Metodología para Gestionar Riesgos Empresariales. Una herramienta indispensable para la empresa moderna (página 2)

3. Marco
teórico conceptual sobre gestión
de riesgos.

3.1-Componentes del control
interno.

El control
constituye parte integrante de las funciones
generales de la dirección, mediante él se puede
comprobar el estado
actual de un sistema.

El control en su concepción más general
examina, censura con anterioridad suficiente, determinada
realidad que aprueba o corrige, en ocasiones cuando se habla de
control se asocia esta palabra con algo negativo, pues se
interpreta como restricción, coerción o
delimitación, sin embargo el objetivo
principal del control es asegurarse que los resultados se
ajusten, tanto como sean posibles a los objetivos
previstos.

Teniendo en cuenta
que el control es una función
básica dentro de cualquier proceso de
organización y administración, que facilita la evaluación
ejecutiva, incluyendo su seguimiento y revisión
sistemática, la resolución 297/03 con su
concepción de sistema articula al control interno en cinco
componentes esenciales interrelacionados entre sí, y que
intervienen en todos los aspectos de una
organización.

Los cinco componentes de control interno son:

• El ambiente de
  control

• Evaluación de riesgos

• Actividades de control

• Información y Comunicación

• Supervisión y monitoreo

A continuación enfatizaremos en la
evaluación de riesgo como
componente esencial dentro del sistema de control
interno.

3.1.1- La evaluación del riesgo

Debido a que las condiciones económicas,
industriales, normativas y operacionales se modifican de forma
continua, se hacen necesarios mecanismos para identificar y
minimizar los riesgos específicos asociados con el
cambio, por lo
que cada vez es mayor la necesidad de evaluar los riesgos. (Del
Toro y col, 2005).

La evaluación de riesgo consiste en la
identificación y análisis de los factores tanto de origen
interno como externo que pueden ser relevantes para la
consecución de los objetivos previstos, se refiere al
proceso interactivo continuo y a la metodología mediante la cual la empresa
identifica las áreas de más alto riesgo, que
ameritan la mayor atención y la asignación de recursos para la
aplicación de medidas de control. (López ,
2002).

En la Resolución 297/03 se declara que el control
interno ha sido pensado esencialmente para limitar los riesgos
que afectan las actividades de las entidades. A través de
la investigación y análisis de los
riesgos relevantes y el punto hasta el cual el control vigente
los neutraliza, evaluando así la vulnerabilidad del
sistema.

Como afirma Quirós (2003) presidente del Colegio
de Contadores Públicos de Costa Rica: ¨
El control interno y la
administración de los riesgos son dos elementos
inseparables, que dentro de una organización deben tener
una consideración similar. "

Para Padilla (2002) toda organización que
pretenda alcanzar el éxito,
sea pública o privada, debe identificar, evaluar y
administrar sus riesgos para aminorarlos por medio del diseño
e implantación de eficientes sistema de control
interno.

Rosés (2000), director asociado de la consulta
Roses Auditors & Asociados plantea que "el riesgo cero no
existe, el riesgo es inherente a los negocios, pero
se puede reducir notablemente identificando las amenazas que
tiene la
organización y esforzarse para mantenerlo dentro de
los límites
marcados."

Existen muchas fuentes de
riesgo tanto internas como externas (Resolución 297/03;
Coopers y Lybrand 1997) entre las que se pueden destacar las
siguientes:

Externas

• Desarrollos tecnológicos no asumidos que
  pueden provocar obsolescencia de la
  organización.
• Cambios en las necesidades y expectativas de la
  población.
• Modificaciones en la legislación y normas que
  conduzcan a cambios forzosos en la estrategia y
  procedimientos.
• Alteraciones en el escenario económico ?
  financiero que impactan en el presupuesto de
  la entidad.

Internas

• La estructura
  de organización adoptada, dada la existencia de riesgos
  inherentes típicos.
• Calidad del personal
  incorporado, así como los métodos
  para su instrucción y motivación.
• La propia naturaleza
  de las actividades de la entidad.

Según Coopers y Lybrand (1997), una
condición previa a la evaluación de los riesgos es
la determinación de objetivos en cada nivel de la
organización y que sean coherentes entre sí. La
dirección debe fijar primero los objetivos antes de
identificar los riesgos que pueden tener impacto sobre su
consecución y tomar las medidas oportunas para
gestionarlos.

Toda entidad debe crear sus propias herramientas
para la evaluación de riesgos, este componente debe
convertirse en parte natural del proceso de planificación
estratégica, donde se asuma dicha evaluación
como una necesidad indispensable y un instrumental clave para
poder
desarrollar los objetivos del control interno, se debe realizar a
través de un proceso continuo y básico para la
organización, una constante revisión,
actualización y mejora del Control Interno, sobre la base
de un sistema específico de detección y
valoración de riesgos con las características
propias de la entidad.

En la evaluación de los riesgos se considera que
además de identificarlos al nivel de empresa, éstos
deben ser identificados y analizados al nivel de actividad,
departamento y operación para poder estimar la importancia
de los mismos, y establecer actividades de control que garanticen
al máximo su gestión. La correcta evaluación
al nivel de actividad contribuye también a que se mantenga
un nivel aceptable de riesgo para el conjunto de la entidad,
garantizando así el cumplimiento de los objetivos
previstos.

Existe una herramienta de control que permite presentar
una panorámica de los riesgos a los que esta expuesta
cualquier organización, esta herramienta es el mapa de
riesgo. Los mapas de riesgo
se pueden representar de diversas formas, pueden ser a
través de mapas geográficos (muy utilizados para
atención de desastres) o a través de matrices, o
simplemente a través de un plano cartesiano que simboliza
el nivel de riesgo al que esta expuesta la organización.
López (2002). Los mapas de riesgo, independientemente de
la forma que se utilice para elaborarlos, son solo una
representación fría de datos, por lo que
solo pueden servir como herramienta eficaz como componentes
integrales de
la gestión del riesgo empresarial.

3.2-Gestión de
riesgos.

3.2.1-Consideraciones generales sobre los
Riesgos.

En el pasado, los principales peligros y riesgos se
asociaban con la naturaleza y con las catástrofes
naturales, ahora, primordialmente se imputan a acciones y
decisiones humanas no sólo o no tanto por las imprudencias
sino en la mayoría de los casos por la incapacidad del ser
humano de prever los efectos lejanos de su protagonismo
tecnológico y social. Los riesgos ecológicos,
nucleares, genéticos, financieros y otros, son riesgos de
la civilización,
muchos de ellos son difíciles de percibir
antes de producirse el daño.
Esa es una de las razones por la que en las últimas
décadas el riesgo pasa a ser una categoría clave en
la condición humana y en las ciencias
sociales de nuestro tiempo.

El riesgo se interpreta en el espacio de
categorías como:

• Incertidumbre: Imposibilidad de predecir o
  pronosticar el resultado de una situación en un momento
  dado.
• Probabilidades: Proporción de veces que un
  evento en particular ocurre en un tiempo determinado o
  estimación de que un suceso ocurra o no.
• Nivel de riesgo: Valoración de la frecuencia y
  severidad de la ocurrencia de un riesgo. (Del toro y col,
  2005)

Diversas han sido las definiciones encontradas en la
literatura
consultada que demuestra que el riesgo no ha sido conceptuado de
forma integra sino de manera fragmentada, de acuerdo con el
enfoque de cada disciplina
involucrada en su valoración, por lo que ha incrementado
su complejidad y la manera como las personas lo entienden (Casas,
1998; León, 2003; Koprinarov, 2005).

En el ámbito de la economía política o
neomarxismo se han propuesto modelos
conceptuales como el modelo
presión-liberación en el cual se
postula que el riesgo es el resultado de la
concurrencia de condiciones de vulnerabilidad y de posibles
amenazas. (Cardona, 1993).

Para Ambrustery (2001) el riesgo se define
como: "cualquier condición que produzca una
condición adversa en detrimento del producto, el
paciente o el profesional de la salud".

Según Quirós (2003) y SFP (2004) el riesgo
no es más que la probabilidad de
ocurrencia de hechos o fenómenos internos o externos que
pueden afectar el cumplimiento de los objetivos en la
organización.

Otros especialistas relacionan exposición
y vulnerabilidad, asegurando que combinados proporcionan la
medida de la "fortaleza" de una organización para evitar
los eventos de
pérdidas en función de las salvaguardas que tenga
previstas. (DMR-Consulting, 2005).

Otros autores como Coburn y col (1991), Maskrey (1998),
Percedo,M.I (2004) plantean que en muchas ocasiones no es posible
actuar sobre la amenaza, o es muy difícil, pero bajo este
enfoque es factible comprender que para reducir el riesgo no
habría otra alternativa que disminuir la vulnerabilidad de
los elementos expuestos condicionando así el riesgo a
estas dos variables.

Toledano (2003) clasifica el riesgo como el efecto
financiero de una causa multiplicado por la frecuencia probable
de su ocurrencia.

Para León (2004) el riesgo existe cuando se
tienen dos o más posibilidades entre las cuales optar, sin
poder conocer de antemano los resultados a que conducirá
cada una. Todo riesgo encierra, pues, la posibilidad de ganar o
de perder, cuanto mayor es la posible pérdida, tanto mayor
es el riesgo.

Los riesgos además han sido clasificados de
diferentes maneras. En general teniendo en cuenta el efecto
bipolar se pueden clasificar en riesgo puro y riesgo
especulativo. (Del Toro y col, 2005; Koprinarov, 2005 ) . El
riesgo especulativo es aquel riesgo en el cual existe la
posibilidad de ganar o perder, como por ejemplo las apuestas o
los juegos de
azar, las inversiones.
En cambio el riesgo puro es el que se da en la empresa y
existe la posibilidad de perder o no perder, pero jamás
ganar.

El riesgo puro en la empresa a su vez se clasifica
en:

• Riesgo inherente.
• Riesgo incorporado.

El riesgo inherente es aquel riesgo que por su
naturaleza no se puede separar de la situación donde
existe. Es propio del trabajo a
realizar. Es el riesgo propio de cada empresa de acuerdo a su
actividad. 

El riesgo incorporado es aquel riesgo que no es propio
de la actividad, sino que producto de conductas poco responsables
de un trabajador, el que asume otros riesgos con objeto de
conseguir algo que cree que es bueno para el y/o para la
empresa.

Otro aspecto importante y controvertido ha sido
clasificar los tipos de riesgos según el criterio de la
estructura y de las principales funciones de una empresa. Las
clasificaciones más utilizadas por autores como Zorrilla
(2004), Fragoso (2002), Fonseca (2000) y Baca (1997) es la de
riesgos de carácter económico, de mercado, de
crédito, de legalidad, de
carácter tecnológico, de carácter legal,
riesgo de liquidez, riesgo de empresas,
organizacional, entre otros. Existen otras clasificaciones
relacionadas con las fallas del control interno, con las
normativas del trabajo, es decir el riesgo de pérdida
directa o indirecta causada por una insuficiencia o falla de los
procesos,
personas e ineficiencia de la organización interna de la
empresa, que se encuentra denominados por algunos autores riesgo
organizacional o empresarial. (Koprinarov, 2005) y para otros,
como la industria
bancaria como riesgo de operaciones
(López, Cristina , 2005).

La clasificación de los riesgos en tipos, permite
casi al nivel de partir de una definición concreta de los
mismos, un nivel de homogeneidad y armonía en el momento
de su identificación eliminando o reduciendo la
posibilidad de introducir denominaciones diferentes para un mismo
fenómeno y redundando en una mejor organización de
la gestión de riesgos. Sin embargo en el mundo de las
finanzas y los
recursos materiales
clasificar los riesgos se convierte en una tarea compleja por la
multifactoriedad del agente causal. Este carácter
multifactorial se presta a confusiones y repeticiones por lo que
se hace necesario encontrar un punto medio que acote el
problema.

La tendencia de los años 90 con respecto a los
riesgos es a la administración de los mismos por parte de
la gerencia de
las empresas, a nivel de divisiones, departamentos, actividades o
sub-actividades, por lo que se adopta una visión
más ampliada del riesgo, incluyendo la parte operativa. Se
ha propagado además la tendencia a la elaboración
de estándares nacionales para la administración de
los mismos y el desarrollo de
múltiples sistemas y
programas
personalizados de asesoría para su manejo en los
diferentes ámbitos de la actividad
económica.

La necesidad de la estandarización de la
administración de los riesgos en la esfera
económica ha llevado a gran número de países
a estudiar el fenómeno y emitir normas que constituyen
pautas a seguir en su gestión. Las normativas nacionales
para la administración de riesgos, definen el marco en el
cual se deben desarrollar las actividades industriales y
económicas para que estos no se produzcan. Las más
conocidas son las normativas de Australia y Nueva Zelanda (AS/NZS
4360: 1999), de Canadá (CAN/CSA ? Q850-97) ( Koprinarov,
2005).

En nuestro país la Resolución 297/2003
establece como un elemento esencial del control interno la
evaluación de los riesgos estructurando el mismo en las
siguientes normas:

• Identificación del riesgo.
• Estimación de riesgo.
• Determinación de los objetivos de
  control.
• Detección del cambio.

Identificación del riesgo.

Es un proceso iterativo que se encuentra integrado a la
estrategia y planificación. Para la
identificación del riesgo es conveniente partir de cero y
no basarse en el esquema de riesgos identificados en estudios
anteriores. (Arce, 2005).

Para definir un riesgo es necesario conocer su causa,
que es la que va a determinar la existencia de este y si puede
afectar a la empresa o no. (Toledano, 2003).

En muchas ocasiones las entidades identifican de forma
intuitiva las áreas críticas, al sopesar
únicamente el valor de su
pérdida potencial y no consideran de forma conjunta los
criterios de amenaza y vulnerabilidad, por ello, en algunos
casos, las áreas que las entidades consideran como su foco
de atención, son también las que presentan mayor
fortaleza y tienen más salvaguardas y, por lo tanto,
están suficientemente "controladas" (DMR-Consulting ,
2005).

Las herramientas más utilizadas para desarrollar
la actividad de identificación de riesgos según Del
Toro y col(2005) son los cuestionarios, organigramas,
diagrama de
flujos, inspecciones, entrevistas, y
otros.

Estimación del riesgo.

Una vez identificados los riesgos a nivel de
institución, programa o
actividad, se debe proceder a su análisis. Los
métodos utilizados para determinar la importancia relativa
de los riesgos incluyen como mínimo una estimación
de su frecuencia, o sea la probabilidad de ocurrencia y una
valoración de la pérdida que podría
resultar.

Las ponderaciones de las variables de riesgo se
desglosan en:

• Factibilidad (probabilidad de ocurrencia). Se
  determina porcentual mente, atendiendo al índice de
  ocurrencia con que se ha materializado el riesgo.

• Importancia (evaluación del impacto). Se
  determina al declarar el objetivo de dirección en el
  área económica objeto de análisis y en las
  categorías del control interno que impacta.

• El riesgo se puede cuantificar a través de la
  llamada ecuación de la exposición que
  es:

PE ═ F x V

donde:

PE: Pérdida esperada o exposición
expresada en pesos y en forma anual.

F: Frecuencia, veces probables en que el riesgo
se concreta en el año.

V: Pérdida estimada para cada caso en
que el riesgo se concreta expresada en peso.

No siempre es posible cuantificar monetariamente las
pérdidas debido a la envergadura o características
que presentan muchos riesgos. Es difícil aplicar estas
fórmulas en los riesgos relacionados con las fallas del
control interno, en la mayoría de los casos es imposible
cuantificar ya que no se corresponden con el análisis de
los riesgos objetivos a realizar. Por tal razón existen
varios métodos que facilitan la estimación
utilizando para ello una clasificación cualitativa de los
mismos según Del Toro y col (2005) a partir de una
estimación de la frecuencia y el impacto financiero que
los mismos tengan sobre la entidad.

Los métodos más conocidos son los que se
relacionan a continuación:

Método del criterio de frecuencia de
Prouty, este método
clasifica los riesgos según el criterio de frecuencia de
pérdida ante la ocurrencia de sucesos en:

• Riesgo poco frecuente: Si la frecuencia de
  pérdida es casi nula (prácticamente el evento no
  sucede)
• Riesgo moderado: Si la frecuencia sucede una vez en
  un lapso de tiempo.
• Riesgo frecuente: Si la frecuencia sucede
  regularmente.

Método del criterio de gravedad o
financiero, este método clasifica los riesgos
según el impacto financiero que tengan sobre la entidad
en:

• Riesgo leve: Si el impacto financiero de las
  pérdidas se puede llevar contra el presupuesto de
  gastos y lo
  asume.
• Riesgo moderado: Si el impacto financiero de las
  pérdidas hace necesario una autorización fuera
  del presupuesto para sobrellevarlo financieramente.
• Riesgo grave: Si el impacto financiero de las
  pérdidas afecta las utilidades, pero se mantiene la
  continuidad del proceso productivo.
• Riesgo catastrófico: Si el impacto financiero
  de las pérdidas pone en peligro la supervivencia de la
  empresa.

Determinación de los objetivos de
control

El diseño de los objetivos de control debe
abarcar lo que cada departamento, unidad o sección
necesita para evitar que los riesgos se materialicen,
respondiendo a la estrategia que la dirección desee seguir
para minimizar los riesgos sobre qué quiero hacer:
prevenir, detectar, impedir, interactuar, corregir, segregar,
entonces estará en condiciones de analizar cuales
instrumentos le permitirán llevar a cabo tal estrategia,
considerando siempre la relación costo-beneficio.
(SENA, 2004; Koprinarov, 2005).

Detección del cambio

La detección del cambio no es más que la
identificación de los cambios en las circunstancias del
medio ambiente
en que la entidad despliega su acción.
Un sistema de control puede dejar de ser efectivo al cambiar las
condiciones en las cuales opera, por lo que toda entidad debe
disponer de procedimientos y mecanismos capaces de captar e
informar oportunamente los cambios ocurridos. ( Arce,
2005).

Para Quiros (2003), presidente del Colegio de Contadores
Públicos de Costa Rica, una constante revisión,
actualización y mejora del Control Interno es precisamente
una respuesta a lo que se conoce como Detección del Cambio
en materia de
riesgo.

A pesar de ser considerados los riesgos un componente
esencial del control interno, la manera tan ambigua en que este
tema es desarrollado tanto en el informe COSO como
en la resolución 297/03 imposibilita una gestión
eficaz de los mismos. Las definiciones y la variedad de
términos no están expuestos con la suficiente
claridad que permita a las entidades aplicar correctamente los
elementos contenidos en este componente. La evaluación de
riesgos profundiza fundamentalmente en la identificación y
evaluación de los riesgos, no siendo así para la
gestión de los mismos que es la función más
importante a desarrollar.

Ni el informe COSO, ni la resolución 297/03
ofrecen una metodología que permita engranar todas las
normas comprendidas en este componente que pueda constituir un
marco referencial común para todas las entidades que
permita a una administración efectiva de los
riesgos.

3.3- Metodología para la Gestión de
riesgos
empresariales.

La administración de riesgos es reconocida como
una parte integral de las buenas prácticas gerenciales. Es
un proceso iterativo que consta de pasos, los cuales, cuando son
ejecutados en secuencia, posibilitan una mejora continua en el
proceso de toma de
decisiones. La administración de riesgos es un
término aplicado a un método lógico y
sistemático de establecer el contexto, identificar,
analizar, evaluar, tratar, monitorear y comunicar los riesgos
asociados con una actividad, función o proceso de una
forma que permita a las organizaciones
minimizar pérdidas y maximizar oportunidades. Puede ser
aplicado a todas las etapas de la vida de una actividad,
función, proyecto, o
producto. (Arce, 2005).

Entre los expertos en la materia de
administración de riesgos no hay unanimidad en la segmentación del proceso, aparece definido
en diferentes fases, pero si existe coincidencia en los aspectos
claves de dicho proceso que abarca una fase predominantemente
cognoscitiva que podría denominarse fase del estudio, otra
de carácter práctico, la fase de la
implementación y la tercera ? la fase de control y
la
comunicación. En la primera se realizan: la
identificación, el análisis y la evaluación
de los riesgos. En la segunda se implementa el plan de la
respuesta a los riesgos. La tercera fase esta formada por las
actividades de monitoreo, control y comunicación.(Koprinarov,2005).

Por su parte la norma AS/NZS 4360:1999 aunque de manera
general coincide con los aspectos presentados por la
Resolución 297/03, hace énfasis en la necesidad de
concebir un modelo para el análisis de los riesgos
sustentado en los requisitos de los sistemas de gestión de
la calidad expuestos
por las normas de la familia
ISO
9000.

El Servicio
Nacional de Aprendizaje SENA
(2004) fija las políticas
en materia de administración de riesgos en la
resolución No. 01975 donde propone una metodología
de once pasos fundamentales estableciendo como un aspecto
fundamental la inclusión de indicadores de
efectividad de las acciones propuestas, no contemplado en
metodología anteriores.

Especialistas como DMR-Consulting (2005) proponen un
método llamado Administración del Riesgo
Operacional (ARO), cuyo objetivo principal es operativizar una
metodología de trabajo, incorporando los indicadores
necesarios. Además propone:

· Identificar el riesgo, clasificar e
incorporar en la base de datos
· Buscar causas
· Proponer medidas de cambio con base en la
gestión de procesos
· Realizar seguimiento

Pinkerton Consulting and Investigations, empresa
consultora inglesa y una de las más grandes del mundo
propone como metodología para la gestión de riesgos
los requisitos del Informe Tumbull (CSJ, 1999), que se resumen en
el siguiente cuestionario:

• ¿Es su empresa plenamente consciente de los
  riesgos de la organización, y éstos se valoran,
  comunican y entienden claramente?
• ¿Tiene su empresa una estructura organizativa
  que propicie una gestión eficaz y una mitigación
  de los riesgos?
• ¿Existe una identificación de los
  riesgos derivados de la adquisición de la empresa por
  parte de directivos ajenos a la misma y un control a todos los
  niveles de su empresa?
• ¿Es el sistema de valoración de riesgos
  de su empresa transparente de modo que permita a los
  accionistas estimar el riesgo?
• ¿Se considera que la valoración de
  riesgos es una tarea independiente o está incluida en la
  actividad de su empresa?

Los requisitos básicos del Informe Turnbull
son:

• La junta directiva debe mantener un sistema
  sólido de control interno.
• Un miembro de la junta deberá realizar una
  revisión de la eficacia del
  sistema de control interno de la empresa con una periodicidad
  mínima anual. La revisión anual tiene que
  abarcar todo tipo de controles, incluyendo control
  financiero, operativo, y de conformidad y gestión de
  riesgos.
• Los miembros de la junta directiva deberán
  informar a los accionistas de que se ha realizado dicha
  revisión ? normalmente, en el informe financiero y en
  las cuentas
  anuales.

La FAO aplica un sistema que Internacionalmente ha
tenido un gran impacto por el enfoque utilizado para la
gestión de los riesgos, que es el sistema de
Análisis de Peligros y Puntos Críticos de Control
(APPCC), utilizado para la prevención de la seguridad de
alimentos (
FAO, 2002). A partir de los resultados prácticos referidos
de su aplicación en la industria alimentaria, este sistema
se ha venido utilizando y se ha convertido en una práctica
aceptada en otros sectores productivos y de servicios, con
excelentes resultados (Rooney, 2001; Ambrustery,
2001).

Como sucede con la mayoría de los sistemas o
metodologías para la organización de una actividad,
dígase sistemas de gestión de la calidad, sistemas
de APPCC, metodología para la mejora continua, entre
otros, donde existen regulaciones, normas u otras disposiciones
generales que establecen las pautas más importantes e
imposibles de obviar, cada entidad debe establecer sus propios
sistemas y métodos como "trajes a la medida" identificando
y teniendo en cuenta sus características
propias.

3.4- Sistema de Análisis de Peligros y Puntos
Críticos de Control (APPCC).

El APPCC es un procedimiento
sistemático y preventivo, reconocido internacionalmente
para abordar los peligros mediante la previsión y la
prevención en vez de la inspección y la
comprobación de los productos
finales.

El APPCC tiene fundamentos científicos y
carácter sistemático, permite identificar los
peligros específicos aplicando el procedimiento de
controlar los puntos críticos, las medidas necesarias para
su control y procedimientos de vigilancia, este sistema aumenta
la responsabilidad y el grado de control de los
trabajadores con el producto. Esta herramienta de análisis
procura el detalle y la documentación que aseguran que la entidad
conoce el producto y el proceso de tal manera que puede controlar
o monitorear los elementos más importantes para elaborar
productos de calidad. Además reporta otros beneficios como
la utilización eficaz de los recursos y flexibilidad que
le permite responder a tiempo a los problemas y
cambios presentados. (FAO, 2002)

Principios y aplicación del APPCC

El APPCC centra su acción en 7 principios
básicos: (Codex Alimentarius, 1998).

1. Realizar un análisis de los
   peligros
2. Determinar los puntos críticos de control
   (PCC).
3. Establecer los límites críticos para
   cada PCC.
4. Establecer un sistema de vigilancia y control de los
   PCC.
5. Promulgar las medidas correctivas que han de
   adoptarse cuando la vigilancia indica que determinado PCC se
   sale de los límites establecidos.
6. Instaurar procedimientos de comprobación para
   verificar el funcionamiento del sistema APPCC.
7. Estructurar un sistema de documentación sobre
   todos los procedimientos y los registros
   apropiados para estos principios y su
   aplicación.

La interpretación de estos principios es
prerrogativa de cada entidad en particular (Inda,
1999).

El sistema APPCC ofrece la ventaja de permitir la
gestión del riesgo a nivel de cada proceso, sin embargo no
da la posibilidad de ponderar los mismos para priorizar aquellos
de mayor envergadura.

Por las características y ventajas que posee este
sistema consideramos que su utilización para establecer
controles en el ámbito económico- financiero
pudiera además de resultar factible contribuiría a
una actividad financiera más segura. El APPCC armoniza
perfectamente como herramienta complementaria para cumplir con
las normas establecidas en la Resolución 297/03 del
Ministerio de Finanzas y Precios.

3.5- El control interno y la gestión de la
calidad

Para Coopers y Lybrand (1997) existe un paralelismo
entre estos factores de calidad y los de los sistemas de
control interno eficaces, ya que el control interno no solo
está integrado en los programas de calidad, sino que suele
ser esencial para que éstos tengan
éxito.

La incorporación de controles influye en la
capacidad de la entidad de conseguir sus objetivos, además
de apoyar la calidad. La búsqueda de la calidad esta
directamente vinculada con la forma en que se gestionen y
controlen los negocios. Los controles se convierten en parte de
la estructura operativa de la empresa cuando:

• La alta dirección incorpora los valores
  de la calidad en el estilo empresarial de la
  empresa.
• El establecimiento de objetivos de la calidad
  vinculados a los procesos de recopilación y
  análisis de información.
• La utilización de conocimientos sobre las
  prácticas de la competencia y
  las expectativas de los clientes para
  impulsar la mejora continuada de la calidad.

Los conceptos sobre la calidad surgieron y se
transformaron paralelamente a la acción productiva.
Según Crosby (1999), la calidad es un elemento fundamental
del comportamiento
del hombre, que
aparece en los primeros documentos de la
humanidad.

Los principales planteamientos de la Gestión de
la Calidad radican en que la calidad no es una función
técnica, ni un departamento o un programa de conciencia, sino
un proceso sistemático, ligado al cliente, que se
debe poner en práctica en toda la compañía,
integrando a los suministradores (Feigenbaum, 1991).

Juran(1993) expresa que la función de la calidad
debe abarcar toda la empresa, lo que se logra cuando todos los
departamentos especializados que participan tienen la
responsabilidad de llevar a cabo sus funciones de manera
correcta, de forma que cada uno de ellos tiene una actividad
orientada hacia la calidad simultáneamente con su
función principal.

El concepto actual
de calidad de mayor aceptación es ¨la totalidad de
las características de una entidad que influye en su
capacidad para satisfacer las necesidades declaradas e
implícitas".

Una de las herramientas más útiles para
lograrlo son las normas internacionales de la familia ISO 9000 que
proponen un modelo de organización centrado en las
necesidades del cliente, y en la prevención de problemas,
en ellas se describen los componentes que deben incluir los
sistemas de calidad, pero cada entidad tiene libertad para
diseñarlos y aplicarlos según sus condiciones
especificas. Estas normas son independientes de todo sector
industrial o económico y orientan sobre la gestión
y el aseguramiento de la calidad. La gran versatilidad de las
normas ISO se
ha comprobado en la práctica ya que han sido empleadas con
éxito en gran diversidad de industrias.
Uchida, (1996)

La familia ISO 9000 se elabora a partir del
Comité Técnico TC 176 de la International Standard
Organization (ISO), resume las recomendaciones y buenas
prácticas de las empresas más exitosas en todo el
mundo. ( Pérez, Aleida, 2001).

Las normas de la serie ISO 9000 proponen el desarrollo
de un sistema de Calidad documentado. La Norma ISO 9000-1:2000
plantea que la documentación es la evidencia objetiva de
que los procesos están definidos, los procedimientos
están aprobados y se encuentran bajo control de
cambio y por tanto garantizan una evaluación precisa
de la idoneidad del emplazamiento y aplicación del
sistema.

También como documentos fundamentales se
encuentran los procedimientos y los registros de calidad. Los
procedimientos, según el concepto de la norma ISO 8402
(1994), son la descripción de la forma específica
de cómo se realiza una actividad.

Deben responder de modo general cuáles son los
objetivos del documento, quién es el responsable de
realizarlo, cuáles son los recursos necesarios para
realizar la actividad, y cómo se hace. Los registros, por
su parte, son los documentos donde se recogen todos los datos
detallados de una operación realizada. Los registros
permiten describir de forma detallada todos los resultados del
trabajo, ver la evolución en el tiempo de cada proceso o
actividad, demorar la trazabilidad de las operaciones que dan
confiabilidad a los resultados entre otras funciones (ISO
9000-1:2000).

La norma ISO 9000:2001 Vocabulario, expresa la
aplicación de un sistema de procesos dentro de la
organización, junto con la identificación e
interacciones de estos procesos, así como su
gestión, denominados como enfoque basado en procesos,
donde define como proceso: "Conjunto de recursos y actividades
relacionadas entre si, que transforman elementos de entrada en
elementos de salida". Un enfoque de este tipo permite que las
organizaciones funcionen de manera eficaz ya que identifica y
gestiona numerosas actividades relacionadas entre sí,
enfatiza la importancia de la comprensión y el
cumplimiento de los requisitos, la obtención de resultados
del desempeño y eficacia del proceso y la
mejora continua de los mismos con base en mediciones
objetivas.

El desarrollo de las actividades de control interno de
las entidades sobre la base de los requisitos de los sistemas de
gestión de la calidad debería ser una
decisión estratégica de todas las organizaciones,
ya que los sistemas de gestión de la calidad son una
condición indispensable para la obtención de
resultados positivos en los órdenes económicos y
social en cualesquiera de las esferas del desarrollo de la
actividad humana.

4.
Resultados generales y discusión

Se diseña una metodología para la
gestión de riesgos empresariales, que integra de una
manera armónica los aspectos comprendidos en las nuevas
resoluciones y directrices relacionadas con el control interno,
sobre la base de los requisitos de la gestión de la
calidad, utilizando para ello los métodos y técnicas
modernas. La metodología se estructura en once pasos
fundamentales desarrollados de una manera flexible que permite
ser aplicada no solo a los procesos vinculados a la
información económico – financiera de las empresas
sino también como una herramienta para gestionar
eficientemente los riesgos al nivel de toda la
organización.

Resultados y discusión por pasos de la
metodología.

Figura 4-Metodología para la
gestión de riesgos empresariales.

4.1- Formación de un equipo de expertos y
capacitación del personal.

Conformar un equipo de expertos que será el
encargado de la gestión de riesgos y capacitar a todo el
personal en general por ser las personas los verdaderos
ejecutores de este proceso.

4.2-Descripción de la actividad,
identificación, graficación y verificación
de procesos.

Describir la actividad, Identificar, graficar y
verificar los procesos, son el punto de partida a través
del cual el equipo de expertos deberá hacer una
descripción completa de cada operación teniendo en
cuenta la estructura organizativa, los procesos, los
procedimientos y los recursos.

4.3-Clasificación de Riesgos.

Clasificar los tipos de riesgos a los cuales
están expuestos las entidades según la actividad,
permite la homogeneidad y armonía en el momento de
identificar los riesgos ya que elimina la posibilidad de
confundir riesgos con las causas que lo originan y permite
valorar las posibles consecuencias.

4.4-Clasificar procesos por nivel de amenaza.

Establecer niveles de amenaza para los procesos
partiendo de la combinación de probabilidad e impacto que
los mismos generen, permite identificar los procesos clave del
negocio que conllevan a riesgos importantes. Los procesos de
mayor nivel de amenaza se le aplicará el plan de
administración especifico.

4.5-Determinación de Puntos Críticos de
Control (PCC)

Determinar PCC permite separar lo esencial de lo
accesorio dentro de cada proceso, a partir de los PCC se
establece todo el control del proceso, permitiendo establecer las
brechas de vulnerabilidad, las actividades de control que las
atenúan, delimita las responsabilidades personales en cada
eslabón del proceso y facilita el mecanismo de vigilancia
propio para cada parte del proceso. Se recomienda el uso de
árboles
de decisión como herramienta fundamental para la
determinación de dichos PCC.

4.6-Establecimiento de brechas de vulnerabilidad (causas
de riesgos)

Establecer brechas de vulnerabilidad facilita la
gestión de riesgos ya que estas brechas de vulnerabilidad
son las causas que provocan la ocurrencia de riesgos, para hacer
un análisis se debe partir de cero y no basarse en el
esquema de riesgos identificado en estudios anteriores. Debe
incluir todos los factores, tanto de origen interno como
externo.

4.7-Establecimiento de límites críticos
para cada PCC.

Se debe establecer la línea divisoria para juzgar
si una operación está funcionando fuera de los
parámetros establecidos. A través de los
límites críticos se definen los criterios que
permiten distinguir entre lo aceptable y lo inaceptable. El
establecimiento de estos límites responderá al
cumplimiento de lo establecido en los procedimientos que
describen las operaciones, instructivos técnicos,
parámetros físicos, tiempo y otros aspectos,
facilitando de esta manera el control de la actividad.

4.8-Establecimiento de actividades de control y sistema
de vigilancia

Establecer las medidas de control que pueden aplicarse
para controlar cada brecha de vulnerabilidad. Posiblemente sea
preciso adoptar más de una medida para controlar un riesgo
especifico, pero es probable que más de un riesgo pueda
ser controlado con una determinada medida de control.

El sistema de vigilancia propuesto debe proporcionar la
vigilancia a tiempo para poder actuar, detectando oportunamente
los cambios que puedan producirse tanto interno como
externo.

4.9-Elaboración del sistema documental de la
metodología.

Para administrar correctamente el riesgo se requiere una
documentación apropiada que facilite un control adecuado y
la trazabilidad de las operaciones.

4.10- Elaboración de las fichas de
proceso.

Elaborar fichas de proceso permite contar con el resumen
de cada proceso identificado y ofrece la información
completa de cómo se ejecuta este y qué es
fundamental para comprenderlo y gestionarlo.

4.11-Cálculo
del indicador de riesgo por proceso y elaboración del mapa
de riesgos.

El indicador de riesgos ofrece un valor al proceso que
permite establecer un orden de prioridad a su supervisión y monitoreo. Este indicador
permite jerarquizar los riesgos ya que ofrece información
a la administración para tomar decisiones acerca de cuales
procesos tienen un indicador de riesgo mayor y requieren de
atenciones inmediatas y cuales son de menor importancia que
pueden ser atendidos posteriormente.

5.-Conclusiones

• La metodología para la gestión de
  riesgos empresariales a partir de los requisitos de control
  interno y de la gestión de la calidad constituye una
  herramienta novedosa y sencilla que facilita la gestión
  de riesgos.
• La implementación de la metodología
  para la gestión de riesgos empresariales realizada en
  los procesos económicos, demostró que esta
  permite gestionar los riesgos de manera oportuna y eficiente,
  contribuyendo a garantizar una información
  económico – financiera más fiable para la toma de
  decisiones.

6.
Referencias Bibliográficas

Ambrustery, T., Aplicación de HACCP en la
validación de procesos farmacéuticos.
Pharmaceutycal Technology, Edición
Argentina #49, 2001

2. Arce, M., Documentación para la
   administración de riesgos. Grupo
   Kaisen,S.A. Disponible en: .
   [Consulta Junio 2005].
3. Baca, A., "La Administración de Riesgos
   Financieros". Revista
   Ejecutivos de Finanzas, publicación mensual, No. 11,
   México, 1997
4. Bernens, R., ¨The biggest little in the corporate
   armor¨. Internal Auditing, vol: 54, 38-46p, 1997.

   Casas G., IV reunión de auditores Internos de
   Banca
   Central. Centro de Estudios Monetarios Latinoamericanos
   ?CEMLA. Cartagena de Indias, Colombia 6
   al 10 de julio 1998, 2004.

   Coburn, N.; Spence, S., Pomanis, A.,¨
   Vulnerabilidad y evaluación de riesgo¨. Programa
   de entrenamiento
   para el manejo de desastres. PNUD/UNDRO. 1ra. Edición,
   1991.

   Codex Alimentarius., Requisitos generales. Higiene de
   los alimentos. Programa conjunto FAO/OMS sobre normas
   alimentarias. Comisión del Codex Alimentarius.
   Suplemento al Volumen
   IB.41p, 1998.

5. Cardona, O., Evaluación de la amenaza, la
   vulnerabilidad y el riesgo. "Elementos para el Ordenamiento y
   la Planeación del Desarrollo". [ en
   línea noviembre 1993]. Disponible en:
   www.desenredando.org/public/ libros/1993/ldnsn/html/cap3.htm . [Consulta septiembre
   2005].

   Crosby, J., Les sistemes et la documentation.
   Enjeux. No 200. 20p, 1999.

6. Coopers y Lybrand., Los nuevos conceptos del control
   interno. Informe COSO, Ediciones Díaz de Santos,
   Madrid, tomo
   I, 3-16p, 1997.
7. CSJ, Internal Control Guidance for Directors on the
   Combined Code. Colegio de sensores
   jurados de Cuentas de Inglaterra y
   Gales, Sep. 1999
8. Del Toro, J.C., Fonteboa, A., Armada, E., Santos,
   C.M. Programa de Preparación Económica para
   Cuadros. Material de Consulta. CECOFIS. Combinado de
   Periódicos Granma. La Habana, Cuba,
   2005.
9. DMR ? Consulting. , Nuevo esquema de gestión de
   riesgos. [en línea mayo 2005]. Disponible en:
   www.dmr-consulting.com.mx. [consulta diciembre
   2005].

   Fonseca, A., El riesgo político y los
   negocios
   internacionales, 2000.

10. Feigenbaum, V., Total quality and international
    imperative . Quality news. 7(4): 174-177p, 1991.

    Inda, A., Calidad en las industrias alimentaria.
    Parte 2. Sistema de Calidad del producto. Curso-Taller:
    Aplicación del Sistema HACCP en la Industria de
    productos lácteos. La Habana Cuba,
    1999.

11. Fragoso, C., "Análisis y Administración
    de Riesgos Financieros". Exposición de la materia de
    Análisis de Riesgos de la especialidad en
    Economía Financiera de la Universidad
    Veracruzana, Capítulo 13, Mercado de Derivados, Xalapa,
    2002.
12. ISO 9000: 2000. Sistemas de gestión de la
    calidad. Fundamentos y vocabulario. International Standard
    Organization. Norma
13. ISO 9001: 2000 Sistemas de gestión de la
    calidad. Requisitos. International Standard
    Organization. Norma

    ISO 9004:2000. Sistema de Gestión de la
    Calidad ? Directrices para la mejora del desempeño.
    International Standard Organization. Norma

    Koprinarov, B., El riesgo empresarial y su
    gestión. Analítica. Com. Venezuela,
    2005.

    León, Mauricio. Auditoria Interna. Un enfoque
    Sistémico Mejora Continua. [ en línea noviembre
    2003]. Disponible en: .
    [Consultada junio 2005].

    León, Mauricio. Matriz de
    Control interno. [ en línea noviembre 2004] disponible
    en: http://wwwgestiopolis.com.
    [Consultada enero 2005].

14. ISO 9000-1: 2000 Quality management and quality
    assurance standards: Guideline for selection and use.
    International Standard Organization. Norma

    López, Cristina: Riesgo operacional: el nuevo
    reto para el sector financiero. Universidad de León.
    [en línea noviembre 2005]. Disponible en:
    www.aia.es/riesgo/riesgo-operacional.html. [Consulta
    Octubre 2005].

    Maskrey, A., Conceptos y definiciones de relevancia
    en la gestión del riesgo. [en linea marzo 2002].
    Disponible en:
    http://www.snet.gob.su/documentos/conceptos.htm.
    [Consulta mayo 2005]

15. López, N., Control Interno. Análisis de
    Riesgos. Revista de Auditoría y Control. La Habana. 5, 5-13p,
    2002.
16. Norma AS/NZS 4360: Pasos en el desarrollo e
    implementación de un programa de administración
    de riesgos. [ en línea marzo 1999]. Disponible en:
    www/ grupokaizen.com. [Consulta septiembre
    2005].

    Percedo, Maria Irian, Análisis Territorial
    del Riesgo Biológico por enfermedades
    Emergenciales en la Población Animal. Ediciones CENSA.
    CUBA, 2004.

    Pérez, Aleida, Diseño e
    implantación de un sistema de calidad y
    análisis de peligros en plantas
    procesadoras de alimentos. Tesis en
    opción al grado de Máster en medicina
    preventiva. Centro Nacional de Sanidad Agropecuaria, La
    Habana, Cuba, 2001.

17. Padilla, Z.J., La responsabilidad del control.
    Universidad de costa Rica. Contraloría. Boletín
    2. Articulo 6. [en línea en diciembre 2002].
    Disponible en: http://ocu.ucr.ac/boletin2-2002-articulo6.htm
    [Consulta febrero 2004].

    Resolución No. 01975, Administración
    de Riesgo. Servicio Nacional de Aprendizaje SENA. [en
    línea febrero 2004]. Disponible en: www//sena.edu.co.
    [Consulta enero 2006].

18. Quirós, M.C., Administración del riesgo
    y auditoria interna. Universidad de costa Rica.
    Contraloría Universitaria. Boletín 1, Articulo 9.
    [en línea septiembre 2003]. Disponible en:
    http://ucu.ucr.ac.cr/boletin1-2003.articulo9.htm.
    [Consulta Enero 2004].
19. Rooney, J., 7 steps to improved safety for medical
    devices .Rev. Quality Progress. Sep. 33-41p, 2001.
20. Rosés, F., El mapa de riesgos permite ver las
    amenazas que tiene la empresa. [en línea abril 2000].
    Disponible en: http://diariomedico.com/gestion/ges.220300.com.
    [Consulta Octubre 2003].
21. Secretaria de la Función Pública (SFP).
    Sesión de Inducción: Modelo de
    Administración de Riesgos (MAR).[en línea enero
    2004]. Disponible en: www//sfp.org. [Consulta octubre
    2005].

    Toledano, J., Curso taller de Riesgos, causas de
    riesgos y controles. Especialidad de la Gestión
    económico-financieras de la Educación Superior, Conferencia
    3, Cuba, 2003.

22. Organización de las Naciones Unidas
    para la Agricultura
    y la Alimentación (FAO). Sistemas de
    Calidad e Inocuidad de los Alimentos. Manual de
    capacitación sobre higiene de los alimentos y sobre el
    sistema de Análisis de Peligros y de Puntos
    Críticos de Control (APPCC), Roma, 232p,
    2002.
23. Uchida, H., Japanese construction industry beds for
    ISO 9000. ISO 9000 News. 5(5):21p, 1999.

Zorrilla, S., La administración de Riesgos. [ en
línea junio 2004]. Disponible en:
www.gestiopolis.com/canales2/finanzas/1/admoriesgo.htm.¨.
[Consulta Febrero 2006].

Autor:

Yoanis Quincosa Diaz

Aleida Pérez Rojas

Esther G. Díaz
Hernández.

DATOS

Yoanis Quincosa Diaz.

Licenciada en Economía.

Cargo: Especialista Departamento de Contabilidad.

Fecha de realización del trabajo: Mayo
2006

País: Cuba.