Evaluación y administración de riesgos
Introducción
A continuación, iniciaremos con la tercera clase del Curso de Control Interno, la cual tiene por objetivo el proporcionar las nociones básicas de la metodología para evaluar y administrar los riesgos, mismos que poseen una importancia relativa de materialización y a los cuales corresponde que la organización haga frente para propiciar la consecución de sus fines.
En este sentido, la sesión de estudio se encuentra enfocada en el proceso de identificación, análisis, clasificación de los riesgos con base en su prioridad de atención y la formulación de respuestas que disminuyan la probabilidad e impacto en caso de materialización de estos.
Desarrollo del tema
1. Evaluación de riesgos
1.1 Definiciones de riesgos
El evento adverso e incierto (externo o interno) que derivado de la combinación de su probabilidad de ocurrencia y el posible impacto, pudiera obstaculizar o impedir el logro de los objetivos y metas institucionales.
Auditoría Superior de la Federación
Guía de Auto Evaluación de Riesgos en el Sector Público
Es la posibilidad de que ocurra un acontecimiento que provoque un impacto negativo en el logro de los objetivos y metas institucionales. El riesgo se mide en términos de probabilidad e impacto.
Organización de los Estados Americanos
Guía de Auto Evaluación de Riesgos a la Integridad en el Sector Público
Probabilidad de ocurrencia de que un evento o acción y su grado de impacto, obstaculice el logro de objetivos y metas de la Universidad de Guanajuato.
Universidad de Guanajuato
Lineamientos Generales del Comité de Control Interno de la Universidad de Guanajuato
1.2 Enfoques de valoración de riesgos
La evaluación de riesgos puede llevarse a cabo desde dos vertientes, una de ellas practicada por la propia administración y, por otra parte, la realizada por los auditores, en el ejercicio de sus actividades.
- La administración realiza la evaluación del riesgo como parte del diseño y operación de la estructura del control interno a efecto de poder reducir los errores e irregularidades.
- Los auditores evalúan el riesgo para determinar las evidencias necesarias a recabar para efectos de la auditoría practicada.
La administración de riesgos es el proceso de incrementar la confianza de una institución, para anticipar, priorizar y superar obstáculos en la consecución de sus metas.
1.3 Clasificación de los tipos de riesgos
Para efectos de documentar y cuantificar el nivel de incertidumbre que enfrenta una organización, así como analizar los posibles efectos de cada uno de los supuestos adversos, se recomienda clasificarlos en función de sus características, por ejemplo:
1.4 Clasificación adicional de los riesgos
La clasificación de riesgos que se presenta a continuación se formuló con base en la naturaleza de los mismos, atendiendo al criterio de discrecionalidad.
- Discrecionales: son aquellos que resultan de la toma de una posición, por ejemplo: presupuestal, crédito, financiero, liquidez.
- No discrecionales: son resultado de la propia operación de la institución, por ejemplo: estratégico, legal, administrativo, seguridad, obra pública, operativo, tecnológico o aquellos relativos a la integridad y reputación.
1.5 Elementos inherentes al riesgo
La evaluación de riesgos consiste en llevar a cabo técnicas cualitativas que consisten en valorar la probabilidad desde una perspectiva de quienes conocen de manera precisa las actividades, los procesos y el entorno en el cual se encuentra inmersa la institución u organización.
- Probabilidad
- Verosimilitud o fundada apariencia de verdad.
- Cualidad de probable (lo que puede suceder).
- Matemáticas. En un proceso aleatorio, razón entre el número de casos favorables y el número de casos posibles.
- Impacto
- Choque de un proyectil o de otro objeto contra algo o alguien.
- Huella o señal que deja un impacto.
- Efecto de una fuerza aplicada bruscamente.
- Golpe emocional producido por un acontecimiento o una noticia desconcertante.
Adicionalmente, existen técnicas para valorar riesgos mediante modelos estadísticos y calcular la pérdida esperada por materialización de riesgos, sin embargo, se requiere información suficiente, pertinente y oportuna, es decir, contar con los registros de materialización de riesgo de un periodo determinado.
2. Administración de riesgos
2.1 Proceso general de la administración de riesgos
El Marco Integrado de Control Interno (MICI), incorpora un componente que alude a la gestión de riesgos, el cual, considerando las características y funciones de los entes públicos, presenta una estructura enfocada a los riesgos no discrecionales; aquellos que derivan de la operación de las instituciones.
A continuación, analiza detenidamente el recurso digital y da clic en el menú horizontal para cambiar de diapositiva.
2.2 Construcción de un objetivo
La construcción de objetivos debe guardar congruencia con el mandato, la visión y misión institucional, los instrumentos de planeación que orientan su quehacer, así como con programas aplicables y metas de desempeño, adicionalmente, dichos propósitos deben ser diseñados para su evaluación cuantitativa y cualitativa.
2.3 Identificación de riesgos
En la identificación de riesgos existen por lo menos dos preguntas guía que servirán para tales fines. ¿Qué hechos podrían causar que no se logren los objetivos?, y ¿Cuáles son los factores, situaciones o eventos que podrían afectar en forma negativa el cumplimiento de los objetivos?.
Para efectos prácticos, tomaremos el siguiente ejemplo. ¿Qué hechos podrían causar que no se logre el promover la recaudación de ingresos por medio de la celebración de convenios para habilitar centros de pago adicionales por concepto de constancias? Como respuesta, en el siguiente diagrama se identifican los riesgos a través de señales de alerta.
¿Qué puede impedir que logre mi objetivo?
- Los riesgos deben ser identificados con base en un objetivo y por medio de los procesos sustantivos y adjetivos.
- Los riesgos no pueden ser restricciones, ya que es algo existente y se debe hacer un plan de contingencia para contrarrestarlos.
- Al momento de identificar el riesgo, la persona debe preguntarse: ¿Qué no quiero que pase que pueda impactar el objetivo del proyecto?.
2.4 Redacción de un riesgo
Enseguida, se presenta una estructura base para la formulación de riesgos, de este modo se evita la confusión con las consecuencias y causas subyacentes del mismo.
Ejemplo:
- Programa de recaudación de pagos difundido por medios de poco alcance.
- Centro de recaudación inhabilitado por limitaciones legales.
2.5 Evaluación y análisis de riesgos
Con base en nuestro ejemplo, procederemos a realizar la tercera etapa del proceso de administración de riesgos, la cual consiste en generar las escalas cualitativas y cuantitativas de probabilidad e impacto.
Riesgos identificados:
- Programa de recaudación de pagos difundido por medios de poco alcance.
- Centro de recaudación inhabilitado por limitaciones legales.
Modelos de escalas cualitativas
El diseño de las escalas dependerá del entorno de cada organización, sin embargo, con el propósito de brindar un marco de referencia sobre los modelos utilizados para tales efectos, se muestran los siguientes:
Para el desarrollo de este ejemplo se optó por emplear el modelo número 2.
Correlación entre escalas cuantitativas y cualitativas
Las tablas siguientes representan la congruencia que guardan los valores cuantitativos en función de los cualitativos, bajo este razonamiento, es factible contar con los elementos necesarios para expresar de forma gráfica la relevancia de un riesgo. La descripción de las variables cualitativas es definida por la organización o institución.
Matriz de evaluación de riesgos
El cálculo por el cual se asigna el valor al riesgo puede llegar a variar dependiendo de la metodología establecida por cada organización, sin embargo, concurren en la representación gráfica de los mismos por medio de una matriz de evaluación.
En nuestro caso, considerando las propiedades de los riesgos, se asignó un valor por cada una de las escalas presentadas de forma previa (probabilidad e impacto), posteriormente, la metodología empleada consistió en multiplicar dichos valores entre sí, a fin de obtener el resultado en función de ambos componentes.
El resultado del nivel de riesgo será el valor que se utilice para ubicar la posición del mismo, respecto a los diversos cuadrantes del mapa térmico que se presentará posteriormente.
Método alternativo de evaluación de riesgos
Un método alternativo para asignar un valor cuantitativo a los riesgos consiste en establecer un valor numérico invariable para realizar la multiplicación de éste con el resultado obtenido en la correspondiente categoría cualitativa.
Por ejemplo:
- Se multiplica el valor de probabilidad por 0.4 = Valor p
- Se multiplica el valor de impacto por 0.6 = Valor i
- Finalmente, se suman ambos valores p + i = Valor de riesgo
Probabilidad: 1 x 0.4 = .04
Impacto: 3 x 0.6 = 1.8
Valor de riesgo: 3 – .04 + 1.8 = 2.2
Mapa de riesgos
El mapa de riesgos es una herramienta que permite ubicar aquellos supuestos que tienen mayor grado de frecuencia e impacto: con base en esto, se deberán tomar decisiones para brindar respuesta, priorizando aquellos riesgos localizados en altos niveles de probabilidad e impacto, tomando como referencia la presenta la gráfica los números 1 y 2, destacados en color verde.
Mapa térmico de riesgos
Para el caso que nos ocupa, se presenta un mapa térmico de riesgos, el cual en esencia opera de la misma forma que el modelo presentado con anterioridad.
Riesgos:
- R1. Programa de recaudación de pagos difundido por medios de poco alcance.
- R2. Centro de recaudación inhabilitado por limitaciones legales.
En el siguiente gráfico es posible identificar que los riesgos pertenecen al cuadrante número II, el cual propone realizar acciones de seguimiento como respuesta de atención.
Con base en la clasificación de la organización, se debe asegurar al menos la adopción de controles para reducir los riesgos que se encuentran para este caso en los cuadrantes II, III y IV.
Definición de apetito, tolerancia y capacidad de riesgo
Es importante, dentro del proceso de administración de riesgos, identificar los conceptos de apetito al riesgo y la tolerancia al mismo, ya que en la práctica usualmente generan confusión ambos conceptos.
Apetito al riesgo: Es aquella incertidumbre, que la institución está dispuesta a aceptar dentro de la búsqueda del logro de sus objetivos y metas preestablecidas, sus principales características son:
- Se establece el límite por cuenta propia de la organización
- Puede ser identificado mediante un mapa térmico
Tolerancia al riesgo: Es el nivel aceptable de diferencia respecto a la consecución de objetivos y cuenta con las características siguientes:
- Debe mantener congruencia con el apetito al riesgo
- Surge a partir de la definición de los riesgos que la institución no está dispuesta aceptar
Evaluación de controles
Como parte del proceso de administración de riesgos, es necesario que la institución evalúe los controles implementados, esto con la finalidad de generar una certeza sobre la vulnerabilidad de los mismos y tener identificadas las dimensiones o atributos que le conciernen.
La siguiente tabla representa una matriz de valoración básica de controles asociados a los riesgos identificados y evaluados.
Elementos para considerar en la evaluación de controles
- Identificar los controles
- Evaluar la efectividad en su funcionamiento y diseño
- Documentar el proceso por medio de la matriz de evaluación de controles
Propuesta alternativa de evaluación sobre la vulnerabilidad de controles
Este modelo consiste en asignar valores a las características de los controles, es decir, se obtiene un resultado numérico que permite identificar específicamente las áreas donde un control presenta vulnerabilidades, por lo tanto, es susceptible a cambios en su diseño.
Política de respuesta al riesgo
Es necesario analizar las diversas alternativas para emprender las posibles respuestas a los riesgos identificados, incluyendo aquellas que se enfocan en asumirlos, vigilarlos, evitarlos, transferirlos, reducirlos o compartirlos.
Adicionalmente, se debe considerar el beneficio frente al costo en la mitigación de riesgos, para que posteriormente se establezcan las políticas de administración de riesgos.
A continuación, se describen algunos de los diversos tipos de respuestas.
Documentos de seguimiento a los riesgos
Derivado de las actividades señaladas con anterioridad, es recomendable realizar la formulación de los siguientes formatos a fin de poder documentar la evolución sobre la administración de riesgos, aunado a ello, identificar oportunamente el estado que guarda cada uno de los eventos adversos para la institución.
Los documentos que contribuyen para tales fines son los siguientes:
Marco general de administración de riesgos
Identificar objetivos estratégicos y sus respectivos riesgos no es tarea sencilla, requiere el análisis y revisión de diversos supuestos, situaciones y documentos en contraste con la realidad.
Algunas guías sobre dónde podemos encontrar situaciones de riesgo son:
- Misión y visión
- Estructura
- Documentos básicos
- Metas
- Planes
- Objetivos
- Programas
Técnicas para la identificación de riesgos
A continuación, analiza detenidamente el recurso digital y da clic en el menú horizontal para cambiar de diapositiva.
Conclusiones
- La administración de riesgos consiste en el proceso sistemático que deben realizar las instituciones para evaluar y brindar seguimiento a los diversos escenarios de incertidumbre que pudiera afrontar, respecto a la procuración de sus objetivos; esta proporciona elementos base para identificar, analizar, catalogar, priorizar y desarrollar respuestas que mitiguen el impacto en caso de materialización de dichos riesgos.
- Dicho proceso es inherente a un sistema de control interno y su éxito depende de una adecuada implementación y su oportuno seguimiento.
- Un adecuado proceso de administración de riesgos permite responder de mejor manera a las amenazas de la organización (dependencia o entidad) y tener la pauta para el diseño de las actividades de control como tercer componente de control interno.
Fuentes de información
- Auditoría Superior de la Federación (ASF). (s. f.) Guía de Autoevaluación de Riesgos en el Sector Público. https://www.asf.gob.mx/uploads/177_Guias_Tecnicas/Guia_de_Autoev_de_Riesgos_en_el_Sec_Pub.pdf
- Auditoría Superior de la Federación (ASF). (s. f.) Guía de Autoevaluación de Riesgos a la Integridad en el Sector Público. http://www.oas.org/juridico/PDFs/mesicic5_mex_ane_65.pdf
- Lineamientos Generales del Comité de Control Interno de la Universidad de Guanajuato. Gaceta Universitaria, 15 de septiembre, 2022. https://www3.ugto.mx/gacetauniversitaria/images/controlinterno/lineamientos-generales-del-comite-de-control-interno-de-la-universidad-de-guanajuato.pdf
- Instituto de la Judicatura Federal. Escuela Judicial. (s. f.) Guía para redactar objetivos. http://biblioteca.udgvirtual.udg.mx/jspui/bitstream/123456789/2804/1/Gu%c3%ada%20para%20redactar%20objetivos.pdf