Conocimiento en Administración del riesgo empresarial
| Autor | Rodrigo Estupiñán Gaitán |
| Páginas | 89-116 |
Page 89
Matriz "KAREN"1
Dada la importancia de la implementación y fortalecimiento de los sistemas de control interno, orientados hacia la evaluación continua de la eficiencia, efectividad y la eficacia razonable, todos los ambientes corporativos consideran necesario actualizar o implementar una guía metodológica de Gestión del Riesgo, de tal forma que contribuya al alcance de los objetivos establecidos en el Direccionamiento Estratégico y a la eficiente administración de los riesgos. Aquí se propondrá un modelo de matriz de evaluación de riesgos aplicada a manera de estudio de caso en la evaluación de los procesos de auditoría contra el fraude, se aclara que dicha matriz se puede aplicar a cualquier otro proceso empresarial.
Page 90
Este Manual contribuirá al aprendizaje, aplicación, implementación e interiorización de una cultura de autocontrol, autorregulación y autogestión, que normalmente debe partir de la alta dirección, para el alcance de los objetivos del direccionamiento estratégico.
La cultura en la administración del riesgo debe ser incorporada como una política de gestión por parte de la Alta Dirección, y tiene que reflejarse en los principios, normas, procedimientos y elementos de verificación y evaluación; contando con el apoyo y participación de todos los niveles del personal.2
Para el propósito de este documento, se aplican las siguientes definiciones de acuerdo con la norma AS/NZS 4360:1999:
• Aceptación del riesgo: decisión informada de aceptar las consecuencias y posibilidad de un riesgo particular.
• Análisis del riesgo: uso sistemático de información disponible para determinar la forma como frecuentemente pueden ocurrir eventos especificados y la magnitud de sus consecuencias.
• Causa o amenaza: fuente de daño potencial o situación potencial para causar pérdida.
• Consecuencia: resultado de un evento expresado cualitativa o cuantitativamente, como una pérdida, daño, desventaja o ganancia. Puede haber una serie de posibles resultados asociados con un evento.
• Control del riesgo: aquella parte de la gestión del riesgo que involucra la implementación de políticas, normas, procedimientos y cambios físicos a fin de eliminar o minimizar los riesgos adversos.
• Costo: de las actividades, tanto directas como indirectas, que involucre cualquier impacto negativo, incluyendo dinero, tiempo, mano de obra, interrupción del trabajo, buen nombre, pérdidas políticas e intangibles.
• Evaluación del riesgo: proceso usado para determinar las prioridades de la gestión del riesgo mediante la comparación del nivel de riesgo contra normas predeterminadas, niveles de riesgo objeto u otros criterios.
• Evento: incidente o situación que ocurre en un lugar durante un intervalo particular de tiempo.
Page 91
Evitar el riesgo: decisión informada de no participar en una situación de riesgo.
Frecuencia: medida de la tasa de ocurrencia de un evento expresado como el número de ocurrencias de un evento en un tiempo determinado. También véase posibilidad y probabilidad. Gestión del riesgo: cultura, procesos y estructuras que se dirigen hacia la gestión efectiva de las oportunidades potenciales y efectos adversos. Identificación del riesgo: proceso para determinar lo que puede suceder, por qué y cómo.
Monitorear: verificar, supervisar observar de forma crítica, o registrar el progreso de una actividad, acción o sistema sobre una base regular a fin de identificar el cambio.
Organización: empresa, firma, compañía o asociación, u otra entidad legal o parte de la misma, ya sea constituida o no, pública o privada, que tenga sus propias funciones y administración. Partes interesadas: aquellas personas y organizaciones que pueden afectar, verse afectadas por, o percibirse ellas mismas como afectadas por una decisión o actividad
Pérdida: cualquier consecuencia negativa, financiera u otra. Posibilidad: se emplea como descripción cualitativa de la probabilidad o frecuencia.
Probabilidad: posibilidad de que ocurra un evento o resultado específico, medida por la proporción de eventos o resultados específicos a número total de posibles eventos o resultados. La probabilidad se expresa como un número entre 0 y 1, y 0 indica un evento o resultado imposible y 1 un evento o resultado seguro.
Proceso de gestión del riesgo: aplicación sistemática de políticas de gestión, procedimientos y prácticas para las tareas de establecimiento del contexto, identificación, análisis, evaluación, tratamiento, monito-reo y comunicación del riesgo.
Reducción del riesgo: aplicación selectiva de técnicas apropiadas y principios de gestión a fin de reducir la posibilidad de una ocurrencia o sus consecuencias, o ambos.
Retención del riesgo: retención intencional o sin intención de la responsabilidad por pérdida, o carga financiera de la pérdida dentro de la organización.
Riesgo: posibilidad de que suceda algo que tendrá impacto en los objetivos. Se mide en términos de consecuencia y posibilidad de ocurrencia.
Riesgo residual: nivel restante de riesgo después de que se han tomado medidas de tratamiento del riesgo.
Page 92
• Transferencia del riesgo: traslado de la responsabilidad o carga por la pérdida a otra parte por medio de la legislación, contratos, seguros u otros medios. La transferencia del riesgo también se puede referir al traslado de un riesgo físico o parte del mismo a cualquier otra parte.
• Tratamiento del riesgo: selección e implementación de las opciones apropiadas para manejar el riesgo.
• Valoración de riesgo: proceso general de análisis del riesgo y evaluación del riesgo.
Los elementos principales del proceso de gestión del riesgo son los siguientes:
• Establecer el contexto: determinar el contexto estratégico, organiza-cional y de gestión del riesgo en el cual ocurrirá el resto del proceso. Deben establecerse criterios contra los cuales el riesgo se evaluará y tiene que definirse la estructura de análisis.
• Identificar riesgos: identificar qué, por qué y cómo pueden surgir elementos como base para el análisis posterior.
• Analizar riesgos: determinar los controles existentes y analizar los riesgos en términos de consecuencia y posibilidad en el contexto de estos controles. El análisis debe considerar el rango de consecuencias potenciales y la forma como probablemente estas consecuencias van a ocurrir. Se pueden combinar la consecuencia y la posibilidad para producir un estimado del nivel de riesgo.
• Evaluar los riesgos: comparar los niveles de riesgo calculados contra los criterios pre-establecidos. Esto posibilita que los riesgos sean ran-queados de modo que se identifiquen prioridades de gestión. Si los niveles de riesgo establecido son bajos, entonces los riesgos pueden encajar en una categoría aceptable y es posible que no se requiera tratamiento.
• Tratar los riesgos: aceptar y monitorear los riesgos de baja prioridad. Para otros riesgos desarrollar e ¡mplementar un plan de gestión específico que considere los...
Para continuar leyendo
Solicita tu prueba