, o de las metas definidas objetivamente. No basta con reunirse y sentarse a discutir sobre todos los “riesgos” o factores que afectan los resultados de la entidad; se debe contar con datos documentados del nivel de no conformidades a través de todos los pasos que cumple el proceso, desde la recepción de los insumos, hasta el resultado final, si no existe la información debe adoptarse e implementarse los mecanismos para obtenerla, como paso previo.
4-Valoración de los riesgos
La valoración se debe efectuar determinando el nivel de probabilidad de ocurrencia histórico de no conformidades y su impacto en las finanzas de la entidad. La escala de medición apropiada para la probabilidad, es una escala de razón, que adopta valores de 0 a 1 y de o a infinito en dinero para el impacto, lo cual no excluye, que como excepción, rara vez pueda aceptarse un riesgo “alto” en impacto.
Así las cosas: no sirve, no es operacional , no permite el control, el seguimiento ni la evaluación de la eficacia y de la eficiencia del control la adopción de escalas del tipo alto, medio, bajo, si no van acompañadas del dato preciso de la probabilidad de 0 a 1 o del valor del impacto en dinero.
Niveles:
Macroproceso: en este nivel determinaremos el número de no conformidades por ciento o por periodo de tiempo y su impacto en dinero.
Proceso: en cada uno de los procesos determinaremos igualmente la probabilidad y el impacto de los resultados en servicios o productos.
Actividad: Si produce resultados parciales caracterizados y evaluables, deberá permitir la determinación del numero de no conformidades por periodo o porcentual.
Factores: teniendo en cuenta que el proceso se puede ver afectado por factores negativos que impiden el cumplimiento de los estándares, se determinará el factor, su efecto en la presencia de no conformidades y el valor dinerario de su impacto. Entre los factores tenemos, insumos, maquinas, mano de obra o factor humano, administración, medio ambiente, medición y en general los aceptados por la ingeniería industrial.
El proceso contemplara la sumatoria de los impactos en dinero y la cantidad de productos no conformes expresados en probabilidad, originados en los factores que afectan el nivel de desempeño del mismo proceso. Igualmente el Macroproceso comprenderá la sumatoria de las no conformidades expresadas en probabilidad y de su impacto expresado en dinero, originado en los procesos que lo integran.
5-Controles, costo y su eficacia
Una vez identificados clara y objetivamente los riesgos se adoptan los controles que garantizan la reducción de la probabilidad y del impacto. Seguidamente se debería establecer el costo de control aplicado comenzando por el nivel más bajo o sea acciones de control, luego se sumaría estos para determinar los costos por actividad, las cuales permitirían establecer el costo por proceso y Macroproceso.
5- Metas de no conformidad aceptables. Las metas de no conformidad buscarán el mejoramiento continuo y se adoptarán determinando el objetivo de nivel de probabilidad y de impacto en dinero de las no conformidades.
Hasta ahora ninguna de las metodologías de administración de riesgo contempla metas en escala de probabilidad y en dinero que permitan hacer el control, seguimiento y evaluación de los controles y del sistema de control interno de las entidades.
6-Control, seguimiento y evaluación de la administración de riesgos
Es necesario precisar que sin esta medición no podemos opinar sobre la eficiencia económica del control, solamente podríamos opinar generalidades como.” Se requiere de tres acciones para reducir el número de no conformidades a 2 por mil”. Lo cual no permite tener un conocimiento preciso de la eficiencia del control.
La eficacia se podrá verificar si el cumplimiento de las metas de reducción de los impactos y niveles de probabilidad se ha cumplido. Si el nivel de probabilidad se reduce en la meta adoptada y no han cambiado otros factores económicos, es suficiente para evaluar el nivel de eficacia dividir el valor del logro entre el nivel de la meta.
Los riesgos podrían identificarse en una planilla con las siguientes características en columnas y filas:
Macroproceso nombre y responsable.
Cantidad de no conformidades del Macroproceso e impacto
Proceso nombre y responsable.
Cantidad de No conformidades del proceso e impacto
Actividad nombre y responsable.
No conformidades de la actividad y su impacto.
Acciones
No conformidades de la acción y su impacto.
Factores que afectan la no conformidad de la acción.
Valor de la probabilidad de ocurrencia del factor.
Valor de impacto del factor.
Mecanismos de control para el factor.
Costo de los mecanismos de control.
Valor de probabilidad después de mecanismos de control (meta)
Valor de impacto después de mecanismos de control (meta)
Responsable por la actividad o acción.
Las filas serían:
Filas para cada uno de los factores que afectan la actividad o la acción, si se llegó a ese nivel.
Las anteriores se integrarían en una fila de actividad.
El conjunto de filas de actividad integraría una fila de proceso.
El conjunto de filas de proceso integrará una fila de Macroproceso.
Bibliografía
Modelo Estándar de Control Interno, Colombia.
Metodología de Administración de Riesgos, Departamento Administrativo de la Función Pública, Bogotá Colombia.
Teoría General de los Sistemas, un nuevo enfoque hacia la unidad de la ciencia. Bertalanffy.
Fundamentos:
Escalas de medición.
Control Estadístico de Calidad.
Los principios Deming.
Teoría del control.