EL PROCESO DE GESTIÓN DE RIESGO
La gestión de riesgo se puede definir como “el proceso de toma de decisiones en un
ambiente de incertidumbre sobre un acción que va a suceder y sobre las consecuencias que
existirán si esta acción ocurre”.
El proceso general de la gestión de riesgo, mostrado en el diagrama 1, es aplicable a un
programa, a una política, una actividad, a una etapa de un proceso, etc. También este puede
aplicarse en todos los niveles de una organización ya sea estratégico, táctico u operacional.
No obstante, el enfoque que se tome y los métodos utilizados para tomar las decisiones,
variarán de una aduana a otra, de un programa a otro, o bien de una actividad a otra.
Lo anterior significa que la aplicación del proceso de gestión de riesgo dependerá del
contexto en el que este se utilice, este puede ser utilizado, por ejemplo, a nivel central para
abordar el tema de las franquicias aduaneras implementando como consecuencia un
programa nacional de fiscalización de franquicias aduaneras o bien puede aplicarse al nivel
de una unidad regional de fiscalización o un fiscalizador en particular al llevar a cabo una
auditoría aduanera sobre un importador.
Sin embargo el proceso de gestión de riesgos aplicado a cualquier actividad consta de las
siguientes etapas:
1. Establecimiento del contexto
2. Identificación de los riesgos
3. Análisis de riesgos
4. Evaluación de riesgos
5. Tratamiento de los riesgos
6. Monitoreo y revisión
PROCESO DE GESTIÓN DE RIESGO
FIGURA 1.
1
ESTABLECIMIENTO
DE CONTEXTO
2
IDENTIFICACIÓN
DE RIESGOS
RIESGOS
3
ANALISIS DE
RIESGO
4
EVALUACIÓN Y
PRIORIZACIÓN DE
RIESGOS
5
TRATAMIENTO DE
RIESGOS
REVISIÓN Y
MONITPREO
CONTINUO
1
Definición del Contexto
Quien debe administrar riesgos necesita identificar la contribución que hará a la
organización en el logro de sus objetivos, valores, políticas y estrategias, cuando tome
decisiones acerca de los riesgos (contexto organizacional). Debe comprenderse como
estos objetivos, valores, políticas y estrategias ayudan tanto a definir los criterios que
determinarán finalmente cuales de los riesgos identificados son aceptables y cuales no
los son, como a establecer las bases de los controles necesarios y la administración de
las opciones.
El enfoque y profundidad de la revisión de los riesgos también debe definirse en esta
etapa (contexto de administración de riesgo)
Identificación de Riesgos
No se puede definir ningún programa o procedimiento de fiscalización sin que antes se
conozca exactamente cuales son esos riesgos y cómo y por qué ellos pueden surgir, mas
aún, los riesgos no identificados pueden significar una amenaza para el éxito de una
auditoría.
Es necesario entonces identificar los riesgos y la relación que tienen con los controles
existentes. Se debe comenzar por identificar los riesgos obvios y luego trabajar a partir de
ellos.
Una buena identificación de los riesgos involucra el examinar todas las fuentes de riesgo
y las perspectivas de todos los entes participantes ya sean internos o externos. Otro
factor importante es la buena calidad de la información y el comprender cómo y dónde
estos riesgos han tenido o pueden tener su efecto. Aunque no siempre es posible obtener
toda la información necesaria, esta debe ser lo más amplia, integral, precisa y oportuna
en la medida que lo permitan los recursos disponibles u otros factores restrictivos.
Resulta esencial que el personal que tenga a su cargo este paso tenga, o haya obtenido
en etapas previas, un amplio conocimiento de:
•
•
Las políticas, los planes y los programas de fiscalización relacionados con el tema
que está investigando, y
los procesos y las operaciones, que están bajo revisión, además de la normativa y
otros aspectos mencionados en la etapa de análisis preliminar
En los temas que existe un alto grado de complejidad generalmente existen muy pocas
personas que entiendan todos sus elementos, en este caso puede ser mejor trabajar en
equipo.
2
Posibles fuentes de riesgo:
•
•
•
•
•
•
•
Las relaciones comerciales
Vacíos en la normativa aduanera u otra legislación.
Deficiencia en actividades administrativas o controles internos en el Servicio
El alto grado tecnológico
Complejidad en la valoración de las mercancías involucrados
La complejidad de las operaciones
La carga tributaria (Impuesto específicos)
Posibles áreas del impacto del riesgo:
La evaluación del riesgo puede concentrarse en uno o más áreas probables de impacto
relevantes para la Aduana, las que pueden incluir las siguientes:
• Recaudación tributaria (derechos dejados de percibir)
• Recursos fiscales (Beneficios y franquicias percibidas en forma fraudulenta)
• Salud pública y Medio ambiente
• Propiedad intelectual, etc.
Información Necesaria para Identificar los riesgos
Es necesario realizar un levantamiento planificado de información que considere:
a)
La normativa actual relacionada con la materia de investigación
b)
Las entidades o agentes económicos involucradas (Aduana, Empresa, Bancos
comerciales, otros Servicios Públicos, etc.)
c)
Los distintos procesos involucrados, sus características y principales actividades, esto
incluye los procesos interno aduaneros, los de tráfico de la mercancía, los procesos de
negocios de la empresa, los de producción, los administrativos de la empresa, etc.
d)
Las responsabilidades de los agentes económicos involucradas, la secuencia y la
manera como se relacionan.
e)
Identificar los principales documentos que intervienen en las operaciones, cual es la
función que cumplen, quienes los emiten, quienes los reciben, etc.
f)
Determinar los tiempos asociados a las actividades de los procesos involucrados
g)
Cuantificar la participación de los distintos agentes económicos que intervienen en la
investigación
h)
En general cualquier otro estudio que el fiscalizador o equipo de fiscalización
determine necesario para planificar las tareas con eficacia y definir con éxito los
procedimientos de fiscalización.
Se debe evaluar en el transcurso de esta etapa la conveniencia de utilizar las diversas
fuentes de información existentes en forma previa a la visita de las dependencias de la
empresa, es decir puede resultar más conveniente, en términos de lograr los objetivos de
la investigación, no poner en conocimiento de la empresa investigada de la existencia de
una investigación en curso, para lo cual la información que necesariamente debe
obtenerse de ella deberá levantarse al momento de realizar la visita a la empresa,
acciones que deberán considerarse en los programas de revisión.
3
Métodos de Identificación de Riesgos.
Existe una gran variedad de herramientas que pueden ser utilizados para identificar los
riesgos involucrados en una investigación, algunas de ellos son:
•
•
•
•
•
•
•
•
•
Diagramas de flujo, técnicas de análisis de sistemas.
Discusiones de grupo o entrevistas.
Experiencia personal del funcionario.
Las inspecciones físicas y auditorías anteriores.
Brainstorming.
Encuestas y cuestionarios.
Técnica Delphi.
Estudio de la experiencia extranjera o nacional.
Los juicios, los consensos especulativos, conjeturas, intuiciones.
Análisis de Riesgos.
Habiendo ya identificados los riesgos, este paso se trata de analizar la posibilidad y las
consecuencias de cada factor de riesgo con el fin de establecer el nivel de riesgos.
Los riesgos necesitan ser analizados para decidir cuales son los factores de riesgo que
potencialmente tendrían un mayor efecto y por lo tanto necesitarían ser administrados o
tratados.
El nivel de riesgo se determina considerando los dos siguientes aspectos en relación con
los controles existentes:
Que posibilidad existe de que las cosas sucedan (posibilidad, frecuencia o probabilidad) y
las posibles consecuencias que existirán si este hecho ocurre (el impacto o la magnitud
del efecto)
Una observación preliminar de los riesgos identificados se puede realizar para excluir de
la revisión aquellos riesgos de consecuencias extremadamente bajas. La racionalidad
para excluir estos riesgos debería ser documentada para demostrar que tan amplio ha
sido el análisis.
Hay tres categorías de métodos utilizados para determinar el nivel de riesgos.
Los métodos pueden ser:
• Cualitativos
• Semi-cuantitativos y
• Cuantitativos.
El enfoque que se utiliza con mayor frecuencia en la toma de decisiones acerca de los
riesgos en el lugar de trabajo tiende a ser cualitativo. Los administradores utilizan la
experiencia, el juicio, la intuición para tomar sus decisiones. El nivel de riesgo esta
determinado por la relación entre la posibilidad y la consecuencia que usualmente se
determina en una tabla.
4
Determinación del nivel de riesgo:
CONSECUENCIAS
Extremo
Alto
PROBABILIDAD
Casi
Cierto
Probabl
Alto
e
Moderad
Alto
o
Poco
Alto
Probabl
e
Casi
Importante
Improba
ble
Riesgo Alto
Riego Importante
Riesgo Significativo
Riesgo bajo
Muy Alto
Alto
Importante
Bajo
Mínimo
Important Importante
e
Importante Important Significativ
e
o
Importante Significati
Bajo
vo
Significativo
Bajo
Bajo
Importante
Significativo
Alto
Alto
Medio
Alto
Bajo
Bajo
: Se requiere una investigación detallada y una planificación a
niveles superiores
: Se requiere una atención del personal superior
: Se debe especificar la responsabilidad de gestión
: Se maneja mediante procedimientos de rutina
El análisis cualitativo también se puede utilizar cuando el nivel de riesgo no justifica el
tiempo y los recursos necesarios para hacer un análisis completo donde los datos
numéricos son inadecuados para un análisis más cuantitativo o para desarrollar una
observación general inicial de los riesgos para un análisis posterior y más detallado.
Un enfoque semi-cuantitativo puede utilizar clasificaciones de palabras como alto medio o
bajo, o descripciones más detalladas de la probabilidad y la consecuencia.
Estas clasificaciones se demuestran en relación con una escala apropiada para calcular
el nivel de riesgo. Se debe poner atención en la escala utilizada a fin de evitar malos
entendidos o malas interpretaciones de los resultados del cálculo.
El nivel de riesgo puede ser calculado utilizando el método cuantitativo en las situaciones
donde la probabilidad de ocurrencia y las consecuencias puedan ser cuantificadas.
Posibles métodos de análisis de riesgos:
5
Los métodos cuantitativos incluyen
El análisis de probabilidad
El análisis de consecuencias
El modelamiento o simulación computacional
El análisis estadístico / numérico
Los métodos cualitativos incluyen:
Brainstorming
Cuestionario
y
entrevistas
estructuradas
La evaluación que utiliza grupos
multi-disciplinarios
El juicio de especialistas y expertos,
como la técnica Delphi
La investigación de mercado
Análisis de redes
Análisis de costo del ciclo de vida
Árboles de decisión
Los árboles de falta y los análisis de árbol de
eventos
Diagramas de influencia
Evaluación y Priorización de Riesgos
Luego del análisis, este paso se trata de decidir si los riesgos son aceptables o no
aceptables esto se hace comparando el nivel de cada riesgo a partir del paso número 3
en relación con el nivel de riesgo aceptable evaluado en el paso número 1.
De esta forma se clasifican los riesgos más importantes para identificar las prioridades de
gestión.
Las decisiones acerca de la aceptabilidad del riesgo deben tomar en cuenta un contexto
más amplio del riesgo.
Las organizaciones o agencias han descubierto que una gestión de riesgo exitosa
involucra tomar en cuenta las obligaciones más amplias y los compromisos requeridos
por la legislación y el medio ambiente político social y económico en el cuál operan los
administradores APS.
La evaluación debe tomar en cuanta el grado de control sobre cada uno de los riesgos y
el impacto de costos los beneficios y las oportunidades presentadas por los riesgos.
Además se deben considerar también los riesgos que sufren otros participantes en el
proceso y que se benefician a partir de estos riesgos.
Finalmente los riesgos se clasifican de acuerdo con las prioridades de gestión para su
tratamiento.
6
Tratamiento de los Riesgos
El tratamiento de los riesgos necesita ser adecuado o apropiado de acuerdo con la
significancia del riesgo y la importancia de la política el programa proceso o actividad.
Como pauta general se puede mencionar:
• Los riesgos de bajo nivel pueden ser aceptados y puede no ser necesaria una acción
adicional estos riesgos deben ser controlados
• Los niveles de riesgo significativos o más importantes deben ser tratados
• Los niveles altos de riesgo requieren de una cuidadosa administración o gestión y de
la preparación de un plan formal para administrar los riesgos
Las opciones para el tratamiento de los riesgos se ilustran a continuación. Una combinación
de estas acciones puede ser apropiada para el tratamiento de los riesgos:
•
Eludir un riesgo decidiendo no proceder con la política programa proyecto o actividad que
en la que incurriría el riesgo o escoger medios alternativos para la acción que logre este
mismo resultado. Debe destacarse que evitar el riesgo puede resultar que otros riesgos
se vuelvan más significativos.
• Reducir el nivel de riesgo reduciendo la probabilidad de ocurrencia o las consecuencias o
ambas a la vez. La probabilidad puede reducirse a través de los controles de gestión los
arreglos organizacionales y de otro tipo los cuales reducen la frecuencia o la oportunidad
de que ocurra un error, estos arreglos se refieren a cosas tales como los procedimientos
alternativos, el aseguramiento de la calidad, el testeo, la capacitación, la supervisión la
revisión, las políticas y procedimientos documentados, la investigación y el desarrollo. Las
consecuencias pueden reducirse asegurando o garantizando que los controles de manejo
y de otro tipo o bien las barreras físicas estén en el lugar apropiado para minimizar
cualquier consecuencia adversa tales como las planificaciones de contingencia, las
condiciones o arreglos contractuales, la planificación de control de fraude, etc.
•
Transferencia del riesgo. Esto significa el cambiar la responsabilidad de un riesgo de una
organización a otra parte como por ejemplo una compañía de seguros que en último
lugar tendrá que trabajar con las consecuencias si es que el evento ocurre.
(Transferencia completa). Por otra parte o en forma alternativa esto puede involucrar que
la otra parte comparta las responsabilidades alguna parte de las consecuencias de
alguna forma acordada entre ambas partes (transferencia parcial). Es importante para
solamente aceptar la imposición del riesgo de otros o la limitación de algunos derechos
que usted pueda tener sobre otros como el ultimo resorte para lograr un resultado que lo
beneficie. Los riegos deben ser ubicados en la parte que ejercite los controles más
efectivos sobre estos riesgos.
•
Aceptar y retener los riesgos dentro de la organización donde estos no pueden ser
eludidos, reducidos o transferidos o donde el costo de eludir o transferir un riesgo no se
justifica usualmente porque la probabilidad y la consecuencia son bajas. Los riesgos
deben ser controlados o monitoreados. Establezca como se van a descubrir las perdidas
si estas ocurren.
7
El costo del manejo de riesgo debe ser comparado con los beneficios obtenidos la
significancia de la actividad y los riesgos involucrados. Es necesario determinar el
impacto del costo total de los riesgos y el costo de administrar o manejar estos riesgos.
Dentro del APS, el costo de administrar los riesgos incluye los fondos tanto para el costo
directo y los gastos extras para el salario y la administración incluyendo la capacitación y
los costos de sistemas.
La selección la opción más apropiada para el tratamiento del riesgo involucra un balance
o un equilibrio del costo de implementación de cada acción en comparación con los
beneficios obtenidos. Esto puede evaluarse llevando a cabo un análisis de costo
beneficio de las opciones.
Las opciones deben ser evaluadas sobre la base de que los riesgos puedan ser
reducidos y la extensión de los beneficios aumentadas o se puedan crear nuevas
oportunidades. Generalmente mientras mayor sea la oportunidad mayor es el riesgo
asociado no obstante existen muchos ejemplos donde una opción de reducción de riesgo
no es justificable solamente en términos económicos. Otros factores tales como los
costos sociales y políticos y los beneficios deberán tomarse en cuenta. La relación
existente entre el tratamiento del riesgo, el nivel de riesgo y oportunidad ofrecidos por el
riesgo se ilustra a continuación
Determinación del tratamiento del riesgo.EXTENSIÓN DE LA OPORTUNIDAD
OFRECIDA POR EL RIESGO
Excelente
Alto
NIVEL DE
RIESGO
Bueno
Aceptación del riesgo requerirá
un monitoreo o control extenso
y una administración extensa
Important La aceptación debería basarse
sobre una evaluación de costos
e
del tratamiento del riesgo v/s la
oportunidad/beneficio
Significati representada por el riesgo
vo
Aceptable
Bajo
Pobre
No acepte el riesgo
Busque una un
tratamiento que
proporcione una mejor
oportunidad
El riesgo es aceptable
pero
Pueden haber
tratamientos que
proporcionen mejores
oportunidades
8
Monitoreo y Revisión
El monitoreo y la revisión es una etapa esencial e integral en el proceso de gestión de
riesgo. Es necesario monitorear: los riesgos, la efectividad del plan, las estrategias y el
sistema de administración que ha sido establecido para controlar la implementación de
los tratamientos de riesgo.
Los riesgos necesitan ser controlados periódicamente para garantizar que las
circunstancias cambiantes no alteren las prioridades de los riesgos. Son muy pocos los
riesgos que permanecen estáticos.
9