Administración de los Riesgos de Control Interno: principales funciones y técnicas (página 2)

Partes: 1, 2

Figura No.1. Ciclo de Control.

Monografias.com

Fuente: Stephen, 1983, tomado del libro Técnicas
para el cambio
organizacional.

El Sistema de
Control en la Dirección Empresarial es compuesto por tres
diferentes Subsistemas que deben funcionar en forma
coordinada.

Estos Subsistemas son:

El Subsistema Preventivo.
El Subsistema Ejecutivo.
El Subsistema de Diagnóstico.

Se sugiere comenzar con un primer diagnóstico de cómo es el control,
para luego desarrollar el Subsistema Preventivo, a
continuación el Ejecutivo y finalmente, realizar un
segundo Diagnóstico del desempeño de la empresa y del
sistema, y de esta forma tomar las medidas correctivas
necesarias. (Mejía, 2002).

Subsistema Preventivo: Se establece la
cultura de control necesaria para el desarrollo eficiente del
sistema, proporcionando valores y propósitos a todos
los empleados de la empresa; se determinan las acciones
prohibidas en la organización, con lo cual se evitan
riesgos propios del negocio, y se identifican los riesgos
generales, con el fin de evaluarlos y determinar las medidas
de control necesarias para evitarlos.
Subsistema Ejecutivo: Proporcionan al empleado, a
través del autocontrol, las herramientas necesarias
para controlar su labor y para ejecutar las actividades de
control en los procesos en los cuales participa y que han
sido identificados a partir del análisis de
riesgo.
Subsistema de Diagnóstico: Con él se
cierra el Ciclo de Control, al medir el logro de los
objetivos y el desempeño de las variables
críticas del negocio. Con este sistema se obtiene la
retroalimentación y se logra el verdadero aprendizaje
organizacional.

Figura No.2. Elementos del Sistema de
Control en la Dirección Empresarial.

Monografias.com

Fuente: Mejía (2002). Revista
Universidad
EAFIT.

El logro del verdadero éxito
de una organización empresarial, pasa a ser
responsabilidad de todos los integrantes de la
misma y del establecimiento pleno de un adecuado control
interno. El mismo ha de ser diseñado, aplicado y
considerado como la herramienta más importante para el
logro de los objetivos, la
utilización eficiente de los recursos y para
obtener mayor productividad,
además de prevenir fraudes, errores, violación de
principios y
normas
contables, fiscales y tributarias.

Por la importancia que tiene la función de
Control en la Dirección Empresarial, es que se le debe
prestar atención permanente y actualizarla
periódicamente. Como bien está contenido en la
Resolución Económica del V Congreso del PCC al
señalar que:

"El empleo de
técnicas modernas de Dirección empresarial,
adecuadas a nuestras características y basadas en las
mejores y más avanzadas prácticas
contemporáneas, así como el amplio uso de todas las
posibilidades de las tecnologías… deben constituir
prioridad del país, a los fines de garantizar mayor
eficiencia en
la gestión
y los procesos
productivos…" ( )

Los controles internos se implantan para mantener la
empresa o
negocio en la dirección de sus objetivos de rentabilidad y
en la consecución de su misión,
así como para minimizar las sorpresas en el camino. Ellos
le hacen posible a la
administración negociar en ambientes económicos
y competitivos rápidamente cambiantes, ajustándose
a las demandas y prioridades de los clientes y
reestructurándose para el crecimiento futuro. Por otra
parte, promueven la eficiencia, reducen los riesgos de
pérdida de activos y ayudan
a asegurar la confiabilidad de los estados
financieros y el cumplimiento de leyes y
regulaciones.

En un sentido amplio, el control interno se define como
un proceso
efectuado por el consejo de dirección, la administración y el resto del personal de una
entidad, diseñado para proporcionar seguridad
razonable en cuanto a la consecución de objetivos en las
siguientes categorías:

Efectividad y Eficiencia en las
operaciones.
Confiabilidad en la información
financiera.
Cumplimiento de las leyes y regulaciones
aplicables.

Esta definición de Control Interno es amplia
porque es la manera como la mayoría de los ejecutivos
principales intercambian puntos de vistas sobre control interno
en la administración de sus negocios. De
hecho, a menudo ellos hablan en términos de control y
están dentro del control.

La probabilidad
de conseguirlos está afectada por limitaciones inherentes
a todos los sistemas de
Control Interno; por ejemplo, los juicios en la toma de
decisiones pueden ser defectuosos y las fallas pueden ocurrir
por simples errores o equivocaciones. Adicionalmente los
controles pueden estar circunscritos a dos o más personas,
y la administración tiene la capacidad de desbordar el
sistema. Otro factor de limitación es que el diseño
de un sistema de control interno puede reflejar estrechez de
recursos y los beneficios de los controles se deben considerar en
relación a sus costos.

La construcción de controles también
tiene implicaciones importantes en los costos involucrados y en
el tiempo de
respuesta, si se tiene en cuenta que la mayoría de las
empresas se
enfrentan a mercados
altamente competitivos y necesitan reducir sus costos.

A nivel internacional existen varias metodologías
que parten de un enfoque sistémico a la hora de concebir
los sistemas de
Control Interno, pero la metodología más completa y que
asemeja la
investigación es la siguiente:

INFORME COSO: The Committee of Sponsoring Organizations
of Treadway Commisssion"s Internal Control – Integrated
Framework. (Documento publicado en 1992). Hace recomendaciones a
los contables de gestión de cómo evaluar, informar
e implementar Sistemas de Control, teniendo como objetivo de
control la efectividad y eficiencia de las operaciones, la
información financiera y el cumplimiento de
las regulaciones que explica en los componentes del ambiente de
control, valoración de riesgos, actividades de control,
información, y comunicación y el monitoreo.

Este informe COSO
(Informe en Comisión de las organizaciones
especializadas) (Sponsoring Organizations of the Treadway) consta
de cinco componentes interrelacionados que se derivan de la forma
como la administración maneja el negocio, y están
integrados en los procesos
administrativos. Los componentes son los
siguientes:

Ambiente de Control.
Evaluación de Riesgos.
Actividades de control.
Información y comunicación.
Supervisión y seguimiento del sistema de
control.

De acuerdo al enfoque sistémico presente en el
Informe COSO, el Control Interno no consiste en un proceso
secuencial, en donde algunos de los componentes afecta solo al
siguiente, sino en un proceso multidireccional repetitivo y
permanente, en el cual más de un componente influye en los
otros, es decir los cinco componentes forman un sistema integrado
que reacciona dinámicamente a las condiciones
cambiantes.

La problemática a enfrentar es altamente compleja
por cuanto no sólo implica un cambio de
concepción en el diseño e implementación de
los Sistemas de Control Interno, significa además centrar
estratégicamente las acciones en
aquellas cuestiones y puntos más vulnerables. Es de
reconocimiento por los especialistas, que el papel de las
auditorias se
ha acrecentado en cantidad y calidad; sin
embargo las situaciones negativas en torno a las
fallas, violaciones e incumplimientos en el ámbito del
Control Interno continúan manifestándose, entre
otras factores, por la inadecuada administración de los
riesgos.

Definiciones de
Riesgos

Antes de analizar cómo administrar los riesgos,
debemos conocer definiciones de diversos autores referentes al
significado de Riesgo.

Un riesgo es la
posibilidad de sufrir una pérdida o no. (José
Andrés Dorta, 2004).

Según Juan Pablo Zorrilla Salgado (2004), para un
proyecto
específico, el percance puede ser un producto
terminado con menor calidad, costos más elevados, retrasos
en el programa de
actividades, o no alcanzar en absoluto el propósito y la
intención del proyecto. En otras palabras, un riesgo
es un problema en espera de ocurrir o no. Toda actividad
conlleva un riesgo, ya que la actividad exenta de ello representa
inmovilidad total. Pero aún así, si todos nos
quedamos en casa sin hacer nada y se detuviera toda actividad
productiva y de servicios,
aún existiría el riesgo, no cabe duda que menores
pero existirían, el riesgo cero no
existe.

Por lo tanto definimos el Riesgo, como la
probabilidad que un peligro (causa inminente de pérdida)
existente en una actividad determinada durante un período
definido, ocasione un incidente con consecuencias factibles de
ser estimadas.

También lo podemos entender como el potencial de
pérdidas que existe asociado a una operación
productiva, cuando cambian en forma no planeada las condiciones
definidas como estándares para garantizar el
funcionamiento de un proceso o del sistema productivo en su
conjunto. (Fragoso, 2002).

El riesgo incontrolado hace que el logro de los
objetivos operacionales sea incierto. (Baca, 1997).

Los riesgos en general, se pueden clasificar en
riesgo puro y riesgo especulativo. (Lewent, 1990).

El riesgo especulativo es aquel riesgo en la
cual existe la posibilidad de ganar o perder, como por ejemplo
las apuestas o los juegos de
azar. En cambio el riesgo puro es el que se da en la
empresa y existe la posibilidad de perder o no perder pero
jamás ganar.

El riesgo puro en la empresa a su vez se
clasifica en: Riesgo inherente y riesgo
incorporado.

El riesgo inherente, es aquel que por su
naturaleza no
se puede separar de la situación donde existe. Es propio
del trabajo a
realizar. Es el riesgo propio de cada empresa de acuerdo a su
actividad.

El riesgo incorporado es aquel que no es propio
de la actividad, sino que producto de conductas poco responsables
de un trabajador, el que asume otros riesgos con objeto de
conseguir algo que cree que es bueno para el y/o para la empresa,
como por ejemplo ganar tiempo, terminar antes el trabajo
para destacar, demostrar a sus compañeros que es mejor,
etc.

Administración
de los Riesgos

"La Administración de Riesgos es la
disciplina que
combina los recursos financieros, humanos, materiales y
técnicos de la empresa, para identificar y evaluar los
riesgos potenciales y decidir como manejarlos con una
combinación óptima de costo –
efectividad". Juan López García (2004).

La Gerencia o
Administración de Riesgos se ha convertido en una
función estratégica esencial de la dirección
corporativa moderna, y no una mera decisión comercial o
productiva.

El concepto maneja
fundamentalmente los elementos referidos a garantizar la
seguridad y estabilidad integral de una organización de
sus bienes, de las
persona, etc.,
de amenazas actuales y futuras que pueden dañar la
supervivencia de éstas.

Todo proyecto implica riesgos. Además, la
aceptación del riesgo es esencial para el progreso y a
menudo los fracasos son una parte fundamental del aprendizaje.
Aunque algunos riesgos no se pueden evitar, el intentar
reconocerlos y controlarlos no debe limitar las oportunidades de
emplear la creatividad.

Es importante tener presente que en muchas ocasiones los
integrantes de un equipo conocen los riesgos, pero no los
comunican en la forma adecuada. Por lo general, es fácil
informar de los riesgos hacia abajo en la cadena de mando, pero
es difícil hacerlo en sentido contrario. En todos los
niveles, las personas pretenden conocer los riesgos de los
niveles inferiores, pero muchas veces no los comunican
abiertamente a quienes están a un nivel más
alto.

Según Edmundo Pelegrin (2004), el proceso de
identificar los riesgos debe incluir un ambiente en el que las
personas sientan la libertad de
expresar puntos de vista especulativos o controversiales. Cuando
los riesgos se perciben como algo negativo, los integrantes de un
equipo se sienten renuentes a informar sobre ellos. En algunos
proyectos, el
mencionar los riesgos nuevos se toma como una queja. En ciertas
situaciones, una persona que habla de los riesgos recibe el
calificativo de conflictiva, y las reacciones se concentran en la
persona, antes que en los riesgos. Bajo estas circunstancias, los
miembros de un equipo tienen reservas para comunicar sus
opiniones con libertad. Seleccionan y suavizan la
información de riesgos que deciden compartir para que no
resulte demasiado negativa en relación con las
expectativas de los demás integrantes.

Para Edmundo Pelegrin (2004), aunque los integrantes del
equipo y los patrocinadores de un proyecto importante a menudo
consideran negativo el riesgo, es importante que no juzguen un
proyecto simplemente por la cantidad y la naturaleza de los
riesgos. Deben tomar en cuenta que el riesgo es la posibilidad,
no la certeza, de una pérdida. Por otra parte, los
integrantes de un equipo que evalúan un proyecto con una
lista de los cinco o diez riesgos principales deben considerarlo
con reservas, aunque la exposición
total al riesgo no sea tan significativa.

Otro de los conceptos importantes que debemos conocer
sobre la Gerencia o Administración de Riesgos, y
donde según la teoría
de Oscar Agudelo Cortes (1994), es el que la define como la
disciplina que se ocupa del estudio de cómo realizar el
análisis y predicción con la mayor
exactitud posible de la ocurrencia de hechos causantes de
perjuicios económicos a personas naturales o
jurídicas, con el fin de medirlos y analizarlos para
lograr su eliminación, o en caso contrario, disminuir sus
efectos dañosos.

La Administración del Riesgo es reconocida
también como práctica integral de una buena
gerencia; se le trata aquí como un proceso permanente e
interactivo que conlleva a que continuamente la
administración, en coordinación con el comité o
grupo asesor
de control identifique, evalúe y revalúe, maneje y
monitoree los riesgos latentes en el entorno asociados a factores
internos y externos que pueden llegar a representar amenazas para
la consecución de los objetivos organizacionales en el
contexto del control interno técnico
administrativo.

La administración del riesgo debe partir de una
política
institucional definida y respaldada por la alta dirección
que se comprometa a manejar el tema dentro de la
organización; este compromiso incluye la
sensibilización de los funcionarios de la entidad,
dándoles a conocer la importancia de su integración y participación en este
proceso; la definición de un equipo de trabajo responsable
de liderar el ejercicio y la Implementación de las
acciones propuestas, el monitoreo y el seguimiento.

El objetivo fundamental, es el de minimizar los
efectos adversos de los riesgos, con un costo mínimo
mediante la identificación, evaluación
y control de los mismos. (José Andrés Dorta
Velásquez, 2004)

Así mismo, es factible aplicar varias herramientas y
técnicas para identificar riesgos, como por ejemplo:
entrevistas
estructuradas con expertos en el área de interés;
reuniones con directivos y con personas de todos los niveles en
la entidad; evaluaciones individuales usando cuestionarios;
tormentas de ideas realizadas con el comité o equipo de
control; entrevistas e indagaciones con personas ajenas a la
entidad; usar diagramas de
análisis tales como árboles
de error, de eventos y
diagramas de
flujo; análisis de escenarios y revisiones
periódicas de factores económicos y
tecnológicos que puedan afectar la organización,
entre otros. La técnica utilizada dependerá de las
necesidades y naturaleza de la entidad.

1.3.1 Etapas del proceso de
Administración de Riesgos

Para un eficiente desarrollo de
sus actividades, la gerencia de riesgos en cualquier sector u
organización debe ajustarse a una metodología que
le permita distribuir su trabajo en las siguientes etapas como
afirma en su tesis Victor
Belmar Muñoz, 2005.

Primera Etapa: Identificación de los
Riesgos de Pérdidas.

La primera etapa nos permite determinar de una manera
más exacta la exposición de una empresa o
negocio a un riesgo o pérdida.

Para conocer un riesgo es necesario conocer su causa,
que es la que va a determinar la existencia de este y si puede
afectar a la empresa o no.

Este análisis tiene como objetivo determinar cada
uno de los riesgos que pueda afectar la continuidad de un negocio
o empresa, y con ello reconocer la posibilidad de una
pérdida. También es importante identificar todo
bien o interés de la empresa, ya que los riesgos siempre
se relacionan con éstos.

La actividad empresarial de hoy se manifiesta en un
entorno incierto, están expuestas a un conjunto amplio de
riesgos, que cada vez son más diversos ante los cambios
económicos, políticos, tecnológicos y
sociales. A todas las empresas le surge la necesidad de
defenderse ante los riesgos existentes.

Los efectos o consecuencias de los riesgos pueden
afectar a la empresa de diversas formas. Clasificar estos efectos
permite entender este aspecto de forma más
precisa.

Métodos de
Identificación de Riesgos

El proceso de la identificación del
riesgo debe ser permanente e interactivo, integrado al
proceso de planeación
y responder a las preguntas: dónde, quién,
qué, cuándo, cómo y por qué se pueden
originar hechos que influyen en la obtención de
resultados. Dichas 6 preguntas constituyen las llaves que
nos conducen a una adecuada proyección en la
prevención de las conductas delictivas y
corruptivas.

Es importante tener en cuenta los factores que pueden
incidir en la aparición de los riesgos, los cuales como se
ha mencionando en las bases metodológicas pueden ser
externos e internos y pueden llegar a afectar la
organización en cualquier momento; entre los factores
externos deben considerarse además de los que pueden
afectar directamente a la entidad, factores económicos,
legales y cambios tecnológicos, entre otros. Entre los
factores internos se encuentran la propia naturaleza de
las actividades de la entidad, las personas que hacen parte de la
organización, los sistemas de
información, los procesos y procedimientos y
los recursos económicos.

A continuación presentamos los pasos para la
identificación de los riesgos.

1. Historial de siniestro propios y
ajenos:

El mantenimiento
de registros e
información de los siniestros, e incluso de
acontecimientos o incidentes de escasa gravedad que han implicado
daños económicos, es la primera fuente que permite
detectar y evaluar riesgos. A menudo, estas informaciones son
antiguas o incompletas, por lo que será necesario
proyectarlas en el momento actual y a situaciones futuras. En la
mayoría de las ocasiones el historial de siniestros de una
sola entidad suele ser escaso y se dispondrá de una
experiencia propia insuficiente, para identificar e evaluar la
totalidad de los posibles riesgos. Por ello, se debe completar
este historial propio con las experiencias de entidades ajenas
del mismo sector, o cercano del que pertenece la entidad en
cuestión.

2. Encuestas
estándar y cuestionarios:

Permite diagnosticar la opinión de los miembros
de las entidades del estado actual
de los riesgos existentes. Esta clase de
documentación suele consistir en una serie
de páginas con cuestiones generales que pueden ser
relevantes para las empresas.

3. Análisis de informaciones
internas:

A la vista de informes de la
entidad, se pueden detectar métodos,
departamentos, sistemas, personas o mercancías, que pueden
originar o participar en sus acontecimientos con resultados
negativos. Las informaciones que con más frecuencias
proporcionan indicios o avances de actuaciones peligrosas
son:

Balance y estado de resultados, apuntes contables,
informes del personal, documentos legales, memorias y
proyectos de obras e instalaciones, contratos de suministros,
servicios, representaciones y otros; cartera de clientes,
productos y volumen de venta, cartera de proveedores,
procedimientos de producción (investigación,
desarrollo, producción y otros), informes
jurídicos, inventario de edificio, instalaciones,
maquinaria y mercancías, patentes y tecnología
propios y adquiridas, gráficos de flujos.

Estas informaciones habrán de ser contactadas
manteniendo conversaciones con los responsables de las
áreas donde se han preparado.

4. Inspecciones personales:

Mediante los documentos,
informaciones escritas que proporcionan los demás
métodos, el gerente de
riesgos puede visualizar la mayoría de los riesgos pero no
todos. Para completar la información, es necesario la
comprobación física y de
actividades directamente, equipos, edificios, servicios, las
condiciones correspondientes, etc. Todo esto se lleva a cabo
mediante inspecciones de campo. Si la persona que va a realizar
la inspección personal ha realizado el suficiente trabajo
de despacho, revisando toda la documentación que se ha
podido conseguir, podrá comprobar la importancia de
riesgos que se ha encontrado en esta documentación y
ampliarlos hasta alcanzar a conocer la casi totalidad de los
riesgos que afectan a la empresa. Así pues, no es
suficiente la información documental para identificar
todos los riesgos de una empresa y tampoco es suficiente la sola
inspección de campo, sino que ambas se
complementan.

5. Consultas con expertos externos o
internos:

La mayoría de las empresas no tienen los
suficientes recursos como para tener amplia información de
los riesgos que las pueden afectar. En ocasiones, los encargados
de los departamentos no pueden imaginar todos los riesgos que las
afectan, por lo que se hace necesario acudir a expertos externos
que pueden ayudar a completar la identificación. El
gerente de riesgos puede acudir a diferentes fuentes
externas como pueden ser los profesionales individuales
(abogados, técnicos de riesgos o contables), mercados u
organizaciones (publicaciones periódicas o anuales),
agencias gubernamentales y otros.

Segunda Etapa: Evaluación de los
Efectos.

Una de las finalidades inmediatas que se persigue con la
inspección es la evaluación de los riesgos
detectados. En líneas generales, en la evaluación
se toman en consideración dos factores del riesgo. De una
parte, la evaluación de la probabilidad de que ocurra el
riesgo en cuestión y, de otra, la evaluación de la
gravedad económica del daño,
en caso de que el riesgo se materialice. La Gerencia de Riesgos
precisa de una evaluación global que integre ambas
variables.

Como primera aproximación de las escalas de
clasificación de la evaluación de riesgos se
proporcionan las siguientes:

Métodos de Evaluación de
Riesgos

Este grupo de métodos están fundamentados
en la ecuación:

Riesgo = Probabilidad x Intensidad (R = P x
I)

Cuyos factores, a modo de ejemplo, en una modulación
de escala R de 0 a
100, se valoran de la siguiente forma:

Evaluación de la Intensidad (I)

Si bien existen métodos que evalúan la
intensidad de un riesgo determinado, en cuanto a la
afectación física sobre personas, instalaciones,
maquinaria, la información que le interesa al Gerente de
Riesgos es de índole económica, evaluando las
pérdidas directas, consecuenciales y a largo plazo que
puede originar la ocurrencia de un riesgo determinado.

Evaluación global Probabilidad e
Intensidad.

La evaluación que proporciona una visión
global más clara de la problemática que puede
surgir ante la ocurrencia de un riesgo, es aquélla que
interrelaciona la probabilidad de ocurrencia con la intensidad o
gravedad de los efectos.

La evaluación ha de considerar
simultáneamente las variables, probabilidad e intensidad,
por lo que se recomiendan métodos de evaluación del
riesgo que consideren ambos factores, aplicando la
ecuación básica de cálculo
del riesgo.

1.3.2 Los Enfoques de la
Administración de los Riesgos.

Un equipo de proyecto que funciona con eficacia, mide
los riesgos incesantemente y emplea la información para la
toma de decisiones en todas las etapas del proyecto. En muchos
proyectos, los riesgos se valoran sólo una vez durante la
planificación inicial del proyecto. Los
riesgos principales se identifican y atenúan, pero
después no se revisan explícitamente. Esto no es un
ejemplo de una buena administración de riesgos.

Según Zorrilla Salgado (2004), existen dos
enfoques inherentemente distintos para la administración
de riesgos. Uno es reactivo y el otro es
proactivo. La administración reactiva de riesgos,
significa que el equipo del proyecto reacciona a las
consecuencias de los riesgos (los problemas
reales) conforme ocurren. La administración proactiva de
riesgos significa que el equipo del proyecto cuenta con un
proceso visible para administrarlos. Este proceso se puede medir
y repetir.

La prevención del riesgo es el punto de
transición entre los enfoques reactivo y proactivo. La
prevención ocurre en las etapas de planeación de un
proyecto, cuando el equipo puede aplicar acciones para impedir
que ocurran los riesgos. Es importante señalar que,
esencialmente, la prevención es todavía una
estrategia
reactiva para administrar los riesgos; no es un remedio para la
causa del riesgo, sólo una forma de evitar sus
síntomas.

Para alcanzar los niveles más altos de la
administración proactiva de riesgos, el equipo debe estar
dispuesto a tomar riesgos. Esto significa no temer al riesgo,
sino considerarlo como un medio para crear oportunidades
adecuadas. Para conseguirlo, el equipo debe ser capaz de evaluar
imparcialmente los riesgos (y las oportunidades) y, a
continuación, aplicar acciones que aborden las causas de
estos riesgos, no sólo sus síntomas. Es importante
enfatizar que el factor determinante para tener éxito no
es la calidad de la valoración del riesgo, sino la
capacidad del equipo para administrar el riesgo y la
oportunidad.

El proceso de Administración Proactiva de
Riesgos

Para Zorrilla Salgado (2004), cuando el equipo del
proyecto emplea la administración proactiva de riesgos,
los valora en forma continua y los utiliza para tomar decisiones
en todas las etapas del proyecto. Incluye los riesgos y los
enfrenta hasta que se resuelven, o hasta que se convierten en
problemas y se manejan como tales.

Figura No.3 El proceso de administración
proactiva de riesgos.

Monografias.com

Fuente: Zorrilla Salgado, tomado de su libro:
Administración de los Riesgos, 2004.

Identificación
de Riesgos

La identificación de riesgos es el primer paso en
el proceso de la administración proactiva de riesgos. Los
riesgos deben identificarse antes de que puedan administrarse. La
identificación de riesgos proporciona al equipo del
proyecto las oportunidades, indicios e información que le
permiten ubicar los riesgos principales antes de que afecten
adversamente al proyecto. El proceso que ocurre entre los
integrantes del equipo y los patrocinadores es muy importante. Es
un medio vigoroso de manifestar las suposiciones y los puntos de
vista contrastantes.

No es probable que en un equipo haya coincidencia en la
valoración de todos los factores de riesgo. Dependiendo de
su experiencia, sus conocimientos y sus intereses cada uno de los
diferentes integrantes del equipo tendrá una
opinión propia. Si después de una discusión
no se alcanza un acuerdo, el mejor enfoque es una
votación, donde prevalezca la opinión de la
mayoría. Los Factores de Riesgo

Los factores de riesgo se agrupan por área de
atención y categoría. Los factores del
propósito y las metas, la necesidad de tomar decisiones,
los factores de administración de la organización,
y los factores de presupuestos y
costos, son ejemplos de las categorías de factores de
riesgo dentro de un área de atención.

Cada factor de riesgo posee una o más
características que describen si el riesgo debe
considerarse alto, mediano o bajo.

Una evidencia de riesgo bajo sería que el
proyecto apoyará directamente el propósito y las
metas del cliente; una
evidencia de riesgo alto sería cuando el proyecto no
apoyara ni se relacionara con el propósito y las metas del
cliente.

La declaración
del riesgo

Antes de que pueda administrarse un riesgo, debe
expresarse con claridad. Cuando declara un riesgo, el equipo no
debe considerar sólo un síntoma, sino
también un resultado. Por esa razón, la
declaración del riesgo debe incluir lo que provoca que
surja la situación (esto es, la causa) y el resultado
esperado (la consecuencia).

Monografias.com

Figura No.4 La declaración del
riesgo.

Fuente: Zorrilla Salgado, tomado del libro:
Administración de los Riesgos, 2004.

Análisis de
Riesgos

El análisis de riesgos es el segundo paso en el
proceso de administración proactiva de riesgos. Es la
conversión de los datos de un
riesgo a información para la toma de decisiones
respectiva. Un análisis minucioso corrobora que el equipo
trabaja en los riesgos convenientes. Probabilidad de un
Riesgo

Un riesgo se compone de dos factores: probabilidad e
impacto.

La probabilidad de un riesgo es la posibilidad
de que un evento suceda. Para clasificar los riesgos es
recomendable la asignación de un valor
numérico a la probabilidad. La probabilidad de un riesgo
debe ser mayor que cero o el riesgo no representa una amenaza
para el proyecto. Asimismo, la probabilidad debe ser menor que
100% o el riesgo es una certeza, en otras palabras, es un
problema identificado.

El impacto de un riesgo mide la severidad de
los efectos adversos, o la magnitud de una pérdida, si el
riesgo llega a suceder. La decisión de cómo medir
las pérdidas sostenidas no es un asunto
trivial.

Si el riesgo tiene un impacto financiero, el valor
monetario es la forma preferible para cuantificar la magnitud de
una pérdida. El impacto financiero podrían ser
costos a largo plazo en la operación y el apoyo, una
pérdida en la participación en el mercado, costos a
corto plazo por el trabajo adicional, o pérdida en el
costo de oportunidad.

Otros riesgos pueden tener un nivel de impacto en donde
es más conveniente una escala subjetiva del 1 al 5.
Básicamente se califica la viabilidad del éxito del
proyecto. Los valores
altos indican una pérdida seria para el proyecto. Los
valores
medianos señalan una pérdida en partes del proyecto
o una disminución de la eficiencia.

Exposición al
Riesgo

Para evaluar una lista de riesgos, debe entenderse con
claridad la amenaza completa de cada una de las necesidades de
riesgos. En ocasiones un riesgo con una probabilidad alta tiene
un impacto bajo y puede ignorarse sin complicaciones; otras veces
un riesgo con un impacto alto tiene una probabilidad baja y
también puede ignorarse. Los que en verdad se requiere
administrar, son aquellos con una exposición alta
(probabilidad e impacto altos). Esto se consigue reduciendo la
probabilidad o el impacto del riesgo. El formulario de
declaración de Riesgos

La siguiente es una lista de la información
empleada por Yairin Arteaga (2005) y Martha Cruz Bravo (2005),
donde el equipo debe considerar cuando desarrolle un formulario
de declaración de riesgos:

Identificador del riesgo: El nombre que emplea
el equipo para identificar inequívocamente una
declaración de riesgo, con el propósito de elaborar
informes y darle seguimiento.

Fuente del riesgo: El área de
atención (esto es, el desarrollo personalizado de software, la
diseminación del software terminado, el
despliegue de la infraestructura, la administración del
programa de la empresa o la planificación de la arquitectura de
la empresa), la categoría del factor de riesgo (esto es,
el propósito y las metas, la necesidad de tomar
decisiones, la administración de la organización,
el programa de actividades, o el presupuesto/costo), y el factor de riesgo (esto
es, la conveniencia del proyecto, la influencias políticas,
la estabilidad de la organización, el tamaño del
proyecto) que se emplearon para identificar el riesgo.

Condición del riesgo: Una
declaración en lenguaje
normal que describa una condición existente que pudiera
conducir a una pérdida para el proyecto.

Consecuencia del riesgo: Una declaración
en lenguaje normal que describa la pérdida que
ocurriría en el proyecto si se materializara el
riesgo.

Probabilidad del riesgo: Una expresión
del porcentaje mayor que cero y menor que el 100 por ciento, que
representa la probabilidad de que la condición ocurra,
provocando una pérdida.

Clasificación del impacto del riesgo: Si el
impacto del riesgo es, por ejemplo, financiero,
estratégico, técnico o legal.

Impacto del riesgo: La magnitud del impacto en
caso de que el riesgo ocurra. Este número debe ser el
valor monetario de la pérdida o simplemente un
número entre 1 y 10 que represente una magnitud relativa.
Para valorarlo, a menudo se emplea el resultado de multiplicar el
impacto por la probabilidad del riesgo.

Exposición al riesgo: La amenaza
completa que significa el riesgo para el proyecto, compensando la
probabilidad de una pérdida real con la magnitud de la
pérdida posible. El equipo emplea la exposición al
riesgo para valorar y clasificar los riesgos.

Contexto del riesgo: Un párrafo
con antecedentes adicionales que sirvan para aclarar la
situación del riesgo.

Riesgos relacionados: Una lista de
identificaciones que emplea el equipo para dar seguimiento a los
riesgos que dependen entre sí.

Planificación
de Acciones para Riesgos

La Planificación de Acciones para Riesgos, es el
tercer paso en el proceso de administración de riesgos.
Convierte la información sobre un riesgo en decisiones y
acciones. La planificación implica desarrollar acciones
para enfrentar los riesgos individuales, establecer prioridades
en las acciones para un riesgo, y crear un plan integrado de
administración de riesgos.

Seguimiento de Riesgos

El seguimiento es el cuarto paso en el proceso de
administración de riesgos. Durante esta fase, el equipo
vigila el estado de
los riesgos y las acciones que ha aplicado para atenuarlos. El
seguimiento de los riesgos es esencial para la
implementación de un plan de acciones eficaz. Esto implica
establecer las unidades de medición del riesgo y los eventos de
activación necesarios para asegurar que funcionan las
acciones planificadas.

El seguimiento es la función de vigilancia del
plan de acciones para riesgos. Es conveniente incluir una
revisión del riesgo durante las revisiones y los
análisis regulares del proyecto. Esto debe incorporar una
valoración del avance en la solución de los 10
riesgos más importantes del proyecto.

Elaboración de
informes del Estado del Riesgo

Para las revisiones, el equipo debe presentar los
riesgos importantes para el proyecto y el estado de las acciones
para la administración de riesgos. Si las revisiones del
proyecto se programan con regularidad (en forma mensual o en los
puntos de decisión significativos), es útil mostrar
la clasificación de riesgos, por ejemplo, la cantidad de
veces que un riesgo ha estado en la lista de los 10 más
importantes.

La elaboración de informes del estado de riesgos
identifica cuatro situaciones posibles en la
administración de riesgos:

Un riesgo se soluciona, con lo que termina el plan
de acciones que le corresponde.
Las acciones para un riesgo siguen el plan de
administración de riesgos, en cuyo caso se mantienen
dentro de lo planificado.
Algunas acciones para un riesgo no siguen el plan de
administración de riesgos, en cuyo caso deben
determinarse e implementarse medidas correctivas.
La situación ha cambiado significativamente
en relación con uno o más riesgos y por lo
general requerirá una revaloración de los
riesgos o volver a planificar una actividad.

Conforme el equipo del proyecto adopta acciones para
administrar los riesgos, la exposición al riesgo total del
proyecto debe tender a establecerse en niveles
aceptables.

Control de
Riesgos

El control de riesgos es el último paso en el
proceso de administración proactiva de riesgos.
Después de que el equipo ha seleccionado las unidades de
medición de riesgos y los eventos de activación, no
hay nada singular en la administración de riesgos.
Más bien, se debe combinar con los procesos de
administración de un proyecto para controlar los planes de
acciones, corregir las variaciones de los planes, responder a los
eventos de activación, y mejorar el proceso de
administración de riesgos.

La administración de riesgos depende de los
procesos de administración del proyecto para:

Controlar los planes de acciones para
riesgos.
Corregir las variaciones de los planes.
Responder a los eventos de
activación.
Mejorar el proceso de administración de
riesgos.

Técnicas de
identificación y valoración de los
Riesgos

El diagnóstico constituye un obligado punto de
partida en el proceso investigativo, por los valiosos
conocimientos y realidades que aporta la entidad objeto de
estudio. Existen varias formas de diseñar un
diagnóstico, en este caso se aplicó el
Diagnóstico Empresarial enfocado específicamente al
Subsistema: Control Interno.

En la fase inicial del estudio diagnóstico de
investigación, se aplican encuestas a
solicitud de la administración y de su comité de
control, en interés de profundizar y evaluar con el mayor
rigor posible, el comportamiento
de los valores de la organización. Los valores de la
organización constituyen una premisa de alta
consideración en el fomento y materialización de un
adecuado clima laboral y por
tanto del prestigio de las organizaciones. En tal sentido se
destaca la gerencia japonesa, donde en uno de sus principales
postulados señala el inestimable valor del prestigio de
los colectivos laborales. A los efectos de lograr la mayor
profundidad y alcance en las valoraciones, se proyectó el
diagnóstico a la evaluación del comportamiento de
variables tales como: libertad, sentido de pertenencia, liderazgo,
clima
organizacional, estimulación o recompensa,
etc.

Una metodología para diseñar y analizar
los riesgos en el contexto del Control Interno Técnico
Administrativo, puede variar ampliamente porque muchos riesgos
son difíciles de cuantificar, sin embargo el proceso que
puede ser más o menos formal y usualmente
incluye:

Una estimación de su importancia y
trascendencia.
Una evaluación de la probabilidad y
frecuencia.
Una definición del modo en que habrán
de manejarse.
Cambios en el entorno.
Redefinición de la política
institucional.
Reorganizaciones o reestructuraciones
internas.
Ingreso de empleados nuevos o rotación de los
existentes.
Nuevos sistemas, procedimientos y
tecnologías.
Nuevos productos, actividades o
funciones.

Según la práctica internacional y como lo
definen los autores Juan López García (2004) y
Edmundo Pelegrin (2006) en cada una de sus tesis, la
identificación del riesgo se realiza a través de la
elaboración del Mapa de Riesgos, el cual como
herramienta metodológica permite hacer un inventario de los
riesgos ordenada y sistemáticamente, definiendo en primera
instancia los riesgos, posteriormente presentando una descripción de cada uno de estos y
finalmente definiendo las posibles consecuencias como:

Descripción del Riesgo: posibilidad de ocurrencia
de aquella situación que pueda entorpecer el normal
desarrollo de las funciones de la
entidad, el área o el proceso que se trate y le impidan el
logro de sus objetivos.

Causas y Condiciones: se refiere a los factores internos
o externos que provocan o propician la manifestación de
los riesgos identificados.

Incidencias o posibles consecuencias: corresponde a los
posibles efectos ocasionados por el riesgo, los cuales se pueden
traducir en daños de tipo económico, social,
administrativo, moral entre
otros.

Medidas adoptadas: se refiere a las medidas aplicadas
por la administración y dirigidas a contrarrestar las
posibles conductas delictivas y corruptivas.

El objetivo del análisis del riesgo como
plantea Juan López García (2004), es el de
establecer una valoración y priorización de los
riesgos con base en la información ofrecida por los
mapas elaborados
en la etapa de identificación, con el fin de clasificar
los riesgos y proveer información para establecer el nivel
de riesgo y las acciones que se van a implementar. El
análisis del riesgo dependerá de la
información sobre el mismo, de su origen y la
disponibilidad de los datos. Para adelantarlo es necesario
diseñar escalas que pueden ser cuantitativas o
cualitativas o una combinación de las dos.

Según los autores Juan López (2004) y
Edmundo Pelegrin (2006) se establecen dos aspectos para realizar
el análisis de los riesgos identificados:

Probabilidad: la posibilidad de ocurrencia del
riesgo; esta puede ser medida con criterios de frecuencia o
teniendo en cuenta la presencia de factores internos y
externos que pueden propiciar el riesgo, aunque éste
no se haya presentado nunca.
Impacto: consecuencias que puede ocasionar a la
organización la materialización del
riesgo.

A continuación se presentan algunos ejemplos de
las escalas que pueden implementarse para analizar los
riesgos.

Escala de medida cualitativa o cuantitativa de
Probabilidad: se deben establecer las categorías
a utilizar y la descripción de cada una de ellas, con el
fin de que cada persona que aplique la escala mida a
través de los parámetros siguientes:

Alta: es muy factible que el hecho se
presente.
Media: es factible que el hecho se
presente.
Baja: es muy poco factible que el hecho se
presente.

Ese mismo diseño puede aplicarse para la escala
de medida cualitativa o cuantitativa de Impacto,
estableciendo las categorías y la descripción, por
ejemplo:

Alto: Si el hecho llegara a presentarse,
tendría alto impacto o efecto sobre la
entidad.
Medio: Si el hecho llegara a presentarse
tendría medio impacto o efecto en la
entidad.
Bajo: Si el hecho llegara a presentarse
tendría bajo efecto en la entidad.

Cualquier esfuerzo que emprendan las entidades en torno
a la valoración llega a ser en vano, si no culmina en un
adecuado manejo y control de los riesgos, definiendo
acciones factibles y efectivas, tales como la implantación
de políticas, estándares, procedimientos y cambios
físicos, entre otros, que hagan parte de un plan de
manejo.

Para el manejo del riesgo según Edmundo Pelegrin
(2006), se pueden tener en cuenta alguna de las siguientes
consideraciones, las que pueden analizarse cada una de
ellas independientemente, interrelacionadas o en
conjunto.

Evitar el riesgo: es siempre la primera alternativa
a considerar. Se logra cuando al interior de los procesos se
generan cambios sustanciales por mejoramiento,
rediseño o eliminación, resultado de unos
adecuados controles y acciones emprendidas.
Reducir el riesgo: si el riesgo no puede ser evitado
porque crea grandes dificultades operacionales, el siguiente
paso es reducirlo al más bajo nivel posible. La
reducción del riesgo es probablemente el método
más sencillo y económico para superar las
debilidades antes de aplicar medidas más costosas y
difíciles. Se consigue mediante la optimización
de los procedimientos y la implementación de
controles.
Dispersar y atomizar el riesgo: Se logra mediante la
distribución o localización del riesgo en
diversos lugares.
Transferir el riesgo: Hace referencia a buscar
respaldo y compartir con otro parte del riesgo. Esta
técnica es usada para eliminar el riesgo de un lugar y
pasarlo a otro o de un grupo a otro.
Asumir el riesgo: Luego de que el riesgo ha sido
reducido o transferido puede quedar un riesgo residual que se
mantiene.

Una vez establecidos cuáles de los anteriores
manejos del riesgo se van a concretar, estos deben evaluarse con
relación al costo-beneficio para definir cuáles son
susceptibles de ser aplicados y proceder a elaborar el plan
de manejo de riesgo, teniendo en cuenta el análisis
elaborado para cada uno de los riesgos de acuerdo con su impacto,
probabilidad y nivel de riesgo.

Posteriormente se definen los responsables de llevar a
cabo las acciones especificando el grado de participación
de las dependencias en el desarrollo de cada una de ellas.
Así mismo, es importante construir indicadores,
entendidos como los elementos que permiten determinar, de forma
práctica, el comportamiento de las variables de riesgo que
van a permitir medir el impacto de las
acciones.

Una vez realizada la selección
de las acciones más convenientes, se debe proceder a la
preparación e implementación del plan,
identificando responsabilidades, programas,
resultados esperados, medidas para verificar el cumplimiento y
las características del monitoreo. El éxito de la
implementación del plan, requiere de un sistema de control
interno administrativo efectivo, el cual tenga claro el método que
se va a aplicar.

Es importante tener en cuenta que los objetivos
están consignados en la planeación anual de la
entidad, por tal razón se sugiere incluir el plan de
manejo de riesgos dentro de la planeación, con el fin no
solo de alcanzar los objetivos, sino de implementar
también las acciones.

1.4.1 El Mapa de Riesgos, fuente de
implementación del inventario de riesgos.

El mapa de riesgos puede ser entendido como la
representación o descripción de los distintos
aspectos tenidos en cuenta en la valoración de los
riesgos, que permite visualizar todo el proceso de la
valoración del riesgo y el plan de manejo de
estos.

En la siguiente figura se muestra la
estructura
previa del mapa de riesgos, elaborado por López
García (2004) en su tesis de maestría, y que
constituye la base para la implementación del inventario
de riesgos al control Interno en el sistema empresarial
hotelero.

Tabla No.1 Mapa de Riesgo.

Monografias.com

Fuente: Elaborado por López García(2004),
en su tesis de maestría Bases metodológicas
Generales para el diseño e implementación de los
Sistemas de Control Interno en Villa La Granjita.

La evaluación del plan de manejo de riesgos se
debe realizar con base en los indicadores de
gestión diseñados para tal fin y los resultados
de los monitoreos aplicados en diferentes períodos.
Así mismo, se evaluará como ha sido el
comportamiento del riesgo y si se han presentado nuevos riesgos
que deban ser combatidos. Si bien es cierto se esta realizando
una evaluación, no se puede entender que esta es la etapa
final del proceso, todo lo contrario, con la evaluación se
esta obteniendo información importante para reformular el
plan de manejo de riesgos, agregar las acciones para combatir los
nuevos riesgos detectados, generar dentro de las dependencias y
áreas un ambiente de compromiso, pertenencia y autocontrol
y posibilitar a través de la retroalimentación, el mejoramiento en el
logro de los objetivos institucionales.

1.4.2 Los Tipos y clasificación de
los riesgos a escala internacional.

Después de estudiar a varios autores, creemos que
una de las tesis más acertadas en cuanto a frecuencia,
intensidad y tratamiento de los riesgos a escala internacional es
la del autor Edmundo Pelegrin (2006) y se definen de la siguiente
forma:

Tabla No.2 Los Tipos y la clasificación de los
riesgos.

Monografias.com

Fuente: Pelegrin Pérez, Edmundo Lázaro. La
Administración de los Riesgos, su impacto en la empresa
cubana, 2006.

Administración
de Riesgos en Cuba y su relación con la Resolución
297-03 del MFP

La práctica de la administración de
riesgos en nuestro país, se ha caracterizado por la
existencia de numerosas instituciones
administrativas y científico técnicas, que norman
aspectos parciales de la actividad, como son por ejemplo: la
Defensa Civil;
pero el rasgo peculiar ha consistido en que los trabajos han
tenido un enfoque eminentemente operacional y muy pocos han
abordado el aspecto económico financiero, como
expresión resumida del impacto de los riesgos sobre la
posición general del objeto analizado; de manera que en
Cuba la
necesidad de la implantación y desarrollo de la
administración de riesgos es obvia.

La Economía Cubana al valorar sus antecedentes
en materia de
control interno a transitado por diferentes momentos, presentes
factores objetivos y subjetivos, donde sus principios y
normativas de control interno vigentes hasta el año 2003,
no estaban diseñados para proporcionar un grado de
seguridad razonable en cuanto a la consecuencia de objetivos
dentro de las categorías de Eficacia, Eficiencia, factibilidad de
la información financiera y el cumplimiento de las leyes y
normas aplicadas.

Tal situación materializó un objetivo
fundamental: definir un nuevo marco conceptual del Control
Interno, capaz de integrar las diversas definiciones y conceptos
que venían siendo utilizados sobre el tema, logrando
así que, al nivel de las organizaciones, de la auditoria
interna o externa, o de los niveles académicos o
legislativos, se cuente con un marco conceptual común, y
una visión integradora que satisfaga las demandas de todos
los entes involucrados. En tal sentido, el Ministerio de Finanzas y
Precios pone
en vigor la Resolución No. 297 del 2003 que comprende la
definición de Control Interno, el contenido de los
componentes y las normas para su implementación. La misma
en su Resuelvo Segundo plantea "La presente resolución se
aplicara de forma gradual en todas las entidades del país,
en el transcurso de un año para aquellas empresas que e
encuentran en perfeccionamiento empresarial y en el transcurso de
hasta dos años para el resto de las entidades. A tales
efectos cada entidad elaborará un cronograma que se
presentará a las Direcciones de Finanzas y Precios de los
órganos municipales del Poder Popular
y a sus niveles superiores de subordinación, en un plazo
de treinta (30) días posteriores a la promulgación
de la presente Resolución." [1]

Sin embargo en los últimos tres años, con
la puesta en vigor de las Resoluciones 297-03 del MFP, y la
Resolución 013-06 del Ministerio de Auditoria y Control,
(está última relacionada con la detección y
enfrentamiento de las indisciplinas, ilegalidades y
manifestaciones de corrupción, que se hayan presentado o
puedan presentarse en una entidad, para lo cual se establece el
diagnostico de los riesgos y la elaboración del plan de
prevención) la administración de riesgos en el
país comienza a tomar una estructura más integral,
lo que no es suficiente si tenemos en cuenta que tanto por la
alta especialización profesional requerida, como por la
importancia económica del mismo, le resultaría
más ventajoso desde el punto de vista económico
contratar este servicio en
las oportunidades que lo requiera, que desarrollar y mantener
especialistas en la materia.

La Resolución 297 del MFP

Esta resolución aprobada en el año 2003
surge a partir de la necesidad de normar el conjunto de
procedimientos internos de Control por cada empresa o entidad,
teniendo en cuenta las leyes, y procedimientos establecidos en
nuestro país. Ella se crea igualmente para unificar
criterios y concepciones de Control Interno y que sean de total
obligatoriedad su cumplimiento y forma de proceder.

La misma cuenta con 5 componentes básicos muy
semejantes a lo que se establece en el Informe COSO
(Comité Internacional de estudio de gestión de
evaluación de los sistemas de Control), uno de los
más eficientes y avanzados en materia de auditoria
según López García (2004)

Los cinco componentes son los siguientes:

Ambiente de Control.
Evaluación del Riesgo.
Actividades de Control.
Información y comunicación.
Supervisión y monitoreo.

Cada uno de estos componentes cuenta con un enfoque
estratégico, contribuyendo a un sistema de Control Interno
integrado y evalúa sí la estructura organizativa es
adecuada al tamaño de la entidad, tipo de actividad y
objetivos aprobados; si se definen las líneas de
responsabilidad y autoridad,
así como los canales por los que fluye la
información.

Para ello es necesario crear el comité de control
y que este funcione adecuadamente y contribuya al mejoramiento
continuo del Sistema de Control Interno implantado. Hay que
destacar que el presidente siempre será el máximo
responsable del Control en toda entidad, es decir, el Director
General.

Por otra parte, deberá adquirirse un conocimiento
práctico de la entidad y sus componentes como manera de
identificar los puntos débiles, enfocando los riesgos
tanto de la entidad (internos y externos) como de la
actividad.

Cabe recordar que los objetivos de control deben ser
específicos, así como adecuados, completos,
razonables e integrados a los globales de la
institución.

La identificación de los riesgos relevantes que
enfrenta una entidad en el logro de sus objetivos, ya sean de
origen interno, es decir, provocados por la empresa teniendo en
cuenta la actividad específica o sus
características internas en el funcionamiento, como
externos que son los elementos fuera de la organización
que afectan, en alguna medida, el cumplimiento de sus
objetivos

La identificación del riesgo, como objeto de la
investigación es un proceso iterativo, y generalmente
integrado a la estrategia y planificación. En este proceso
es conveniente "partir de cero", esto es, no basarse en el
esquema de riesgos identificados en estudios
anteriores.

Se debe estimar la frecuencia con que se
presentarán los riesgos identificados, así como
cuantificar la probable pérdida que ellos pueden
ocasionar.

Una vez identificados los riesgos a nivel de
institución y de programa o actividad, debe procederse a
su análisis. Luego de identificar, estimar y cuantificar
los riesgos, la máxima dirección y los responsables
de otras áreas deben determinar los objetivos
específicos de control y, en relación con ellos,
establecer los procedimientos de control más
convenientes.

Cuando la máxima dirección y los
responsables de otras áreas hayan identificado y estimado
el nivel de riesgo, deben adoptarse las medidas para enfrentarlos
de la manera más eficaz y económica
posible.

Se deberán establecer los objetivos
específicos de control de la entidad, que estarán
adecuadamente articulados con sus propios objetivos globales y
sectoriales.

En función de los objetivos de control
determinados, se seleccionarán las medidas o salvaguardas
que se estimen más efectivas al menor costo, para
minimizar la exposición.

Toda entidad debe disponer de procedimientos capaces de
captar e informar oportunamente los cambios registrados o
inminentes en el ambiente interno y externo, que puedan conspirar
contra la posibilidad de alcanzar sus objetivos en las
condiciones deseadas.

Conclusiones

Después de realizar el análisis
bibliográfico hemos arribado a las siguientes
conclusiones:

Los riesgos de Control Interno están latentes
constantemente en la actividad empresarial.
La función de control en la Dirección
Empresarial es una labor natural y absolutamente necesaria
para el éxito de cualquier empresa, que es un medio
eficaz para mantener la organización en el rumbo
correcto y es la base para lograr el desarrollo de la
autonomía de las personas, quienes finalmente
serán protagonistas de su propio control.
El Mapa de Riesgos es una herramienta que permite
analizar resumidamente en él cómo identificar,
clasificar y decidir que estrategias seguir, para tratar los
riesgos empresariales en materia de Control
Interno.
La Resolución 297 del MFP fue elaborada
teniendo en cuenta el enfoque sistémico o integrador
del Informe COSO, el cual es lo más actual en esa
materia, y de factible y probada utilización
práctica en varios países. De allí que
con la incorporación y atemperamiento en ella de la
experiencia y la práctica cubana pueda ser factible
obtener buenos resultados en su aplicación en
función del control de riesgos.

Recomendaciones

1. Las direcciones administrativas
deberán dirigir las estrategias y acciones en materia
de Control Interno hacia el fomento de la coherencia
jerárquica, convergencia de objetivos y el control
propiamente de los recursos.
2. La prevención debe constituir la
herramienta principal para evitar las conductas delictivas y
corruptivas, de las ilegalidades en toda su extensión,
siendo su propósito fundamental preservar la moral
revolucionaria de los colectivos laborales de las respectivas
instituciones que representan.
3. La dirección de las entidades
revisarán, que cada departamento o área de
resultado, tenga entre sus objetivos de trabajo, el
seguimiento de los riesgos de Control Interno.

Bibliografía

1. Arteaga Prado, Yairin. Cruz Bravo, Martha.
La Gestion de los Riesgos en el sector del turismo. Cuba,
2005.
2. Beltrán Jaramillo, Jesús M.
Indicadores de Gestión. España.
1992.
3. Baca, Gómez Antonio (1997). "La
Administración de Riesgos Financieros". Articulo
tomado de la revista Ejecutivos de Finanzas,
publicación mensual, Año XXVI, No. 11,
Noviembre, México.
4. Belmar Muñoz, Victor.
Prevención de los riesgos, Implantación de un
sistema de control de los riesgos de operación en la
empresa. Colombia, 2005.
5. Bull, A., "Economía del Sector
Turístico", Editorial Alcanza-Economía,
España, 1994.
6. Díaz, Tinoco Jaime y Fausto
Hernández Trillo (1996). Futuros y opciones
financieros. Edita Limusa, México.
7. Dorta Velásquez, José
Andrés. La evaluación de los riesgos como
componente básico del sistema de Control Interno.
España, 2004.
8. Koontz. H. Elementos de
Administración. Editorial Mc Graw Hill, México,
1990.
9. Krugman, R. Paul y Maurice Obstfeld (1995).
Economía Internacional. 3ª Edición,
Editorial McGraw-Hill, España.
10. López, García, Juan (2004),
Procedimiento Metodológico de la Evaluación del
Desempeño y el Perfeccionamiento del Control Interno y
la Gestión, 2002.
11. Juan M. López García. Bases
metodológicas Generales para el diseño e
implementación de los Sistemas de Control Interno en
Villa La Granjita, 2004.
12. Mejias, Revista Universidad EAFIT,
2002.
13. Pelegrin Pérez, Edmundo
Lázaro. El Análisis de riesgo y los servicios
de consultoria. Año 2002.
14. Pelegrin Pérez, Edmundo
Lázaro. El Seguro Complemento o Alternativa para la
Empresa Estatal Cubana. Año 2001.
15. Pelegrin Pérez, Edmundo
Lázaro. La Administración de los Riesgos, su
impacto en la empresa cubana. Cuba, UPR, 2006.
16. Díaz de Villegas, Julio. Inventario
para la Administración de los Riesgos de Control
Interno, su aplicabilidad en los sistemas hoteleros. Cuba,
2007.
17. Ramírez Cavassa, César.
Hoteles, gerencia, seguridad y mantenimiento. España,
1995.
18. Revista Industria turística. NC 87,
Establecimiento de alojamiento. Clasificación.
Especificaciones generales, España, 2005.
19. Rodríguez, R., "Situación
actual y perspectivas de la Administración de Riesgos
en Cuba", en el 1er Seminario Nacional sobre
Administración de Riesgos, Mayo 1998.
20. Seminario
Nacional sobre Administración de Riesgos, "El Rol del
Gerente de Riesgos en una organización", Mayo
1998.
21. Triber, J., "Economía del Ocio y el
Turismo", Editorial Síntesis,
España, 2000.
22. Zorrilla, Z. Juan Pablo (2004). La
Administración de los Riesgos, México,
2004.