Clase digital 3. EvaluaciĆ³n y administraciĆ³n de riesgos

por


EvaluaciĆ³n y administraciĆ³n de riesgos

IntroducciĆ³n

A continuaciĆ³n, iniciaremos con la tercera clase del Curso de Control Interno, la cual tiene por objetivo el proporcionar las nociones bĆ”sicas de la metodologĆ­a para evaluar y administrar los riesgos, mismos que poseen una importancia relativa de materializaciĆ³n y a los cuales corresponde que la organizaciĆ³n haga frente para propiciar la consecuciĆ³n de sus fines.

En este sentido, la sesiĆ³n de estudio se encuentra enfocada en el proceso de identificaciĆ³n, anĆ”lisis, clasificaciĆ³n de los riesgos con base en su prioridad de atenciĆ³n y la formulaciĆ³n de respuestas que disminuyan la probabilidad e impacto en caso de materializaciĆ³n de estos.

Desarrollo del tema

1. EvaluaciĆ³n de riesgos

1.1 Definiciones de riesgos

El evento adverso e incierto (externo o interno) que derivado de la combinaciĆ³n de su probabilidad de ocurrencia y el posible impacto, pudiera obstaculizar o impedir el logro de los objetivos y metas institucionales.

AuditorĆ­a Superior de la FederaciĆ³n
GuĆ­a de Auto EvaluaciĆ³n de Riesgos en el Sector PĆŗblico

Es la posibilidad de que ocurra un acontecimiento que provoque un impacto negativo en el logro de los objetivos y metas institucionales. El riesgo se mide en tƩrminos de probabilidad e impacto.

OrganizaciĆ³n de los Estados Americanos
GuĆ­a de Auto EvaluaciĆ³n de Riesgos a la Integridad en el Sector PĆŗblico

Probabilidad de ocurrencia de que un evento o acciĆ³n y su grado de impacto, obstaculice el logro de objetivos y metas de la Universidad de Guanajuato.

Universidad de Guanajuato
Lineamientos Generales del ComitƩ de Control Interno de la Universidad de Guanajuato

1.2 Enfoques de valoraciĆ³n de riesgos

La evaluaciĆ³n de riesgos puede llevarse a cabo desde dos vertientes, una de ellas practicada por la propia administraciĆ³n y, por otra parte, la realizada por los auditores, en el ejercicio de sus actividades.

  1. La administraciĆ³n realiza la evaluaciĆ³n del riesgo como parte del diseƱo y operaciĆ³n de la estructura del control interno a efecto de poder reducir los errores e irregularidades.
  2. Los auditores evalĆŗan el riesgo para determinar las evidencias necesarias a recabar para efectos de la auditorĆ­a practicada.

La administraciĆ³n de riesgos es el proceso de incrementar la confianza de una instituciĆ³n, para anticipar, priorizar y superar obstĆ”culos en la consecuciĆ³n de sus metas.

1.3 ClasificaciĆ³n de los tipos de riesgos

Para efectos de documentar y cuantificar el nivel de incertidumbre que enfrenta una organizaciĆ³n, asĆ­ como analizar los posibles efectos de cada uno de los supuestos adversos, se recomienda clasificarlos en funciĆ³n de sus caracterĆ­sticas, por ejemplo:

1.4 ClasificaciĆ³n adicional de los riesgos

La clasificaciĆ³n de riesgos que se presenta a continuaciĆ³n se formulĆ³ con base en la naturaleza de los mismos, atendiendo al criterio de discrecionalidad.

  • Discrecionales: son aquellos que resultan de la toma de una posiciĆ³n, por ejemplo: presupuestal, crĆ©dito, financiero, liquidez.
  • No discrecionales: son resultado de la propia operaciĆ³n de la instituciĆ³n, por ejemplo: estratĆ©gico, legal, administrativo, seguridad, obra pĆŗblica, operativo, tecnolĆ³gico o aquellos relativos a la integridad y reputaciĆ³n.

1.5 Elementos inherentes al riesgo

La evaluaciĆ³n de riesgos consiste en llevar a cabo tĆ©cnicas cualitativas que consisten en valorar la probabilidad desde una perspectiva de quienes conocen de manera precisa las actividades, los procesos y el entorno en el cual se encuentra inmersa la instituciĆ³n u organizaciĆ³n.

  • Probabilidad
    1. Verosimilitud o fundada apariencia de verdad.
    2. Cualidad de probable (lo que puede suceder).
    3. MatemĆ”ticas. En un proceso aleatorio, razĆ³n entre el nĆŗmero de casos favorables y el nĆŗmero de casos posibles.
  • Impacto
    1. Choque de un proyectil o de otro objeto contra algo o alguien.
    2. Huella o seƱal que deja un impacto.
    3. Efecto de una fuerza aplicada bruscamente.
    4. Golpe emocional producido por un acontecimiento o una noticia desconcertante.

Adicionalmente, existen tĆ©cnicas para valorar riesgos mediante modelos estadĆ­sticos y calcular la pĆ©rdida esperada por materializaciĆ³n de riesgos, sin embargo, se requiere informaciĆ³n suficiente, pertinente y oportuna, es decir, contar con los registros de materializaciĆ³n de riesgo de un periodo determinado.

2. AdministraciĆ³n de riesgos

2.1 Proceso general de la administraciĆ³n de riesgos

El Marco Integrado de Control Interno (MICI), incorpora un componente que alude a la gestiĆ³n de riesgos, el cual, considerando las caracterĆ­sticas y funciones de los entes pĆŗblicos, presenta una estructura enfocada a los riesgos no discrecionales; aquellos que derivan de la operaciĆ³n de las instituciones.

A continuaciĆ³n, analiza detenidamente el recurso digital y da clic en el menĆŗ horizontal para cambiar de diapositiva.

2.2 ConstrucciĆ³n de un objetivo

La construcciĆ³n de objetivos debe guardar congruencia con el mandato, la visiĆ³n y misiĆ³n institucional, los instrumentos de planeaciĆ³n que orientan su quehacer, asĆ­ como con programas aplicables y metas de desempeƱo, adicionalmente, dichos propĆ³sitos deben ser diseƱados para su evaluaciĆ³n cuantitativa y cualitativa.

2.3 IdentificaciĆ³n de riesgos

En la identificaciĆ³n de riesgos existen por lo menos dos preguntas guĆ­a que servirĆ”n para tales fines. ĀæQuĆ© hechos podrĆ­an causar que no se logren los objetivos?, y ĀæCuĆ”les son los factores, situaciones o eventos que podrĆ­an afectar en forma negativa el cumplimiento de los objetivos?.

Para efectos prĆ”cticos, tomaremos el siguiente ejemplo. ĀæQuĆ© hechos podrĆ­an causar que no se logre el promover la recaudaciĆ³n de ingresos por medio de la celebraciĆ³n de convenios para habilitar centros de pago adicionales por concepto de constancias? Como respuesta, en el siguiente diagrama se identifican los riesgos a travĆ©s de seƱales de alerta.

ĀæQuĆ© puede impedir que logre mi objetivo?

  1. Los riesgos deben ser identificados con base en un objetivo y por medio de los procesos sustantivos y adjetivos.
  2. Los riesgos no pueden ser restricciones, ya que es algo existente y se debe hacer un plan de contingencia para contrarrestarlos.
  3. Al momento de identificar el riesgo, la persona debe preguntarse: ĀæQuĆ© no quiero que pase que pueda impactar el objetivo del proyecto?.

2.4 RedacciĆ³n de un riesgo

Enseguida, se presenta una estructura base para la formulaciĆ³n de riesgos, de este modo se evita la confusiĆ³n con las consecuencias y causas subyacentes del mismo.

Ejemplo:

  1. Programa de recaudaciĆ³n de pagos difundido por medios de poco alcance.
  2. Centro de recaudaciĆ³n inhabilitado por limitaciones legales.

2.5 EvaluaciĆ³n y anĆ”lisis de riesgos

Con base en nuestro ejemplo, procederemos a realizar la tercera etapa del proceso de administraciĆ³n de riesgos, la cual consiste en generar las escalas cualitativas y cuantitativas de probabilidad e impacto.

Riesgos identificados:

  1. Programa de recaudaciĆ³n de pagos difundido por medios de poco alcance.
  2. Centro de recaudaciĆ³n inhabilitado por limitaciones legales.
Modelos de escalas cualitativas

El diseƱo de las escalas dependerĆ” del entorno de cada organizaciĆ³n, sin embargo, con el propĆ³sito de brindar un marco de referencia sobre los modelos utilizados para tales efectos, se muestran los siguientes:

Para el desarrollo de este ejemplo se optĆ³ por emplear el modelo nĆŗmero 2.

CorrelaciĆ³n entre escalas cuantitativas y cualitativas

Las tablas siguientes representan la congruencia que guardan los valores cuantitativos en funciĆ³n de los cualitativos, bajo este razonamiento, es factible contar con los elementos necesarios para expresar de forma grĆ”fica la relevancia de un riesgo. La descripciĆ³n de las variables cualitativas es definida por la organizaciĆ³n o instituciĆ³n.

Matriz de evaluaciĆ³n de riesgos

El cĆ”lculo por el cual se asigna el valor al riesgo puede llegar a variar dependiendo de la metodologĆ­a establecida por cada organizaciĆ³n, sin embargo, concurren en la representaciĆ³n grĆ”fica de los mismos por medio de una matriz de evaluaciĆ³n.

En nuestro caso, considerando las propiedades de los riesgos, se asignĆ³ un valor por cada una de las escalas presentadas de forma previa (probabilidad e impacto), posteriormente, la metodologĆ­a empleada consistiĆ³ en multiplicar dichos valores entre sĆ­, a fin de obtener el resultado en funciĆ³n de ambos componentes.

El resultado del nivel de riesgo serĆ” el valor que se utilice para ubicar la posiciĆ³n del mismo, respecto a los diversos cuadrantes del mapa tĆ©rmico que se presentarĆ” posteriormente.

MĆ©todo alternativo de evaluaciĆ³n de riesgos

Un mĆ©todo alternativo para asignar un valor cuantitativo a los riesgos consiste en establecer un valor numĆ©rico invariable para realizar la multiplicaciĆ³n de Ć©ste con el resultado obtenido en la correspondiente categorĆ­a cualitativa.

Por ejemplo:

  1. Se multiplica el valor de probabilidad por 0.4 = Valor p
  2. Se multiplica el valor de impacto por 0.6 = Valor i
  3. Finalmente, se suman ambos valores p + i = Valor de riesgo

Probabilidad: 1 x 0.4 = .04
Impacto: 3 x 0.6 = 1.8
Valor de riesgo: 3 – .04 + 1.8 = 2.2

Mapa de riesgos

El mapa de riesgos es una herramienta que permite ubicar aquellos supuestos que tienen mayor grado de frecuencia e impacto: con base en esto, se deberĆ”n tomar decisiones para brindar respuesta, priorizando aquellos riesgos localizados en altos niveles de probabilidad e impacto, tomando como referencia la presenta la grĆ”fica los nĆŗmeros 1 y 2, destacados en color verde.

Mapa tƩrmico de riesgos

Para el caso que nos ocupa, se presenta un mapa tƩrmico de riesgos, el cual en esencia opera de la misma forma que el modelo presentado con anterioridad.

Riesgos:

  • R1. Programa de recaudaciĆ³n de pagos difundido por medios de poco alcance.
  • R2. Centro de recaudaciĆ³n inhabilitado por limitaciones legales.

En el siguiente grĆ”fico es posible identificar que los riesgos pertenecen al cuadrante nĆŗmero II, el cual propone realizar acciones de seguimiento como respuesta de atenciĆ³n.

Con base en la clasificaciĆ³n de la organizaciĆ³n, se debe asegurar al menos la adopciĆ³n de controles para reducir los riesgos que se encuentran para este caso en los cuadrantes II, III y IV.

DefiniciĆ³n de apetito, tolerancia y capacidad de riesgo

Es importante, dentro del proceso de administraciĆ³n de riesgos, identificar los conceptos de apetito al riesgo y la tolerancia al mismo, ya que en la prĆ”ctica usualmente generan confusiĆ³n ambos conceptos.

Apetito al riesgo: Es aquella incertidumbre, que la instituciĆ³n estĆ” dispuesta a aceptar dentro de la bĆŗsqueda del logro de sus objetivos y metas preestablecidas, sus principales caracterĆ­sticas son:

  1. Se establece el lĆ­mite por cuenta propia de la organizaciĆ³n
  2. Puede ser identificado mediante un mapa tƩrmico

Tolerancia al riesgo: Es el nivel aceptable de diferencia respecto a la consecuciĆ³n de objetivos y cuenta con las caracterĆ­sticas siguientes:

  1. Debe mantener congruencia con el apetito al riesgo
  2. Surge a partir de la definiciĆ³n de los riesgos que la instituciĆ³n no estĆ” dispuesta aceptar
EvaluaciĆ³n de controles

Como parte del proceso de administraciĆ³n de riesgos, es necesario que la instituciĆ³n evalĆŗe los controles implementados, esto con la finalidad de generar una certeza sobre la vulnerabilidad de los mismos y tener identificadas las dimensiones o atributos que le conciernen.

La siguiente tabla representa una matriz de valoraciĆ³n bĆ”sica de controles asociados a los riesgos identificados y evaluados.

Elementos para considerar en la evaluaciĆ³n de controles

  1. Identificar los controles
  2. Evaluar la efectividad en su funcionamiento y diseƱo
  3. Documentar el proceso por medio de la matriz de evaluaciĆ³n de controles

Propuesta alternativa de evaluaciĆ³n sobre la vulnerabilidad de controles

Este modelo consiste en asignar valores a las caracterƭsticas de los controles, es decir, se obtiene un resultado numƩrico que permite identificar especƭficamente las Ɣreas donde un control presenta vulnerabilidades, por lo tanto, es susceptible a cambios en su diseƱo.

PolĆ­tica de respuesta al riesgo

Es necesario analizar las diversas alternativas para emprender las posibles respuestas a los riesgos identificados, incluyendo aquellas que se enfocan en asumirlos, vigilarlos, evitarlos, transferirlos, reducirlos o compartirlos.

Adicionalmente, se debe considerar el beneficio frente al costo en la mitigaciĆ³n de riesgos, para que posteriormente se establezcan las polĆ­ticas de administraciĆ³n de riesgos.

A continuaciĆ³n, se describen algunos de los diversos tipos de respuestas.

Documentos de seguimiento a los riesgos

Derivado de las actividades seƱaladas con anterioridad, es recomendable realizar la formulaciĆ³n de los siguientes formatos a fin de poder documentar la evoluciĆ³n sobre la administraciĆ³n de riesgos, aunado a ello, identificar oportunamente el estado que guarda cada uno de los eventos adversos para la instituciĆ³n.

Los documentos que contribuyen para tales fines son los siguientes:

Marco general de administraciĆ³n de riesgos

Identificar objetivos estratĆ©gicos y sus respectivos riesgos no es tarea sencilla, requiere el anĆ”lisis y revisiĆ³n de diversos supuestos, situaciones y documentos en contraste con la realidad.

Algunas guĆ­as sobre dĆ³nde podemos encontrar situaciones de riesgo son:

  1. MisiĆ³n y visiĆ³n
  2. Estructura
  3. Documentos bƔsicos
  4. Metas
  5. Planes
  6. Objetivos
  7. Programas
TĆ©cnicas para la identificaciĆ³n de riesgos

A continuaciĆ³n, analiza detenidamente el recurso digital y da clic en el menĆŗ horizontal para cambiar de diapositiva.

Conclusiones

  1. La administraciĆ³n de riesgos consiste en el proceso sistemĆ”tico que deben realizar las instituciones para evaluar y brindar seguimiento a los diversos escenarios de incertidumbre que pudiera afrontar, respecto a la procuraciĆ³n de sus objetivos; esta proporciona elementos base para identificar, analizar, catalogar, priorizar y desarrollar respuestas que mitiguen el impacto en caso de materializaciĆ³n de dichos riesgos.
  2. Dicho proceso es inherente a un sistema de control interno y su Ć©xito depende de una adecuada implementaciĆ³n y su oportuno seguimiento.
  3. Un adecuado proceso de administraciĆ³n de riesgos permite responder de mejor manera a las amenazas de la organizaciĆ³n (dependencia o entidad) y tener la pauta para el diseƱo de las actividades de control como tercer componente de control interno.

Fuentes de informaciĆ³n