Embed Size (px)
Citation preview
Sistema Nacional de Control, Auditoría Gubernamental y Política Anticorrupción
1IX
IX
Actualidad Gubernamental N° 67 - Mayo 2014
Componente: Evaluación de riesgos
Sistema Nacional de Control, Auditoría Gubernamental y
Política Anticorrupción
Área
Info
rme
Espe
cial
IX
Autora : Mg. Marushka Naydú Mesa Pinto*
Título : Componente: Evaluación de riesgos - Parte fi nal
Fuente : Actualidad Gubernamental, Nº 67 - Mayo 2014
Ficha Técnica
Sumario1. Introducción2. Herramientas, políticas y buenas prácticas para la implementación del
componente 3. Administración de riesgos4. Conclusiones
1. IntroducciónEn el artículo publicado el mes anterior1, tratamos del componen-te Evaluación de riesgos, haciendo referencia a sus dos primeras normas básicas; es decir, al «Planeamiento de la administración de riesgos» y a la «Identifi cación de los riesgos».En esta ocasión trataremos sobre las dos normas básicas restantes: «Valoración de los riesgos» y «Respuesta al riesgo»; a tal efecto, relacionaremos lo dispuesto por la Resolución de Contraloría N° 320-2006-CG «Normas de Control Interno», con lo señalado por la Resolución de Contraloría N° 458-2008-CG «Guía para la implementación del Sistema de Control Interno en las entidades del Estado» (en adelante, la Guía).Asimismo, haremos referencia al documento del Committee of Sponsoring Organization of the Treadway Commission (COSO), denominado «Gestión de Riesgos Corporativos Marco Integra-do» (COSO - ERM) Resumen Ejecutivo de setiembre de 2004 (en adelante, el documento COSO - ERM) para complementar aquellos puntos en donde resulte necesario.
* Abogada por la Universidad San Martín de Porres (USMP). Magíster en Gestión Pública de la Uni-versidad de ESAN; egresada de la Maestría en Derecho de los Negocios de la USMP; titulada como Especialista en Administración de Negocios en IPAE. Graduada en el Programa de Especialización de Ejecutivos de ESAN, con mención en Administración; ha concluido el curso de Public Finance and Performance Management en Maryland School of Public Policy de la Universidad de Maryland EE.UU.6; así como el diplomado de Ética Pública, Transparencia y Anticorrupción, en la Universidad Nacional del Litoral de Argentina.
Con más de veinte años en el sector público, en áreas tributarias, administrativas y actualmente dedicada a la implementación del Sistema de Control Interno bajo el Modelo COSO.
Amplia experiencia docente, a la fecha se desempeña como profesora en la Escuela Nacional de Control de la Contraloría General de la República y en el Diplomado en Gerencia en la Administración Pública en ESAN.
1 «Componente: Evaluación de riesgos (Parte I)» en Actualidad Gubernamental Nº 66, Abril 2014.
2. Herramientas, políticas y buenas prácticas para la implementación del componente Evaluación de riesgos
Como recordamos, en el artículo anterior la última norma básica tratada fue la de «Identifi cación de los riesgos»2; identifi cación, que debe centrarse en aquellos riesgos más signifi cativos para la entidad; es decir, aquellos relacionados con el desarrollo de los procesos y los objetivos institucionales.En este punto, es preciso recordar que el establecimiento de objetivos es una condición previa para la evaluación de riesgos; y en tal sentido, dichos objetivos deben establecerse tanto a nivel de entidad como a nivel de procesos, antes de proceder con la identifi cación3 y evaluación de riesgos. Al respecto, la Guía señala que una vez identifi cados los riesgos se elabora un registro, al cual denomina Registro de identifi cación de riesgos; el que contiene la descripción de las causas o factores (internos o externos) que originan los riesgos, así como los posi-bles efectos; agregando al respecto, que entender la importancia del manejo del riesgo implica conocer con más detalle conceptos como proceso, subproceso, objetivos del subproceso, entre otros; conceptos que trataremos en la siguiente publicación.A tal efecto, presenta el siguiente ejemplo de formato de iden-tifi cación de riesgos:
Registro de identifi cación de riesgosEntidad:Fecha:Proceso:
Subproceso Objetivo del subproceso Riesgo Tipo de
riesgo
Causas (fac-tores internos y externos)
Efectos/con-secuencias
Es el caso que una vez identifi cados los riesgos, corresponde valorarlos y darles una respuesta adecuada; en tal sentido, con-tinuando con el desarrollo del componente Evaluación de ries-gos, corresponde tratar sobre las dos normas básicas siguientes: «Valoración de los riesgos» y «Respuesta al riesgo».
2 Entendiéndose como riesgos a aquellos eventos con un resultado negativo que puedan afectar la consecución de los objetivos de la entidad.
3 Mediante la utilización de técnicas de recopilación y diagramación.
Parte � nalParte � nal
Fe de erratas: Revista Nº 66 Área IX.En el segundo gráfi co de la primera columna de la pág. IX-2, el símbolo que aparece antes del recuadro «oportunidad» dice: (-) debe decir: (+)
Informe Especial
2IX
IX
Actualidad Gubernamental N° 67 - Mayo 2014
2.1. Valoración de riesgosLa Resolución de Contraloría N° 320-2006-CG respecto a esta norma básica establece:
«El análisis o valoración del riesgo le permite a la entidad considerar cómo los riesgo potenciales pueden afectar el logro de sus objetivos. Se inicia con un estudio detallado de los temas puntuales sobre riesgos que se hayan decidido evaluar. El propósito es obtener la sufi ciente infor-mación acerca de las situaciones de riesgo para estimar su probabilidad de ocurrencia, tiempo, respuesta y consecuencias».
En este sentido, la resolución establece que la entidad debe va-lorar los riesgos bajo dos perspectivas: Probabilidad e Impacto4; en donde la probabilidad representa la posibilidad de ocurrencia, mientras que el impacto representa el efecto de la ocurrencia; de-biendo estimar ambos factores usando datos de eventos pasados, los cuales pueden proveer una base objetiva en comparación con los estimados subjetivos, como técnicas prospectivas.Asimismo, establece que la metodología de análisis o valoración del riesgo de una entidad debe normalmente comprender una combinación de técnicas cualitativas y cuantitativas, pero que usualmente las entidades utilizan técnicas cualitativas de valo-ración cuando los riesgos no son cuantifi cables o cuando el uso de datos no es verifi cable.Respecto a las técnicas cualitativas, señala que estas consisten en la evaluación de la prioridad de los riesgos identifi cados, usando como criterios la probabilidad de ocurrencia, el impacto de la materialización de los riesgos sobre los objetivos, además de otros factores tales como la tolerancia al riesgo y costos, entre otros.En este punto, cabe indicar la defi nición que el documento del COSO - ERM establece respecto al concepto de «Tolerancia al riesgo», el cual según señala, corresponde a los niveles aceptables de desviación relativa a la consecución de los objetivos, los cuales pueden medirse con las mismas unidades que los objetivos co-rrespondientes; así por ejemplo, señala que si una empresa fi ja un objetivo del 98 % de puntualidad para sus entregas, con una desviación aceptable (tolerancia al riesgo) del 97 % y el 100 %, está defi niendo en estos dos últimos porcentajes su nivel de riesgo aceptado, al cual fi ja como una orientación para establecer los objetivos. En cuanto a las técnicas cuantitativas, la resolución señala que son usadas para analizar numéricamente el efecto de los riesgos identifi cados en los objetivos.De otro lado, la norma en mención, al tratar de la evaluación de riesgos, señala que la entidad puede valorar cómo los riesgos se correlacionan; es decir, se combinan e interactúan para crear probabilidades o impactos signifi cativamente diferentes, preci-sando al respecto lo siguiente:
Riesgos correlacionados positivamente
El impacto de los riesgos puede ser bajo, pero con una correlación
positiva de los mismos, el impacto aumenta.
Las entidades los valora individual-mente, pudiendo agruparlos en
categorías comunes, cuando ocurran en múltiples unidades.
Riesgos no correlacionados positivamente
En este punto, conviene indicar lo que el documento COSO - ERM señala al respecto, debiendo aclararse que no trata de correlatividad de «riesgos» sino de relaciones de «eventos»; en tal sentido, debe tenerse en cuenta que el modelo –entre sus
4 La Guía señala: Probabilidad es la posibilidad de ocurrencia del riesgo, la cual puede ser medida con criterios de frecuencia o teniendo en cuenta la presencia de factores internos y externos que puedan propiciar el riesgo, aunque este no se haya materializado. Impacto son las consecuencias que puede ocasionar a la entidad la materialización del riesgo.
ocho componente– contiene el denominado Identifi cación de Eventos5, el que para nuestro caso, en alguna medida equivaldría al subcomponentes «Identifi cación de riesgos» contenido en el componente «Evaluación de riesgos» (debiendo tenerse en cuenta la diferencia conceptual entre evento y riesgo). Es el caso que el documento COSO - ERM respecto a las relaciones entre eventos señala, que cuando los eventos potenciales no están relacionados entre sí, la dirección los evalúa individualmente; pero cuando exista correlación entre los eventos o estos se combinen o interaccionen para crear probabilidades o impactos signifi cativamente diferentes, la dirección los evaluará en su conjunto, pues aunque el impacto de un solo evento pueda ser ligero, el impacto de una secuencia o combinación de eventos puede ser más signifi cativo.Al respecto señala los siguientes ejemplos:Eventos potenciales no relacionados entre sí: Una empresa con unida-des de negocio expuestas a diferentes fl uctuaciones de precios (tales como el de la pasta de papel o el de moneda extranjera) evaluaría los riesgos independientemente de los movimientos del mercado.Eventos potenciales relacionados entre sí: Una válvula defectuosa de un depósito de propano en un almacén de distribución origina un escape de gas, mientras se mantienen cerradas las puertas de la instalación para retener el calor de las ofi cinas adyacentes. Cuando el conductor de un camión que se acerca al almacén activa un dispositivo de control remoto para abrir las puertas, la presencia conjunta del gas con la chispa del motor de la puerta causa una explosión.
2.1.1. Escalas cualitativa y cuantitativa de los riesgosLa Guía señala que la valoración de los riesgos se efectuará sobre la base de la información obtenida en el registro de riesgos6, para lo cual presenta las escalas que pueden utilizarse para analizar los riesgos, tanto desde el punto de vista cualitativo como cuan-titativo, según se señala a continuación:
2.1.1.1. Análisis cualitativoSe efectúa mediante la utilización de escalas descriptivas para demostrar la magnitud de consecuencias potenciales sobre los objetivos, las que pueden incidir en tiempo, costo, alcance o calidad (impacto) y su posibilidad de ocurrencia de cada riesgo específi co (probabilidad); escalas que se pueden modifi car o ajus-tar a las circunstancias de las necesidades de cada organización.Respecto a estas escalas la Guía señala que tanto para probabi-lidad como para impacto, se deben establecer las categorías a utilizar y la descripción de cada una de ellas con el fi n de que cada persona que aplique la escala, mida a través de ella los mis-mos ítems; a manera de ejemplo presenta las siguientes escalas:Escala cualitativa de probabilidad:
ProbableEs muy frecuente la matererialización del riesgo o se presume que llegará a materializarse.
ImprobableEs poco frecuente la materialización del riesgo o se presume que no llegará a materializarse.
PosibleEs muy frecuente la matererialización del riesgo o se presume que posiblemente se podrá materializar.
5 Defi ne al «evento» como un incidente o acontecimiento derivado de fuentes internas o externas, que afecta a la implantación de la estrategia o la consecución de objetivos, los cuales pueden tener un impacto positivo, negativo o ambos tipos a la vez.
6 El ejemplo consta en párrafos anteriores.
Sistema Nacional de Control, Auditoría Gubernamental y Política Anticorrupción
3IX
IX
Actualidad Gubernamental N° 67 - Mayo 2014
Escala cualitativa de impacto:
DesastrosoSi el hecho llegara a presentarse, tendría alto impacto o efecto sobre la entidad.
LeveSi el hecho llegara a presentarse, tendría bajo impacto o efecto en la entidad.
ModeradoSi el hecho llegara a presentarse, tendría medio impacto o efecto en la entidad.
Agrega además, que las entidades pueden construir sus propias escalas de acuerdo con su naturaleza y a las características de sus procesos y procedimientos, de forma que estas escalas se ajusten al análisis de los riesgos identifi cados.
2.1.1.2. Análisis cuantitativoEn cuanto al análisis cuantitativo, la Guía señala que mediante este se representa los valores numéricos para la elaboración de tablas de registro de riesgos; la calidad del análisis depende de lo precisas y completas que estén las cifras utilizadas. Señala al respecto, que la forma en la cual la probabilidad y el impacto son expresadas y las formas por las cuales ellos se combinan para proveer el nivel de riesgo puede variar de acuerdo al tipo de riesgo.Las escalas cuantitativas de probabilidad e impacto que, a manera de ejemplo presenta la Guía, son las siguientes:
Probabilidad de ocurrencia Nivel
0-25 Improbable
26-70 Posible
71-100 Probable
Impacto Nivel
0-25 Leve
26-70 Moderado
71-100 Desastroso
Al igual que en el caso del Análisis Cualitativo, la Guía señala que cada entidad puede modifi car o ajustar las escalas, de acuerdo con su naturaleza y a las características de sus procesos y procedimientos.Por su lado, el documento del COSO - ERM señala que la meto-dología de evaluación de riesgos de una entidad consiste en una combinación de técnicas cualitativas y cuantitativas; indicando que a menudo se aplican técnicas cualitativas cuando los riesgos no se prestan a una cuantifi cación o cuando no están disponibles datos sufi cientes y creíbles para la evaluación cuantitativa o la obtención y análisis de ellos no resulte efi caz por su coste.Agrega, que típicamente las técnicas cuantitativas aportan más precisión y se usan en actividades más complejas y sofi sticadas, para complementar las técnicas cualitativas, las que normalmente exigen un mayor grado de esfuerzo y rigor. El documento en mención proporciona algunos ejemplos de técnicas cuantitativas de evaluación de riesgos, las que se men-cionan a continuación:• Benchmarking: proceso comparativo entre entidades, que
enfoca eventos o procesos concretos, compara medidas y resultados mediante métricas comunes e identifi ca oportuni-
dades de mejora. Se desarrollan datos sobre dichos eventos y procesos y mediciones para comparar el funcionamiento. Algunas empresas usan esta técnica para evaluar la proba-bilidad e impacto de eventos en un sector determinado.
• Modelos probabilísticos: sobre la base de ciertas hipótesis, los modelos probabilísticos relacionan una gama de eventos, con su probabilidad de ocurrencia e impacto resultante. Ambos conceptos se evalúan a partir de datos históricos o resultados simulados que refl ejen hipótesis de comportamiento futuro.
• Modelos no probabilísticos: aplican hipótesis subjetivas para estimar el impacto de eventos sin una probabilidad asociada cuantifi cada. La evaluación de impacto de eventos se basa en datos históricos o simulados e hipótesis de comportamiento futuro. Ejemplo de este tipo de modelos son las medidas de sensibilidad, las pruebas de carga y los análisis de escenarios.
En cuanto a las técnicas cuantitativas, el documento COSO - ERM señala que para conseguir consenso se puede aplicar el mismo enfoque que se usa en la identifi cación de eventos, tales como entrevistas y grupos de trabajo; que para el caso peruano serían las técnicas de recopilación establecidas en la Guía.
2.1.2. Matriz de probabilidad e impactoLa Guía señala que la Matriz de probabilidad e impacto (también denominada Tabla de búsqueda) especifi ca combinaciones de probabilidad e impacto que llevan a la califi cación de los riesgos, de donde el nivel de puntuación de dicha califi cación ayuda a guiar las respuestas a los riesgos, toda vez que las califi caciones asignadas defi nen la priorización en la atención de los mismos.En este sentido, para establecer dichas combinaciones se utilizan valores para cada perspectiva de valoración, es decir tanto para la probabilidad como para el impacto, bien sea bajo el análisis cualitativo o cuantitativo; así por ejemplo si se utiliza una escala de valoración de 1 a 3 se tiene:
Probabilidad Valor
Probable 3
Posible 2
Improbable 1
Impacto Valor
Desastroso 3
Moderado 2
Leve 1
Es así, que si a un determinado riesgo se le otorga una califi cación en cuanto a probabilidad de «probable» (valor 3) y en cuanto a impacto de «desastroso» (valor 3), tendríamos un nivel de riesgo de 9 (3 x 3); nivel que responde a un riesgo inaceptable.Si la califi cación de la probabilidad es «posible» (valor 2) y el impacto «desastroso» (valor 3), el nivel de riesgo sería 6 (2 x 3); nivel que responde a un riesgo importante; asimismo, ocurriría si la probabilidad es «probable» (valor 3) y el impacto es «mode-rado» (valor 2), el nivel de riesgo sería 6 (3 x 2).Mientras que el nivel de riesgo sería moderado si la califi cación de la probabilidad es «improbable» (valor 1) y la del impacto «desastroso» (valor 3); o la probabilidad es «posible» (valor 2) y el impacto «moderado» (valor 2); o la probabilidad es «probable» (valor 3) y el impacto «leve» (valor 1); como se observa, el nivel de riesgo es moderado cuando la evaluación de este da como resultado 4 o 3.Un nivel total de riesgo 2 representa un riesgo «tolerable», el cual surge de un nivel de probabilidad de «posible» (valor 2) y un impacto «leve» (valor 1); así como también de un nivel de probabilidad «improbable» (valor 1) y un impacto «moderado» (valor 2).
Informe Especial
4IX
IX
Actualidad Gubernamental N° 67 - Mayo 2014
Finalmente, tendríamos un nivel de riesgo de 1 (1 x 1), es decir, un riesgo aceptable, cuando la probabilidad es «improbable» (valor 1) y el impacto es «leve» (valor 1), de donde resulta un nivel total de riesgo de 1.Como se observa, el nivel de riesgo responde a la multiplicación del valor de la probabilidad y el valor del impacto.Teniendo en cuenta la escala de valoración señalada, los niveles de riesgo son defi nidos por la Guía como sigue:
Riesgo inaceptableSe requiere acción inmediata. Planes de tratamiento requeridos, implementados y reportados a la alta dirección.
Riesgo importanteSe requiere atención de la alta dirección. Planes de tratamiento requeridos, implementados y reportados a los jefes de las ofi cinas, divisiones, entre otros.
Riesgo moderadoDebe ser administrado con procedimientos normales de control.
Riesgo tolerableMenores efectos que pueden ser fácilmente reme-diados. Se administra con procedimientos rutinarios.
Riesgo aceptableRiesgo insignifi cante. No se requiere ninguna acción.
Respecto, a los niveles de riesgo, la Guía establece que dichas combinaciones pueden usarse en términos descriptivos o valores numéricos, dependiendo de la preferencia de la entidad; y que es precisamente esta la que debe determinar qué combinaciones utilizará. Asimismo, indica que una vez valorados los riesgos, la puntuación del riesgo ayuda a guiar las respuestas a los riesgos.A manera de ejemplo, y con el fi n de visualizar las posibles com-binaciones para determinar el nivel de riesgo, la Guía propone la siguiente «Matriz de probabilidad e impacto», también llamada Mapa de riesgos, la cual ha sido diseñada con una escala de 1 a 9 (o de 3 x 3):
Matriz de probabilidad e impacto
Impacto
1 2 3
Leve Moderado Desastroso
Prob
abili
dad
Probable 33
Riesgomoderado
6Riesgo
importante
3Riesgo
inaceptable
Posible 22
Riesgotolerable
4Riesgo
moderado
2Riesgo
importante
Improbable 12
Riesgoaceptable
2Riesgo
tolerable
2Riesgo
moderado
Zona ROJA de riesgos «inaceptables» e «importantes».
Zona AMARILLA de riesgos «moderados».
Zona VERDE de riesgos «tolerables» y «aceptables».
Como se observa de la matriz anterior, la zona roja representa aquellos riesgos «inaceptables» e «importantes», aquellos cuyo nivel de riesgo se encuentra entre 9 y 6, respectivamente; la zona amarilla representa los riesgos «moderados» cuyo nivel de riesgo
se encuentra entre 4 y 3; y fi nalmente la zona verde, en la que el nivel de riesgos es de 2 y 1 representando riesgos «tolerables» y «aceptables», respectivamente. En este punto conviene señalar, que considerando que la Guía indica que queda a criterio de la entidad defi nir qué combina-ciones utilizará, para establecer el nivel del riesgo, a continuación se muestra un mapa de riesgo que contiene cuatro niveles de probabilidad y cuatro de impacto; en este sentido, se recomienda utilizar niveles de criterios de evaluación de riesgo impares, ya que evita el sesgo de ubicarse en el medio de la escala.
Mapa de riesgo
Prob
abili
dad
Impacto
Muy alta
Alta
Media
Baja
Leve Moderada Grave Crítica
Zona riesgo inaceptable
Zona riesgo importante
Zona riesgo moderado
Zona riesgo aceptable
Asimismo, se recomienda elaborar un mapa de riesgos por cada proceso, con el fi n de facilitar la administración del riesgo.
2.2. Respuesta al riesgoLa Resolución de Contraloría N° 320-2006-CG respecto a esta norma básica establece:
«La administración identifi ca las opciones de respuesta al riesgo conside-rando la probabilidad y el impacto en relación con la tolerancia al riesgo y su relación costo /benefi cio. La consideración del manejo del riesgo y la selección e implementación de una respuesta son parte integral de la administración de los riesgos».
En este sentido, señala que una parte crítica es la estrategia de res-puesta al riesgo por la que opte la entidad, pues se debe seleccionar la opción más adecuada para su manejo (evitarlos, reducirlos, com-partirlos o transferirlos y aceptarlos) y su debida implementación.Al respecto, la Guía señala que la entidad para seleccionar la res-puesta al riesgo, debe evaluar el efecto que esta tendrá sobre la probabilidad y el impacto, así como los costos y benefi cios que se generarán, señalando que debe seleccionar aquella respuesta que sitúe el riesgo residual dentro de la tolerancia al riesgo establecida.En este punto es preciso señalar la defi nición que contiene la Guía respecto al riesgo residual7, entendiendo por tal, a aquel riesgo que permanece después que la dirección toma acciones de control necesarias para reducir la probabilidad y consecuencia8 del riesgo.En relación con esto, señala que el riesgo residual podrá ser valo-rado tomando en consideración los riesgos inicialmente evaluados contra aquellas respuestas y acciones de control que minimizaron dicho riesgo; señalando que para ello, se tendrá que determinar la efi cacia de las acciones de control implementadas o existentes, permitiendo así determinar el adecuado riesgo residual.
7 Según el documento de COSO-ERM, el riesgo residual es aquel que permanece después de que la dirección desarrolle sus respuestas a los riesgos.
8 Entendemos que la Guía se refi ere al «Impacto».
Sistema Nacional de Control, Auditoría Gubernamental y Política Anticorrupción
5IX
IX
Actualidad Gubernamental N° 67 - Mayo 2014
Asimismo, la Guía señala que para efectos prácticos de la de-terminación del riesgo residual se considerarán los siguientes criterios:
Criterios Valoración del riesgo residual
No existen actividades de control Se mantiene el nivel de riesgo inicial
Existen actividades de control Se reduce en un nivel del riesgo inicial
Existen actividades de control efi caces
Se reduce en dos niveles el riesgo inicial
En este punto, conviene indicar también la defi nición de riesgo inherente9, que si bien es cierto no está contenida en la Guía, resulta importante su distinción con el riesgo residual.Al respecto, en el documento del COSO - ERM cuando se hace referencia al componente Evaluación de riesgos, se señala que los riesgos se analizan considerando su probabilidad e impacto como base para determinar cómo deben ser gestionados, y se evalúan desde una doble perspectiva, inherente y residual.En tal sentido, defi ne al riesgo inherente como aquel al que enfrenta una entidad en ausencia de acciones de la dirección para modifi car su probabilidad o impacto.De lo expuesto podemos concluir, lo siguiente:
Riesgos inherente+ Controles = Riesgo residual
Riesgo inherente
Control
Riesgo residual
De otro lado, en cuanto a la respuesta al riesgo, la Guía señala que existen cuatro posibles acciones a seguir, las mismas que se señalan a continuación:
Evitar• Implica tomar medidas para prevenir el riesgo.• Es la primera alternativa a considerar.
Compartir o transferir• Consiste en trasladar el impacto negativo de una
amenaza, junto con la propiedad de la respuesta a un tercero.
Reducir• Implica reducir tanto la probabilidad (medidas
de prevención) como el impacto (medidas de protección).
Asumir• Implica no ejecutar ninguna acción respecto al
riesgo residual.
La Guía señala que la elección de cualquiera de las acciones indi-cadas, debe considerar la viabilidad jurídica, técnica, institucional, fi nanciera y económica de la entidad.Asimismo, establece que luego de elegida la respuesta al riesgo, la entidad debe identifi car las actividades de control que per-mitan asegurar que las respuestas a los riesgos se lleven a cabo de manera adecuada y oportuna; debiendo considerar cómo se relacionan entre sí, pues una sola puede afectar riesgos múltiples, o caso contrario, se requerirán múltiples acciones de control para una respuesta a un riesgo.
9 También denominado Riesgo puro o Riesgo absoluto.
Finalmente, la Guía propone una «Matriz de riesgos», la cual señala constituye una herramienta metodológica que permite hacer un inventario de riesgos sistemáticamente agrupados por clase o tipo de riesgo y ordenado prioritariamente de acuerdo con el nivel de riesgos; que incluye además, la recomendación de acciones y responsables de su implantación.A continuación, se muestra el modelo de «Matriz de Riesgos» incluido en la Guía:
Riesgo
Evaluación de riesgo Respuesta al riesgo
Riesgo resi-dual
Respon-sable
Impacto Probabilidad Nivel de riesgo Res-
puestaAccio-nes
Activi-dades
de controlNivel Valor Nivel Valor Nivel Valor
3. Administración de riesgosHabiendo terminado de tratar el componente «Evaluación de riesgos», no podemos dejar de referirnos a la «Administración de riesgos» como un concepto integral, el cual constituye un proceso continuo que permite reducir el nivel de los riesgos a los que está expuesta la entidad, con el fi n de que los objetivos establecidos sean alcanzados. Al respecto, en la publicación anterior10, al referirnos a la norma general para el componente «Evaluación de riesgos», señalamos que según lo establecido en la Resolución de Contraloría N° 320-2006-CG este es parte del proceso de administración de riesgos e incluye: planeamiento, identifi cación, valoración y análisis, manejo o respuesta y el monitoreo de los riesgos de la entidad; concepto que se ve refl ejado en el siguiente esquema:
Adm
inis
trac
ión
de ri
esgo
s
Planeamiento
Manejo o respuesta
Monitoreo
Eval
uaci
ón d
e rie
sgos
Identifi cación
Valoración o análisis
Normas básicas para la evalua-ción de riesgos R.C. N° 320-
2006-CG
Como se observa, del concepto anterior fl uye que la Admi-nistración de riesgos contiene al componente evaluación de riesgos, así como al monitoreo, actividad que la resolución de Contraloría no describe como una de las normas básicas de dicho componente11. La norma básica Planeación de la administración de riesgos, en relación con la Administración de riesgos, señala que es un proceso que debe ser ejecutado en todas las entidades, debiendo el titular o funcionario designado, asignar la responsabilidad de su ejecución a un área o unidad orgánica, la cual debe defi nir la metodología, estrategias, tácticas y procedimientos para el proceso de administración de riesgos; no eximiendo con ello, a que las demás áreas identifi quen los eventos potenciales que pudieran afectar la adecuada ejecución de sus proceso, así como el logro de
10 Numeral 2).11 Sin embargo, en los comentarios de la norma básica referida al Planeamiento de la administración
de riesgos, se señala que el monitoreo debe estar incluido en dicho sub- componente, y asimismo deben establecerse métricas que permitan efectuarlo.
Informe Especial
6IX
IX
Actualidad Gubernamental N° 67 - Mayo 2014
sus objetivos y los de la entidad, con el propósito de mantenerlos dentro del margen de tolerancia que les permita proporcionar la seguridad razonable sobre su cumplimiento.Asimismo, señala que la Administración de riesgos es un pro-ceso continuo, dado los constantes cambios en las condiciones gubernamentales, económicas, tecnológicas, regulatorias y operacionales, el cual debe formar parte de la cultura de una entidad, y debe estar incorporada en la fi losofía, prácticas y procesos de negocio de la entidad, y no ser vista ni practicada como una actividad separada, pues cuando esto se logra todos en la entidad pasan a estar involucrados en ella.En este punto es preciso indicar, que para entender con claridad lo que es la Administración (Gestión) de riesgos debe tenerse en cuenta lo señalado por el documento COSO-ERM denominado Gestión de riesgos corporativos - Marco integrado, el cual sirve de antecedente a la Resolución de Contraloría N° 320-2006-CG .Al respecto establece que la gestión de riesgos corporativos12 se ocupa de los riesgos y oportunidades que afectan a la creación de valor o su preservación; y se defi ne de la siguiente manera:
«La gestión de riesgos corporativos es un proceso efectuado por el con-sejo de administración de una entidad, su dirección y restante personal, aplicable a la defi nición de estrategias en toda la entidad y diseñado para identifi car eventos potenciales que puedan afectar a la organiza-ción, gestionar sus riesgos dentro del riesgo aceptado y proporcionar la seguridad razonable sobre el logro de objetivos».
Estableciendo además, que la Gestión de riesgos corporativos comprende ocho componentes, entre los que se encuentra el de Supervisión (Monitoring); señalando al respecto, que este permite supervisar-revisar la presencia y funcionamiento de los componen-tes de la gestión de riesgos corporativos a lo largo del tiempo, pues las respuestas a los riesgos que en antaño eran efi caces podrían volverse irrelevantes, y asimismo las actividades de control pueden resultar menos efi caces o inexistentes, o los objetivos de la entidad pueden cambiar; pudiendo ser esto originado por la llegada de nuevo personal, cambios en la estructura u orientación de la enti-dad o introducción de nuevos procesos; todo lo cual origina que la dirección necesite determinar si el funcionamiento de la gestión de riesgos corporativos continúa siendo efi caz.De otro lado, si bien es cierto no está contenido como antece-dente en nuestra legislación, en este punto resulta conveniente hacer referencia al Estándar Australiano AS/NZ 4360:1999 «Administración de riesgos».Dicho estándar defi ne a la «Administración de riesgos» como la cultura, procesos y estructuras que están dirigidas hacia la administración efectiva de oportunidades potenciales y efec-tos adversos; constituyendo una parte integral del proceso de administración; siendo además un proceso iterativo de mejora continua, el cual cuenta con los elementos principales que se muestran en la siguiente fi gura:
Comunicar y consultar
Monitorear y revisar
Establecer el contexto
Identifi car riesgos
Analizar riesgos
Evaluar riesgos
Tratar riesgos
12 El documento COSO-ERM señala en su glosario, que la gestión de riesgos corporativos es una parte del proceso de gestión y está integrada a él; entendiendo por este último a la serie de acciones tomadas por la dirección para conducir una entidad.
Asimismo, resulta pertinente señalar lo que establece la Norma ISO 31000:2009 «Gestión de riesgos. Principios y directrices» al respecto. Dicha norma defi ne que la gestión de riesgos com-prende a las actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo.Señalando además, que cuando en su texto se refi era la «Gestión de riesgos» lo hace en relación con la arquitectura (principios, marco de trabajo y proceso) para gestionar los riesgos de manera efi caz; de donde para el caso bajo análisis, corresponde hacer referencia presentar al elemento «proceso» de la arquitectura en mención, el cual se refi ere al «Proceso de gestión de riesgo».Al respecto señala que el «Proceso de gestión de riesgos» debería ser parte de la gestión, integrarse en la cultura y en las prácticas, y adaptarse a los procesos de negocio de la organización.En este sentido, a fi n de esquematizar el Proceso de gestión de riesgos, la Norma ISO 31000, presenta la siguiente fi gura:
Establecimiento del contexto
Identifi cación del riesgo
Análisis del riesgo
Evaluación del riesgo
Seguimiento y revisión
Comunicación y consulta
Tratamiento del riesgo
Apreciación del riesgo
4. ConclusionesLa valoración de los riesgos se efectúa bajo dos perspectivas: probabilidad e impacto, entendiéndose por la primera, a la posibilidad de ocurrencia; y por la segunda, al efecto de la ocurrencia. Dicha valorización se realiza utilizando técnicas cualitativas y cuantitativas, respecto a las cuales cada entidad –de acuerdo a su naturaleza, a sus procesos y procedimientos– pueden construir sus propias escalas. Las combinaciones entre probabilidad e impacto, determinan el nivel de riesgo que afecta el objetivo que se busca preservar, pudiendo dichas combinaciones expresarse en términos descrip-tivos o en valores numéricos.Luego de determinado el nivel del riesgo, se debe defi nir la respuesta que se le dará al mismo, la cual puede ser: evitar, reducir, compartir o transferir y asumir; debiendo tenerse en consideración los costos y benefi cio que se generarán, así como la tolerancia al riesgo de la entidad.Una vez que se han tomado las acciones necesarias para reducir la probabilidad o el impacto, resulta el riego residual, el mismo que antes de instaurar dichas acciones, constituyó el riesgo inherente.La Administración de riesgos forma parte de la gestión de la entidad, como un proceso continuo que permite reducir el nivel de los riesgos a los que está expuesta.
