Sección 1. ¿Cómo se analizan los riesgos?
La evaluación de los riesgos en cualquier sistema presupone un enfoque netamente preventivo,
pues de éste dependen las acciones que se tomarán para prevenir los
peligros. Si se determina que un riesgo es demasiado grande, será
necesario aplicar más y/o mejores controles para mitigarlo.
También
es conveniente medirlos para determinar cuáles serán los prioritarios
en su atención. En pocas palabras, conocer los valores numéricos de los
riesgos en un proceso administrativo equivale a tener una herramienta
poderosa para la toma de decisiones de prevención.
Una condición
previa a la evaluación de los riesgos es el establecimiento de
objetivos en cada nivel de la organización o sistema que sean
coherentes entre sí. La evaluación del riesgo consiste en la
identificación y análisis de los factores que podrían afectar la
consecución de los objetivos y, con base a dicho análisis, determinar
la forma en que los riesgos deben ser administrados y controlados,
debido a que las condiciones económicas, industriales, normativas
continuarán cambiando, es necesario disponer de mecanismos para identificar y afrontar los riesgos asociados con el cambio (12).
Por estas razones, el modelo de estimación de valores del riesgo en PA se basa en los modelos matemáticos
que se utilizan para evaluar otros riesgos (físicos, financieros,
etc.). A continuación se presenta el modelo básico de estimación
preventiva:
Modelo Básico
Adoptando
la forma que normalmente se utiliza en las disciplinas antes
mencionadas, el cálculo del riesgo se realiza utilizando el siguiente
modelo básico (8).
R = P x V [a]
Donde:
R es el riesgo en términos de impacto o pérdidas probables en un año por causa de un peligro.
P es la probabilidad de ocurrencia de un peligro o amenaza en un año.
V es la vulnerabilidad del proceso administrativo, vista como la probabilidad de impacto en términos del monto probable de pérdida por año.
En este modelo, de enfoque netamente preventivo, se considera que puede haber una distribución de la probabilidad de que el evento peligroso se presente en el lapso de un año, sin embargo la determinación exacta de esa distribución es un problema complejo debido, entre otras causas, a que no existen datos estadísticos que permitan su solución, pero se puede llegar a aproximaciones de bastante utilidad para la toma de decisiones.
Análisis de los peligros.
Para
abordar el proceso de análisis y evaluación de los peligros, se debe
hacer una selección inicial de aquellos peligros que son aplicables al
sistema bajo revisión, descartando aquellos que no lo son (13).
Los peligros siempre están presentes
Tomemos
por ejemplo un peligro típico en un proceso administrativo de
adquisiciones; se constituye en peligro el hecho de que un producto
perecedero se adquiera con una caducidad muy próxima o vencida. Sin
embargo este peligro puede descartarse fácilmente en el análisis de un
proceso de obra pública o de manejo de finanzas. Lo mismo sucede con un
proceso de ingresos, en el que un peligro típico es el de la
existencia de embarques no autorizados, el cual no es aplicable al
proceso de contratación de personal.
Por esta razón, es
importante contar con un catálogo de peligros administrativos y
someterlo constantemente al análisis de su validez y aplicabilidad.
Algunos
de los peligros que deberán considerarse estarán estrechamente ligados
a lo que se conoce como controles formales y otros a los controles
informales. Es decir, algunos peligros incidirán directamente en
aquellas etapas del proceso administrativo que por su naturaleza se
deben tener perfectamente documentadas (documentos que pueden ser
controlados mediante controles formales, debido a su indispensable
existencia en la realidad), y otros peligros incidirán sobre etapas que
tienen que ver con la integridad y los valores éticos de las
instituciones y de las personas, cuya existencia se vislumbra
preferentemente a través de acciones y no de documentos (valores a los
que, por su naturaleza, se les aplican controles informales) (14).
Aunque
en la literatura se pueden encontrar enunciados los riesgos típicos
para cada proceso (o ciclo como algunos autores le llaman), siempre es
importante considerar todos los posibles peligros en cada evaluación y
descartar aquellos que en verdad no son aplicables.
Esta
práctica se recomienda para mantener siempre una actitud de apertura de
criterio y de escepticismo, que favorezca la objetividad en el
análisis. Al final de esta sección se puede encontrar una tabla con los
peligros más representativos que amenazan a los PA.
Si bien la
determinación de la distribución de probabilidades de los peligros
(como se dijo al inicio de esta sección) constituye un problema
complejo, se pueden realizar aproximaciones realistas sobre la base de
consultas directas con los responsables y operativos del proceso, así
como de la documentación histórica del proceso analizado.
Análisis del impacto.
Una
vez identificados los peligros que podrían presentarse en el proceso
bajo análisis, es de suma importancia establecer el impacto asociado
con la existencia de éstos. De acuerdo con la literatura (15, 16), los impactos
asociados a los riesgos deberían cuantificarse siempre en unidades
monetarias, para uniformar los criterios durante la toma de decisiones.
Cuantificar los impactos en unudades monetarias
En ocasiones no
todos los impactos pueden ser cuantificados en estas unidades. Tomemos como
ejemplo la afectación a imagen de una institución como resultado de la
materialización de un peligro como corrupción o ineficiencia. Este
impacto quizá no pueda ser cuantificado en términos monetarios, pero
debe considerarse dentro de la evaluación y otorgársele al menos un
valor arbitrario que refleje el posible deterioro de la organización en
este aspecto.
Sin embargo, coincidiendo con la literatura, en la
mayor parte de los casos será deseable cuantificar los impactos en
unidades monetarias, puesto que en estos términos todos los riesgos
pueden compararse en un solo ambiente y las escalas de comparación
pueden elaborarse en función del tamaño de la organización. De manera
general puede decirse que los peligros que causan impactos económicos
en los PA son los más comunes y frecuentes.
El
procedimiento de establecimiento de unidades de impacto, se basa en el
análisis del proceso bajo estudio y en la determinación de los montos
de pérdida por algún peligro y el número de repeticiones al año que
pudiese tener.
El
tamaño de la pérdida para peligros aun no materializados deberá fijarse
de acuerdo con la opinión calificada de los especialistas del proceso
bajo análisis, quienes podrán cuantificarlo con más objetividad. Por
ejemplo, si la pérdida máxima por un evento como indebida cancelación
de cuenta de un cliente deudor se establece en, digamos, tres mil pesos
con una repetición de cuatro durante un período analizado de dos años,
entonces el impacto por este peligro puede estimarse como sigue:
Monto esperado = suma de montos en el período, entre el número de años
= ($3,000.00 + $3,000.00 + $3,000.00 + $3,000.00)/2
= $12,000.00/2
= $6,000.00
Otro
aspecto importante en la determinación del tamaño del probable impacto
es cuando el peligro amenaza con la cancelación de metas u objetivos
globales. En este caso el tamaño del impacto debe evaluarse sin
intervalos, en un solo valor que representaría el costo de tener
canceladas las metas, objetivos, proyectos, líneas, cuentas, etc.
Una
vez establecido los impactos para cada peligro, se debe someter al
proceso administrativo a un escenario en el que ese peligro se
materializa, con el objeto de conocer su índice de vulnerabilidad.
A
continuación se presenta, a guisa de ejemplo, una tabla de peligros
representativos que agrupa las principales amenazas que afectan a los
PA. Muchos de estos peligros subyacen detrás de ciertas acciones que en
ocasiones aparecen como inofensivas, tradicionales y hasta de buena fe
(aparentemente), que en cada proceso administrativo pudiesen
presentarse.
En el análisis de peligros puede citarse la acción
(por ejemplo, la emisión de facturas falsas) en términos de estructura
de escenario de peligro y dejar documentado en los papeles de trabajo
el verdadero peligro detrás de esta acción (por ejemplo, abuso de
autoridad).
Análisis de la Vulnerabilidad
Este aspecto del riesgo es quizá el más importante, pues depende totalmente
del estado de los controles internos que los procesos incorporan para
lograr sus objetivos. Por esta razón, la vulnerabilidad debe
determinarse sobre la base del análisis de la efectividad tanto de los
controles formales como de los controles informales para evitar o
mitigar los peligros.
El término de vulnerabilidad se puede
evaluar considerando que ante el peligro considerado los sistemas
reaccionarán en más de un aspecto. Es decir que ante la amenaza, puede
haber más de una respuesta que evaluar. Consideremos, entonces, que
para evaluar la vulnerabilidad los peligros siempre estarán presentes,
es decir que de inicio se tendrá una probabilidad de 100% de que los
peligros analizados se presenten.
Para simplificar esta
evaluación se ha propuesto en la literatura que la vulnerabilidad se
analice mediante la desagregación en 7 aspectos que cubren una buena
gama de posibles respuestas. Si bien esta desagregación puede tener
como consecuencia una complejidad aparente, en realidad es necesaria en
casos de difícil manejo para conservar la objetividad en el análisis.
La metodología para considerar los diferentes factores que intervienen en el análisis de vulnerabilidad, citada por varios autores (8, 9, 17, 18), propone clasificar a éstos de acuerdo con su posible influencia en la vulnerabilidad total y de acuerdo con su origen, para evaluar cada uno de ellos de manera independiente.
Para el presente modelo de análisis de riesgos se presentan siete factores reunidos en dos grupos. Más adelante se verá que uno de los factores en realidad engloba a tres, por lo que el número total es de nueve. Usado la metodología que se presentará en la siguiente sección se estimará un valor numérico a cada uno de estos factores, valor que estará entre cero y uno.
|
Índice |
Factor |
A. Factores físico técnicos |
1 |
Tecnológico |
|
2 |
Normativo |
|
3 |
Económico |
|
4 |
Político |
|
5 |
Ideológico |
|
6 |
Educativo |
|
7 |
Institucional |
En estricto apego a la metodología, ningún factor podrá ser igual a cero; por esta razón, en el proceso de estimación del término de vulnerabilidad sólo se consideran aquellos factores que son diferentes de cero. Una vez completado el proceso de valoración de cada factor, se combinarán mediante el cálculo de su promedio geométrico para obtener un valor único que representa el estado de vulnerabilidad de los controles.
En otras palabras, el índice de vulnerabilidad es un promedio de un máximo de nueve factores que interactúan entre ellos, que no son independientes y en el que el valor de un factor afectará el valor del índice en la medida de su magnitud.
Por lo tanto, si los factores tienen un valor entre cero y uno, la vulnerabilidad tendrá también un valor entre casi cero y uno, representando con este valor la probabilidad de que el sistema sea afectado por el peligro analizado (el índice de vulnerabilidad tendrá un valor cercano a uno si los controles del sistema son prácticamente inútiles frente al peligro, y tendrá un valor cercano a cero si los controles son altamente efectivos para impedir el impacto negativo frente a este mismo peligro).
Los factores físico técnicos agrupan aquellos que dependen de aspectos no humanos, es decir, el soporte técnico que facilita la operación del proceso y el marco normativo que incluye el ambiente legal, de reglamentación y protocolario en el que se desenvuelve el proceso. Los factores sociales se enfocan más hacia aspectos que se encuentran en el personal que tiene la responsabilidad de efectuar ciertas operaciones dentro del éste o en el ambiente general en el que se desarrollan las actividades, y agrupan aspectos de la plantilla de personal y de la organización en su conjunto. En la siguiente sección se hará una descripción más detallada de cada uno de estos factores.
Ejemplo de catálogo de peligros.
Número |
Peligro |
Descripción |
1 |
Corrupción |
Se considera como uno de
los peligros base del diseño de los controles internos de los PA. Cultural e
históricamente ha sido el enemigo a vencer. El impacto que causa es tanto al
patrimonio de la organización como a la imagen de ésta ante clientes y
proveedores. |
2 |
Ejercicio indebido del puesto |
Fácilmente identificable
a través de las tradicionales actitudes de prepotencia y cerrazón de los
mandos medios y superiores. El impacto se traduce en términos económicos y en
baja eficiencia de la organización. |
3 |
Falta de supervisión |
Se traduce en constantes
fallas y errores, que retrasan los procesos y que generan pérdidas de
eficiencia y elevación de costos de operación |
4 |
Equipos de soporte en mal estado |
La dependencia en los
sistemas tecnológicos hace necesario considerar este peligro pues el impacto
que puede causar puede ser cuantioso en función del grado de dependencia. |
5 |
Conocimiento inadecuado |
La falta de conocimiento
que el personal puede tener sobre el trabajo que realiza, así como del marco
normativo vigente, constituye un peligro en la medida en que los PA se
modernicen, como es la tendencia en la actualidad. |
6 |
Procesos con diseño inadecuado |
Un diseño inadecuado en
los procesos, con deficientes controles o etapas, eventualmente causará impactos
negativos. |
7 |
Falta de apego a la normatividad |
Un proceso puede estar
bien diseñado, pero la falta de apego a la normatividad causará problemas y pérdidas
a la organización. |
8 |
Falta de continuidad |
Algunos procesos abarcan
más de un departamento o sección jerárquica en una organización. Cuando el
proceso no puede continuar por falta de conexiones adecuadas entre las
secciones el objetivo del mismo se ve obstaculizado, al grado que puede haber
una pérdida total de continuidad. |
9 |
Falta de motivación |
Las personas encargadas
de realizar las diferentes etapas de los procesos deben estar motivadas para
realizarlos. Una falta de motivación lleva a un estancamiento en la
eficiencia y eficacia de sus operaciones. |
Conclusión: El proceso de análisis de riesgos para prevención de peligros y sus impactos en los procesos administrativos se realiza de la siguiente forma:
- Considerando el peligro que puede materializarse,
- Considerando el impacto que puede causar y ,
- Considerando el índice de vulnerabilidad del proceso frente al peligro.
Sigue la sección 2,
Comentarios
Puedes seguir esta conversación suscribiéndote a la fuente de comentarios de esta entrada.