"Contribuciones a la Economía" es una revista
académica con el
Número Internacional Normalizado
de Publicaciones Seriadas
ISSN 1696-8360
Iván Santos Prieto (CV)
Universidad Central de Las Villas, Cuba
ivansv@uclv.edu.cu
anecvc@anecvc.co.cu
Resumen.
La evolución del mundo, de los negocios, de la educación y el interés creciente por una administración eficiente y efectiva, han cambiado el enfoque del control. Sujeto a esto podemos afirmar que en la actualidad los cambios operados en materia de Control Interno a partir de la implantación de la Resolución 297 del MFP, trae como consecuencia la realización de un estudio de la misma de cada uno de los componentes que la integran.
Realizar un estudio de la Administración de los Riesgos de Control Interno: principales funciones y técnicas, permitirá identificar y valorar los riesgos de Control Interno, y por otra parte contribuirá a crear las bases metodológicas para establecer un diseño por área de resultado o área de responsabilidad, que permita conocer los principales riesgos que tendrá que asumir la entidad para el cumplimiento de sus objetivos.
Para ver el artículo completo en formato pdf comprimido zip pulse aquí
Santos Prieto, I.: "Administración de los riesgos de control interno: principales funciones y técnicas" en Contribuciones a la Economía, octubre 2009 en http://www.eumed.net/ce/2009a/
El análisis bibliográfico es el punto de partida de cualquier investigación y permite llevar a cabo una revisión de las tendencias actuales en cuanto al tema de investigación, así como, definir los principales elementos presentes en el estado del arte que se ajustan al trabajo que se presenta.
En este análisis se plasman los criterios de diferentes autores que a partir de posiciones disímiles han abordado el tema del Control en la Dirección empresarial desde sus inicios hasta los momentos actuales y se evalúa además, la importancia, actualidad y características con que se proyectan estos conceptos en la realidad del sistema empresarial cubano y su entorno.
En el presente capitulo se realiza una revisión bibliográfica detallada de la temática Administración de los Riesgos de Control Interno, fundamentación teórica que comienza a partir de la exposición de diferentes definiciones de Riesgo, el transito por las 2 etapas que complementan el proceso de Administración de Riesgo, así como las diversas técnicas mayormente empleadas para identificar y valorar los Riesgos de Control Interno como parte de la Dirección Empresarial. De igual modo, se ilustra la aplicación de esta temática en el sector empresarial cubano y su vinculación con la implementación de la Resolución 297-03 del Ministerio de Finanzas y Precios, lo cual constituye la piedra angular, tanto desde el punto de vista jurídico normativo, como científico-técnico de la investigación.
1.1 Función de Control en la Dirección Empresarial.
El Control Interno constituye la función administrativa que concluye el Ciclo de Dirección y que permite comprobar la efectividad de las funciones anteriores (planificación, organización, integración de los recursos humanos y dirección), pero además es imprescindible para iniciar un nuevo ciclo, por cuanto a partir del análisis comparativo de lo logrado, se pueden proponer nuevas metas, cambiar estructuras, capacitar al personal y tomar una serie de medidas y decisiones con el objetivo de alcanzar niveles superiores. Los elementos fundamentales en cualquier sistema de control se convierten en el proceso de control cuando se les vincula secuencialmente en un ciclo. (Kast, 1988).
Stephen R, Michael (1983) considera que el Ciclo de Control es un proceso que consta de los siguientes pasos y que se expresan gráficamente también en la figura No 1:
1. Planeación de las operaciones.
2. Dirección de la implantación de los planes.
3. Evaluación de los resultados comparándolos con los requerimientos de la Planeación.
Figura No.1. Ciclo de Control.
Fuente: Stephen, 1983, tomado del libro Técnicas para el cambio organizacional.
El Sistema de Control en la Dirección Empresarial es compuesto por tres diferentes Subsistemas que deben funcionar en forma coordinada.
Estos Subsistemas son:
El Subsistema Preventivo.
El Subsistema Ejecutivo.
El Subsistema de Diagnóstico.
Se sugiere comenzar con un primer diagnóstico de cómo es el control, para luego desarrollar el Subsistema Preventivo, a continuación el Ejecutivo y finalmente, realizar un segundo Diagnóstico del desempeño de la empresa y del sistema, y de esta forma tomar las medidas correctivas necesarias. (Mejía, 2002).
• Subsistema Preventivo: Se establece la cultura de control necesaria para el desarrollo eficiente del sistema, proporcionando valores y propósitos a todos los empleados de la empresa; se determinan las acciones prohibidas en la organización, con lo cual se evitan riesgos propios del negocio, y se identifican los riesgos generales, con el fin de evaluarlos y determinar las medidas de control necesarias para evitarlos.
• Subsistema Ejecutivo: Proporcionan al empleado, a través del autocontrol, las herramientas necesarias para controlar su labor y para ejecutar las actividades de control en los procesos en los cuales participa y que han sido identificados a partir del análisis de riesgo.
• Subsistema de Diagnóstico: Con él se cierra el Ciclo de Control, al medir el logro de los objetivos y el desempeño de las variables críticas del negocio. Con este sistema se obtiene la retroalimentación y se logra el verdadero aprendizaje organizacional.
El logro del verdadero éxito de una organización empresarial, pasa a ser responsabilidad de todos los integrantes de la misma y del establecimiento pleno de un adecuado control interno. El mismo ha de ser diseñado, aplicado y considerado como la herramienta más importante para el logro de los objetivos, la utilización eficiente de los recursos y para obtener mayor productividad, además de prevenir fraudes, errores, violación de principios y normas contables, fiscales y tributarias.
Por la importancia que tiene la función de Control en la Dirección Empresarial, es que se le debe prestar atención permanente y actualizarla periódicamente. Como bien está contenido en la Resolución Económica del V Congreso del PCC al señalar que:
“El empleo de técnicas modernas de Dirección empresarial, adecuadas a nuestras características y basadas en las mejores y más avanzadas prácticas contemporáneas, así como el amplio uso de todas las posibilidades de las tecnologías… deben constituir prioridad del país, a los fines de garantizar mayor eficiencia en la gestión y los procesos productivos…” ( )
Los controles internos se implantan para mantener la empresa o negocio en la dirección de sus objetivos de rentabilidad y en la consecución de su misión, así como para minimizar las sorpresas en el camino. Ellos le hacen posible a la administración negociar en ambientes económicos y competitivos rápidamente cambiantes, ajustándose a las demandas y prioridades de los clientes y reestructurándose para el crecimiento futuro. Por otra parte, promueven la eficiencia, reducen los riesgos de pérdida de activos y ayudan a asegurar la confiabilidad de los estados financieros y el cumplimiento de leyes y regulaciones.
En un sentido amplio, el control interno se define como un proceso efectuado por el consejo de dirección, la administración y el resto del personal de una entidad, diseñado para proporcionar seguridad razonable en cuanto a la consecución de objetivos en las siguientes categorías:
Efectividad y Eficiencia en las operaciones.
Confiabilidad en la información financiera.
Cumplimiento de las leyes y regulaciones aplicables.
Esta definición de Control Interno es amplia porque es la manera como la mayoría de los ejecutivos principales intercambian puntos de vistas sobre control interno en la administración de sus negocios. De hecho, a menudo ellos hablan en términos de control y están dentro del control.
La probabilidad de conseguirlos está afectada por limitaciones inherentes a todos los sistemas de Control Interno; por ejemplo, los juicios en la toma de decisiones pueden ser defectuosos y las fallas pueden ocurrir por simples errores o equivocaciones. Adicionalmente los controles pueden estar circunscritos a dos o más personas, y la administración tiene la capacidad de desbordar el sistema. Otro factor de limitación es que el diseño de un sistema de control interno puede reflejar estrechez de recursos y los beneficios de los controles se deben considerar en relación a sus costos.
La construcción de controles también tiene implicaciones importantes en los costos involucrados y en el tiempo de respuesta, si se tiene en cuenta que la mayoría de las empresas se enfrentan a mercados altamente competitivos y necesitan reducir sus costos.
A nivel internacional existen varias metodologías que parten de un enfoque sistémico a la hora de concebir los sistemas de Control Interno, pero la metodología más completa y que asemeja la investigación es la siguiente:
INFORME COSO: The Committee of Sponsoring Organizations of Treadway Commisssion’s Internal Control – Integrated Framework. (Documento publicado en 1992). Hace recomendaciones a los contables de gestión de cómo evaluar, informar e implementar Sistemas de Control, teniendo como objetivo de control la efectividad y eficiencia de las operaciones, la información financiera y el cumplimiento de las regulaciones que explica en los componentes del ambiente de control, valoración de riesgos, actividades de control, información, y comunicación y el monitoreo.
Este informe COSO (Informe en Comisión de las organizaciones especializadas) (Sponsoring Organizations of the Treadway) consta de cinco componentes interrelacionados que se derivan de la forma como la administración maneja el negocio, y están integrados en los procesos administrativos. Los componentes son los siguientes:
Ambiente de Control.
Evaluación de Riesgos.
Actividades de control.
Información y comunicación.
Supervisión y seguimiento del sistema de control.
De acuerdo al enfoque sistémico presente en el Informe COSO, el Control Interno no consiste en un proceso secuencial, en donde algunos de los componentes afecta solo al siguiente, sino en un proceso multidireccional repetitivo y permanente, en el cual más de un componente influye en los otros, es decir los cinco componentes forman un sistema integrado que reacciona dinámicamente a las condiciones cambiantes.
La problemática a enfrentar es altamente compleja por cuanto no sólo implica un cambio de concepción en el diseño e implementación de los Sistemas de Control Interno, significa además centrar estratégicamente las acciones en aquellas cuestiones y puntos más vulnerables. Es de reconocimiento por los especialistas, que el papel de las auditorias se ha acrecentado en cantidad y calidad; sin embargo las situaciones negativas en torno a las fallas, violaciones e incumplimientos en el ámbito del Control Interno continúan manifestándose, entre otras factores, por la inadecuada administración de los riesgos.
1.2 Definiciones de Riesgos.
Antes de analizar cómo administrar los riesgos, debemos conocer definiciones de diversos autores referentes al significado de Riesgo.
Un riesgo es la posibilidad de sufrir una pérdida o no. (José Andrés Dorta, 2004).
Según Juan Pablo Zorrilla Salgado (2004), para un proyecto específico, el percance puede ser un producto terminado con menor calidad, costos más elevados, retrasos en el programa de actividades, o no alcanzar en absoluto el propósito y la intención del proyecto. En otras palabras, un riesgo es un problema en espera de ocurrir o no. Toda actividad conlleva un riesgo, ya que la actividad exenta de ello representa inmovilidad total. Pero aún así, si todos nos quedamos en casa sin hacer nada y se detuviera toda actividad productiva y de servicios, aún existiría el riesgo, no cabe duda que menores pero existirían, el riesgo cero no existe.
Por lo tanto definimos el Riesgo, como la probabilidad que un peligro (causa inminente de pérdida) existente en una actividad determinada durante un período definido, ocasione un incidente con consecuencias factibles de ser estimadas.
También lo podemos entender como el potencial de pérdidas que existe asociado a una operación productiva, cuando cambian en forma no planeada las condiciones definidas como estándares para garantizar el funcionamiento de un proceso o del sistema productivo en su conjunto. (Fragoso, 2002).
El riesgo incontrolado hace que el logro de los objetivos operacionales sea incierto. (Baca, 1997).
Los riesgos en general, se pueden clasificar en riesgo puro y riesgo especulativo. (Lewent, 1990).
El riesgo especulativo es aquel riesgo en la cual existe la posibilidad de ganar o perder, como por ejemplo las apuestas o los juegos de azar. En cambio el riesgo puro es el que se da en la empresa y existe la posibilidad de perder o no perder pero jamás ganar.
El riesgo puro en la empresa a su vez se clasifica en: Riesgo inherente y riesgo incorporado.
El riesgo inherente, es aquel que por su naturaleza no se puede separar de la situación donde existe. Es propio del trabajo a realizar. Es el riesgo propio de cada empresa de acuerdo a su actividad.
El riesgo incorporado es aquel que no es propio de la actividad, sino que producto de conductas poco responsables de un trabajador, el que asume otros riesgos con objeto de conseguir algo que cree que es bueno para el y/o para la empresa, como por ejemplo ganar tiempo, terminar antes el trabajo para destacar, demostrar a sus compañeros que es mejor, etc.
1.3 Administración de los Riesgos.
“La Administración de Riesgos es la disciplina que combina los recursos financieros, humanos, materiales y técnicos de la empresa, para identificar y evaluar los riesgos potenciales y decidir como manejarlos con una combinación óptima de costo – efectividad”. Juan López García (2004).
La Gerencia o Administración de Riesgos se ha convertido en una función estratégica esencial de la dirección corporativa moderna, y no una mera decisión comercial o productiva.
El concepto maneja fundamentalmente los elementos referidos a garantizar la seguridad y estabilidad integral de una organización de sus bienes, de las persona, etc., de amenazas actuales y futuras que pueden dañar la supervivencia de éstas.
Todo proyecto implica riesgos. Además, la aceptación del riesgo es esencial para el progreso y a menudo los fracasos son una parte fundamental del aprendizaje. Aunque algunos riesgos no se pueden evitar, el intentar reconocerlos y controlarlos no debe limitar las oportunidades de emplear la creatividad.
Es importante tener presente que en muchas ocasiones los integrantes de un equipo conocen los riesgos, pero no los comunican en la forma adecuada. Por lo general, es fácil informar de los riesgos hacia abajo en la cadena de mando, pero es difícil hacerlo en sentido contrario. En todos los niveles, las personas pretenden conocer los riesgos de los niveles inferiores, pero muchas veces no los comunican abiertamente a quienes están a un nivel más alto.
Según Edmundo Pelegrin (2004), el proceso de identificar los riesgos debe incluir un ambiente en el que las personas sientan la libertad de expresar puntos de vista especulativos o controversiales. Cuando los riesgos se perciben como algo negativo, los integrantes de un equipo se sienten renuentes a informar sobre ellos. En algunos proyectos, el mencionar los riesgos nuevos se toma como una queja. En ciertas situaciones, una persona que habla de los riesgos recibe el calificativo de conflictiva, y las reacciones se concentran en la persona, antes que en los riesgos. Bajo estas circunstancias, los miembros de un equipo tienen reservas para comunicar sus opiniones con libertad. Seleccionan y suavizan la información de riesgos que deciden compartir para que no resulte demasiado negativa en relación con las expectativas de los demás integrantes.
Para Edmundo Pelegrin (2004), aunque los integrantes del equipo y los patrocinadores de un proyecto importante a menudo consideran negativo el riesgo, es importante que no juzguen un proyecto simplemente por la cantidad y la naturaleza de los riesgos. Deben tomar en cuenta que el riesgo es la posibilidad, no la certeza, de una pérdida. Por otra parte, los integrantes de un equipo que evalúan un proyecto con una lista de los cinco o diez riesgos principales deben considerarlo con reservas, aunque la exposición total al riesgo no sea tan significativa.
Otro de los conceptos importantes que debemos conocer sobre la Gerencia o Administración de Riesgos, y donde según la teoría de Oscar Agudelo Cortes (1994), es el que la define como la disciplina que se ocupa del estudio de cómo realizar el análisis y predicción con la mayor exactitud posible de la ocurrencia de hechos causantes de perjuicios económicos a personas naturales o jurídicas, con el fin de medirlos y analizarlos para lograr su eliminación, o en caso contrario, disminuir sus efectos dañosos.
La Administración del Riesgo es reconocida también como práctica integral de una buena gerencia; se le trata aquí como un proceso permanente e interactivo que conlleva a que continuamente la administración, en coordinación con el comité o grupo asesor de control identifique, evalúe y revalúe, maneje y monitoree los riesgos latentes en el entorno asociados a factores internos y externos que pueden llegar a representar amenazas para la consecución de los objetivos organizacionales en el contexto del control interno técnico administrativo.
La administración del riesgo debe partir de una política institucional definida y respaldada por la alta dirección que se comprometa a manejar el tema dentro de la organización; este compromiso incluye la sensibilización de los funcionarios de la entidad, dándoles a conocer la importancia de su integración y participación en este proceso; la definición de un equipo de trabajo responsable de liderar el ejercicio y la Implementación de las acciones propuestas, el monitoreo y el seguimiento.
El objetivo fundamental, es el de minimizar los efectos adversos de los riesgos, con un costo mínimo mediante la identificación, evaluación y control de los mismos. (José Andrés Dorta Velásquez, 2004)
Así mismo, es factible aplicar varias herramientas y técnicas para identificar riesgos, como por ejemplo: entrevistas estructuradas con expertos en el área de interés; reuniones con directivos y con personas de todos los niveles en la entidad; evaluaciones individuales usando cuestionarios; tormentas de ideas realizadas con el comité o equipo de control; entrevistas e indagaciones con personas ajenas a la entidad; usar diagramas de análisis tales como árboles de error, de eventos y diagramas de flujo; análisis de escenarios y revisiones periódicas de factores económicos y tecnológicos que puedan afectar la organización, entre otros. La técnica utilizada dependerá de las necesidades y naturaleza de la entidad.
1.3.1 Etapas del proceso de Administración de Riesgos
Para un eficiente desarrollo de sus actividades, la gerencia de riesgos en cualquier sector u organización debe ajustarse a una metodología que le permita distribuir su trabajo en las siguientes etapas como afirma en su tesis Victor Belmar Muñoz, 2005.
Primera Etapa: Identificación de los Riesgos de Pérdidas.
La primera etapa nos permite determinar de una manera más exacta la exposición de una empresa o negocio a un riesgo o pérdida.
Para conocer un riesgo es necesario conocer su causa, que es la que va a determinar la existencia de este y si puede afectar a la empresa o no.
Este análisis tiene como objetivo determinar cada uno de los riesgos que pueda afectar la continuidad de un negocio o empresa, y con ello reconocer la posibilidad de una pérdida. También es importante identificar todo bien o interés de la empresa, ya que los riesgos siempre se relacionan con éstos.
La actividad empresarial de hoy se manifiesta en un entorno incierto, están expuestas a un conjunto amplio de riesgos, que cada vez son más diversos ante los cambios económicos, políticos, tecnológicos y sociales. A todas las empresas le surge la necesidad de defenderse ante los riesgos existentes.
Los efectos o consecuencias de los riesgos pueden afectar a la empresa de diversas formas. Clasificar estos efectos permite entender este aspecto de forma más precisa.
Métodos de Identificación de Riesgos
El proceso de la identificación del riesgo debe ser permanente e interactivo, integrado al proceso de planeación y responder a las preguntas: dónde, quién, qué, cuándo, cómo y por qué se pueden originar hechos que influyen en la obtención de resultados. Dichas 6 preguntas constituyen las llaves que nos conducen a una adecuada proyección en la prevención de las conductas delictivas y corruptivas.
Es importante tener en cuenta los factores que pueden incidir en la aparición de los riesgos, los cuales como se ha mencionando en las bases metodológicas pueden ser externos e internos y pueden llegar a afectar la organización en cualquier momento; entre los factores externos deben considerarse además de los que pueden afectar directamente a la entidad, factores económicos, legales y cambios tecnológicos, entre otros. Entre los factores internos se encuentran la propia naturaleza de las actividades de la entidad, las personas que hacen parte de la organización, los sistemas de información, los procesos y procedimientos y los recursos económicos.
A continuación presentamos los pasos para la identificación de los riesgos.
1. Historial de siniestro propios y ajenos:
El mantenimiento de registros e información de los siniestros, e incluso de acontecimientos o incidentes de escasa gravedad que han implicado daños económicos, es la primera fuente que permite detectar y evaluar riesgos. A menudo, estas informaciones son antiguas o incompletas, por lo que será necesario proyectarlas en el momento actual y a situaciones futuras. En la mayoría de las ocasiones el historial de siniestros de una sola entidad suele ser escaso y se dispondrá de una experiencia propia insuficiente, para identificar e evaluar la totalidad de los posibles riesgos. Por ello, se debe completar este historial propio con las experiencias de entidades ajenas del mismo sector, o cercano del que pertenece la entidad en cuestión.
2. Encuestas estándar y cuestionarios:
Permite diagnosticar la opinión de los miembros de las entidades del estado actual de los riesgos existentes. Esta clase de documentación suele consistir en una serie de páginas con cuestiones generales que pueden ser relevantes para las empresas.
3. Análisis de informaciones internas:
A la vista de informes de la entidad, se pueden detectar métodos, departamentos, sistemas, personas o mercancías, que pueden originar o participar en sus acontecimientos con resultados negativos. Las informaciones que con más frecuencias proporcionan indicios o avances de actuaciones peligrosas son:
Balance y estado de resultados, apuntes contables, informes del personal, documentos legales, memorias y proyectos de obras e instalaciones, contratos de suministros, servicios, representaciones y otros; cartera de clientes, productos y volumen de venta, cartera de proveedores, procedimientos de producción (investigación, desarrollo, producción y otros), informes jurídicos, inventario de edificio, instalaciones, maquinaria y mercancías, patentes y tecnología propios y adquiridas, gráficos de flujos.
Estas informaciones habrán de ser contactadas manteniendo conversaciones con los responsables de las áreas donde se han preparado.
4. Inspecciones personales:
Mediante los documentos, informaciones escritas que proporcionan los demás métodos, el gerente de riesgos puede visualizar la mayoría de los riesgos pero no todos. Para completar la información, es necesario la comprobación física y de actividades directamente, equipos, edificios, servicios, las condiciones correspondientes, etc. Todo esto se lleva a cabo mediante inspecciones de campo. Si la persona que va a realizar la inspección personal ha realizado el suficiente trabajo de despacho, revisando toda la documentación que se ha podido conseguir, podrá comprobar la importancia de riesgos que se ha encontrado en esta documentación y ampliarlos hasta alcanzar a conocer la casi totalidad de los riesgos que afectan a la empresa. Así pues, no es suficiente la información documental para identificar todos los riesgos de una empresa y tampoco es suficiente la sola inspección de campo, sino que ambas se complementan.
5. Consultas con expertos externos o internos:
La mayoría de las empresas no tienen los suficientes recursos como para tener amplia información de los riesgos que las pueden afectar. En ocasiones, los encargados de los departamentos no pueden imaginar todos los riesgos que las afectan, por lo que se hace necesario acudir a expertos externos que pueden ayudar a completar la identificación. El gerente de riesgos puede acudir a diferentes fuentes externas como pueden ser los profesionales individuales (abogados, técnicos de riesgos o contables), mercados u organizaciones (publicaciones periódicas o anuales), agencias gubernamentales y otros.
Segunda Etapa: Evaluación de los Efectos.
Una de las finalidades inmediatas que se persigue con la inspección es la evaluación de los riesgos detectados. En líneas generales, en la evaluación se toman en consideración dos factores del riesgo. De una parte, la evaluación de la probabilidad de que ocurra el riesgo en cuestión y, de otra, la evaluación de la gravedad económica del daño, en caso de que el riesgo se materialice. La Gerencia de Riesgos precisa de una evaluación global que integre ambas variables.
Como primera aproximación de las escalas de clasificación de la evaluación de riesgos se proporcionan las siguientes:
Métodos de Evaluación de Riesgos
Este grupo de métodos están fundamentados en la ecuación:
Riesgo = Probabilidad x Intensidad (R = P x I)
Cuyos factores, a modo de ejemplo, en una modulación de escala R de 0 a 100, se valoran de la siguiente forma:
Evaluación de la Intensidad (I)
Si bien existen métodos que evalúan la intensidad de un riesgo determinado, en cuanto a la afectación física sobre personas, instalaciones, maquinaria, la información que le interesa al Gerente de Riesgos es de índole económica, evaluando las pérdidas directas, consecuenciales y a largo plazo que puede originar la ocurrencia de un riesgo determinado.
Evaluación global Probabilidad e Intensidad.
La evaluación que proporciona una visión global más clara de la problemática que puede surgir ante la ocurrencia de un riesgo, es aquélla que interrelaciona la probabilidad de ocurrencia con la intensidad o gravedad de los efectos.
La evaluación ha de considerar simultáneamente las variables, probabilidad e intensidad, por lo que se recomiendan métodos de evaluación del riesgo que consideren ambos factores, aplicando la ecuación básica de cálculo del riesgo.
1.3.2 Los Enfoques de la Administración de los Riesgos.
Un equipo de proyecto que funciona con eficacia, mide los riesgos incesantemente y emplea la información para la toma de decisiones en todas las etapas del proyecto. En muchos proyectos, los riesgos se valoran sólo una vez durante la planificación inicial del proyecto. Los riesgos principales se identifican y atenúan, pero después no se revisan explícitamente. Esto no es un ejemplo de una buena administración de riesgos.
Según Zorrilla Salgado (2004), existen dos enfoques inherentemente distintos para la administración de riesgos. Uno es reactivo y el otro es proactivo. La administración reactiva de riesgos, significa que el equipo del proyecto reacciona a las consecuencias de los riesgos (los problemas reales) conforme ocurren. La administración proactiva de riesgos significa que el equipo del proyecto cuenta con un proceso visible para administrarlos. Este proceso se puede medir y repetir.
La prevención del riesgo es el punto de transición entre los enfoques reactivo y proactivo. La prevención ocurre en las etapas de planeación de un proyecto, cuando el equipo puede aplicar acciones para impedir que ocurran los riesgos. Es importante señalar que, esencialmente, la prevención es todavía una estrategia reactiva para administrar los riesgos; no es un remedio para la causa del riesgo, sólo una forma de evitar sus síntomas.
Para alcanzar los niveles más altos de la administración proactiva de riesgos, el equipo debe estar dispuesto a tomar riesgos. Esto significa no temer al riesgo, sino considerarlo como un medio para crear oportunidades adecuadas. Para conseguirlo, el equipo debe ser capaz de evaluar imparcialmente los riesgos (y las oportunidades) y, a continuación, aplicar acciones que aborden las causas de estos riesgos, no sólo sus síntomas. Es importante enfatizar que el factor determinante para tener éxito no es la calidad de la valoración del riesgo, sino la capacidad del equipo para administrar el riesgo y la oportunidad.
El proceso de Administración Proactiva de Riesgos
Para Zorrilla Salgado (2004), cuando el equipo del proyecto emplea la administración proactiva de riesgos, los valora en forma continua y los utiliza para tomar decisiones en todas las etapas del proyecto. Incluye los riesgos y los enfrenta hasta que se resuelven, o hasta que se convierten en problemas y se manejan como tales.
Identificación de Riesgos
La identificación de riesgos es el primer paso en el proceso de la administración proactiva de riesgos. Los riesgos deben identificarse antes de que puedan administrarse. La identificación de riesgos proporciona al equipo del proyecto las oportunidades, indicios e información que le permiten ubicar los riesgos principales antes de que afecten adversamente al proyecto. El proceso que ocurre entre los integrantes del equipo y los patrocinadores es muy importante. Es un medio vigoroso de manifestar las suposiciones y los puntos de vista contrastantes.
No es probable que en un equipo haya coincidencia en la valoración de todos los factores de riesgo. Dependiendo de su experiencia, sus conocimientos y sus intereses cada uno de los diferentes integrantes del equipo tendrá una opinión propia. Si después de una discusión no se alcanza un acuerdo, el mejor enfoque es una votación, donde prevalezca la opinión de la mayoría.
Los Factores de Riesgo
Los factores de riesgo se agrupan por área de atención y categoría. Los factores del propósito y las metas, la necesidad de tomar decisiones, los factores de administración de la organización, y los factores de presupuestos y costos, son ejemplos de las categorías de factores de riesgo dentro de un área de atención.
Cada factor de riesgo posee una o más características que describen si el riesgo debe considerarse alto, mediano o bajo.
Una evidencia de riesgo bajo sería que el proyecto apoyará directamente el propósito y las metas del cliente; una evidencia de riesgo alto sería cuando el proyecto no apoyara ni se relacionara con el propósito y las metas del cliente.
La declaración del riesgo
Antes de que pueda administrarse un riesgo, debe expresarse con claridad. Cuando declara un riesgo, el equipo no debe considerar sólo un síntoma, sino también un resultado. Por esa razón, la declaración del riesgo debe incluir lo que provoca que surja la situación (esto es, la causa) y el resultado esperado (la consecuencia).
Análisis de Riesgos
El análisis de riesgos es el segundo paso en el proceso de administración proactiva de riesgos. Es la conversión de los datos de un riesgo a información para la toma de decisiones respectiva. Un análisis minucioso corrobora que el equipo trabaja en los riesgos convenientes.
Probabilidad de un Riesgo
Un riesgo se compone de dos factores: probabilidad e impacto.
La probabilidad de un riesgo es la posibilidad de que un evento suceda. Para clasificar los riesgos es recomendable la asignación de un valor numérico a la probabilidad. La probabilidad de un riesgo debe ser mayor que cero o el riesgo no representa una amenaza para el proyecto. Asimismo, la probabilidad debe ser menor que 100% o el riesgo es una certeza, en otras palabras, es un problema identificado.
El impacto de un riesgo mide la severidad de los efectos adversos, o la magnitud de una pérdida, si el riesgo llega a suceder. La decisión de cómo medir las pérdidas sostenidas no es un asunto trivial.
Si el riesgo tiene un impacto financiero, el valor monetario es la forma preferible para cuantificar la magnitud de una pérdida. El impacto financiero podrían ser costos a largo plazo en la operación y el apoyo, una pérdida en la participación en el mercado, costos a corto plazo por el trabajo adicional, o pérdida en el costo de oportunidad.
Otros riesgos pueden tener un nivel de impacto en donde es más conveniente una escala subjetiva del 1 al 5. Básicamente se califica la viabilidad del éxito del proyecto. Los valores altos indican una pérdida seria para el proyecto. Los valores medianos señalan una pérdida en partes del proyecto o una disminución de la eficiencia.
Exposición al Riesgo
Para evaluar una lista de riesgos, debe entenderse con claridad la amenaza completa de cada una de las necesidades de riesgos. En ocasiones un riesgo con una probabilidad alta tiene un impacto bajo y puede ignorarse sin complicaciones; otras veces un riesgo con un impacto alto tiene una probabilidad baja y también puede ignorarse. Los que en verdad se requiere administrar, son aquellos con una exposición alta (probabilidad e impacto altos). Esto se consigue reduciendo la probabilidad o el impacto del riesgo.
El formulario de declaración de Riesgos
La siguiente es una lista de la información empleada por Yairin Arteaga (2005) y Martha Cruz Bravo (2005), donde el equipo debe considerar cuando desarrolle un formulario de declaración de riesgos:
Identificador del riesgo: El nombre que emplea el equipo para identificar inequívocamente una declaración de riesgo, con el propósito de elaborar informes y darle seguimiento.
Fuente del riesgo: El área de atención (esto es, el desarrollo personalizado de software, la diseminación del software terminado, el despliegue de la infraestructura, la administración del programa de la empresa o la planificación de la arquitectura de la empresa), la categoría del factor de riesgo (esto es, el propósito y las metas, la necesidad de tomar decisiones, la administración de la organización, el programa de actividades, o el presupuesto/costo), y el factor de riesgo (esto es, la conveniencia del proyecto, la influencias políticas, la estabilidad de la organización, el tamaño del proyecto) que se emplearon para identificar el riesgo.
Condición del riesgo: Una declaración en lenguaje normal que describa una condición existente que pudiera conducir a una pérdida para el proyecto.
Consecuencia del riesgo: Una declaración en lenguaje normal que describa la pérdida que ocurriría en el proyecto si se materializara el riesgo.
Probabilidad del riesgo: Una expresión del porcentaje mayor que cero y menor que el 100 por ciento, que representa la probabilidad de que la condición ocurra, provocando una pérdida.
Clasificación del impacto del riesgo: Si el impacto del riesgo es, por ejemplo, financiero, estratégico, técnico o legal.
Impacto del riesgo: La magnitud del impacto en caso de que el riesgo ocurra. Este número debe ser el valor monetario de la pérdida o simplemente un número entre 1 y 10 que represente una magnitud relativa. Para valorarlo, a menudo se emplea el resultado de multiplicar el impacto por la probabilidad del riesgo.
Exposición al riesgo: La amenaza completa que significa el riesgo para el proyecto, compensando la probabilidad de una pérdida real con la magnitud de la pérdida posible. El equipo emplea la exposición al riesgo para valorar y clasificar los riesgos.
Contexto del riesgo: Un párrafo con antecedentes adicionales que sirvan para aclarar la situación del riesgo.
Riesgos relacionados: Una lista de identificaciones que emplea el equipo para dar seguimiento a los riesgos que dependen entre sí.
Planificación de Acciones para Riesgos
La Planificación de Acciones para Riesgos, es el tercer paso en el proceso de administración de riesgos. Convierte la información sobre un riesgo en decisiones y acciones. La planificación implica desarrollar acciones para enfrentar los riesgos individuales, establecer prioridades en las acciones para un riesgo, y crear un plan integrado de administración de riesgos.
Seguimiento de Riesgos
El seguimiento es el cuarto paso en el proceso de administración de riesgos. Durante esta fase, el equipo vigila el estado de los riesgos y las acciones que ha aplicado para atenuarlos. El seguimiento de los riesgos es esencial para la implementación de un plan de acciones eficaz. Esto implica establecer las unidades de medición del riesgo y los eventos de activación necesarios para asegurar que funcionan las acciones planificadas.
El seguimiento es la función de vigilancia del plan de acciones para riesgos. Es conveniente incluir una revisión del riesgo durante las revisiones y los análisis regulares del proyecto. Esto debe incorporar una valoración del avance en la solución de los 10 riesgos más importantes del proyecto.
Elaboración de informes del Estado del Riesgo
Para las revisiones, el equipo debe presentar los riesgos importantes para el proyecto y el estado de las acciones para la administración de riesgos. Si las revisiones del proyecto se programan con regularidad (en forma mensual o en los puntos de decisión significativos), es útil mostrar la clasificación de riesgos, por ejemplo, la cantidad de veces que un riesgo ha estado en la lista de los 10 más importantes.
La elaboración de informes del estado de riesgos identifica cuatro situaciones posibles en la administración de riesgos:
Un riesgo se soluciona, con lo que termina el plan de acciones que le corresponde.
Las acciones para un riesgo siguen el plan de administración de riesgos, en cuyo caso se mantienen dentro de lo planificado.
Algunas acciones para un riesgo no siguen el plan de administración de riesgos, en cuyo caso deben determinarse e implementarse medidas correctivas.
La situación ha cambiado significativamente en relación con uno o más riesgos y por lo general requerirá una revaloración de los riesgos o volver a planificar una actividad.
Conforme el equipo del proyecto adopta acciones para administrar los riesgos, la exposición al riesgo total del proyecto debe tender a establecerse en niveles aceptables.
Control de Riesgos
El control de riesgos es el último paso en el proceso de administración proactiva de riesgos. Después de que el equipo ha seleccionado las unidades de medición de riesgos y los eventos de activación, no hay nada singular en la administración de riesgos. Más bien, se debe combinar con los procesos de administración de un proyecto para controlar los planes de acciones, corregir las variaciones de los planes, responder a los eventos de activación, y mejorar el proceso de administración de riesgos.
La administración de riesgos depende de los procesos de administración del proyecto para:
Controlar los planes de acciones para riesgos.
Corregir las variaciones de los planes.
Responder a los eventos de activación.
Mejorar el proceso de administración de riesgos.
1.4 Técnicas de identificación y valoración de los Riesgos.
El diagnóstico constituye un obligado punto de partida en el proceso investigativo, por los valiosos conocimientos y realidades que aporta la entidad objeto de estudio. Existen varias formas de diseñar un diagnóstico, en este caso se aplicó el Diagnóstico Empresarial enfocado específicamente al Subsistema: Control Interno.
En la fase inicial del estudio diagnóstico de investigación, se aplican encuestas a solicitud de la administración y de su comité de control, en interés de profundizar y evaluar con el mayor rigor posible, el comportamiento de los valores de la organización. Los valores de la organización constituyen una premisa de alta consideración en el fomento y materialización de un adecuado clima laboral y por tanto del prestigio de las organizaciones. En tal sentido se destaca la gerencia japonesa, donde en uno de sus principales postulados señala el inestimable valor del prestigio de los colectivos laborales. A los efectos de lograr la mayor profundidad y alcance en las valoraciones, se proyectó el diagnóstico a la evaluación del comportamiento de variables tales como: libertad, sentido de pertenencia, liderazgo, clima organizacional, estimulación o recompensa, etc.
Una metodología para diseñar y analizar los riesgos en el contexto del Control Interno Técnico Administrativo, puede variar ampliamente porque muchos riesgos son difíciles de cuantificar, sin embargo el proceso que puede ser más o menos formal y usualmente incluye:
Una estimación de su importancia y trascendencia.
Una evaluación de la probabilidad y frecuencia.
Una definición del modo en que habrán de manejarse.
Cambios en el entorno.
Redefinición de la política institucional.
Reorganizaciones o reestructuraciones internas.
Ingreso de empleados nuevos o rotación de los existentes.
Nuevos sistemas, procedimientos y tecnologías.
Nuevos productos, actividades o funciones.
Según la práctica internacional y como lo definen los autores Juan López García (2004) y Edmundo Pelegrin (2006) en cada una de sus tesis, la identificación del riesgo se realiza a través de la elaboración del Mapa de Riesgos, el cual como herramienta metodológica permite hacer un inventario de los riesgos ordenada y sistemáticamente, definiendo en primera instancia los riesgos, posteriormente presentando una descripción de cada uno de estos y finalmente definiendo las posibles consecuencias como:
Descripción del Riesgo: posibilidad de ocurrencia de aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad, el área o el proceso que se trate y le impidan el logro de sus objetivos.
Causas y Condiciones: se refiere a los factores internos o externos que provocan o propician la manifestación de los riesgos identificados.
Incidencias o posibles consecuencias: corresponde a los posibles efectos ocasionados por el riesgo, los cuales se pueden traducir en daños de tipo económico, social, administrativo, moral entre otros.
Medidas adoptadas: se refiere a las medidas aplicadas por la administración y dirigidas a contrarrestar las posibles conductas delictivas y corruptivas.
El objetivo del análisis del riesgo como plantea Juan López García (2004), es el de establecer una valoración y priorización de los riesgos con base en la información ofrecida por los mapas elaborados en la etapa de identificación, con el fin de clasificar los riesgos y proveer información para establecer el nivel de riesgo y las acciones que se van a implementar. El análisis del riesgo dependerá de la información sobre el mismo, de su origen y la disponibilidad de los datos. Para adelantarlo es necesario diseñar escalas que pueden ser cuantitativas o cualitativas o una combinación de las dos.
Según los autores Juan López (2004) y Edmundo Pelegrin (2006) se establecen dos aspectos para realizar el análisis de los riesgos identificados:
• Probabilidad: la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia o teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya presentado nunca.
• Impacto: consecuencias que puede ocasionar a la organización la materialización del riesgo.
A continuación se presentan algunos ejemplos de las escalas que pueden implementarse para analizar los riesgos.
Escala de medida cualitativa o cuantitativa de Probabilidad: se deben establecer las categorías a utilizar y la descripción de cada una de ellas, con el fin de que cada persona que aplique la escala mida a través de los parámetros siguientes:
Alta: es muy factible que el hecho se presente.
Media: es factible que el hecho se presente.
Baja: es muy poco factible que el hecho se presente.
Ese mismo diseño puede aplicarse para la escala de medida cualitativa o cuantitativa de Impacto, estableciendo las categorías y la descripción, por ejemplo:
Alto: Si el hecho llegara a presentarse, tendría alto impacto o efecto sobre la entidad.
Medio: Si el hecho llegara a presentarse tendría medio impacto o efecto en la entidad.
Bajo: Si el hecho llegara a presentarse tendría bajo efecto en la entidad.
Cualquier esfuerzo que emprendan las entidades en torno a la valoración llega a ser en vano, si no culmina en un adecuado manejo y control de los riesgos, definiendo acciones factibles y efectivas, tales como la implantación de políticas, estándares, procedimientos y cambios físicos, entre otros, que hagan parte de un plan de manejo.
Para el manejo del riesgo según Edmundo Pelegrin (2006), se pueden tener en cuenta alguna de las siguientes consideraciones, las que pueden analizarse cada una de ellas independientemente, interrelacionadas o en conjunto.
• Evitar el riesgo: es siempre la primera alternativa a considerar. Se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas.
• Reducir el riesgo: si el riesgo no puede ser evitado porque crea grandes dificultades operacionales, el siguiente paso es reducirlo al más bajo nivel posible. La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y la implementación de controles.
• Dispersar y atomizar el riesgo: Se logra mediante la distribución o localización del riesgo en diversos lugares.
• Transferir el riesgo: Hace referencia a buscar respaldo y compartir con otro parte del riesgo. Esta técnica es usada para eliminar el riesgo de un lugar y pasarlo a otro o de un grupo a otro.
• Asumir el riesgo: Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene.
Una vez establecidos cuáles de los anteriores manejos del riesgo se van a concretar, estos deben evaluarse con relación al costo-beneficio para definir cuáles son susceptibles de ser aplicados y proceder a elaborar el plan de manejo de riesgo, teniendo en cuenta el análisis elaborado para cada uno de los riesgos de acuerdo con su impacto, probabilidad y nivel de riesgo.
Posteriormente se definen los responsables de llevar a cabo las acciones especificando el grado de participación de las dependencias en el desarrollo de cada una de ellas. Así mismo, es importante construir indicadores, entendidos como los elementos que permiten determinar, de forma práctica, el comportamiento de las variables de riesgo que van a permitir medir el impacto de las acciones.
Una vez realizada la selección de las acciones más convenientes, se debe proceder a la preparación e implementación del plan, identificando responsabilidades, programas, resultados esperados, medidas para verificar el cumplimiento y las características del monitoreo. El éxito de la implementación del plan, requiere de un sistema de control interno administrativo efectivo, el cual tenga claro el método que se va a aplicar.
Es importante tener en cuenta que los objetivos están consignados en la planeación anual de la entidad, por tal razón se sugiere incluir el plan de manejo de riesgos dentro de la planeación, con el fin no solo de alcanzar los objetivos, sino de implementar también las acciones.
1.4.1 El Mapa de Riesgos, fuente de implementación del inventario de riesgos.
El mapa de riesgos puede ser entendido como la representación o descripción de los distintos aspectos tenidos en cuenta en la valoración de los riesgos, que permite visualizar todo el proceso de la valoración del riesgo y el plan de manejo de estos.
En la siguiente figura se muestra la estructura previa del mapa de riesgos, elaborado por López García (2004) en su tesis de maestría, y que constituye la base para la implementación del inventario de riesgos al control Interno en el sistema empresarial hotelero.
Tabla No.1 Mapa de Riesgo.
Riesgos
Impactos
Probabilidad Control Existente Nivel de riesgo
Acciones
Responsables
Cronograma
Fuente: Elaborado por López García(2004), en su tesis de maestría Bases metodológicas Generales para el diseño e implementación de los Sistemas de Control Interno en Villa La Granjita.
La evaluación del plan de manejo de riesgos se debe realizar con base en los indicadores de gestión diseñados para tal fin y los resultados de los monitoreos aplicados en diferentes períodos. Así mismo, se evaluará como ha sido el comportamiento del riesgo y si se han presentado nuevos riesgos que deban ser combatidos. Si bien es cierto se esta realizando una evaluación, no se puede entender que esta es la etapa final del proceso, todo lo contrario, con la evaluación se esta obteniendo información importante para reformular el plan de manejo de riesgos, agregar las acciones para combatir los nuevos riesgos detectados, generar dentro de las dependencias y áreas un ambiente de compromiso, pertenencia y autocontrol y posibilitar a través de la retroalimentación, el mejoramiento en el logro de los objetivos institucionales.
1.4.2 Los Tipos y clasificación de los riesgos a escala internacional.
Después de estudiar a varios autores, creemos que una de las tesis más acertadas en cuanto a frecuencia, intensidad y tratamiento de los riesgos a escala internacional es la del autor Edmundo Pelegrin (2006) y se definen de la siguiente forma:
1.5 Administración de Riesgos en Cuba y su relación con la Resolución 297-03 del MFP.
La práctica de la administración de riesgos en nuestro país, se ha caracterizado por la existencia de numerosas instituciones administrativas y científico técnicas, que norman aspectos parciales de la actividad, como son por ejemplo: la Defensa Civil; pero el rasgo peculiar ha consistido en que los trabajos han tenido un enfoque eminentemente operacional y muy pocos han abordado el aspecto económico financiero, como expresión resumida del impacto de los riesgos sobre la posición general del objeto analizado; de manera que en Cuba la necesidad de la implantación y desarrollo de la administración de riesgos es obvia.
La Economía Cubana al valorar sus antecedentes en materia de control interno a transitado por diferentes momentos, presentes factores objetivos y subjetivos, donde sus principios y normativas de control interno vigentes hasta el año 2003, no estaban diseñados para proporcionar un grado de seguridad razonable en cuanto a la consecuencia de objetivos dentro de las categorías de Eficacia, Eficiencia, factibilidad de la información financiera y el cumplimiento de las leyes y normas aplicadas.
Tal situación materializó un objetivo fundamental: definir un nuevo marco conceptual del Control Interno, capaz de integrar las diversas definiciones y conceptos que venían siendo utilizados sobre el tema, logrando así que, al nivel de las organizaciones, de la auditoria interna o externa, o de los niveles académicos o legislativos, se cuente con un marco conceptual común, y una visión integradora que satisfaga las demandas de todos los entes involucrados. En tal sentido, el Ministerio de Finanzas y Precios pone en vigor la Resolución No. 297 del 2003 que comprende la definición de Control Interno, el contenido de los componentes y las normas para su implementación. La misma en su Resuelvo Segundo plantea “La presente resolución se aplicara de forma gradual en todas las entidades del país, en el transcurso de un año para aquellas empresas que e encuentran en perfeccionamiento empresarial y en el transcurso de hasta dos años para el resto de las entidades. A tales efectos cada entidad elaborará un cronograma que se presentará a las Direcciones de Finanzas y Precios de los órganos municipales del Poder Popular y a sus niveles superiores de subordinación, en un plazo de treinta (30) días posteriores a la promulgación de la presente Resolución.”
Sin embargo en los últimos tres años, con la puesta en vigor de las Resoluciones 297-03 del MFP, y la Resolución 013-06 del Ministerio de Auditoria y Control, (está última relacionada con la detección y enfrentamiento de las indisciplinas, ilegalidades y manifestaciones de corrupción, que se hayan presentado o puedan presentarse en una entidad, para lo cual se establece el diagnostico de los riesgos y la elaboración del plan de prevención) la administración de riesgos en el país comienza a tomar una estructura más integral, lo que no es suficiente si tenemos en cuenta que tanto por la alta especialización profesional requerida, como por la importancia económica del mismo, le resultaría más ventajoso desde el punto de vista económico contratar este servicio en las oportunidades que lo requiera, que desarrollar y mantener especialistas en la materia.
La Resolución 297 del MFP
Esta resolución aprobada en el año 2003 surge a partir de la necesidad de normar el conjunto de procedimientos internos de Control por cada empresa o entidad, teniendo en cuenta las leyes, y procedimientos establecidos en nuestro país. Ella se crea igualmente para unificar criterios y concepciones de Control Interno y que sean de total obligatoriedad su cumplimiento y forma de proceder.
La misma cuenta con 5 componentes básicos muy semejantes a lo que se establece en el Informe COSO (Comité Internacional de estudio de gestión de evaluación de los sistemas de Control), uno de los más eficientes y avanzados en materia de auditoria según López García (2004)
Los cinco componentes son los siguientes:
Ambiente de Control.
Evaluación del Riesgo.
Actividades de Control.
Información y comunicación.
Supervisión y monitoreo.
Cada uno de estos componentes cuenta con un enfoque estratégico, contribuyendo a un sistema de Control Interno integrado y evalúa sí la estructura organizativa es adecuada al tamaño de la entidad, tipo de actividad y objetivos aprobados; si se definen las líneas de responsabilidad y autoridad, así como los canales por los que fluye la información.
Para ello es necesario crear el comité de control y que este funcione adecuadamente y contribuya al mejoramiento continuo del Sistema de Control Interno implantado. Hay que destacar que el presidente siempre será el máximo responsable del Control en toda entidad, es decir, el Director General.
Por otra parte, deberá adquirirse un conocimiento práctico de la entidad y sus componentes como manera de identificar los puntos débiles, enfocando los riesgos tanto de la entidad (internos y externos) como de la actividad.
Cabe recordar que los objetivos de control deben ser específicos, así como adecuados, completos, razonables e integrados a los globales de la institución.
La identificación de los riesgos relevantes que enfrenta una entidad en el logro de sus objetivos, ya sean de origen interno, es decir, provocados por la empresa teniendo en cuenta la actividad específica o sus características internas en el funcionamiento, como externos que son los elementos fuera de la organización que afectan, en alguna medida, el cumplimiento de sus objetivos
La identificación del riesgo, como objeto de la investigación es un proceso iterativo, y generalmente integrado a la estrategia y planificación. En este proceso es conveniente "partir de cero", esto es, no basarse en el esquema de riesgos identificados en estudios anteriores.
Se debe estimar la frecuencia con que se presentarán los riesgos identificados, así como cuantificar la probable pérdida que ellos pueden ocasionar.
Una vez identificados los riesgos a nivel de institución y de programa o actividad, debe procederse a su análisis. Luego de identificar, estimar y cuantificar los riesgos, la máxima dirección y los responsables de otras áreas deben determinar los objetivos específicos de control y, en relación con ellos, establecer los procedimientos de control más convenientes.
Cuando la máxima dirección y los responsables de otras áreas hayan identificado y estimado el nivel de riesgo, deben adoptarse las medidas para enfrentarlos de la manera más eficaz y económica posible.
Se deberán establecer los objetivos específicos de control de la entidad, que estarán adecuadamente articulados con sus propios objetivos globales y sectoriales.
En función de los objetivos de control determinados, se seleccionarán las medidas o salvaguardas que se estimen más efectivas al menor costo, para minimizar la exposición.
Toda entidad debe disponer de procedimientos capaces de captar e informar oportunamente los cambios registrados o inminentes en el ambiente interno y externo, que puedan conspirar contra la posibilidad de alcanzar sus objetivos en las condiciones deseadas.
Conclusiones.
Después de realizar el análisis bibliográfico hemos arribado a las siguientes conclusiones:
Los riesgos de Control Interno están latentes constantemente en la actividad empresarial.
La función de control en la Dirección Empresarial es una labor natural y absolutamente necesaria para el éxito de cualquier empresa, que es un medio eficaz para mantener la organización en el rumbo correcto y es la base para lograr el desarrollo de la autonomía de las personas, quienes finalmente serán protagonistas de su propio control.
El Mapa de Riesgos es una herramienta que permite analizar resumidamente en él cómo identificar, clasificar y decidir que estrategias seguir, para tratar los riesgos empresariales en materia de Control Interno.
La Resolución 297 del MFP fue elaborada teniendo en cuenta el enfoque sistémico o integrador del Informe COSO, el cual es lo más actual en esa materia, y de factible y probada utilización práctica en varios países. De allí que con la incorporación y atemperamiento en ella de la experiencia y la práctica cubana pueda ser factible obtener buenos resultados en su aplicación en función del control de riesgos.
Recomendaciones.
1. Las direcciones administrativas deberán dirigir las estrategias y acciones en materia de Control Interno hacia el fomento de la coherencia jerárquica, convergencia de objetivos y el control propiamente de los recursos.
2. La prevención debe constituir la herramienta principal para evitar las conductas delictivas y corruptivas, de las ilegalidades en toda su extensión, siendo su propósito fundamental preservar la moral revolucionaria de los colectivos laborales de las respectivas instituciones que representan.
3. La dirección de las entidades revisarán, que cada departamento o área de resultado, tenga entre sus objetivos de trabajo, el seguimiento de los riesgos de Control Interno.
Bibliografía.
1. Arteaga Prado, Yairin. Cruz Bravo, Martha. La Gestion de los Riesgos en el sector del turismo. Cuba, 2005.
2. Beltrán Jaramillo, Jesús M. Indicadores de Gestión. España. 1992.
3. Baca, Gómez Antonio (1997). “La Administración de Riesgos Financieros”. Articulo tomado de la revista Ejecutivos de Finanzas, publicación mensual, Año XXVI, No. 11, Noviembre, México.
4. Belmar Muñoz, Victor. Prevención de los riesgos, Implantación de un sistema de control de los riesgos de operación en la empresa. Colombia, 2005.
5. Bull, A., "Economía del Sector Turístico", Editorial Alcanza-Economía, España, 1994.
6. Díaz, Tinoco Jaime y Fausto Hernández Trillo (1996). Futuros y opciones financieros. Edita Limusa, México.
7. Dorta Velásquez, José Andrés. La evaluación de los riesgos como componente básico del sistema de Control Interno. España, 2004.
8. Koontz. H. Elementos de Administración. Editorial Mc Graw Hill, México, 1990.
9. Krugman, R. Paul y Maurice Obstfeld (1995). Economía Internacional. 3ª Edición, Editorial McGraw-Hill, España.
10. López, García, Juan (2004), Procedimiento Metodológico de la Evaluación del Desempeño y el Perfeccionamiento del Control Interno y la Gestión, 2002.
11. Juan M. López García. Bases metodológicas Generales para el diseño e implementación de los Sistemas de Control Interno en Villa La Granjita, 2004.
12. Mejias, Revista Universidad EAFIT, 2002.
13. Pelegrin Pérez, Edmundo Lázaro. El Análisis de riesgo y los servicios de consultoria. Año 2002.
14. Pelegrin Pérez, Edmundo Lázaro. El Seguro Complemento o Alternativa para la Empresa Estatal Cubana. Año 2001.
15. Pelegrin Pérez, Edmundo Lázaro. La Administración de los Riesgos, su impacto en la empresa cubana. Cuba, UPR, 2006.
16. Díaz de Villegas, Julio. Inventario para la Administración de los Riesgos de Control Interno, su aplicabilidad en los sistemas hoteleros. Cuba, 2007.
17. Ramírez Cavassa, César. Hoteles, gerencia, seguridad y mantenimiento. España, 1995.
18. Revista Industria turística. NC 87, Establecimiento de alojamiento. Clasificación. Especificaciones generales, España, 2005.
19. Rodríguez, R., "Situación actual y perspectivas de la Administración de Riesgos en Cuba", en el 1er Seminario Nacional sobre Administración de Riesgos, Mayo 1998.
20. Seminario Nacional sobre Administración de Riesgos, "El Rol del Gerente de Riesgos en una organización", Mayo 1998.
21. Triber, J., "Economía del Ocio y el Turismo", Editorial Síntesis, España, 2000.
22. Zorrilla, Z. Juan Pablo (2004). La Administración de los Riesgos, México, 2004.