Objetivo que se pretende alcanzar: Dotar a la empresa de una herramienta que le permita implantar de una forma ordenada y lógica, un sistema para la Valoración, Manejo y Monitoreo de los Riesgos dentro del Control Interno.

Fundamentación de la metodología: La metodología se conforma a partir de un Diagnóstico imprescindible como base informativa y evaluativa del comportamiento del Control Interno y dentro de este el componente Evaluación de Riesgos. La metodología seleccionada reúne una serie de condiciones y características que la hacen más asequible a la empresa y de alta utilidad por las posibilidades reales de control, además es más integral y se ajusta al nivel de conocimientos sobre el tema con la posibilidad de poder ser aplicada en otras entidades.

Valoración del Riesgo

La valoración del riesgo consta de tres etapas: la identificación, el análisis y la determinación del nivel del riesgo. Estas etapas son de singular interés para desarrollar con éxito la valoración del riesgo e implementar una política al respecto en la entidad; para cada una de ellas se sugiere tener en cuenta la mayor cantidad de datos disponibles y contar con la participación de las personas que ejecutan los procesos para lograr que las acciones determinadas alcancen los niveles de efectividad esperados. Para elaborar esta etapa pueden utilizarse diferentes fuentes de información de la entidad, tales como registros históricos, resultados de auditorías e inspecciones, experiencias significativas registradas, literatura publicada sobre el tema, opiniones de especialistas y expertos.

Así mismo, es factible aplicar varias herramientas y técnicas para identificar riesgos, como por ejemplo: entrevistas estructuradas con expertos en el área de interés, reuniones con directivos y con personas de todos los niveles en la entidad, evaluaciones individuales usando cuestionarios, tormentas de ideas realizadas con el comité o equipo de control, entrevistas e indagaciones con personas ajenas a la entidad, usar diagramas de análisis tales como árboles de error, de eventos y diagramas de flujo, análisis de escenarios, revisiones periódicas de factores económicos y tecnológicos que puedan afectar la organización, entre otros. La técnica utilizada dependerá de las necesidades y naturaleza de la entidad.

• Identificación del riesgo

El proceso de la identificación del riesgo debe ser permanente e interactivo integrado al proceso de planeación y debe responder a las preguntas: donde, quién, qué, cuándo, cómo y porqué se pueden originar hechos que influyen en la obtención de resultados. Estas 6 interrogantes constituyen las llaves que nos conducen a una adecuada proyección en la identificación de los mismos.

Es importante tener en cuenta los factores que pueden incidir en la aparición de los riesgos, los cuales como se han reflejado en las bases metodológicas pueden ser externos e internos y pueden llegar a afectar la organización en cualquier momento; entre los factores externos deben considerarse además de los que pueden afectar directamente a la entidad; factores económicos, legales y cambios tecnológicos entre otros. Entre los factores internos se encuentran, la naturaleza de las actividades de la entidad, las personas que hacen parte de la organización, los sistemas de información, los procesos y procedimientos y los recursos económicos.

Según la práctica internacional una manera de realizar la identificación del riesgo es a través de la elaboración de un mapa de riesgos, el cual como herramienta metodológica resume un inventario de los riesgos ordenada y sistemáticamente, definiendo en primera instancia los riesgos, posteriormente presentando una descripción de cada uno de estos y finalmente las posibles consecuencias con las medidas adoptadas.

En la propuesta de metodología se plantea tener en cuenta las variables siguientes a la hora de confeccionar el Mapa:

Descripción de los Riesgos Causas y Condiciones Incidencias o posibles consecuencias Medidas Adoptadas

Descripción del Riesgo: posibilidad de ocurrencia de aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad, el área o el proceso que se trate y le impidan el logro de sus objetivos.

Causas y Condiciones: se refiere a los factores internos o externos que provocan o propician la manifestación de los riesgos identificados.

Incidencias o posibles consecuencias: corresponde a los posibles efectos ocasionados por el riesgo, los cuales se pueden traducir en daños de tipo económico, social, administrativo, moral entre otros.

Medidas adoptadas: se refiere a las medidas aplicadas por la administración y dirigidas a contrarrestar las posibles causas.

• Análisis del riesgo

El objetivo del análisis es el de establecer una valoración y priorización de los riesgos con base en la información ofrecida por los mapas elaborados en la etapa de identificación, con el fin de clasificar los riesgos y proveer información para establecer el nivel de riesgo y las acciones que se van a implementar. Se han establecido dos aspectos para realizar el análisis de los riesgos identificados: Probabilidad: la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia o teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya presentado nunca. Y el Impacto: consecuencias que puede ocasionar a la organización la materialización del riesgo. El análisis del riesgo dependerá de la información sobre el mismo, de su origen y la disponibilidad de los datos. Para adelantarlo es necesario diseñar escalas que pueden ser cuantitativas o cualitativas o una combinación de las dos.

A continuación se presentan algunos ejemplos de las escalas que pueden implementarse para analizar los riesgos.

Análisis cualitativo: se refiere a la utilización de formas descriptivas para presentar la magnitud de consecuencias potenciales y la posibilidad de ocurrencia. Se diseñan escalas ajustadas a las circunstancias de acuerdo a las necesidades particulares de cada organización o el concepto particular del riesgo evaluado.

Escala de medida cualitativa de Probabilidad: Se deben establecer las categorías a utilizar y la descripción de cada una de ellas, con el fin de que cada persona que aplique la escala mida a través de los parámetros siguientes:

Alta (es muy factible que el hecho se presente), Media (es factible que el hecho se presente), Baja ( es muy poco factible que el hecho se presente).

Ese mismo diseño puede aplicarse para la escala de medida cualitativa de Impacto, estableciendo las categorías y la descripción, por ejemplo: Alto (si el hecho llegara a presentarse, tendría alto impacto o efecto sobre la entidad), Medio ( Si el hecho llegara a presentarse tendría medio impacto o efecto en la entidad), Bajo (Si el hecho llegara a presentarse tendría bajo impacto o efecto en la entidad).

Con base en los ejemplos anteriormente expuestos, el comité de control o el equipo de trabajo en coordinación con los encargados de los procesos pueden construir sus propias escalas de acuerdo a la naturaleza de la entidad y a las características de los procesos y procedimientos, de forma que éstas escalas se ajusten al análisis de los riesgos identificados.

Análisis cuantitativo: este análisis contempla valores numéricos; la calidad depende de lo exactas y completas que estén las cifras utilizadas, la forma en la cual la probabilidad y el impacto es expresada y las formas por las cuales ellos se combinan para proveer el nivel de riesgo que puede variar de acuerdo al tipo de riesgo. El riesgo puede ser calculado como:

Ocasiones en que se ha originado una apropiación indebida de recursos

No. de los empleados que realizan la actividad

Al igual que para determinar las escalas cualitativas, el diseño de las escalas cuantitativas debe contar con la participación de las personas encargadas de los procesos y con el grupo encargado de liderar la administración del riesgo.

Una vez realizado el análisis de los riesgos con base a los aspectos de probabilidad e impacto, se recomienda utilizar la matriz de Priorización de los riesgos que permite determinar cuáles requieren de un tratamiento inmediato.

Cuando se ubican los riesgos en la matriz se define cuales de ellos requieren acciones inmediatas, que en este caso son los del cuadrante B, es decir los de alto impacto y alta probabilidad; los que no requieren acciones inmediatas (pero desde luego requieren que se formulen) los ubicados en el cuadrante C bajo impacto y baja probabilidad, respecto a los ubicados en las casillas A y D es la entidad la que debe seleccionar de acuerdo a la naturaleza del riesgo cuales va a trabajar primero; los de alto impacto pero baja probabilidad o los de alta probabilidad y bajo impacto ya que estos pueden ser peligrosos para el logro de los objetivos institucionales, por las consecuencias que presentan en el caso de los ubicados en la casilla A o por lo constante de su presencia en el caso de la casilla D.

• Determinación del nivel del riesgo

La determinación del nivel de riesgo es el resultado de confrontar el impacto y la probabilidad con los controles existentes en los diferentes procesos y procedimientos que se realizan. Para evaluar esta etapa se deben tener muy claros los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para los efectos de la toma de decisiones, estos niveles de riesgo pueden ser:

ALTO (cuando el riesgo hace altamente vulnerable a la entidad o unidad).

(Impacto y probabilidad alta vs controles).

MEDIO (cuando el riesgo presenta una vulnerabilidad media).

(Impacto alto – probabilidad baja o Impacto bajo - probabilidad alta vs controles).

BAJO (cuando el riesgo presenta vulnerabilidad baja),( Impacto y probabilidad baja vs controles).

II- Manejo del Riesgo.

Cualquier esfuerzo que emprendan las entidades en torno a la valoración del riesgo llega a ser en vano, si no culmina en un adecuado manejo y control de los mismos definiendo acciones factibles y efectivas, tales como la implantación de políticas, estándares, procedimientos y cambios físicos entre otros, que hagan parte de un plan de manejo.

Para el manejo del riesgo se pueden tener en cuenta algunas de las siguientes opciones, las cuales pueden considerarse cada una de ellas independientemente, interrelacionadas o en conjunto.

Evitar el riesgo: Es siempre la primera alternativa a considerar. Se logra cuando en el interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas.

Reducir el riesgo: Si el riesgo no puede ser evitado porque crea grandes dificultades operacionales, el siguiente paso es reducirlo al más bajo nivel posible. La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y la implementación de controles.

Dispersar y atomizar el riesgo: Se logra mediante la distribución o localización del riesgo en diversos lugares.

Transferir el riesgo: Hace referencia a buscar respaldo y compartir con otro parte del riesgo como por ejemplo se trasladan las operaciones de ventas a otra parte o físicamente se traslada a otro lugar. Esta técnica es usada para eliminar el riesgo de un lugar y pasarlo a otro o de un grupo a otro.

Asumir el riesgo: Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo.

Una vez establecidos cuales de los anteriores manejos del riesgo se van a concretar, estos deben evaluarse con relación al beneficio-costo para definir, cuales son susceptibles de ser aplicadas y proceder a elaborar el plan de manejo de riesgo, teniendo en cuenta, el análisis elaborado para cada uno de los riesgos de acuerdo con su impacto, probabilidad y nivel de riesgo. Posteriormente se definen los responsables de llevar a cabo las acciones especificando el grado de participación de las dependencias en el desarrollo de cada una de ellas. Así mismo, es importante construir indicadores, entendidos como los elementos que permiten determinar de forma práctica el comportamiento de las variables de riesgo, que van a permitir medir el impacto de las acciones.

Para elaborar el plan de manejo de riesgos es necesario tener en cuenta si las acciones propuestas reducen la materialización del riesgo y hacer una evaluación jurídica, técnica, institucional, financiera y económica, es decir considerar la viabilidad de su adopción.

La selección de las acciones más convenientes para la entidad se puede realizar con base en los siguientes factores: el nivel del riesgo, el balance entre el costo de la implementación de cada acción contra el beneficio de la misma.

Una vez realizada la selección de las acciones más convenientes se debe proceder a la preparación e implementación del plan, identificando responsabilidades, programas, resultados esperados, medidas para verificar el cumplimiento y las características del monitoreo. El éxito de la implementación del plan requiere de un sistema de control interno administrativo efectivo el cual tenga claro el método que se va a aplicar.

Es importante tener en cuenta que los objetivos están consignados en la planeación anual de la entidad, por tal razón se sugiere incluir el plan de manejo de riesgos dentro de la planeación, con el fin de no solo alcanzar los objetivos sino de implementar también las acciones.

III- Monitoreo de los Riesgos.

Una vez diseñado y validado el plan para administrar los riesgos, es necesario monitorearlo permanentemente teniendo en cuenta que estos nunca dejan de representar una amenaza para la organización, el monitoreo es esencial para asegurar que dichos planes permanezcan vigentes y que las acciones estén siendo efectivas. Evaluando la eficiencia en la implementación y desarrollo de las acciones de control, es esencial hacer revisiones sobre la marcha del plan de manejo de riesgos para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas.

El monitoreo debe estar a cargo de los responsables del área y del Comité o Grupo de Control Interno y su finalidad principal será la de aplicar los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo.

La evaluación del plan de manejo de riesgos se debe realizar con base en los indicadores de gestión diseñados para tal fin y los resultados de los monitoreos aplicados en diferentes períodos. Así mismo, se evaluará como ha sido el comportamiento del riesgo y si se han presentado nuevos riesgos que deban ser combatidos. Si bien es cierto se esta realizando una evaluación, no se puede entender que esta es la etapa final del proceso, todo lo contrario con la evaluación se está obteniendo información importante para reformular el plan de manejo de riesgos, agregar las acciones para combatir los nuevos riesgos detectados, generar dentro de las dependencias y áreas un ambiente de compromiso, pertenencia y autocontrol y posibilitar a través de la retroalimentación el mejoramiento en el logro de los objetivos institucionales.

Conclusiones Generales

De las bibliografías consultadas, acerca del Control Interno y sus definiciones, es el informe COSO, con la definición de los cinco componentes de Control Interno, el sistema más acertado y aceptado en la práctica internacional, y ha sido tomado como base en Cuba para la emisión de la Resolución 297/2003 del Ministerio de Finanzas y Precios.

El Riesgo es un elemento de vital importancia dentro del Control Interno, estimar su frecuencia, identificarlo y saberlo monitorear, ayudaría a cuantificar de antemano las posibles pérdidas que ellos pueden ocasionar dentro de la organización, poniendo en peligro la consecución de los objetivos.

La metodología que se propone centra la atención en el componente evaluación de riesgo y las variables que lo integran, reuniendo una serie de condiciones y características que la hacen más asequible a la empresa y de alta utilidad por las posibilidades reales de control, además es más integral y se ajusta al nivel de conocimientos sobre el tema existente en Cuba con la posibilidad de poder ser aplicada en otras entidades.

Los resultados obtenidos y los expertos consultados, validan la factibilidad de la aplicación de dicha metodología, proveyendo a la empresa cubana de un canal lógico y seguro para el tratamiento de los riesgos.

BIBLIOGRAFÍA

1. Agudelo Cortés, Oscar. Administración para todos: Con su enfoque en Sistema. Cali. 1994

2. Aguilar Siliceo, Alfonso. Capacitación y Desarrollo del personal. Editorial Limusa México. 3ra edición. 1996

3. Barnes R, M. Motion and time study (design and management of work). Editorial Revolucionaria. La Habana. 1971

4. Bentley. T Capacitación empresarial. Editorial Mc Graw Hill. Interamericana, S.A. 1993

5. Besseyre Des Horts / Charles Henry. Gestión Estratégica de Recursos Humanos, Editorial Deusto, Madrid. 1990

6. Boterf. Gay. Ingenieria y Evaluación de los planes de formación. Editorial Deusto, S.A. España. 1992

7. Buckley, R/ Caple J. The Theory and Practice of Traimning. Editorial Díaz Santos, S.A, España. 1991

8. Chiavennato, I. Administración de los Recursos Humanos: Liderazgo (2da) Editorial Atlas México. 1990

9. Collantes, Jorge. Elaboración de un plan de Formación en la empresa turística. Revista excelencia de la Formación N0 1 /2000

10. Control Interno. Estructura Conceptual Integrada (COSO). ECOE Ediciones.

11. Coopers and Lybrand; “Los nuevos conceptos del Control Interno”, Informe COSO, Ed, Díaz de Santos, 1997, España.

12. COSO. Identificación de Riesgos. Estructura Conceptual Integrada. COSO. ECOE.

13. Cuba. Estrategia Nacional para la preparación y superación de los cuadros del Estado y del Gobierno/ La Habana: Consejo de Ministros/ S.I:S.A./ 24 de agosto de 1995

14. Cuba. Guía Metodológica para la realización de Auditoría de gestión. Oficina Nacional de Auditoría. 1998.

15. Cuba. Partido Comunista de Cuba. Resolución Económica del V Congreso del Partido Comunista de Cuba. La Habana. 1997

16. Cuesta Santos, Armando. Tecnología de GRH. Facultad de Ingeniería Industrial ISPJAE. Editorial Académica. La Habana. 1999

17. Davis Keith / Weesther, B. W. Administración del Personal y Recursos Humanos. Editorial Mc. Graw Hill, México. 1993

18. Del Pozo Delgado, P. Formación de Formadores. Editorial Eudema, Madrid, 1ra Edición. 1993

19. Fernández Menta, Adriana. Normaria, Boletín de la Comisión de Normas y Asuntos Profesionales del Instituto de Auditores Internos de Argentina, Septiembre de 2003.

20. Fleites Delgado Adalys. Propuesta de Bases Metodológicas Generales para el Diseño del Sistema de Control Interno Administrativo en el Hotel Villa La Granjita”. 2003

21. Fromont, M. Las PYME`s crean la mayoría de los nuevos empleos. Revista Dyna Ingeniería e industria. Vol. LX XII, No. 4. Mayo. España. pp. 15-18. 1997

22. Gómez, R. Luis. Perfeccionamiento de la dirección de Recursos Humanos en las instalaciones turísticas hoteleras medianas y pequeñas. Tesis para optar por el grado científico de Doctor en Ciencias Técnicas, Santa Clara. 1998

23. Illescas, Jesúe. El Plan y los medios de desarrollo de formación. Revista Economía Industrial (España). Julio-Agosto. 1995

24. Instituto de Auditores de Argentina. Normaria. Boletín de la Comisión de Normas y Asuntos profesionales del Instituto de Auditores de Argentina.

25. Ivancevich, J. & Lorenzi, P. Gestión, calidad y competitividad. España. 1996

26. Jadillier. Pierre. La Organización Humana de la empresa. Editorial Temas, Madrid. 1989

27. Katz . R.L Skill of efective administrator. New York. Editorial Harper and Row. 1995

28. Koontz. H. Elementos de Administración. Editorial Mc Graw Hill, México. 1990

29. L. Mace, Myles. Promoción y Formación de ejecutivos. Editorial Ciencias Sociales. La Habana. 1990

30. M,C, William; “Identificación de Riesgos”, Estructura Conceptual Integrada, COSO, ECOE.

31. Medranu Basanta, G. Nuevas tecnologías en la Formación. Madrid: Editorial Eudema.1993

32. Peñalver Antonio. Planificación Estratégica de la Formación. Ediciones Hispanoamericanas. 1995

33. Pickle H, R. & Abranmson, R, L. Administración de empresas pequeñas y medianas Editorial Limusa. México. 1990

34. Pozo Fernández, A. Cuba y el turismo. Actualidad y perspectivas de nuestra industria turística. Editora Política. Ciudad de La Habana. 1993

35. Puchol, L. Formación y desarrollo. Dirección y Gestión de los recursos humanos. España. 1995

36. Quirós Mora, César Enrique. Administración y Riesgo de la Auditoría Interna. (Presidente del Colegio de Contadores Públicos de Costa Rica).

37. Randell G. La Valoración y Formación del Personal. Editorial Deusto, España, 1992

38. Regidor Sendin, A. Estructura del mercado turístico. 1991

39. Relea Lazo, J. L. La Formación Instrumento Para la Estrategia, Revista Economía Industrial (Europa), Enero – Febrero. 1995

40. Robert Shiller's awfully big idea, reseña en The Economist.

41. Robinson Andy. Hay que gestionar el riesgo de quedar en paro. La Vanguardia

42. Rodríguez. P. José Martí. El factor humano en la empresa. Ediciones Deusto, Madrid, S.A. 1992

43. Rodríguez. S. Manuel. Efectividad organizacional. Obstáculos e impulsores. Editorial brigada de Impresiones del centro para la defensa. 1990

44. Schmidt Gamboa, Guillermo. Control Interno. Las distintas responsabilidades de la Empresa.

45. Srinivas, K.M. Human resources management, contemporany and perspectives in Canadá. Editorial Mc Graw Hill Toronto. 1984

46. Téllez, Sofia. Capacitación de los trabajadores en el sector del turismo. Revista excelencia de la Formación N0 5 /2001

47. Tichy N.M / Frombrum J / Devanna M.A. Conducción estratégica de los recursos humanos. España Ediciones Deusto S.A. 1992

48. Txopeitía, G. Gestión de personas: de la actitud a la configuración del modelo. Revista Capital Humano. No. 101. Junio. España, pp. 19-23. 1997

Sitios WEB:

• http://www.monografias.com

• http://www.excelencias.com

• http://www.rnp.capacitao-es.html

• http://www.rrhh.net.htm

• www.liderazgoymercadeo.com

• http://www.conocer.org.mx

• http://www.arearh.com

• www.ocu.ucr.ac.cr

• www.info.ccss.sa.cr/auditoria/aud007.htm

• www.prevencionintegral.com