Sección 2. Modelo de cálculo ¿Cómo se calcula el riesgo?
La utilidad de los Talleres de Auto Evaluación de Control.R = P x V [a]
Basados en la metodología de control propuesta por el “Comitee of Sponsoring Organizations of the Treadway Commission” (COSO), los talleres de auto evaluación de control (TAC) son constituyen un medio recomendable para realizar este tipo de estimaciones, como parte del proceso de evaluación del control interno de los procesos.
No es el propósito de este trabajo presentar la metodología de los TAC, puesto que se puede consultar en la literatura existente, pero es conveniente referirse a este modelo de control para poder enmarcar correctamente el método de consulta e investigación para estimar los valores que se requieren.
En el desarrollo de las siguientes secciones se hará uso de conceptos que se derivan de esta metodología de control, y se recomienda tener un contacto previo con la literatura existente al respecto.
Cálculo de la probabilidad de ocurrencia.
El término P de la ecuación [a] se puede determinar sobre la base de la incidencia histórica de observaciones en auditorías previas, y si no se dispone de éstas a partir de los registros de proceso, de datos proporcionados por los responsables de los sistemas, de los procesos y del personal relacionado con los mismos (incluyendo usuarios internos y externos), así como en la información obtenida en la realización de los TAC. Básicamente consiste en analizar las ocurrencias de eventos que han impedido, obstaculizado o entorpecido en cierta forma el desarrollo de los PA bajo análisis.
Para esto se recomienda revisar los resultados (expedientes, informes, tablas de resultados, etc) de 5 o más años anteriores a la fecha de revisión. Se hace especial énfasis para detectar, localizar y contabilizar aquellos sucesos que hayan ocasionado pérdidas económicas de cualquier monto, por pequeño que sea, con la única condición de que el evento haya sido documentado. Esta última condición debe ser tomada con mucha responsabilidad por parte del equipo de evaluación, para conferir a la estimación del riesgo el carácter formal y apegado a la realidad como debe de ser (esto implica no hacer caso a rumores, presiones o de información de dudosa procedencia). Se recomienda además mantener una copia simple de los documentos en los que se establezca la ocurrencia del evento. Una vez obtenida esta información, se procede de la siguiente manera:
a. Se hace una lista de los eventos y se registran en un cuadro como el que se presenta en el siguiente ejemplo, tomando especial cuidado en registrar únicamente el tipo de evento, la fecha en que se registró el evento, el monto comprometido en cada evento, y el número de repeticiones que ha tentenido en el lapso analizado; la columna de probabilidad se llenará posteriormente:
Núm. | Evento | Fecha | Monto | Repetición | Probabilidad |
1 | Ejercicio indebido del puesto | 05/1997 | $24,750.00 | 1 | |
2 | Falta de supervisión | 08/1998 | $125,000.00 | 1 | |
3 | Corrupción | 07/2000 | $91,352.25 | 1 | |
4 | Falta de apego a normatividad | 05/2001 | $34,876.00 | 1 | |
5 | Ejercicio indebido del puesto | 03/2001 | $65,050.00 | 2 | |
6 | Falta de apego a normatividad | 08/2001 | $13,890.00 | 2 | |
7 | Falta de apego a normatividad | 02/2002 | $45,530.00 | 3 | |
Es importante notar que para eventos iguales sólo debe haber un término de probabilidad de ocurrencia. Para el ejemplo anterior el cálculo se realizaría así:
(Ejercicio indebido del puesto) P1=P5=2/5 = 0.4 = 40%
(Falta de supervisión) P2=1/5 = 0.2 = 20%
(Corrupción) P3=1/5 = 0.2 = 20%
(Falta de apego a normatividad) P4=P6=P7=3/5= 0.6 = 60%
La magnitud del probable impactoc. Para eventos cuya ocurrencia no ha sido registrada, pero que deban considerarse a juicio del equipo revisor (y sobre la base de los resultados del TAC), se recomienda otorgar una probabilidad a priori de 0.1. d. Si para un lapso determinado, Fi es mayor que L entonces el valor de término Pi se fija en 1.00 (100%), pero no se descartan los montos individuales.
Tal como se describió en la sección anterior, el monto esperado de impacto M se estima mediante los datos recopilados y el número de repeticiones, tomando la suma de montos de pérdida o en riesgo en el lapso analizado dividida entre el lapso, o sea: Para el ejemplo presentado el monto Mi asociado con el evento i sería:
El término de Vulnerabilidad
(Ejercicio indebido del puesto) M1 = ($24,750.00+$60,050.00)/5 = $16,960.00
(Falta de supervisión) M2 = $125,000.00/5 = $25,000.00
(Corrupción) M3 = $9,1352.25/5 = $18,270.45
(Falta de apego a normatividad) M4 = ($34,876.00+$13,890.00+$14,530.00)/5 = $12,659.20
En los párrafos anteriores se hizo un cálculo del término P para el ejemplo ficticio, y para estos mismos ejemplos se hará un cálculo estimativo del término de vulnerabilidad para un caso típico. Es importante recordar que este término se estima mediante el sometimiento de los controles internos del PA a escenarios de peligro. En otras palabras, el equipo de revisión debe conocer bien los controles de los procesos bajo análisis y orientar los TAC para que los cuestionarios escritos y las consultas directas tiendan a probar la eficacia de dichos controles. Esto se realiza mediante el desglose de los diferentes aspectos de la vulnerabilidad, que como se dijo ya, son las diferentes facetas que los PA presentan cuando se someten a las amenazas y los peligros ya descritos. Con el propósito de analizar correctamente este término es necesario introducir el modelo de cálculo que se presenta en la literatura (8, 9, 18): Las ecuaciones anteriores representan el modelo de estimación numérica de la probabilidad de impacto en términos del monto probable de pérdida. Para obtener el término de vulnerabilidad V, se multiplica el monto de pérdida esperado M por el índice de vulnerabilidad Iv. Para obtener la estimación de este índice, es necesario evaluar cada factor de vulnerabilidad i para el peligro analizado (desde el 1 hasta el n, que en este caso puede ser hasta 9).
Una vez obtenidos, se multiplican y al producto se le extrae la raíz enésima (lo que equivale a obtener el promedio geométrico de estos factores). Se utiliza el promedio geométrico puesto que la distribución probabilística de un conjunto de números que pueden tomar valores continuos desde el cero hasta el uno no es normal, sino sesgada (5).
Un valor de fi cercano a cero indica que el sistema es poco vulnerable por esta causa, en este aspecto de la vulnerabilidad; en cambio un valor cercano a uno indica que el sistema es altamente vulnerable frente a dicho peligro, en este aspecto particular. En el extremo inferior, se encontraría un PA al que no aplica un cierto factor de vulnerabilidad; en este caso NO se considera este factor en la estimación, puesto que su valor sería cero (la menor vulnerabilidad posible).
En el extremo superior se encontraría un PA que carece de controles para enfrentar la amenaza, y el valor del factor sería 1.0. Para estimar los valores de los factores del índice de vulnerabilidad, es importante conocer la naturaleza de ellos, con el objeto de comprenderlos mejor y estimar su valor de manera más realista
Los factores de la vulnerabilidad. Factor Tecnológico (FT). Este factor establece la condición de dependencia de los PA con medios de información automatizados o manuales, y con métodos de proceso, respaldo y almacenamiento de información. Su impacto en la vulnerabilidad del sistema depende principalmente del grado de seguridad y confiabilidad que guardan estos sistemas frente a escenarios de peligro o frente a situaciones probadas. Un buen sistema tecnológico arrojará valores bajos (0.1 – 0.2). Un pobre y deficiente sistema de respaldo y proceso de datos arrojará valores altos (0.6 - 0.9). Si el sistema administrativo cuenta con apoyos redundantes (sistemas alternos en caso de falla de los principales), su valor puede situarse en 0.01 (uno entre cien), lo cual refleja el estado de apertura a la duda razonable respecto a su falla (equivalente a decir que es confiable en un 99%).
Factor Normativo (FN). Este factor establece la dependencia del PA con los reglamentos, normas, leyes, etc. Se evalúa mediante la consulta directa del conocimiento del marco normativo durante los TAC, y se corrobora mediante el análisis documental de las muestras de trámites y procesos documentados. Un PA con estricto apego a la norma-tividad, analizado frente a un peligro dado, tendrá un valor de 0.01, mientras que uno con poco apego a la norma vigente tendría un valor entre 0.85 y 1.00.
Factor Económico. Este factor, que en realidad son tres (FEsd, FEe y FEf), se refiere al peso económico de las decisiones y resultados del proceso relacionados con el estado salarial del personal con responsabilidades (FEsd), el factor de eficiencia del proceso (FEe) y el manejo de fondos y valores (FEf).
Para el caso del FEsd, el peso económico de las decisiones del proceso, no puede determinarse una regla absoluta, pero puede tomarse como una aproximación a grosso modo el considerar que un monto de decisiones mayor a 50 veces el salario más alto del personal involucrado lleva el valor del FEd por encima del 0.9 mientras que por debajo de 10 veces el mismo salario, el valor sería de 0.1 o menos, dejando a criterio del equipo evaluador el valor a fijar en cada caso.
Cuando los salarios del personal involucrado en el proceso se encuentra muy por debajo de su nivel de responsabilidad de decisión, el FEsd puede estar muy cercano a 1.00, para muchos de los peligros analizados, mientras que si los salarios están de acuerdo con la responsabilidad, el factor puede llegar hasta el valor de 0.01. Lo mismo aplicaría al FEf, tomando como base de comparación el monto máximo, promedio y mínimo por transacción del PA en relación con los salarios del personal.
Para el Factor FEe se puede considerar que un proceso con demasiados controles que atenten contra la economía y eficiencia del mismo será más vulnerable que uno con pocos pero eficientes controles. En este caso un buen indicador es el índice de eficiencia del proceso, es decir el total de tiempo de operación (o etapas que generan valor agregado) entre el tiempo total del proceso. El Factor FEe sería igual a la unidad menos el índice de eficiencia.
Como ejemplo, si el índice de eficiencia de un proceso es 0.2, el FEe sería 0.8, lo que significa que por cada peso que invierte la institución en este proceso, únicamente el 20% es utilizado en acciones que agregan valor y el 80% es vulnerable a ineficiencias, corrupción y otros peligros.
Factor Político (FP). Este factor engloba el peso de las políticas que rigen al PA. Aunque puede confundirse con el factor normativo, es necesario señalar la diferencia entre ambos. El factor político se relaciona directamente con el modo de hacer las cosas, con las directrices, políticas directivas y lineamientos en tanto que el normativo se basa en normas, reglamentos y leyes. El FP tiene que ver con las prioridades y tiempos de atención, con los privilegios y omisiones que los directivos en niveles jerárquicos superiores permiten, favorecen o impiden. El juicio del equipo revisor será de gran valor para estimar este factor, y una guía puede ser el otorgar valores altos (0.8 – 1.0) si las políticas favorecen actitudes de no transparencia, de falta de responsabilidad o falta de motivación en el personal. Un valor bajo de este factor (0.01 – 0.1) podría asignarse si las políticas impuestas al PA estimulan la honestidad y honradez de los participantes, el apego a la normatividad y el reconocimiento del desempeño eficaz y eficiente. Factor Ideológico y Cultural (FIC). Este factor está englobado en los códigos de conducta y ética que privan en el personal directivo y operativo involucrado en el PA bajo revisión. EL valor de este factor está determinado por el resultado de entrevistas sobre los controles informales, códigos éticos y de comportamiento de la organización. Valores altos del FIC reflejarían una pobre estructura de comportamiento o un deficiente apego a los códigos éticos establecidos. Un valor bajo estaría reflejando una fuerte respuesta ética y moral frente al peligro analizado.
Factor Educativo (FE). Aquí se refleja el nivel de desarrollo de habilidades esenciales, necesarias y suficientes para el desempeño óptimo del personal en sus responsabilidades dentro del PA. Se infiere a través de la información sobre el nivel académico y de capacitación del personal y de la capacidad para el desarrollo de habilidades específicas para el control del PA. Una deficiente capacitación del personal, o un muy bajo nivel de escolaridad en relación con el nivel de responsabilidad otorga valores altos para el FE (0.7 – 1.0). Un esquema dinámico de capacitación y un buen nivel de escolaridad arro-jan valores bajos de este factor (0.01 – 0.05).
Factor Institucional (FI). En este factor se agrupan los antecedentes de vulnerabilidad de la organización en su conjunto. Se estima mediante el análisis histórico del comportamiento de la institución. Puede tomarse como un valor único para todos los peligros, pues el antecedente de vulnerabilidad en una amenaza suele influir en otros ámbitos de manera negativa si no hubo medidas correctivas (si las medidas correctivas tuvieron éxito entonces la influencia puede ser positiva). Así que antecedentes negativos (dependiendo de su magnitud) arrojarán valores altos del FI (0.7 – 1.0)
Ejemplo de aplicación Usando los datos ficticios del cálculo de la probabilidad de ocurrencia, se presenta el siguiente ejemplo de cálculo del término V y finalmente del valor del riesgo para cada amenaza identificada. Los valores son ficticios y se han seguido las anteriores guías para su estimación.
PA: | Evento (amenaza): | Probabilidad de ocurrencia P: | Pérdida probable M: |
Proceso de Cobranzas | Ejercicio indebido del puesto | 0.4/año (40% eventos en un año) | $16,960.00 |
Valor de los factores de vulnerabilidad:
Factor | Valor | Factor | Valor |
FT | 0.1 | FP | 0.3 |
FN | 0.1 | FIC | 0.6 |
FEsd | 0.7 | FE | 0.8 |
FEe | 0.1 | FI | 0.9 |
FEf | 0.5 | | |
Producto | 0.00004536 | ||
Raiz Novena | 0.3292 |
Es importante hacer notar que en este ejemplo la estimación final del valor de riesgo se obtuvo en unidades monetarias por año, lo que se interpreta como la probable pérdida en un año por causa de ejercicio indebido del puesto en el proceso analizado, o bien como el costo probable del riesgo por esta causa.
Valor del índice de Vulnerabilidad Iv: 0.3292 (32.92%) por cada evento
Valor del término V : M x Iv = $16,960.00 x 0.3292 = $5,582.60 por cada evento
Valor del riesgo para esta amenaza: P x V = $2,233.00/año
Otra manera de presentar la estimación del riesgo es decir que la probabilidad de pérdida en un año, de hasta $17,000.00 por causa del ejercicio indebido del puesto, es de 13.17%. Nótese que en esta última forma se ha redondeado el monto de la probable pérdida a los miles de pesos. Esta última forma se deriva de separar por un lado el término M y por otro el producto de P por Iv, o sea:
¿Qué se concluye de la exposición de este modelo?. El solo hecho de tener la información de los valores de los riesgos en un PA constituye una herramienta poderosa para la toma de decisiones, para la comparación de los valores de riesgo y, como se verá más adelante, para comparar el costo de las acciones para reducir el riesgo. Se debe hacer hincapié en que el propósito general es tratar de reducir los valores riesgos una vez que son conocidos y analizados con la profundidad que este método implica.
Pérdida probable M: $16,960.00 ($17,000.00 redondeado)
Riesgo asociado Ra: P x Iv = 0.4 x 0.3292 = 0.1317 (13.17%) en un año.
En el proceso de evaluación de los controles internos, posterior a la estimación de los riesgos de los sistemas bajo análisis, se debe concluir con una serie de sugerencias y propuestas tendientes a reducir el valor del riesgo. Estas sugerencias reciben el nombre de Acciones de Mejora, que además de tener el propósito de minimizar los riesgos detectados, también tienen el objetivo de hacer más eficiente el desarrollo del proceso mismo.