Administración a la exposición al riesgo en las instituciones estatales
INTRODUCCIÓN
La administración a la exposición al
riesgo o gestión del riesgo en las instituciones del
estado colombiano, es un tema que por lo general, no se ha
abordado con el mayor cuidado y profundidad que ello requiere. Se
presume que factores como el poco estudio y conocimiento del tema
pueden ser determinantes a la hora de concebir un nuevo enfoque
en la forma de desarrollar el deber funcional que le compete a
estas entidades. A pesar de los esfuerzos del Departamento
Administrativo de la Función Pública – DAFP y la
Escuela Superior de Administración Pública – ESAP
en ofrecer herramientas y medios como documentos, cartillas y
metodologías; como la orientación y guía en
la implementación del Modelo Estándar de Control
Interno – MECI; los trabajos realizados se quedan en meros
documentos lejanos de aplicación en la entidad.
Por tanto, el tema se ha circunscrito esencialmente a
formular una política institucional de
administración a la exposición al riesgo, ha
establecer los factores interno o externos que podrían
afectar el cumplimiento de los objetivos institucionales,
identificar, analizar y valorar los riesgos en cumplimiento de
una "obligada" metodología en aras de evitar sanciones.
Podría suceder que en el proceso de identificación
de riesgos se consideren aspectos que no son riesgos; y si este
paso colapsa, los posteriores estarán condenados a
fracasar y la gestión del riesgo no podría ser
eficaz; por tanto es aquí donde se presentan
inconvenientes en las diferentes organizaciones, debido que al
identificar riesgos, estos se confunden con sus causas y
efectos.
Es así que la presente investigación
desarrolla aspectos relacionados con la génesis de la
metodología que actualmente se aplica en la gran
mayoría de las instituciones estatales, la cual
combinó criterios del documento COSO en el Marco de la
gestión de riesgos en la empresa, o Enterprise Risk
Management Framework
– ERM y el Estándar Australiano – AS/NZS
4360:1999; para posteriormente describir los conceptos y
definiciones principales, para ingresar en el campo de la
teoría o pregunta a desarrollar, con las posturas a favor
y en contra de la misma para lo cual se tendrán en cuenta,
a manera de ilustración; los resultados de la quinta fase
de implementación del MECI a nivel territorial y los
resultados de evaluaciones realizadas por la Contraloría
General de Santiago de Cali, en las dos últimas
vigencias1; y por último una breve descripción de
los elementos metodológicos aplicados en la
actualidad por la gran mayoría de entidades
públicas, antes dejar planteadas una síntesis de la
metodología y las conclusiones.
1. Génesis
de la metodología de la administración a la
exposición al riesgo
El Gobierno Nacional representado en el Departamento
Administrativo de Función Pública y la ESAP;
emitieron la "Guía de Administración del Riesgo"
que tiene como finalidad hacer énfasis en la necesidad
imperiosa de que las entidades públicas tengan inmersos en
sus procesos los controles necesarios para lograr prestar
servicios y productos con altos estándares de calidad2;
además prestaron toda la colaboración
y guía en la implementación del MECI donde la
administración a la exposición al riesgo es un
componente y plantearon la metodología a seguir para dar
cumplimiento a lo establecido en dicho modelo, en esta
materia.
El estado colombiano mediante el decreto 1537 de 2001
estableció que todas las entidades de la
administración pública deben contar con una
política de administración de riesgos tendiente a
darles un manejo adecuado a los riesgos, con el fin de lograr de
la manera más eficiente el cumplimiento de sus objetivos y
estar preparados para enfrentar cualquier contingencia que se
pueda presentar3.
El riesgo es un concepto que se puede considerar
fundamental, por su vínculo con todo el quehacer
cotidiano; y se considera como toda posibilidad de un evento que
pueda entorpecer o impedir el normal desarrollo de las funciones
de la entidad y afectar el logro de sus objetivos; por ello se
deben establecer maneras de evitar, minimizar o asumir riesgos a
través de acciones preventivas. Es así que la
guía toma como referentes metodológicos cinco
elementos: contexto estratégico, identificación,
análisis, valoración, y política de
administración de riesgos.
De otra parte, el informe COSO, publicado inicialmente
en Estados Unidos en el año 1992,4
como reacción a la diversidad de definiciones,
conceptos, posturas e interpretaciones relacionadas con el
control interno, relaciona las conclusiones de un trabajo arduo
llevado a cabo alrededor de cinco años sobre este tema,
por un grupo de trabajo que la Comisión Nacional sobre
fraudes (Treadway Commission,
National Commission on Fraudulent), conformó en
1985 bajo la sigla COSO (Comité de Organizaciones
Patrocinadoras con su nombre en ingles Committee of Sponsoring
Organizations); conformado por organizaciones como: American
Accounting Association (AAA); American Institute of Certified
Public Accountants (AICPA); Financial Executives
International (FEI); Institute of Internal Auditors (IIA)
y el Institute of Management Accountants
(IMA)5.
El propósito fundamental del informe COSO, fue
entregar a las empresas una conceptualización
metodológica que propicie la mejora continua del control
de sus procesos, procedimientos y actividades, creando un marco
de referencia para los conceptos de control interno y por ende
una definición común de control interno y la
identificación de sus componentes.
Es así que ante la necesidad detectada de mejorar
la gestión del riesgo en las entidades, el mencionado
grupo de trabajo de la Comisión Nacional sobre fraudes
desarrolló en 2004 una nueva versión del marco de
gestión de riesgos, titulado "Marco de la gestión
de riesgos en la empresa", o Enterprise Risk Management Framework
– ERM en ingles. Este marco detalla los componentes esenciales de
la gestión de riesgos en la organización y el
contexto en que tales componentes son eficazmente implementados.
En este trabajo se incorpora el concepto de gestión de
riesgos, "como un proceso, llevado a cabo por el directorio, los
gerentes y el resto del personal, destinado a establecer
estrategias para toda la empresa, diseñado para
identificar eventos potenciales que pudieran afectar a la
entidad, y administrar los riesgos para que estén dentro
de los límites de su disposición al riesgo, a fin
de proporcionar una razonable seguridad respecto al logro de
los objetivos de la
organización"6.
Ahora, si tomamos como referencia el estándar
australiano, la norma AS/NZS 4360:1999; no
encontramos esencialmente nada distinto al ERM; ya que provee una
guía genérica para la implementación del
proceso de administración de riesgos involucrando el
establecimiento del contexto y la identificación,
análisis, evaluación, tratamiento,
comunicación y el monitoreo en curso de los riesgos7; a
diferencia con la guía propuesta por el DAFP, esta no
contempla los dos últimos aspectos como son la
comunicación y el monitoreo toda vez que como la
administración del riesgo hace parte del MECI como
un todo en el ambiente de control8; la comunicación y
monitoreo hacen parte del modelo como elementos referidos en el
manual de implementación9 emitido por el dicha
entidad.
En el estándar australiano, la
administración de riesgos es reconocida como una parte
integral de las buenas prácticas gerenciales. Es un
proceso interactivo que consta de pasos, los cuales, cuando son
ejecutados en secuencia, posibilitan una mejora
continua en el proceso de toma de decisiones10. Esta
administración de riesgos es el término aplicado a
un método lógico y sistemático para la
implementación de los elementos, donde la
comunicación y el monitoreo son parte esencial del modelo;
por tanto es una actividad, función o proceso comunicado o
monitoreado, de tal forma, que permita a las organizaciones
minimizar pérdidas y maximizar oportunidades; es
identificar oportunidades como evitar o mitigar pérdidas:
Este Estándar puede ser aplicado a todas las etapas de la
vida de una actividad, función, proyecto, producto o
activo. El beneficio máximo se obtiene generalmente
aplicando el proceso de administración de riesgos desde el
principio.
Las definiciones y términos contenidos en el
estándar australiano aportan conocimientos más
amplios al respecto, por tanto este estándar, al igual que
el COSO, como referentes para la guía de
administración del riesgo emitida por el DAFP, deben ser
documentos de consulta permanente para los expertos en el tema a
la hora de llevar a cabo propuestas novedosas y aplicables a
organizaciones de cualquier índole.
Así mismo los criterios establecidos en estos dos
documentos: COSO-ERM y Estándar Australiano son retomados
por la Organización Internacional de
Estandarización (ISO); en la norma internacional ISO
31000:2009 Gestión del Riesgos – Principio y Guías;
donde el concepto es relacionado como "Efecto de la incertidumbre
sobre los objetivos"11 de una
organización; desarrollando el tema con un
fuerte enfoque en las líneas de responsabilidad de la alta
gerencia y su equipo de colaboradores. Por tanto el tema
concluyente de esta norma internacional establece unos atributos,
precisamente en el ámbito de responsabilidades de los
gerentes, en nuestro caso gerentes públicos, como Mejora
continua, Plena responsabilidad por los riesgos,
aplicación de la gestión de riesgos en todas las
decisiones, comunicación continúa y la plena
integración en la gobernanza de la organización,
estructura.
Por tanto para un estudio del tema, tenemos como base
fundamental los documentos metodológicos referenciados,
que orientan y guían todo proceso que se quiera abordar en
el quehacer cotidiano de las entidades del estado y por supuesto
la investigación y consulta de diferentes autores expertos
para lograr el fin primordial que es formular y presentar un
enfoque metodológico que se extienda hasta el traslado de
los riesgos en la matriz de evaluación una vez valorados
hacia un nivel bajo de frecuencia e impacto.
2. Definiciones y
conceptos de gestión del riesgo
Acciones: Realización de opciones de
manejo del riesgo con el propósito de prevenir o reducir
la probabilidad de ocurrencia del riesgo y el impacto de
sus efectos. Estas acciones son parte fundamental
del mapa de riesgos (plan de manejo del riesgo).
Aceptar el riesgo. Decisión informada de
aceptar las consecuencias y probabilidad de un riesgo en
particular.
Aplicación de la gestión de riesgos en
todas las decisiones. Toda toma de decisiones dentro de la
organización, cualquiera que sea el nivel de importancia y
trascendencia, implica la consideración explícita
de los riesgos y la aplicación de la gestión de
riesgos en cierta medida adecuada.
Apropiar. Asumir el riesgo, cuando las
condiciones del mismo son controlables y no representan un
estándar alto de probabilidad de ocurrencia e impacto de
sus efectos o consecuencias.
Control: Acción que busca reducir el grado
de exposición a los riesgos, minimizando la probabilidad
de ocurrencia o el impacto de sus efectos. Los controle pueden
ser correctivos o preventivos: los preventivos buscan reducir la
probabilidad de ocurrencia del riesgo y los correctivos el
impacto de las consecuencias en caso de que el riesgo se
materialice. Los controles proporcionan un modelo operacional de
seguridad para el cumplimiento de los objetivos y
metas.
Comunicación continúa. Mejor
gestión del riesgo incluye la comunicación continua
con las partes interesadas externas e internas, incluida la
información completa y frecuente del desempeño de
gestión de riesgos, como parte de la buena
gobernanza.
Compartir el riesgo. Cambiar la responsabilidad o
carga por las pérdidas que ocurran luego de la
materialización de un riesgo mediante legislación,
contrato, seguro o cualquier otro medio.
Incertidumbre: Expresión del grado de
desconocimiento de una condición futura. Puede derivarse
de una falta de información o incluso porque exista
desacuerdo sobre lo que se sabe o lo que podría saberse.
Puede tener varios tipos de origen, desde errores cuantificables
en los datos hasta terminología definida de forma ambigua
o previsiones inciertas del comportamiento humano. La
incertidumbre puede, por lo tanto, ser representada por medidas
cuantitativas (por ejemplo, un rango de valores calculados
según distintos modelos) o por afirmaciones cualitativas
(por ejemplo, al reflejar el juicio de un grupo de
expertos).
Impacto: Consecuencias o efectos a los que se
expone una organización por la materialización del
riesgo.
Índice de distribución de riesgos:
Permite comparar la ubicación de los riesgos identificados
en la matriz de evaluación de riesgos, contra un
patrón estándar establecido por organismos
internacionales evaluadores de riesgos, estableciendo
la distribución porcentual, con el total de riesgos
y la variación porcentual del riesgo en la
entidad.
La plena integración en la gobernanza de la
organización, estructura. La gestión del riesgo
es visto como fundamental para los procesos de gestión de
la organización, de tal manera que los riesgos son
considerados en términos de efecto de la incertidumbre
sobre los objetivos. La estructura de gobernanza y el proceso se
basan en el la gestión del riesgo. Gestión efectiva
del riesgo es considerado por los administradores como esencial
para el logro de los objetivos de la
organización.12
Mejora continua. Se hace hincapié en la
mejora continua en la gestión del riesgo mediante el
establecimiento de la organización metas de
desempeño, la medición, la revisión y la
posterior modificación de procesos, sistemas, recursos,
capacidad y habilidades.
Plena responsabilidad por los riesgos. La
gestión del riesgo mejorada incluye amplia, totalmente
definido y aceptado plenamente la responsabilidad de los riesgos,
los controles y las tareas de tratamiento de riesgos. Las
personas designadas aceptan plenamente la responsabilidad,
estén debidamente calificados y disponer de recursos
suficientes para verificar los controles, los riesgos de vigilar,
mejorar los controles y comunicarse de manera efectiva sobre los
riesgos y su gestión a las partes interesadas externas e
internas.
Política de administración de
riesgos: El Decreto 1599 de 2005 define como "Elemento de
Control, que permite estructurar criterios orientadores en la
toma de decisiones, respecto al tratamiento de los riesgos y sus
efectos al interior de la entidad pública".
Previsión. Acción de disponer lo
conveniente para atender a contingencias o necesidades
previsibles. Por ejemplo en la construcción de un centro
comercial se coloca seguridad y registro para la entrada y salida
de vehículos, extintores, salidas de emergencia, planta
eléctrica. Se realiza sobre eventos sobre los cuales no
hay incertidumbre, hay certeza de que se presenten.
Probabilidad: Una medida (expresada como
porcentaje o razón) para estimar la posibilidad de que
ocurra un incidente o evento. Contando con registros, puede
estimarse a partir de su Frecuencia histórica mediante
modelos estadísticos de mayor o menor
complejidad.
Protección. Amparar, favorecer, defender.
Resguardar a una persona, o cosa de un perjuicio o
peligro
Reducir el riesgo. Aplicación de controles
para reducir las probabilidades de ocurrencia de un evento y/o su
ocurrencia.
Riesgo: Situación o evento que afecta el
cumplimiento de los objetivos de los procesos y por tanto de los
objetivos corporativos.
Riesgo residual. Nivel de riesgo que permanece
luego de tomar medidas de tratamiento de riesgo.
Valoración de Riesgos: Elemento del
Componente Administración de Riesgos que comprende el
conjunto de acciones por las cuales se estima la magnitud de los
riesgos (frecuencia e impacto), y se evalúan para
determinar si pueden aceptarse o Prevención.
Preparación y disposición que se hace
anticipadamente para evitar un riesgo.
Transferencia. Operación por la que se
transfiere parte o totalidad del riesgo a otro proceso, entidad
aseguradora, persona, etc. Por ejemplo el riesgo de hurto de los
vehículos se trasfiere a las compañías
aseguradoras con riesgo residual del 10% en
particulares y 30% en servicio público; esto se conoce
como cantidad deducible en caso de pérdida
total.
3.
Administración a la exposición al riesgo o
gestión del riesgo
Para abordar la cuestión, debemos abarcar de
manera precisa el significado de administración a la
exposición al riesgo o gestión del riesgo, que en
uno u otro sentido para efectos metodológicos significan
lo mismo, dado que en los textos que versan sobre la materia se
referencia el tema como gestión o administración de
riesgos; pero para efectos de abordar el tema a nivel
institucional lo que realmente se logra es la
administración a la exposición de eventos que
pudiesen entorpecer el cumplimiento de los objetivos
corporativos, abordado desde diferentes niveles de incertidumbre,
es decir los riesgos a que se expone una entidad en el
cumplimiento de su plan estratégico o plan de
desarrollo.
Ahora, cuando se habla de gestión, el termino que
tiene su origen del latín gestío – onis,
derivado de gérere, que significa dirigir: en
términos generales es la acción o efecto para la
consecución de algo o la tramitación de un asunto;
gestionar es realizar diligencias conducentes al logro de un
negocio o de un deseo cualquiera, administrar, por otra parte,
consiste en gobernar, dirigir, ordenar, disponer u
organizar.13
Lo anterior se direcciona a que la gestión del
riesgo implica realizar las acciones conducentes a lograr la
mitigación, control y prevención de
materialización de los riesgos; y para alcanzar esto se
debe administrar de manera adecuada la exposición a los
mismos, lo que implica gobernar, dirigir, ordenar u organizar
dichas acciones por medio de un sistema o metodología de
riesgos aplicada a las necesidades de la
institución.
EL PRESENTE TEXTO ES SOLO UNA SELECCION DEL TRABAJO
ORIGINAL.
PARA CONSULTAR LA MONOGRAFIA COMPLETA SELECCIONAR LA OPCION
DESCARGAR DEL MENU SUPERIOR.