PLANIFICACIÓN OPERATIVA, CONTROL Y GESTIÓN DE RIESGOS
Autor: Roberto Claros Cohaila
Sumario
1. Introducción
2. Reflexiones y propuestas desde la práctica
3. Conclusiones o reflexiones finales
1. INTRODUCCIÓN:
El establecimiento de objetivos es anterior a la evaluación de riesgos. Así como las políticas y estrategias, son previas a la estructura; en una organización la articulación de los objetivos operativos, tácticos y estratégicos, si bien no son un componente del control interno, constituyen un requisito previo para el buen funcionamiento del mismo.
De otro lado, el buen funcionamiento del sistema de planeamiento y de los controles internos, tienen relación directa con la gestión de riesgos y evidentemente con los cinco pilares de la gestión para resultados en desarrollo.
Los objetivos (relacionados con las operaciones, con la información financiera y con el cumplimiento), pueden ser explícitos o implícitos, generales o particulares. Estableciendo objetivos globales y por actividad, una entidad puede identificar los factores críticos del éxito y determinar los criterios para medir el rendimiento.
2. REFLEXIONES Y PROPUESTAS DESDE LA PRÁCTICA
Los elementos de la evaluación de riesgos son:
i) Identificación del riesgo:
o Relacionado con los objetivos de la entidad;
o Comprensión
o Incluye riesgos debidos a factores externos e internos, tanto a nivel de la entidad como de sus actividades;
ii) Valoración del riesgo
o Estimación de la importancia del riesgo
o Valoración de la probabilidad de que el riesgo ocurra
o Evaluación de la tolerancia al riesgo de la organización;
iii) Desarrollo de respuestas:
o Cuatro tipos de respuesta al riesgo deben ser considerados: transferencia, tolerancia, tratamiento o eliminación. Entre ellos, el tratamiento del riesgo es el más relevante para esta guía porque un control interno efectivo es el mejor mecanismo para tratar el riesgo.
o Los controles apropiados involucrados pueden ser de detección o de prevención.
Identificación de riesgo
Un acercamiento estratégico a la identificación de riesgo depende de la identificación de los riesgos que amenazan los objetivos clave organizacionales. Los riesgos relevantes a estos objetivos deben ser considerados y evaluados, resultando en una pequeña cantidad de riesgos clave.
La identificación de los riesgos clave no es importante sólo para identificar las áreas más importantes a las que se deben dirigir los esfuerzos de valoración, sino también para asignar responsabilidades para el manejo de dichos riesgos.
El desempeño de una entidad puede estar en riesgo debido a factores internos o externos a nivel tanto de la entidad como de sus actividades. La evaluación de riesgos debe considerar todos los riesgos que puedan darse (incluyendo el riesgo de fraude y corrupción), por ello es importante que la identificación del riesgo sea muy amplia. La identificación del riesgo debe ser un proceso permanente y muchas veces está integrada al proceso de planificación. Es muchas veces útil considerar el riesgo con la perspectiva de una “hoja blanca de papel”, y no siempre relacionarlo con una visión previa. Este tipo de acercamiento facilita la identificación de los cambios en el mapa de riesgo de una organización que resulte de los cambios en el entorno económico y regulatorio, condiciones internas y externas, y de la introducción de objetivos nuevos o modificados.
Es necesario adoptar herramientas apropiadas para la identificación del riesgo. Dos de las herramientas más comúnmente utilizadas son propiciar una revisión de riesgos y una autoevaluación de riesgos.
Valoración del riesgo
Para decidir cómo administrar el riesgo, es necesario no sólo identificar que un cierto tipo de riesgo existe en principio, sino valuar su importancia y valorar la probabilidad de que este riesgo se dé. La metodología para analizar riesgos puede variar, en gran parte porque muchos riesgos son difíciles de cuantificar (ejemplo: riesgos de prestigio), mientras que otros se prestan para un diagnóstico numérico (especialmente riesgos financieros). En el primer caso, una visión mucho más subjetiva es la única posibilidad, y en este caso la valoración del riesgo se acerca más a un arte que a una ciencia. Sin embargo, el uso de criterios de evaluación de riesgos de forma sistemática disminuirá la subjetividad del proceso, ofreciendo un marco que permitirá hacer juicios de forma coherente.
Uno de los propósitos clave de la evaluación del riesgo es informar a la gerencia sobre las áreas de riesgo donde se necesita tomar una acción y sus prioridades relativas. Por tal motivo, usualmente será necesario desarrollar algún marco de categorización para todos los riesgos, por ejemplo, dividirlos entre alto, mediano y bajo. Generalmente es mejor minimizar las categorías, ya que un refinamiento exagerado puede llevar a una separación innecesaria de niveles que en verdad no puedan ser separados con claridad.
A través de tal evaluación, los riesgos pueden tener rangos para establecer prioridades para la gerencia y presentar información para las decisiones gerenciales sobre los riesgos que necesitan mayor atención (por ejemplo aquellos que tengan un mayor potencial de impacto y una probabilidad más alta de ocurrir).
Valoración de la “tolerancia” de riesgo de una organización
Un tema importante al considerar la respuesta al riesgo es la identificación de la “tolerancia de riesgo” de una entidad. La tolerancia de riesgo es la cantidad de riesgos a la que una entidad está preparada a exponerse antes de juzgar que una acción deba ser tomada. Las decisiones sobre las respuestas al riesgo tienen que ser tomadas en forma conjunta con la identificación de la cantidad de riesgos que pueden ser tolerados.
Tanto los riesgos inherentes como los riesgos residuales necesitan ser tomados en consideración para determinar la tolerancia al riesgo. El riesgo inherente es el riesgo en una entidad en que la ausencia de acciones por parte de la dirección pueda conducir a alterar la posibilidad de riesgo o su impacto. El riesgo residual es el riesgo que permanece una vez que la la gerencia responde al riesgo.
La tolerancia de riesgo de una entidad varía de acuerdo a la importancia percibida de los riesgos. Por ejemplo, la tolerancia a la pérdida financiera puede variar de acuerdo al rango de factores, incluyendo el tamaño del presupuesto relevante, la fuente de la posible pérdida, o algunos otros riesgos asociados tales como la publicidad adversa. La identificación de la tolerancia de riesgo es un tema subjetivo, sin embargo es una etapa importante en la formulación de la estrategia global de riesgo.
Desarrollo de las respuestas
El resultado de las acciones arriba mencionadas puede resultar en un mapa de riesgo para la organización. Habiendo desarrollado un mapa de riesgo, la organización puede entonces considerar las respuestas apropiadas.
Las respuestas al riesgo pueden ser divididas en cuatro categorías. En algunos casos, el riesgo puede ser transferido, tolerado o eliminado. De cualquier modo, en la mayor parte de los casos, el riesgo tendrá que ser administrado y la entidad necesitará implantar y mantener un sistema efectivo de control interno para mantener el riesgo en un nivel aceptable.
El propósito del tratamiento no es necesariamente obviar el riesgo, sino mantenerlo bajo control. Los procedimientos que una organización establece para tratar el riesgo se llaman actividades de control. La valoración del riesgo deberá jugar un rol central en la selección apropiada de actividades de control a llevarse a cabo. Una vez más, es importante repetir que no es posible eliminar los riesgos y que el control interno puede solamente dar seguridad razonable de que los objetivos de la organización sean cumplidos. De cualquier modo, las entidades que activamente identifican y manejan los riesgos tienen mejores probabilidades de estar bien preparadas para responder rápidamente cuando las cosas salen mal y responder a cualquier cambio en general.
Al diseñar un sistema de control interno, es importante que las actividades de control establecidas sean proporcionales al riesgo. Aparte del resultado extremo indeseable, normalmente es suficiente diseñar un control que dé una seguridad razonable de poder limitar las pérdidas al riesgo aceptable de la entidad. Cada control tiene un costo asociado y la actividad de control debe ofrecer valor por su costo en relación al riesgo al que se está dirigiendo.
Dado que las condiciones gubernamentales, económicas, industriales, regulatorias y operativas cambian continuamente, el entorno de control de cualquier organización también está en constante cambio, y las prioridades de los objetivos y la consecuente importancia de riesgos deben adaptarse y cambiar. Algo fundamental para la evaluación de riesgos es la existencia de un proceso permanente para identificar el cambio de condiciones y tomar las acciones necesarias. Los perfiles de riesgo y controles relacionados tienen que ser regularmente revisados y reconsiderados para asegurar que el mapa del riesgo sigue siendo válido, que las respuestas al riesgo siguen siendo apropiadamente escogidas y proporcionadas, y que los controles para mitigarlos siguen siendo efectivos en la medida en la que los riesgos cambian con el tiempo.
Los controles generales o de aplicación sobre los sistemas de computación están interrelacionados
La efectividad de los controles generales es un factor significativo al determinar la efectividad de los controles de aplicación. Si los controles generales son débiles, entonces disminuye notoriamente la confiabilidad de los controles asociados con las aplicaciones individuales. Cuando no hay controles generales efectivos, la aplicación de controles puede volverse poco efectiva por exageración, confusión o modificación. Por ejemplo las revisiones diseñadas para evitar que los usuarios ingresen horas de trabajo irrazonablemente grandes a un sistema de procesos de pago de nóminas pueden ser una aplicación efectiva de control.
De cualquier modo, no se puede confiar en este control si los controles generales permiten modificaciones no autorizadas al programa que puedan permitir algunas transacciones excepcionales que salgan de este marco. Mientras los objetivos básicos de control no cambien, los cambios rápidos en la tecnología de la información requieren que los controles evolucionen para seguir siendo efectivos. Cambios como un incremento en la confiabilidad de las redes, computadoras con mayor potencia que ponen responsabilidad del procesamiento de información en las manos del usuario, comercio electrónico y el internet pueden afectar la naturaleza y la implantación de actividades específicas de control.
Información y Comunicación. Así como es necesario que todos los agentes conozcan el papel que les corresponde desempeñar en la organización (funciones y responsabilidades), es imprescindible que cuenten con la información periódica y oportuna que deben manejar para orientar sus acciones en consonancia con los demás, hacia el mejor logro de los objetivos.
La información relevante debe ser captada, procesada y transmitida de tal modo que llegue oportunamente a todos los sectores permitiendo asumir las responsabilidades individuales. La información operacional, financiera y de cumplimiento conforma un sistema para posibilitar la dirección, ejecución y control de las operaciones.
Está conformada no sólo por datos generados internamente sino por aquellos provenientes de actividades y condiciones externas, necesarios para la toma de decisiones.
Los sistemas de información permiten identificar, recoger, procesar y divulgar datos relativos a los hechos o actividades internas y externas, y funcionan muchas veces como herramientas de supervisión a través de rutinas previstas a tal efecto. No obstante resulta importante mantener un esquema de información acorde con las necesidades institucionales que, en un contexto de cambios constantes, evolucionan rápidamente. Por lo tanto deben adaptarse, distinguiendo entre indicadores de alerta y reportes cotidianos en apoyo de las iniciativas y actividades estratégicas, a través de la evolución desde sistemas exclusivamente financieros a otros integrados con las operaciones para un mejor seguimiento y control de las mismas.
Ya que el sistema de información influye sobre la capacidad de la dirección para tomar decisiones de gestión y control, la calidad de aquél resulta de gran trascendencia y se refiere entre otros a los aspectos de contenido, oportunidad, actualidad, exactitud y accesibilidad.
La comunicación es inherente a los sistemas de información. Las personas deben conocer a tiempo las cuestiones relativas a sus responsabilidades de gestión y control. Cada función ha de especificarse con claridad, entendiendo en ello los aspectos relativos a la responsabilidad de los individuos dentro del sistema de control interno.
Asimismo el personal tiene que saber cómo están relacionadas sus actividades con el trabajo de los demás, cuáles son los comportamientos esperados, de qué manera deben comunicar la información relevante que generen.
Los informes deben transferirse adecuadamente a través de una comunicación eficaz. Esto es, en el más amplio sentido, incluyendo una circulación multidireccional de la información: ascendente, descendente y transversal.
La existencia de líneas abiertas de comunicación y una clara voluntad de escuchar por parte de los directivos resultan vitales. Además de una buena comunicación interna, es importante una eficaz comunicación externa que favorezca el flujo de toda la información necesaria, y en ambos casos importa contar con medios eficaces, dentro de los cuales tan importantes como los manuales de políticas, memorias, difusión institucional, canales formales e informales, resulta la actitud que asume la dirección en el trato con sus subordinados. Una entidad con una historia basada en la integridad y una sólida cultura de control no tendrá dificultades de comunicación.
Información
Los sistemas de información generan reportes que contienen información operacional, financiera y no financiera, información relacionada con el cumplimiento y que hace posible que se lleve a cabo y controle una operación. Los sistemas no sólo tienen que ver con formas cualitativas o cuantitativas de datos generados internamente, sino con información sobre hechos externos, actividades y condiciones necesarias para la toma de decisiones y su reporte.
La habilidad de la gerencia para tomar decisiones apropiadas está afectada por la calidad de información, lo que implica que la información sea:
– Apropiada (¿está toda la información necesaria?).
– Oportuna (¿está ahí cuando se la necesita?)
– Actualizada (¿se tiene lo producido más recientemente?)
– Exacta (¿es correcta?)
– Accesible (¿puede ser obtenida fácilmente por las partes relevantes?)
Una planificación adecuada, debe considerar como factores claves de éxito, los controles y la gestión de riesgos. Asimismo, debe considerar, antes que la estructura, la visión y la estrategia de la organización, sus políticas, y después sus categorías operacionales y procedimientos.
Comunicación
La información es la base de la comunicación, la misma que debe cumplir con las expectativas de grupos e individuos, permitiéndoles llevar a cabo sus responsabilidades de forma efectiva. La comunicación efectiva debe darse en todas las direcciones, fluir hacia abajo, a través y hacia arriba en la organización, tocando todos los componentes de la estructura entera.
Además de las comunicaciones internas, la gerencia debe asegurar que existan medios adecuados de comunicarse y obtener información de partes externas, dado que las comunicaciones externas pueden servir como entradas que tengan un alto impacto de significado en la medida en la que la organización logre sus objetivos.
Basándose en las comunicaciones internas y externas recibidas, la gerencia debe dar los pasos necesarios para realizar acciones puntuales de seguimiento.
En cuanto a las evaluaciones puntuales, corresponden las siguientes consideraciones:
• Su alcance y frecuencia están determinados por la naturaleza e importancia de los cambios y riesgos que éstos conllevan, la competencia y experiencia de quienes aplican los controles, y los resultados de la supervisión continuada.
• Son ejecutados por los propios responsables de las áreas de gestión (autoevaluación), los auditores internos (incluidas en el planeamiento o solicitadas especialmente por la dirección), y los auditores externos.
• Constituyen en sí todo un proceso dentro del cual, aunque los enfoques y técnicas varíen, priman una disciplina apropiada y principios insoslayables. La tarea del evaluador es averiguar el funcionamiento real del sistema: que los controles existan y estén formalizados, que se apliquen cotidianamente como una rutina incorporada a los hábitos, y que resulten aptos para los fines perseguidos.
• Responden a una determinada metodología, con técnicas y herramientas para medir la eficacia directamente o a través de la comparación con otros sistemas de control probadamente buenos.
• El nivel de documentación de los controles varía según la dimensión y complejidad de la entidad.
Existen controles informales que, aunque no estén documentados, se aplican correctamente y son eficaces, si bien un nivel adecuado de documentación suele aumentar la eficiencia de la evaluación, y resulta más útil al favorecer la comprensión del sistema por parte de los empleados. La naturaleza y el nivel de la documentación requieren mayor rigor cuando se necesite demostrar la fortaleza del sistema ante terceros.
• Debe confeccionarse un plan de acción que contemple: i) El alcance de la evaluación, ii) Las actividades de supervisión continuadas existentes, iii) La tarea de los auditores internos y externos, iv) Áreas o asuntos de mayor riesgo, v) Programa de evaluaciones, vi) Evaluadores, metodología y herramientas de control, vii) Presentación de conclusiones y documentación de soporte, y viii) Seguimiento para que se adopten las correcciones pertinentes.
Normativamente en el Perú, mediante la Ley Nº28716, de Control Interno de las Entidades del Estado, en su artículo 3º, sobre la base de estos conceptos, establece los componentes de todo sistema de control interno, siendo estos los siguientes:
• El ambiente de control
• Las Actividades de control gerencial
• Las actividades de prevención y monitoreo
• Los sistemas de información y comunicación
• El seguimiento de resultados
• Compromisos de mejoramiento
Fuente y elaboración: Auditool Red de Conocimientos de en Auditoría y Control Interno
3. CONCLUSIONES O REFLEXIONES FINALES
• Los factores limitantes o perturbadores en una gestión pueden ser internos y externos, entre los primeros tenemos: deficiente planificación (diseño) o deficiente gestión (implementación).
• Resulta crucialmente importante analizar el alineamiento estratégico entre visión, políticas, y estrategias institucionales; así como los enfoques, estructura (organización) y la implementación de las acciones estratégicas (gestión o planeamiento en acción).
• De otro lado, el buen funcionamiento del sistema de planeamiento y de los controles internos, tienen relación directa con la gestión de riesgos y evidentemente con la gestión para resultados en desarrollo.
• La identificación de los riesgos clave no es importante sólo para identificar las áreas más importantes a las que se deben dirigir los esfuerzos de valoración, sino también para asignar responsabilidades para el manejo de dichos riesgos.
• Es necesario adoptar herramientas apropiadas para la identificación del riesgo. Dos de las herramientas más comúnmente utilizadas son propiciar una revisión de riesgos y una autoevaluación de riesgos.
• Una planificación adecuada, debe considerar como factores claves de éxito, los controles y la gestión de riesgos. Asimismo, debe considerar, antes que la estructura, la visión y la estrategia de la organización, sus políticas, y después sus categorías operacionales y procedimientos.