diseÑo de una metodologÍa para la...
TRANSCRIPT
-
DISEO DE UNA METODOLOGA DE GESTIN DEL RIESGO BASADA EN CIBERNTICA ORGANIZACIONAL PARA UNA EMPRESA SOCIAL DEL
ESTADO DE III NIVEL ATENCIN DE LA CIUDAD DE BOGOT D.C.
ANGELO MAURIZIO DAZ RODRGUEZ
CATHERINE VANESSA QUINTERO CRISTANCHO
UNIVERSIDAD DISTRITAL FRANCISCO JOS DE CALDAS FACULTAD DE INGENIERA
PROYECTO CURRICULAR INGENIERA INDUSTRIAL BOGOT D.C.
2015
-
DISEO DE UNA METODOLOGA DE GESTIN DEL RIESGO BASADA EN CIBERNTICA ORGANIZACIONAL PARA UNA EMPRESA SOCIAL DEL
ESTADO DE III NIVEL ATENCIN DE LA CIUDAD DE BOGOT D.C.
ANGELO MAURIZIO DAZ RODRGUEZ 20061015-027 CATHERINE VANESSA QUINTERO CRISTANCHO 20071015-115
PROYECTO DE GRADO PARA OPTAR POR EL TTULO DE INGENIERO INDUSTRIAL
DIRECTOR:
ABEL ANTONIO NAVARRETE LPEZ
INGENIERO DE SISTEMAS
CO-DIRECTOR Y ASESOR EXTERNO:
NGEL MARA FONSECA CORREA
ESPECIALISTA EN SISTEMAS DE CONTROL ORGANIZACIONAL Y DE
GESTIN
UNIVERSIDAD DISTRITAL FRANCISCO JOS DE CALDAS FACULTAD DE INGENIERA
PROYECTO CURRICULAR INGENIERA INDUSTRIAL
BOGOT D.C. 2015
-
CONTENIDO
1. INTRODUCCIN .............................................................................................................8
2. ANTECEDENTES Y JUSTIFICACIN ...........................................................................9
2.1 Evolucin del Control Interno ...................................................................................9
2.1.1 SAS 1 ..............................................................................................................10
2.1.2 ISA 6 - Primera Versin ..................................................................................10
2.1.3 SAS 55 ............................................................................................................10
2.1.4 ISA 6 - Segunda Versin ................................................................................11
2.1.5 Control Interno: la visin integrada propuesta por COSO .............................11
2.1.6 ISA 6 - Versin 1994 .......................................................................................13
2.1.7 SAS 78 ............................................................................................................14
2.1.8 CADBURY.......................................................................................................14
2.1.9 COCO..............................................................................................................14
2.2 Evolucin de la Gestin de Riesgos ......................................................................15
2.2.1 AS/NZS 4360:1995, AS/NZS 4360:1999, AS/NZS 4360:2004......................15
2.2.2 COSO I (1992), COSO II ERM (2004) Y COSO III (2013) ............................18
2.2.3 ISO 31000:2009. Gestin de Riesgos ............................................................20
2.2.4 ISO/IEC Gua 73. Trminos y definiciones.....................................................24
2.2.5 ISO 9001:2015 ................................................................................................24
2.3 Comparacin de los modelos ................................................................................24
2.4 Trabajos e Investigaciones sobre gestin de riesgos en el Sector Salud ............28
2.4.1 La Gestin del Riesgo en Salud en Colombia, 2011 .....................................28
2.4.2 Diseo de un Sistema de Gestin del Riesgo en una IPS Hospitalaria de Primer Nivel, 2013 .........................................................................................................28
2.4.3 Modelo Integral de Administracin de Riesgos Aplicado al Hospital Vista Hermosa I Nivel ESE, 2010...........................................................................................29
3. MARCO HISTRICO: RIESGOS EN LA ADMINISTRACIN PBLICA DE COLOMBIA ...........................................................................................................................31
3.1 Sistema Control Interno, MECI y Guas de Administracin del Riesgo del DAFP 31
3.2 Riesgos de Corrupcin...........................................................................................38
3.3 CONPES 3714 - Del Riesgo Previsible en el Marco de la Poltica de Contratacin Pblica ...............................................................................................................................38
3.4 Sistema Integrado de Gestin Distrital ..................................................................39
-
4. PROBLEMA ...................................................................................................................41
5. HIPTESIS ....................................................................................................................43
6. OBJETIVOS ...................................................................................................................43
6.1 Objetivo General ....................................................................................................43
6.2 Objetivos Especficos .............................................................................................43
7. MARCO CONCEPTUAL................................................................................................44
7.1 Ciberntica .............................................................................................................44
7.1.1 Sistema ...........................................................................................................44
7.1.2 Comunicacin .................................................................................................45
7.1.3 Control .............................................................................................................45
7.1.4 Realimentacin ...............................................................................................45
7.1.5 Realimentacin negativa ................................................................................46
7.1.6 Complejidad ....................................................................................................46
7.1.7 Sistema complejo............................................................................................47
7.1.8 Variedad ..........................................................................................................47
7.1.9 Teorema de Conant-Ashby.............................................................................48
7.2 Ciberntica Organizacional ....................................................................................48
7.2.1 Modelo de Sistema Viable (MSV)...................................................................49
7.2.2 VIPLAN............................................................................................................53
7.3 Gestin de Riesgos ................................................................................................58
7.3.1 Riesgo .............................................................................................................58
7.3.2 Incertidumbre ..................................................................................................58
7.3.3 Gestin del Riesgo..........................................................................................58
8. VARIABLES ...................................................................................................................60
9. DISEO METODOLGICO ..........................................................................................60
9.1 Tipo de investigacin .............................................................................................60
9.2 Metodologa de aplicacin .....................................................................................60
10. PROPUESTA DE METODOLOGA DE GESTIN DEL RIESGO CON ENFOQUE CIBERNTICO......................................................................................................................62
10.1 Conocimiento y contexto organizacional ...............................................................62
10.1.1 Establecer Declaracin de Identidad..............................................................63
10.1.2 Construir de los Modelos Estructurales..........................................................63
10.1.3 Construir Desdoblamiento de la Complejidad ................................................64
10.1.4 Modelar la distribucin de la discrecionalidad................................................64
10.1.5 Modelar de la estructura organizacional ........................................................64
-
10.2 Poltica de Gestin del Riesgo...............................................................................66
10.3 Identificacin y Valoracin de Riesgos ..................................................................67
10.3.1 Identificacin de Riesgos ................................................................................67
10.3.2 Anlisis y Valoracin de Riesgos ...................................................................67
10.4 Monitoreo y Revisin..............................................................................................68
10.5 Comunicacin y Consulta ......................................................................................68
11. CASO DE ESTUDIO: HOSPITAL LA VICTORIA ESE III NIVEL..............................69
11.1 Generalidades del Hospital La Victoria ESE III Nivel ............................................69
11.1.1 Resea Histrica.............................................................................................69
11.1.2 Estrategia: Plataforma Estratgica .................................................................70
11.2 Anlisis estructural ciberntico del Hospital La Victoria ESE III Nivel ..................71
11.2.1 Identidad del Hospital .....................................................................................71
11.2.2 Modelos estructurales.....................................................................................74
11.2.3 Desdoblamiento de Complejidad....................................................................78
11.2.4 Tabla de Recursin-Funcin...........................................................................80
11.2.5 Modelo de Sistema Viable ..............................................................................82
11.3 Poltica de Gestin del Riesgo...............................................................................82
11.3.1 Objetivo ...........................................................................................................82
11.3.2 Alcance............................................................................................................83
11.3.3 Identificacin de Riesgos ................................................................................83
11.3.4 Anlisis y Evaluacin ......................................................................................87
11.3.5 Valoracin de Controles .................................................................................92
11.3.6 Tratamiento de Riesgos..................................................................................96
11.3.7 Monitoreo ........................................................................................................98
11.3.8 Capacitacin y socializacin.........................................................................100
11.4 Identificacin y Valoracin de la metodologa a un Proceso Misional ................100
11.4.1 Aplicacin de la metodologa a Objetivo Estratgico Misional ....................101
11.4.2 Aplicacin de la metodologa a Proceso de Hospitalizacin ...........................0
12. VALIDACIN ...............................................................................................................1
12.1 Sencillez y claridad de la estructura ........................................................................1
12.2 Desarrollo de herramientas para la aplicacin. .......................................................1
12.3 Integracin en el modelo de diferentes tipos de riesgos.........................................1
13. CONCLUSIONES Y RECOMENDACIONES ..............................................................2
13.1 Conclusiones ............................................................................................................2
13.2 Recomendaciones ...................................................................................................2
-
14. REFERENCIAS............................................................................................................4
15. ANEXOS ......................................................................................................................7
15.1 Anexo 1.1 - TASCOI - Oficio ....................................................................................7
15.2 Anexo 1.2 - Delimitacin Sistmica VIC 1 - A3 .......................................................7
15.3 Anexo 2.1 - Modelo Tecnolgico VIC 2 - AO...........................................................7
15.4 Anexo 2.2 - Cliente Proveedor - AO ........................................................................7
15.5 Anexo 2.3 - Modelo Geogrfico - A2 .......................................................................7
15.6 Anexo 3 - Desdoblamiento de Complejidad VIC - AO ............................................7
15.7 Anexo 4 - Recursin-Funcin HV - Oficio................................................................7
15.8 Anexo 5 - MSV - A2 .................................................................................................7
15.9 Anexo 6 - Matriz de Riesgos - Estratgico Misional................................................7
15.10 Anexo 7 - Matriz de Riesgos - Hospitalizacin ....................................................7
NDICE DE GRFICOS
Grfico 1. Hitos en la evolucin de la Gestin de Riesgos y Control Interno ................................... 9
Grfico 2. Ciclo de gestin de riesgos ....................................................................................... 17
Grfico 3. Comparativa COSO 1992, COSO ERM y COSO 2013 ................................................ 19
Grfico 4. Componentes para la gestin del riesgo. ................................................................... 21
Grfico 5. Proceso para gestin de riesgo. ................................................................................ 22
Grfico 6. Estructura del Modelo Estndar de Control Interno MECI 2014 ................................... 36
Grfico 7. Metodologa para la Administracin del Riesgo. ......................................................... 37
Grfico 8. Circuito de realimentacin......................................................................................... 46
Grfico 9. Variedad de una organizacin respecto a su ambiente ............................................... 48
Grfico 10. Convenciones para trabajar el Modelo de Sistema Viable ......................................... 49
Grfico 11. Concepcin inicial del MSV ..................................................................................... 50
Grfico 12. Modelo de Sistema Viable....................................................................................... 52
Grfico 13. Esquema de Desdoblamiento de la Complejidad ...................................................... 56
Grfico 14. Esquema de Tabla de Recursin Funcin ................................................................ 57
Grfico 15. Propuesta de Metodologa de Gestin del Riesgo ..................................................... 62
Grfico 16. TASCOI - Hospital La Victoria ESE III Nivel .............................................................. 72
Grfico 17. Delimitacin Sistmica Hospital La Victoria ESE III Nivel. .......................................... 73
Grfico 18. Modelo Tecnolgico Hospital La Victoria I II Nivel. ..................................................... 74
Grfico 19. Modelo Geogrfico Hospital La Victoria ESE III Nivel ................................................ 76
Grfico 20. Modelo Cliente - Proveedor ..................................................................................... 77
Grfico 21. Desdoblamiento de Complejidad Hospital La Victoria ESE III Nivel ............................ 78
Grfico 22. Modelo de Sistema Viable del Hospital La Victoria ESE III Nivel ................................ 82
-
Grfico 23. Estructura de redaccin de riesgos. ......................................................................... 83
Grfico 24. Descripcin del riesgo desagregada. ....................................................................... 84
Grfico 25. Fuentes de riesgo inicial para primer ciclo de riesgos. ............................................... 85
Grfico 26. reas de impacto.................................................................................................... 86
Grfico 27. Escala de efectividad de controles. .......................................................................... 95
Grfico 28. Polticas de manejo del riesgo ERCA. ...................................................................... 97
NDICE DE TABLAS Tabla 1. Comparacin de los modelos ...................................................................................... 25
Tabla 2. Estructura y significado de TASCOI ............................................................................. 54
Tabla 3. Elementos mnimos de la Poltica de Gestin del Riesgo ............................................... 66
Tabla 4. Modelo de Recursin-Funcin Hospital La Victoria ESE III Nivel .................................... 81
Tabla 5. Tipos de riesgo. .......................................................................................................... 87
Tabla 6. Escala de calificacin de la Probabilidad. ..................................................................... 88
Tabla 7. Tabla general de Impacto. ........................................................................................... 88
Tabla 8. Escalas de impactos por rea de impacto..................................................................... 89
Tabla 9. Escalas de riesgo Inherente. ....................................................................................... 91
Tabla 10. Semaforizacin de valoracin total de riesgos............................................................. 91
Tabla 11. Tabla de valoracin de controles. ............................................................................... 92
Tabla 12. Criterios de valoracin de controles............................................................................ 93
Tabla 13. Escala de clasificacin de la efectividad de los controles. ............................................ 94
Tabla 14. Nivel de riesgo residual. ............................................................................................ 96
Tabla 15. Prioridad en el tratamiento del Riesgo. ...................................................................... 97
Tabla 16. Conocimiento y contexto organizacional Objetivo Estratgico Misional. ................... 101
Tabla 17. Identificacin de interesados.................................................................................... 102
Tabla 18. Identificacin de riesgos estratgicos misionales. ..................................................... 104
Tabla 19. Clculo de severidad de riesgos. ............................................................................. 105
Tabla 20. Identificacin y Valoracin de controles. ....................................................................... 0
Tabla 21. Plan de tratamiento a riesgos. ..................................................................................... 0
Tabla 22. Conocimiento y contexto organizacional Proceso de Hospitalizacin. .......................... 0
Tabla 23. Identificacin de riesgos proceso de Hospitalizacin. .................................................... 1
Tabla 24. Clculo de severidad de riesgos de Hospitalizacin. ..................................................... 2
Tabla 25. Valoracin de controles. .............................................................................................. 0
Tabla 26. Plan de tratamiento a riesgos de hospitalizacin. .......................................................... 0
-
1. INTRODUCCIN
La humanidad histricamente ha buscado la manera de mejorar la forma en que logra los objetivos que se traza y continuamente busca desarrollar herramientas que faciliten este fin. La gestin de riesgos es un tema dinmico que est en continua evolucin y ha cambiado la forma en que es concebida: en un principio estuvo enfocada en el control financiero, luego pas a enfoques de procedimientos en el establecimiento de controles en diagramas de flujo, actualmente desde la aparicin de la ISO 9001:2015 pretende abarcar gran parte del mejoramiento continuo en una organizacin pasando a convertirse en una de las herramientas principales en la gestin de la calidad con enfoque preventivo.
La gestin de riesgos ha evolucionado desde dos perspectivas: La primera desde el control interno y la segunda desde la gestin de la incertidumbre empresarial. La primera perspectiva naci desde la necesidad de evitar en las entidades el fraude financiero y los errores operacionales administrativos, lo cual cre toda una estructura conceptual y un conjunto de herramientas para el diagnstico de riesgos en ese sentido, en normas como SAS, ISA 6, COSO, COCO y Cadbury se puede apreciar este enfoque; la segunda perspectiva nace como iniciativa para la creacin de un mejoramiento continuo de las organizaciones basado en un enfoque netamente preventivo, en el cual se trata de administrar las consecuencias de la incertidumbre en trminos de beneficios y/o prdidas, en normas como AS/NZS 4360:2009, ISO 31000:2009 e ISO 9001:2015 se puede apreciar este enfoque.
El presente proyecto pretende proponer una metodologa de gestin de riesgos para una
Empresa Social del Estado de III Nivel de Atencin, para dar una solucin al
establecimiento cientfico de la identificacin del entorno y las relaciones de ste con la
estructura organizacional de la empresa y as desarrollar un anlisis contextual en un
sentido sistmico, para la gestin estratgica y operativa. Al integrar el uso de la
ciberntica organizacional como herramienta para el modelamiento y conocimiento
organizacional, el establecimiento de la poltica institucional de manejo de riesgos, la
identificacin, el anlisis y la valoracin de riesgos, se pretende establecer una
metodologa con sus respectivas herramientas que responda a la complejidad que la dinmica empresarial requiere.
-
2. ANTECEDENTES Y JUSTIFICACIN
La palabra riesgos tiene sus races del latn risicare que significa arriesgarse, en un principio era asociado principalmente a la capacidad que tenan algunos osados de navegar cerca de un arrecife o concentraciones rocosas en el mar. Esto puede dar a entender que el riego ms que un destino cierto, es una decisin que puede o no salir mal. De esta forma, el riesgo se entiende como la incertidumbre de las consecuencias que existen en una decisin. El concepto de riesgos est inevitablemente vinculado al concepto de probabilidad de ocurrencia de circunstancias que impidan un objetivo cuando se decide hacer algo.
A nivel administrativo, la concepcin de riesgos ha evolucionado desde el concepto de control interno o auditora, este desarrollo ha tenido hitos que se resumen en la lnea de tiempo del Grfico 1.
Grfico 1. Hitos en la evolucin de la Gestin de Riesgos y Control Interno
Fuente: Elaboracin propia. 2015.
2.1 EVOLUCIN DEL CONTROL INTERNO
El trmino Control Interno comenz a ser utilizado como tal en el terreno de la contabilidad y los negocios a principios del siglo XX, acuada por profesionales de la auditora.
Sin embargo, es muy importante advertir que en el control las principales teoras son esbozadas desde el campo de la ingeniera. A continuacin se hace referencia a la revisin de control interno hecho por Gmez (2006).
-
2.1.1 SAS 1
La primera definicin formal de Control Interno se remonta a la Declaracin sobre normas
de auditora1 Statements on Auditing Standars SAS- nmero 1, Codificacin de normas y procedimientos de auditora, emitida en noviembre de 1972 por el American Institute of Certified Public Accountants AICPA- de los Estados Unidos.
En los pargrafos de Definiciones y Conceptos Bsicos, SAS 1 se remite a la definicin dad por el Comit de Procedimientos de Auditora en 1948:
"(...) El control interno comprende el plan de organizacin, todos los mtodos coordinados y las medidas adoptadas en el negocio, para proteger sus activos, verificar la exactitud y confiabilidad de sus datos contables, promover la eficiencia de las operaciones y estimular la adhesin a las prcticas ordenadas por la gerencia. (...)".
Posteriormente en 1958, relata SAS 1, se postul la diferenciacin entre controles contables y controles administrativos, para luego hacer mencin que en 1963 se defini que el auditor independiente fundamentalmente tiene inters en los controles contables, en el contexto de esa poca, los postulados de control interno tenan como fin casi exclusivo guiar el desarrollo de auditoras financieras.
2.1.2 ISA 6 - PRIMERA VERSIN
En julio de 1981, la International Federation of Accountants IFAC- (Organizacin Europea) emiti la International Standards on Auditing ISA- 6, Estudio y evaluacin del sistema de contabilidad y los controles internos relativos, con respecto a una auditora.
En el ISA 6 primera versin defini al control interno de la siguiente manera:
"(...) El sistema de control interno es el plan de organizacin y todos los mtodos y procedimientos que adopta la administracin de una entidad para ayudar al logro del objetivo administrativo de asegurar, en cuanto sea posible, la conduccin ordenada y eficiente de su negocio, incluyendo la adherencia a las polticas administrativas, la salvaguarda de activos, la prevencin y deteccin de fraudes y errores, la correccin de los registros contables y la preparacin oportuna de informacin financiera confiable. (...)".
ISA 6 hace la diferenciacin entre el sistema de control interno y el sistema contable y plante las relaciones entre uno y otro. Adems, explic que la efectividad del sistema est influida por el medio ambiente en que operan los controles, el cual, a su vez, es afectado por la estructura organizacional, la supervisin de la administracin, la competencia y honestidad del personal.
2.1.3 SAS 55
En abril de 1988, la AICPA emiti SAS 55, Evaluacin de la estructura de control interno en una auditora de estados financieros, el cual entr en vigencia el 1 de enero de 1990. Este SAS 55 defini:
1 La primera declaracin sobre procedimientos de auditora fue emitida en septiembre de 1939. Una primera codificacin se realiz en 1951, recogiendo las 24 primeras declaraciones. Vino luego la declaracin 33, emitida en 1963, que sustituy las anteriores. Posteriormente, las declaraciones 33 a 54 fueron incorporadas en el SAS 1.
-
"(...) La estructura de control interno de una entidad consiste en las polticas y procedimientos establecidos para proporcionar una seguridad razonable de poder lograr los objetivos especficos de la entidad. (...)".
Esta definicin implica una concepcin mucho ms amplia del control interno, al evitar referirse a objetivos especficos, como se haba planteado hasta entonces (Gmez, 2006). SAS 55 indica:
"(...) Para fines de esta Declaracin, la estructura de control interno de una entidad consiste en tres elementos: el ambiente de control, el sistema contable y los procedimientos de control. En toda auditora, el auditor deber adquirir una suficiente comprensin de cada uno de los tres elementos, para planear la auditora, realizando procedimientos para entender el diseo de polticas y procedimientos relevantes para planear la auditora y si ellos se han puesto en marcha. (...)".
SAS 55 incluy expresamente al ambiente de control, al sistema contable y los procedimientos de control dentro de la estructura de control interno, diferenciado el alcance de cada una de estas. La norma incluye un amplio apndice sobre cada uno de los elementos que integran la estructura.
2.1.4 ISA 6 - SEGUNDA VERSIN
En octubre de 1991, IFAC emiti una versin corregida de ISA 6. Definiendo al control interno as:
"(...) El sistema de control interno comprende el ambiente de control y los procedimientos de control, as como el plan de organizacin y todos los mtodos y procedimientos adoptados por la administracin de una entidad para ayudar al logro del objetivo administrativo de asegurar, hasta donde sea posible, la ordenada y eficiente conduccin de los negocios, incluyendo la adherencia a las normas de la administracin, la salvaguardia de los activos, la prevencin y deteccin del fraude y error, la exactitud e integridad de los registros contables, y la oportuna preparacin de informacin financiera confiable. El sistema de control interno se extiende ms all de los asuntos que estn relacionados directamente con las funciones del sistema contable. (...)".
ISA 6 segunda versin, mantuvo la concepcin de control interno de su primera versin, e incluy los elementos ambiente de control y de procedimientos de control.
2.1.5 CONTROL INTERNO: LA VISIN INTEGRADA PROPUESTA POR COSO
En septiembre de 1992 fue emitido el documento intitulado COSO - Integrated Framework, por el Comittee of Sponsoring Organizations of the Treadway Commission (COSO). Gmez (2006) tomo de este documento apartes para esbozar al Sistema de Control Interno y riesgos, los cuales se resumen a continuacin:
(...) La Comisin Treadway tuvo como objetivo principal identificar los factores causales de los informes financieros fraudulentos, con el fin de hacer recomendaciones para reducir la ocurrencia de estos hechos. El informe de la Comisin, publicado en 1987, inclua recomendaciones para las gerencias y las juntas directivas de las empresas pblicas, para la profesin de la contadura pblica, para la Comisin de Valores (SEC) y otras entidades regulatorias y legales, como tambin para los acadmicos. ()
-
() Qu es el Control Interno?
El control interno tiene diferente significado para diferentes personas. Esto causa confusin entre gente de negocios, legisladores, reguladores y otros. La falta de comunicacin resultante y los diferentes tipos de expectativas causan problemas dentro de una empresa. Los problemas se forman cuando el trmino, si no ha sido definido claramente, est escrito en una ley, disposiciones o normas.
Este informe se refiere a las necesidades y expectativas de la direccin y de otros (Gmez, 2006). ()
El control interno se define comnmente como un proceso llevado a cabo por la junta directiva de una entidad, direccin u otro personal, diseado para proporcionar una seguridad razonable con relacin al logro de los objetivos en las siguientes categoras:
Efectividad y eficiencia de operaciones Confiabilidad de los informes financieros Cumplimiento de las leyes y regulaciones aplicables.
Los componentes del control interno son:
Entorno de control - El entorno de control fija el " tono" de una organizacin influyendo en la conciencia de control de su personal. Es la base de todos los otros componentes de control interno, proporcionando disciplina y estructuras. Los factores del medio de control incluyen integridad, valores ticos y competencia del personal de la entidad; filosofa de la direccin y estilo de operacin; la forma como la direccin asigna autoridad y responsabilidades y organiza y desarrolla su personal; la atencin y direccin proporcionada por la junta directiva.
Evaluacin de riesgos - Toda entidad enfrenta una variedad de riesgos provenientes de fuentes tanto internas como externas que debe ser evaluada. Una precondicin para la evaluacin de riesgos es el establecer objetivos, unidos a diferentes niveles e internamente consistentes. La evaluacin de riesgos es la identificacin y anlisis de riesgos importantes para el logro de los objetivos, conformando una base para determinar cmo deberan ser manejados los riesgos. Debido a que las condiciones econmicas, industriales, reguladoras y operativas continuarn cambiando, se necesitan mecanismos para identificar y tratar con los riesgos especiales asociados con el cambio.
Actividades de control - Las actividades de control son las polticas y procedimientos que ayudan a asegurar que las directrices de manejo sean llevadas a cabo. Ellas contribuyen a garantizar que se han tomado las acciones necesarias para afrontar los riesgos en el logro de los objetivos de la entidad. Las actividades de control ocurren a travs de la organizacin en todos sus niveles y en todas sus funciones. Incluyen una gama de actividades tan diversa como aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisiones de la realizacin de operaciones, seguridad de los activos y separacin de deberes.
Informacin y Comunicacin - La informacin pertinente debe ser identificada, captada y comunicada en tal forma y horario que permita al personal cumplir con sus responsabilidades. Los sistemas de informacin producen comunicados que contienen informacin operacional, financiera y relacionada con el cumplimiento de las leyes y normas que hacen posible el manejo y control del negocio. Estos se refieren no solamente a datos generados internamente sino tambin a
-
informacin sobre eventos externos, actividades y condiciones necesarias para documentar una toma de decisiones interna y un informe externo. Una comunicacin efectiva debe tambin ocurrir en un sentido ms amplio a travs de todos los niveles y en todas las direcciones de la organizacin. Todo el personal debe recibir un mensaje claro de la direccin general de que las responsabilidades de control deben ser tomadas seriamente. Deben entender tanto su propio papel dentro del sistema de control interno como hasta qu punto las actividades individuales estn relacionadas con el trabajo de los dems. Deben tener medios para comunicar informacin importante en forma ascendente (de abajo hacia arriba). Tambin es necesario que haya una comunicacin efectiva con las partes externas tales como clientes, proveedores, reguladores y accionistas.
Monitoreo - Los sistemas de control necesitan ser supervisados - un proceso que evale la calidad de la ejecucin del sistema con el tiempo. Esto se logra a travs de actividades continuas de monitoreo, evaluaciones individuales o una combinacin de las dos. El monitoreo continuo ocurre en el desarrollo de las operaciones e incluye actividades de administracin y supervisin continuas y otras acciones que el personal realiza para cumplir con sus obligaciones. El enfoque y la frecuencia de las evaluaciones individuales depender en primer lugar de la evaluacin de los riesgos y de la efectividad de procesos de monitoreo continuo. Las deficiencias de control interno deben ser informadas hacia arriba, con informes sobre asuntos graves a la direccin general y a la junta directiva ().
2.1.6 ISA 6 - VERSIN 1994
En la edicin IFAC HANDBOOK 1994, Technical Pronouncements, se alude al control en los siguientes trminos:
"(...) El trmino Sistema de control interno significa todas las normas y procedimientos (controles internos) adoptados por la administracin de una entidad para ayudar a lograr el objetivo administrativo de asegurar, hasta donde sea posible, la ordenada y eficiente conduccin de los negocios, incluyendo adherencia a las normas de la administracin, la salvaguardia de los activos, la prevencin y deteccin del fraude y error, la exactitud e integridad de los registros contables, y la oportuna preparacin de informacin financiera confiable. El sistema de control interno se extiende ms all de los asuntos relacionados directamente con las funciones del sistema de contabilidad y comprende:
(a) el ambiente de control que significa todas las actitudes, conocimientos y acciones de los directores y administradores respecto del control interno y de su importancia para la entidad. El ambiente de control afecta la efectividad de procedimientos de control especficos. Un fuerte ambiente de control, por ejemplo, un rgido control presupuestal y un eficiente funcionamiento de la auditora interna, puede complementar significativamente un especfico procedimiento de control. Sin embargo, un fuerte ambiente de control no asegura, por s solo, la efectividad del sistema de control interno.
(b) procedimientos de control que significa las normas y procedimientos que en adicin al ambiente de control ha establecido la administracin para alcanzar los objetivos especficos de la entidad. (...)".
Aqu se sigue apreciando la tendencia del enfoque sistmico al momento de plantear un sistema de control interno, involucrando los aspectos bsicos como: ambiente, relacin,
-
procesos internos (Gmez, 2006), pero an no se integra formalmente el concepto de gestin del riesgo.
2.1.7 SAS 78
En diciembre de 1995 AICPA emiti SAS 78, Consideration of Internal Control in a Financial Statement Audit: An Amendment to Statement on Auditing Standards No. 55, que constituye el primer modelo de control interno en incluir explcitamente la gestin de riesgos financieros. ste define al control interno como:
(...) 6. El control interno es un proceso efectuado por el consejo de directores de la entidad, gerencia y dems personal- designado para proporcionar una razonable seguridad en relacin con el logro de los objetivos de las siguientes categoras: (a) seguridad de la informacin financiera, (b) efectividad y eficiencia de las operaciones, y (c) cumplimiento con las leyes y regulaciones aplicables. (...).
Esta definicin de control interno ampla la definicin dada en el SAS 55, la cual estaba enfocada hacia que el control interno tena una funcin de garantizar el cumplimiento de los objetivos organizacionales y le proporciona unas cualidades de calidad: seguridad de Informacin financiera, efectividad y eficiencia de las operaciones y cumplimiento de normas (Gmez, 2006).
2.1.8 CADBURY
El modelo Cadbury (UK Cadbury Committee) es creado, entre otros aspectos, para estudiar el control interno y fijar un estndar nacional. Este modelo se enfoca bsicamente en polticas de gobierno y los cdigos de tica como parmetro base del control interno.
El Comit Cadbury se cre en 1992 dando concepto muy amplio del control basado en la deficin dad por el COSO, aunque da mayores especificaciones en la definicin de su enfoque sobre el sistema de control en su conjunto-financiero.
Objetivos orientados a proporcionar una seguridad razonable de:
a. Efectividad y eficiencia de las operaciones. b. Confiabilidad de la informacin y reportes financieros. c. Cumplimiento con leyes y reglamentos
Los elementos clave de este modelo son en esencia similares al modelo COSO, salvo la consideracin de los sistemas de informacin integrados en los otros componentes y un mayor nfasis respecto a riesgos.
2.1.9 COCO
El Comit de Control de Canad o Canadian Control Committee del Instituto de Contadores Pblicos de Canad, cre en 1995 el modelo de control interno COCO, el cual ayuda a las organizaciones a perfeccionar el proceso de toma de decisiones a travs de una mejor comprensin del control, del riesgo y de la direccin e incluye aquellos elementos de una organizacin - recursos, sistemas, procesos, cultura, estructuras y metas- que tomados en conjunto apoyan al personal en el logro de los objetivos de una organizacin.
Los objetivos pueden referirse a una o ms de las siguientes categoras:
La efectividad y eficiencia de las operaciones. La confiabilidad de los reportes internos o para el exterior.
-
El cumplimiento de las leyes y reglamentos aplicables, as como de las polticas internas.
Este modelo enfatiza en que la confiabilidad de la informacin no se limita a la de carcter financiero sino a toda la que se produce, tanto para el interior como para el exterior. Y finalmente, no solamente deben ser observadas las leyes y los reglamentos sino tambin las polticas internas.
El modelo COCO se representa en cuatro etapas:
1. Propsito. 2. Compromiso. 3. Aptitud 4. Evaluacin y el aprendizaje.
Cada una de ellas contiene varios criterios que pueden ser aplicables en nuestras organizaciones.
2.2 EVOLUCIN DE LA GESTIN DE RIESGOS
La gestin de riesgos fue el desarrollo lgico que se logr a partir de la evolucin del concepto de control interno y el uso de la probabilidad como mtodo de toma de decisiones en condiciones de incertidumbre.
El desarrollo del control interno hizo que se planteara la necesidad de un enfoque sistmico del control interno, donde los estndares internacionales anteriormente mencionados plantearon la estructura de un modelo de sistema de control interno (bsicamente resumido en: ambiente, procedimientos contables y procedimientos de control), que al desarrollar el elemento procedimientos de control hizo que se planteara la necesidad de darle una perspectiva distinta a la financiera, evolucionando en una necesidad de crear o migrar metodologas para la gestin de eventos negativos que probablemente pongan en peligro la viabilidad de una organizacin, es decir: gestin de riesgos.
El primer referente a nivel de gestin de riesgos fue el estndar AS/NZS 4360:1995, la cual marc un antes y un despus en la toma de decisiones en orden tctico y estratgico en temas con alto grado de incertidumbre, diversificando as el tema de generacin de controles a nivel administrativo.
2.2.1 AS/NZS 4360:1995, AS/NZS 4360:1999, AS/NZS 4360:2004
El estndar AS/NZS 4360 fue el primero en salir en 1995. Hoy existe una cuarta versin de 2009, la cual es reconocida mundialmente. La AS/NZS 4360:2004 fue adoptada en un gran nmero de empresas multinacionales traducindose al francs, espaol, chino, japons y coreano, hasta que basado en ella, se desarroll en 2009 la ISO 31000.
El objetivo de este estndar es proveer una gua que permita tanto a empresas pblicas o privadas como a individuos, grupos o comunidades lograr (Gmez, 2006):
Una base ms confiable y rigurosa para la toma de decisiones y planificacin. Mejor identificacin de oportunidades y amenazas. Generar valor desde la incertidumbre y variabilidad. Una gestin proactiva ms que reactiva. Asignacin y utilizacin de recursos ms afectiva.
-
Mejorar la confianza de los stakeholders2. Mejorar el cumplimiento con legislaciones relevantes. Tener un mejor gobierno corporativo.
La estructura del estndar es: Alcance, mbito de aplicacin y definiciones; Requerimientos de administracin de riesgos; Vista general y Proceso de administracin de riesgos; y Documentacin, que se describe brevemente a continuacin.
2.2.1.1 Alcance, mbito de aplicacin y definiciones
Las naciones de Australia y Nueva Zelanda crearon un estndar para uso genrico en toda de la sociedad. El documento plantea como rea de riesgo a todos los riesgos. Es un marco terico genrico, que establece el contexto, plantea la identificacin, anlisis, tratamientos, monitoreo y comunicacin. El Libro de Gua: Risk Management Guidelines Companion to AS/NZS 4360:2004 Standards Australia/Standards New Zealand tiene como alcance una variedad de actividades, incluidas las actividades del sector pblico, comerciales, organizaciones voluntarias y sin fines de lucro.
El estndar plantea en este primer captulo una serie de definiciones que se aplican en el documento. Dentro de las ms destacables estn:
Riesgo: la posibilidad de que suceda algo que tendr un impacto sobre los objetivos. Se lo mide en trminos de consecuencias y probabilidades.
Administracin de riesgos: la cultura, procesos y estructuras que estn dirigidas hacia la administracin efectiva de oportunidades potenciales y efectos adversos.
Proceso de administracin de riesgos: la aplicacin sistemtica de polticas, procedimientos y prcticas de administracin a las tareas de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar riesgos.
2.2.1.2 Requerimientos de administracin de riesgos
En este captulo se plantea que la organizacin debe tener un programa sistemtico de administracin de riesgos. Para ello la direccin debe:
Desarrollar una poltica de administracin de riesgo. Definir y planificar los recursos: La organizacin debe identificar los
requerimientos de recursos y proveer recursos adecuados. Tambin debe definir los roles y responsabilidades de las personas que llevan a cabo este proceso.
Programar la implementacin: el desarrollo de esta etapa est en el Apndice B del documento. Plantea seis pasos para el desarrollo e implementacin de un programa:
Respaldo de la alta gerencia
Desarrollar la poltica organizacional Comunicar la poltica
Administrar riesgos a nivel organizacional
Administrar riesgos a nivel de programa, proyecto y equipo
Monitorear y revisar Revisin gerencial: el ejecutivo debe asegurar que se lleve a cabo una revisin
del sistema de administracin de riesgos a intervalos especificados, suficiente para asegurar su continua conformidad y efectividad.
2 Stakeholders: Partes interesadas.
-
2.2.1.3 Vista general y Proceso de administracin de riesgos
En la AS/NZS 4360:1995 se menciona por primera vez el ciclo de gestin de riesgos, presentado en el Grfico 2, del cual se observa que el proceso de administracin de riesgos planteado tiene cinco etapas: Establecer del contexto, Identificacin de riesgo, Anlisis de riesgo, Evaluacin de riesgo y Tratamiento de riesgo.
Grfico 2. Ciclo de gestin de riesgos
Fuente: AS/NZS 4360: 1995.
1. Establecer del contexto: El marco define con gran detalle tres tipos de contextos que
deben tomarse en cuenta para la administracin de riesgos (organizacional, estratgico y para la administracin de riesgo). En esta etapa se identifican 3 aspectos:
a. El contexto estratgico: definiendo la relacin entre la organizacin y el ambiente, ya sea interno o externo. El estndar adems agrega en el Anexo C un listado con una gua de cules pueden ser los potenciales interesados que influyen en el contexto estratgico.
b. El contexto organizacional: entendiendo a la empresa y sus capacidades, as como sus metas y objetivos y estrategias para alcanzarlos.
c. El contexto para la administracin de riesgos: estableciendo el alcance y las fronteras para la aplicacin del proceso de administracin de riesgos. Por ejemplo: definiendo el proyecto o la actividad, incluyendo la extensin de tiempo y espacio, estableciendo las metas y objetivos.
2. Identificacin de riesgo: La segunda etapa significa identificar los riesgos para ser
administrados. Esto incluye un proceso sistemtico bien estructurado que debe contener: qu puede ocurrir, cmo puede ocurrir, herramientas y tcnicas para la identificacin.
3. Anlisis de riesgo: El objetivo es diferenciar los riesgos y proveer datos para asistir
en la evolucin y tratamiento de los riesgos. Los pasos en el anlisis de riesgo son:
Determinar controles existentes. Determinar consecuencias y probabilidad de ocurrencia.
4. Evaluacin de riesgo: En esta etapa se establece el nivel de riesgo. El producto de la
evaluacin de riesgo es tener la priorizacin de los riesgos identificados. Si los riesgos
-
caen en categoras de bajo riesgo o de riesgo aceptable, pueden ser aceptados con el mnimo de tratamiento y ser monitoreados regularmente para asegurarse que se mantienen en este nivel.
5. Tratamiento de riesgo: Esta ltima etapa del proceso se deben identificar acciones para reducir el nivel de exposicin a riesgos, evaluarlas, preparar el plan de tratamiento de los riesgos e implementarlo. Identificar las opciones de tratamiento de riesgos. Pueden ser
Evitar el riesgo al no proceder con la actividad Reducir la probabilidad de ocurrencia Reducir las consecuencias Transferir el riesgo Retener el riesgo
2.2.1.4 Documentacin
El estndar plantea que debera documentarse cada etapa del proceso de administracin de riesgos. Da una serie de razones por las cuales es apropiado documentar que consideramos importante detallar:
1. Demostrar que el proceso es conducido apropiadamente; 2. Proveer evidencia de un enfoque sistemtico de identificacin y anlisis de
riesgos; 3. Proveer un registro de los riesgos y desarrollar la base de datos de conocimientos
de la organizacin; 4. Proveer a los tomadores de decisin relevantes de un plan de administracin de
riesgos para aprobacin y subsiguiente implementacin; 5. Proveer un mecanismo y herramienta de responsabilidad; 6. Facilitar el continuo monitoreo y revisin; 7. Proveer una pista de auditoria; y 8. Compartir y comunicar informacin.
2.2.2 COSO I (1992), COSO II ERM (2004) Y COSO III (2013)
El Committee Of Sponsoring Organizations Of The Treadway Commission o COSO fue creado en 1985 con el fin de normalizar la temtica de control interno en Estados Unidos. Este Comit desarroll un modelo de control interno que ya ha tenido tres versiones: COSO 1992, COSO ERM Y COSO 2013.
-
Grfico 3. Comparativa COSO 1992, COSO ERM y COSO 2013
Fuente: Elaboracin propia a partir de referencias consultadas.
En trminos generales, el COSO ha planteado un esquema de gestin de riesgos en cada una de sus versiones, pero no fue sino en COSO ERM (Enterprise Risk Management) cuando dio una definicin formal de riesgos, pues en la versin de 1992 estaba ms enfocado a control interno.
En el ao 1992, se publica el denominado COSO I con el fin de ayudar a las organizaciones a evaluar y mejorar sus sistemas de control interno. Dicho informe defini implcitamente a los riesgos dentro de la definicin de control interno: un proceso generado por la direccin y dems trabajadores de una entidad y diseado para proporcionar un grado de seguridad adecuado para la consecucin de objetivos respecto a confiabilidad de cualquier informacin financiera de la organizacin, cumplimiento de la normativa aplicable y eficacia y eficiencia en operaciones.
El COSO I se dispona en 5 captulos, siendo stos:
1. Ambiente de control. 2. Evaluacin de Riesgos. 3. Actividades de control. 4. Informacin y comunicacin. 5. Supervisin.
En 2004, se publica COSO II Enterprise Risk Management ERM- Integrated Framework, el cual continu con el concepto de control interno de COSO I, pero introdujo una definicin de riesgos, los cuales segn COSO de deban entender como: La gestin de riesgos corporativos es un proceso efectuado por el consejo de administracin de una entidad, su direccin y restante personal, aplicable a la definicin de estrategias en toda la organizacin y diseado para identificar eventos potenciales que puedan perjudicar a sta, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos.
La metodologa COSO II cuenta con 8 componentes a tener en cuenta para la gestin de riesgo
1. Ambiente de control. 2. Establecimiento de objetivos.
-
3. Identificacin de eventos. 4. Evaluacin de Riesgos. 5. Respuesta a los Riesgos. 6. Actividades de control. 7. Informacin y comunicacin. 8. Supervisin.
COSO II es una metodologa que aborda la gestin de riesgos en las empresas desde un enfoque integrador, la cual implica una gran oportunidad para crear valor para sus stakeholders.
La tercera versin, COSO III, se public en el ao 2013. COSO III es la renovacin del Marco Integrado de Gestin de Riesgos e incluye novedades muchas novedades, entre ellas es la inclusin de un ciclo para la evaluacin de riesgos:
Identificacin de cada uno de los riesgos. Anlisis de riesgos. Respuesta precisa a los riesgos.
La definicin de riesgos del COSO III mantiene la definicin del COSO II, pero se consideran niveles de tolerancia a riesgos, riesgos asociados a funciones, adquisiciones y externalizaciones, y se ampla la consideracin del riesgo al fraude.
2.2.3 ISO 31000:2009. GESTIN DE RIESGOS
La norma internacional sobre gestin de riesgos ISO 31000 es un estndar internacional sobre la administracin de riesgo empresarial que fue adoptada por el Comit Tcnico de ISO3 y publicada en octubre de 2009.
El desarrollo del marco terico empez en el 2005 cuando Australia y Nueva Zelanda propusieron mejorar su estndar existente (AZ/NZS 4360) y llevarlo a un nivel de estndar internacional. ISO entendi que era necesario este estndar pero no en base a la adaptacin del antes mencionado sino en base al desarrollo de uno nuevo que incorporara los conceptos y componentes de los mayores estndares existentes (Bueno, Correa, & Echeverry, 2010). El objetivo principal es poder crear un documento que provea una gua de principios y prcticas para el proceso de administracin de riesgos.
Los riesgos segn la ISO 31000:2009 se deben entender como el Efecto de la incertidumbre sobre los objetivos (ICONTEC, Norma Tcnica Colombiana NTC-ISO 31000. Gestin del Riesgo. Principios y Directrices, 2011), donde un efecto es una desviacin de aquello que se espera, sea positivo, negativo o ambos, los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud y seguridad, y metas ambientales) y se pueden aplicar en niveles diferentes (estratgico, en toda la organizacin, en proyectos, productos y procesos).
A menudo el riesgo est caracterizado por la referencia a los eventos potenciales y las consecuencias o a una combinacin de ellos, y se expresa en trminos de una combinacin de las consecuencias de un evento (incluyendo los cambios en las circunstancias) y en la probabilidad de que suceda (Bueno, Correa, & Echeverry, 2010).
Para la ISO 31000:2009 la incertidumbre es el estado, incluso parcial, de deficiencia de informacin relacionada con la comprensin o el conocimiento de un evento, su
3 ISO Risk Management Technical Committee.
-
consecuencia o probabilidad (ICONTEC, Norma Tcnica Colombiana NTC-ISO 31000. Gestin del Riesgo. Principios y Directrices, 2011).
2.2.3.1 Marco Integrado
La norma establece el esquema del proceso de administracin de riesgos, marco que debe ser adaptado por cada organizacin, y no verse como la imposicin de un sistema de gestin de riesgos.
El objetivo del marco es asegurar que la informacin sobre los riesgos derivada de los procesos es adecuadamente reportada y utilizada como una base para la toma de decisiones en todos los niveles de la organizacin (Gmez, 2006).
Grfico 4. Componentes para la gestin del riesgo.
Fuente: NTC-ISO 31000:2011. Gestin de riesgos. Principios y directrices, ICONTEC. Bogot D.C., 2011.
Los componentes necesarios para la gestin de riesgos de acuerdo con el Grfico 4 se resumen as:
1. Mandato y compromiso de la Direccin, para asegurar la efectividad del plan es
necesario que la direccin est fuertemente comprometida. Para eso debe, entre otras cosas: definir y reforzar las polticas, asegurarse la cultura, polticas, procedimientos y objetivos organizacionales y de gestin de riesgo estn alineados, asegurarse se tienen los recursos necesarios, comunicar los beneficios de la gestin de riesgos.
2. Diseo un marco para administrar el riesgo, que debera tener como mnimo
los siguientes pasos: Entender la organizacin y su contexto (tanto interno como externo). Establecer las polticas de gestin de riesgos. Definir responsabilidades. Integrar el plan dentro de los procesos de la organizacin. Identificar recursos. Establecer las vas de comunicacin interna y reportes. Establecer las vas de comunicacin externa y reportes.
3. La implementacin del marco de gestin de riesgos consiste entre otras cosas:
definicin de estrategias de implementacin y un apropiado timing; estar acorde con los requerimientos legales y regulatorios y con las polticas y procedimientos
-
de la organizacin, tener buena comunicacin con los interesados para asegurarse el plan es apropiado.
4. Monitoreo y revisin. Para asegurar la efectividad y continuidad se debe revisar
peridicamente la performance del plan. La revisin consiste entre otras cosas en: comparaciones contra indicadores preestablecidos, mediciones del progreso y las desviaciones del plan, adecuacin del proceso a lo largo del tiempo, efectividad.
5. Revisin continua y mejora, basados en los resultados del monitoreo, las
decisiones deben ser tomadas en funcin de cmo se puede mejorar la gestin de riesgos.
2.2.3.2 Proceso
Al haber tomado como base el documento AS/NZS 4360:2004 de Australia y Nueva Zelanda, las etapas del proceso de gestin de riesgos de la norma ISO 31000:2009 son iguales, diferencindose en la informacin proporcionada.
El proceso de administracin de riesgos debe ser:
Una parte integral de la gestin de la empresa.
Incorporado a la cultura y las prcticas organizacionales.
Adaptado al proceso de negocios que se tenga.
Considera las siguientes seis principales actividades:
Grfico 5. Proceso para gestin de riesgo.
Fuente: NTC-ISO 31000:2011. Gestin de riesgos. Principios y directrices, ICONTEC. Bogot D.C., 2011.
1. Establecer el contexto: en este paso, la empresa define los parmetros internos y
externos que sern tomados en cuenta para la administracin de riesgos. El contexto
-
puede incluir tanto parmetros internos como externos, relevantes para la organizacin (know-how, sistemas de informacin o polticas econmicas, ambiente competitivos, percepcin de valores, etc.). Adems, el contexto debe ser desarrollado (al definir roles y responsabilidades, metodologas, etc.). Por ltimo, es importante en este proceso establecer el criterio para evaluar riesgos. Este criterio debera ser consistente con las polticas de administracin de riesgos, reflejando los objetivos, valores y recursos. Debe quedar definido al principio del proceso y ser continuamente revisado.
2. Apreciacin del riesgo: Esta etapa es el proceso total de identificacin, anlisis y
evaluacin de riesgos. El objetivo de la primera actividad - identificacin de riesgos - es crear una lista exhaustiva de los riesgos que podran afectar el cumplimiento de los objetivos de la organizacin. En este contexto, est definida la importancia de identificar todos los riesgos, independientemente de que estn o no asociados a la bsqueda de una oportunidad.
La segunda actividad - anlisis de riesgos - da los conceptos para la evaluacin de riesgos as como para las decisiones de las medidas ms apropiadas a tomar para tratarlos. Un riesgo en particular es analizado determinando sus consecuencias y su probabilidad de ocurrencia. En el texto se enfatiza que la confianza en la determinacin de riesgos y su sensibilidad en las precondiciones y supuestos deben ser consideradas en el anlisis y comunicadas efectivamente. El tercer paso - evaluacin de riesgos - implica comparar el nivel de riesgo determinado durante el anlisis con el criterio definido anteriormente para priorizar la implementacin de medidas adecuadas de tratamiento y mitigacin. El estndar hace referencia al IEC 31010 - tcnicas para evaluar riesgos para la aplicacin prctica de esta etapa.
3. Tratamiento de riesgos: Este paso envuelve la seleccin de una o ms opciones
para evitar, reducir, transferir, compartir, aceptar, asumir los riesgos identificados as como la implementacin de las mejores medidas a tomar. La eleccin de estas mejores medidas implica balancear costos del esfuerzo con sus beneficios (que no necesariamente tienen que ser exclusivamente monetarios). Se enfatiza que cuando se seleccionan los tratamientos de riesgos, la organizacin debe considerar los valores y percepciones de los accionistas y los mejores medios para estar comunicados con ellos. Otro aspecto importante es que se debe tener en cuenta que el tratamiento de riesgos en s mismo, puede generar nuevos riesgos, como la falla o inefectividad de las medidas elegidas. Adems un monitoreo adecuados debe ser parte integral del plan de tratamiento. Finalmente, se menciona que el plan debe establecer claramente la lista de prioridades y debe quedar documentado con las razones por las que se eligi, las responsabilidades, acciones propuestas, los recursos necesarios, medidas o limitaciones para llevarlo a cabo, planificacin de tiempos, etc.
4. Seguimiento y revisin: El monitoreo puede ser regular y ad hoc y la revisin de
actividades deben acompaar todos los aspectos del proceso de administracin de riesgos y referirse a todos los pasos descriptos anteriormente. El objetivo de este proceso es entre otras cosas: analizar y aprender lecciones de los eventos, detectando cambios en el contexto interno y externo, asegurndose que el tratamiento ha sido efectivo e identificando riesgos emergentes, obteniendo as ms informacin para mejorar. Los resultados de esta etapa deben ser registrados y reportados tambin pudiendo utilizarse de input a la hora de revisar el marco
5. Comunicacin y consulta: La comunicacin y la consulta son vistas como una parte
integrada de las actividades de administracin de riesgos y por tanto deben ser
-
aplicadas en todas las etapas del proceso, incluyendo todas las partes interesadas 59 relevantes sean internas como externas. Es recomendado que el plan de comunicacin y consulta sea desarrollado en la primera etapa, fijando temas relacionados con el riesgo en s mismo, as como con las consecuencias y las medidas que se deben tomar para administrarlo. El marco sugiere un equipo de consulta para mantener la fluida comunicacin. Adems se hace un fuerte nfasis en el hecho que la comunicacin y consulta es muy importante ya que los accionistas hacen juicios de valor basados en sus percepciones de riesgo, las que pueden variar en gran medida por las diferencias que tengan en los valores, sus necesidades, sus supuestos, conceptos e inquietudes.
Adicionalmente, se define una sexta etapa que no se identifica en el Grfico 5, pero que tambin debe ser trasversal al ejercicio:
6. Registro del proceso: Las actividades de la administracin de riesgos deben ser
fciles de ubicar y estar disponible para todos; los documentos deben proveer informacin que sirva de ayuda para reforzar mtodos y herramientas, as como todo el proceso de administracin.
2.2.4 ISO/IEC GUA 73. TRMINOS Y DEFINICIONES
La principal referencia sobre trminos y definiciones es la ISO/IEC Guide 73. Risk Management Vocabulary, documento indispensable para la aplicacin del ISO 31000. La norma tcnica de gestin del riesgo respeta los trminos y definiciones de la gua, e incluso las trae del documento.
El objetivo de incluir estas referencias de un documento separado en vez de incluir dentro del estndar todos los trminos y definiciones es que el vocabulario manejado sobre todos los puntos de riesgos y administracin de riesgos sean el mismo ya que existen varios estndares internacionales que utilizaron esta gua para sus definiciones. En otras palabras, la Gua 73 busca asegurar la consistencia del uso de trminos y definiciones en todos los estndares.
2.2.5 ISO 9001:2015
La Norma Internacional ISO 9001 en su versin 2015 introduce el concepto de pensamiento basado en el riesgo para el Sistema de Gestin de Calidad en una organizacin, en el numeral 6.1 Acciones para abordar riesgos y oportunidades.
Esta norma adopta la definicin de riesgo de la ISO 31000:2009 es decir, entiende al riesgo como el Efecto de la incertidumbre sobre los objetivos, donde un efecto es una desviacin de aquello que se espera, sea positivo, negativo o ambos.
La ISO 9001:2015 empezar a ser certificable desde 2018 y se convertir en la base para la actualizacin de la Norma Tcnica Colombiana para la Gestin Pblica 1000 versin 2009, NTC-GP 1000:2009, la cual ya incluye la gestin de riesgos en articulacin con los elementos sobre administracin del riesgo del Modelo Estndar de Control Interno Colombiano, MECI 1000:2005, y se constituye como de obligatorio cumplimiento en todas las entidades pblicas en el marco de la Ley 872 de 2003.
2.3 COMPARACIN DE LOS MODELOS
El entendimiento de los riesgos a nivel administrativo ha evolucionado desde 2 enfoques: Control Interno y Gestin de riesgos. Por un lado, los primeros han utilizado la elaboracin de informes como herramienta principal de diagnstico, tambin conocidos como Mtodos
-
descriptivos o memorndum; por el otro lado, la gestin de riesgos se enfoca a la creacin de los controles de fallos en los diagramas de flujo de los procesos.
Las estructuras de los modelos no son excluyentes, pero los primeros implican una estructura de informe rgida, ya que todos estn implicados para empresas pblicas nacionales de los pases que los originaron y se enfocan en aspectos financieros principalmente (han servido como modelo para la creacin de estructuras de control interno de otros pases, como por ejemplo el MECI fue basado en COSO y se le dio el enfoque sistmico del COCO); mientras que los segundos fueron creados para las empresas privadas principalmente, y la gestin de riesgos es ms flexible y abarca muchos ms aspectos de gestin. Estos dos enfoques suponen diferentes ventajas y desventajas en trminos generales.
En los modelos estudiados COSO, COCO, SAS, ISA y CADBURY se enfocan en el modelo de informes, enfocados principalmente en el tema financiero, aunque el COCO tiene un enfoque ms amplio. Por otro lado el AS/NZS 4360, ISO 31000 e ISO 9001:2015 estn enfocados en la gestin de riesgos.
Mtodo de Informes: Ventajas
El estudio es detallado de cada operacin con lo que se obtiene un mejor conocimiento de la empresa en el flujo de informacin contable.
Permite un efectivo control financiero. Si se usa para el diseo del sistema de gestin, resulta ser una herramienta
valiosa para la integracin de los sistemas de gestin.
Mtodo de informes: Desventajas
No se tiene un ndice de eficiencia. Se pueden pasar inadvertidos algunas situaciones anormales. Es evaluativo coyuntural dependiendo de directrices de orden legal.
Gestin de riesgos: Ventajas
Representa un ahorro de tiempo. Por su amplitud cubre con diferentes aspectos, lo que contribuye a descubrir si
algn procedimiento se alter o descontinu. Es flexible para conocer la mayor parte de las caractersticas del control interno. Permite ir al detalle de las operaciones para definir controles ms efectivos. Es dinmico en la identificacin de fallos.
Gestin de riesgos: Desventajas
Prdida de tiempo cuando no se est familiarizando a este sistema. El estudio de dicho cuestionario puede ser laborioso por su extensin. Muchas de las respuestas si son positivas o negativas resultan intrascendentes si
no existen una idea completa del porqu de estas respuestas.
Una vez mencionadas las ventajas y desventajas generales de los modelos, se procede a puntualizar cada uno de ellos en la Tabla 1.
Tabla 1. Comparacin de los modelos
Modelo Pas de Origen
Propsito Ventajas Desventajas
COSO Committee of
Estados Unidos
Apoyar a la direccin para un
- Incluye la identificacin de
- Se limita al control de riesgos
-
Sponsoring
Organization of the Treadway
Commission
mejor control de la
organizacin, integrando los conceptos de riegos
y control en el entorno financiero.
riesgos internos y
externos o los asociados al cambio.
- Resalta la importancia de la planificacin y la
supervisin. - Plantea pirmide
de componentes de control interrelacionados.
financieros.
- Supone que el control financiero garantiza la
viabilidad de una organizacin.
- El anlisis contextual se enfoca en el tema
financiero. - Requiere personal
especializado en el
Informe COSO.
CoCo Criteria of Control Board
Canad Ayudar a las organizaciones a perfeccionar el
proceso de toma de decisiones a travs de una mejor
comprensin del control, del riesgo y de la direccin.
- Se sustenta en la teora general de
sistemas y de la contingencia.
- Resalta la importancia de la definicin y adopcin de
normas y polticas. - Plantea que la
planeacin estratgica proporciona
sentido a la direccin.
- Define 20 criterios para diseo, desarrollo y modificacin del
control.
- Se requiere personal
especializado para el anlisis y generacin del
informe el informe COCO.
- Posee requisitos que requieren de un gran esfuerzo organizacional
para cumplir.
Cadbury Reino Unido Ayudar a las organizaciones nacionales a
sincronizarse con los objetivos del pas brindando
mayores especificaciones en la definicin del
enfoque sobre el sistema de control, utilizando el
cumplimiento de las polticas de gobierno y los
cdigos de tica como base del control interno.
- Incluye la identificacin de
riesgos internos y externos o los asociados al
cambio. - Resalta la
importancia de la planificacin y la supervisin.
- Plantea pirmide de componentes de control
interrelacionados. - Incluye el enfoque
de articularse con lineamientos nacionales.
- Se soporta en el sistema COSO,
exceptuando lo referente a sistemas de
informacin, lo cual se incorpora en otros elementos.
- Est enfocado en las empresas de
reino unido.
SAS
Statements on Auditing Standars
American
Estados
Unidos
Ayudar a la eficacia
de la gestin financiera mediante la definicin del
control interno
- Permite mayor control del fraude financiero. Exactitud y
confiabilidad de
- Se limita al control de riesgos financieros.
- Se necesita personal
-
Institute of
Certified Public Accountants
AICPA
desde el control
contable mediante el uso de informes, con el fin de
proteger activos, verificar la exactitud y confiabilidad de
sus informes contables, con el fin de prevenir el
fraude financiero.
sus informes
contables.
especializado en el
Modelo para aplicarlo.
- Se enfoca en la estructura contable de estados unidos.
ISA 6 International Standards on
Auditing International Federation of
Accountants IFAC
Europa Ayudar a la eficacia de la gestin fianciera de las
organizaciones pblicas europeas, con el fin de
prevenir el fraude durante la presentacin de
informes.
- Permite mayor control del fraude financiero.
- Exactitud y confiabilidad de
sus informes contables.
- Se limita al control de riesgos financieros.
- Se necesita personal
especializado en el Modelo para aplicarlo.
AS/NZS 4360:2009
Australia Ayudar a las empresas a cumplir sus objetivos
organizacionales, mediante la definicin de un ciclo de gestin de
riesgos y el enfoque del mejoramiento en la prevencin de
fallos.
- Ampla el enfoque de riesgos, creando una
metodologa que no slo es aplicable a lo
financiero. - Permite un
enfoque a riesgos que abarca ms aspectos que el
riesgo del control interno.
- Se centra en los objetivos de la organizacin.
- No ofrece taxonomas de riesgo, mapas de
calor o de otras plantillas para el desarrollo de la
documentacin y los informes de riesgo.
ISO 31000:2009
Internacional Ayudar a las empresas a cumplir
sus objetivos organizacionales, mediante la
definicin de un ciclo de gestin de riesgos y el enfoque
del mejoramiento en la prevencin de fallos.
- Permite un enfoque a riesgos que abarca ms aspectos que el
riesgo del control interno.
- Se centra en los objetivos de la organizacin.
- No ofrece taxonomas de riesgo, mapas de calor o de otras
plantillas para el desarrollo de la documentacin y
los informes de riesgo.
ISO
9001:2015
Internacional Ayudar a las
empresas a cumplir sus objetivos organizacionales
orientados al cliente, mediante la inclusin de la
gestin de riesgos
- Se articula con la gestin de riesgos definidos en la ISO
31000:2009. - Define la gestin
de riesgos como
las acciones de mejoramiento
- No ofrece taxonomas de riesgo, mapas de
calor o de otras plantillas para el desarrollo de la
documentacin y los informes de
-
Fuente: Elaboracin propia, 2015.
2.4 TRABAJOS E INVESTIGACIONES SOBRE GESTIN DE RIESGOS EN EL SECTOR SALUD
Este tema ha sido abordado por diversos autores, principalmente para el sector financiero, bancario y de aseguramiento. Sin embargo, el caso que esta vez nos ocupa es el de una empresa del sector salud. En este sentido, la literatura no es poca, destacndose las siguientes tres investigaciones que se presentan a continuacin.
2.4.1 LA GESTIN DEL RIESGO EN SALUD EN COLOMBIA, 2011
La investigacin realizada sobre La Gestin del Riesgo en Salud en Colombia por Devi
Nereida Puerto Jimnez (2011), trabajo final presentado como requisito parcial para optar al ttulo en Maestra en Administracin de la Universidad Nacional de Colombia, presenta conceptualmente la forma como se entiende la gestin del riesgo en el sector financiero y bancario (segn los Acuerdos de Basilea) frente al sector salud y al modelo de aseguramiento en el Sistema General de Seguridad Social en Salud de Colombia, particularmente para los aseguradores (EPS) y prestadores (IPS), desde un enfoque empresarial y no epidemiolgico individual. Tambin identifica la normatividad que se ha producido en Colombia sobre gestin del riesgo en salud hasta el 2011 y finaliza con un anlisis sobre los avances y los vacos en el sector salud en materia de riegos en los subsectores asegurador y prestador.
Esta investigacin cobra importancia en la medida que realiza la distincin entre gestin de riesgo empresarial y epidemiolgico individual, el primero asociado al cumplimiento de objetivos y el segundo al riesgo inherente del proceso de atencin en salud, debido a que los principales desarrollos en administracin de riesgo para estas empresas del sector salud est orientada a garantizar la seguridad del paciente, dejando de lado muchas veces la gestin del riesgo empresarial, lo que repercute en que las EPS e IPS tengan la solvencia necesaria para responder a fluctuaciones inesperadas en el costo mdico o que la Unidad de Pago por Capitacin (UPC) y cubrir los riesgos de la poblacin afiliada.
Sin embargo, hace una distincin sobre el enfoque de la gestin del riesgo de las Instituciones Prestadoras de Servicios de Salud y las Aseguradoras, donde centra la gestin del riesgo hacia el riesgo clnico para las primeras y la gestin del riesgo financiero para las segundas. Esto refuerza el paradigma que las empresas que prestan servicios de salud deben enfocarse slo en el riesgo operativo asociado a la atencin en salud, dejando en segundo plano su articulacin con la estrategia empresarial establecida.
2.4.2 DISEO DE UN SISTEMA DE GESTIN DEL RIESGO EN UNA IPS HOSPITALARIA DE PRIMER NIVEL, 2013
La investigacin Diseo de un Sistema de Gestin del Riesgo en una IPS Hospitalaria de Primer Nivel, realizada por Diego Antonio Rubio Bohrquez y Carolina Soto Guzmn (2013) como requisito para optar al ttulo de Administrador Hospitalaria en la Universidad EAN, adelanta la construccin de una herramienta administrativa para el anlisis, evaluacin y valoracin de los riesgos para el Hospital Salazar ESE de Villeta, Cundinamarca, partiendo de un anlisis normativo en materia administracin de riesgo para entidades de carcter pblico, siguiendo con el estudio del estado actual de la Entidad y continuando con el diseo de la metodologa de gestin del riesgo basado en AMEF como mtodo analtico estandarizado para detectar y eliminar problemas de forma
como mejoramiento
preventivo.
preventivas. riesgo.
-
sistemtica, y finalizando con la validacin del modelo en el Hospital Salazar ESE con la aplicacin en un procesos especfico, Recursos Financieros, con la participacin de un equipo de funcionarios de la entidad.
Esta investigacin muestra de una manera fcil la implementacin de la metodologa AMEF para la gestin de riesgos en una institucin de salud, y expone los principales resultados, logros y dificultades, orientando a la gestin clnica.
Sin embargo, se identifica que la metodologa propuesta en este trabajo se enfoca en la identificacin de riesgos asociados a los grupos funcionales del proceso seleccionado y no al objetivo u objetivos planteados para ese proceso. En consecuencia se tiene una matriz de riesgos que no se orienta al cumplimiento de la estrategia u objetivos establecidos, sino que se centra en eventos con posibles consecuencias indeseadas que pueden o no afectar la planeacin institucional y las caractersticas de los servicios de salud.
2.4.3 MODELO INTEGRAL DE ADMINISTRACIN DE RIESGOS APLICADO AL HOSPITAL VISTA HERMOSA I NIVEL ESE, 2010
Otro referente que se identific fue el proyecto de pasanta para optar por el ttulo de Ingeniero Industrial de la Universidad Francisco Jos de Caldas, Modelo Integral de Administracin de Riesgos Aplicado al Hospital Vista Hermosa I Nivel ESE, elaborado por Jhon Jairo Garca Montes en el ao 2010, plante un Modelo Integral de Administracin de Riesgos para el Sistema Integral de Gestin SIG-AGA, implementado en ese hospital desde el 2006, el cual integra nueve (9) sistemas de gestin (subsistemas para el caso): Sistema Obligatorio de Garanta de la Calidad SOGCS (con sus 4 componentes: Sistema nico de Habilitacin, Sistema nico de Acreditacin, Plan de Auditora para el Mejoramiento de la Calidad, y Sistemas de Informacin e Indicadores para la Calidad); el Sistema de Control Interno, MECI 1000:2005; el Sistema de Gestin de Calidad, norma NTC-GP 1000:2004; el Sistema de Responsabilidad Social, norma ISO 26000; el Sistema de Seguridad y Salud Ocupacional, norma OSHAS 18001:2007; el Sistema de Gestin Ambiental, norma ISO 14001:2004; el Sistema de Gestin de Archivos y Documentos, norma ISO 15489-1; el Sistema de Control Interno Contable, y el Sistema de Gestin de Seguridad de la Informacin y la Comunicacin, ISO 27001:2005.
A dems de ser ocho (8) de estos subsistemas los componentes del actual Sistema Integrado de Gestin Distrital para hospitales, adelantndose por meses a su reglamentacin por el Decreto 176 de 2010, la importancia de esta monografa radica en que se cie a la metodologa para administracin de riesgos establecida por el Departamento Administrativo de la Funcin Pblica DAFP-, versin 2009 vigente en su momento.
Sin embargo, a dems que esta metodologa no incluye la identificacin y tratamiento de los riesgos de corrupcin, elemento obligatorio a partir de la Ley 1474 de 2011, y requiere de la actualizacin de la normatividad tcnica y legal aplicable, como el MECI 2014, la norma NTC-GP 1000:2009, la norma ISO 27001:2013, las normas de los componentes del SOGCS y la Gua de Administracin del Riesgo del DAFP 2014, al igual que la anterior investigacin, no dirige la identificacin y control de riesgos especficamente a la estrategia de la entidad sino que divaga en el anlisis de eventos supuestos relacionados con actividades en el alcance del proceso especfico objeto de gestin de riesgos, ms no necesariamente que impacte el objetivo de dicho proceso.
-
En general, los tres trabajos revisados presentan una debilidad consistente asociada al poco esfuerzo en la definicin del medio ambiente o entorno en que se desenvuelve la organizacin. Igualmente, tampoco diagnostica la estructura organizacional para la identificacin de condiciones internas que faciliten o promuevan la materializacin de los riesgos. Y mucho menos establecen una metodologa para el conocimiento de estos elementos y su anlisis, aun cuando incluso mencionan la etapa establecida por la norma ISO 31000:2009 sobre el establecimiento de contexto interno y externo como base para la adecuada gestin del riesgo.
-
3. MARCO HISTRICO: RIESGOS EN LA ADMINISTRACIN PBLICA DE COLOMBIA
3.1 SISTEMA CONTROL INTERNO, MECI Y GUAS DE ADMINISTRACIN DEL RIESGO DEL
DAFP
La Constitucin Poltica de Colombia de 1991 crea en su artculo 209 el control interno en la administracin pblica en todos sus rdenes, y establece que las entidades pblicas estn obligadas a disear y aplicar mtodos y procedimientos de control interno, artculo 269. Lo anterior en busca de la modernizacin de la administracin pblica en el pas a travs de la eliminacin del control previo y perceptivo que vena ejerciendo la Contralora General de la Repblica, trasladando a la Administracin la responsabilidad sobre el manejo diario de sus propios recursos, la custodia de activos y valores y el registro y reporte financiero y contable de sus actuaciones y estableciendo un control interno ejercido por las mismas entidades.
Para su reglamentacin se promulga la Ley 87 del 29 de noviembre de 1993, por la cual se establece las normas para el ejercicio del control interno en las entidades y organismos del Estado Colombiano y se dictan otras disposiciones, establece como Objetivos del Sistema de Control Interno:
a. Proteger los recursos de la organizacin, buscando su adecuada administracin ante posibles riesgos que lo afecten;
b. Garantizar la eficacia, la eficiencia y economa en todas las operaciones promoviendo y facilitando la correcta ejecucin de las funciones y actividades definidas para el logro de la misin institucional;
c. Velar porque todas las actividades y recursos de la organizacin estn dirigidos al cumplimiento de los objetivos de la entidad;
d. Garantizar la correcta evaluacin y seguimiento de la gestin organizacional; e. Asegurar la oportunidad y confiabilidad de la informacin y de sus registros; f. Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las
desviaciones que se presenten en la organizacin y que puedan afectar el logro de sus objetivos;
g. Garantizar que el Sistema de Control Interno disponga de sus propios mecanismos de verificacin y evaluacin;
h. Velar porque la entidad disponga de procesos de planeacin y mecanismos adecuados para el diseo y desarrollo organizacional, de acuerdo con su naturaleza y caractersticas
Luego, el Decreto 1537 del 26 de julio de 2001 (derogado por el Decreto 1083 del 26 de mayo de 2015, Decreto nico Reglamentario del Sector Funcin Pblica), reglament la administracin de riesgos como parte integral del fortalecimiento del sistema de control interno en las entidades y organismos pblicos, estableciendo la identificacin
y anlisis del riesgo como un proceso permanente e interactivo entre la administracin y las oficinas de control interno a partir de la evaluacin de los aspectos internos y externos que pueden llegar a representar amenaza para la consecucin de los objetivos organizaciones y del Estado. As mismo se establece como uno de los roles que deben desempear las oficinas de control interno dentro de las organizaciones pblicas la valoracin de riesgos, entendida como la evaluacin de los controles y acciones establecidas para la prevencin y mitigacin de los riesgos.
-
Este decreto tambin defini que el Departamento Administrativo de la Funcin Pblica DAFP-4 es el ente encargado de la constitucin de directrices tcnicas generales a travs de las cuales se disean las polticas en materia de control interno, incluyendo en este caso lo relacionado con la gestin de riesgos para la administracin pblica.
De acuerdo con las funciones asignadas, el DAFP expidi la Gua sobre Administracin del Riesgo en enero de 2002. Esta gua present una metodologa
para la identificacin, anlisis y manejo permanentemente el riesgo para la administracin pblica, abordando temas tales como: Valoracin del Riesgo, Identificacin del riesgo, Anlisis del riesgo, Determinacin del nivel del riesgo, Manejo del Riesgo, Plan de manejo del riesgo, Elaboracin de mapas de riesgos, Monitoreo y Autoevaluacin.
El DAFP y el Consejo Asesor de Control Interno elaboraron en noviembre de 1997 la Gua Preliminar para el Diseo y la Implementacin del Sistema de Control Interno, con el fin de constituirse como un apoyo para el Diseo y la implantacin del Sistema de Control Interno, estableciendo las fases o estndares del Sistema de Control Interno as:
1. Ambiente de Control. 1.1. Principios y valores 1.2. Compromiso y respaldo de la Alta
Direccin 1.3. Cultura de Autocontrol 1.4. Cultura del dilogo
2. Operacionalizacin de los elementos. 2.1. Esquema Organizacional 2.2. Planeacin 2.3. Procesos y Procedimientos 2.4. Desarrollo del Talento Humano 2.5. Sistemas de Informacin 2.6. Democratizacin de la
Administracin Pblica
2.7. Mecanismos de verificacin y evaluacin
3. Documentacin. 3.1. Memoria Institucional 3.2. Manuales 3.3. Normas y Disposiciones Internas
4. Retroalimentacin y mejoramiento. 4.1. Comit de Coordinacin de Control
Interno o instancia de coordinacin 4.2. Planes de Mejoramiento 4.3. Seguimiento
Es importante resaltar que este primer modelo del Sistema de Control Interno no contemplaba la gestin de riesgos, lo que constitua una debilidad frente a los referentes internacionales que ya haba incluido este aspecto desde 1995.
Con la promulgacin del Decreto 1537 de 2001, norma que exige a todas las entidades del Estado Colombiano establecer y aplicar polticas de administracin del riesgo como parte integral del fortalecimiento de los sistemas de control interno, surgi la necesidad de actualizar la gua de 1997 incluyendo la administracin del riesgo, lo que se materializ bajo el nombre de Gua Metodolgica para el Fortalecimiento y Evaluacin del Sistema de Control Interno en enero de 2002. Esta gua contemplaba una aproximacin conceptual para la Evaluacin del Sistema de Control Interno teniendo en cuanta cinco (5) fases y sus factores correspondientes (DAFP, 2002), as:
4 El Departamento Administrativo de la Funcin Pblica DAFP- es el organismo pblico responsable de la formulacin de las polticas generales de Administracin Pblica, en especial en materias relacionadas con Empleo Pblico, Organizacin Administrativa, Control Interno y Racionalizacin de Trmites de la Rama Ejecutiva del Orden Pblico de Colombia.
-
1. Ambiente de Control. 1.1. Principios y valores 1.2. Compromiso y respaldo de la Alta
Direccin 1.3. Cultura de Autocontrol 1.4. Cultura del dilogo
2. Administracin del riesgo. 2.1. Valoracin del riesgo 2.2. Manejo de riesgos 2.3. Monitoreo
3. Operacionalizacin de los elementos. 3.1. Esquema Organizacional 3.2. Planeacin 3.3. Procesos y Procedimientos 3.4. Desarrollo del Talento Humano
3.5. Sistemas de Informacin 3.6. Democratizacin de la
Administracin Pblica 3.7. Mecanismos de verificacin y
evaluacin 4. Documentacin.
4.1. Memoria Institucional 4.2. Manuales 4.3. Normas y Disposiciones Internas
5. Retroalimentacin. 5.1. Comit de Coordinacin de Control
Interno o instancia de coordinacin 5.2. Planes de Mejoramiento 5.3. Seguimiento
En mayo de 2004, el Instituto Colombiano de Normas Tcnicas y Certificacin ICONTEC-, organismo nacional de normalizacin, aprob la Norma Tcnica Colombiana NTC 5254:2004 - Gestin del Riesgo, a partir de una adopcin modificada de la No