Metodología para Gestionar Riesgos Empresariales. Una herramienta indispensable para la empresa moderna (página 2)
Enviado por Yoanis Quincosa D�az
3. Marco teórico conceptual sobre gestión de riesgos.
3.1-Componentes del control interno.
El control constituye parte integrante de las funciones generales de la dirección, mediante él se puede comprobar el estado actual de un sistema.
El control en su concepción más general examina, censura con anterioridad suficiente, determinada realidad que aprueba o corrige, en ocasiones cuando se habla de control se asocia esta palabra con algo negativo, pues se interpreta como restricción, coerción o delimitación, sin embargo el objetivo principal del control es asegurarse que los resultados se ajusten, tanto como sean posibles a los objetivos previstos.
Teniendo en cuenta que el control es una función básica dentro de cualquier proceso de organización y administración, que facilita la evaluación ejecutiva, incluyendo su seguimiento y revisión sistemática, la resolución 297/03 con su concepción de sistema articula al control interno en cinco componentes esenciales interrelacionados entre sí, y que intervienen en todos los aspectos de una organización.
Los cinco componentes de control interno son:
- El ambiente de control
- Evaluación de riesgos
- Actividades de control
- Información y Comunicación
- Supervisión y monitoreo
A continuación enfatizaremos en la evaluación de riesgo como componente esencial dentro del sistema de control interno.
3.1.1- La evaluación del riesgo
Debido a que las condiciones económicas, industriales, normativas y operacionales se modifican de forma continua, se hacen necesarios mecanismos para identificar y minimizar los riesgos específicos asociados con el cambio, por lo que cada vez es mayor la necesidad de evaluar los riesgos. (Del Toro y col, 2005).
La evaluación de riesgo consiste en la identificación y análisis de los factores tanto de origen interno como externo que pueden ser relevantes para la consecución de los objetivos previstos, se refiere al proceso interactivo continuo y a la metodología mediante la cual la empresa identifica las áreas de más alto riesgo, que ameritan la mayor atención y la asignación de recursos para la aplicación de medidas de control. (López , 2002).
En la Resolución 297/03 se declara que el control interno ha sido pensado esencialmente para limitar los riesgos que afectan las actividades de las entidades. A través de la investigación y análisis de los riesgos relevantes y el punto hasta el cual el control vigente los neutraliza, evaluando así la vulnerabilidad del sistema.
Como afirma Quirós (2003) presidente del Colegio de Contadores Públicos de Costa Rica: ¨ El control interno y la administración de los riesgos son dos elementos inseparables, que dentro de una organización deben tener una consideración similar. "
Para Padilla (2002) toda organización que pretenda alcanzar el éxito, sea pública o privada, debe identificar, evaluar y administrar sus riesgos para aminorarlos por medio del diseño e implantación de eficientes sistema de control interno.
Rosés (2000), director asociado de la consulta Roses Auditors & Asociados plantea que "el riesgo cero no existe, el riesgo es inherente a los negocios, pero se puede reducir notablemente identificando las amenazas que tiene la organización y esforzarse para mantenerlo dentro de los límites marcados."
Existen muchas fuentes de riesgo tanto internas como externas (Resolución 297/03; Coopers y Lybrand 1997) entre las que se pueden destacar las siguientes:
Externas
- Desarrollos tecnológicos no asumidos que pueden provocar obsolescencia de la organización.
- Cambios en las necesidades y expectativas de la población.
- Modificaciones en la legislación y normas que conduzcan a cambios forzosos en la estrategia y procedimientos.
- Alteraciones en el escenario económico ? financiero que impactan en el presupuesto de la entidad.
Internas
- La estructura de organización adoptada, dada la existencia de riesgos inherentes típicos.
- Calidad del personal incorporado, así como los métodos para su instrucción y motivación.
- La propia naturaleza de las actividades de la entidad.
Según Coopers y Lybrand (1997), una condición previa a la evaluación de los riesgos es la determinación de objetivos en cada nivel de la organización y que sean coherentes entre sí. La dirección debe fijar primero los objetivos antes de identificar los riesgos que pueden tener impacto sobre su consecución y tomar las medidas oportunas para gestionarlos.
Toda entidad debe crear sus propias herramientas para la evaluación de riesgos, este componente debe convertirse en parte natural del proceso de planificación estratégica, donde se asuma dicha evaluación como una necesidad indispensable y un instrumental clave para poder desarrollar los objetivos del control interno, se debe realizar a través de un proceso continuo y básico para la organización, una constante revisión, actualización y mejora del Control Interno, sobre la base de un sistema específico de detección y valoración de riesgos con las características propias de la entidad.
En la evaluación de los riesgos se considera que además de identificarlos al nivel de empresa, éstos deben ser identificados y analizados al nivel de actividad, departamento y operación para poder estimar la importancia de los mismos, y establecer actividades de control que garanticen al máximo su gestión. La correcta evaluación al nivel de actividad contribuye también a que se mantenga un nivel aceptable de riesgo para el conjunto de la entidad, garantizando así el cumplimiento de los objetivos previstos.
Existe una herramienta de control que permite presentar una panorámica de los riesgos a los que esta expuesta cualquier organización, esta herramienta es el mapa de riesgo. Los mapas de riesgo se pueden representar de diversas formas, pueden ser a través de mapas geográficos (muy utilizados para atención de desastres) o a través de matrices, o simplemente a través de un plano cartesiano que simboliza el nivel de riesgo al que esta expuesta la organización. López (2002). Los mapas de riesgo, independientemente de la forma que se utilice para elaborarlos, son solo una representación fría de datos, por lo que solo pueden servir como herramienta eficaz como componentes integrales de la gestión del riesgo empresarial.
3.2-Gestión de riesgos.
3.2.1-Consideraciones generales sobre los Riesgos.
En el pasado, los principales peligros y riesgos se asociaban con la naturaleza y con las catástrofes naturales, ahora, primordialmente se imputan a acciones y decisiones humanas no sólo o no tanto por las imprudencias sino en la mayoría de los casos por la incapacidad del ser humano de prever los efectos lejanos de su protagonismo tecnológico y social. Los riesgos ecológicos, nucleares, genéticos, financieros y otros, son riesgos de la civilización, muchos de ellos son difíciles de percibir antes de producirse el daño. Esa es una de las razones por la que en las últimas décadas el riesgo pasa a ser una categoría clave en la condición humana y en las ciencias sociales de nuestro tiempo.
El riesgo se interpreta en el espacio de categorías como:
- Incertidumbre: Imposibilidad de predecir o pronosticar el resultado de una situación en un momento dado.
- Probabilidades: Proporción de veces que un evento en particular ocurre en un tiempo determinado o estimación de que un suceso ocurra o no.
- Nivel de riesgo: Valoración de la frecuencia y severidad de la ocurrencia de un riesgo. (Del toro y col, 2005)
Diversas han sido las definiciones encontradas en la literatura consultada que demuestra que el riesgo no ha sido conceptuado de forma integra sino de manera fragmentada, de acuerdo con el enfoque de cada disciplina involucrada en su valoración, por lo que ha incrementado su complejidad y la manera como las personas lo entienden (Casas, 1998; León, 2003; Koprinarov, 2005).
En el ámbito de la economía política o neomarxismo se han propuesto modelos conceptuales como el modelo presión-liberación en el cual se postula que el riesgo es el resultado de la concurrencia de condiciones de vulnerabilidad y de posibles amenazas. (Cardona, 1993).
Para Ambrustery (2001) el riesgo se define como: "cualquier condición que produzca una condición adversa en detrimento del producto, el paciente o el profesional de la salud".
Según Quirós (2003) y SFP (2004) el riesgo no es más que la probabilidad de ocurrencia de hechos o fenómenos internos o externos que pueden afectar el cumplimiento de los objetivos en la organización.
Otros especialistas relacionan exposición y vulnerabilidad, asegurando que combinados proporcionan la medida de la "fortaleza" de una organización para evitar los eventos de pérdidas en función de las salvaguardas que tenga previstas. (DMR-Consulting, 2005).
Otros autores como Coburn y col (1991), Maskrey (1998), Percedo,M.I (2004) plantean que en muchas ocasiones no es posible actuar sobre la amenaza, o es muy difícil, pero bajo este enfoque es factible comprender que para reducir el riesgo no habría otra alternativa que disminuir la vulnerabilidad de los elementos expuestos condicionando así el riesgo a estas dos variables.
Toledano (2003) clasifica el riesgo como el efecto financiero de una causa multiplicado por la frecuencia probable de su ocurrencia.
Para León (2004) el riesgo existe cuando se tienen dos o más posibilidades entre las cuales optar, sin poder conocer de antemano los resultados a que conducirá cada una. Todo riesgo encierra, pues, la posibilidad de ganar o de perder, cuanto mayor es la posible pérdida, tanto mayor es el riesgo.
Los riesgos además han sido clasificados de diferentes maneras. En general teniendo en cuenta el efecto bipolar se pueden clasificar en riesgo puro y riesgo especulativo. (Del Toro y col, 2005; Koprinarov, 2005 ) . El riesgo especulativo es aquel riesgo en el cual existe la posibilidad de ganar o perder, como por ejemplo las apuestas o los juegos de azar, las inversiones. En cambio el riesgo puro es el que se da en la empresa y existe la posibilidad de perder o no perder, pero jamás ganar.
El riesgo puro en la empresa a su vez se clasifica en:
- Riesgo inherente.
- Riesgo incorporado.
El riesgo inherente es aquel riesgo que por su naturaleza no se puede separar de la situación donde existe. Es propio del trabajo a realizar. Es el riesgo propio de cada empresa de acuerdo a su actividad.
El riesgo incorporado es aquel riesgo que no es propio de la actividad, sino que producto de conductas poco responsables de un trabajador, el que asume otros riesgos con objeto de conseguir algo que cree que es bueno para el y/o para la empresa.
Otro aspecto importante y controvertido ha sido clasificar los tipos de riesgos según el criterio de la estructura y de las principales funciones de una empresa. Las clasificaciones más utilizadas por autores como Zorrilla (2004), Fragoso (2002), Fonseca (2000) y Baca (1997) es la de riesgos de carácter económico, de mercado, de crédito, de legalidad, de carácter tecnológico, de carácter legal, riesgo de liquidez, riesgo de empresas, organizacional, entre otros. Existen otras clasificaciones relacionadas con las fallas del control interno, con las normativas del trabajo, es decir el riesgo de pérdida directa o indirecta causada por una insuficiencia o falla de los procesos, personas e ineficiencia de la organización interna de la empresa, que se encuentra denominados por algunos autores riesgo organizacional o empresarial. (Koprinarov, 2005) y para otros, como la industria bancaria como riesgo de operaciones (López, Cristina , 2005).
La clasificación de los riesgos en tipos, permite casi al nivel de partir de una definición concreta de los mismos, un nivel de homogeneidad y armonía en el momento de su identificación eliminando o reduciendo la posibilidad de introducir denominaciones diferentes para un mismo fenómeno y redundando en una mejor organización de la gestión de riesgos. Sin embargo en el mundo de las finanzas y los recursos materiales clasificar los riesgos se convierte en una tarea compleja por la multifactoriedad del agente causal. Este carácter multifactorial se presta a confusiones y repeticiones por lo que se hace necesario encontrar un punto medio que acote el problema.
La tendencia de los años 90 con respecto a los riesgos es a la administración de los mismos por parte de la gerencia de las empresas, a nivel de divisiones, departamentos, actividades o sub-actividades, por lo que se adopta una visión más ampliada del riesgo, incluyendo la parte operativa. Se ha propagado además la tendencia a la elaboración de estándares nacionales para la administración de los mismos y el desarrollo de múltiples sistemas y programas personalizados de asesoría para su manejo en los diferentes ámbitos de la actividad económica.
La necesidad de la estandarización de la administración de los riesgos en la esfera económica ha llevado a gran número de países a estudiar el fenómeno y emitir normas que constituyen pautas a seguir en su gestión. Las normativas nacionales para la administración de riesgos, definen el marco en el cual se deben desarrollar las actividades industriales y económicas para que estos no se produzcan. Las más conocidas son las normativas de Australia y Nueva Zelanda (AS/NZS 4360: 1999), de Canadá (CAN/CSA ? Q850-97) ( Koprinarov, 2005).
En nuestro país la Resolución 297/2003 establece como un elemento esencial del control interno la evaluación de los riesgos estructurando el mismo en las siguientes normas:
- Identificación del riesgo.
- Estimación de riesgo.
- Determinación de los objetivos de control.
- Detección del cambio.
Identificación del riesgo.
Es un proceso iterativo que se encuentra integrado a la estrategia y planificación. Para la identificación del riesgo es conveniente partir de cero y no basarse en el esquema de riesgos identificados en estudios anteriores. (Arce, 2005).
Para definir un riesgo es necesario conocer su causa, que es la que va a determinar la existencia de este y si puede afectar a la empresa o no. (Toledano, 2003).
En muchas ocasiones las entidades identifican de forma intuitiva las áreas críticas, al sopesar únicamente el valor de su pérdida potencial y no consideran de forma conjunta los criterios de amenaza y vulnerabilidad, por ello, en algunos casos, las áreas que las entidades consideran como su foco de atención, son también las que presentan mayor fortaleza y tienen más salvaguardas y, por lo tanto, están suficientemente "controladas" (DMR-Consulting , 2005).
Las herramientas más utilizadas para desarrollar la actividad de identificación de riesgos según Del Toro y col(2005) son los cuestionarios, organigramas, diagrama de flujos, inspecciones, entrevistas, y otros.
Estimación del riesgo.
Una vez identificados los riesgos a nivel de institución, programa o actividad, se debe proceder a su análisis. Los métodos utilizados para determinar la importancia relativa de los riesgos incluyen como mínimo una estimación de su frecuencia, o sea la probabilidad de ocurrencia y una valoración de la pérdida que podría resultar.
Las ponderaciones de las variables de riesgo se desglosan en:
- Factibilidad (probabilidad de ocurrencia). Se determina porcentual mente, atendiendo al índice de ocurrencia con que se ha materializado el riesgo.
- Importancia (evaluación del impacto). Se determina al declarar el objetivo de dirección en el área económica objeto de análisis y en las categorías del control interno que impacta.
- El riesgo se puede cuantificar a través de la llamada ecuación de la exposición que es:
PE ═ F x V
donde:
PE: Pérdida esperada o exposición expresada en pesos y en forma anual.
F: Frecuencia, veces probables en que el riesgo se concreta en el año.
V: Pérdida estimada para cada caso en que el riesgo se concreta expresada en peso.
No siempre es posible cuantificar monetariamente las pérdidas debido a la envergadura o características que presentan muchos riesgos. Es difícil aplicar estas fórmulas en los riesgos relacionados con las fallas del control interno, en la mayoría de los casos es imposible cuantificar ya que no se corresponden con el análisis de los riesgos objetivos a realizar. Por tal razón existen varios métodos que facilitan la estimación utilizando para ello una clasificación cualitativa de los mismos según Del Toro y col (2005) a partir de una estimación de la frecuencia y el impacto financiero que los mismos tengan sobre la entidad.
Los métodos más conocidos son los que se relacionan a continuación:
Método del criterio de frecuencia de Prouty, este método clasifica los riesgos según el criterio de frecuencia de pérdida ante la ocurrencia de sucesos en:
- Riesgo poco frecuente: Si la frecuencia de pérdida es casi nula (prácticamente el evento no sucede)
- Riesgo moderado: Si la frecuencia sucede una vez en un lapso de tiempo.
- Riesgo frecuente: Si la frecuencia sucede regularmente.
Método del criterio de gravedad o financiero, este método clasifica los riesgos según el impacto financiero que tengan sobre la entidad en:
- Riesgo leve: Si el impacto financiero de las pérdidas se puede llevar contra el presupuesto de gastos y lo asume.
- Riesgo moderado: Si el impacto financiero de las pérdidas hace necesario una autorización fuera del presupuesto para sobrellevarlo financieramente.
- Riesgo grave: Si el impacto financiero de las pérdidas afecta las utilidades, pero se mantiene la continuidad del proceso productivo.
- Riesgo catastrófico: Si el impacto financiero de las pérdidas pone en peligro la supervivencia de la empresa.
Determinación de los objetivos de control
El diseño de los objetivos de control debe abarcar lo que cada departamento, unidad o sección necesita para evitar que los riesgos se materialicen, respondiendo a la estrategia que la dirección desee seguir para minimizar los riesgos sobre qué quiero hacer: prevenir, detectar, impedir, interactuar, corregir, segregar, entonces estará en condiciones de analizar cuales instrumentos le permitirán llevar a cabo tal estrategia, considerando siempre la relación costo-beneficio. (SENA, 2004; Koprinarov, 2005).
Detección del cambio
La detección del cambio no es más que la identificación de los cambios en las circunstancias del medio ambiente en que la entidad despliega su acción. Un sistema de control puede dejar de ser efectivo al cambiar las condiciones en las cuales opera, por lo que toda entidad debe disponer de procedimientos y mecanismos capaces de captar e informar oportunamente los cambios ocurridos. ( Arce, 2005).
Para Quiros (2003), presidente del Colegio de Contadores Públicos de Costa Rica, una constante revisión, actualización y mejora del Control Interno es precisamente una respuesta a lo que se conoce como Detección del Cambio en materia de riesgo.
A pesar de ser considerados los riesgos un componente esencial del control interno, la manera tan ambigua en que este tema es desarrollado tanto en el informe COSO como en la resolución 297/03 imposibilita una gestión eficaz de los mismos. Las definiciones y la variedad de términos no están expuestos con la suficiente claridad que permita a las entidades aplicar correctamente los elementos contenidos en este componente. La evaluación de riesgos profundiza fundamentalmente en la identificación y evaluación de los riesgos, no siendo así para la gestión de los mismos que es la función más importante a desarrollar.
Ni el informe COSO, ni la resolución 297/03 ofrecen una metodología que permita engranar todas las normas comprendidas en este componente que pueda constituir un marco referencial común para todas las entidades que permita a una administración efectiva de los riesgos.
3.3- Metodología para la Gestión de riesgos empresariales.
La administración de riesgos es reconocida como una parte integral de las buenas prácticas gerenciales. Es un proceso iterativo que consta de pasos, los cuales, cuando son ejecutados en secuencia, posibilitan una mejora continua en el proceso de toma de decisiones. La administración de riesgos es un término aplicado a un método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, función o proceso de una forma que permita a las organizaciones minimizar pérdidas y maximizar oportunidades. Puede ser aplicado a todas las etapas de la vida de una actividad, función, proyecto, o producto. (Arce, 2005).
Entre los expertos en la materia de administración de riesgos no hay unanimidad en la segmentación del proceso, aparece definido en diferentes fases, pero si existe coincidencia en los aspectos claves de dicho proceso que abarca una fase predominantemente cognoscitiva que podría denominarse fase del estudio, otra de carácter práctico, la fase de la implementación y la tercera ? la fase de control y la comunicación. En la primera se realizan: la identificación, el análisis y la evaluación de los riesgos. En la segunda se implementa el plan de la respuesta a los riesgos. La tercera fase esta formada por las actividades de monitoreo, control y comunicación.(Koprinarov,2005).
Por su parte la norma AS/NZS 4360:1999 aunque de manera general coincide con los aspectos presentados por la Resolución 297/03, hace énfasis en la necesidad de concebir un modelo para el análisis de los riesgos sustentado en los requisitos de los sistemas de gestión de la calidad expuestos por las normas de la familia ISO 9000.
El Servicio Nacional de Aprendizaje SENA (2004) fija las políticas en materia de administración de riesgos en la resolución No. 01975 donde propone una metodología de once pasos fundamentales estableciendo como un aspecto fundamental la inclusión de indicadores de efectividad de las acciones propuestas, no contemplado en metodología anteriores.
Especialistas como DMR-Consulting (2005) proponen un método llamado Administración del Riesgo Operacional (ARO), cuyo objetivo principal es operativizar una metodología de trabajo, incorporando los indicadores necesarios. Además propone:
· Identificar el riesgo, clasificar e incorporar en la base de datos · Buscar causas · Proponer medidas de cambio con base en la gestión de procesos · Realizar seguimiento
Pinkerton Consulting and Investigations, empresa consultora inglesa y una de las más grandes del mundo propone como metodología para la gestión de riesgos los requisitos del Informe Tumbull (CSJ, 1999), que se resumen en el siguiente cuestionario:
- ¿Es su empresa plenamente consciente de los riesgos de la organización, y éstos se valoran, comunican y entienden claramente?
- ¿Tiene su empresa una estructura organizativa que propicie una gestión eficaz y una mitigación de los riesgos?
- ¿Existe una identificación de los riesgos derivados de la adquisición de la empresa por parte de directivos ajenos a la misma y un control a todos los niveles de su empresa?
- ¿Es el sistema de valoración de riesgos de su empresa transparente de modo que permita a los accionistas estimar el riesgo?
- ¿Se considera que la valoración de riesgos es una tarea independiente o está incluida en la actividad de su empresa?
Los requisitos básicos del Informe Turnbull son:
- La junta directiva debe mantener un sistema sólido de control interno.
- Un miembro de la junta deberá realizar una revisión de la eficacia del sistema de control interno de la empresa con una periodicidad mínima anual. La revisión anual tiene que abarcar todo tipo de controles, incluyendo control financiero, operativo, y de conformidad y gestión de riesgos.
- Los miembros de la junta directiva deberán informar a los accionistas de que se ha realizado dicha revisión ? normalmente, en el informe financiero y en las cuentas anuales.
La FAO aplica un sistema que Internacionalmente ha tenido un gran impacto por el enfoque utilizado para la gestión de los riesgos, que es el sistema de Análisis de Peligros y Puntos Críticos de Control (APPCC), utilizado para la prevención de la seguridad de alimentos ( FAO, 2002). A partir de los resultados prácticos referidos de su aplicación en la industria alimentaria, este sistema se ha venido utilizando y se ha convertido en una práctica aceptada en otros sectores productivos y de servicios, con excelentes resultados (Rooney, 2001; Ambrustery, 2001).
Como sucede con la mayoría de los sistemas o metodologías para la organización de una actividad, dígase sistemas de gestión de la calidad, sistemas de APPCC, metodología para la mejora continua, entre otros, donde existen regulaciones, normas u otras disposiciones generales que establecen las pautas más importantes e imposibles de obviar, cada entidad debe establecer sus propios sistemas y métodos como "trajes a la medida" identificando y teniendo en cuenta sus características propias.
3.4- Sistema de Análisis de Peligros y Puntos Críticos de Control (APPCC).
El APPCC es un procedimiento sistemático y preventivo, reconocido internacionalmente para abordar los peligros mediante la previsión y la prevención en vez de la inspección y la comprobación de los productos finales.
El APPCC tiene fundamentos científicos y carácter sistemático, permite identificar los peligros específicos aplicando el procedimiento de controlar los puntos críticos, las medidas necesarias para su control y procedimientos de vigilancia, este sistema aumenta la responsabilidad y el grado de control de los trabajadores con el producto. Esta herramienta de análisis procura el detalle y la documentación que aseguran que la entidad conoce el producto y el proceso de tal manera que puede controlar o monitorear los elementos más importantes para elaborar productos de calidad. Además reporta otros beneficios como la utilización eficaz de los recursos y flexibilidad que le permite responder a tiempo a los problemas y cambios presentados. (FAO, 2002)
Principios y aplicación del APPCC
El APPCC centra su acción en 7 principios básicos: (Codex Alimentarius, 1998).
- Realizar un análisis de los peligros
- Determinar los puntos críticos de control (PCC).
- Establecer los límites críticos para cada PCC.
- Establecer un sistema de vigilancia y control de los PCC.
- Promulgar las medidas correctivas que han de adoptarse cuando la vigilancia indica que determinado PCC se sale de los límites establecidos.
- Instaurar procedimientos de comprobación para verificar el funcionamiento del sistema APPCC.
- Estructurar un sistema de documentación sobre todos los procedimientos y los registros apropiados para estos principios y su aplicación.
La interpretación de estos principios es prerrogativa de cada entidad en particular (Inda, 1999).
El sistema APPCC ofrece la ventaja de permitir la gestión del riesgo a nivel de cada proceso, sin embargo no da la posibilidad de ponderar los mismos para priorizar aquellos de mayor envergadura.
Por las características y ventajas que posee este sistema consideramos que su utilización para establecer controles en el ámbito económico- financiero pudiera además de resultar factible contribuiría a una actividad financiera más segura. El APPCC armoniza perfectamente como herramienta complementaria para cumplir con las normas establecidas en la Resolución 297/03 del Ministerio de Finanzas y Precios.
3.5- El control interno y la gestión de la calidad
Para Coopers y Lybrand (1997) existe un paralelismo entre estos factores de calidad y los de los sistemas de control interno eficaces, ya que el control interno no solo está integrado en los programas de calidad, sino que suele ser esencial para que éstos tengan éxito.
La incorporación de controles influye en la capacidad de la entidad de conseguir sus objetivos, además de apoyar la calidad. La búsqueda de la calidad esta directamente vinculada con la forma en que se gestionen y controlen los negocios. Los controles se convierten en parte de la estructura operativa de la empresa cuando:
- La alta dirección incorpora los valores de la calidad en el estilo empresarial de la empresa.
- El establecimiento de objetivos de la calidad vinculados a los procesos de recopilación y análisis de información.
- La utilización de conocimientos sobre las prácticas de la competencia y las expectativas de los clientes para impulsar la mejora continuada de la calidad.
Los conceptos sobre la calidad surgieron y se transformaron paralelamente a la acción productiva. Según Crosby (1999), la calidad es un elemento fundamental del comportamiento del hombre, que aparece en los primeros documentos de la humanidad.
Los principales planteamientos de la Gestión de la Calidad radican en que la calidad no es una función técnica, ni un departamento o un programa de conciencia, sino un proceso sistemático, ligado al cliente, que se debe poner en práctica en toda la compañía, integrando a los suministradores (Feigenbaum, 1991).
Juran(1993) expresa que la función de la calidad debe abarcar toda la empresa, lo que se logra cuando todos los departamentos especializados que participan tienen la responsabilidad de llevar a cabo sus funciones de manera correcta, de forma que cada uno de ellos tiene una actividad orientada hacia la calidad simultáneamente con su función principal.
El concepto actual de calidad de mayor aceptación es ¨la totalidad de las características de una entidad que influye en su capacidad para satisfacer las necesidades declaradas e implícitas".
Una de las herramientas más útiles para lograrlo son las normas internacionales de la familia ISO 9000 que proponen un modelo de organización centrado en las necesidades del cliente, y en la prevención de problemas, en ellas se describen los componentes que deben incluir los sistemas de calidad, pero cada entidad tiene libertad para diseñarlos y aplicarlos según sus condiciones especificas. Estas normas son independientes de todo sector industrial o económico y orientan sobre la gestión y el aseguramiento de la calidad. La gran versatilidad de las normas ISO se ha comprobado en la práctica ya que han sido empleadas con éxito en gran diversidad de industrias. Uchida, (1996)
La familia ISO 9000 se elabora a partir del Comité Técnico TC 176 de la International Standard Organization (ISO), resume las recomendaciones y buenas prácticas de las empresas más exitosas en todo el mundo. ( Pérez, Aleida, 2001).
Las normas de la serie ISO 9000 proponen el desarrollo de un sistema de Calidad documentado. La Norma ISO 9000-1:2000 plantea que la documentación es la evidencia objetiva de que los procesos están definidos, los procedimientos están aprobados y se encuentran bajo control de cambio y por tanto garantizan una evaluación precisa de la idoneidad del emplazamiento y aplicación del sistema.
También como documentos fundamentales se encuentran los procedimientos y los registros de calidad. Los procedimientos, según el concepto de la norma ISO 8402 (1994), son la descripción de la forma específica de cómo se realiza una actividad.
Deben responder de modo general cuáles son los objetivos del documento, quién es el responsable de realizarlo, cuáles son los recursos necesarios para realizar la actividad, y cómo se hace. Los registros, por su parte, son los documentos donde se recogen todos los datos detallados de una operación realizada. Los registros permiten describir de forma detallada todos los resultados del trabajo, ver la evolución en el tiempo de cada proceso o actividad, demorar la trazabilidad de las operaciones que dan confiabilidad a los resultados entre otras funciones (ISO 9000-1:2000).
La norma ISO 9000:2001 Vocabulario, expresa la aplicación de un sistema de procesos dentro de la organización, junto con la identificación e interacciones de estos procesos, así como su gestión, denominados como enfoque basado en procesos, donde define como proceso: "Conjunto de recursos y actividades relacionadas entre si, que transforman elementos de entrada en elementos de salida". Un enfoque de este tipo permite que las organizaciones funcionen de manera eficaz ya que identifica y gestiona numerosas actividades relacionadas entre sí, enfatiza la importancia de la comprensión y el cumplimiento de los requisitos, la obtención de resultados del desempeño y eficacia del proceso y la mejora continua de los mismos con base en mediciones objetivas.
El desarrollo de las actividades de control interno de las entidades sobre la base de los requisitos de los sistemas de gestión de la calidad debería ser una decisión estratégica de todas las organizaciones, ya que los sistemas de gestión de la calidad son una condición indispensable para la obtención de resultados positivos en los órdenes económicos y social en cualesquiera de las esferas del desarrollo de la actividad humana.
4. Resultados generales y discusión
Se diseña una metodología para la gestión de riesgos empresariales, que integra de una manera armónica los aspectos comprendidos en las nuevas resoluciones y directrices relacionadas con el control interno, sobre la base de los requisitos de la gestión de la calidad, utilizando para ello los métodos y técnicas modernas. La metodología se estructura en once pasos fundamentales desarrollados de una manera flexible que permite ser aplicada no solo a los procesos vinculados a la información económico – financiera de las empresas sino también como una herramienta para gestionar eficientemente los riesgos al nivel de toda la organización.
Resultados y discusión por pasos de la metodología.
Figura 4-Metodología para la gestión de riesgos empresariales.
4.1- Formación de un equipo de expertos y capacitación del personal.
Conformar un equipo de expertos que será el encargado de la gestión de riesgos y capacitar a todo el personal en general por ser las personas los verdaderos ejecutores de este proceso.
4.2-Descripción de la actividad, identificación, graficación y verificación de procesos.
Describir la actividad, Identificar, graficar y verificar los procesos, son el punto de partida a través del cual el equipo de expertos deberá hacer una descripción completa de cada operación teniendo en cuenta la estructura organizativa, los procesos, los procedimientos y los recursos.
4.3-Clasificación de Riesgos.
Clasificar los tipos de riesgos a los cuales están expuestos las entidades según la actividad, permite la homogeneidad y armonía en el momento de identificar los riesgos ya que elimina la posibilidad de confundir riesgos con las causas que lo originan y permite valorar las posibles consecuencias.
4.4-Clasificar procesos por nivel de amenaza.
Establecer niveles de amenaza para los procesos partiendo de la combinación de probabilidad e impacto que los mismos generen, permite identificar los procesos clave del negocio que conllevan a riesgos importantes. Los procesos de mayor nivel de amenaza se le aplicará el plan de administración especifico.
4.5-Determinación de Puntos Críticos de Control (PCC)
Determinar PCC permite separar lo esencial de lo accesorio dentro de cada proceso, a partir de los PCC se establece todo el control del proceso, permitiendo establecer las brechas de vulnerabilidad, las actividades de control que las atenúan, delimita las responsabilidades personales en cada eslabón del proceso y facilita el mecanismo de vigilancia propio para cada parte del proceso. Se recomienda el uso de árboles de decisión como herramienta fundamental para la determinación de dichos PCC.
4.6-Establecimiento de brechas de vulnerabilidad (causas de riesgos)
Establecer brechas de vulnerabilidad facilita la gestión de riesgos ya que estas brechas de vulnerabilidad son las causas que provocan la ocurrencia de riesgos, para hacer un análisis se debe partir de cero y no basarse en el esquema de riesgos identificado en estudios anteriores. Debe incluir todos los factores, tanto de origen interno como externo.
4.7-Establecimiento de límites críticos para cada PCC.
Se debe establecer la línea divisoria para juzgar si una operación está funcionando fuera de los parámetros establecidos. A través de los límites críticos se definen los criterios que permiten distinguir entre lo aceptable y lo inaceptable. El establecimiento de estos límites responderá al cumplimiento de lo establecido en los procedimientos que describen las operaciones, instructivos técnicos, parámetros físicos, tiempo y otros aspectos, facilitando de esta manera el control de la actividad.
4.8-Establecimiento de actividades de control y sistema de vigilancia
Establecer las medidas de control que pueden aplicarse para controlar cada brecha de vulnerabilidad. Posiblemente sea preciso adoptar más de una medida para controlar un riesgo especifico, pero es probable que más de un riesgo pueda ser controlado con una determinada medida de control.
El sistema de vigilancia propuesto debe proporcionar la vigilancia a tiempo para poder actuar, detectando oportunamente los cambios que puedan producirse tanto interno como externo.
4.9-Elaboración del sistema documental de la metodología.
Para administrar correctamente el riesgo se requiere una documentación apropiada que facilite un control adecuado y la trazabilidad de las operaciones.
4.10- Elaboración de las fichas de proceso.
Elaborar fichas de proceso permite contar con el resumen de cada proceso identificado y ofrece la información completa de cómo se ejecuta este y qué es fundamental para comprenderlo y gestionarlo.
4.11-Cálculo del indicador de riesgo por proceso y elaboración del mapa de riesgos.
El indicador de riesgos ofrece un valor al proceso que permite establecer un orden de prioridad a su supervisión y monitoreo. Este indicador permite jerarquizar los riesgos ya que ofrece información a la administración para tomar decisiones acerca de cuales procesos tienen un indicador de riesgo mayor y requieren de atenciones inmediatas y cuales son de menor importancia que pueden ser atendidos posteriormente.
- La metodología para la gestión de riesgos empresariales a partir de los requisitos de control interno y de la gestión de la calidad constituye una herramienta novedosa y sencilla que facilita la gestión de riesgos.
- La implementación de la metodología para la gestión de riesgos empresariales realizada en los procesos económicos, demostró que esta permite gestionar los riesgos de manera oportuna y eficiente, contribuyendo a garantizar una información económico – financiera más fiable para la toma de decisiones.
Ambrustery, T., Aplicación de HACCP en la validación de procesos farmacéuticos. Pharmaceutycal Technology, Edición Argentina #49, 2001
- Arce, M., Documentación para la administración de riesgos. Grupo Kaisen,S.A. Disponible en: . [Consulta Junio 2005].
- Baca, A., "La Administración de Riesgos Financieros". Revista Ejecutivos de Finanzas, publicación mensual, No. 11, México, 1997
- Bernens, R., ¨The biggest little in the corporate armor¨. Internal Auditing, vol: 54, 38-46p, 1997.
Casas G., IV reunión de auditores Internos de Banca Central. Centro de Estudios Monetarios Latinoamericanos ?CEMLA. Cartagena de Indias, Colombia 6 al 10 de julio 1998, 2004.
Coburn, N.; Spence, S., Pomanis, A.,¨ Vulnerabilidad y evaluación de riesgo¨. Programa de entrenamiento para el manejo de desastres. PNUD/UNDRO. 1ra. Edición, 1991.
Codex Alimentarius., Requisitos generales. Higiene de los alimentos. Programa conjunto FAO/OMS sobre normas alimentarias. Comisión del Codex Alimentarius. Suplemento al Volumen IB.41p, 1998.
- Cardona, O., Evaluación de la amenaza, la vulnerabilidad y el riesgo. "Elementos para el Ordenamiento y la Planeación del Desarrollo". [ en línea noviembre 1993]. Disponible en: www.desenredando.org/public/ libros/1993/ldnsn/html/cap3.htm . [Consulta septiembre 2005].
Crosby, J., Les sistemes et la documentation. Enjeux. No 200. 20p, 1999.
- Coopers y Lybrand., Los nuevos conceptos del control interno. Informe COSO, Ediciones Díaz de Santos, Madrid, tomo I, 3-16p, 1997.
- CSJ, Internal Control Guidance for Directors on the Combined Code. Colegio de sensores jurados de Cuentas de Inglaterra y Gales, Sep. 1999
- Del Toro, J.C., Fonteboa, A., Armada, E., Santos, C.M. Programa de Preparación Económica para Cuadros. Material de Consulta. CECOFIS. Combinado de Periódicos Granma. La Habana, Cuba, 2005.
- DMR ? Consulting. , Nuevo esquema de gestión de riesgos. [en línea mayo 2005]. Disponible en: www.dmr-consulting.com.mx. [consulta diciembre 2005].
Fonseca, A., El riesgo político y los negocios internacionales, 2000.
- Feigenbaum, V., Total quality and international imperative . Quality news. 7(4): 174-177p, 1991.
Inda, A., Calidad en las industrias alimentaria. Parte 2. Sistema de Calidad del producto. Curso-Taller: Aplicación del Sistema HACCP en la Industria de productos lácteos. La Habana Cuba, 1999.
- Fragoso, C., "Análisis y Administración de Riesgos Financieros". Exposición de la materia de Análisis de Riesgos de la especialidad en Economía Financiera de la Universidad Veracruzana, Capítulo 13, Mercado de Derivados, Xalapa, 2002.
- ISO 9000: 2000. Sistemas de gestión de la calidad. Fundamentos y vocabulario. International Standard Organization. Norma
- ISO 9001: 2000 Sistemas de gestión de la calidad. Requisitos. International Standard Organization. Norma
ISO 9004:2000. Sistema de Gestión de la Calidad ? Directrices para la mejora del desempeño. International Standard Organization. Norma
Koprinarov, B., El riesgo empresarial y su gestión. Analítica. Com. Venezuela, 2005.
León, Mauricio. Auditoria Interna. Un enfoque Sistémico Mejora Continua. [ en línea noviembre 2003]. Disponible en: . [Consultada junio 2005].
León, Mauricio. Matriz de Control interno. [ en línea noviembre 2004] disponible en: http://wwwgestiopolis.com. [Consultada enero 2005].
- ISO 9000-1: 2000 Quality management and quality assurance standards: Guideline for selection and use. International Standard Organization. Norma
López, Cristina: Riesgo operacional: el nuevo reto para el sector financiero. Universidad de León. [en línea noviembre 2005]. Disponible en: www.aia.es/riesgo/riesgo-operacional.html. [Consulta Octubre 2005].
Maskrey, A., Conceptos y definiciones de relevancia en la gestión del riesgo. [en linea marzo 2002]. Disponible en: http://www.snet.gob.su/documentos/conceptos.htm. [Consulta mayo 2005]
- López, N., Control Interno. Análisis de Riesgos. Revista de Auditoría y Control. La Habana. 5, 5-13p, 2002.
- Norma AS/NZS 4360: Pasos en el desarrollo e implementación de un programa de administración de riesgos. [ en línea marzo 1999]. Disponible en: www/ grupokaizen.com. [Consulta septiembre 2005].
Percedo, Maria Irian, Análisis Territorial del Riesgo Biológico por enfermedades Emergenciales en la Población Animal. Ediciones CENSA. CUBA, 2004.
Pérez, Aleida, Diseño e implantación de un sistema de calidad y análisis de peligros en plantas procesadoras de alimentos. Tesis en opción al grado de Máster en medicina preventiva. Centro Nacional de Sanidad Agropecuaria, La Habana, Cuba, 2001.
- Padilla, Z.J., La responsabilidad del control. Universidad de costa Rica. Contraloría. Boletín 2. Articulo 6. [en línea en diciembre 2002]. Disponible en: http://ocu.ucr.ac/boletin2-2002-articulo6.htm [Consulta febrero 2004].
Resolución No. 01975, Administración de Riesgo. Servicio Nacional de Aprendizaje SENA. [en línea febrero 2004]. Disponible en: www//sena.edu.co. [Consulta enero 2006].
- Quirós, M.C., Administración del riesgo y auditoria interna. Universidad de costa Rica. Contraloría Universitaria. Boletín 1, Articulo 9. [en línea septiembre 2003]. Disponible en: http://ucu.ucr.ac.cr/boletin1-2003.articulo9.htm. [Consulta Enero 2004].
- Rooney, J., 7 steps to improved safety for medical devices .Rev. Quality Progress. Sep. 33-41p, 2001.
- Rosés, F., El mapa de riesgos permite ver las amenazas que tiene la empresa. [en línea abril 2000]. Disponible en: http://diariomedico.com/gestion/ges.220300.com. [Consulta Octubre 2003].
- Secretaria de la Función Pública (SFP). Sesión de Inducción: Modelo de Administración de Riesgos (MAR).[en línea enero 2004]. Disponible en: www//sfp.org. [Consulta octubre 2005].
Toledano, J., Curso taller de Riesgos, causas de riesgos y controles. Especialidad de la Gestión económico-financieras de la Educación Superior, Conferencia 3, Cuba, 2003.
- Organización de las Naciones Unidas para la Agricultura y la Alimentación (FAO). Sistemas de Calidad e Inocuidad de los Alimentos. Manual de capacitación sobre higiene de los alimentos y sobre el sistema de Análisis de Peligros y de Puntos Críticos de Control (APPCC), Roma, 232p, 2002.
- Uchida, H., Japanese construction industry beds for ISO 9000. ISO 9000 News. 5(5):21p, 1999.
Zorrilla, S., La administración de Riesgos. [ en línea junio 2004]. Disponible en: www.gestiopolis.com/canales2/finanzas/1/admoriesgo.htm.¨. [Consulta Febrero 2006].
Autor:
Yoanis Quincosa Diaz
Aleida Pérez Rojas
Esther G. Díaz Hernández.
DATOS
Yoanis Quincosa Diaz.
Licenciada en Economía.
Cargo: Especialista Departamento de Contabilidad.
Fecha de realización del trabajo: Mayo 2006
País: Cuba.
Página anterior | Volver al principio del trabajo | Página siguiente |