|
Tabla 1. Componentes
de la metodología COSO. Elaboración propia, con datos de COSO (2021).
APLICACIÓN DEL MODELO COSO EN INSTITUCIONES
DE EDUCACIÓN SUPERIOR DE NIVEL TECNOLÓGICO.
Para el
componente: Gobierno y cultura
1. Ejerce la supervisión de riesgos mediante el
Consejo de Administración: El Consejo Directivo o Consejo de Administración
de la institución, o cualquier grupo que represente el nivel más alto de la
organización, debe velar por el buen desempeño de su gestión y ejercer su
autoridad en los temas referentes a la supervisión de riesgos de la entidad.
Se debe considerar que la gestión de riesgos en instituciones de nivel
tecnológico no se limita a la prevención de desastres naturales que pueden
afectar la integridad de estudiantes y docentes, sino que contempla aspectos
más amplios de su modelo de negocio, orientado al sector de la educación
superior.
2. Establece estructuras operativas: La
Dirección debe establecer estructuras claras y designar las responsabilidades
a fin de lograr los objetivos. Con el propósito de establecer un ambiente de
control adecuado, se deben ordenar apropiadamente las funciones que ejecuta
cada uno de los miembros de la organización. Se sugiere establecer un
organigrama bien definido y añadir un manual de funciones donde se
establezcan con claridad las líneas de reporte e información. Esto es
especialmente válido para las instituciones cuyo personal docente ejecuta
labores de corte administrativo o directivo.
3. Define la cultura deseada: Uno de los retos
más significativos para las instituciones de educación superior es establecer
y mantener en toda su comunidad una cultura organizacional orientada a la
excelencia académica, ética y profesional. Para lograr este propósito, se
hace indispensable que el ejemplo empiece con las cabezas de la organización
y se consolide mediante la aplicación sostenida de principios y valores
institucionales dentro de la gestión, y que sirva de fundamento para las
relaciones entre sus miembros. Debe existir un esfuerzo coordinado para
generar una cultura de gestión de riesgos en los diferentes niveles,
considerando las particularidades específicas que hacen únicas a las
instituciones de educación tecnológica.
4. Demuestra compromiso con los valores clave:
La organización debe demostrar un compromiso con la integridad y los valores
morales, manteniendo en primer lugar un código de ética, aplicable a todos
los niveles de la organización. Adicionalmente, se debe trabajar en prevenir
conductas indeseables mediante una normativa que establezca medidas
disciplinarias aplicables a estudiantes y docentes, las cuales deben
ejecutarse después de haber seguido el debido proceso al respecto. En este
sentido, la normativa debe estar orientada al tipo de público que estas
organizaciones tienen: estudiantes adultos, por lo general que ya han
consolidado un núcleo familiar y se desempeñan con soltura en entornos
laborales.
5. Atrae, desarrolla y retiene a profesionales
clave: La organización debe mostrar compromiso para atraer, desarrollar y
retener a individuos competentes, que contribuyan en pro del alcance de
alcanzar los objetivos. Para esto, la institución debe ordenar apropiadamente
sus procesos de reclutamiento y selección, orientándose al cumplimiento de
las buenas prácticas al respecto. Además se recomienda que defina y socialice
un plan de carrera apropiado al tamaño y prioridades de la institución. Se
debe priorizar la atracción y retención de talentos enfocados a las
necesidades propias del nivel tecnológico, es decir, profesionales que tengan
experiencia en el campo laboral y académico.
Para el
componente: Estrategia y establecimiento de objetivos
6. Analiza el contexto empresarial: Para la
gestión de riesgos se debe tomar en consideración el entorno en el que se
desenvuelve la institución, y todos los grupos de interés asociados a las
actividades organizacionales, en especial aquellos que pueden representar una
fuente o un objeto de riesgo. Para este propósito hay diferentes herramientas
que pueden ser utilizadas, como el análisis PESTEL, las 5 fuerzas de Porter,
matriz DAFO, etc.
7. Establece el apetito al riesgo: Fiorito
(2020) define el apetito al riesgo como “la declaración sobre qué hará la
organización para tomar decisiones en su gestión (y su gestión de riesgos)”,
en otras palabras es cuán lejos está dispuesta la organización a llegar en
cuánto al manejo de sus riesgos, y lleva implícita la disposición a asumir
las consecuencias que se deriven de ello. La institución debe establecer de
forma consciente e informada cuáles son sus límites en cuánto al apetito de
riesgo que va a mantener, dado que ello incidirá en buena parte dentro de las
medidas preventivas y contingentes que asuma dentro de su gestión.
8. Evalúa estrategias alternativas: Las
instituciones educativas generalmente deberían considerar tener más de una
forma de afrontar los diferentes riesgos que se le puedan presentar, sobre
todo cuando estos tienen incidencia directa sobre los objetivos estratégicos.
Tener diferentes opciones para enfrentar los riesgos es una buena señal de
que se han considerado todas las aristas de los posibles problemas y se ha
enfrentado con seriedad la situación.
9. Formula objetivos de negocio. La organización
debe especificar sus objetivos con claridad a fin de permitir la
identificación y evaluación de los riesgos. Sin objetivos claramente
definidos es muy difícil evaluar el impacto potencial de los riesgos sobre el
rumbo que pueda tomar la organización en el futuro.
Para el
componente: Desempeño
10. Identifica el riesgo: La organización debe
identificar los riesgos para el logro de sus objetivos en sus diferentes
áreas y debe analizarlos para determinar la mejor forma de gestionarlos, sea
de forma preventiva o correctiva. Se recomienda que se consideren los
objetivos de la institución, y el impacto que la materialización de los
riesgos contemplados en la planificación puede tener sobre ellos.
11. Evalúa la gravedad del riesgo: Dentro de la
gestión de riesgos, para determinar la atención que cada uno de ellos debe
recibir se inicia con la calificación de riesgos, que se lleva a cabo
asignando valores a dos factores importantes: probabilidad e impacto. Por la
primera se entiende la posibilidad de ocurrencia del riesgo, mientras que
impacto hace referencia a las consecuencias que puede ocasionar a la
organización la materialización del riesgo (Serrano, 2018). Es mediante la
medición de impacto que se puede determinar si la materialización de un
riesgo tendrá implicaciones leves, moderadas, graves, o muy graves.
12. Prioriza riesgos: Una vez que se han
calificado los factores de riesgo, las instituciones deben proceder con la
evaluación del riesgo, la cual se obtiene calculando el producto entre
probabilidad e impacto, esto permite comparar los resultados de su
calificación con los criterios definidos para establecer el grado de
exposición al riesgo; Serrano (2018) sostiene que “de esta forma es posible
distinguir entre los riesgos aceptables, tolerables, moderados, importantes o
inaceptables y fijar las prioridades de las acciones requeridas para su
tratamiento”.
13. Implementa respuestas a riesgos: La
organización debe seleccionar y desarrollar actividades de control que contribuyan
a prevenir riesgos y a mitigar sus efectos si estos llegan a materializarse.
Gran parte del éxito de la gestión de riesgos estriba en la aplicación
concienzuda y firme de controles a modo de respuestas preventivas, la norma
ISO 31000:2018, enfocada en este tema, define control como “medida que
mantiene y/o modifica un riesgo” (ISO, 2018) en su apartado 6.4.3 “Análisis
del riesgo”, enfatiza la necesidad de considerar la evaluación de la eficacia
de los controles existentes, lo cual es muy importante dado que esta puede
variar en función del tiempo, la introducción de nuevos factores, etc., por
lo cual periódicamente se debería someter a prueba la eficacia de los
controles.
14. Desarrolla una visión a nivel de cartera:
Uno de los riesgos más importantes para las instituciones educativas privadas
es la de no alcanzar a cubrir sus costos por la falta de matrícula, en lo
cual también influye el nivel de cartera vencida. Es vital que se gestionen
oportunamente todos los riesgos asociados a las fluctuaciones significativas
en el desempeño de la entidad, dando prioridad a lo que tiene que ver con la
gestión de cobros. Por otro lado, en las instituciones públicas, los riesgos
están más asociados con la administración del presupuesto y a los recortes
que pueden venir de la Administración Central.
Para el
componente: Revisión y monitorización
15. Evalúa los cambios significativos: La
organización debe identificar y evaluar los cambios que podrían tener
impactos significativos en la gestión de riesgos. Para esto, es necesario
considerar que todas las instituciones van evolucionando a lo largo del
tiempo, y que los cambios traen consigo sus propias consecuencias, para bien
o para mal. Resulta un factor de especial interés considerar que, en el
Ecuador, las instituciones de nivel tecnológico son objeto de monitoreo
periódico por parte de entes de control estatales como el Consejo de
Aseguramiento de la Calidad de la Educación Superior y la Secretaría de
Educación Superior, Ciencia, Tecnología e Innovación, entidades que tienen
sus propios requisitos con respecto a su funcionamiento y gestión. Esto hace
sumamente necesario que la documentación asociada a la gestión de riesgos sea
actualizada con cierta frecuencia, la cual debe ser determinada por cada
institución en particular según su tamaño y necesidades particulares. Se
sugiere que esta actualización se realice cada vez que se detecte un nuevo
riesgo, sea que se haya materializado o no, y que se revise por lo menos una
vez al año.
16. Revisa el riesgo y el desempeño: Es
recomendable que cada instituto tenga como una buena práctica realizar
evaluaciones de desempeño tanto a nivel de procesos como a los colaboradores
para detectar a tiempo falencias que puedan influir en la aparición de
ciertos riesgos, esto aparte de las evaluaciones obligatorias que tengan que
llevar a cabo para responder ante sus entes de control.
17. Persigue la mejora de la gestión del riesgo
empresarial: En las instituciones de Educación Superior, existen riesgos
particulares asociados con la naturaleza de sus actividades, los cuales deben
ser gestionados de formas cada vez más eficientes, ya que se espera que las
habilidades del personal y de la organización en general vayan creciendo a lo
largo del tiempo. El enfoque de mejora continua, propio de la gestión de
calidad, debe aplicarse con especial énfasis en la gestión de riesgos ya que
este es un factor crítico del éxito de la organización.
Para el
componente: Información, comunicación y reporte.
18. Aprovecha la información y la tecnología:
Hoy en día las tecnologías de la información y la comunicación hacen parte de
la gestión normal de las instituciones educativas y presentan sus propios
riesgos inherentes. Someter las tecnologías a controles y validaciones es
fundamental para verificar su buen funcionamiento y mitigar apropiadamente
los riesgos asociados. Conviene añadir a las herramientas de gestión de
riesgos apartados específicos para los sistemas tecnológicos que cubran
contingencias para hardware, software y ciberseguridad.
19. Comunica información sobre riesgos: La
organización debe obtener, generar y utilizar información relevante para
encontrar nuevos riesgos y formas distintas de enriquecer las contingencias
para los ya detectados. Dado que las instituciones educativas son por lo
general entornos dinámicos, es muy importante que se preste atención a la
información que se va generando como producto de la interacción entre
docentes y estudiantes a lo largo del periodo lectivo, por lo que es
necesario garantizar la fluidez y accesibilidad de la información en todos
los niveles. Las instituciones educativas deben cerciorarse de facilitar
todas las herramientas necesarias para recoger la información relevante de
forma que esta pueda ser utilizada para tomar decisiones beneficiosas.
20. Informa sobre el riesgo, la cultura y el
desempeño: La organización debe comunicarse con las partes externas
interesadas sobre asuntos pertinentes a la gestión de riesgos. Esto es
aplicable para todos los grupos de interés que tienen participación directa o
indirecta en los procesos internos de la institución, especialmente los
docentes y estudiantes. Aparte de esto, es necesario prestar atención a las
disposiciones emitidas por entes de control al respecto, a fin de garantizar
que la mayor cantidad de información posible está cubierta.
RESULTADOS
La
aplicación del modelo COSO III tiene como finalidad ofrecer un marco
apropiado para la gestión de riesgos en organizaciones de todo tipo. Para las
instituciones educativas, es necesario adaptarlo a las necesidades
particulares de los entornos académicos, lo cual se puede realizar atendiendo
los puntos clave descritos en este trabajo.
DISCUSIÓN
La
gestión de riesgos en instituciones educativas es un tema poco tratado a
nivel de riesgos organizacionales, por lo general el tópico se aborda por
parte de entes de control desde un enfoque de prevención de riesgos
naturales, lo cual es un componente importante a nivel operativo, pero deja
de lado factores importantes a ser considerados dentro de la gestión integral
de este tipo de entidades. Hace falta abordar el tema con más frecuencia y
profundidad en los entornos académicos pues las soluciones a los problemas
que aquejan a las instituciones educativas solo pueden venir de ellas mismas.
CONCLUSIONES
El
presente trabajo aborda algunas recomendaciones utilizando COSO III, un marco
conocido y aceptado como referente a nivel mundial, lo cual puede ser de gran
ayuda para las instituciones que quieran mejorar su gestión de riesgos.
REFERENCIAS
Committee
of Sponsoring Organizations of the Treadway Commission. (2017). Enterprise
Risk Management Integrating with Strategy and Performance Executive Summary
(III). https://www.coso.org/Documents/2017-COSO-ERM-Integrating-with-Strategy-and-Performance-Executive-Summary.pdf
EALDE
Business School. (2020, 23 julio). Qué es el marco COSO de Gestión de Riesgos
y cómo surge. https://www.ealde.es/marco-coso-riesgos/
Martínez,
V. (2019, 11 enero). ¿Qué implica implementar COSO III en una organización?
Auditool. https://www.auditool.org/blog/control-interno/4731-que-implica-implementar-coso-iii-en-una-organizacion
Enguídanos,
A. M. (2009). Diccio Veiga, J. M. F.
(2013). INVESTIGACIÓN OPERATIVA DEL FRAUDE INTERNO Y EXTERNO EMPRESARIAL (1.a
ed.). Desconocida. Diccionario de Contabilidad, Auditoría y Control de
Gestión. Ecobook.
Fiorito,
D. (2020). Gestión de riesgos: cómo cumplir objetivos en el ámbito personal y
empresarial. Amazon Kindle.https://www.amazon.com/-/es/Diego-Fiorito-ebook/dp/B08JD3YX93/ref=sr_1_1?dchild=1&keywords=9789878509068&linkCode=qs&qid=1630630882&s=books&sr=1-1
Hurtado,
F. A. A., Velez, R. E. B., Rios, J. A. V. D. L., Vélez, R. E. B., & de
Los Ríos, J. A. V. (2008). Sistema de gestión integral. Una sola gestión, un
solo equipo. Alianza Editorial.
The
Institute of Internal Auditors. (2015, julio). Aprovechar el COSO en las tres
líneas de defensa. https://global.theiia.org/translations/PublicDocuments/COSO-2015-3LOD-Thought-Paper-Spanish.pdf
Organización
Internacional de Normalización. (2018). ISO 31000:2018(es) Gestión del riesgo
— Directrices. Online Browsing Platform (OBP). https://www.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:es
Serrano,
A. T. I. (2018). Control Interno y Sistema de Gestión de Calidad (Tercera
ed.). Ediciones de la U.
|