SciELO - Scientific Electronic Library Online
 
vol.41 número1esProcedimiento de análisis redes sociales: herramienta de auditoría de gestión del conocimiento índice de autoresíndice de materiabúsqueda de artículos 		Home Pagelista alfabética de revistas  

Servicios Personalizados

Articulo

Indicadores

  • No hay articulos citadosCitado por SciELO

Links relacionados

  • No hay articulos similaresSimilares en SciELO

Compartir

Ingeniería Industrial

versión On-line ISSN 1815-5936

Ing. Ind. vol.41 no.1 La Habana ene.-abr. 2020  Epub 01-Ene-2020

 

ARTÍCULO ORIGINAL

Procedimiento de gestión de riesgos como apoyo a la toma de decisiones

Risk management procedure as a support to decisions making

0000-0003-4175-2842Margarita Guerrero-AguiarI  , 0000-0002-6019-4551Alberto Medina-LeónII  , 0000-0002-0198-852XDianelys Nogueira-RiveraII 

IAudita S.A. Corporación Cimex. Cienfuegos. Cuba. Correo electrónico: margag@cimex.com.cu

IIUniversidad de Matanzas. Matanzas, Cuba. Correo electrónico: alberto.medina@umcc.cu, dianelys.nogueira@umcc.cu

RESUMEN

La gestión de riesgos ocupa un rol importante a nivel organizacional; su administración contribuye a: el enfoque de procesos, el mejor uso de recursos, la minimización de los costos, y evidencia una cultura enfocada al establecimiento del control interno. En este trabajo, se diseñó un procedimiento de gestión de riesgos sustentado en la revisión de la literatura precedente y la aplicación del análisis clúster para determinar las etapas y variables más comunes utilizadas por las propuestas precedentes, enriquecida con la experiencia práctica y los criterios de especialistas. Como resultado se propuso un procedimiento de gestión de riesgos, articulado al marco legal, soportado en una herramienta informática que promueve su administración efectiva y ofrece información relevante para la toma de decisiones; así como, un cuestionario para evaluar el nivel de gestión de riesgos de la entidad. Se determinó con el Método de Iadov el grado de utilidad y usabilidad por los usuarios actuales aplicando.

Palabras-clave: riesgo empresarial; gestión de riesgos; procedimiento de gestión de riesgos

ABSTRACT

Risk management plays an essential at the organizational level; its integrated management contributes to the process approach, to the best use of resources, minimizes costs, and it evidences a culture focused on the establishment of internal control. The paper depicts a risk management procedure builton the literature review and the application of cluster analysis to determine the stages and variables commonly used in precedent works, all that enriched with practical experience and approaches of specialists. It was obtained a risk management procedure, articulated to the legal framework, supported in a computer tool that promotes effective management and offers relevant information for decision making, as well as a questionnaire to evaluate the amount of risk management applied at the company. The usefulness and usability degree for users was measured using Iadov’s Method.

Key words: enterprise risk; risk management; risk management procedure

I. INTRODUCCIÓN

La gestión del riesgo es una temática actual, considerada una nueva forma de organización, aunque de igual manera, se reconocen las dificultades para su implementación y seguimiento [1]. Bericiarto et al. (2017) la sitúa como un elemento importante a tener en cuenta en el desarrollo de la actividad empresarial, precisamente, en el centro de preocupación de la administración [2]. Su abordaje es realizado por diversos especialistas desde miradas distintas, por lo general en: el riesgo financiero, los riesgos laborales, la prevención de riesgos en el manejo de los alimentos y la atención a los riesgos asociados al cumplimiento de la estrategia organizacional [3, 4, 5, 6]. Esta última cobra fuerza en la actualidad.

En el orden teórico, el riesgo es entendido como la posibilidad de ocurrencia de una situación no deseada, efecto de incertidumbre que existe acerca del cumplimiento de los objetivos [7]. Como la probabilidad de que la empresa no pueda enfrentar alguna situación inherente a su actividad [, capaz de producir desviaciones positivas o negativas, generalmente, en detrimento del desempeño organizacional y constituyen obstáculos para el logro de los objetivos [8,9]. Sin embargo, el gestionar los riesgos correctamente puede ocasionar un efecto positivo, una fuente de oportunidades que propicia la mejora de los procesos empresariales o de los seres humanos [10].

Asimismo, gestionar los riesgos, con orientación a procesos, contribuye a una mejor identificación y tratamiento de éstos, a tener mayor precisión de las actividades a realizar y a la consecución de los objetivos.

Los riesgos están presentes en cualquier tipo de actividad por simple que sea. A tal efecto, se deben establecer mecanismos de control para su correcta administración. En referencia, la gestión de riesgos se incorpora, como una buena práctica, en la planeación estratégica y es parte de una de las etapas del ciclo de planificación [11,12]. Se plantea que, una de las fuentes de fracaso de la planificación estratégica que puede estar relacionada con el mal manejo de los riesgos identificados [13].

La gestión de riesgos es el conjunto de elementos de control que permiten encausar los objetivos institucionales al identificar oportunidades para un mejor cumplimiento de su función, o aumentar la confianza y satisfacción de las partes interesadas [14,15]. Puede considerarse como la aplicación de estrategias y políticas a seguir para disminuir las consecuencias adversas que puedan provocar los riesgos, lo que permite agregar valor a los bienes, productos o servicios.

De igual forma, la gestión de riesgos es uno de los elementos más renovadores a considerar en el direccionamiento estratégico y el fortalecimiento del control interno, donde el hombre, como activo más importante, se ocupa de su identificación, tratamiento, revisión y monitoreo permanente [16]. A nivel internacional se trabaja para apoyar su implementación desde diferentes normas, tales como: la UNE ISO 31000, el estándar Australiano y el COSO [17]. Así también, la efectividad de la gestión depende de la precisa identificación de los riesgos y factores asociados, lo que permite tomar acciones para prevenir eventos o mitigar su efecto [18].

Por otra parte, la resolución no. 60 del 2011, es la normativa que rige el control interno en Cuba, en su segundo componente incorpora la gestión y prevención para propiciar una cultura de riesgo organizacional [17,23]. Utilizada para la identificación y tratamiento de los riesgos desde el plan de prevención. En consonancia, para complementar el proceso de implementación de la gestión del riesgo, la Oficina Nacional de Normalización adopta1 la NC ISO 31000:2018, como norma que establece los principios a satisfacer por la organización para realizar la gestión del riesgo de forma eficaz [19].

La necesidad de esta investigación se sustenta en que la empresa consultora y auditora Audita S.A., no cuenta con un procedimiento para desarrollar la gestión de riesgos de manera homogénea entre sus consultores, en las distintas empresas que demandan este tipo de servicio consultivo.

La problemática de la investigación se centra en la necesidad de contar con una herramienta que sirva de guía a la organización para encausar la gestión de riesgos de forma ordenada, articulada con la legislación vigente y que viabilice su implementación. A la vez que permita, a la casa consultora, ganar en flexibilidad por la capacidad de intercambiar consultores y aprovechar las buenas prácticas, herramientas y técnicas surgidas del aprendizaje continuo durante la aplicación.

Como objetivo se plantea el diseño de un procedimiento para la gestión de riesgo que se apoye en los requerimientos legales vigentes, promueva la cultura y comprensión del riesgo, soportado en una herramienta informática para su implementación. Así como, la elaboración de un instrumento para medir el nivel de gestión de riesgos que alcanza la entidad cliente, luego de implementar el procedimiento.

II. MÉTODOS

El desarrollo de esta investigación se realiza acorde a las actividades y métodos siguientes:

  1. Estudio del marco legal cubano y determinación de sus exigencias

  2. Análisis y síntesis de procedimientos recogidos en la literatura

  3. Trabajo grupal y análisis crítico de los especialistas de Audita S.A.

  4. Propuesta del procedimiento de gestión de riesgos

  5. Utilización de una herramienta informática para implementar la gestión de riesgos

  6. Diseño de un instrumento para medir el nivel de gestión de riesgos.

Estos pasos requieren del trabajo con expertos y como consecuencia la comprobación de su experticia, la determinación del tamaño de la muestra y la validación de los instrumentos propuestos.

Desarrollo de los pasos

1) Estudio del marco legal cubano y determinación de sus exigencias en lo referido a la gestión de riesgos empresariales

El procedimiento para desarrollar la gestión de riesgos, desde la identificación hasta la implementación, parte del estudio de las exigencias de la resolución no. 60 y de la NC ISO 31000:2018, como principales elementos regulatorios de esta actividad en Cuba. La tabla 1 relaciona a las dos normativas en cuanto a sus exigencias y relación entre ellas.

Tabla 1 Exigencias del marco legal cubano 

Resolución no. 60 del 2011 NC ISO 31000:2018
Identificación y análisis de los riesgos Comunicación y consulta
Clasificación en internos y externos, por procesos, actividades y operaciones
Evaluar principales vulnerabilidades Establecimiento del contexto:
Determinar los objetivos de control
Determinar causas, consecuencias y posibles manifestaciones negativas Apreciación del riesgo
Determinar las medidas de control necesarias, con responsable, ejecutante y fecha de cumplimiento Tratamiento del riesgo
Conformar el Plan de Prevención de Riesgos Seguimiento y revisión
Realizar autocontrol

De igual forma, se analizan otras normativas que tienen como elemento común el enfoque basado en el riesgo, como son:

  • NC ISO 9001, riesgos asociados a la calidad de los productos y servicios;

  • NC ISO 14001, riesgos ambientales

  • NC ISO 45001, riesgos de seguridad y salud del trabajo

  • NC ISO 22001, riesgo relacionado con la inocuidad de los alimentos

  • NC ISO 27001, riesgos de seguridad de la información, a fin de lograr un alineamiento en el manejo de los riesgos con enfoque integral, en dependencia de la complejidad de los procesos.

Una vez realizado el estudio de las normativas regulatorias por los consultores de la organización, un equipo de trabajo procede a listar el conjunto de elementos a considerar, en cualquier procedimiento de gestión de riesgos o instrumento que se utilice para evaluar el estado de la organización en esta práctica. La propuesta, se somete al análisis del grupo, dónde se fertiliza y se aprueba.

2) Análisis y síntesis de procedimientos de riesgos recogidos en la literatura

Se realiza un estudio a 46 procedimientos que abordan la gestión de riesgos, con el objetivo de determinar los pasos y variables más comunes para contrastarlos con los exigidos en la legislación cubana. En la tabla 2 se observa la ejemplificación del tratamiento dado a los procedimientos y muestra algunos de los estudiados.

Tabla 2 Muestra de algunos de los procedimientos estudiados y las etapas o pasos que desarrollan 

Propuesta consultada Etapas / pasos
Bolaño Rodríguez, (2014) [9]. Concientización y estudio de los riesgos
Análisis y decisiones en torno a la integración de riesgos
Diseño del plan de tratamiento de riesgos
Implementación y control del plan de tratamiento de riesgos
Toro Díaz & Palomo Zurdo, (2014) [3]. Identificación y selección de riesgos
Evaluación y medición de riesgos
Establecimiento de límites de aceptación
Selección e implementación de métodos de administración de riesgos
Monitoreo y control
Galarza López &Almuiñas Rivero, (2015) [13]. Análisis del contexto y determinación de las amenazas
Identificación de riesgos y vulnerabilidades
Análisis y evaluación de riesgos
Tratamiento de los riesgos
Monitoreo y evaluación
Velásquez-Restrepo, Velásquez-Restrepo, Velásquez-Lopera, & Villa-Galeano, (2017) [20]. Establecer el contexto
Identificación del riesgo
Evaluación de los riesgos
Tratamiento de los riesgos

Se identificaron, mediante el análisis clúster que se muestra en la figura 1, ocho variables comunes presentes en los procedimientos estudiados: (A) la gestión de riesgos por procesos, en 43 procedimientos; (B) vinculación con la estrategia, en 41; (C) base para la toma de decisiones, 40; (D) concibe la mejora continua, 39; (E) presenta procedimiento o metodología, 42; (F) involucra a todas las personas, 44; (G) comunica información a las partes interesadas, 38 y (H) proceso dirigido por la dirección, 41. Al realizar el corte en nueve se forman tres grupos, sin embargo, todas las variables son representativas, dada su alta presencia en los distintos procedimientos.

Fig. 1 Dendograma obtenido para las variables 

De igual forma, en la figura 2 se muestra el análisis de las etapas de los procedimientos estudiados y el dendograma para su agrupación, realizado mediante el análisis clúster. Se observa que a una distancia de siete se forman dos grupos. En el grupo I se concentran 26 etapas de las 34 definidas, agrupa a 21 procedimientos y representa el 76 %, no obstante, las etapas tienen escasa presencia, son abordadas por uno y hasta cuatro autores como máximo, por lo que este grupo se considera insignificante. El grupo II es el más significativo. A pesar de contener solo ocho etapas (24 %), son manejadas por los 43 autores, para un 100 % de presencia. Dichas etapas son las siguientes: comunicar y consultar; actividades de control; identificar riesgos; analizar riesgos; tratar riesgos, monitorear y revisar; establecer el contexto; evaluar riesgos. Todos estos aspectos son valorados en el diseño del procedimiento.

Fig. 2 Dendograma obtenido para las etapas 

3) Trabajo grupal y análisis crítico de los especialistas de Audita S. A

En sesión de trabajo con el equipo de consultores de Audita S.A con experiencia en esta actividad, se exponen los resultados alcanzados hasta el momento (marco legal e invariantes de los procedimientos anteriores). Con la aplicación de una tormenta de ideas se procede a determinar otras exigencias que debía tener el procedimiento a diseñar para facilitar la implementación de riesgos en las entidades. Como consecuencia se obtiene:

  • Realizar encuestas de comunicación y consulta a partes interesadas

  • Elaborar el diagnóstico de la organización desde la etapa de establecimiento del contexto interno y externo

  • Establecer posibles escenarios de participación del cliente interno y externo para Identificar, evaluar y tratar riesgos; diseñar propuestas de rangos de probabilidad y consecuencia para las escalas cualitativas y cuantitativas

  • Diseñar propuestas de niveles de tolerancia, a fin de determinar la importancia relativa de los riesgos

  • incorporar al proceso una herramienta informática para viabilizar la gestión de riesgos y elaborar cuestionario que permita comparar la situación de la organización antes y después de haber aplicado el procedimiento.

4) Propuesta del procedimiento de gestión de riesgos

A tal efecto, a partir de las experiencias anteriores (análisis clúster), enriquecido por la experiencia de los consultores de la organización (trabajo grupal, consulta a especialistas), se propone un procedimiento para la gestión de riesgos. Dicho procedimiento consta de tres fases, a saber: contexto interno y externo; apreciación del riesgo y actividades de control y monitoreo, que integra de una manera armónica, las exigencias de las normas que conforman el marco legal cubano en materia de riesgos. La propuesta posee como características:

  • el enfoque por procesos

  • la toma de acciones para minimizar los efectos e impactos de los riesgos

  • las experiencias y buenas prácticas del trabajo de los consultores de Audita S. A.

  • la mejora continua y el fomento de la innovación con la incorporación de nuevas contribuciones.

Antes de su implementación definitiva se procede a realizar una evaluación del nivel satisfacción de los expertos con la propuesta realizada. A tal efecto se selecciona el Método de Iadov como herramienta capaz de evaluar el grado de utilidad y usabilidad por los usuarios actuales y potenciales.

Con este propósito, se determina su comprobación por parte de los consultores encargados de la aplicación (15). Se procede a determinar un tamaño de muestra para un nivel de confianza 95 %, valor de la variable normal estándar (Z) de 1,96, error muestral (e) es de 10 % (0,1). La probabilidad de éxito (P) es de 50 % (0,50), probabilidad de fracaso (Q) de 50 % (0,50), por tanto, el número de expertos es igual a 12.

La comprobación de la experticia de los expertos se realiza mediante el coeficiente de competencia (Kcomp) [21], acorde a sus niveles de competencia (años de experiencia, conocimientos del tema, capacidad de análisis, profesionalidad y creatividad) calculado en base al coeficiente de conocimientos (Kc) y el coeficiente de argumentación (Ka).

El método de Iadov propone intercalar, dentro de una encuesta, tres preguntas específicas, cerradas y que el encuestado no conoce cuales son. Sirven de base para determinar el índice de satisfacción grupal (ISG).

Como resultado de la aplicación del método, once de los encuestados reflejaron tener una clara satisfacción por el procedimiento, y uno estar más satisfecho que insatisfecho. El ISG resultó 0,958, lo que refleja satisfacción por parte de los encuestados y se interpreta como una valoración positiva acerca de la utilidad y usabilidad.

5) Utilización de una herramienta informática para implementar la gestión de riesgos

Para viabilizar la gestión, todas las etapas se despliegan con la asistencia de la herramienta informática XGER, en su versión 1.8. Se trata de una aplicación web, basada en Yii con SQL server 2008, es cliente servidor, multiplataforma y multiusuario, de fácil utilización, que simplifica la gestión de los riesgos y consecuentemente la toma de decisiones. Se sustenta en el análisis de la información y corre en los navegadores Web Opera, Google Chrome y Mozilla Firefox.

Entre los reportes que emite la herramienta se encuentran los siguientes:

  • plan de prevención de riesgos; resumen cuantitativo de los riesgos por el nivel de tolerancia resumen cualitativo de los riesgos por el nivel de tolerancia

  • listado de riesgos por procesos; resumen estadístico de riesgos

  • matrices de riesgos más relevantes; listado de riesgos por tipos

  • listado de objetivos por procesos; medidas pendientes de supervisar

  • resumen de supervisiones por procesos; detalles de las supervisiones por período y resumen de riesgos por entidades.

6) Diseño de un instrumento para medir el nivel de gestión de riesgos

Como complemento, para viabilizar y fortalecer la gestión de riesgos empresariales, se elabora una primera versión de un cuestionario, manifiesto en una encuesta que resume el proceso de análisis y síntesis ejecutado en el estudio del marco legal asociado a la gestión de riesgos. A partir de los resultados alcanzados en el trabajo grupal respecto a los principios que establece la NC ISO 31000:2018 y las exigencias de la resolución no. 60, a fin de determinar el nivel de madurez de la gestión del riesgo que alcanza la entidad. Para su interpretación se utilizan cinco niveles: (1) muy bajo, (2) bajo, (3) medianamente de alto, (4) alto, (5) muy alto, consta de 19 aseveraciones, distribuidas en los ocho principios de la norma. El cuestionario se circula a los especialistas de la empresa consultora para su análisis y surge como propuesta considerar la identificación de los riesgos tanto por procesos como por áreas funcionales, en función de las características de cada empresa, aspecto que se incorporara al diseño original.

El cuestionario, para su validación, se aplica a miembros seleccionados de una entidad donde se realiza la consultoría (implementación del procedimiento). La selección responde a los cuadros y funcionarios con responsabilidad o asociados a la actividad de gestión de riesgos. La información se procesa con la ayuda de programas estadísticos y se obtiene que el instrumento es fiable, dado que, el coeficiente Alfa de Crombach es igual a 0,815.

Los resultados obtenidos resultan factibles de ser graficados en un diagrama radar, si se establece previamente una meta a alcanzar, que permita apreciar el progreso o retroceso de la entidad con respecto a la meta propuesta.

A partir de los resultados se traza un plan de acción que se encamina a la búsqueda de oportunidades de mejora para disminuir las distancias existentes entre la situación real y la que se desea, aspectos que proveen evidencia de la gestión efectiva de los riesgos de la organización.

III. RESULTADOS

Se propone el procedimiento de gestión de riesgos de acuerdo a: la revisión y el análisis bibliográfico realizado, así como a la experiencia práctica acumulada por los consultores con más de cinco años de trabajo en la actividad de consultoría y a los resultados presentados. En la figura 3 se muestra dicho procedimiento que consta con: tres fases, ocho etapas y 23 pasos,en correspondencia con los aspectos más relevantes obtenidos del estudio de la literatura precedente.

Fig. 3 Procedimiento para la gestión del riesgo 

Los elementos distintivos del procedimiento resultan:

  1. Comprensión de la organización a partir del diagnóstico.

  2. Encuestas de comunicación y consulta a partes interesadas.

  3. Determinación de los mecanismos de identificación de riesgos.

  4. Escala cuantitativa y cualitativa de probabilidad y consecuencia.

  5. Niveles de tolerancia del riesgo para la escala cualitativa y cuantitativa.

  6. Utilización de una herramienta informática para manejar los riesgos.

  7. Utilización de un cuestionario para evaluar el progreso de la organización en cuanto al manejo de los riesgos.

A continuación, se realiza una descripción de las etapas del procedimiento propuesto y se enuncian los principales elementos a desarrollar en las etapas que lo integran:

Fase I. Contexto interno y externo

Etapa 1. Realizar el diagnóstico de la organización

Paso 1. Estudiar la documentación interna de la organización en cuanto a: tipo de entidad, ubicación, estructura, unidades subordinadas, procesos, fichas de procesos, responsables, objetivos, valores, política, estrategia, tecnologías y sistemas de información, flujos de información, cumplimiento del presupuesto de gastos e ingresos, expedientes de ajustes en proceso, litigios y reclamaciones, no conformidades y su correspondiente cierre, certificación de la contabilidad, deficiencias en las últimas auditorías, moras, y multas. Este estudio contribuye a la comprensión del entorno organizacional y refuerza el esclarecimiento e identificación de los riesgos.

Paso 2. Realizar encuestas de comunicación y consulta a clientes internos y externos, proveedores, vecinos cercanos, institución bancaria, tributaria y estadística a las que tributa la organización, para conocer en qué medida la actividad de la empresa impacta en el funcionamiento interno de las partes interesadas.

Etapa 2: Capacitar al cliente

Paso 1. Seleccionar la temática y el tipo de acción formativa requerida.

Paso 2. Planificar la acción formativa.

Paso 3. Ejecutar acción formativa prevista al personal del cliente.

Fase II. Apreciación del riesgo

Etapa 3. Identificación del riesgo

Paso 1. Establecer los mecanismos para la identificación de los riesgos (reuniones del comité de prevención y control, asambleas de afiliados, comité de calidad, encuentros con el equipo de cambio).

Paso 2. Confeccionar el inventario inicial de riesgos, con la participación de los miembros de la organización mediante la tormenta de ideas para promover la generación de propuestas.

Paso 3. Aplicar técnicas de reducción de listado y ponderación para perfilar el inventario de riesgos.

Paso 4. Clasificar los riesgos de acuerdo a su origen, en internos o externos.

Etapa 4.Análisis del riesgo

Paso 1. Establecer las causas, consecuencias y probabilidades de ocurrencia de cada riesgo.

Paso 2. Identificar las manifestaciones negativas e impactos que pueden traer consigo los riesgos.

Paso 3. Clasificar los riesgos por tipo (operacionales, financieros, de seguridad y salud del trabajo, seguridad de las tecnologías informáticas, de reputación y ambientales).

Paso 4. Determinar el nivel de riesgo de acuerdo a la probabilidad y consecuencia dada a cada riesgo, para lo que se utilizan las escalas cualitativas o cuantitativas. Se observa en tabla 1 la escala cualitativa que maneja cuatro rangos, de modo que cada empresa seleccione la que más se ajuste a su entorno. Mientras que la tabla 2 refleja la escala cuantitativa propone la cantidad de veces que se presenta el riesgo durante el año.

Tabla 1 Niveles de rangos para la escala cualitativa 

Rangos Probabilidad (P) Valor Consecuencia (C) Valor Nivel de Riesgo
3 Certeza 10 Mayor 10 P x C
Probable 6 Moderada 6
Poco Probable 2 Menor 1
4 Certeza 10 Catastrófico 10
Probable 7 Mayor 7
Moderada 5 Menor 5
Rara 2 Insignificante 2
5 Certeza 10 Catastrófico 10
Probable 8 Mayor 9
Moderada 6 Moderada 6
Poco Probable 3 Menor 3
Rara 2 Insignificante 1
7 Altísima 10 Catastrófico 10
Muy alta 8 Mayor 8
Alta 6 Alta 6
Media 4 Moderada 4
Baja 3 Menor 3
Muy baja 2 Mínima 2
Remota 1 Insignificante 1

Fuente: Adaptado a partir de [22].

Tabla 2 Niveles de rangos para la escala cuantitativa 

Probabilidad Valor Consecuencia Nivel de Riesgo
Diaria: 365 veces al año 365 Dar valor en función de la afectación económica que produce el riesgo P x C
Mensual: 12 veces al año 12
Trimestral: 4 veces al año 4
Semestral: 2 veces al año 2
Anual: 1 veces al año 1

Fuente: Adaptado a partir de [22].

Etapa 5. Evaluación del riesgo

Paso 1. Establecer los niveles de tolerancia para dar prioridad de tratamiento al riesgo, con miras a determinar su importancia relativa.

Paso 2. Realizar una comparación entre los niveles de riesgo que se obtienen y los niveles de tolerancia establecidos.

Sin pretender ser absolutos, para la escala cualitativa, se manejan cuatro niveles de tolerancia del riesgo, tal como se observa en la tabla 3. Al igual que para la escala cuantitativa, presentada en la tabla 4, niveles que pueden cambiarse a criterios de la entidad, en dependencia de los valores que para ésta se consideren pérdidas. Los riesgos que resultan más significativos demandan tratamiento.

Tabla 3 Niveles de tolerancia del riesgo para la escala cualitativa.  

Riesgo con prioridad baja Riesgo con prioridad media
Valor mínimo 0 Valor mínimo 20
Valor máximo 19 Valor máximo 59
Riesgo con prioridad alta Riesgo no aceptado
Valor mínimo 60 Valor mínimo 80
Valor máximo 79 Valor máximo 100

Fuente: Adaptado a partir de [22].

Tabla 4 Niveles de tolerancia del riesgo para la escala cuantitativa. Fuente: Adaptado a partir de [22]. 

Riesgo con prioridad baja Riesgo con prioridad media
Valor mínimo 0 Valor mínimo 1000.01
Valor máximo 1000 Valor máximo 5000.00
Riesgo con prioridad alta Riesgo no aceptado
Valor mínimo 5000.01 Valor por encima de 20000.01
Valor máximo 20000.00

Fuente: Adaptado a partir de [22].

Fase III. Actividades de control y monitoreo

Etapa 6. Tratamiento del riesgo

Paso 1.Establecer medidas para reducir la probabilidad de manifestación del riesgo (plan de prevención de riesgos). La fecha de cumplimiento de la medida debe permitir comprobar su cumplimiento con facilidad y evitar ambigüedades [22].

Paso 2. Comunicar el plan de prevención de riesgos a los miembros de la organización y partes interesadas para favorecer su implementación.

Etapa 7. Seguimiento y supervisión

Paso 1. Chequear el cumplimiento de las medidas del plan de prevención.

Paso 2. Elaborar un informe que evidencie los detalles de la revisión realizada.

Paso 3. Notificar a las partes interesadas, internas y externas, el resultado de la supervisión.

Etapa 8. Toma de decisiones oportunas

Paso 1. Compilar la información relativa a los riesgos en la herramienta informática XGER, instrumento que avala el control sistemático y supervisión de las medidas del plan de prevención de riesgos.

En la figura 4 se muestra la pantalla que se utiliza en la herramienta informática para clasificar los riesgos, mientras en la vista que se ofrece en la figura 5 se realiza la supervisión de las medidas del plan de prevención.

Fig. 4 Clasificación de riesgos por tipo 

Paso 2. Evaluar, por la máxima dirección, los diferentes informes que proporciona la herramienta para tomar decisiones basadas en información útil y relevante.

Paso 3. Retroalimentar al sistema para realizar los ajustes necesarios al proceso. Se incorporan las salidas del sistema como variables de entrada para corregir los problemas y estabilizar el proceso de gestión de riesgos.

Fig. 5 Supervisión de las medidas del plan de prevención 

Otro resultado obtenido como parte de esta investigación resulta el cuestionario que se muestra en la tabla 5. El instrumento se convierte en una herramienta útil para ser aplicado antes del proceso de consultoría y luego repetirlo, un tiempo posterior de la intervención, lo que deberá demostrar el avance alcanzado. De igual forma, puede ser asumido por la organización como una herramienta de trabajo que le permita la evolución sistemática de la gestión de riesgos.

Tabla 3 Cuestionario para determinar el nivel de madurez de los principios de la gestión del riesgo 

No Principios de la gestión de riesgo N1 N2 N3 N4 N5
1 Integrada
a) La alta dirección asume la gestión de riesgo como una de sus prioridades
b) La gestión de riesgo tiene un marcado enfoque a procesos, abarca de todas las actividades de la organización
c) El proceso de gestión de riesgo se integra a la estrategia de la organización
2 Estructurada y exhaustiva
a) La entidad utiliza un procedimiento para gestionar los riesgos adecuadamente y comparar sus resultados en el tiempo
b) El proceso de gestión de riesgos se revisa y actualiza periódicamente en función de las condiciones existentes
3 Adaptada
a) La alta dirección atempera los objetivos estratégicos a su entorno y diseña propuestas superiores a las ya alcanzadas, coherentes, enmarcadas en el tiempo, medibles y específicas
b) La gestión de riesgo se contextualiza de acuerdo a los resultados obtenidos en el análisis externo e interno realizado
4 Inclusiva
a) La alta dirección consulta y tiene en cuenta los impactos potenciales que actúan sobre los clientes externos e internos y otras partes interesadas
b) Los resultados de la gestión de riesgo son comunicados por diferentes vías a lo interno y externo para involucrar a todos los actores con las deficiencias encontradas y las medidas para eliminarlas o minimizarlas
5 Dinámica
a) La revisión periódica de la gestión de riesgo constituye una prioridad para la alta dirección
b) Se realizan estudios que permitan anticiparse a los cambios del entorno
c) Los riesgos se actualizan a partir de los cambios ocurridos o proclives a ocurrir
6 Mejor información disponible
a) El proceso de gestión de riesgos se nutre de diversos elementos de entrada como son las encuestas de comunicación y consulta, la revisión de documentos y datos históricos, experiencia, observación, previsiones y juicios de expertos
b) La entidad gestiona sus riesgos a partir de una herramienta informática que provee y pone a disposición de las partes interesadas pertinentes información necesaria y oportuna
7 Factores humanos y culturales
a) La gestión de riesgo permite prescribir los comportamientos, los modos de actuación y la cultura del personal de la entidad y de los actores externos
b) La organización analiza las reglas de conducta, creencias, costumbres, actividades o comportamientos de sus miembros para incorporarlos en su gestión
8 Mejora continua
a) La alta dirección promueve y apoya la mejora continua con la finalidad de alcanzar objetivos trazados
b) La alta dirección establece indicadores claves de desempeño y los compara en el tiempo para evaluar la mejora continua en la organización
c) La entidad realiza autodiagnóstico para conocer sus insuficiencias y proponer acciones de mejora para su desempeño

IV. DISCUSIÓN

Tanto la NC ISO 31000:2018, como la resolución no. 60 del 2011, instituyen el marco de trabajo fundamental para desplegar el proceso de gestión de riesgos en el entorno empresarial cubano. Ambas normativas poseen limitaciones para su implementación. La primera, dado su carácter de no obligatoriedad, aún está lejos de arraigarse en el seno de las empresas cubanas y solo las entidades exitosas la acogen como referente para la gestión. La segunda, su promulgación data del año 2011, por lo que no reconoce los cambios producidos en el entorno hasta el presente y carece de complementarios que establezcan la manera de cómo hacer.

La propuesta que se realiza muestra un conjunto de instrumentos que facilitan la implementación de la gestión de riesgos en las empresas cubanas. El procedimiento, está en plena correspondencia con los referentes registrados en la literatura e integra la experiencia práctica de los consultores de una organización especializada y las exigencias del marco legal cubano. De igual forma, se propone una herramienta informática que ayuda a simplificar el proceso de implementación y seguimiento. Por tanto, se logra una propuesta uniforme para acometer el servicio, lo que contribuye a la transferencia de buenas prácticas y aglutina el conocimiento acumulado para el personal de nuevo ingreso.

El cuestionario elaborado resulta una herramienta útil para la evaluación sistemática de la gestión de riesgos en las organizaciones. Su transformación en un índice integral sería de gran utilidad para su aplicación como instrumento de gestión por las posibilidades que le brindaría a la gerencia de monitorear los resultados.

V. CONCLUSIONES

  1. Se presenta un procedimiento para desarrollar la gestión de riesgos, con la capacidad de ser implementado en cualquier tipo de organización. La propuesta diseñada para los consultores de Audita S.A. se sustenta en considerar las buenas prácticas de la literatura, la experiencia práctica de los consultores, el resultado de buenas aplicaciones en las empresas cubanas y la garantía de responder a las exigencias del marco legal cubano. A su vez, representa una propuesta que le permite a la empresa consultora una mayor flexibilidad de su personal, gestionar mejor su conocimiento, la formación de los nuevos consultores y la introducción de nuevos resultados.

  2. La norma NC ISO 31000:2018 resulta compatible con la resolución no. 60/2011, se puede utilizar en el contexto empresarial como buena práctica, al armonizar el marco regulatorio para implementar la gestión de riesgos e identificar el nivel de madurez de la gestión que alcanza la organización. El cuestionario que se presenta resulta una herramienta que permite la evaluación sistemática de la gestión de riesgos de la organización y el establecimiento de planes de acción para la mejora continua.

  3. La aplicación de la herramienta informática XGER en empresas cubanas, contribuye a la implementación del procedimiento de gestión de riesgos, demuestra su pertinencia y aplicabilidad en los diferentes sectores de la producción y los servicios. Se utiliza para la toma de decisiones de la alta dirección, basadas en información relevante y oportuna.

VI. REFERENCIAS

1.  Martínez Hernández R, Blanco Dopico MI. Gestión de riesgos: reflexiones desde un enfoque de gestión empresarial emergente. . Revista Venezolana de Gerencia. 2017;22(80):693-711. ISSN 1315-9984. [ Links ]

2.  Bericiarto Pérez FA, Reyes Espinosa MV, López Bastida EJ. Aplicación de técnicas matemáticas de riesgo para la evaluación en las inversiones de la industria petrolera cubana. Revista Universidad y Sociedad. 2017;9(3): 283-9. ISSN 1315-9984. [ Links ]

3.  Toro Díaz J, Palomo Zurdo R. Análisis del riesgo financiero en las PYMES - Estudio de caso aplicado a la ciudad de Manizares. Revista Lasallista de Investigación. 2014;11(2):78-88. ISSN 1794-4449. [ Links ]

4.  Ulloa Enríquez MA. Riesgos del Trabajo en el Sistema de Gestión de Calidad. Ingeniería Industrial. 2012;33(2):100-10. ISSN 1815-5936. [ Links ]

5.  García Pulido YA, Castillo Zúñiga JV, Medina León A, et al. Innocuousness + knowledge management a contribution to process improvement. . Global Journal of Engineering Science and Research Management. 2017;4(6):91-8. ISSN 2349-4506. [ Links ]

6.  Oviedo Rodríguez M, Medina León, A., Carpio Vera D. El enfoque en procesos desde la planificación operativa en las Instituciones de Educación Superior del Ecuador. Revista Dilemas Contemporáneos: Educación, Política y Valores. 2017;V(1):1-30. ISSN 2007-7890. [ Links ]

7.  EGASA. Procedimiento de gestión de riesgos. Normativa interna de la Empresa de Generación Eléctrica de Arequipa SA Lima, Perú: Empresa de Generación Eléctrica de Arequipa S.A. [ Links ]

8.  Celaya Figueroa R, López Parra ME. ¿Cómo determinar su riesgo empresarial? Revista Escuela de Administración de Negocios. 2004 (52):69-75. ISSN 0120-8160. [ Links ]

9.  Y. BR, Alfonso Robaina D, Pérez Barnet AM, et al. Modelo de dirección estratégica basado en la administración de riesgos. Ingeniería Industrial . 2014;XXXV(3):344-57. ISSN 1815-5936. [ Links ]

10.  Soler González RH, Varela Lorenzo P, Oñate Andino A, et al. La gestión de riesgos: el ausente recurrente de la administración de empresas. Revista Ciencia Unemi. 2018;11(26):51-62. ISSN 2528-7737. [ Links ]

11.  Bolaño Rodríguez Y, Alfonso Robaina D, Ramírez Moro A, et al. Método de identificación-medición-evaluación de riesgos para la dirección estratégica. Revista Ingeniería Industrial. 2011;XXXII(2):162-9. ISSN 1815-5936. [ Links ]

12.  Hernández Díaz N, Yelandy Leyva MY, Cuza García B. Modelos causales para la gestión de riesgos. Revista Cubana de Ciencias Informáticas. 2013;7(4):58-74. ISSN 2227-1899. [ Links ]

13.  Galarza López J, Almuiñas Rivero JL. La gestión de los riesgos de planificación estratégica en las instituciones de educación superior. Revista Cubana de Educación Superior. 2015;34(2):45-53. ISSN 0257-4314. [ Links ]

14.  INVIMA. Procedimiento gestión de riesgos institucionales. Documento del Sistema de Gestión Integrado del Instituto Nacional de Vigilancia de Medicamentos y Alimentos,.2017. [Citado: 7 de junio del 2019]. Disponible en: Disponible en: https://www.invima.gov.co/web/guest 14.  . ISSN. [ Links ]

15.  Alzate Ibañez AM. ISO 9001:2015 base para la sostenibilidad de las organizaciones en países emergentes. Revista Venezolana de Gerencia . 2017;22(80):576-92. ISSN 1315-9984. [ Links ]

16.  Hasper Tabares J, Correa Jaramillo J, Benjumea Arias M, et al. Tendencias en la investigación sobre gestión del riesgo empresarial: un análisis bibliométrico. Revista Venezolana de Gerencia . 2017;22(79):506-24. ISSN 1315-9984. [ Links ]

17.  López González AE. Gestión y Prevención de Riesgos en la Empresa de Diseño e Ingeniería de Cienfuegos. Cienfuegos, Cuba: Universidad "Carlos Rafael Rodríguez"; 2015. [ Links ]

18.  Gómez Rivadeneiral A. Marco conceptual y legal sobre la gestión de riesgo en Colombia: aportes para su implementación. Revista Monitor Estratégico. 2014 (5):4-11. ISSN 2256-1307. [ Links ]

19.  ONN. NC ISO 31000Gestión del Riesgo - Principios y Directrices. La Habana, Cuba: ONN; 2018. [ Links ]

20.  Velásquez Restrepo PA, Velásquez Restrepo SM, Velásquez Lopera M, et al. Implementación de la gestión de riesgo en los procesos misionales de la Sección de Dermatología de la Universidad de Antioquia Revista Gerenc Polit Salud. 2017;16(33):78-101. ISSN 1657-7027. [ Links ]

21.  Medina Nogueira D, Nogueira Rivera D, Medina León A, et al. La Gestión por el Conocimiento: contribución a la Gestión Universitaria en Cuba. Revista Economía y Negocios. 2014;5(2):42-51. ISSN 1390-6674. [ Links ]

22.  Fraga Domínguez L. Manual de usuario Sistema XGER, versión 1.8, Gestión de riesgos. Cienfuegos, Cuba: Audita S.A; 2016. Disponible en: https://www.uis.edu.co/.../controlGestion/.../MSE.01manualAdministracionRiesgo.pdf22.  . [ Links ]

23.  CGR. Resolución no. 60. Normas del Sistema de Control Interno. Gaceta Oficial 2011 (no. 013 Extraordinaria de 3 de marzo del 2011). ISSN 1682-7511. [ Links ]

1Adopción idéntica por el método de traducción de la Norma Internacional ISO 31000: 2018Riskmanagement - Principles and guidelines.

Recibido: 06 de Noviembre de 2018; Aprobado: 08 de Julio de 2019

Los autores declaran que no hay conflictos de intereses de ningún tipo

Margarita Guerrero-Aguiar: Autora principal de la investigación. Responsable de la propuesta de procedimiento. Responsable de su aplicación, de la escritura primaria del artículo y de la aplicación de los resultados en la práctica social.

Alberto Medina-León: Diseño de la investigación y del artículo, apoya en la revisión del estado del arte y en el tratamiento a la bibliografía. Responsable de la escritura de materiales y métodos y las conclusiones del trabajo. Redacción y revisión de la versión final del artículo. Contribuciones en la escritura del procedimiento para lograr su capacidad de generalización.

Dianelys Nogueira-Rivera: Diseño de la investigación y del artículo, apoya en la revisión del estado del arte y en el tratamiento a la bibliografía. Contribuciones en la escritura del procedimiento para lograr su capacidad de generalización. Redacción y revisión de la versión final del artículo.

Creative Commons License

 
Calle 114 No. 11901. e/ Ciclovía y Rotonda, Marianao 15. CP 19390
Teléfono: (537) 266 3521