Recomendaciones para la gestión de riesgos en instituciones educativas de nivel tecnológico aplicando el modelo COSO III.
Recommendations for risk management in educational technological institutions applying the COSO III model.
Bárbara Gallegos Álvarez1 Máster Universitario en Dirección Logística, Instituto Superior Tecnológico Almirante Illingworth, Guayaquil, Ecuador, bgallegos@aitec.edu.ec, 0000-0003-4058-0612
Resumen
La gestión de riesgos se ha convertido en un elemento indispensable para muchas organizaciones que pretenden sobrevivir en entornos cada vez más inestables, y las instituciones educativas no son la excepción. El objetivo del presente trabajo es analizar cómo pueden aplicarse los componentes de la metodología COSO III en la gestión de riesgos de instituciones educativas de nivel tecnológico. El trabajo se realizó utilizando como base el documento oficial dado por el Committee of Sponsoring Organizations of the Treadway Commission, organización emisora de este modelo. Se procedió a interpretar cada punto a la luz de la realidad de las instituciones de nivel superior, y a emitir recomendaciones con base a las necesidades de este tipo de instituciones. Se concluye c on una breve reflexión en cuanto a la necesidad que tiene el sector académico de enriquecer la aplicación de la gestión de riesgos en sus distintos niveles. |
|
Atribución/Reconocimiento-NoComercial-Compartirlgual 4.0 Licencia Pública Internacional CC BY-NC-SA 4.0 https://creativecommons.org/licenses/by-nc-sa/4.0/legalcode.es
Sapientia TECHNOLOGICAL Revista científica. e-ISSN: 2737-6400
Julio - diciembre 2021 Vol. 3 – 1 2021
https://sapientiatechnological.aitec.edu.ec
Recepción: 03 de abril 2021 Aceptación: 05 de junio 2021
Pag: 1-11
|
|
|
Palabras clave: Riesgos, gestión, instituciones educativas, educación, gestión de riesgos.
ABSTRACT Risk management has become an essential element for many organizations that intend to survive in increasingly unstable environments, and educational institutions are no exception. The objective of this paper is to analyze how the components of the COSO III methodology can be applied in the risk management of technological educational institutions. The work was carried out using as a basis the official document given by the Committee of Sponsoring Organizations of the Treadway Commission, the issuing organization of this model. Each point was interpreted in light of the reality of higher level institutions, and recommendations were issued based on the needs of this type of institution. It concludes with a brief reflection on the need for the academic sector to enrich the application of risk management at its different levels. Keywords: Risks, management, educational institutions, education, risk management.
|
||||||||||||||||||||||||||||||||||||||
INTRODUCCIÓN |
||||||||||||||||||||||||||||||||||||||
Se puede definir riesgo como “la posibilidad de que suceda algo que tendrá impacto en los objetivos. Se mide en términos de consecuencias y posibilidad de ocurrencia” (Hurtado et al, 2008). La incertidumbre causada por esta posibilidad presenta la necesidad de plasmar una forma de gestionar riesgos de manera que se puedan prevenir su ocurrencia o mitigar sus efectos en caso de que se lleguen a materializar. |
||||||||||||||||||||||||||||||||||||||
De esta manera, el propósito de la gestión de riesgos es preservar el valor que las organizaciones generan para sus grupos de interés (The Institute of Internal Auditors, 2015). |
||||||||||||||||||||||||||||||||||||||
Hay diferentes metodologías para la gestión de riesgos. Una de las más utilizadas es el modelo COSO, que actualmente cuenta con su tercera versión. Esta metodología surgió en 1985 con la misión de crear y proporcionar conocimiento frente a la gestión del riesgo empresarial (ERM), el control interno y la lucha contra el fraude (EALDE, 2020). |
||||||||||||||||||||||||||||||||||||||
De acuerdo con este modelo, la gestión de riesgos tiene cinco componentes que, a su vez, contienen principios relevantes para reforzar y mantener una buena gestión de riesgos: Gobierno y cultura, estrategia y establecimiento de objetivos, desempeño, revisión y monitorización, información, comunicación y reporte (Auditool, 2019). |
||||||||||||||||||||||||||||||||||||||
OBJETIVO
MATERIALES Y MÉTODOS Para el desarrollo del presente trabajo se ha tomado como referencia el documento oficial del resumen ejecutivo del Marco Integrado de Gestión de Riesgos publicado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) donde se especifican los lineamientos de la última versión para su modelo de gestión de riesgos.
|
||||||||||||||||||||||||||||||||||||||
Tabla 1. Componentes de la metodología COSO. Elaboración propia, con datos de COSO (2021). APLICACIÓN DEL MODELO COSO EN INSTITUCIONES DE EDUCACIÓN SUPERIOR DE NIVEL TECNOLÓGICO. Para el componente: Gobierno y cultura 1. Ejerce la supervisión de riesgos mediante el Consejo de Administración: El Consejo Directivo o Consejo de Administración de la institución, o cualquier grupo que represente el nivel más alto de la organización, debe velar por el buen desempeño de su gestión y ejercer su autoridad en los temas referentes a la supervisión de riesgos de la entidad. Se debe considerar que la gestión de riesgos en instituciones de nivel tecnológico no se limita a la prevención de desastres naturales que pueden afectar la integridad de estudiantes y docentes, sino que contempla aspectos más amplios de su modelo de negocio, orientado al sector de la educación superior. 2. Establece estructuras operativas: La Dirección debe establecer estructuras claras y designar las responsabilidades a fin de lograr los objetivos. Con el propósito de establecer un ambiente de control adecuado, se deben ordenar apropiadamente las funciones que ejecuta cada uno de los miembros de la organización. Se sugiere establecer un organigrama bien definido y añadir un manual de funciones donde se establezcan con claridad las líneas de reporte e información. Esto es especialmente válido para las instituciones cuyo personal docente ejecuta labores de corte administrativo o directivo. 3. Define la cultura deseada: Uno de los retos más significativos para las instituciones de educación superior es establecer y mantener en toda su comunidad una cultura organizacional orientada a la excelencia académica, ética y profesional. Para lograr este propósito, se hace indispensable que el ejemplo empiece con las cabezas de la organización y se consolide mediante la aplicación sostenida de principios y valores institucionales dentro de la gestión, y que sirva de fundamento para las relaciones entre sus miembros. Debe existir un esfuerzo coordinado para generar una cultura de gestión de riesgos en los diferentes niveles, considerando las particularidades específicas que hacen únicas a las instituciones de educación tecnológica. 4. Demuestra compromiso con los valores clave: La organización debe demostrar un compromiso con la integridad y los valores morales, manteniendo en primer lugar un código de ética, aplicable a todos los niveles de la organización. Adicionalmente, se debe trabajar en prevenir conductas indeseables mediante una normativa que establezca medidas disciplinarias aplicables a estudiantes y docentes, las cuales deben ejecutarse después de haber seguido el debido proceso al respecto. En este sentido, la normativa debe estar orientada al tipo de público que estas organizaciones tienen: estudiantes adultos, por lo general que ya han consolidado un núcleo familiar y se desempeñan con soltura en entornos laborales. 5. Atrae, desarrolla y retiene a profesionales clave: La organización debe mostrar compromiso para atraer, desarrollar y retener a individuos competentes, que contribuyan en pro del alcance de alcanzar los objetivos. Para esto, la institución debe ordenar apropiadamente sus procesos de reclutamiento y selección, orientándose al cumplimiento de las buenas prácticas al respecto. Además se recomienda que defina y socialice un plan de carrera apropiado al tamaño y prioridades de la institución. Se debe priorizar la atracción y retención de talentos enfocados a las necesidades propias del nivel tecnológico, es decir, profesionales que tengan experiencia en el campo laboral y académico. Para el componente: Estrategia y establecimiento de objetivos 6. Analiza el contexto empresarial: Para la gestión de riesgos se debe tomar en consideración el entorno en el que se desenvuelve la institución, y todos los grupos de interés asociados a las actividades organizacionales, en especial aquellos que pueden representar una fuente o un objeto de riesgo. Para este propósito hay diferentes herramientas que pueden ser utilizadas, como el análisis PESTEL, las 5 fuerzas de Porter, matriz DAFO, etc. 7. Establece el apetito al riesgo: Fiorito (2020) define el apetito al riesgo como “la declaración sobre qué hará la organización para tomar decisiones en su gestión (y su gestión de riesgos)”, en otras palabras es cuán lejos está dispuesta la organización a llegar en cuánto al manejo de sus riesgos, y lleva implícita la disposición a asumir las consecuencias que se deriven de ello. La institución debe establecer de forma consciente e informada cuáles son sus límites en cuánto al apetito de riesgo que va a mantener, dado que ello incidirá en buena parte dentro de las medidas preventivas y contingentes que asuma dentro de su gestión. 8. Evalúa estrategias alternativas: Las instituciones educativas generalmente deberían considerar tener más de una forma de afrontar los diferentes riesgos que se le puedan presentar, sobre todo cuando estos tienen incidencia directa sobre los objetivos estratégicos. Tener diferentes opciones para enfrentar los riesgos es una buena señal de que se han considerado todas las aristas de los posibles problemas y se ha enfrentado con seriedad la situación. 9. Formula objetivos de negocio. La organización debe especificar sus objetivos con claridad a fin de permitir la identificación y evaluación de los riesgos. Sin objetivos claramente definidos es muy difícil evaluar el impacto potencial de los riesgos sobre el rumbo que pueda tomar la organización en el futuro. Para el componente: Desempeño 10. Identifica el riesgo: La organización debe identificar los riesgos para el logro de sus objetivos en sus diferentes áreas y debe analizarlos para determinar la mejor forma de gestionarlos, sea de forma preventiva o correctiva. Se recomienda que se consideren los objetivos de la institución, y el impacto que la materialización de los riesgos contemplados en la planificación puede tener sobre ellos. 11. Evalúa la gravedad del riesgo: Dentro de la gestión de riesgos, para determinar la atención que cada uno de ellos debe recibir se inicia con la calificación de riesgos, que se lleva a cabo asignando valores a dos factores importantes: probabilidad e impacto. Por la primera se entiende la posibilidad de ocurrencia del riesgo, mientras que impacto hace referencia a las consecuencias que puede ocasionar a la organización la materialización del riesgo (Serrano, 2018). Es mediante la medición de impacto que se puede determinar si la materialización de un riesgo tendrá implicaciones leves, moderadas, graves, o muy graves. 12. Prioriza riesgos: Una vez que se han calificado los factores de riesgo, las instituciones deben proceder con la evaluación del riesgo, la cual se obtiene calculando el producto entre probabilidad e impacto, esto permite comparar los resultados de su calificación con los criterios definidos para establecer el grado de exposición al riesgo; Serrano (2018) sostiene que “de esta forma es posible distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento”. 13. Implementa respuestas a riesgos: La organización debe seleccionar y desarrollar actividades de control que contribuyan a prevenir riesgos y a mitigar sus efectos si estos llegan a materializarse. Gran parte del éxito de la gestión de riesgos estriba en la aplicación concienzuda y firme de controles a modo de respuestas preventivas, la norma ISO 31000:2018, enfocada en este tema, define control como “medida que mantiene y/o modifica un riesgo” (ISO, 2018) en su apartado 6.4.3 “Análisis del riesgo”, enfatiza la necesidad de considerar la evaluación de la eficacia de los controles existentes, lo cual es muy importante dado que esta puede variar en función del tiempo, la introducción de nuevos factores, etc., por lo cual periódicamente se debería someter a prueba la eficacia de los controles. 14. Desarrolla una visión a nivel de cartera: Uno de los riesgos más importantes para las instituciones educativas privadas es la de no alcanzar a cubrir sus costos por la falta de matrícula, en lo cual también influye el nivel de cartera vencida. Es vital que se gestionen oportunamente todos los riesgos asociados a las fluctuaciones significativas en el desempeño de la entidad, dando prioridad a lo que tiene que ver con la gestión de cobros. Por otro lado, en las instituciones públicas, los riesgos están más asociados con la administración del presupuesto y a los recortes que pueden venir de la Administración Central. Para el componente: Revisión y monitorización 15. Evalúa los cambios significativos: La organización debe identificar y evaluar los cambios que podrían tener impactos significativos en la gestión de riesgos. Para esto, es necesario considerar que todas las instituciones van evolucionando a lo largo del tiempo, y que los cambios traen consigo sus propias consecuencias, para bien o para mal. Resulta un factor de especial interés considerar que, en el Ecuador, las instituciones de nivel tecnológico son objeto de monitoreo periódico por parte de entes de control estatales como el Consejo de Aseguramiento de la Calidad de la Educación Superior y la Secretaría de Educación Superior, Ciencia, Tecnología e Innovación, entidades que tienen sus propios requisitos con respecto a su funcionamiento y gestión. Esto hace sumamente necesario que la documentación asociada a la gestión de riesgos sea actualizada con cierta frecuencia, la cual debe ser determinada por cada institución en particular según su tamaño y necesidades particulares. Se sugiere que esta actualización se realice cada vez que se detecte un nuevo riesgo, sea que se haya materializado o no, y que se revise por lo menos una vez al año. 16. Revisa el riesgo y el desempeño: Es recomendable que cada instituto tenga como una buena práctica realizar evaluaciones de desempeño tanto a nivel de procesos como a los colaboradores para detectar a tiempo falencias que puedan influir en la aparición de ciertos riesgos, esto aparte de las evaluaciones obligatorias que tengan que llevar a cabo para responder ante sus entes de control. 17. Persigue la mejora de la gestión del riesgo empresarial: En las instituciones de Educación Superior, existen riesgos particulares asociados con la naturaleza de sus actividades, los cuales deben ser gestionados de formas cada vez más eficientes, ya que se espera que las habilidades del personal y de la organización en general vayan creciendo a lo largo del tiempo. El enfoque de mejora continua, propio de la gestión de calidad, debe aplicarse con especial énfasis en la gestión de riesgos ya que este es un factor crítico del éxito de la organización.
Para el componente: Información, comunicación y reporte. 18. Aprovecha la información y la tecnología: Hoy en día las tecnologías de la información y la comunicación hacen parte de la gestión normal de las instituciones educativas y presentan sus propios riesgos inherentes. Someter las tecnologías a controles y validaciones es fundamental para verificar su buen funcionamiento y mitigar apropiadamente los riesgos asociados. Conviene añadir a las herramientas de gestión de riesgos apartados específicos para los sistemas tecnológicos que cubran contingencias para hardware, software y ciberseguridad. 19. Comunica información sobre riesgos: La organización debe obtener, generar y utilizar información relevante para encontrar nuevos riesgos y formas distintas de enriquecer las contingencias para los ya detectados. Dado que las instituciones educativas son por lo general entornos dinámicos, es muy importante que se preste atención a la información que se va generando como producto de la interacción entre docentes y estudiantes a lo largo del periodo lectivo, por lo que es necesario garantizar la fluidez y accesibilidad de la información en todos los niveles. Las instituciones educativas deben cerciorarse de facilitar todas las herramientas necesarias para recoger la información relevante de forma que esta pueda ser utilizada para tomar decisiones beneficiosas. 20. Informa sobre el riesgo, la cultura y el desempeño: La organización debe comunicarse con las partes externas interesadas sobre asuntos pertinentes a la gestión de riesgos. Esto es aplicable para todos los grupos de interés que tienen participación directa o indirecta en los procesos internos de la institución, especialmente los docentes y estudiantes. Aparte de esto, es necesario prestar atención a las disposiciones emitidas por entes de control al respecto, a fin de garantizar que la mayor cantidad de información posible está cubierta.
RESULTADOS La aplicación del modelo COSO III tiene como finalidad ofrecer un marco apropiado para la gestión de riesgos en organizaciones de todo tipo. Para las instituciones educativas, es necesario adaptarlo a las necesidades particulares de los entornos académicos, lo cual se puede realizar atendiendo los puntos clave descritos en este trabajo.
DISCUSIÓN La gestión de riesgos en instituciones educativas es un tema poco tratado a nivel de riesgos organizacionales, por lo general el tópico se aborda por parte de entes de control desde un enfoque de prevención de riesgos naturales, lo cual es un componente importante a nivel operativo, pero deja de lado factores importantes a ser considerados dentro de la gestión integral de este tipo de entidades. Hace falta abordar el tema con más frecuencia y profundidad en los entornos académicos pues las soluciones a los problemas que aquejan a las instituciones educativas solo pueden venir de ellas mismas.
CONCLUSIONES El presente trabajo aborda algunas recomendaciones utilizando COSO III, un marco conocido y aceptado como referente a nivel mundial, lo cual puede ser de gran ayuda para las instituciones que quieran mejorar su gestión de riesgos.
REFERENCIAS Committee of Sponsoring Organizations of the Treadway Commission. (2017). Enterprise Risk Management Integrating with Strategy and Performance Executive Summary (III). https://www.coso.org/Documents/2017-COSO-ERM-Integrating-with-Strategy-and-Performance-Executive-Summary.pdf EALDE Business School. (2020, 23 julio). Qué es el marco COSO de Gestión de Riesgos y cómo surge. https://www.ealde.es/marco-coso-riesgos/ Martínez, V. (2019, 11 enero). ¿Qué implica implementar COSO III en una organización? Auditool. https://www.auditool.org/blog/control-interno/4731-que-implica-implementar-coso-iii-en-una-organizacion Enguídanos, A. M. (2009). Diccio Veiga, J. M. F. (2013). INVESTIGACIÓN OPERATIVA DEL FRAUDE INTERNO Y EXTERNO EMPRESARIAL (1.a ed.). Desconocida. Diccionario de Contabilidad, Auditoría y Control de Gestión. Ecobook. Fiorito, D. (2020). Gestión de riesgos: cómo cumplir objetivos en el ámbito personal y empresarial. Amazon Kindle.https://www.amazon.com/-/es/Diego-Fiorito-ebook/dp/B08JD3YX93/ref=sr_1_1?dchild=1&keywords=9789878509068&linkCode=qs&qid=1630630882&s=books&sr=1-1 Hurtado, F. A. A., Velez, R. E. B., Rios, J. A. V. D. L., Vélez, R. E. B., & de Los Ríos, J. A. V. (2008). Sistema de gestión integral. Una sola gestión, un solo equipo. Alianza Editorial. The Institute of Internal Auditors. (2015, julio). Aprovechar el COSO en las tres líneas de defensa. https://global.theiia.org/translations/PublicDocuments/COSO-2015-3LOD-Thought-Paper-Spanish.pdf Organización Internacional de Normalización. (2018). ISO 31000:2018(es) Gestión del riesgo — Directrices. Online Browsing Platform (OBP). https://www.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:es Serrano, A. T. I. (2018). Control Interno y Sistema de Gestión de Calidad (Tercera ed.). Ediciones de la U.
|
||||||||||||||||||||||||||||||||||||||
|