Descargar

Administración a la exposición al riesgo en las instituciones estatales

    INTRODUCCIÓN

    La administración a la exposición al riesgo o gestión del riesgo en las instituciones del estado colombiano, es un tema que por lo general, no se ha abordado con el mayor cuidado y profundidad que ello requiere. Se presume que factores como el poco estudio y conocimiento del tema pueden ser determinantes a la hora de concebir un nuevo enfoque en la forma de desarrollar el deber funcional que le compete a estas entidades. A pesar de los esfuerzos del Departamento Administrativo de la Función Pública – DAFP y la Escuela Superior de Administración Pública – ESAP en ofrecer herramientas y medios como documentos, cartillas y metodologías; como la orientación y guía en la implementación del Modelo Estándar de Control Interno – MECI; los trabajos realizados se quedan en meros documentos lejanos de aplicación en la entidad.

    Por tanto, el tema se ha circunscrito esencialmente a formular una política institucional de administración a la exposición al riesgo, ha establecer los factores interno o externos que podrían afectar el cumplimiento de los objetivos institucionales, identificar, analizar y valorar los riesgos en cumplimiento de una "obligada" metodología en aras de evitar sanciones. Podría suceder que en el proceso de identificación de riesgos se consideren aspectos que no son riesgos; y si este paso colapsa, los posteriores estarán condenados a fracasar y la gestión del riesgo no podría ser eficaz; por tanto es aquí donde se presentan inconvenientes en las diferentes organizaciones, debido que al identificar riesgos, estos se confunden con sus causas y efectos.

    Es así que la presente investigación desarrolla aspectos relacionados con la génesis de la metodología que actualmente se aplica en la gran mayoría de las instituciones estatales, la cual combinó criterios del documento COSO en el Marco de la gestión de riesgos en la empresa, o Enterprise Risk Management Framework

    – ERM y el Estándar Australiano – AS/NZS 4360:1999; para posteriormente describir los conceptos y definiciones principales, para ingresar en el campo de la teoría o pregunta a desarrollar, con las posturas a favor y en contra de la misma para lo cual se tendrán en cuenta, a manera de ilustración; los resultados de la quinta fase de implementación del MECI a nivel territorial y los resultados de evaluaciones realizadas por la Contraloría General de Santiago de Cali, en las dos últimas vigencias1; y por último una breve descripción de los elementos metodológicos aplicados en la actualidad por la gran mayoría de entidades públicas, antes dejar planteadas una síntesis de la metodología y las conclusiones.

    1. Génesis de la metodología de la administración a la exposición al riesgo

    El Gobierno Nacional representado en el Departamento Administrativo de Función Pública y la ESAP; emitieron la "Guía de Administración del Riesgo" que tiene como finalidad hacer énfasis en la necesidad imperiosa de que las entidades públicas tengan inmersos en sus procesos los controles necesarios para lograr prestar servicios y productos con altos estándares de calidad2; además prestaron toda la colaboración y guía en la implementación del MECI donde la administración a la exposición al riesgo es un componente y plantearon la metodología a seguir para dar cumplimiento a lo establecido en dicho modelo, en esta materia.

    El estado colombiano mediante el decreto 1537 de 2001 estableció que todas las entidades de la administración pública deben contar con una política de administración de riesgos tendiente a darles un manejo adecuado a los riesgos, con el fin de lograr de la manera más eficiente el cumplimiento de sus objetivos y estar preparados para enfrentar cualquier contingencia que se pueda presentar3.

    El riesgo es un concepto que se puede considerar fundamental, por su vínculo con todo el quehacer cotidiano; y se considera como toda posibilidad de un evento que pueda entorpecer o impedir el normal desarrollo de las funciones de la entidad y afectar el logro de sus objetivos; por ello se deben establecer maneras de evitar, minimizar o asumir riesgos a través de acciones preventivas. Es así que la guía toma como referentes metodológicos cinco elementos: contexto estratégico, identificación, análisis, valoración, y política de administración de riesgos.

    De otra parte, el informe COSO, publicado inicialmente en Estados Unidos en el año 1992,4 como reacción a la diversidad de definiciones, conceptos, posturas e interpretaciones relacionadas con el control interno, relaciona las conclusiones de un trabajo arduo llevado a cabo alrededor de cinco años sobre este tema, por un grupo de trabajo que la Comisión Nacional sobre fraudes (Treadway Commission,

    National Commission on Fraudulent), conformó en 1985 bajo la sigla COSO (Comité de Organizaciones Patrocinadoras con su nombre en ingles Committee of Sponsoring Organizations); conformado por organizaciones como: American Accounting Association (AAA); American Institute of Certified Public Accountants (AICPA); Financial Executives International (FEI); Institute of Internal Auditors (IIA) y el Institute of Management Accountants (IMA)5.

    El propósito fundamental del informe COSO, fue entregar a las empresas una conceptualización metodológica que propicie la mejora continua del control de sus procesos, procedimientos y actividades, creando un marco de referencia para los conceptos de control interno y por ende una definición común de control interno y la identificación de sus componentes.

    Es así que ante la necesidad detectada de mejorar la gestión del riesgo en las entidades, el mencionado grupo de trabajo de la Comisión Nacional sobre fraudes desarrolló en 2004 una nueva versión del marco de gestión de riesgos, titulado "Marco de la gestión de riesgos en la empresa", o Enterprise Risk Management Framework – ERM en ingles. Este marco detalla los componentes esenciales de la gestión de riesgos en la organización y el contexto en que tales componentes son eficazmente implementados. En este trabajo se incorpora el concepto de gestión de riesgos, "como un proceso, llevado a cabo por el directorio, los gerentes y el resto del personal, destinado a establecer estrategias para toda la empresa, diseñado para identificar eventos potenciales que pudieran afectar a la entidad, y administrar los riesgos para que estén dentro de los límites de su disposición al riesgo, a fin de proporcionar una razonable seguridad respecto al logro de los objetivos de la organización"6.

    Ahora, si tomamos como referencia el estándar australiano, la norma AS/NZS 4360:1999; no encontramos esencialmente nada distinto al ERM; ya que provee una guía genérica para la implementación del proceso de administración de riesgos involucrando el establecimiento del contexto y la identificación, análisis, evaluación, tratamiento, comunicación y el monitoreo en curso de los riesgos7; a diferencia con la guía propuesta por el DAFP, esta no contempla los dos últimos aspectos como son la comunicación y el monitoreo toda vez que como la administración del riesgo hace parte del MECI como un todo en el ambiente de control8; la comunicación y monitoreo hacen parte del modelo como elementos referidos en el manual de implementación9 emitido por el dicha entidad.

    En el estándar australiano, la administración de riesgos es reconocida como una parte integral de las buenas prácticas gerenciales. Es un proceso interactivo que consta de pasos, los cuales, cuando son ejecutados en secuencia, posibilitan una mejora continua en el proceso de toma de decisiones10. Esta administración de riesgos es el término aplicado a un método lógico y sistemático para la implementación de los elementos, donde la comunicación y el monitoreo son parte esencial del modelo; por tanto es una actividad, función o proceso comunicado o monitoreado, de tal forma, que permita a las organizaciones minimizar pérdidas y maximizar oportunidades; es identificar oportunidades como evitar o mitigar pérdidas: Este Estándar puede ser aplicado a todas las etapas de la vida de una actividad, función, proyecto, producto o activo. El beneficio máximo se obtiene generalmente aplicando el proceso de administración de riesgos desde el principio.

    Las definiciones y términos contenidos en el estándar australiano aportan conocimientos más amplios al respecto, por tanto este estándar, al igual que el COSO, como referentes para la guía de administración del riesgo emitida por el DAFP, deben ser documentos de consulta permanente para los expertos en el tema a la hora de llevar a cabo propuestas novedosas y aplicables a organizaciones de cualquier índole.

    Así mismo los criterios establecidos en estos dos documentos: COSO-ERM y Estándar Australiano son retomados por la Organización Internacional de Estandarización (ISO); en la norma internacional ISO 31000:2009 Gestión del Riesgos – Principio y Guías; donde el concepto es relacionado como "Efecto de la incertidumbre sobre los objetivos"11 de una organización; desarrollando el tema con un fuerte enfoque en las líneas de responsabilidad de la alta gerencia y su equipo de colaboradores. Por tanto el tema concluyente de esta norma internacional establece unos atributos, precisamente en el ámbito de responsabilidades de los gerentes, en nuestro caso gerentes públicos, como Mejora continua, Plena responsabilidad por los riesgos, aplicación de la gestión de riesgos en todas las decisiones, comunicación continúa y la plena integración en la gobernanza de la organización, estructura.

    Por tanto para un estudio del tema, tenemos como base fundamental los documentos metodológicos referenciados, que orientan y guían todo proceso que se quiera abordar en el quehacer cotidiano de las entidades del estado y por supuesto la investigación y consulta de diferentes autores expertos para lograr el fin primordial que es formular y presentar un enfoque metodológico que se extienda hasta el traslado de los riesgos en la matriz de evaluación una vez valorados hacia un nivel bajo de frecuencia e impacto.

    2. Definiciones y conceptos de gestión del riesgo

    Acciones: Realización de opciones de manejo del riesgo con el propósito de prevenir o reducir la probabilidad de ocurrencia del riesgo y el impacto de sus efectos. Estas acciones son parte fundamental del mapa de riesgos (plan de manejo del riesgo).

    Aceptar el riesgo. Decisión informada de aceptar las consecuencias y probabilidad de un riesgo en particular.

    Aplicación de la gestión de riesgos en todas las decisiones. Toda toma de decisiones dentro de la organización, cualquiera que sea el nivel de importancia y trascendencia, implica la consideración explícita de los riesgos y la aplicación de la gestión de riesgos en cierta medida adecuada.

    Apropiar. Asumir el riesgo, cuando las condiciones del mismo son controlables y no representan un estándar alto de probabilidad de ocurrencia e impacto de sus efectos o consecuencias.

    Control: Acción que busca reducir el grado de exposición a los riesgos, minimizando la probabilidad de ocurrencia o el impacto de sus efectos. Los controle pueden ser correctivos o preventivos: los preventivos buscan reducir la probabilidad de ocurrencia del riesgo y los correctivos el impacto de las consecuencias en caso de que el riesgo se materialice. Los controles proporcionan un modelo operacional de seguridad para el cumplimiento de los objetivos y metas.

    Comunicación continúa. Mejor gestión del riesgo incluye la comunicación continua con las partes interesadas externas e internas, incluida la información completa y frecuente del desempeño de gestión de riesgos, como parte de la buena gobernanza.

    Compartir el riesgo. Cambiar la responsabilidad o carga por las pérdidas que ocurran luego de la materialización de un riesgo mediante legislación, contrato, seguro o cualquier otro medio.

    Incertidumbre: Expresión del grado de desconocimiento de una condición futura. Puede derivarse de una falta de información o incluso porque exista desacuerdo sobre lo que se sabe o lo que podría saberse. Puede tener varios tipos de origen, desde errores cuantificables en los datos hasta terminología definida de forma ambigua o previsiones inciertas del comportamiento humano. La incertidumbre puede, por lo tanto, ser representada por medidas cuantitativas (por ejemplo, un rango de valores calculados según distintos modelos) o por afirmaciones cualitativas (por ejemplo, al reflejar el juicio de un grupo de expertos).

    Impacto: Consecuencias o efectos a los que se expone una organización por la materialización del riesgo.

    Índice de distribución de riesgos: Permite comparar la ubicación de los riesgos identificados en la matriz de evaluación de riesgos, contra un patrón estándar establecido por organismos internacionales evaluadores de riesgos, estableciendo la distribución porcentual, con el total de riesgos y la variación porcentual del riesgo en la entidad.

    La plena integración en la gobernanza de la organización, estructura. La gestión del riesgo es visto como fundamental para los procesos de gestión de la organización, de tal manera que los riesgos son considerados en términos de efecto de la incertidumbre sobre los objetivos. La estructura de gobernanza y el proceso se basan en el la gestión del riesgo. Gestión efectiva del riesgo es considerado por los administradores como esencial para el logro de los objetivos de la organización.12

    Mejora continua. Se hace hincapié en la mejora continua en la gestión del riesgo mediante el establecimiento de la organización metas de desempeño, la medición, la revisión y la posterior modificación de procesos, sistemas, recursos, capacidad y habilidades.

    Plena responsabilidad por los riesgos. La gestión del riesgo mejorada incluye amplia, totalmente definido y aceptado plenamente la responsabilidad de los riesgos, los controles y las tareas de tratamiento de riesgos. Las personas designadas aceptan plenamente la responsabilidad, estén debidamente calificados y disponer de recursos suficientes para verificar los controles, los riesgos de vigilar, mejorar los controles y comunicarse de manera efectiva sobre los riesgos y su gestión a las partes interesadas externas e internas.

    Política de administración de riesgos: El Decreto 1599 de 2005 define como "Elemento de Control, que permite estructurar criterios orientadores en la toma de decisiones, respecto al tratamiento de los riesgos y sus efectos al interior de la entidad pública".

    Previsión. Acción de disponer lo conveniente para atender a contingencias o necesidades previsibles. Por ejemplo en la construcción de un centro comercial se coloca seguridad y registro para la entrada y salida de vehículos, extintores, salidas de emergencia, planta eléctrica. Se realiza sobre eventos sobre los cuales no hay incertidumbre, hay certeza de que se presenten.

    Probabilidad: Una medida (expresada como porcentaje o razón) para estimar la posibilidad de que ocurra un incidente o evento. Contando con registros, puede estimarse a partir de su Frecuencia histórica mediante modelos estadísticos de mayor o menor complejidad.

    Protección. Amparar, favorecer, defender. Resguardar a una persona, o cosa de un perjuicio o peligro

    Reducir el riesgo. Aplicación de controles para reducir las probabilidades de ocurrencia de un evento y/o su ocurrencia.

    Riesgo: Situación o evento que afecta el cumplimiento de los objetivos de los procesos y por tanto de los objetivos corporativos.

    Riesgo residual. Nivel de riesgo que permanece luego de tomar medidas de tratamiento de riesgo.

    Valoración de Riesgos: Elemento del Componente Administración de Riesgos que comprende el conjunto de acciones por las cuales se estima la magnitud de los riesgos (frecuencia e impacto), y se evalúan para determinar si pueden aceptarse o Prevención. Preparación y disposición que se hace anticipadamente para evitar un riesgo.

    Transferencia. Operación por la que se transfiere parte o totalidad del riesgo a otro proceso, entidad aseguradora, persona, etc. Por ejemplo el riesgo de hurto de los vehículos se trasfiere a las compañías aseguradoras con riesgo residual del 10% en particulares y 30% en servicio público; esto se conoce como cantidad deducible en caso de pérdida total.

    3. Administración a la exposición al riesgo o gestión del riesgo

    Para abordar la cuestión, debemos abarcar de manera precisa el significado de administración a la exposición al riesgo o gestión del riesgo, que en uno u otro sentido para efectos metodológicos significan lo mismo, dado que en los textos que versan sobre la materia se referencia el tema como gestión o administración de riesgos; pero para efectos de abordar el tema a nivel institucional lo que realmente se logra es la administración a la exposición de eventos que pudiesen entorpecer el cumplimiento de los objetivos corporativos, abordado desde diferentes niveles de incertidumbre, es decir los riesgos a que se expone una entidad en el cumplimiento de su plan estratégico o plan de desarrollo.

    Ahora, cuando se habla de gestión, el termino que tiene su origen del latín gestío – onis, derivado de gérere, que significa dirigir: en términos generales es la acción o efecto para la consecución de algo o la tramitación de un asunto; gestionar es realizar diligencias conducentes al logro de un negocio o de un deseo cualquiera, administrar, por otra parte, consiste en gobernar, dirigir, ordenar, disponer u organizar.13

    Lo anterior se direcciona a que la gestión del riesgo implica realizar las acciones conducentes a lograr la mitigación, control y prevención de materialización de los riesgos; y para alcanzar esto se debe administrar de manera adecuada la exposición a los mismos, lo que implica gobernar, dirigir, ordenar u organizar dichas acciones por medio de un sistema o metodología de riesgos aplicada a las necesidades de la institución.

    EL PRESENTE TEXTO ES SOLO UNA SELECCION DEL TRABAJO ORIGINAL. PARA CONSULTAR LA MONOGRAFIA COMPLETA SELECCIONAR LA OPCION DESCARGAR DEL MENU SUPERIOR.