Red de Líderes Contables del Perú y del Mundo

Administración de riesgos




El estudio y manejo de los riesgos son planes, programas y proyectos tendientes a darle un manejo adecuado a los riesgos, con el fin de lograr de la manera más eficiente el cumplimiento de los objetivos y estar preparados para enfrentar cualquier contingencia que se pueda presentar. Es así como se encuentra que existen diferentes formas de abordar el tema de los riesgos dependiendo del tamaño de la entidad, los objetivos que persigue, la cultura administrativa, la complejidad de sus operaciones y la disponibilidad de recursos, entre otros.

Objetivo de la Administración de Riesgos:
  • Facilitar el cumplimiento de la misión y objetivos institucionales de las organizaciones a través de la prevención y administración de los riesgos.

Objetivos Específicos:
  • Generar una visión sistemática acerca de la administración y evaluación de riesgos.
  • Proteger los recursos de la organización.
  • Introducir dentro de los procesos y procedimientos la administración del riesgo.
  • Involucrar y comprometer a todas las direcciones de la organización, en la búsqueda de acciones encaminadas a prevenir y administrar los riesgos.
  • Asegurar el cumplimiento de normas, leyes y regulaciones.
  • Desde la perspectiva del control, el modelo C.O.S.O. interpreta que la eficiencia del control es la reducción de los riesgos, es decir, es lograr que el proceso y sus controles garanticen, de manera razonable que los riesgos están minimizados o se están reduciendo y por lo tanto, que los objetivos de la organización van a ser alcanzados.

A continuación se presenta un diagrama que consolida todo el proceso de administración del riesgo para facilitar la comprensión del mismo.


Las etapas sugeridas para una adecuada planeación del proyecto de Administración de Riesgos son las siguientes:
  • Compromiso de la alta y media dirección
  • Conformación de un equipo de trabajo
  • Capacitación en la metodología
  • El establecimiento de los objetivos de la empresa, es una condición previa a la evaluación de los riesgos.
Identificación de Riesgos:

Los riesgos identificados por la alta dirección están directamente relacionados con los procesos críticos en los que se involucran a diversas áreas de la organización. La función de los líderes de las diferentes áreas es identificar los riesgos que existen en sus procesos y asignar prioridades de revisión a las actividades con probabilidad de riesgo mayor.

Durante el proceso de identificación del riesgo se recomienda hacer una clasificación de los mismos, ejemplo:


Análisis del Riesgo:

El análisis del riesgo se realiza usando el juicio profesional y la experiencia del responsable del área o del gestor, en función de los siguientes criterios: 
  • El impacto del área revisada cuando no logra los OBJETIVOS de la organización.
  • La competencia, integridad y suficiencia del PERSONAL.
  • La cuantía de los activos, liquidez o volumen de TRANSACCIONES.
  • La COMPLEJIDAD o VOLATILIDAD de las actividades.
  • La suficiencia de los CONTROLES INTERNOS en la propia área.
  • El grado en que el área depende de los SISTEMAS INFORMÁTICOS.

Cada uno de los anteriores criterios se cuantifica según una escala, de 1 a 3, que asigna un valor descriptivo a cada uno de los factores de riesgo más importantes:

1 = Riesgo bajo.
2 = Riesgo medio.
3 = Riesgo alto.

Se han establecido dos aspectos para realizar el análisis de los riesgos identificados:

Probabilidad: Posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia o teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado.
Impacto: Consecuencias que puede ocasionar a la organización la materialización del riesgo.

La determinación del nivel de riesgo es el resultado de confrontar el impacto y la probabilidad con los controles existentes al interior de los diferentes procesos y procedimientos que se realizan. 

Para adelantar esta etapa se deben tener muy claros los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones.

Priorización de Riesgos:

Una vez realizado el análisis de los riesgos con base en los aspectos de probabilidad e impacto, se recomienda utilizar la matriz de priorización que permite determinar cuales requieren de un tratamiento inmediato. Matriz de Priorización de Riesgos:


De acuerdo con lo anterior, el promedio del riesgo más bajo alcanzable por un área es 1 y el más alto, es 3. Una forma de evaluar el riesgo puede ser utilizando la siguiente formula S * P * D donde:

S = Severididad y/o Criticidad del riesgo (1= Riesgo Bajo, 2= Riesgo Medio, 3= Riesgo Alto).
P = la probabilidad de ocurrencia de un riesgo que pueda materializarse (1= Probabilidad Baja, 2= Probabilidad Media, 3= Probabilidad Alta).
D = nivel de detección y efectividad de los controles que pueden ayudar a minimizar o identificar el riesgo (1 = detectado oportunamente, cuenta con controles robustos o adecuados, 2 = detección Media y/o los controles requieren mejoras, 3 = No detectado oportunamente y/o sin controles).


Frecuencia y/o probabilidad del Riesgo:

Esto se puede expresar matemáticamente con la siguiente fórmula llamada Ecuación de la Exposición: PE = F x V
PE = Pérdida Esperada o Exposición, expresada en pesos y en forma anual.
F = Frecuencia: veces probables en que el riesgo se concrete en el año.
V = Pérdida estimada para cada caso en que el riesgo se concrete, expresada en pesos.

Determinación del nivel del riesgo 

Un ejemplo de la determinación del nivel del riesgo y del grado de exposición al mismo:

Riesgo: Perdida de información debido a la entrada de un virus en la red de información de la entidad.

Probabilidad: Alta, porque todos los computadoras de la entidad están conectados a la red de Internet e intranet.

Impacto: Alto, porque la perdida de información traería consecuencias graves para el quehacer de la entidad.

Controles existentes: la entidad tiene establecidos controles semanales haciendo backup o copias de seguridad y vacunando todos los programas y equipos; además guarda la información más relevante desconectada de la red en un centro de información.

Nivel de riesgo: Medio

Resultado: al aplicar la ecuación S * P * D (Severidad * Probabilidad * Nivel de detección y/o efectividad de los controles) tenemos que 3*3*2 obtenemos el resultado de 18, por lo tanto el nivel de riesgo es alto y las acciones que se implementen entrarán a reforzar los controles existentes y a valorar la efectividad de los mismos.


Opciones:
Las siguientes opciones pueden tenerse en cuenta independientemente, interrelacionadas o en su conjunto:
  • Evitar el riesgo
  • Reducir el riesgo
  • Dispersar y atomizar el riesgo
  • Transferir el riesgo
  • Asumir el riesgo
Fuente : ccpg.org.mx

Contabilidad & Liderazgo ® © - DISEÑO POR HERPARK