Área. Componente: Evaluación de riesgos. Sistema Nacional de Control, Auditoría Gubernamental y Política Anticorrupción

Transcripción

1 Área Sistema Nacional de Control, Auditoría Gubernamental y Política Anticorrupción Sistema Nacional de Control, Auditoría Gubernamental y Política Anticorrupción Componente: Evaluación de riesgos Parte final Ficha Técnica Autora : Mg. Marushka Naydú Mesa Pinto* Título : Componente: Evaluación de riesgos - Parte final Fuente : Actualidad Gubernamental, Nº 67 - Mayo 014 Sumario 1. Introducción. Herramientas, políticas y buenas prácticas para la implementación del componente 3. Administración de riesgos 4. Conclusiones 1. Introducción En el artículo publicado el mes anterior 1, tratamos del componente Evaluación de riesgos, haciendo referencia a sus dos primeras normas básicas; es decir, al «Planeamiento de la administración de riesgos» y a la «Identificación de los riesgos». En esta ocasión trataremos sobre las dos normas básicas restantes: «Valoración de los riesgos» y «Respuesta al riesgo»; a tal efecto, relacionaremos lo dispuesto por la Resolución de Contraloría N CG «Normas de Control Interno», con lo señalado por la Resolución de Contraloría N CG «Guía para la implementación del Sistema de Control Interno en las entidades del Estado» (en adelante, la Guía). Asimismo, haremos referencia al documento del Committee of Sponsoring Organization of the Treadway Commission (COSO), denominado «Gestión de s Corporativos Marco Integrado» (COSO - ERM) Resumen Ejecutivo de setiembre de 004 (en adelante, el documento COSO - ERM) para complementar aquellos puntos en donde resulte necesario.. Herramientas, políticas y buenas prácticas para la implementación del componente Evaluación de riesgos Como recordamos, en el artículo anterior la última norma básica tratada fue la de «Identificación de los riesgos» ; identificación, que debe centrarse en aquellos riesgos más significativos para la entidad; es decir, aquellos relacionados con el desarrollo de los procesos y los objetivos institucionales. En este punto, es preciso recordar que el establecimiento de objetivos es una condición previa para la evaluación de riesgos; y en tal sentido, dichos objetivos deben establecerse tanto a nivel de entidad como a nivel de procesos, antes de proceder con la identificación 3 y evaluación de riesgos. Al respecto, la Guía señala que una vez identificados los riesgos se elabora un registro, al cual denomina Registro de identificación de riesgos; el que contiene la descripción de las causas o factores (internos o externos) que originan los riesgos, así como los posibles efectos; agregando al respecto, que entender la importancia del manejo del riesgo implica conocer con más detalle conceptos como proceso, subproceso, objetivos del subproceso, entre otros; conceptos que trataremos en la siguiente publicación. A tal efecto, presenta el siguiente ejemplo de formato de identificación de riesgos: Entidad: Fecha: Proceso: Subproceso Registro de identificación de riesgos Objetivo del subproceso Tipo de riesgo Causas (factores internos y externos) Efectos/consecuencias Fe de erratas: Revista Nº 66 Área.En el segundo gráfico de la primera columna de la pág. -, el símbolo que aparece antes del recuadro «oportunidad» dice: (-) debe decir: (+) * Abogada por la Universidad San Martín de Porres (USMP). Magíster en Gestión Pública de la Universidad de ESAN; egresada de la Maestría en Derecho de los Negocios de la USMP; titulada como Especialista en Administración de Negocios en IPAE. Graduada en el Programa de Especialización de Ejecutivos de ESAN, con mención en Administración; ha concluido el curso de Public Finance and Performance Management en Maryland School of Public Policy de la Universidad de Maryland EE.UU.6; así como el diplomado de Ética Pública, Transparencia y Anticorrupción, en la Universidad Nacional del Litoral de Argentina. Con más de veinte años en el sector público, en áreas tributarias, administrativas y actualmente dedicada a la implementación del Sistema de Control Interno bajo el Modelo COSO. Amplia experiencia docente, a la fecha se desempeña como profesora en la Escuela Nacional de Control de la Contraloría General de la República y en el Diplomado en Gerencia en la Administración Pública en ESAN. 1 «Componente: Evaluación de riesgos (Parte I)» en Actualidad Gubernamental Nº 66, Abril 014. Es el caso que una vez identificados los riesgos, corresponde valorarlos y darles una respuesta adecuada; en tal sentido, continuando con el desarrollo del componente Evaluación de riesgos, corresponde tratar sobre las dos normas básicas siguientes: «Valoración de los riesgos» y «Respuesta al riesgo». Entendiéndose como riesgos a aquellos eventos con un resultado negativo que puedan afectar la consecución de los objetivos de la entidad. 3 Mediante la utilización de técnicas de recopilación y diagramación. 1

2 .1. Valoración de riesgos La Resolución de Contraloría N CG respecto a esta norma básica establece: «El análisis o valoración del riesgo le permite a la entidad considerar cómo los riesgo potenciales pueden afectar el logro de sus objetivos. Se inicia con un estudio detallado de los temas puntuales sobre riesgos que se hayan decidido evaluar. El propósito es obtener la suficiente información acerca de las situaciones de riesgo para estimar su probabilidad de ocurrencia, tiempo, respuesta y consecuencias». En este sentido, la resolución establece que la entidad debe valorar los riesgos bajo dos perspectivas: e 4 ; en donde la probabilidad representa la posibilidad de ocurrencia, mientras que el impacto representa el efecto de la ocurrencia; debiendo estimar ambos factores usando datos de eventos pasados, los cuales pueden proveer una base objetiva en comparación con los estimados subjetivos, como técnicas prospectivas. Asimismo, establece que la metodología de análisis o valoración del riesgo de una entidad debe normalmente comprender una combinación de técnicas cualitativas y cuantitativas, pero que usualmente las entidades utilizan técnicas cualitativas de valoración cuando los riesgos no son cuantificables o cuando el uso de datos no es verificable. Respecto a las técnicas cualitativas, señala que estas consisten en la evaluación de la prioridad de los riesgos identificados, usando como criterios la probabilidad de ocurrencia, el impacto de la materialización de los riesgos sobre los objetivos, además de otros factores tales como la tolerancia al riesgo y costos, entre otros. En este punto, cabe indicar la definición que el documento del COSO - ERM establece respecto al concepto de «Tolerancia al riesgo», el cual según señala, corresponde a los niveles aceptables de desviación relativa a la consecución de los objetivos, los cuales pueden medirse con las mismas unidades que los objetivos correspondientes; así por ejemplo, señala que si una empresa fija un objetivo del 98 % de puntualidad para sus entregas, con una desviación aceptable (tolerancia al riesgo) del 97 % y el 100 %, está definiendo en estos dos últimos porcentajes su nivel de riesgo aceptado, al cual fija como una orientación para establecer los objetivos. En cuanto a las técnicas cuantitativas, la resolución señala que son usadas para analizar numéricamente el efecto de los riesgos identificados en los objetivos. De otro lado, la norma en mención, al tratar de la evaluación de riesgos, señala que la entidad puede valorar cómo los riesgos se correlacionan; es decir, se combinan e interactúan para crear probabilidades o impactos significativamente diferentes, precisando al respecto lo siguiente: ocho componente contiene el denominado Identificación de Eventos 5, el que para nuestro caso, en alguna medida equivaldría al subcomponentes «Identificación de riesgos» contenido en el componente «Evaluación de riesgos» (debiendo tenerse en cuenta la diferencia conceptual entre evento y riesgo). Es el caso que el documento COSO - ERM respecto a las relaciones entre eventos señala, que cuando los eventos potenciales no están relacionados entre sí, la dirección los evalúa individualmente; pero cuando exista correlación entre los eventos o estos se combinen o interaccionen para crear probabilidades o impactos significativamente diferentes, la dirección los evaluará en su conjunto, pues aunque el impacto de un solo evento pueda ser ligero, el impacto de una secuencia o combinación de eventos puede ser más significativo. Al respecto señala los siguientes ejemplos: Eventos potenciales no relacionados entre sí: Una empresa con unidades de negocio expuestas a diferentes fluctuaciones de precios (tales como el de la pasta de papel o el de moneda extranjera) evaluaría los riesgos independientemente de los movimientos del mercado. Eventos potenciales relacionados entre sí: Una válvula defectuosa de un depósito de propano en un almacén de distribución origina un escape de gas, mientras se mantienen cerradas las puertas de la instalación para retener el calor de las oficinas adyacentes. Cuando el conductor de un camión que se acerca al almacén activa un dispositivo de control remoto para abrir las puertas, la presencia conjunta del gas con la chispa del motor de la puerta causa una explosión Escalas cualitativa y cuantitativa de los riesgos La Guía señala que la valoración de los riesgos se efectuará sobre la base de la información obtenida en el registro de riesgos 6, para lo cual presenta las escalas que pueden utilizarse para analizar los riesgos, tanto desde el punto de vista cualitativo como cuantitativo, según se señala a continuación: Análisis cualitativo Se efectúa mediante la utilización de escalas descriptivas para demostrar la magnitud de consecuencias potenciales sobre los objetivos, las que pueden incidir en tiempo, costo, alcance o calidad (impacto) y su posibilidad de ocurrencia de cada riesgo específico (probabilidad); escalas que se pueden modificar o ajustar a las circunstancias de las necesidades de cada organización. Respecto a estas escalas la Guía señala que tanto para probabilidad como para impacto, se deben establecer las categorías a utilizar y la descripción de cada una de ellas con el fin de que cada persona que aplique la escala, mida a través de ella los mismos ítems; a manera de ejemplo presenta las siguientes escalas: Escala cualitativa de probabilidad: s correlacionados positivamente s no correlacionados positivamente El impacto de los riesgos puede ser bajo, pero con una correlación positiva de los mismos, el impacto aumenta. Las entidades los valora individualmente, pudiendo agruparlos en categorías comunes, cuando ocurran en múltiples unidades. Probable Es muy frecuente la matererialización del riesgo o se presume que llegará a materializarse. Posible Es muy frecuente la matererialización del riesgo o se presume que posiblemente se podrá materializar. En este punto, conviene indicar lo que el documento COSO - ERM señala al respecto, debiendo aclararse que no trata de correlatividad de «riesgos» sino de relaciones de «eventos»; en tal sentido, debe tenerse en cuenta que el modelo entre sus Improbable Es poco frecuente la materialización del riesgo o se presume que no llegará a materializarse. 4 La Guía señala: es la posibilidad de ocurrencia del riesgo, la cual puede ser medida con criterios de frecuencia o teniendo en cuenta la presencia de factores internos y externos que puedan propiciar el riesgo, aunque este no se haya materializado. son las consecuencias que puede ocasionar a la entidad la materialización del riesgo. 5 Define al «evento» como un incidente o acontecimiento derivado de fuentes internas o externas, que afecta a la implantación de la estrategia o la consecución de objetivos, los cuales pueden tener un impacto positivo, negativo o ambos tipos a la vez. 6 El ejemplo consta en párrafos anteriores.

3 Sistema Nacional de Control, Auditoría Gubernamental y Política Anticorrupción Escala cualitativa de impacto: Desastroso Si el hecho llegara a presentarse, tendría alto impacto o efecto sobre la entidad. Moderado Si el hecho llegara a presentarse, tendría medio impacto o efecto en la entidad. Leve Si el hecho llegara a presentarse, tendría bajo impacto o efecto en la entidad. Agrega además, que las entidades pueden construir sus propias escalas de acuerdo con su naturaleza y a las características de sus procesos y procedimientos, de forma que estas escalas se ajusten al análisis de los riesgos identificados Análisis cuantitativo En cuanto al análisis cuantitativo, la Guía señala que mediante este se representa los valores numéricos para la elaboración de tablas de registro de riesgos; la calidad del análisis depende de lo precisas y completas que estén las cifras utilizadas. Señala al respecto, que la forma en la cual la probabilidad y el impacto son expresadas y las formas por las cuales ellos se combinan para proveer el nivel de riesgo puede variar de acuerdo al tipo de riesgo. Las escalas cuantitativas de probabilidad e impacto que, a manera de ejemplo presenta la Guía, son las siguientes: de ocurrencia Nivel 0-5 Improbable 6-70 Posible Probable Nivel 0-5 Leve 6-70 Moderado Desastroso Al igual que en el caso del Análisis Cualitativo, la Guía señala que cada entidad puede modificar o ajustar las escalas, de acuerdo con su naturaleza y a las características de sus procesos y procedimientos. Por su lado, el documento del COSO - ERM señala que la metodología de evaluación de riesgos de una entidad consiste en una combinación de técnicas cualitativas y cuantitativas; indicando que a menudo se aplican técnicas cualitativas cuando los riesgos no se prestan a una cuantificación o cuando no están disponibles datos suficientes y creíbles para la evaluación cuantitativa o la obtención y análisis de ellos no resulte eficaz por su coste. Agrega, que típicamente las técnicas cuantitativas aportan más precisión y se usan en actividades más complejas y sofisticadas, para complementar las técnicas cualitativas, las que normalmente exigen un mayor grado de esfuerzo y rigor. El documento en mención proporciona algunos ejemplos de técnicas cuantitativas de evaluación de riesgos, las que se mencionan a continuación: Benchmarking: proceso comparativo entre entidades, que enfoca eventos o procesos concretos, compara medidas y resultados mediante métricas comunes e identifica oportunidades de mejora. Se desarrollan datos sobre dichos eventos y procesos y mediciones para comparar el funcionamiento. Algunas empresas usan esta técnica para evaluar la probabilidad e impacto de eventos en un sector determinado. Modelos probabilísticos: sobre la base de ciertas hipótesis, los modelos probabilísticos relacionan una gama de eventos, con su probabilidad de ocurrencia e impacto resultante. Ambos conceptos se evalúan a partir de datos históricos o resultados simulados que reflejen hipótesis de comportamiento futuro. Modelos no probabilísticos: aplican hipótesis subjetivas para estimar el impacto de eventos sin una probabilidad asociada cuantificada. La evaluación de impacto de eventos se basa en datos históricos o simulados e hipótesis de comportamiento futuro. Ejemplo de este tipo de modelos son las medidas de sensibilidad, las pruebas de carga y los análisis de escenarios. En cuanto a las técnicas cuantitativas, el documento COSO - ERM señala que para conseguir consenso se puede aplicar el mismo enfoque que se usa en la identificación de eventos, tales como entrevistas y grupos de trabajo; que para el caso peruano serían las técnicas de recopilación establecidas en la Guía..1.. Matriz de probabilidad e impacto La Guía señala que la Matriz de probabilidad e impacto (también denominada Tabla de búsqueda) especifica combinaciones de probabilidad e impacto que llevan a la calificación de los riesgos, de donde el nivel de puntuación de dicha calificación ayuda a guiar las respuestas a los riesgos, toda vez que las calificaciones asignadas definen la priorización en la atención de los mismos. En este sentido, para establecer dichas combinaciones se utilizan valores para cada perspectiva de valoración, es decir tanto para la probabilidad como para el impacto, bien sea bajo el análisis cualitativo o cuantitativo; así por ejemplo si se utiliza una escala de valoración de 1 a 3 se tiene: Valor Probable 3 Posible Improbable 1 Valor Desastroso 3 Moderado Leve 1 Es así, que si a un determinado riesgo se le otorga una calificación en cuanto a probabilidad de «probable» (valor 3) y en cuanto a impacto de «desastroso» (valor 3), tendríamos un nivel de riesgo de 9 (3 x 3); nivel que responde a un riesgo inaceptable. Si la calificación de la probabilidad es «posible» (valor ) y el impacto «desastroso» (valor 3), el nivel de riesgo sería 6 ( x 3); nivel que responde a un riesgo importante; asimismo, ocurriría si la probabilidad es «probable» (valor 3) y el impacto es «moderado» (valor ), el nivel de riesgo sería 6 (3 x ). Mientras que el nivel de riesgo sería moderado si la calificación de la probabilidad es «improbable» (valor 1) y la del impacto «desastroso» (valor 3); o la probabilidad es «posible» (valor ) y el impacto «moderado» (valor ); o la probabilidad es «probable» (valor 3) y el impacto «leve» (valor 1); como se observa, el nivel de riesgo es moderado cuando la evaluación de este da como resultado 4 o 3. Un nivel total de riesgo representa un riesgo «tolerable», el cual surge de un nivel de probabilidad de «posible» (valor ) y un impacto «leve» (valor 1); así como también de un nivel de probabilidad «improbable» (valor 1) y un impacto «moderado» (valor ). 3

4 Finalmente, tendríamos un nivel de riesgo de 1 (1 x 1), es decir, un riesgo aceptable, cuando la probabilidad es «improbable» (valor 1) y el impacto es «leve» (valor 1), de donde resulta un nivel total de riesgo de 1. Como se observa, el nivel de riesgo responde a la multiplicación del valor de la probabilidad y el valor del impacto. Teniendo en cuenta la escala de valoración señalada, los niveles de riesgo son definidos por la Guía como sigue: inaceptable Se requiere acción inmediata. Planes de tratamiento requeridos, implementados y reportados a la alta dirección. se encuentra entre 4 y 3; y finalmente la zona verde, en la que el nivel de riesgos es de y 1 representando riesgos «tolerables» y «aceptables», respectivamente. En este punto conviene señalar, que considerando que la Guía indica que queda a criterio de la entidad definir qué combinaciones utilizará, para establecer el nivel del riesgo, a continuación se muestra un mapa de riesgo que contiene cuatro niveles de probabilidad y cuatro de impacto; en este sentido, se recomienda utilizar niveles de criterios de evaluación de riesgo impares, ya que evita el sesgo de ubicarse en el medio de la escala. Mapa de riesgo importante Se requiere atención de la alta dirección. Planes de tratamiento requeridos, implementados y reportados a los jefes de las oficinas, divisiones, entre otros. moderado Debe ser administrado con procedimientos normales de control. Muy alta Alta Media Baja tolerable Menores efectos que pueden ser fácilmente remediados. Se administra con procedimientos rutinarios. aceptable insignificante. No se requiere ninguna acción. Leve Moderada Grave Crítica Zona riesgo inaceptable Zona riesgo importante Zona riesgo moderado Zona riesgo aceptable Respecto, a los niveles de riesgo, la Guía establece que dichas combinaciones pueden usarse en términos descriptivos o valores numéricos, dependiendo de la preferencia de la entidad; y que es precisamente esta la que debe determinar qué combinaciones utilizará. Asimismo, indica que una vez valorados los riesgos, la puntuación del riesgo ayuda a guiar las respuestas a los riesgos. A manera de ejemplo, y con el fin de visualizar las posibles combinaciones para determinar el nivel de riesgo, la Guía propone la siguiente «Matriz de probabilidad e impacto», también llamada Mapa de riesgos, la cual ha sido diseñada con una escala de 1 a 9 (o de 3 x 3): Probable 3 Posible Improbable 1 Matriz de probabilidad e impacto 1 3 Leve Moderado Desastroso 3 moderado tolerable aceptable 6 importante 4 moderado tolerable Zona ROJA de riesgos «inaceptables» e «importantes». Zona AMARILLA de riesgos «moderados». Zona VERDE de riesgos «tolerables» y «aceptables». 3 inaceptable importante moderado Como se observa de la matriz anterior, la zona roja representa aquellos riesgos «inaceptables» e «importantes», aquellos cuyo nivel de riesgo se encuentra entre 9 y 6, respectivamente; la zona amarilla representa los riesgos «moderados» cuyo nivel de riesgo Asimismo, se recomienda elaborar un mapa de riesgos por cada proceso, con el fin de facilitar la administración del riesgo... Respuesta al riesgo La Resolución de Contraloría N CG respecto a esta norma básica establece: «La administración identifica las opciones de respuesta al riesgo considerando la probabilidad y el impacto en relación con la tolerancia al riesgo y su relación costo /beneficio. La consideración del manejo del riesgo y la selección e implementación de una respuesta son parte integral de la administración de los riesgos». En este sentido, señala que una parte crítica es la estrategia de respuesta al riesgo por la que opte la entidad, pues se debe seleccionar la opción más adecuada para su manejo (evitarlos, reducirlos, compartirlos o transferirlos y aceptarlos) y su debida implementación. Al respecto, la Guía señala que la entidad para seleccionar la respuesta al riesgo, debe evaluar el efecto que esta tendrá sobre la probabilidad y el impacto, así como los costos y beneficios que se generarán, señalando que debe seleccionar aquella respuesta que sitúe el riesgo residual dentro de la tolerancia al riesgo establecida. En este punto es preciso señalar la definición que contiene la Guía respecto al riesgo residual 7, entendiendo por tal, a aquel riesgo que permanece después que la dirección toma acciones de control necesarias para reducir la probabilidad y consecuencia 8 del riesgo. En relación con esto, señala que el riesgo residual podrá ser valorado tomando en consideración los riesgos inicialmente evaluados contra aquellas respuestas y acciones de control que minimizaron dicho riesgo; señalando que para ello, se tendrá que determinar la eficacia de las acciones de control implementadas o existentes, permitiendo así determinar el adecuado riesgo residual. 7 Según el documento de COSO-ERM, el riesgo residual es aquel que permanece después de que la dirección desarrolle sus respuestas a los riesgos. 8 Entendemos que la Guía se refiere al. 4

5 Sistema Nacional de Control, Auditoría Gubernamental y Política Anticorrupción Asimismo, la Guía señala que para efectos prácticos de la determinación del riesgo residual se considerarán los siguientes criterios: Criterios No existen actividades de control Existen actividades de control Existen actividades de control eficaces Valoración del riesgo residual Se mantiene el nivel de riesgo inicial Se reduce en un nivel del riesgo inicial Se reduce en dos niveles el riesgo inicial En este punto, conviene indicar también la definición de riesgo inherente 9, que si bien es cierto no está contenida en la Guía, resulta importante su distinción con el riesgo residual. Al respecto, en el documento del COSO - ERM cuando se hace referencia al componente Evaluación de riesgos, se señala que los riesgos se analizan considerando su probabilidad e impacto como base para determinar cómo deben ser gestionados, y se evalúan desde una doble perspectiva, inherente y residual. En tal sentido, define al riesgo inherente como aquel al que enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o impacto. De lo expuesto podemos concluir, lo siguiente: s inherente+ Controles = residual inherente Control residual De otro lado, en cuanto a la respuesta al riesgo, la Guía señala que existen cuatro posibles acciones a seguir, las mismas que se señalan a continuación: Evitar Implica tomar medidas para prevenir el riesgo. Es la primera alternativa a considerar. Reducir Implica reducir tanto la probabilidad (medidas de prevención) como el impacto (medidas de protección). Compartir o transferir Consiste en trasladar el impacto negativo de una amenaza, junto con la propiedad de la respuesta a un tercero. Asumir Implica no ejecutar ninguna acción respecto al riesgo residual. La Guía señala que la elección de cualquiera de las acciones indicadas, debe considerar la viabilidad jurídica, técnica, institucional, financiera y económica de la entidad. Asimismo, establece que luego de elegida la respuesta al riesgo, la entidad debe identificar las actividades de control que permitan asegurar que las respuestas a los riesgos se lleven a cabo de manera adecuada y oportuna; debiendo considerar cómo se relacionan entre sí, pues una sola puede afectar riesgos múltiples, o caso contrario, se requerirán múltiples acciones de control para una respuesta a un riesgo. 9 También denominado puro o absoluto. Finalmente, la Guía propone una «Matriz de riesgos», la cual señala constituye una herramienta metodológica que permite hacer un inventario de riesgos sistemáticamente agrupados por clase o tipo de riesgo y ordenado prioritariamente de acuerdo con el nivel de riesgos; que incluye además, la recomendación de acciones y responsables de su implantación. A continuación, se muestra el modelo de «Matriz de s» incluido en la Guía: Evaluación de riesgo Nivel de riesgo Nivel Valor Nivel Valor Nivel Valor Respuesta al riesgo Responsable Respuesta Acciones Actividades de control residual 3. Administración de riesgos Habiendo terminado de tratar el componente «Evaluación de riesgos», no podemos dejar de referirnos a la «Administración de riesgos» como un concepto integral, el cual constituye un proceso continuo que permite reducir el nivel de los riesgos a los que está expuesta la entidad, con el fin de que los objetivos establecidos sean alcanzados. Al respecto, en la publicación anterior 10, al referirnos a la norma general para el componente «Evaluación de riesgos», señalamos que según lo establecido en la Resolución de Contraloría N CG este es parte del proceso de administración de riesgos e incluye: planeamiento, identificación, valoración y análisis, manejo o respuesta y el monitoreo de los riesgos de la entidad; concepto que se ve reflejado en el siguiente esquema: Administración de riesgos Evaluación de riesgos Planeamiento Identificación Valoración o análisis Manejo o respuesta Monitoreo Normas básicas para la evaluación de riesgos R.C. N CG Como se observa, del concepto anterior fluye que la Administración de riesgos contiene al componente evaluación de riesgos, así como al monitoreo, actividad que la resolución de Contraloría no describe como una de las normas básicas de dicho componente 11. La norma básica Planeación de la administración de riesgos, en relación con la Administración de riesgos, señala que es un proceso que debe ser ejecutado en todas las entidades, debiendo el titular o funcionario designado, asignar la responsabilidad de su ejecución a un área o unidad orgánica, la cual debe definir la metodología, estrategias, tácticas y procedimientos para el proceso de administración de riesgos; no eximiendo con ello, a que las demás áreas identifiquen los eventos potenciales que pudieran afectar la adecuada ejecución de sus proceso, así como el logro de 10 Numeral ). 11 Sin embargo, en los comentarios de la norma básica referida al Planeamiento de la administración de riesgos, se señala que el monitoreo debe estar incluido en dicho sub- componente, y asimismo deben establecerse métricas que permitan efectuarlo. 5

6 sus objetivos y los de la entidad, con el propósito de mantenerlos dentro del margen de tolerancia que les permita proporcionar la seguridad razonable sobre su cumplimiento. Asimismo, señala que la Administración de riesgos es un proceso continuo, dado los constantes cambios en las condiciones gubernamentales, económicas, tecnológicas, regulatorias y operacionales, el cual debe formar parte de la cultura de una entidad, y debe estar incorporada en la filosofía, prácticas y procesos de negocio de la entidad, y no ser vista ni practicada como una actividad separada, pues cuando esto se logra todos en la entidad pasan a estar involucrados en ella. En este punto es preciso indicar, que para entender con claridad lo que es la Administración (Gestión) de riesgos debe tenerse en cuenta lo señalado por el documento COSO-ERM denominado Gestión de riesgos corporativos - Marco integrado, el cual sirve de antecedente a la Resolución de Contraloría N CG. Al respecto establece que la gestión de riesgos corporativos 1 se ocupa de los riesgos y oportunidades que afectan a la creación de valor o su preservación; y se define de la siguiente manera: «La gestión de riesgos corporativos es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la entidad y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar la seguridad razonable sobre el logro de objetivos». Estableciendo además, que la Gestión de riesgos corporativos comprende ocho componentes, entre los que se encuentra el de Supervisión (Monitoring); señalando al respecto, que este permite supervisar-revisar la presencia y funcionamiento de los componentes de la gestión de riesgos corporativos a lo largo del tiempo, pues las respuestas a los riesgos que en antaño eran eficaces podrían volverse irrelevantes, y asimismo las actividades de control pueden resultar menos eficaces o inexistentes, o los objetivos de la entidad pueden cambiar; pudiendo ser esto originado por la llegada de nuevo personal, cambios en la estructura u orientación de la entidad o introducción de nuevos procesos; todo lo cual origina que la dirección necesite determinar si el funcionamiento de la gestión de riesgos corporativos continúa siendo eficaz. De otro lado, si bien es cierto no está contenido como antecedente en nuestra legislación, en este punto resulta conveniente hacer referencia al Estándar Australiano AS/NZ 4360:1999 «Administración de riesgos». Dicho estándar define a la «Administración de riesgos» como la cultura, procesos y estructuras que están dirigidas hacia la administración efectiva de oportunidades potenciales y efectos adversos; constituyendo una parte integral del proceso de administración; siendo además un proceso iterativo de mejora continua, el cual cuenta con los elementos principales que se muestran en la siguiente figura: Comunicar y consultar Establecer el contexto Identificar riesgos Analizar riesgos Evaluar riesgos Tratar riesgos 1 El documento COSO-ERM señala en su glosario, que la gestión de riesgos corporativos es una parte del proceso de gestión y está integrada a él; entendiendo por este último a la serie de acciones tomadas por la dirección para conducir una entidad. Monitorear y revisar Asimismo, resulta pertinente señalar lo que establece la Norma ISO 31000:009 «Gestión de riesgos. Principios y directrices» al respecto. Dicha norma define que la gestión de riesgos comprende a las actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo. Señalando además, que cuando en su texto se refiera la «Gestión de riesgos» lo hace en relación con la arquitectura (principios, marco de trabajo y proceso) para gestionar los riesgos de manera eficaz; de donde para el caso bajo análisis, corresponde hacer referencia presentar al elemento «proceso» de la arquitectura en mención, el cual se refiere al «Proceso de gestión de riesgo». Al respecto señala que el «Proceso de gestión de riesgos» debería ser parte de la gestión, integrarse en la cultura y en las prácticas, y adaptarse a los procesos de negocio de la organización. En este sentido, a fin de esquematizar el Proceso de gestión de riesgos, la Norma ISO 31000, presenta la siguiente figura: Comunicación y consulta Establecimiento del contexto Apreciación del riesgo Identificación del riesgo Análisis del riesgo Evaluación del riesgo Tratamiento del riesgo Seguimiento y revisión 4. Conclusiones La valoración de los riesgos se efectúa bajo dos perspectivas: probabilidad e impacto, entendiéndose por la primera, a la posibilidad de ocurrencia; y por la segunda, al efecto de la ocurrencia. Dicha valorización se realiza utilizando técnicas cualitativas y cuantitativas, respecto a las cuales cada entidad de acuerdo a su naturaleza, a sus procesos y procedimientos pueden construir sus propias escalas. Las combinaciones entre probabilidad e impacto, determinan el nivel de riesgo que afecta el objetivo que se busca preservar, pudiendo dichas combinaciones expresarse en términos descriptivos o en valores numéricos. Luego de determinado el nivel del riesgo, se debe definir la respuesta que se le dará al mismo, la cual puede ser: evitar, reducir, compartir o transferir y asumir; debiendo tenerse en consideración los costos y beneficio que se generarán, así como la tolerancia al riesgo de la entidad. Una vez que se han tomado las acciones necesarias para reducir la probabilidad o el impacto, resulta el riego residual, el mismo que antes de instaurar dichas acciones, constituyó el riesgo inherente. La Administración de riesgos forma parte de la gestión de la entidad, como un proceso continuo que permite reducir el nivel de los riesgos a los que está expuesta. 6