Está en la página 1de 168

Gestin de

Riesgos
Versin Light
(Apto para todo pblico)

Alan Santos Cori

Agradezco a:
Irene, que me apoya en cada locura
Gad, que me acompaa en cada aventura
Mis hermanos, que han actuado como revisores y crticos
Ma Isabel Casares San Jos-Mart, mi profe
Christian Haindl, de quien he aprendido casi todo en estas materias

Prefacio

La Gestin de Riesgos es un proceso que diariamente todo ser viviente


realiza en todo momento de su vida. En este texto no se pretende
presentar una verdad nica ni muchas verdades contrapuestas,
simplemente se busca introducir el tema en aquellas mentes no iniciadas
en la materia.
Se mencionan y tratan muchos aspectos de la Gestin de Riesgos, pero
todos ellos son referenciales. Lo nico relevante es que para realizar un
adecuado tratamiento de los riesgos, es necesario tener el inters y la
voluntad de hacer algo al respecto. De lo contrario, todo esfuerzo es
vano.
Es mi deseo y objetivo, que este esfuerzo realizado para facilitar la
comprensin del lector respecto de una materia tan vaga y difusa como
la Gestin de Riesgos, le permita contar con una orientacin, aunque
sea inicial, respecto de cmo o por donde comenzar.

Todos los derechos reservados. Prohibidas su reproduccin parcial y/o total sin
autorizacin escrita previa. Alan Santos

INDICE

INTRODUCCIN .................................................................................................. 13
NORMAS Y BUENAS PRCTICAS ...................................................................... 21
ISO 31000 .......................................................................................................... 28
COSO III ............................................................................................................ 31
BASILEA ............................................................................................................ 35
SOX ................................................................................................................... 39
FORMALIZACIN DE UN MODELO DE GESTION DE RIESGOS (MGR) .......... 43
BUSINESS IMPACT ANALYSIS (BIA) .................................................................. 48
ANLISIS FODA ................................................................................................... 54
FACTORES DE RIESGO ...................................................................................... 57
CATEGORAS DE RIESGOS................................................................................ 60
DEFINICIONES Y CRITERIOS ............................................................................. 67
ESCALA ............................................................................................................. 68
MEDICIN NOMINAL..................................................................................... 68
MEDICIN ORDINAL ..................................................................................... 69
MEDICIN POR RAZONES ........................................................................... 69
MEDICIN POR INTERVALOS ..................................................................... 70
TRES NIVELES ........................................................................................... 70

CUATRO NIVELES ..................................................................................... 72


CINCO NIVELES ......................................................................................... 73
OTRAS ESCALAS....................................................................................... 74
PROBABILIDAD................................................................................................. 77
IMPACTO........................................................................................................... 81
IMPACTO FINANCIERO ................................................................................ 83
IMPACTO LEGAL ........................................................................................... 84
IMPACTO EN IMAGEN .................................................................................. 85
IMPACTO NORMATIVO ................................................................................. 85
IMPACTO NEGOCIO...................................................................................... 86
OTROS PARMETROS DEL IMPACTO ........................................................ 86
EXPOSICIN AL RIESGO ................................................................................ 89
CONTROLES ..................................................................................................... 91
VALORIZACIN DE LOS CONTROLES ........................................................ 95
CALIDAD ..................................................................................................... 96
EFICACIA .................................................................................................... 96
EFICIENCIA ................................................................................................ 97
MAGNITUD DEL RIESGO ................................................................................. 99
MAGNITUD DISCRETA.................................................................................. 99
MAGNITUD CONTINUA ............................................................................... 100

UMBRAL Y APETITO AL RIESGO .................................................................. 102


METODOLOGA DE CLCULO (LA LICUADORA) ......................................... 106
METODOLOGA DE ANLISIS .................................................................... 108
METODOLOGA BSICA ............................................................................. 108
METODOLOGA DE INTRODUCCIN ........................................................ 113
METODOLOGA CONTNUA ....................................................................... 116
EL FACTOR TIEMPO ................................................................................... 126
PROCESO DE GESTIN DE RIESGOS ............................................................ 129
LEVANTAMIENTO DE PROCESOS................................................................ 135
FLUJOGRAMA ............................................................................................. 137
IDENTIFICACIN DE FACTORES DE RIESGO (FR) ..................................... 141
IDENTIFICACIN DE RIESGOS ..................................................................... 144
ASOCIACION FACTOR DE RIESGO RIESGO ............................................ 146
VALORACIN ..................................................................................................... 147
RIESGO .............................................................................................................. 150
INHERENTE O INICIAL ................................................................................... 150
RIESGO RESTANTE O RESIDUAL ................................................................ 152
MAPAS DE RIESGOS .................................................................................. 152
MAPA DE PROBABILIDAD x IMPACTO ................................................... 153
MAPA DE RIESGO RESTANTE ............................................................... 155

INFORMES ......................................................................................................... 157


ANLISIS COSTO BENEFICIO ....................................................................... 160
REGISTRO DE PRDIDAS ................................................................................ 162
GLOSARIO.......................................................................................................... 164
BIBLIOGRAFIA ................................................................................................... 171

INTRODUCCIN
Un da, o tal vez una noche, sent una serie de empujones. No entenda nada.
Estaba acomodado en mi rincn, sin molestar a nadie. Un poco apretado nada
ms, pero muy tranquilo. Vi una luz y sent la necesidad de ir a ella. Los
empujones eran cada vez ms fuerte. Haba una pequea abertura, pero no caba.
Trataba de salir pero no poda. Desde la luz entr algo como una cuchara y
empuj mi cabeza. Calzaba justo en la abertura y part. Al salir, haca mucho frio,
estaba todo seco, no saba que hacer e instintivamente comenc a gritar. De mis
narices saltaron lquidos varios. Me ator cuando metieron unos tubos en mi
garganta. Haca mucho frio, tena miedo, estaba incmodo. Lo nico que quera
era volver a donde estaba. Me envolvieron en unas telas, haba luz, mucha luz,
que molestaba mis ojos, voces y ruidos que no conoca. Entre ellos escuche una
voz familiar, me pusieron contra su pecho y escuche el latir de su corazn, me
tranquilizo, estaba con mi madre.
El simple hecho de nacer, un acto primordial en la vida de todo ser viviente, es un
acto riesgoso per se. Sin embargo, todos lo hemos sufrido y sobrevivido. El cordn
umbilical puede estar como banda presidencial alrededor del pecho, o peor an,
alrededor del cuello. Dentro de los primeros minutos el recin nacido debe
instintivamente aprender a controlar su temperatura corporal, aprender a respirar,
debe ser protegido contra los riesgos de enfermedades tan simples como un
resfro u otras ms complejas y graves. El nico lugar donde se siente protegido,
es cerca de donde siempre estuvo, escuchando lo que siempre escucho, el

corazn de su madre. Por qu? Por qu es necesario sentirse protegido?


Protegido de qu?
Instintivamente, todos sentimos aversin a situaciones y elementos que nos
puedan causar incomodidad, molestia, dao, dolor e incluso la muerte. Es por ello
que en principio nuestras madres nos protegen, unas ms que otras, y nos
permiten crecer y desarrollarnos hasta lograr defendernos de los riesgos que
enfrentamos diariamente. Riesgos que van desde un traspi o un simple raspn
en la rodilla, hasta riesgos sociales al enamorarse y no ser correspondido, riesgos
a la salud en general, llegar retrasados a un compromiso o no cumplir con alguna
obligacin, etc. En Chile existe una prenda de vestir denominada chaleco.
Usualmente es un suter grueso que ha sido tejido por las apasionadas y
amorosas manos de nuestra madre o abuela. Su definicin es esencialmente:
aquella prenda de vestir que tu madre te obliga a usar, cuando ella tiene frio. En
realidad, es una muestra de cmo ellas intentan controlar el entorno en el cual nos
encontramos y continuar instintivamente protegindonos de los riesgos.
Con las organizaciones, de cualquier tipo, por el simple hecho de ser hijas e hijos
de las personas, y ms an por estar compuestas de personas, estas tambin se
ven enfrentadas a riesgos y desafos que se encuentran en su entorno. Una
organizacin se puede enfermar si el virus de la corrupcin la afecta. Incluso
puede llegar a morir producto de ste insidioso virus. Una organizacin debe
cumplir con la Ley y puede ser castigada por su incumplimiento. Una organizacin
puede verse afectada por eventos de la naturaleza, quedar invlida o cojear. Una
organizacin, indistinto de su origen, tamao, industria o quehacer, siempre se

ver enfrentada a riesgos. Es por ello que es necesario, primero conocer cules
son y luego gestionarlos o decidir qu hacer al respecto.
Al analizar las conductas individuales de las personas, diariamente gestionan los
riesgos, sea al elegir un producto que sea ecolgico o no, si contiene sustancias
nocivas, o se cruza en una esquina con luz roja o se detiene en un cruce
ferroviario. Desde el momento en que se levanta, un persona est gestionando
riesgos. El asearse diariamente tiene por objetivo mitigar la probabilidad de
enfermar. El lavarse los dientes diariamente tiene por objetivo llegar a la tercera o
cuarta edad y an contar con todos los dientes, etc.
Con las organizaciones sucede lo mismo. Las organizaciones deben gestionar sus
riesgos en forma permanente, sean estos riesgos propios del negocio como
comprar o vender o el riesgo de contratar a alguien que no sea adecuado, o que
se inicie un incendio en las bodegas o la planta de produccin, etc. Sin embargo,
la organizacin no gestiona los riesgos simplemente por arte de magia. Las
personas son la principal, aunque no la nica, fuente de riesgo de una
organizacin y la nica forma de mitigar estos riesgos es con colaboradores
consientes de la necesidad de gestionar permanentemente el riesgo. Esto no es
una tarea fcil, por lo que es necesario sistematizar la Gestin de Riesgos en una
organizacin mediante un Modelo de Gestin de Riesgos, similar en estructura o
equivalente a un Sistema de Gestin de Calidad (ISO 9001) o un Sistema de
Gestin de Seguridad de la Informacin (ISO 27001) o un Modelo de Prevencin
de Delitos Corporativos (Ley 20.393 de Chile) o tantos otros.

Incluso, al generalizar ms los conceptos, se podra establecer que hoy en da, la


Humanidad en forma ntegra, se ve enfrentada a diversos desafos. El mayor de
ellos es la subsistencia de la misma, producto del Cambio Climtico. Sin embargo,
existen diversos riesgos que permanentemente ponen en jaque el inters global y
el de la mayora de las personas que comparte este pequeo grano de arena que
flota en la inmensidad del universo. Los riesgos de guerras, producto de la
intolerancia e incomprensin o simplemente porque se puede; Los riesgos de
enfermedades, muchas producidas o generadas por la misma humanidad; Los
riesgos asociados a la naturaleza de nuestro universo y de nuestro planeta, que
han provocado la desaparicin de una innumerable cantidad de vida en este
mismo planeta; slo por mencionar algunos.
En general, todo ser viviente en este planeta, inconscientemente est en forma
permanente evaluando riesgos. Un venado evala la existencia de depredadores
antes de acercarse a tomar agua en un bebedero. Quienes viven en una ciudad,
evalan cruzar o no una calle. Quienes viven en el campo, evalan el riesgo de
sembrar o plantar tal o cual fruto o cultivo. Todos estn permanentemente
evaluando riesgos.

La Gestin de Riesgos es un proceso complejo que formalmente nace con los


comerciantes y banqueros. Los primeros Riegos en ser formalmente evaluados y
considerados, fueron los riesgos asociados al Crdito. Esto es que la contraparte
no devuelva o reintegre los fondos entregados a un plazo determinado. De all
nacieron las aseguradoras, otra industria con un alto nivel de conocimiento de la

Gestin de Riesgos, puesto que ese es su negocio. Con el advenimiento de la


revolucin industrial, comenzaron a considerarse formalmente los Riesgos del
Negocio y/o Riesgos del Mercado. Estos riesgos tienen que ver directamente con
el quehacer, si voy a importar un producto determinado, que no surja un producto
alternativo, si la fecha de lanzamiento del producto es crtica, que exista
disponibilidad en dicha fecha, si voy a vender trajes de bao, que no sea en
Alaska o en invierno o en el desierto.
Tras las Primera y Segunda guerras mundiales, surgi la necesidad de formalizar
la evaluacin de otro tipo de riesgo, como el Riesgo Pas o Poltico Social. En
este riesgo se evala la estabilidad poltica y social del mercado, la madurez de la
economa y del marco jurdico, etc. Finalmente, hacia principios del nuevo milenio,
una serie de escndalos que terminan por liquidar importantes organizaciones y
desestabilizan los mercados internacionales hacen pensar que existen otros tipos
de riesgos, por lo que nace un nuevo tipo de riesgo a ser considerado al momento
de la toma de decisin, el Riesgo Operacional. Este tipo de riesgo considera los
accidentes laborales, discontinuidades operacionales producto de procesos mal
diseados o ejecutados, de fallas en tecnologas, Fraudes internos y externos, etc.
Adems, hay quienes consideran en este tipo de riesgo, los mbitos jurdicos y
normativos que en algunos casos incluso pudieran llegar al cierre de la operacin,
con el correspondiente perjuicio.

La Gestin de Riesgos corporativos es un proceso efectuado por todos los


miembros de una organizacin, diseado para identificar eventos negativos
reales o potenciales que puedan afectar a la organizacin y coordinar la
implementacin de las medidas necesarias y suficientes tal que se mantenga
un nivel de exposicin dentro de lo aceptado, que aporte en la toma de
decisin de la organizacin. (ISABEL CASARES SAN JOS-MARTI Proceso
de Gestin de Riesgos y Seguros en las empresas - 2013)

En este texto, se entregar una visin bsica y genrica de cmo identificar, medir
y evaluar los riesgos, as como establecer una orientacin respecto de cmo se
podra implementar un Modelo de Gestin de Riesgos en forma amplia, sin
limitaciones de visin o de mbito, permitiendo que cada institucin, organizacin
o persona pueda optar por una metodologa segn estime factible aplicar a la
gestin de sus riesgos, indistinto del tipo de riesgo o del tipo y caractersticas de la
organizacin a la que se aplique. Los conceptos y frmulas planteados son
meramente referenciales, pudiendo los interesados aplicarlas directamente o
modificarlas, adaptndolas a su propia organizacin y realidad.
No obstante, es indispensable conocer qu se puede hacer con los riesgos que se
identifiquen. El cmo, se definir en base a las caractersticas y recursos que la
organizacin pueda disponer o considere relevantes para la gestin de sus
riesgos.

Los riesgos solamente se pueden (TATE):


1. Transferir: Mediante la contratacin de seguros o la subcontratacin de
bienes y/o servicios. Usualmente al traspasarse un riesgo, aparecen otros.
2. Aceptar: Asumiendo formalmente que los costos de mitigacin son
demasiado altos respecto del beneficio de dicha mitigacin.
3. Tratar: Mediante la implementacin de elementos de control y/o mitigacin
que reduzcan probabilidad o impacto de ocurrencia de un evento adverso.
4. Eliminar: Dejando de hacer las actividades que generan el riesgo.
Es importante recordar, que peor que no hacer algo respecto de un riesgo
conocido, es desconocer la existencia del mismo. Por tanto, el proceso de
levantamiento e identificacin de los riesgos requiere de un alto nivel de
minuciosidad,

detalle

participacin

de

todas

las

partes

involucradas,

especialmente de los dueos de proceso y quienes ejecutan directamente las


actividades donde se pudieran presentar los riesgos. Sin embargo, desconocer un
riesgo, es decir, hacer la vista gorda respecto de la mera existencia de uno,
incluso pudiera configurarse como un delito. Es por ello que es mejor identificar
todos los riesgos posibles y, en caso de decidir no tratar uno u otro, por cualquier
motivo, declararlo formalmente, documentado, para evitar sorpresas. En esta
declaracin, para cada riesgo que no se tratar, sino que se acepta, es necesario
hacer una pequea explicacin de no ms de un par de lneas que justifique o de
alguna forma explique porqu se acepta. Puede ser por un tema de costo, de
simple relevancia o porque est fuera de las competencias de la organizacin. Sin

embargo, es evidencia que el riesgo se conoce y la organizacin est consciente


de su existencia.
En este texto se har especial nfasis en intentar llevar apreciaciones subjetivas a
resultados objetivos, involucrando frmulas matemticas como parte de una
metodologa para determinar lo ms objetivamente la Magnitud del Riesgo al cual
una organizacin se expone. Sin embargo, no hay ninguna metodologa
perfecta, ideal o desde el punto de vista opuesto, mala o siquiera errada.
Existen tantas metodologas de Gestin de Riesgos, como profesionales y
organizaciones que las aplican. De hecho existen ms de una treintena de
metodologas formales que pueden ser utilizadas para la Gestin de Riesgos.
En este texto se utilizar la metodologa de Matriz de Probabilidad x Impacto a
objeto de representar grficamente los resultados del proceso de Apreciacin del
Riesgo. El motivo por el cual se ha seleccionado esta metodologa, es que ella es
la ms prxima a lo indicado en los estndares ISO, en todas aquellas instancias
en las que se requiere evaluar algn tipo de riesgo, sea de seguridad, continuidad,
medio ambiental, salud ocupacional, responsabilidad social, inocuidad alimentaria
entre muchas otras. Ninguna Norma ISO especifica explcitamente que se debiera
utilizar una matriz de Probabilidad x Impacto, sin embargo s indica que es
necesario, al momento de considerar el riesgo, conocer su Probabilidad y
Consecuencia.

NORMAS Y BUENAS PRCTICAS

Al tratar de analizar los riesgos por primera vez, es necesario buscar referencias o
parmetros para conocer cmo gestionarlos o simplemente cmo identificar el
riesgo. Existen diversas normas internacionales y recomendaciones respecto de la
gestin de riesgos especficos. Por mencionar algunas, sin ser una lista exhaustiva
ni mucho menos detallada, se puede mencionar a: ISO 9001:2015 que busca
gestionar los riesgos asociados a la calidad del producto/servicio; ISO 14001 que
busca gestionar los riesgos medioambientales; OHSAS 18000 que busca
gestionar los riesgos laborales; ISO 22001 que busca gestionar los riesgos
relacionados a la inocuidad alimentaria; ISO 19600 que busca gestionar los
riesgos relacionados con el cumplimiento o compliance; BASILEA I, II y III, que
es una recomendacin en el mbito de la industria financiera, aunque en algunos
pases es una exigencia para la industria financiera; SOX, Ley norteamericana que
busca hacer responsables a la alta direccin de conocer exactamente el origen,
flujo y destino de los recursos que por ella transitan; COSO I, II y III, as como
SAS, que tambin son recomendaciones que apuntan esencialmente a la
informacin contable y financiera, aunque COSO III es bastante ms amplia y se
puede aplicar a otras instancias; la Directiva del Parlamento Europeo Solvencia I y
II que regula en forma continental (Europa) la industria de los seguros; ITIL busca
gestionar riesgos asociados especficamente al mbito de servicios y tecnologas,
al igual que ISO 20000; ISO 27001, que busca controlar los riesgos relacionados
con la Seguridad de la Informacin; y la Gua ISO/CEI 73:2002 que proporciona

definiciones genricas de trminos relacionados con la Gestin de Riesgos. Todas


las anteriores, slo por mencionar algunas, son referencias vlidas de reglas,
definiciones o lineamientos de Gestin de Riesgos que pueden y debieran ser
utilizadas como mnimo como un punto de referencia.
Como se puede observar, existe un enorme universo de recomendaciones y
normas que son especficas a temas puntuales. Sin embargo, del concepto ms
amplio de riesgo en forma genrica, del concepto de Gobierno Corporativo de la
Gestin de Riesgos, aplicable a todo tipo de gestin de riesgos, se plasma en la
norma ISO 31000, complementada con la norma ISO 31010 que establece
tcnicas de evaluacin de los riesgos. Esta norma no es especfica, puesto que la
variedad de riesgos e Industrias hace que sea prcticamente imposible determinar
un criterio nico y uniforme. Sin embargo, s es posible estandarizar algunos
conceptos que s son transversales a toda industria y proceso. Es justamente por
ello que la Norma ISO 31000 no es certificable, las variantes son tantas en funcin
de las infinitas caractersticas y particularidades de cada organizacin, que no se
puede estandarizar. El mismo concepto de riesgo que para unos puede ser una
cosa, para otros puede ser algo distinto.

Existen distintos tipos o categoras de riesgos, los que para efectos de este texto
sern considerados los mbitos de Riesgo.
Estn los Riesgos de Crdito, que hacen esencialmente referencia al riesgo de no
poder recuperar recursos entregados a otros. Por ejemplo, cuando se vende a
crdito, existe un plazo en el cual el producto est entregado, posiblemente
distribuido e incluso puede estar consumido, pero an no se recibe el pago. Si
durante ese plazo el cliente desaparece por cualquier motivo (quiebra, muerte,
fraude, etc.), no es posible recuperar los recursos y por ende se genera una
prdida y un impacto negativo. Lo mismos es aplicable a la industria bancaria,
cuando se otorga un crdito propiamente tal, al servicio pblico y empresas de
bienes y/o servicios.
Estn los Riesgos de Mercado o Poltico - Sociales, que se asocian a las
condiciones socio-econmicas del mercado en que la organizacin realiza sus
actividades. En este sentido se consideran posibles cambios en el mercado
internos, estabilidad geopoltica del lugar de desarrollo de la actividad, estabilidad
social, factores culturales, etc. Todos estos eventos pueden generar la
materializacin de riesgos y la prdida de la totalidad de los ingresos e incluso de
la misma propiedad de la organizacin. Sin embargo, son riesgos propios del lugar
donde se realiza la actividad.
Tambin est el Riesgo de Negocio. Este es el riesgo propio de invertir en un rea
productiva o de servicio y que los resultados no sean los esperados o incluso
negativos. Por ejemplo invertir en la adquisicin de una cantidad de productos y no

lograr venderlos en los plazos definidos para generar una utilidad o rentabilidad
adecuada, podra generar prdidas de capital.
Finalmente est el Riesgo Operacional. Este tipo de riesgo abarca toda aquella
situacin que, indistinto de su origen o causa raz, pudiera directa o indirectamente
afectar la operacin o funcionamiento de una organizacin en su quehacer
cotidiano. As las cosas, el Riesgo Operacional abarca los riesgos legales, desde
el punto de vista de la fiscalizacin, de la relacin con clientes y proveedores, e
incluso con los propios empleados o con terceras partes que pudieran estar
involucradas, como un directorio o una junta de accionistas. Tambin incluye los
temas medio ambientales, seguridad de las personas, tecnologas, seguridad de la
informacin, seguridad ante situaciones de emergencia, sea originadas por el
hombre o la naturaleza, etc. El Riesgo Operacional abarca escencialmente
aquellos riesgos que directa o indirectamente pudieran afectar la Calidad,
Continuidad, Seguridad de la Informacin y eventualmente los aspectos legales.
Es decir, todo lo que no est en los mbitos de Riesgo mencionados
anteriormente.
Particularmente, cuando se evala el Riesgo Operacional, dada su diversidad de
mbitos, es recomendable clasificar los riesgos en los ejes que corresponda. As
se tendrn riesgos asociados al Eje Calidad, al Eje Seguridad de la Informacin, al
Eje Continuidad Operacional y al Eje Legal.

Dado lo anterior, la familia de las Normas ISO 31.000 es una buena gua que
puede ser complementada con buenas prcticas al respecto, que pueden
adoptarse o adaptarse segn sea el caso, a casi cualquier organizacin.
Nota: ISO 31.004 es la gua de implementacin de ISO 31.000

Otra recomendacin es Basilea II, la cual es el resultado de la segunda


recomendacin emitida por el Comit de Basilea o Comit de Supervisin
Bancaria de Basilea , en el ao 2004, la que pese a ser una norma orientada a la
industria financiera, puede aplicarse efectivamente a cualquier industria,
diferenciando pequeos matices, siendo la primera recomendacin en que se
identifican y tipifican los tres principales pilares de riesgo, los cuales tienen
aproximadamente el mismo peso o relevancia en la Gestin de Riesgos y que no
son propios de su quehacer (Riesgo de Negocio). Estos son el Riesgo de Crdito,
Riesgo de Mercado y Riesgo Operacional antes mencionados.

Una pregunta frecuente es Qu se entiende por Buena Prctica? Existen


Normas, que pueden ser de reconocimiento nacional o internacional, orientadas a
una industria, procesos especficos o genricos a todo tipo de organizacin, que
consisten en un conjunto de reglas y mandatos que la organizacin se auto
impone como obligatorias; est la legislacin de cada localidad, la Ley, que
consiste de un conjunto de reglas y mandatos impuestos por un ente supervisor;
existen las Recomendaciones, que consisten de un conjunto de elementos y
reglas que pudieran ser implementadas o eventualmente asimiladas o adaptadas
a la organizacin; y las Buenas Prcticas consisten en reglas, controles y en

general ciertas actividades comunes a mltiples organizaciones a nivel global que


han dado resultados positivos similares y satisfactorios, transformndose as, en
Buenas Prcticas.
Por lo general el Ciclo de Denim o Ciclo PDCA (figura 1), ampliamente utilizado en
todas las Normas ISO para representar el ciclo de mejora continua, es una
excelente forma de explicar los aspectos generales del proceso de Gestin del
Riesgo. Al compararlo con el flujo del Proceso de Gestin de Riesgos (figura 2) se
puede observar la similitud.
El Ciclo PDCA (por sus siglas en ingls Plan, Do, Check, Act) desde la perspectiva
de la Gestin de Riesgo comienza por la identificacin de los riesgos, producto de
lo cual se establecen planes de accin. Una vez estos planes de accin han sido
definidos (Planificar), se procede a su implementacin u operativizacin (Hacer).

PLANIFICAR

HACER

ACTUAR

VERIFICAR

OPERACION

RIESGOS

GESTIN DE RIESGOS

Fig 1 Ciclo PDCA


Fuente: Estndares ISO

Fig 2 Proceso de Gestin de Riesgos


Fuente: ISO 31000:2009

Una vez implementados los planes de accin, es necesario verificar la efectividad


de ellos, mediante una nueva medicin de los riesgos (Verificar) y en funcin de
los resultados, es necesario tomar acciones adecuadas (Actuar), para lo cual se
procede a planificar y as se va generando la mejora continua, la mitigacin de
los riesgos y estos a su vez caen a niveles aceptables o a un punto en que pueden
ser traspasables a otras organizaciones tales como empresas de seguro o
proveedores estratgicos.
En este punto, es importante recordar que no importa cunto se mitigue un riesgo
o un Factor de Riesgo especfico, se puede gastar infinitos recursos, pero nunca el
riesgo ser eliminado, excepto cuando se elimine la actividad o el conjunto de
actividades que generan dicho riesgo. Usualmente, la eliminacin de una actividad
para eliminar un riesgo, conlleva el surgimiento de otros riesgos que antes no
existan.
Por ejemplo, la nica forma de eliminar de raz el riesgo de sufrir un ataque
ciberntico, es simplemente desconectar completamente a la organizacin de todo
equipo o quehacer relacionado con Internet. Una situacin tan extrema como esta
podra presentar otros desafos y generar otros riesgos o aumentar la probabilidad
de ocurrencia o el impacto de riesgos existentes, como pudiera ser un error de
digitacin o ilegibilidad del registro, si los registros se realizan con lpiz y papel.

ISO 31000
Pese a que no existe ningn estndar certificable que pueda definir un criterio u
orientacin nica para una adecuada Gestin de Riesgos, ISO (International
Standards Organization), dada su vasta experiencia en materias relacionadas, es
un referente importante que hay que considerar. Particularmente, y al darse
cuenta que todas sus normas de una u otra forma incorporan a la Gestin de
Riesgos especficos, la ISO decidi desarrollar una Recomendacin o Gua para
la implementacin de la Gestin del Riesgo. Es importante hacer notar que ISO en
ningn momento recomienda un Modelo o Sistema de Gestin del Riesgo basado
en algo parecido a lo planteado en otras normas tales como la ISO 9001, ISO
14001 u otras, pese a que implcitamente en cada una de las normas ISO
demanda una adecuada identificacin y Gestin de Riesgos asociados a dichas
normas. De hecho, la revisin de ISO 9001:2015 incorpor explcitamente la
obligacin de gestionar los riesgos y particularmente tomar en consideracin la
probabilidad y consecuencia de los riesgos identificados.
En ste documento slo se mencionar algunos de los aspectos de la norma,
puesto que entrar en su detalle corresponde a otro documento, con un anlisis
ms en profundidad de ella.

ISO 31000 trata del Gobierno Corporativo, de cmo la organizacin en forma


integral puede gestionar sus riesgos y cules son los pasos que pudiera seguir
para ello. En su versin 2009 (actualmente en etapa de revisin), la Norma se
enfoca en los siguientes mbitos:
0. Introduccin
1. Alcance
2. Trminos y Definiciones
3. Principios
4. Marco de Accin
5. Procesos
En los Trminos y Definiciones, ISO 31000 define lo que el estndar entiende por
29 conceptos especficos. Complementariamente en la Gua 73 se incluye una
serie de definiciones que aplican a todas las normas ISO. El objetivo es que
cualquiera que implemente en base a estas guas, entienda lo mismo para el
mismo concepto.
Los principios de la Gestin de Riesgos de la gua ISO 31.000 son 11 y se
enumeran a continuacin:
a. Crear Valor
b. Est integrada en los procesos de la organizacin
c. Forma parte de la toma de decisiones
d. Trata explcitamente la incertidumbre
e. Es sistemtica, estructurada y adecuada
f. Est basada en la mejor informacin disponible

g. Est hecha a medida


h. Tiene en cuenta factores humanos y culturales
i.

Es transparente e inclusiva

j.

Es dinmica, iterativa y sensible al cambio

k. Facilita la mejora continua de la organizacin


Fuente: ISO 31000:2009

No se entrar a analizar cada uno en detalle, existe suficiente literatura en el


mercado y en Internet como para profundizar cada uno de estos Principios.
Actualmente la gua ISO 31000:2009 se encuentra en revisin, siendo que el
diagrama adjunto mostrara los principales mbitos de cambios en la norma. Estos
bsicamente profundizan en mayor detalle algunos aspectos abarcados por la
versin 2009.
Relacin general entre las secciones de ISO 310000:20XX y el estndar existente

Procesos

ISO 31000:20xx

ISO 31000:2009

Introduccin

Introduccin

1. Alcance

1. Alcance

2.- Conceptos Clave y Definiciones

2.- Trminos y definiciones (29)

3.- Proceso de toma de decisiones en organizaciones

3.- Principios

4.- Proceso de consideracin de la incertidumbre en la


toma de decisiones

4.- Marco de trabajo

5.- Proceso de consideracin de la incertidumbre


cuando han existido cambios sucesivos

5.- Procesos

6.- Estructura organizacional y capacidades

Anexo A

7.- Criterios de rendimiento

Bibliografa

Anexos
A. Expresiones comunes (contemporneas y legadas)
B. Aplicacin a otros estndares
C. Aplicacin a requisitos de aproximacin basada en
riesgo
D. Aplicacin en ambientes ISO 31000:2009

El esquema esta diseado para mostrar donde los


conceptos en el estndar existente sern
principalmente considerados en el borrador del
nuevo estndar

Fuente: Traduccin desde Draft Design Specification for the revision of ISO 31000

COSO III
La recomendacin del Committee of Sponsoring Organizations of the Treadway
Commission (COSO) es bastante extensa, por lo que no corresponde su anlisis
detallado en este documento. No obstante, es importante hacer mencin de
algunos aspectos relevantes.
El objetivo principal del informe COSO es establecer una definicin de control
interno que sea comn para todas las entidades y que ayude a las organizaciones
a evaluar de mejor manera sus sistemas de control y en definitiva mejorar su
proceso de toma decisiones.
Particularmente COSO III define que la Gestin de Riesgos corporativos como el
proceso que incluye las siguientes capacidades:

Alinear el riesgo aceptado y la estrategia: En su evaluacin de alternativas


estratgicas, la direccin debiera considerar el riesgo aceptado por la
entidad, estableciendo los objetivos correspondientes y desarrollando
mecanismos para gestionar los riesgos asociados.

Mejorar las decisiones de respuesta a los riesgos: La gestin de riesgos


corporativos proporciona rigor para identificar los riesgos y seleccionar
entre las posibles alternativas de respuesta a ellos: evitar, reducir, compartir
o aceptar.

Reducir las sorpresas y prdidas operativas: Las entidades consiguen


mejorar su capacidad para identificar los eventos potenciales y establecer
respuestas, reduciendo las sorpresas y los costes o prdidas asociados.

Identificar y gestionar la diversidad de riesgos para toda la entidad: Cada


entidad se enfrenta a mltiples riesgos que afectan a las distintas partes de
la organizacin y la gestin de riesgos corporativos facilita respuestas
eficaces e integradas a los impactos interrelacionados de dichos riesgos.

Aprovechar las oportunidades: Mediante la consideracin de una amplia


gama de potenciales eventos, la direccin est en posicin de identificar y
aprovechar las oportunidades de modo proactivo.

Mejorar la dotacin de capital: La obtencin de informacin slida sobre el


riesgo permite a la direccin evaluar eficazmente las necesidades globales
de capital y mejorar su asignacin.

Contando con estas capacidades, COSO define que:

El entorno de control: Marca la pauta del funcionamiento de una


organizacin e influye en la concienciacin de sus empleados respecto al
control. Es la base de todos los dems componentes del control interno.
Principio 1: Demuestra compromiso con la integridad y los valores ticos
Principio 2: Ejerce responsabilidad de supervisin
Principio 3: Establece estructura, autoridad, y responsabilidad
Principio 4: Demuestra compromiso para la competencia
Principio 5: Hace cumplir con la responsabilidad

La Evaluacin de los riesgos: consiste en la identificacin y el anlisis de


los riesgos relevantes para la consecucin de los objetivos, y sirve de base
para determinar cmo han de ser gestionados los riesgos.
Principio 6: Especifica objetivos relevantes
Principio 7: Identifica y analiza los riesgos
Principio 8: Evala el riesgo de fraude
Principio 9: Identifica y analiza cambios importantes

Las Actividades de control: las actividades de control son las polticas y los
procedimientos que llevan a cabo las instrucciones de la direccin. Hay
actividades de control en toda la organizacin, a todos los niveles y en
todas las funciones; en stas incluyen aprobaciones, autorizaciones,
verificaciones, conciliaciones, y otras.
Principio 10: Selecciona y desarrolla actividades de control
Principio 11: Selecciona y desarrolla controles generales sobre tecnologa
Principio 12: Se implementa a travs de polticas y procedimientos
Principio 13: Usa informacin Relevante

La Informacin y comunicacin: hay que identificar, recopilar y comunicar


informacin pertinente en forma y plazo que permitan cumplir a cada
empleado con sus responsabilidades.

Principio 14: Comunica internamente


Principio 15: Comunica externamente

Supervisin: los sistemas de control requieren de un proceso que


comprueba que se mantiene el adecuado funcionamiento del sistema a lo
largo del tiempo; esto se consigue mediante supervisin controlada,
evaluaciones peridicas o ambas.
Principio 16: Conduce evaluaciones continuas y/o independientes
Principio 17: Evala y comunica deficiencias

Fuente: Informe COSO III - 2013

En resumen, COSO se parece mucho al modelo PDCA que usa ISO, donde se
desarrolla un Ambiente de Control, sobre el cual se desarrolla la Evaluacin de
Riesgos,

que

controlada

debe

ser

mediante

Actividades

de

Control,

producto de lo cual se
genera

informacin

comunicacin, la cual debe


ser

monitoreada

para

adecuar el Ambiente de
Control.
Fuente: Informe COSO II - 2004

BASILEA
Se le conoce como Basilea I, Basilea II y Basilea III, pero esencialmente son
informes y recomendaciones del Comit de Basilea o Comit de Supervisin
Bancaria de Basilea.

Estas son normas para las instituciones financieras que

directa o indirectamente participan o de alguna forma son supervisadas por


organismos relacionados a la banca mundial. La principal caracterstica de Basilea
II fue la de reconocer la existencia de un tipo de riesgo distinto a los conocidos a la
fecha, Riesgo de Crdito y Riesgo de Mercado. El Riesgo del Negocio est
implcito en el Riesgo de Crdito, el principal negocio de las instituciones
financieras, por lo que no se considera. Sin embargo, se defini por primera vez la
existencia de un Riesgo Operacional. Esto es que existe riesgo para mi
organizacin, producto de la misma organizacin, su funcionamiento y operacin
y/o sus colaboradores, infraestructura o tecnologas involucradas.
De esta forma, Basilea reconoce la necesidad de gestionar especficamente los
riesgos operacionales respecto de las siguientes 7 categoras:
CATEGORIA
FRAUDE INTERNO

DEFINICIN
Riesgos derivados de algn tipo de actuacin
orientada a cometer fraude, apropiarse de bienes
(robo) o soslayar la legislacin (informes adulterados)
en los que se encuentran involucrados, al menos, una
persona perteneciente al grupo.

CATEGORIA
FRAUDE EXTERNO

DEFINICIN
Riesgos derivados de algn tipo de actuacin
orientada a cometer fraude, apropiarse de bienes o
soslayar la legislacin por parte de terceros ajenos a
la compaa.

RELACIONES

Riesgos derivados de actuaciones incompatibles con

LABORALES Y

la legislacin o acuerdos laborales sobre empleo

SEGURIDAD EN EL

(despido injustificado) y seguridad laboral, as como

TRABAJO

las derivadas de reclamos por daos personales


(fsicos o squicos), incluidas las relativas a acoso y
discriminacin.

CLIENTES,

Riesgos derivados del incumplimiento involuntario,

PRODUCTOS Y

negligente o doloso de una obligacin frente a los

PRCTICAS

clientes, que pueden generar, como por ejemplo,

EMPRESARIALES

costos y responsabilidad civil asociada con temas de


idoneidad, incumplimiento de obligaciones fiduciarias
(obligacin de actuar lo mejor posible en beneficio de
los intereses de otra parte) y prcticas de venta.

DAOS A ACTIVOS

Riesgos derivados de daos o perjuicios a activos

MATERIALES

materiales o inmateriales, como consecuencia de


desastres naturales u otros eventos causados por la
mano

del hombre

terroristas, etc).

(Protestas, paros,

atentados

CATEGORIA

DEFINICIN

INCIDENCIAS EN EL

Riesgos derivados de interrupciones inesperadas de

NEGOCIO Y FALLOS

la actividad y/o de la prestacin de servicios,

EN LOS SISTEMAS

provocadas por fallas en los sistemas (problemas de


software, hardware o telecomunicaciones u otras
tecnologas).

EJECUCIN, ENTREGA Riesgos derivados de errores en el procesamiento de


Y GESTIN DE

operaciones

PROCESOS

interna), as como de relaciones con contrapartes


comerciales

o en la gestin de procesos (gestin

proveedores.

Podra

incluir

los

asociados a temas legales.


Fuente: Informe Basilea II - 2004

Lo anterior, sin dejar de lado las gestiones realizadas respecto de los Riesgos de
Crdito y Riesgos de Mercado ya conocidos con anterioridad.
Cmo se puede observar, desde el punto de vista operacional, los riesgos o
Categoras de Riesgos especificados por Basilea son bastante transversales a
todo tipo de organizacin, indistinto que est o no relacionada a la industria
financiera o especficamente a la banca. A diferencia de las otras normas y
recomendaciones, Basilea es la nica que especifica y agrupa de alguna forma los
riesgos.

Adicionalmente, Basilea ha generado una definicin de riesgo bastante interesante


y adaptable a los conceptos de Gestin de Riesgo. As ha definido el Riesgo
Operacional como:

El riesgo de prdidas resultantes de la falta de adecuacin o fallas en los


procesos internos, de la actuacin del personal o de los sistemas o bien aquellas
que sean producto de eventos externos. Fuente: Informe Basilea II Banco Mundial

En definitiva, el riesgo de prdidas resultante de cualquier situacin o evento


adverso que ocurra.

SOX
Sox es una legislacin norteamericana que nace a principios del milenio (2002)
como respuesta a una serie de situaciones financieras de grandes empresas y
conglomerados que afectaron la economa global. Al consultar a cualquier
entendido en la materia, cul es el punto ms relevante de la legislacin, todos
respondern, con un 100% de certeza, que la seccin 404 de la Ley.
SEC. 404. MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS.
(a) RULES REQUIRED.The Commission shall prescribe rules requiring each
annual report required by section 13(a) or 15(d) of the Securities Exchange Act of
1934 (15 U.S.C. 78m or 78o(d)) to contain an internal control report, which shall
(1) state the responsibility of management for establishing and maintaining an
adequate internal control structure and procedures for financial reporting; and (2)
contain an assessment, as of the end of the most recent fiscal year of the issuer, of
the effectiveness of the internal control structure and procedures of the issuer for
financial reporting.
(b) INTERNAL CONTROL EVALUATION AND REPORTING .With respect to the
internal control assessment required by subsection (a), each registered public
accounting firm that prepares or issues the audit report for the issuer shall attest to,
and report on, the assessment made by the management of the issuer. An
attestation made under this subsection shall be made in accordance with
standards for attestation engagements issued or adopted by the Board. Any such
attestation shall not be the subject of a separate engagement.
Fuente: Sabarnes-Oxley Law Biblioteca del Congreso de EEUU - 2002

"SEC. 404. Evaluacin de la Direccin respecto de los controles internos.


(A) NORMAS REQUERIDAS.-La Comisin debiera fijar las reglas que
requieren cada informe anual requerido por el artculo 13 (a) o 15 (d) de la
Ley de Valores de 1934 (15 USC 78m 78o o (d)) para contener un control
interno informe, que deber: (1) precisar la responsabilidad de la
administracin para establecer y mantener una estructura de control interno
adecuado y procedimientos para la presentacin de informes financieros; y
(2) contener una evaluacin, a partir de finales del ao fiscal ms reciente
del emisor, de la eficacia de la estructura y los procedimientos del emisor
de la informacin financiera de control interno.
(B) CONTROL INTERNO DE EVALUACIN Y NOTIFICACIN.-Con respecto
a la evaluacin del control interno requerido por el inciso (a), cada firma de
contabilidad pblica registrada que prepare o expida el informe de auditora
para el emisor, deber dar fe e informar sobre la evaluacin hecha por la
administracin del emisor. Una certificacin hecha bajo esta seccin
deber hacerse de acuerdo con las normas para las certificaciones
emitidas o adoptadas por el Consejo. Dicha certificacin no ser objeto de
un compromiso por separado".
Fuente: Traduccin Sabarnes-Oxley Law Biblioteca del Congreso de EEUU 2002

Otros artculos de la Ley que son relevantes, son:


Sec. 302. Responsabilidad corporativa por reportes financieros
Sec. 303. Influencia inapropiada en la conduccin de auditoras
Sec. 401. Revelaciones en reportes peridicos
Sec. 802. Penalidades criminales por alterar documentos

En buen espaol, lo que esta Ley establece es que es responsabilidad de los


dueos y directores y todo aquel con facultades de administracin, la disposicin
de informacin detallada y fidedigna de los movimientos de los recursos de la
organizacin, particularmente los financieros, as como todo acto que intente
engaar las fiscalizaciones. Los estados financieros debern ser auditados por un
tercero que acreditara la veracidad de los datos. El punto ms relevante de ello es
que sea FIDEDIGNA. En definitiva, busca de alguna forma salvaguardar la fe
pblica.
En resumidas palabras, la ley SOX establece la pena de presidio para quienes
incumplan la obligacin de contar y entregar informacin financiera fidedigna.
Dado lo anterior, se entiende porqu el nivel de preocupacin de los empresarios
norteamericanos respecto de esta Ley. Hasta la promulgacin de la misma, no
existan penas de crcel para quienes realizaban desfalcos a las compaas en las
cuales se desempeaban, particularmente sociedades annimas donde la
responsabilidad final recae en los accionistas, limitada a la cantidad de acciones
que cada uno representa. Con esta legislacin, adicionalmente, se hizo
responsables a todos quienes tuvieran algn nivel de capacidad de administracin
de recursos financieros, debiendo responder en cualquier momento con
informacin suficiente y fidedigna, como para poder identificar con absoluta
certeza qu dinero entr, por donde pas y en qu se gast.
Por otro lado, existe un tema de alcance. En general las distintas legislaciones
aplican territorialmente. Sin embargo, esta ley aplica a toda empresa
norteamericana o que tenga algn grado de participacin de una empresa

norteamericana. Esto es, si una empresa de origen norteamericano es duea de


una accin de una compaa de cualquier otro lugar del mundo, los fiscalizadores
pueden hacer responsables a los directivos connacionales responsables por
informacin falsa o no fidedigna respecto de la empresa que no es norteamericana
y cuyos resultados deben declarar para efectos impositivos.

FORMALIZACIN DE UN MODELO DE GESTION DE RIESGOS (MGR)

No es posible implementar un Modelo de Gestin estandarizado en todas las


organizaciones del tipo establecido en las normas ISO, pero para efectos de
Gestin de Riesgos es posible incorporar en la organizacin una cultura de su
gestin y un sistema o modelo que opere en forma permanente para garantizar
en algn grado su correcta adopcin y operacin.
Una vez definido por las mximas autoridades de la organizacin, que se requiere
identificar, evaluar, tratar y gestionar sus Riesgos mediante un MGR, una de las
primeras acciones es la de generar conciencia y responsabilidad en toda la
organizacin. Esta accin puede desarrollarse en paralelo a otras acciones
tambin necesarias, como las definiciones respecto del MGR, metodologa, etc.
Para generar conciencia organizacional es necesario se cumplan varios requisitos
y formalismos. Para comenzar, es necesario definir, formalizar e informar a la
organizacin, cules sern los objetivos del MGR, los que debieran estar
alineados con los objetivos estratgicos de la organizacin. Por ejemplo, un
adecuado MGR podra aumentar el valor de las acciones de una empresa, facilitar
la gestin de riesgos relacionados con normativas y regulaciones, abrir mercados
que antes no estaban al alcance, reducir accidentes de personal y por ende
mejorar las caractersticas de los seguros, etc.
La organizacin debe definir una estructura organizacional que pueda administrar
adecuadamente los Riesgos e informar a las autoridades correspondientes para
que, con la debida diligencia respecto de los eventos que pudieran materializar

Riesgos, se ejecuten acciones de mitigacin y se tomen acciones de mejora para


evitar o reducir la probabilidad de una nueva ocurrencia o el impacto de la misma.
En este sentido, se puede definir un Comit de Riesgos o un comit existente
designarlo como tal. Este comit tendr por principal funcin generar un
seguimiento permanente a las Polticas de Gestin de Riesgos y a los Riesgos
especficos identificados y deber mantener informado peridicamente a las
mximas autoridades de la organizacin, sean estas el dueo, el directorio, la
Junta de Accionistas, o quien corresponda. Adems, es necesario definir un
responsable nico o un equipo de trabajo liderado por l, que tenga dedicacin, a
lo menos prioritaria a estos temas, pudiendo combinarlos con temas tales como
Seguridad de la Informacin (OSI), Oficial de Cumplimiento o Compliance, Oficial
de Riesgo, Auditora, u otros modelos de gestin (del tipo requerido por los
estndares ISO), etc.

DIRECTORIO

Comit de
Riesgo

Gerencia
General

Gerencia 1

Gerencia 2

Staff

Gerencia N

Fig 3 Organigrama tipo

En la figura 3 se muestra un organigrama tipo donde el Comit de Administracin


de Riesgos puede estar relacionado directamente con la Gerencia General o
directamente con el Directorio o Dueos de la empresa. Eventualmente, puede

estar tambin bajo el alero de una Contralora o Jurdico, aunque dependiendo del
giro de la empresa, en la mayora de los casos, no es recomendable que estn en
el mbito legal, puesto que se tiende a minimizar los Riesgos relacionados con
otros factores, como el Operacional. El Comit de Administracin de Riesgos
necesariamente debe estar fuera de las reas de negocio y aquellas que generan
Riesgo. La razn es evidente, no se puede evaluar objetivamente una situacin de
la cual se es parte. Igualmente, el Comit de Riesgos debe incorporar a todas las
reas que generan y son dueas de los procesos donde existen los Riesgos,
presidido por el Gerente General o el Contralor de la empresa. En esta instancia
se deber informar regularmente el estado de la gestin de los riesgos, tomar
decisiones respecto de mejoras y tratamiento de los Riesgos, as como definir y
estructurar informes para el Directorio o Dueo.
Adicionalmente, dado que el principal Riesgo en toda organizacin tiene que ver
directamente con el Error humano, es necesario especificar e incorporar dentro
de la reglamentacin interna, perfiles de cargo y/o los propios contratos de trabajo,
clusulas especficas respecto de la Gestin de Riesgos que individualmente cada
colaborador debe realizar en sus actividades dentro de los procesos del negocio,
sean estas espordicas o cotidianas.
Una forma de difundir esta propuesta es la capacitacin. Sin embargo, si se
combina con campaas ldicas se puede mantener el inters por identificar y
gestionar los riesgos. Por ejemplo, hacer una cacera de riesgos con un premio
para quien identifique el riesgo ms relevante no identificado anteriormente, o una
bsqueda del mitigador perdido donde se premie a quien proponga controles o

mitigadores efectivos que pudieran reducir costos o reducir impacto o probabilidad


o una combinacin de ellos, etc. Los premios no necesitan ser costosas joyas,
vehculos de lujo o viajes paradisiacos, pero s puede ser una cena familiar en
algn lugar al cual habitualmente los trabajadores no tendrn acceso por los
costos que ellos significa, un par de das libres, entradas para el cine o un
concierto de msica, entradas para un parque de diversiones, obras de teatro, un
fin de semana en algn hotel o resort cercano, etc. De hecho, la misma campaa
es un mitigador, puesto que toda la organizacin estar atenta a los Riesgos y los
gestionar e informar a objeto de postular a obtener algn premio.
El MGR debe necesariamente ser revisado y actualizado regularmente por la
unidad encargada de la Gestin de Riesgos y adicionalmente, cada vez que se
produzca un cambio estructural o de proceso, una nueva evaluacin especfica
debe realizarse. El resultado de estas evaluaciones y su evolucin respecto de
perodos anteriores debe ser informado al Comit de Riesgos o aquel que cumpla
con sus funciones, para que a su vez, de considerarlo relevante, el Comit informe
a las autoridades superiores para una toma de conocimiento y posterior definicin
de acciones de mitigacin cuando correspondan. No obstante, peridicamente es
necesario mantener informadas a las autoridades de la organizacin, puesto que
dicha informacin pudiera ser relevante en las tomas de decisiones que se
realicen. Por ejemplo, decisiones estratgicas tales como la venta, compra o
fusin de la organizacin, salida a mercado de valores, etc. Adicionalmente, la
estructura, polticas y principales aspectos del MGR deben ser revisados

peridicamente por el Comit de Riesgos y sus resultados y decisiones tomadas,


deben ser informadas y ratificadas por el Directorio o Dueos.
En organizaciones muy grandes para que slo una persona gestione los riesgos,
se puede definir responsables sectoriales o de cada rea o gerencia de la
organizacin. Cada uno de estos tendr la responsabilidad parcial de supervisar y
controlar la operacin y funcionamiento del MGR en el rea o unidad a la cual se
le asigna.
De igual forma, cuando la organizacin es mediana o grande, es necesario contar
con especialistas en Riesgos. Estos especialistas apoyarn al Comit de Riesgo
para evaluar determinados riesgos especficos. Por ejemplo un especialista en
riesgos tecnolgicos, otro en temas legales, otro en temas contables, etc. Estos
especialistas colaboran con la identificacin de riesgos, su valorizacin y con la
capacitacin a los colaboradores en la gestin de controles y mitigadores que
ataquen estos riesgos.
Probablemente lo ms difcil para un modelo de gestin de cualquier tipo, es
justamente mantenerlo vigente, activo y consciente. Particularmente respecto de
un MGR, es necesario realizar las actividades suficientes para llegar al punto en
que los colaboradores inconscientemente comiencen a gestionar sus Riesgos,
simplemente porque es buen negocio para todos hacerlo.

BUSINESS IMPACT ANALYSIS (BIA)

Una forma de introducir a una organizacin en los conceptos relacionados a la


Gestin de Riesgos y su relevancia para el quehacer de la misma, es mediante el
desarrollo de un Anlisis de Impacto en el Negocio o BIA (por su sigla en ingls).
El motivo es simple, con un anlisis de alto nivel como un BIA, se puede
sensibilizar y eventualmente convencer a las autoridades y particularmente a los
mandos medios, que la Gestin de Riesgos genera un aporte relevante para la
organizacin y que es necesaria. El peor de todos los Riesgos, es aquel que se
desconoce. Se desconoce por donde puede llegar, se desconoce cmo puede
llegar y se desconoce cunto va a doler su materializacin. Justamente estos
tres conceptos son la base inicial para justificar el desarrollo de un BIA.
En el BIA se busca evaluar el impacto que pudiera tener en la organizacin uno o
un conjunto de eventuales incidentes que pudieran afectar los procesos crticos de
la organizacin y producto de este anlisis, determinar las acciones preventivas
que pudieran mitigar el impacto de la materializacin de dichos incidentes. Este
impacto pudiera ser de tipo monetario, el ms evidente, pero tambin pudiera ser
de tipo inmaterial como la imagen o incluso de tipo jurdico o normativo el que no
necesariamente termina en un costo directamente monetario. Eventualmente,
pudiera incluso generar la disolucin de la sociedad. Considerando que es una
primera herramienta para identificar escenarios y eventos que pudieran
materializarse y en base a ello definir un BCP o un DRP, su principal valor para la
Gestin de Riesgos es la informacin que se debe levantar para poder desarrollar

este anlisis y la sensibilizacin respecto de los Riesgos que afecta a quienes


realizan la toma de decisin y la gestin diaria de ellos.
Cuando se realiza un BIA, lo primero es definir cules son los procesos crticos de
la organizacin. Es comn que se piense que son los procesos de produccin o
venta, pero usualmente no son los nicos. En este primer paso es donde la
organizacin comienza a tomar conciencia de cules son sus procesos crticos
reales. Por ejemplo, una empresa productiva, considerar el proceso de
produccin como crtico. Sin embargo, el proceso de recepcin de materias primas
puede ser tanto o ms crtico, al igual que el proceso de despacho o distribucin, o
el de mantencin de equipamiento tecnolgico utilizado en la produccin.
Para poder identificar los procesos crticos es necesario tomar una referencia y
entender qu es un proceso crtico. Un proceso crtico es aquel sin el cual la
organizacin no puede hacer su negocio. Suena absurdo y demasiado
evidente, pero tendemos a olvidar o a dejar de lado lo evidente y concentrarnos en
lo que no lo es. En el caso de una fbrica de algo, es evidente que el proceso
productivo es crtico, pero si no hay un proceso de adquisiciones y otro de logstica
y recepcin de insumos, el primero no sirve de nada. Una forma fcil para
identificar los procesos crticos es hacer un mapa o un diagrama general de la
interaccin de los procesos y luego ir sacando uno a uno y observar si el negocio
puede seguir funcionando. Usualmente los procesos de recursos humanos no son
crticos, al igual que la contabilidad y eventualmente incluso bodegaje o
almacenaje. Pero consideremos una organizacin que presta servicios. Digamos
una empresa de transporte. Para efectos del ejemplo da lo mismo que el tipo de

transporte sea de carga, personas, valores, animales vivos, u otros. Las empresas
de transporte, en general, tienen esencialmente un proceso de retiro o carga de lo
que se transportar, uno de logstica o transporte y uno de despacho o entrega.
Sin embargo, si el camin, bus o avin no tiene combustible, el servicio no se
puede prestar. Luego, el proceso de carga de combustible es crtico. Por otro lado,
la mantencin peridica de los vehculos, el retraso en un par de das o una
semana no impide prestar el servicio, indistinto que los riesgos relacionados a la
mantencin aumenten, por tanto no es un proceso crtico. En general, toda
organizacin depende de las personas, del recurso humano. Sin embargo, salvo
casos contados, los procesos de contratacin, asignacin de beneficios, pago de
remuneraciones, etc., relacionados con las personas o procesos de recursos
humanos, usualmente no son crticos.
Veamos otro ejemplo. Una empresa que produce productos intravenosos tales
como sueros, productos oncolgicos u otros. Estos producen productos
especficos, diseados para cada paciente individual en funcin de una receta
mdica. Si se produce un error en su elaboracin, personas pueden morir.
Evidentemente, el proceso de produccin es extremadamente sensible. Sin
embargo, si no se entrega a tiempo, el paciente podra tambin morir. Luego la
logstica de despacho tambin es un tema crtico. Por otro lado, en todo el mundo
se conoce cmo es la letra de los mdicos, especialmente cuando se trata de
recetas. Qu sucedera cuando se recibe la receta en forma illegible? Tenemos
otro proceso crtico.

Una vez identificados los procesos crticos, es necesario priorizarlos. Todos son
crticos, pero habr unos ms crticos que otros. Puede usarse cualquier criterio,
pero es indispensable priorizarlos de alguna forma. Usualmente, los procesos
crticos ms evidentes se les consideran ms crticos. Por ejemplo, en una
universidad, el proceso de Admisin y Matrcula es evidentemente el ms
importante. En caso que dicho proceso se vea afectado, se corre el riesgo de
afectar los ingresos por un largo perodo de tiempo. No obstante, el proceso de
Toma de Ramos tambin es crtico, pero no tanto como la Admisin y Matrcula.
Identificados y priorizados los procesos, es necesario identificar los componentes
crticos de cada uno de ellos. Nuevamente, un componente crtico es aquel
cuya ausencia provoca que el proceso no funcione o se vea interrumpido.
Los componentes se

ordenan

en

tres categoras:

Recursos Humanos,

Infraestructura y Tecnologas. Estos componentes del proceso son los que se


combinan para transformar los elementos de entrada del proceso (insumos) en
elementos de salida (producto o sub-producto). Nuevamente, se requiere hacer un
diagrama del proceso crtico identificando los componentes y hacer el ejercicio de
sacar individualmente cada componente de cada actividad y evaluar si el proceso
se interrumpe. Cuando ello ocurra, se habr identificado un componente crtico. Es
recomendable asignar un valor a los componentes crticos. Por ejemplo, un
componente crtico cuya ausencia o falla afecta a varios procesos crticos es ms
relevante que uno que afecta slo a uno. Por otro lado, un componente crtico del
proceso ms crtico es ms relevante que un conjunto de componentes crticos de
otros procesos menos crticos. Cmo priorizar los componentes? Una forma es

asignar un valor a los procesos segn su criticidad. En sentido inverso, el proceso


ms crtico tendr el valor ms alto. Luego, a los componentes se les asigna un
valor equivalente a la suma de los valores de los procesos en que ste participa.
As por ejemplo, un componente crtico, cuya ausencia afecta los proceso crtico 4
de 5 y 5 de 5 tendr un valor de 1 + 2 = 3, mientras un componente crtico cuya
ausencia afecta nicamente el proceso ms crtico de todos, el proceso crtico 1
de 5, tendr un valor 5. Si un componente afecta a los dos procesos ms crticos,
ese componente es ms importante que otro que pudiera afectar nicamente a
uno u otro proceso.
Cuando se analizan estos componentes, se determinan escenarios que los
pudieran afectar, identificando Factores de Riesgo (FR) que pudieran afectar el
proceso crtico. Sin embargo, a estas alturas es necesario identificar tambin los
RPO y RTO. El RPO o Recovery Point Objective, es la cantidad de datos o
procesos que la organizacin considera tolerable o aceptable perder antes de
considerarlo una interrupcin del proceso. El RTO o Recovery Time Objective es
la cantidad de tiempo que un proceso puede estar detenido hasta que ste se
reactiva sin ser considerado crtico. Por ejemplo, un banco puede definir que su
RPO no debe ser ms de un segundo, puesto que una transaccin de miles o
millones de dlares puede ocurrir justamente en ese instante. Por otro lado, su
RTO puede definirse como un par de horas. Esto es que una vez que ocurre el
incidente, pueden demorarse hasta dos horas antes de determinar que ha ocurrido
una interrupcin de un servicio crtico. Cuntas veces hemos ido al banco y nos
encontramos con la excusa es que no hay sistema? Para el banco un par de

horas puede ser grave, pero no crtico, mientras que ms de eso ya pasa a ser
color de hormiga.
El proceso de Anlisis del Impacto en el Negocio o BIA, identificar situaciones de
impacto severo o mximo que afectarn a la organizacin y permitirn establecer
planes de contingencia organizados en un BCP o incluso planes ante situaciones
de desastre que se configurarn en un DRP.
Sin embargo, para efectos de la Gestin de Riesgos, el BIA nos aporta
informacin relevante, en funcin de la metodologa de Gestin de Riesgos que se
utilice. Los escenarios planteados en el BIA, la identificacin de procesos crticos y
de sus componentes, as como de los principales Factores de Riesgo o
situaciones puntuales que pudieran ocurrir y el impacto que estas pudieran tener
sobre la organizacin, los RTO y RPO de los procesos y de las actividades
puntuales,

son

un

importante

insumo

considerar.

Adicionalmente,

la

implementacin de un Plan de Continuidad de Negocio o BCP e incluso un DRP,


son mitigadores de impacto que deben ser valorados y considerados al momento
de determinar los niveles de riesgo restante de las situaciones puntuales en las
cuales se activan estos planes.
A diferencia del proceso inicial de Gestin de Riesgo, en que se asume existe una
Probabilidad y un Impacto, para efectos del BIA se asume una probabilidad 100%.
Esto es un evento que se ha materializado. Lo que un Modelo de Gestin de
Riesgos permite, es racionalizar y priorizar las inversiones y costos asociados a
las respuestas necesarias para hacer frente a los eventos detectados en un BIA.

ANLISIS FODA
Otra forma de introducir a la organizacin en la Gestin de Riesgos, es mediante
la realizacin de un detallado anlisis FODA o anlisis de Fortalezas y Debilidades
(Fortalezas, Oportunidades, Debilidades, Amenazas).
El proceso de anlisis de las Fortalezas y Oportunidades permitir identificar los
niveles de Riesgo Aceptables o controlados por la organizacin, as como los
controles y mitigadores implementados, mientras las Debilidades y Amenazas
permitirn identificar Riesgos.
Esencialmente, el proceso es el siguiente. Se prepara 4 cuadros, uno para cada
componente del FODA y luego se analizan individualmente. Usualmente cada
Fortaleza est asociada a una Oportunidad, aunque ello no es estrictamente
obligatorio y cada Debilidad muestra una Amenaza consistente en la explotacin
de dicha debilidad. Se analiza componente a componente y se listan los aspectos
de la empresa, la organizacin o el entorno que correspondan.
Al realizar el anlisis se define con cierta certeza el nivel de aceptacin de ciertos
Riesgos, se pueden identificar algunos riesgos especficos y se puede comparar y
ajustar las definiciones de los criterios de impacto. Este resultado de las
expectativas de la organizacin se cruza con las declaraciones de misin, visin y
objetivos del negocio, lo cual permitir identificar no slo el apetito al Riesgo,
sino eventualmente dar algunas luces respecto de las prioridades que se deben
atender.

Por ejemplo, la empresa tiene dentro de sus objetivos la externalizacin de la


organizacin hacia mercados nuevos. Dentro de las oportunidades, como
resultado del anlisis, surge la posibilidad de expandir el mercado objetivo hacia
los mercados externos y particularmente un determinado pas, probablemente
fronterizo. Sin embargo, existe un Riesgo adicional al del negocio propiamente tal,
el que estara relacionado con las fluctuaciones en el tipo de cambio entre una
moneda y la otra. Se puede definir que una variacin de un 5% del tipo de cambio
no afectar la poltica de precios y por ende se considerar para este riesgo en
particular como de impacto Bajo. Sin embargo, un cambio de un 50% en el tipo de
cambio, que afecta la factibilidad de continuar exportando a ese mercado, se
define como un Impacto Extremo. Como resultado se define un Nivel de
Tolerancia o Apetito al Riesgo, para este Riesgo en particular, de tipo Bajo, en que
se acepta variaciones del tipo de cambio abruptas de hasta un 15%. Si se tiene
una variacin de hasta un 30%, se considerar de tipo Medio; sobre un 30% hasta
un 45% se considerar un Riesgo Alto; y sobre ese valor se considerar Extremo.
Claramente, para este Riesgo en particular, un Nivel de Riesgos Alto o Medio
no es aceptable y algo hay que hacer al respecto.
En el mismo caso, se identifica como una Amenaza el hecho que la infraestructura
de produccin est al 90% de su capacidad, por lo que sera insuficiente para
abarcar la produccin necesaria para la exportacin. Aqu la amenaza es no
poder cumplir con el mercado. Lo que representa un problema que pudiera
traducirse en un Riesgo Operacional. La oportunidad es la mejora de los
equipamientos y/o adquisicin de nueva infraestructura, para cumplir con

nuevos requerimientos, reduciendo el Riesgo de no poder cumplir con el


mercado.
En definitiva, el Apetito al Riesgo o Riesgo Aceptable, es el punto en el cual
necesitamos se levanten alertas extremas que nos permitan reaccionar a tiempo
para controlar o mitigar Riesgos que estn en niveles inaceptables para la
organizacin, dadas su misin, visin y objetivos estratgicos.
Por otro lado, la Tolerancia al Riesgo es el error que puede existir en torno al
Apetito al Riesgo. Por ejemplo, el Apetito al Riesgo se ha definido en un nivel
valorizado como 3, y la tolerancia al Riesgo se ha valorizado con 0,5. Esto se
puede interpretar como que los Riesgos que se encuentren entre 3 y 3,5, pueden
ser no aceptables, pero son tolerables. Es decir, es necesario hacer algo para
controlar o mitigar sus efectos ante una materializacin, pero no son prioritarios y
podemos convivir con ese pequeo margen de error.
Hay quienes plantean que el Riesgo Aceptable y la Tolerancia al Riesgo son
equivalentes y las utilizan indistintamente para referirse al mismo concepto. Es
absolutamente vlido y aceptable, en la medida que toda la organizacin as lo
entienda.

FACTORES DE RIESGO

Dada mi experiencia personal, la mejor forma de explicar la diferencia entre un


Riesgo y un Factor de Riesgo es con el concepto de un accidente vehicular. El
conductor se sube al vehculo y corre el Riesgo de tener un accidente vehicular.
Sin embargo, este accidente puede ser porque el conductor estaba bebido, sufri
un infarto, el vehculo presentaba fatiga de materiales, no contaba con insumos
necesarios, hubo elementos de distraccin, etc. Cada uno de estos elementos
puede ser la causa raz de la materializacin de un Riesgo y por ello se denomina
Factor de Riesgo (FR). Una forma de identificar los FR es describindolos de la
forma que suceda algo o que no suceda algo. En el ejemplo del accidente
vehicular, tenemos que el conductor est bebido, que se produzca un
desperfecto mecnico, que el automvil no tenga combustible, etc.
Sin embargo, igual como un Riesgo puede tener varios Factores de Riesgo o
motivos que provocan la materializacin del Riesgo, un Factor de Riesgo podra
materializar distintos Riegos. Volviendo al tema vehicular, que el conductor est
bebido puede materializar el Riesgo de un accidente de trnsito (que es lo ms
evidente), pero tambin puede materializar una Violacin a la Ley de Trnsito,
Generar Antecedentes Policiales, provocar la Muerte propia o de terceros, o la
Prdida del Vehculo, por mencionar algunos.
Consideremos otro ejemplo. La organizacin se encuentra dispersa en la ciudad y
a veces es necesario enviar documentos fsicos de carcter crtico de un lugar a
otro. Existe el FR que el mensajero se accidente. Sin embargo, producto del

accidente podra materializarse el Riesgo Indisponibilidad de Personal, Prdida


de documentos o Atraso / Incumplimiento u otros.
Cuando se comienza a identificar Factores de Riesgos, es importante no abusar
del lenguaje y generar miles de FR diferenciados simplemente por matices. Para
efectos prcticos que el suelo tenga una capa de 1 cm de agua, que el suelo
tenga una capa de 5 cm de agua o que el suelo tenga una capa de 30 cm de
agua, da lo mismo, es un anegamiento o inundacin, que inutiliza el espacio fsico
y afecta la continuidad de un proceso. Siempre se corre el Riesgo de hilar
demasiado fino, por lo que es necesario controlarse. A su vez, hay que tener
cuidado con la redaccin, puesto que puede escribirse un mismo FR de distinta
forma y por ello ser considerado otro FR cuando no los es. Por ejemplo: Que se
enferme el 10%+ del personal crtico o Indisponibilidad de personal Crtico. El
matiz existe, pero para efectos prcticos de Gestin de Riesgo, son exactamente
el mismo FR, slo diferenciado por un tema de redaccin. Otra situacin con la
cual se debe tener cuidado, es con los controles. La falta de un control no es un
FR. Sin embargo usualmente se cae en FR del tipo, que el control no opere, que
no est disponible el control, etc. Por ejemplo, Que no se realice la revisin
tcnica del vehculo, siendo que la revisin tcnica es justamente un control. Otro
ejemplo, que los frenos no funcionen suena razonable a FR, pero los frenos son
un control y lo que se indica es que el control no funcione. Luego, no es un FR
vlido. Las caractersticas del control deben considerar o valorizar de alguna forma
el hecho que el control no funcione, se deteriore o simplemente no cumpla su
funcin. Si un control requiere de mantenciones regulares, se puede valorizar

algn parmetro respecto de las mantenciones, e incorporarlo en la valorizacin


del control mismo.
Como referencia, una organizacin cualquiera podr identificar entre 150 y 300
Factores de Riesgo individuales y especficos dado un proceso en particular, los
que estarn asociados a un rango entre 20 y 80 Riesgos. Cualquier cosa que
exceda estos rangos, es necesario re-evaluarlo, puesto que es factible existan
Factores de Riesgo duplicados expresados de distinta forma o un conjunto de
ellos que sean matices unos de otros. Al considerar 300 Factores de Riesgo, a un
promedio de 5 FR por Riesgo, significa que se deber valorizar 1500 Factores de
Riesgo Riesgo (FRxR), lo cual es tremendamente excesivo. Una cantidad en el
lmite de los humanamente razonable, y medianamente manejable con una planilla
electrnica, es de 1000 a 1200 FRxR que debern ser analizados individualmente.
En caso de ser necesario manejar un mayor nmero de Riesgos y/o Factores de
Riesgo, es recomendable avanzar con algn desarrollo con bases de datos ms
industrializadas que una planilla o incluso la adquisicin de algn sistema de
Gestin de Riesgos.

CATEGORAS DE RIESGOS

Para poder identificar un Riesgo, es necesario tener claro qu es un Riesgo. Cada


especialista en Gestin de Riesgo tendr sus matices respecto de dicha definicin,
por lo que tambin es un aspecto de la Gestin de Riesgos que se encuentra an
en un mbito etreo y gris.
Para algunos, el Riesgo de cruzar un puente
puede ser alto, mientras que para otros
puede ser bajo e incluso rutinario.
Para algunos una actividad deportiva puede ser un Riesgo controlado mientras
que para otros es un riesgo demasiado alto como para siquiera pensar en dicha
actividad.

En algunas culturas existe un Riesgo que se debe asumir por temas de tradicin y
preservacin cultural.

En general, el ser humano tiene cierta aversin al Riesgo y especialmente a


aquellos Riesgos que pudieran generar un impacto en el que el dolor y
eventualmente la muerte pudieran ser el resultado.
Dada esta diversidad de conceptos de Riesgo, es que el tema es tan vago y
amplio. Sin embargo, para efectos de consensuar algn criterio bsico sobre el
cual poder desarrollar la Gestin de Riesgos, comenzaremos por orientarnos con
la fuente del idioma.
Segn la RAE, Riesgo es:
1. m. Contingencia o proximidad de un dao.
2. m. Cada una de las contingencias que pueden ser objeto de un contrato
de seguro.
Fuente: www.rae.es

Adaptando estas definiciones a la Gestin de Riesgos, hay quienes consideran


que un Riesgo es la probabilidad de ocurrencia de un incidente que afecte a la
organizacin (en forma positiva o negativa).
Sin embargo, para otros es una combinacin de parmetros de Probabilidad e
Impacto respecto de la materializacin de un evento especfico que afecte a la
organizacin o su desarrollo cotidiano.
Algunos ms puristas en materias del lenguaje, simplemente adoptan la primera
acepcin del diccionario, dejando en claro que el Riesgo siempre estar asociado
a una contingencia y por su efecto a un dao a la organizacin.

Se vio que Basilea II tiene una definicin de Riesgo que esencialmente es un


matiz de lo anterior. Sin embargo, segn se defina qu es un Riesgo para la
organizacin, se podrn definir criterios y parmetros adecuados para su gestin.
Es difcil separar la identificacin de los Riesgos de la identificacin de Factores de
Riesgos. Muchas veces un Factor de Riesgo es disfrazado de Riesgo. Por
ejemplo: que se produzca un asalto suena a FR, pero en realidad es un Riesgo
disfrazado, puesto que el Riesgo es Robo, Hurto. El que se produzca un robo
puede deberse a planificacin de ruta con errores, uso excesivo de efectivo, u
otros. Luego los FR de este Riesgo seran del tipo: Que la ruta planificada para el
traslado de efectivo sea pblica o Que se mueva fsicamente grandes cantidades
de dinero o que el dinero est visible, etc. Se podra decir que los Riesgos
surgen de la agrupacin racional de los FR.
Existen bsicamente dos tendencias filosficas o pensamientos respecto de cmo
evaluar el Riesgo. Poner un nmero o determinar una magnitud a algo tan
subjetivo y etreo como un Riesgo ha sido un debate de mucho tiempo. La buena
prctica, aquella ms diversificada y que ha dado resultados razonablemente
acertados, es definir la Magnitud del Riesgo como el producto de la Probabilidad y
el Impacto. El resultado de este producto puede ser corregido por otros
parmetros asociados a la Severidad del impacto, tales como la Velocidad del
Impacto, la Persistencia del Impacto o la frecuencia en que se ejecuta la actividad
asociada al FR o su Nivel de Exposicin.
Sin embargo, existe una visin disidente que establece que, pese a que la
Probabilidad y el Impacto Inherente o Inicial son variables independientes, el

Impacto Residual o Restante no lo es, sino que depende de la Probabilidad


Residual o Restante. Quienes argumentan a favor de este concepto, consideran
que cuando la probabilidad es mitigada o reducida, el impacto tambin lo es, como
un efecto secundario. Esta misma filosofa de Gestin de Riesgos establece que
no slo puede darse un Riesgo de magnitud cero, sino que incluso se puede
generar un Riesgo de Magnitud negativa. Qu significa una Magnitud de Riesgo
negativa? Bsicamente es una oportunidad que aporta beneficios al negocio. Una
Magnitud negativa implica un impacto doblemente negativo y desde el punto de
vista matemtico, un beneficio. De hecho, durante la revisin de la Norma ISO
31000, uno de los aspectos que se ha estudiado es justamente qu sucede con un
Riesgo negativo, es decir cuando el Riesgo se transforma en una Oportunidad.
En general, los riesgos se pueden agrupar en grandes Categoras segn el
proceso, el tipo de negocio, si existe normativa de referencia, etc. Por ejemplo, a
nivel de industrias productivas se podran clasificar en: Servir Mal; No Servir;
Producir Mal; No Producir; Medioambiente y Entorno; y Legal. En industrias ms
normadas es necesario referirse a las especificaciones indicadas por las normas.
Por ejemplo, la industria bancaria y financiera en general, se rige por las
recomendaciones de BASILEA II y/o por legislacin como SOX. La principal
diferencia entre BASILEA II y las otras normas y recomendaciones existentes, es
que en ella se especifican 7 categoras de Riesgos, que seran: Fraude Interno;
Fraude Externo; Relaciones Laborales y Seguridad en el Trabajo; Clientes,
Productos y Prcticas Empresariales; Daos a Activos Materiales (eventos de la
naturaleza, sociales, pas); Incidencias en el Negocio y Fallas de Sistemas; y

Ejecucin, Entrega y Gestin de Procesos. Existen otras recomendaciones y


estndares industriales que establecen sus propias categoras y criterios tales
como COSO II o incluso SOX. Sin embargo, en ninguna de ellas se explicita y por
ende orienta, con una categorizacin especfica que oriente respecto de qu y por
donde hay que buscar.
La ventaja de categorizar los Riesgos es que permite una mejor visualizacin de
ellos. Por ejemplo, se puede tener un nmero entre 1 y 20 Riesgos asociados a
una categora en particular y luego una cantidad de 1 a 150 FR asociados a un
Riesgo especfico. Se imagina un grfico de calor con todos esos puntos (20 x
150 = 3000)? Probablemente no se vera el grfico, sino una enorme nube de

Mapa de Riesgos por Categora Basilea

MAPA DE RIESGOS
R46FR55
R14FR03R42FR123
R37FR122
R35FR122
R34FR122
R38FR123

R39FR123
R36FR122

R04FR03
R02FR03
R15FR03

R75FR175 R63FR223

R45FR55

R67FR223

CP
R43FR112
R25FR159
R16FR43

Nivel de Exposicin

FI

FE

GP

R09FR142
R53FR67

DA

R13FR35
R10FR35 R05FR35

R65FR37

R79FR231
R40FR01
R48FR152
R68FR181
R01FR202
R29FR107

RL

R60FR207
R66FR173
R62FR154
R44FR212
R06FR160
R56FR54
R64FR240
R59FR154
R07FR121R71FR08
R28FR241
R24FR163
R61FR196
R33FR15
R51FR28
R58FR66
R31FR17
R47FR131
R74FR111
R72FR112
R12FR138
R49FR242
R23FR106
R30FR106
R76FR242
R03FR148
R26FR106
R41FR101

IN

R27FR230 R08FR32
R77FR63
R19FR188
R54FR162
R32FR16
R73FR188
R20FR188

R18FR135
R69FR135
R22FR135 R78FR237
R70FR135
R55FR237

R52FR135
R21FR237
R57FR237

R17FR20
R50FR108

R11

Categoras

Fig 4 Mapa de Riesgos por Categoras

Fig 5 Mapa de 80 Riesgos

puntos y sus respectivas etiquetas. Adems, las personas tendemos a entender


grficos (nubes de puntos) con un mximo de unos 40 a 50 puntos (Fig 5). Sobre
eso, ya es un desorden que cuesta entender. Si se utiliza otro tipo de grficos,
como el de burbujas (Fig 4), puede que se complique la explicacin del mismo a

las autoridades de la organizacin, pero es evidentemente menos catico y ms


visual.
Luego, para poder comprender adecuadamente donde potencialmente le duele el
zapato a la organizacin, se puede hacer un grfico de primer nivel con las
Categoras. En el ejemplo de la figura 4, cada categora est en la mxima
Magnitud del Riesgo de alguno de los Riesgos de ella e indica cul es ese nivel.
Su tamao refleja cuantos Riesgos estn en esa categora. As, se puede observar
que una Categora de Riesgo que tiene pocos Riesgos, puede tener una Magnitud
del Riesgo mayor que otra que tiene muchos Riesgos. Para contar con una visin
general, pero ms detallada, se puede graficar slo el FR de mayor Magnitud de
Riesgo para cada Riesgo. Al considerar un mximo de 80 a 100 Riesgos, son
muchos puntos para entender el

NIVEL DE RIESGO RESIDUAL CATEGORIA 1

mapa (Fig 5).

R14FR03
R15FR03

La buena prctica recomienda que,

R13FR35
R16FR43

para tener un segundo nivel de


R18FR135
R19FR188

detalle, se haga un mapa por cada


Categora

(Fig

6),

tal

que

R20FR188

R21FR237

R17FR20

se

visualice, para cada Categora, la


Magnitud del Riesgo de cada uno
de los Riesgos en ella incluida. Esto

Fig 6 Mapa de Riesgo Residual de una Categora

es un mximo de 20 a 30 puntos (Riesgos) por Categora. Eventualmente se


puede hacer un tercer nivel de detalle en el que se grafican los FR de cada Riesgo
(Fig 7), lo que permitira identificar en detalle aquellos que se encuentre con una

mayor Magnitud del Riesgo, y segn cmo se especifique un FR y los datos


asociados al mismo, incluso se podra identificar la actividad en la cual dicho FR
puede ocurrir. En este punto en particular, es recomendable exponer solamente
los TOP 20 30 y no la totalidad de 150 punto, puesto que muchos FR pudieran
tener magnitudes de riesgo relativamente bajas o controladas y que no tienen
sentido el ser destacados, cuando existen otros mucho ms relevantes respecto
de los cuales hay que hacer algo.

R03i

R03e
FR44
FR182

FR129

FR44

FR49
FR180

FR180
FR174

FR201

FR181
FR47
FR203

FR182

FR129
FR201

FR42

FR42

FR193

FR193
FR45

FR49

FR174

FR05

FR47
FR203
FR181

FR05

FR45

Fig 7 Mapas de Riesgo Inherente y Riesgo Residual de FRs del Riesgo R03

DEFINICIONES Y CRITERIOS

Previo al inicio del levantamiento, identificacin y valoracin de Riesgos y su


posterior gestin y mitigacin, es necesario establecer algunos criterios y
definiciones que permitan contar con una metodologa estandarizada que mitigue
de alguna forma los elementos subjetivos y juicios de valor que pudieran afectar
los resultados del proceso de Gestin de Riesgos. En este sentido, las buenas
prcticas establecen que los principales parmetros para determinar la Magnitud
del Riesgo es una combinacin de Probabilidad e Impacto (algunas normas y
recomendaciones mencionan Severidad en vez de Impacto). Cmo se medirn,
cul ser la escala de medida, cmo se relacionarn estos parmetros, etc, son
parte de las definiciones y criterios que son necesarios establecer y en la medida
de lo posible formalizar en toda organizacin.
No obstante, las metodologas basadas 100% en aspectos subjetivos son tan
vlidas, certeras o no, como aquellas basadas estrictamente en datos histricos.
Todas estas definiciones deben necesariamente ser consensuadas, con las
mximas autoridades de la organizacin, puesto que esencialmente consisten de
definiciones de un idioma particular de la organizacin y su proceso de Gestin
del Riesgo, el que definitivamente apoyar la toma de decisiones estratgicas de
la organizacin pudiendo eventualmente reducir costos o aumentar la certeza
respecto de alguna accin. En algn momento, todos en la organizacin debern
entender lo mismo cuando se indique que un Riesgo tal o cual tiene una Magnitud
de X o un Nivel de Exposicin de Y.

ESCALA
En este sentido, se debe comenzar por definir lo mnimo necesario para construir
sobre ello. Es necesario definir diversas escalas de medicin. En general, los
especialistas en la materia estn de acuerdo en que es necesario llevar una
escala de impacto y otra de probabilidad, se debe definir otras escalas segn la
metodologa y parmetros que se utilicen. Por ejemplo, si se define que se utilizar
un Nivel de Riesgo Residual o la Severidad que se medir en funcin de la
Velocidad del Impacto y la Persistencia del Impacto, los controles y sus
parmetros, etc. Cada parmetro deber estar asociado a una escala determinada
para entender exactamente en qu consiste cada parmetro. Existen bsicamente
cuatro formas de medicin: nominal, ordinal, de intervalo y de razn. Se analizar
brevemente cada una de ellas, pero se profundizar especialmente en la medicin
de intervalos.

MEDICIN NOMINAL
Es la forma ms sencilla de abordar el tema de la medicin mediante la
agrupacin en categoras tales como econmica, tecnolgica o medioambiental,
sin situar un acontecimiento especfico por sobre otro. Los nmeros asignados en
la medicin nominal nicamente tienen por objetivo la identificacin de los riesgos.
Al usar este tipo de medicin, las evaluaciones son cualitativas y por ende se
basan fuertemente en aspectos subjetivos que pudieran ocultar algunos riesgos o
pudieran exponer riesgos que no son relevantes respecto de otros.

MEDICIN ORDINAL
En este tipo de medicin, los eventos se describen en orden de relevancia para la
organizacin, con etiquetas del tipo Crtico, Indispensable o Relevante o
clasificado con valores definidos en la escala. Por ejemplo, la direccin de una
organizacin podra definir que la probabilidad de un error humano es muy baja,
mientras que la probabilidad de una falla en los sistemas es muy alta, indistinto de
la historia, datos estadsticos u otras formas de valorizar o definir.
Al usar este tipo de medicin, las evaluaciones son cualitativas y por ende se
basan fuertemente en aspectos subjetivos que pudieran ocultar algunos riesgos o
pudieran exponer riesgos que no son relevantes respecto de otros.

MEDICIN POR RAZONES


Este tipo de medicin permite concluir que si un evento tiene un impacto X y otro
tiene un impacto 2X, el impacto del segundo evento es el doble que el del primero.
Esto es absolutamente vlido, pero dado que esta forma de medicin incluye el
cero, existe la posibilidad de tener una Magnitud del Riesgo cero, que podra
prestarse para confusiones, asumiendo por ejemplo que el Riesgo ya no existe.
Sin embargo, mientras se desarrolle la actividad o conjunto de actividades en las
que el Riesgo est presente, no importa la metodologa o valoracin, el Riesgo
SIEMPRE EXISTE y por ende no puede tener un valor cero.
Este tipo de medicin se basa en datos duros, estadsticas cuando existen o
eventos histricos reconocidos, y ecuaciones matemticas.

MEDICIN POR INTERVALOS


Este tipo de medicin utiliza escalas numricas equidistantes. Por ejemplo, para
un evento el impacto es 1, para otro es 2 y para un tercero es 3, el salto de
impacto desde el primero al segundo evento es igual al salto de impacto entre el
segundo y el tercero. Sin embargo, esto no significa que el impacto del segundo
evento sea necesariamente el doble del primer evento.
Este tipo de medicin se basa en datos duros, estadsticas cuando existen o
eventos histricos reconocidos, y ecuaciones matemticas.
Uno de los requisitos de una escala por intervalos adecuada para la Gestin de
Riesgos, es que exista un punto medio. Graficado, significa que el diagrama
debiera ser simtrico por las diagonales. Otro de los requisitos, es que no existan
coordenadas que generen inconsistencias.
TRES NIVELES
Hay quienes promueven una escala de tres valores, tanto para la Probabilidad
como para el Impacto y su consecuente escala discontinua de tres niveles para el
Riesgo. Ello es una condicin vlida, que se asocia a los colores del semforo, por
lo cual es ms amigable y fcil de implementar, tiene varias deficiencias por lo que
la buena prctica no la recomienda. Sus grandes problemas radican en que la
mayora de los riesgos tiende a caer en la zona media, la cual adems, tiende a
ser levemente mayor que los extremos. Si se grafica un Mapa de Riesgo con los
colores del semforo, como el de la fig 8.1 podemos ver cmo la mayora de los
Riesgos tender a caer en un nivel Medio, despreciando Riesgos que pudieran ser
relevantes o desviando recursos a Riesgos que pudieran ser de menor relevancia.

Fig 8.1.-

Fig 8.2.-

Fig 8.3.-

Si la distribucin de los rangos es equivalente y homognea, se generan puntos


de inconsistencia en donde se puede tener dos e incluso tres niveles en forma
simultnea. Adicionalmente es necesario definir qu sucede cuando el punto est
en el lmite propiamente tal. Es necesario definir qu nivel tendrn estos puntos.
Se puede optar por el nivel ms alto o por el nivel ms bajo. Ambas opciones son
vlidas. Sin embargo, nuevamente pensando en la buena prctica o lo ms
difundido y que ha dado buenos resultados, es usar el lmite como parte del nivel
ms alto. Esto da mayor relevancia y visibilidad a los Riesgos que se encuentran
en esta situacin.
Las formas verbales para expresar estos niveles pueden ser del tipo:
Nivel 1

Nivel 2

Nivel 3

Bajo

Medio

Alto

Atendible

Urgente

Prioritario

Menor

Medio

Mayor

CUATRO NIVELES
Muchas normas y guas que ayudan a gestionar los Riesgos, trabajan con escalas
de 4 niveles. La alternativa de escalas pares y particularmente de una escala de 4
valores, genera varios problemas. El primer problema, como se puede observar en
los esquemas de las figuras 9.1, 9.2 y 9.3, es la simetra en las diagonales, la cual
simplemente no se puede lograr y motivo por el cual tampoco existe un punto
medio.

Fig 9.1.-

Fig 9.2.-

Fig 9.3.-

Adicionalmente hay un claro problema al poder pasar un Riesgo de un nivel a otro


sin pasar por un nivel intermedio. Tambin en estos diagramas se producen
puntos de interseccin donde un Riesgo pudiera tener 3 niveles de riesgo
simultneos, lo que no es consistente.
En el caso de la figura 9.3.- se eliminan los puntos inconsistentes y no existe
forma de pasar de un nivel a otro sin pasar por uno intermedio, pero ms del 40%
de la superficie es considerada de magnitud mnima, mientras en contra partida,
slo un 6% es considerada como crtica. Claramente existe la tendencia a
disminuir la importancia de los Riesgos graficados.

Las formas verbales como se pueden expresar estos niveles pueden ser del tipo:
Nivel 1

Nivel 2

Nivel 3

Nivel 4

Malo

Regular

Aceptable

Bueno

Aceptado

Atendible

Urgente

Prioritario

Menor

Medio

Mayor

Extremo

CINCO NIVELES
Otra alternativa de escala es la de cinco niveles (Figura 10). Su caracterstica
esencial es que siendo simtrica, es la escala ms pequea que cumple con los
requerimientos de escalas. Estos son:
1.- Qu no presente posibles inconsistencias.
2.- Que exista un punto medio
Adicionalmente a las caractersticas mnimas
necesarias indicadas anteriormente, el tener un
nivel de segregacin de la escala de un 20%

Fig 10.- Mapa de 5 niveles

facilita contar con un mayor nivel de sensibilidad


respecto de las Magnitudes de los Riesgos y por ende la discriminacin respecto
de cuales mitigar o controlar primero, con los siempre escasos recursos
disponibles.

Las formas verbales como se pueden expresar estos niveles pueden ser del tipo:
Nivel 1

Nivel 2

Nivel 3

Nivel 4

Nivel 5

Mnimo

Menor

Medio

Alto

Extremo

Controlado

Aceptado

Atendible

Urgente

Prioritario

Malo

Regular

Aceptable

Bueno

Muy bueno

OTRAS ESCALAS
Otras escalas que se pueden utilizar son las relacionadas con los puntajes o
escala de valoracin utilizada en los pases donde se aplicar la evaluacin de los
Riesgos. En este sentido, en algunos pases de Sudamrica se usa una escala de
1 a 7 con un decimal, en Europa y Norteamrica se usan escalas de 5, 10 y 100,
con hasta 4 decimales e incluso con letras. Todas estas escalas tiene el beneficio
de la facilidad o reconocimiento por parte que los usuarios y dueos de procesos
que debern finalmente valorizar.
Sin embargo, particularmente las
escalas

pares

tienen

sus

inconvenientes.
El primer problema es que siendo
pares no tienen un nivel o punto
medio claro, es un lmite entre un
punto y otro, una interseccin de

Fig 11 Escala continua P x I

ejes. Por otro lado, es un nivel de segmentacin muy detallado. Particularmente la


segmentacin en 100 niveles, pensando en porcentajes, requiere de un nivel de
madurez de la Gestin de Riesgos y de capacidad de clculo, que no hace
recomendable adoptar estas escalas dentro de los primeros ciclos del proceso de
Gestin de Riesgos. Ello no impide que en la medida que la organizacin madure
respecto de su Gestin de Riesgos, se pueda redefinir y afinar con mayor detalle
una escala o la metodologa completa.
Dado que las organizaciones en general no cuentan con informacin suficiente ni
fidedigna, y que su involucramiento con la Gestin de Riesgos es relativamente
incipiente o baja, es recomendable utilizar escalas discretas, tales que las
Magnitudes de Riesgos o colores de la temperatura del Riesgo estn asociados a
matrices discretas, ms que a valores o rangos especficos.
Cuando una organizacin se encuentra suficientemente madura respecto a los
conceptos asociados a la Gestin de Riesgo, se puede considerar una escala
continua que abarque rangos en degrad continuo desde el Azul oscuro hasta un
rojo, pasando por un lila, amarillo y naranjo, representando de alguna forma la
temperatura de las magnitudes de los riesgos. Estas escalas permiten dejar de
lado la metodologa discreta y enfocarse en valorizacin numrica de los Riesgos.
Por ejemplo, se puede determinar la magnitud de un riesgo como la magnitud del
vector cuyo origen estn en la coordenada 1,1 y termina en las coordenadas del
mapa correspondiente a la combinacin de Probabilidad e Impacto restantes tras
la aplicacin de controles o exposicin. A su vez, la urgencia o prioridad de

tratamiento del Riesgo estar dada por la temperatura de la coordenada de


Probabilidad e Impacto, representada por el color de la matriz en dicho punto.
Para complejizarlo un poco ms, es factible establecer un grfico tridimensional
considerando como un tercer eje el Nivel de Exposicin o el Tiempo transcurrido
desde la materializacin de un incidente, siendo la Magnitud del Riesgo, la
magnitud del vector con origen en 1,1,1.
Es importante recordar que cuando se definan escalas y estas se lleven a
trminos verbales, las expresiones utilizadas representen adecuadamente lo que
se desea describir, evitando exageraciones en uno u otro sentido. Adicionalmente,
es muy importante que los trminos y expresiones no se repitan entre una escala y
otra. Por ejemplo, al usar el trmino Mnimo para representar un rango de impacto,
no se puede usar ese mismo trmino en la escala asociada a controles o riesgos,
puesto que causar confusin y los resultados no sern los esperados.
Finalmente, es necesario considerar que tambin existe la posibilidad de combinar
las escalas y metodologas aqu mencionadas, o incluso desarrollar otras propias
segn la organizacin, procesos y caractersticas propias del mundo en el cual la
organizacin se desempea.

PROBABILIDAD
Segn el diccionario de la Real Academia de la Lengua Espaola:
probabilidad.(Del lat. probabiltas, -tis).
1. f. Verosimilitud o fundada apariencia de verdad.
2. f. Cualidad de probable, que puede suceder.
3. f. Mat. En un proceso aleatorio, razn entre el nmero de casos
favorables y el nmero de casos posibles.
Fuente: www.rae.es

Suponiendo se definir una escala de probabilidad discreta, para efectos de su


valoracin, es necesario determinar una nomenclatura verbal que permita a los
usuarios y dueos de procesos comprender el valor asociado que debern
asignar. En este sentido, para efectos de la Gestin de Riesgo, debemos entender
por Probabilidad, la frecuencia de veces que se materializa un evento respecto de
la cantidad de veces que se ejecuta la accin en la cual el riesgo est presente
(RAE acepcin 3). Por ejemplo, si diariamente se debe hacer un balance, como
los bancos, y en las ltimas 260 oportunidades que se ha ejecutado el proceso de
hacer el Balance (1 ao aproximadamente) se ha materializado el FR Que se
informe una Balance con errores en 5 oportunidades, tendremos una probabilidad
de ocurrencia o materializacin de dicho Factor de Riesgo de 5 en 260 una
probabilidad de 1,92%. Al definir discretamente la escala de la probabilidad, de la
forma si ocurre 5 veces en el ao, el valor podra ser el mximo en la escala.
Sin embargo, lo usual en las organizaciones del mundo, de todo tipo, es que no
existan registros de eventos de prdida o de materializacin de eventos de este

tipo. Usualmente, cuando se comienza a implementar un Modelo de Gestin de


Riesgo se debe recurrir a la memoria de las personas que llevan ms tiempo en la
organizacin, con todo lo que ello puede implicar, pero es un punto de partida.
Hay quienes proponen el uso de datos estadsticos de la industria cuando no
existen datos histricos. Sin embargo, al evaluar la probabilidad de ocurrencia, por
ejemplo, de un error tecnolgico, el valor va a depender del tipo de tecnologa,
infraestructura, nivel de criticidad de la tecnologa, actividades en las cuales esta
es crtica, configuracin, etc. Luego es en extremo poco probable obtener la
informacin a nivel de industria respecto de situaciones del mismo tipo con la
misma tecnologa.
Considerando que usualmente no hay datos, se asocian los niveles de
probabilidad, segn la escala definida, a la cantidad de veces que ha ocurrido en
un tiempo determinado, usualmente uno o dos aos, o cuando es una actividad
que se realiza con muy poca frecuencia, en las ltimas X oportunidades que se ha
desarrollado la actividad en que un FR particular puede materializarse. Esto
permite generar un primer impulso a la Gestin de Riesgos, consensuar los
valores y en definitiva iniciar el proceso mediante el cual se colonizar la cultura
de Gestin de Riesgos en la organizacin.
Por ejemplo, durante un proceso productivo, la actividad soldar izquierdo y
derecho en una pieza presenta el Factor de Riesgo Que la soldadura presente
problemas de sello. Dado que se hacen varios cientos, miles o ms en forma
diaria, esta actividad se considerara rutinaria y frecuente, por lo que si ocurre una
cantidad de veces que el FR se materializa en un perodo de tiempo definido, se le

puede asignar un valor. Dicho valor sera del tipo ha ocurrido YYY veces en un
ao.
Por otro lado, actividades como Realizar mantenimiento de equipos, en algunos
casos requiere detener la produccin de ese equipo por perodos de das o
semanas. Los FR en este punto tienen que ver con un aumento no planificado de
la duracin de la mantencin, provocando problemas de operacin, o directamente
con la imposibilidad de arrancar nuevamente, u otros. Dado lo anterior, este tipo
de actividades se realizan muy poco en un perodo de un ao o incluso dos, por lo
que para determinar el valor de la Probabilidad de materializacin de un FR sera
en funcin de la cantidad de veces que la actividad se realiza. Dicho valor sera
del tipo ha ocurrido Z veces en las ltimas N veces que se ha realizado la
actividad. Donde N es un parmetro fijo, predefinido como un criterio de
referencia.
Ambas formas de valoracin de la Probabilidad son vlidas y pueden utilizarse
individualmente durante todo el proceso o alternar el criterio en funcin de la
actividad en la cual se pudiera materializar el Factor de Riesgo.
Sin embargo, cuando existe suficiente informacin de materializacin de eventos
(a lo menos un ao de estadsticas), es recomendable modificar el criterio y
ajustarlo de acuerdo a los nuevos resultados en base a datos ms duros. De
esta forma se logra refinar el criterio utilizado para definir o estimar la probabilidad.
Otro aspecto de la Probabilidad que es conveniente tener en cuenta es que ella se
describe en funcin de varios parmetros. Por ejemplo, la probabilidad que caiga

un rayo en determinado lugar depender de la cantidad de veces que se produce


una tormenta elctrica y la cantidad de rayos que se producen en cada tormenta.
Tambin, si se considera la Exposicin, debemos considerar cuantas veces la
organizacin se expone a ese Riesgo.
Otro ejemplo. Antes de 1960, la probabilidad relacionada al riesgo de accidente en
el espacio exterior era nula. Ello debido a que an no era posible llegar all y los
elementos en el espacio exterior eran mnimos en cantidad. Hoy en da, para
determinar la probabilidad, no basta con saber cunta basura espacial existe
dando vueltas a nuestro planeta, tambin debemos considerar la Exposicin, es
decir, cuantas veces nos exponemos a sufrir un accidente en el espacio exterior.
Se puede comparar la situacin con los vuelos comerciales. La probabilidad de
sufrir un accidente aeronutico est claramente relacionada a la cantidad de
vuelos en un momento dado, pero tambin a la cantidad de veces que
individualmente se participa de alguno de ellos, nuestra Exposicin al Riesgo.

IMPACTO
Cuando se analiza el Impacto hay varios elementos que se deben considerar. El
Impacto se traduce en cuanto puede llegar a doler a la organizacin la
materializacin de un Riesgo en particular. En este cuanto le puede llegar a
doler hay que considerar no slo los costos directos como el de una mquina,
sino tambin los costos de reparacin o reposicin, los costos asociados a no
poder operar, si hay heridos, los costos asociados a esas personas, etc.

El

impacto puede reducirse directa e indirectamente a valores financieros, pero es


recomendable utilizar FLIN a objeto de tener una visin ms amplia del Impacto.
FLIN es un acrnimo que a lo largo del tiempo he acuado y que representa las
cuatro principales formas como se puede presentar el impacto que una
organizacin puede percibir. Estos son: Impacto Financiero, el ms evidente;
Impacto Legal, se refiere a demandas laborales o comerciales en contra de la
empresa. No considera las acciones que la organizacin emprenda contra otros;
Impacto en Imagen o Percepcin de la Marca, puede afectar el valor de una
marca, ms que el del producto que la lleva; e Impacto Normativo o regulatorio, el
que se refiere a las distintas situaciones con reguladores y fiscalizadores como el
Servicio de Impuestos, reguladores industriales, Inspeccin del Trabajo,
superintendencias, municipios, representantes del estado en general, etc.
Adicionalmente, se puede evaluar el efecto o Impacto en el Negocio propiamente,
tales como efectos de surgimiento de productos alternativos, aparicin de
competencia agresiva o incluso competencia desleal, problemas con patentes
industriales, colusin en contra de la empresa, etc.

Aplicando la escala que se defina, es necesario asociar a cada nivel una expresin
o verbalizacin de dicho nivel que est asociada de alguna forma al nivel y que
permita facilitar la comprensin por parte de los usuarios y dueos de procesos.
Sin embargo, la discriminacin de los impacto por medio de FLIN o FLINN,
permitir identificar en forma ms certera el origen del impacto y por donde hay
que tratarlo. Por ejemplo, un Riesgo cuyo impacto en Imagen sea extremo
requiere un tipo de tratamiento muy distinto que un impacto que desde el punto de
vista Normativo tiene la misma magnitud. En el caso de un impacto en Imagen, se
dispondr de orientaciones para una comunicacin adecuada con el pblico,
clientes y proveedores, mientras que en el caso normativo, se mantendr acuciosa
vigilancia respecto de los aspectos normativos que pudieran verse afectados o
respecto de los que pudiera existir alguna brecha o incumplimiento.
Dicho lo anterior, y en el marco de la escala que se defina, para cada uno de los
impactos FLIN es necesario establecer un criterio que estandarice la valorizacin
en el marco de la misma escala definida para el Impacto. Es decir, los cuatro
aspectos de FLIN deben ser valorizados con la misma escala, pero un mismo nivel
significar distinto para un aspecto que para otro.
A su vez, dado que el objetivo de la evaluacin de Riesgos es exponer los
Riesgos, para efectos de definicin de cul valor de los tipos de impactos se
utilizara para realizar clculos y grficas, se recomienda que sea el valor ms alto,
es decir, el que potencialmente produce mayor dolor para la organizacin.
Por ejemplo, en forma genrica se ha determinado que un nivel de Impacto
mnimo, desde el punto de vista Financiero representa menos de US$1000;

mientras que desde el punto de vista Legal, se resuelve directamente sin


intervencin de terceros; desde el punto de vista Imagen, es slo de
conocimiento del personal de la organizacin; y desde el punto de vista
Normativo, se recibe slo una observacin o amonestacin verbal.
IMPACTO FINANCIERO
Cuando se define el impacto Financiero estamos hablando de dinero. Es as como
una organizacin puede considerar en el nivel mnimo a cualquier materializacin
de un Riesgo cuyos costos asociados sea menor a US$1.000 a un 0,0001% de
la utilidad de la empresa. Tambin podra definirse como un monto menor al que
se asigna como Caja Chica. La forma de definirlo puede variar segn cada
organizacin, sus criterios definidos previamente y la cultura de la misma. Por otro
lado, un impacto financiero extremo podra definirse como sobre los US$50.000
sobre un 10% de la utilidad antes de impuestos. En este sentido, un Impacto
financiero mnimo debe ser algo que se puede subsanar o resolver con recursos
relativamente mnimos para la organizacin. Por el lado del nivel mximo, se
puede considerar cualquier gastos o costo o combinacin de ambos, que supere
un monto o un orden de magnitud significativo para la organizacin o que pudiera
incluso poner en riesgo la continuidad del negocio.
Sin embargo, es importante recordar que los ocanos se formaron a partir de
pequeas gotas, por lo que un evento con un impacto aparentemente menor no
debe ser desechado por ese simple hecho. El hecho que un Riesgo est bajo el
Nivel de Aceptacin del Riesgo, no significa que se pueda descuidar o

despreocupar la atencin sobre el mismo. Es importante recordar que se est


trabajando con riesgos.
IMPACTO LEGAL
Cuando se define el impacto Legal estamos ante situaciones que directa o
indirectamente requieren de la intervencin de abogados y del sistema judicial
normal. Por ejemplo, que el Servicio de Proteccin al Consumidor presente una
demanda por un producto defectuoso, o que un empleado presente una demanda
por acoso laboral, o un proveedor que demande a la organizacin por
incumplimiento de contrato, etc. En este aspecto del Impacto se define en base a
una escala relativa a situaciones de tipo penal o comercial que pudieran llegar a
ser resueltas mediante un proceso judicial. En general el nivel mnimo del
impacto legal se puede definir como una solucin directa entre los afectados, sin
intervencin del aparato Jurdico Legal. Por otro lado, el extremo superior del
impacto se define como aquel en el cual tras un proceso legal se gener una
sentencia condenatoria en contra de la organizacin. Esta sentencia podra
requerir el cierre de una operacin, cambios extremos en los procesos, pagos de
multas e indemnizaciones onerosas, entre otras.
Sin embargo, tambin hay que recordar las gotas en este caso. Una demanda
laboral por un monto menor puede no ser relevante, pero cuando es un conjunto
de demandas individuales que pudiera representar en su conjunto una cantidad de
empleados o colaboradores representativos, podra considerarse de impacto
mayor. Por tanto, tambin es necesario tener especial cuidado con los impactos
menores.

IMPACTO EN IMAGEN
Al tratar el concepto de Imagen, estamos tratando con un bien valorado intangible
como lo es la marca, el respeto que esta provoca, la confianza en la misma o su
credibilidad. Hay marcas que, debido a un incidente mayor, han debido eliminarse
y redefinirse, pese a que el producto final sigue siendo el mismo. En este sentido,
se debe definir cada nivel en funcin del impacto negativo respecto de la imagen
hacia el mercado que la organizacin quiere mostrar. Por ejemplo, una situacin
simple o menor, sera que se resuelva internamente sin conocimiento por parte de
proveedores o cliente. Mientras, en el otro extremo, habra informacin en medios
de comunicacin masiva como radio, peridicos o televisin.
IMPACTO NORMATIVO
El impacto Normativo tiene que ver con los fiscalizadores y terceras partes
interesadas, principalmente entidades del Estado. Por ejemplo, que se detecte un
problema sanitario en una planta productora de alimentos, podra llegar hasta la
clausura de la planta por dicha situacin. Tambin hay que considerar que una
situacin pequea puede rpidamente escalar a una ms compleja o incluso hasta
el cierre de las operaciones.
En este sentido, un impacto menor podra ser una visita de inspeccin con
resultados desfavorables menores (observaciones o deteccin de brechas
fcilmente enmendables), mientras en el otro extremo se tendra sanciones de
diverso tipo que pudieran incluso incluir el cierre temporal o trmino definitivo,
parcial o total de la operacin.

IMPACTO NEGOCIO
El impacto en el Negocio tiene que ver directamente con los resultados producto
del giro de la Empresa. A diferencia del impacto Financiero, donde pudiera
considerarse efectos en el flujo de caja o en cuentas contables especficas, ste
se fija principalmente en los efectos sobre los resultados del ejercicios anual, las
utilidades o beneficios.
Aqu el impacto menor podra ser que no afecta los resultados de la
organizacin, mientras un nivel mximo pudiera ser un ejercicio comercial con
resultados negativos, equivalentes o superiores a 10% del ejercicio anterior.
OTROS PARMETROS DEL IMPACTO
Adicionalmente a las alternativas de FLINN para el impacto, existen otros
parmetros que en algn momento debieran ser considerados. Por un lado est la
Velocidad con que llega el impacto y por otro la Persistencia del impacto en el
tiempo. Estos dos parmetros tienen que ver con la Severidad o cuan grave es el
impacto.
Cuando se menciona que el impacto ocurre en forma rpida, como producto de
desastres de la naturaleza, estamos ante situaciones con determinadas
caractersticas. Sin embargo, un nivel de impacto equivalente puede darse con un
paro de actividades de los trabajadores, la cual podra venir incubndose con
bastante tiempo y paulatinamente va afectando los procesos.
Cuando se menciona la Persistencia de un impacto, nos referimos a como ese
impacto se mantiene en el tiempo. Por ejemplo, el accidente en una central

nuclear como FUKUSHIMA o CHERNOBIL, ha demostrado que la catstrofe no


fue solamente en forma inmediata. Varias aos despus, an hay evidencia de
efectos nocivos en la flora y fauna de la regin, con mutaciones y serios
problemas para la poblacin. Mientras que los efectos del terremoto que caus los
daos en Fukushima ya estn subsanados desde el punto de vista de la
infraestructura e incluso la planta ha vuelto a funcionar, el impacto del accidente
en la planta nuclear se ha mantenido, persistiendo en el tiempo.
Adicionalmente, es necesario considerar algunas situaciones o condiciones de
borde. Por ejemplo, cuando la probabilidad es mnima, pero el impacto es el
mayor posible. Hasta Septiembre de 2001, considerar que un avin choque contra
un edificio era tema de chistes, risas y ancdotas. Producto de los eventos
ocurridos con las torres gemelas en Estados Unidos el 11 de Septiembre de 2001,
esa concepcin cambi radicalmente. Para evitar pasar por alto estos casos de
muy baja probabilidad pero muy alto impacto, la buena prctica recomienda que
dado un impacto mximo, la probabilidad no debiera ser mnima, debiera ser a
lo menos del segundo nivel, con el nico objetivo de darle mayor visibilidad al
Riesgo.
Otro tipo de situacin de borde, es aquella en que la probabilidad es certeza
absoluta. Cuando se piensa que en Chile hay 3 movimientos ssmicos por da y es
parte de una de las cadenas montaosas con la mayor cantidad de volcanes
activos del mundo, y se plantea la posibilidad que un volcn haga erupcin,
muchos an lo toman como broma. Sin embargo, considerando que las
probabilidades de ocurrencia en un momento dado, por ejemplo hoy, son

absolutamente mnimas, cuando suceda, el impacto sera tal, que la organizacin


simplemente podra desaparecer, como ha sucedido con poblados completos, sea
por un terremoto o por una erupcin volcnica. Puntualmente en el caso chileno, la
pregunta no es si habr una erupcin volcnica o si habr un terremoto
catastrfico. Chile tiene el registro del terremoto ms fuerte jams registrado en la
historia desde que existen registros (9.5 Richter, Valdivia, 22 de Mayo 1960). La
pregunta es cundo, y eso significa que el impacto mximo posible ser real y no
potencial, salvo que se tomen algunas consideraciones previas y la organizacin
se prepare. En este ejemplo, la probabilidad de un terremoto siempre es de 100%.
En el caso de Estados Unidos, por ejemplo, la probabilidad de un tornado en
ciertas localidades y pocas del ao tambin es 100% y en el Golfo de Mxico la
probabilidad de un huracn tambin es 100%. Hay lugares y eventos de la
naturaleza que sabemos que ocurrirn, tarde o temprano, que son inevitables.
Luego, su probabilidad es 100% y solamente se puede trabajar en reducir el
impacto que dichos eventos producirn sobre la organizacin. Igualmente, la
probabilidad de que nuestra vida termine es de un 100%, todos vamos a morir un
da. Sin embargo, existen seguros de vida que buscan compensar los daos a la
familia cuando ello ocurra.
Eventualmente, la organizacin podra evaluar considerar otras formas de
impacto, especificando impacto en el medio ambiente, impacto social, e incluso
impacto polticos. En general los flancos por donde pudiera darse un impacto son
los principales ejes de evaluacin del Impacto que la organizacin debe llevar a

cabo. Con ello se tiene una visin integrada y de 360 respecto del origen del
potencial impacto y de su magnitud esperada.
EXPOSICIN AL RIESGO
Es habitual que se confundan conceptos de Riesgo Residual o Restante y la
Exposicin al Riesgo. El Riesgos Restante o Residual es el Riesgo como resultado
de la aplicacin de controles y mitigadores. Sin embargo, el Nivel de Exposicin al
Riesgo tiene que ver con la cantidad de veces en un perodo dado en que la
organizacin, producto de sus actividades y controles, se ve enfrentada o
expuesta a un Riesgo en particular. Por ejemplo, una fbrica de productos en serie
se ve expuesta a tener un producto fallido con una frecuencia bastante alta. Se
podra decir, sin temor a error, que la empresa est expuesta a producir un
producto fallido, en forma diaria. Sin embargo, un fabricante de vehculos
motorizados a pedido, se ve expuesto al mismo riesgo, pero no con la misma
frecuencia. Con mayor certeza, se ve expuesto al mismo riesgo cada vez que
produce un nuevo vehculo a pedido y no en forma diaria.
Otro ejemplo: Una fbrica de helados produce varios cientos de miles de helados
en forma automatizada. Es casi seguro que a lo menos uno o dos de ellos tengan
algn defecto, sea de forma, color, el palito no qued al centro, etc. Es decir la
organizacin se ve Expuesta al Riesgo en forma diaria. Por otro lado, se puede
considerar el mismo producto, pero en esta oportunidad, la produccin ser
artesanal. Aunque la produccin es aproximadamente en serie, un da se hace
una actividad del proceso, otro da se hace otra actividad y as sucesivamente, se
logra completar un lote de producto en aproximadamente 5 das. En este caso, la

organizacin se ve expuesta al Factor de Riesgo que el color no sea adecuado,


solamente en el da en que se aplica el color, lo que sucede solamente una vez
cada 5 das y no en forma diaria. Por ello, su Exposicin al Riesgo es 1 vez cada 5
das, mientras en el caso de la fbrica automatizada sera de 1 2 veces cada 1
da.
Este es slo un elemento a considerar para efectos de calcular o estimar el
Riesgo. El impacto de un producto con falla es mucho mayor en el productor
artesanal que en el productor industrial, pero eso es la componente de Impacto.
Igualmente, existe otra Probabilidad, en que la probabilidad de un error en el
proceso industrial es menor que en el proceso artesanal. Ello es vlido al
considerar el clculo como la cantidad de fallas respecto de la cantidad total de
produccin. Las fallas en un proceso industrial sern ms que las de un proceso
artesanal. Sin embargo, la cantidad de unidades producidas industrialmente es
muy superior a las producidas artesanalmente, por lo que finalmente la proporcin
es menor en el proceso industrializado.

CONTROLES
Existen esencialmente tres tipos de controles. Estn aquellos que controlan que
un evento no suceda, estos reducen la probabilidad y se les denomina controles
Preventivos. Existen otros controles que no previenen nada, pero permiten mejorar
el nivel de reaccin ante la materializacin de un Riesgo, por lo que se les
denomina Detectivos, dado que detectan que ha sucedido algo y generan una
alerta que permite una reaccin temprana, reduciendo los efectos negativos del
evento. Finalmente estn los controles que mitigan puramente el Impacto o
Reactivos, es decir, cuando se ha materializado el Riesgo, estos controles
permiten que la recuperacin o el dao, sea mitigado.
La mayora de los Riesgos y particularmente los ms evidentes, estn mitigados o
controlados. Ello es debido a que existen controles o mitigadores implementados.
Por ejemplo, en Chile los movimientos ssmicos son frecuentes en todo el pas.
Por eso las empresas, por mandato judicial (est en la Ley), deben contar con un
plan de evacuacin y deben ejercitarlo a lo menos una vez al ao. Por tanto, todos
los trabajadores conocen qu hacer, en forma casi instintiva, ante un sismo fuerte
y particularmente, ante la necesidad de un proceso de evacuacin. Algunas
localidades costeras incluso han implementado planes de evacuacin masiva de la
poblacin en caso de existir cierto grado de certeza respecto de un TSUNAMI. En
estos casos, el Plan de Evacuacin es un mitigador de impacto y por ende es un
mitigador Reactivo que afecta el impacto en la organizacin producto de la
materializacin de un Riesgo. En realidad no hay como evitar o reducir la
probabilidad que se produzcan eventos de la naturaleza tales como terremotos,

huracanes o desastres naturales de cualquier ndole. El mitigador de tipo reactivo


se activa u opera una vez que ha ocurrido un incidente. Su objetivo es hacer un
control sobre los potenciales daos que pudieran ocurrir a la organizacin
producto de dicho incidente.
Por otro lado, las auditoras, los monitoreos de sistemas, detectores de humos,
sensores de movimiento, alarmas, antivirus y alertas en general, son elementos
que permiten a la organizacin reaccionar en forma ms eficiente ante la
materializacin de un Riesgo. Este tipo de controles que detectan cosas y alertan
respecto de un evento, son denominados Detectivos. Dado que este tipo de
controles permite una reaccin ms rpida, estos afectan en alguna proporcin a
la probabilidad y en otra al impacto. No obstante, se ver ms adelante que
dependiendo de los criterios y definiciones que se determinen, estos pueden
definirse como que afectan nicamente la Probabilidad o el Impacto o que la
proporcin de mitigacin de Probabilidad e Impacto no es la misma para todos los
controles.
Por ejemplo, los avisos de alerta emitidos por organismos de estado son
mitigadores de impacto, puesto que permiten a la poblacin que desconoce la
amenaza inminente, reaccionar rpidamente y huir del lugar antes de la llegada de
un tsunami. Con ello se mitiga el impacto en materias de prdidas de vidas
humanas producto de este tipo de evento. Al tratarse de sistemas tecnolgicos, las
alertas respecto de un virus, la falta de una actualizacin o el indicador de
temperatura de un motor, permiten tambin reducir la probabilidad y el impacto de
materializacin de un incidente. Las alarmas antirrobo, pese a que por su nombre

supuestamente impiden el robo, en la prctica permiten una reaccin oportuna o


ms eficiente por parte de quien resguarda la propiedad o el bien, afectando la
probabilidad de materializacin de un robo mayor y tambin el impacto del
mismos. Siguiendo con el ejemplo de las alarmas, en las pelculas se ve que los
delincuentes usan cronmetros, puesto que saben con anticipacin cuanto
demorar la polica en llegar al lugar del atraco. La alarma mitiga el impacto,
puesto que podrn llevarse slo lo que puedan sacar en ese breve momento
entre la activacin de la alarma y la llegada de guardias o policas.
Los controles Preventivos particularmente buscan reducir la probabilidad de
ocurrencia de un evento o de la materializacin de un Riesgo. Por ejemplo, las
mantenciones preventivas del sistema, de redes de datos, de motores y
maquinarias, capacitaciones., las actualizaciones de sistemas operativos o
plataformas tecnolgicas de elementos especficos, las actualizaciones de los
antivirus, en general las polticas y reglamentos internos, clusulas especficas en
contratos de trabajo, declaraciones juradas de proveedores, certificaciones de
cumplimiento de normas, elementos disuasivos tales como carteles, cmara de
vigilancia falsas o verdaderas, disparos al aire aleatorios, etc. Por ejemplo, cuando
el antivirus salta con un mensaje que se ha detectado un virus, est mitigando la
probabilidad de que el equipo se contagie con un virus. En un predio, cuando el
guardia dispara al aire, est informando a los delincuentes que se les recibir a
tiros y de alguna manera reduce la intencin de ataque.
Las mantenciones preventivas a controles son controles de controles, los que
sern evaluados dentro del control principal, puesto que son un aporte indirecto a

las caractersticas propias del control. Por ejemplo, los generadores de respaldo
son un control de tipo reactivo que entran a operar cuando hay un corte de energa
elctrica. Sin embargo, las mantenciones a dichos equipos, el que cuenten con
suficiente combustible y sus respectivos fluidos, el que el personal conozca como
encenderlo, etc., son parte de un control sobre el control. Esto se evala cuando
se analiza la calidad del control.
A continuacin algunos ejemplos de categoras de controles:
Tipo de Control

Categora de Control

Preventivos

Segregacin de tarea o funcin

Preventivos

Configuracin de seguridad de sistemas

Preventivos

Procedimientos

Preventivos

Polticas

Preventivos

Cdigos internos (tica, conducta u otros)

Preventivos

Reglamentos internos

Preventivos

Clusulas contractuales

Preventivos

Control de acceso

Detectivo

Autorizacin

Detectivo

Alertas

Detectivo

Informes de gestin

Detectivo

Validaciones

Detectivo

Indicadores

Detectivo

Supervisin

Tipo de Control

Categora de Control

Detectivo

Conciliaciones Cuadraturas

Detectivo

Auditoria

Correctivos

Planes de contingencia (BCP + DRP)

Correctivos

Extintores

Correctivos

Respaldos
Procedimientos

(de

evacuacin,

de

Correctivos
recuperacin, u otros)
Correctivos

Sanciones administrativas

Correctivos

Seguros

VALORIZACIN DE LOS CONTROLES


La Gestin de Riesgos requiere valorizar los controles o mitigadores que en
definitiva llevaran el nivel de Riesgo a un Nivel Aceptable o acorde al Apetito al
Riesgo de la organizacin. En este contexto, cada control debe ser evaluado en
cuanto a sus caractersticas individuales relevantes. Las caractersticas de un
control son: Calidad, Eficacia y Eficiencia. Algunas organizaciones utilizan
mtodos estrictamente cualitativos, y les es indistinto el anlisis de Calidad,
Eficacia y Eficiencia de un control en particular, puesto que evalan el conjunto de
controles existentes que aplican a un Riesgo en particular, como si fuera un nico
control.

CALIDAD
La calidad de un control debiera considerar los aspectos propios de un control,
dejando de lado otras caractersticas relacionadas con la eficacia y/o eficiencia.
Algunas caractersticas de Calidad de un control pueden ser su nivel de
Formalidad, su Alcance, su Resiliencia, la frecuencia con que el control opera, el
tipo de control (Preventivo, Reactivo, Detectivo), Fabricante, requerimientos de
mantenciones y su frecuencia, costos de operacin y mantencin, etc. En general
son caractersticas propias de un control. Por ejemplo, el extintor de Incendios.
Obviando el simple hecho que estar presente no mitiga ningn Riesgo, se puede
evaluar si el tamao del mismo es el adecuado, si sus mantenciones son
adecuadas, si el tipo de extintor es el adecuado, si su fecha de caducidad o
vigencia est al da, si es de activacin manual, semi-autimtica o automtica, etc.
En general, las caractersticas de Calidad de un control se refieren a cuan
confiable puede ser en cualquier momento y particularmente cuando se le
necesite.
Estas caractersticas tambin deben ser valorizadas de alguna forma tal que
permita, en combinacin con la eficiencia y eficacia del control, mitigar o controlar
adecuadamente el o los FR a los que se asociar el mismo.
EFICACIA
La eficacia de un control tiene que ver con cuan bien opera el control. Por ejemplo,
los bomberos pueden ser extremadamente eficaces, puesto que extinguen el
fuego, pero si se demoran demasiado (eficiencia) en llegar, da lo mismo si llegan o
no. Cuando se evala la Eficacia de un control se mide o valoriza cuan bien

opera sobre su alcance. Reiterando el ejemplo de los extintores de fuego, su


alcance individual es relativamente restringido, digamos que un extintor medio, de
unos 12 kilos, puede controlar una superficie de unos 30 mts a la redonda. Esto
es que cada 60 mts debiera existir un extintor de estas caractersticas. De no
contar con uno, entonces el ms cercano no podr apagar el amago de incendio
antes que se transforme en un incendio declarado y este control claramente no
ser eficaz.
En este ejemplo en particular, se debe hacer nfasis en que no se est evaluando
a la persona que lo manipula, ni mucho menos el hecho que debe ser activado por
una persona. Esos parmetros son propios de la calidad del control. As, un
sistema

de

extincin

de

incendios

automtico,

combinado

con

sus

correspondientes detectores de calor y/o humo, es claramente ms eficaz que un


simple extintor. Sin embargo, los costos involucrados tanto en su mantenimiento,
operacin (una vez activado), y recuperacin tras su activacin, tambin son
distintos, pero corresponden a caractersticas de Calidad del Control.
EFICIENCIA
La Eficiencia de un control busca identificar cun rpido acta. En este sentido,
una buena referencia es determinar el RTO de cada proceso y definir, por ejemplo,
que en caso que su activacin demore menos del 50% del RTO es
extremadamente eficiente, mientras si demora ms del 200% del RTO es
extremadamente ineficiente. Siguiendo con el extintor de incendios, sera
extremadamente ineficiente, puesto que depende de un factor humano. As, la
eficiencia podra considerar parmetros tales como el nivel de automatizacin, el

tiempo que demora en ser efectivo el control respecto del RTO, etc. El RTO se
puede obtener producto de un BIA o como resultado de alguna definicin que sea
consistente. (Ver captulo BUSINESS IMPACT ANALYSIS (BIA))
NOTA: El RTO es el tiempo mximo que un proceso puede soportar una interrupcin de su operacin sin
causar dao permanente.

La combinacin de Calidad, Eficacia y Eficiencia se puede definir como la


Efectividad del Control y en definitiva, ser el parmetro que representar la
capacidad del control de mitigar o controlar el FR al cual se asocie.

MAGNITUD DEL RIESGO


Una vez definidos los aspectos anteriores respecto de las escalas y criterios de
valoracin de Probabilidad e Impacto, Exposicin y Severidad, controles y
mitigadores, es importante aclarar bajo qu escala y cmo se representar la
Magnitud del Riesgo.
MAGNITUD DISCRETA
Una forma de representar el Riesgo es mediante colores los que estn asociados
a rangos de valores o coordenadas en un grfico, tal que si un riesgo en particular
cae en una coordenada de un color determinado, su nivel de Riesgo final o
Residual estar dado por el color o coordenada en el cual se encuentra. Esta es
una metodologa vlida y muy til cuando los Modelos de Gestin de Riesgo se
encuentran en una etapa inicial o insuficientemente maduros. Tambin se puede
definir que dado el valor de la magnitud del Riesgo est en determinado rango,
tendr determinado valor.
Por otro lado, es importante considerar algunos aspectos relevantes respecto de la
designacin de colores y nomenclatura de la magnitud. Por ejemplo, no es
recomendable usar el color verde dentro del rango de colores. El motivo es que al
visualizarse, este se asocia a seguridad, estamos bien, siendo que en realidad
estamos trabajando sobre un Riesgo, cuya probabilidad e impacto existen. El
verde da tranquilidad y el hecho que un Riesgo est en un nivel de este tipo,
probablemente el ms bajo de la escala, no significa que no se deba tratar o dejar
de ocupar al equipo de Gestin de Riesgo. No significa estar pre-ocupado, pero si
estar ocupado.

Respecto de la escala de la magnitud del Riesgo, es recomendable no ser


extremista. Por ejemplo, en las verbalizaciones de los Niveles de Riesgo,
Catastrfico como expresin del valor mximo de la magnitud de un riesgo tiende
a ser catalogado de exagerado o alharaco con las consecuencias de la
correspondiente desacreditacin del trabajo que se realiza en esta materia. En el
otro extremo, la expresin Insignificante para un nivel de Riesgo muy menor,
tiende a despreciar dicho Riesgo. Sin embargo, el Riesgo persiste e incluso puede
materializarse y causar un impacto adverso. Puede descuidarse la vigilancia y
supervisin respecto de este Riesgo y a despacharlo por ser insignificante o
irrelevante.
Dados los ejemplos anteriores, es muy importante representar las magnitudes con
elementos que generen las alertas correspondientes y que permitan priorizar la
urgencia de atencin, pero sin entrar en juicios de valor, exageraciones o
descalificaciones hacia uno u otro lado de la escala.
MAGNITUD CONTINUA
Cuando el Modelo de Gestin de Riesgos est maduro, la organizacin est
consciente de los Riesgos, se tiene registro de los incidentes y sus impactos
reales, y existen la capacidad y herramientas adecuadas, se puede avanzar hacia
escalas continuas, en reemplazo de las discretas. De esta manera, la Magnitud del
Riesgo viene a ser la magnitud del vector que se origina en la base de la escala
(1) y termina en la coordenada determinada del Riesgo. Hay que recordar que,
bajo el criterio que se est trabajando slo con Riesgos que generan un impacto
negativo, NO EXISTE el Riesgo con probabilidad o impacto cero, por tanto las

escalas comienzan siempre en 1. En caso que se consideren Riesgos con impacto


tanto positivo como negativo, existir el Riesgo de magnitud cero.
En la Figura 12 se observa como distintos vectores, de la misma magnitud, se
pueden distribuir en el Mapa. Como se muestra en el grfico de representacin
continua de colores, se tiene un arcoris formando un cuarto de crculo iniciando
con el color que representa la magnitud mnima y terminando con el que
representa la magnitud mxima.
Sin embargo, la magnitud mxima no ser igual a magnitud mxima de la escala
discreta. Por ejemplo, en la Figura 12 se muestra una escala continua de Impacto
y Probabilidad con un valor mnimo de
1 y mximo de 5, el valor de magnitud
mxima

de

una

combinacin

de

Probabilidad e Impacto (Probabilidad=5


e Impacto =5) sera de 6,071 el
tamao de la discontinuidad estar
dado por la cantidad de decimales que
se use. Sin embargo, no cae en la
misma escala de 5 valores que tienen

Fig. 12

el Impacto o Probabilidad. Es por ello que en caso de aplicar escalas continuas es


necesario redefinir, en funcin de esta nueva escala, los criterios y parmetros
anteriores.
Eventualmente, se puede definir rangos de magnitudes en vez de coordenadas.
De esta forma se podra definir, por ejemplo, que cualquier riesgo con magnitud 5

o superior es de tipo Extremo. Sin embargo, en la prctica, lo que nos interesa es


todo Riesgo que se encuentre por sobre el Nivel Aceptable que la organizacin ha
definido para ese Riesgo en particular.

UMBRAL Y APETITO AL RIESGO


Una vez definidos los parmetros anteriores, es necesario definir el Umbral de
mitigacin y la Apetito al Riesgo. Al observar desde el punto de vista opuesto, en
vez de Apetito al Riesgo, puede ser la Aversin al mismo. Es el Comit de Riesgo
el responsable, en base a experiencias propias y a la colaboracin de los
Especialistas,

de

llegar

una

definicin razonablemente aceptada


por la organizacin respecto de estos
parmetros.
Se puede asumir que se cuenta con
todos los recursos del universo para
mitigar un Riesgo en particular. Llega
un punto en que por ms controles y
Fig. 13 Nivel de Aceptacin

mitigadores que se agreguen, no se

puede seguir mitigando. Es como el fuego de una parrilla, slo se puede poner
una cantidad de lea y carbn limitada y si se pone demasiado, puede que sea
necesario sacar lea para que el fuego surja. En el caso de los controles sucede lo
mismo, por lo que es necesario definir un Umbral o la cantidad mxima de
mitigacin que se podr obtener implementando todos los controles posibles e

imposibles. Es importante recordar que no importa cunto se mitigue un Riesgo,


este nunca desaparece, slo es controlado, asumido o traspasado, pero nunca
desaparece, salvo que se deje de hacer la actividad en la cual existe el Riesgo.
Por otro lado, es necesario definir el nivel de riesgo que la organizacin
considerara aceptable. Usualmente este se encuentra bajo el 40% de la escala
(Fig 13). Esto es que cualquier Riesgo cuya valoracin se encuentre sobre este
Nivel de Aceptacin, deber ser tratado o controlado de alguna forma adicional o
complementario a como se controla actualmente, tal que permita mitigar ese
Riesgo y llevar su Magnitud bajo el Nivel de Aceptacin. Aquellos Riesgos que se
encuentran bajo dicho nivel, se consideran como aceptados, puesto que el costo
de invertir en mitigar an ms dichos Riegos puede ser demasiado alto respecto
del beneficio de dicha mitigacin, o puede ser traspasado a un tercero, como un
seguro o una tercerizacin de una actividad, etc. Sin embargo, nunca deben
olvidarse, puesto que por muy pequea la Magnitud del Riesgo, salvo que se deje
de ejecutar la tarea en que ese Riesgo puede materializarse, siempre estar
presente el Riesgo.
Este lmite permite a la organizacin identificar y priorizar de manera objetiva,
donde destinar los recursos disponibles y justificar su uso en tales o cuales
actividades y controles en pos de reducir las Magnitudes de Riesgos Restante o
Residual, que se encuentran sobre el Nivel de Aceptacin.
Por otra parte, la Tolerancia al Riesgo, en algunas organizaciones se trata
indistintamente

como

el

Nivel

de

Aceptacin.

Sin

embargo,

en

otras

organizaciones se define que la tolerancia es el margen de error aceptable. Por

ejemplo, dado un nivel de aceptacin definido como 3, la tolerancia pudiera


definirse como 0,2. Luego los Riesgos con nivel de residual entre 3 y 3,2 son
tolerables, lo que no significa que son aceptables.
Tambin, la tolerancia se puede definir como el margen de error respecto de las
valoraciones de los parmetros. Se podra decir que un Riesgo es de
aproximadamente un magnitud determinada, con un error en la probabilidad de un
valor y un error en el impacto de tal otra. Estos mrgenes de error son la
tolerancia. Por ejemplo, con una tolerancia de 0,2 de un 3% una probabilidad de
3,2, aun teniendo un error de un 3% (0,96) en uno u otro sentido, es aceptable
respecto de la certeza y confiabilidad del dato. (Vease Variabilidad de Probabilidad
y/o Impacto)
Lo ms prctico es definir un nico Nivel de Aceptacin para todos los Riesgos, tal
que cualquier Nivel de Riesgo que sea superior a sta definicin debe
necesariamente ser tratado. Igualmente, definir una Tolerancia nica, sea que la
organizacin defina utilizar indistintamente la expresin Aceptacin y Tolerancia o
que establezca un Nivel de Aceptacin nico para todos los Riesgos. Sin
embargo, existen situaciones en las que llevar el Nivel de Riesgo Restante a un
Nivel Aceptable o dentro de la Tolerancia es tan costoso, que el negocio decide
asumir ese Riesgo y dejarlo hasta ese punto. El ejemplo de los Riesgos de
eventos de la naturaleza es claro. Para un comerciante que tiene tres o cuatro
tiendas en una ciudad, el costo de un huracn, una inundacin de la ciudad o de
un terremoto, puede ser catastrfico. Sin embargo, tampoco es mucho lo que

puede hacer para reducir o mitigar este Riesgo, salvo mitigar el impacto, lo cual
tambin puede llegar hasta cierto punto nicamente.
Tambin es factible, en consideracin de situaciones en que no es posible
modificar alguno de los parmetros, definir niveles de tolerancia distintos segn su
Categora o incluso para cada Riesgo. Por ejemplo, la Categora de Riesgos
DAOS A ACTIVOS MATERIALES, se podra definir un nivel de tolerancia
mayor que la Categora de Riesgos FRAUDE INTERNO. El motivo es simple y
evidente. Contra el fraude interno puedo desarrollar actividades que controlen la
probabilidad y/o mitiguen el impacto, pero contra eventos que estn fuera de mi
control, como los eventos de la naturaleza, o sublevaciones sociales, paros de
servicios pblicos, guerras, etc., no es mucho lo que se puede hacer para
controlar la probabilidad, slo se puede mitigar el impacto.

METODOLOGA DE CLCULO (LA LICUADORA)


Probablemente una de las tareas ms difciles de la Gestin de Riesgo consiste en
determinar una metodologa o frmula matemtica que no se base en criterios
subjetivos, juicios de valor o que no dependa de la persona de turno, que combine
los parmetros de Probabilidad e Impacto inherente o iniciales, con los Controles,
para generar una coordenada de Probabilidad e Impacto restante o residual, que
permita determinar la Magnitud del Nivel de Riesgo Restante.
Matemticamente lo que buscamos es:
f(Pi,Ii,C) = |(Pr,Ir)|
donde,
|(Pr,Ir)| = Magnitud del Riesgo Restante

En palabras ms simples, responder a la siguiente pregunta: Ya que se dispone


de los valores objetivos de Probabilidad e Impacto Inherentes o Iniciales, de los
Niveles de Exposicin y Severidad, y de los Controles que los mitigan, cmo se
hace para que interacten?
La necesidad de algn tipo de frmula se hace indispensable a objeto de mitigar la
subjetividad de las valoraciones individuales, lo que adems, permitir una nica
regla indistinta de otros aspectos y evitar distorsiones producto de juicios de
valor.

La complejidad de la frmula depender de varios factores, aunque principalmente


de las habilidades de la persona que gestione los riesgos, del nivel de certeza que
se requiera, del nivel de comprensin de la organizacin de los temas
relacionados a la Gestin de Riesgo o el Nivel de Madurez que sta tenga al
respecto y de las herramientas que se tenga disponibles.
Cada organizacin puede definir sus propios criterios y metodologa, por lo que se
sealan solamente algunas variantes a modo de ejemplo sobre las cuales se
puede trabajar para definir una metodologa propia, acorde a los requerimientos de
la organizacin. Sin embargo, es necesario que la organizacin, particularmente el
Comit de Riesgos, est consiente y pueda justificar adecuadamente porqu se
utiliza tal o cual metodologa.
La Gestin de Riesgos debe basarse en informacin lo ms objetiva posible y
nada ms objetivo que los hechos evidenciados en el pasado. Sin embargo,
adems es necesario mitigar en la mayor medida de lo posible, la subjetividad de
la evaluacin, por lo que se recomienda tomar los datos histricos y procesarlos
mediante algn tipo de licuadora que entregue un resultado ms objetivo
respecto de las proyecciones de probabilidad e impacto de futuros Riesgos.
Finalmente, el resultado debe contrastarse necesariamente contra el ms
complejo e inusual parmetro existente. Lamentablemente no es posible ir al
negocio de especialidad y conseguir un poco, es el Sentido Comn.

METODOLOGA DE ANLISIS
Muchas empresas y profesionales de la Gestin de Riesgos consideran que el
proceso es tan complejo, que es difcil y engorroso utilizar frmulas matemticas
que representen objetivamente los Niveles de Riesgo a los que est expuesta la
organizacin y los niveles de control sobre los mismos. Es por ello que el proceso
es de anlisis detallado y, en funcin de ciertos criterios y de una metodologa de
anlisis, se determina la prioridad o urgencia de tratar determinados Riesgos, los
costos y caractersticas de los controles y mitigadores necesarios para tratar
dichos Riesgos ms relevantes o prioritarios.
Este Anlisis de Riesgos lo realiza una persona, o equipo de trabajo, que
determinan ciertos criterios para definir cmo identificarn y medirn el Riesgo.
Entre otras cosas, definirn los niveles de probabilidad e impacto y cmo los
controles y mitigadores aplican y afectan al Riesgo. Como resultado de lo anterior
generarn un listado de prioridad de los Riesgos a mitigar o controlar.
Sin embargo, tambin son vlidas metodologas que intentan objetivizar las
aprensiones y juicios de valor de las personas y los valores inicialmente
designados a fin de tener resultados que no dependan del criterio de las personas,
sino como resultado de un proceso complejo.
METODOLOGA BSICA
La forma ms simple de aplicar matemticamente los controles, es dejando de
lado todo tipo de matices. Para ello se puede comenzar por definir controles slo
de tipo Preventivo o Reactivo y se define que todos los controles de tipo Detectivo
actan nicamente sobre la Probabilidad o nicamente sobre el Impacto. Otra

alternativa es que algunos controles de tipo Detectivo se clasifiquen como


Preventivos y otros se clasifiquen como Reactivos.
Adicionalmente, se debe definir una escala, que para un nivel bsico usualmente
es de 3 4 niveles, puesto que es ms relevante mantener simple el Modelo de
Gestin de Riesgos y que los usuarios comprendan rpida y fcilmente los
conceptos, por sobre la exactitud o efectividad del modelo.
Una vez clarificados estos aspectos, se puede determinar el valor de mitigacin de
un control nicamente en base a la calidad del mismo, o en forma intuitiva. Se
puede considerar dos o tres parmetros de un control, como su formalidad,
frecuencia de aplicacin y/o calidad subjetiva, los que se ponderan y suman,
determinando un valor de mitigacin de ese control. Incluso, se puede utilizar un
valor porcentual en base a un criterio tan simple como la moda entre un grupo de
usuarios y directamente designar un valor de mitigacin de ese control.
Posteriormente se puede ir ajustando el valor de mitigacin hasta que el resultado
haga sentido.
En este caso es importante tener una visin holstica de la organizacin e
idealmente el proceso debiera se emprendido por terceros, lo que permite
controlar de alguna forma la subjetividad de quienes participan en los procesos
evaluados y se aplica el sentido comn que puede no haber sido desarrollado al
interior de la organizacin.
De esta forma se puede determinar el valor de la Probabilidad e Impacto inicial
asociados a cada FR en particular.

Luego, es necesario determinar qu control aplica a qu FR. Por ejemplo, el


extintor de incendios no sirve de mucho ante una intoxicacin alimentaria o una
epidemia. En este nivel se puede definir que cada FR que cuente con un control,
ser mitigado nicamente por el mejor control que aplique. Luego, si hay dos o
tres controles que aplican, se determinar el nivel de control o mitigacin del mejor
y ese es el que se aplicar matemticamente.
Teniendo claro qu y a qu, es momento de tratar el cmo. Siendo que es una
forma bsica y simple, sera conveniente ordenar los controles que apliquen a un
FR determinado y determinar cul es el mejor respecto de sus caractersticas o su
valor de mitigacin. Sabiendo que es un control de tipo Preventivo, afectar
nicamente a la Probabilidad y si es de tipo Reactivo afectar nicamente al
Impacto. Cunto? Lo ms simple es restando el valor entero, dividiendo o
definiendo una proporcin (menor que 1) que multiplique el valor inicial. Si el nivel
de mitigacin se expresa porcentualmente, se puede multiplicar directamente y se
tendr un resultado en la escala definida. La divisin, pese a que es muy utilizada,
no es recomendada, puesto que no tiene una explicacin racional y lgica
consistente con la forma como el control se aplica o afecta. En el caso de la resta,
es evidente que el control est quitando algo a la probabilidad o al impacto
asociado a un Riesgo, mientras que en la multiplicacin por un factor menor de 1
claramente sucede lo mismo, reduciendo proporcionalmente uno de los
parmetros que determinar la Magnitud del Riesgo resultante o residual, para ese
Riesgo en particular.

Por ejemplo, un FR cuyos parmetros de Probabilidad Inherente e Impacto


Inherente son (3,4) respectivamente, con un Nivel de Riesgo de tipo Alto y
aplicando un control de tipo Preventivo cuyo valor es 2, generara el Nivel de
Riesgo Residual en la coordenada (1,4). Dependiendo de la escala de Riesgo que
se utilice, podr cambiar de nivel o no. Repitiendo el ejercicio anterior, pero con un
control de tipo preventivo cuya mitigacin se ha definido como un 50%, se tendra
que el Nivel de Riesgo Residual en la coordenada (1,5,4).
En este punto se considera como mitigadores solamente el mejor control
Preventivo y/o el mejor control Reactivo. De esta manera, se podra mitigar
Probabilidad, Impacto o ambos.

Es decir, donde:
Cr = Control Reactivo
Cp = Control Preventivo
Pi = Probabilidad Inicial
Ii = Impacto Inicial
Luego,
f(Pi, Ii, Cr, Cp) = (Pi - Cp, Ii - Cr) = coordenadas del Riesgo restante
si los controles tienen valores de la escala o

f(Pi, Ii, Cr, Cp) = (Pi *(1- Cp), Ii *(1- Cr)) = coordenadas del Riesgo restante
si los controles tienen valores porcentuales

En funcin de estas nuevas coordenadas, se puede determinar, a partir del mapa


de calor, la Magnitud Residual de ese Riesgo en particular.
Esta combinacin de controles que mitigan probabilidad e impacto de un riesgo, si
bien es bsica y simple, como todo lo bsico, adolece de varias dificultades y
problemas. El mayor de ellos que es, pese a ser una frmula matemtica que
busca eliminar o reducir la subjetividad, en la prctica, esta se mitiga muy poco o
nada. Los valores de los controles tienden a ser muy altos y los niveles de
mitigacin son lejos superiores a la realidad, llevando a un claro error en la
mayora de los casos. Esto provoca que muchos Riesgos sean escondidos bajo
un falso nivel de control o sobre expuestos con una excesiva Magnitud del Riesgo
Residual. Todo ello puede generar un falso sentido de seguridad en aspecto que
no la tienen y un falso sentido de urgencia en aspectos que no la requieren.
Adicionalmente, el uso de escalas menores a 5 generan los problemas de escala
mencionados en el captulo de Definiciones y Criterios.

METODOLOGA DE INTRODUCCIN
Una forma que pudiera ser ms certera al tratar el tema de la Gestin de Riesgo,
respecto de la Metodologa Bsica, es establecer una escala de 5 valores y
manejar un grupo de 5 a 6 parmetros que permitan determinar las caractersticas
de los controles. En los controles se puede considerar un grupo de caractersticas
que definan la Calidad, otro la Eficacia y otro la Eficiencia. Incluso puede que
uno o dos de estos parmetros sean definidos lo ms objetivamente posible, o
subjetivamente y sus valores ingresados directamente y no como el resultado de
un clculo. A su vez, se combinan y normalizan estos valores. El resultado puede
ser en la misma escala de 1 a 5 como un porcentaje de mitigacin.
Algunos ejemplos de variantes sobre el mismo tema:
Sean,
C = valor de calidad calculado, medido o asignado en escala 1 a 5
Ef1= valor de la eficiencia calculado, medido o asignado en escala 1 a 5
Ef2= valor de la eficacia calculada, medida o asignada en escala 1 a 5
Ej1(C + Ef1 + Ef2) /3 = Mitigacin del Control (M1)
Por qu dividido por 3? Bsicamente, es la forma de obtener una media.

Ej2-

C*Ef1*Ef2 / 125 = % Mitigacin del Control (M2)

Por qu dividido por 125? El objetivo que es que sea un porcentaje y dado que
todo est en la misma escala de 1 a 5, el valor mximo de la multiplicacin de las
caractersticas del control sera 125. Luego para obtener un porcentaje, el valor
debe ser dividido por 125.
Otra forma de valorizar los controles es darles un peso o ponderador a cada uno
de los parmetros, tal que la suma de los ponderadores siempre sea 1. Luego la
Calidad pudiera ser ponderada de una forma, la Eficacia de otra y la Eficiencia de
otra. La suma ponderada se puede usar como valor o su proporcin respecto del
valor mximo de la escala o como un porcentaje de mitigacin.
Por ejemplo, manteniendo la escala de 1 a 5 se podra ponderar de la siguiente
forma:
Pc = Ponderador de la Calidad
Pef1= Ponderador de la Eficiencia
Pef2= Ponderador de la Eficacia
Luego, la mitigacin del Control seria:
M = Pc * C + Pef1 * Ef1 + Pef2 * Ef2

%M = (Pc * C + Pef1 * Ef1 + Pef2 * Ef2) / 5

Nuevamente, por qu dividido por 5? Es porque la suma ponderada nos entrega


un valor mximo de 5 y si se quiere un porcentaje, se debe dividir por este valor.
En este punto, tanto el valor de la Calidad (C), como de la Eficiencia (Ef1) y
Eficacia (Ef2) pueden ser calculados en base a parmetros o valorizados
directamente.
A su vez, estos porcentajes o niveles de mitigacin se aplican segn corresponda
a los controles segn su tipo (Reactivo, Detectivo, Preventivo), permitiendo que un
conjunto de controles afecte tanto la Probabilidad como el Impacto en forma
simultnea e independiente.
Adems es necesario definir si se utilizar solamente el mejor control o cmo se
combinarn varios controles si hay ms de uno que aplique al mismo parmetro
para el mismo FR. Por ejemplo, en el mbito de las tecnologas, ante situaciones
de discontinuidad, se tienen respaldos de bases de datos y respaldos de equipos.
Individualmente ambos mitigadores tiene sus caractersticas propias y ambos
aplican al parmetro de Impacto, es decir, son Reactivos. Luego, cmo se
combinan estos para mitigar el Riesgo? Claramente la suma de ambos valores
debiera ser superior a cada uno individualmente. Pero cunto, cmo? Son temas
que se deben definir.

METODOLOGA CONTNUA
Cuando se trata de una metodologa de este tipo, la discontinuidad est dada por
la cantidad de decimales que se usen. Esto tiene directa relacin con el nivel de
detalle con que se traten las variables y parmetros del Modelo Gestin de
Riesgos implementado. Es decir que la discontinuidad sea lo ms pequea
posible, pero dentro de un rango razonable. Para efectos de considerar una
funcin o frmula continua que permita determinar la magnitud del Riesgo
Restante, con dos o tres decimales puede ser razonable.
Como mencionado anteriormente, hay organizaciones que definen el Impacto
como una funcin de la Probabilidad. Usualmente, este tipo de funciones implican
complejas ecuaciones que pudieran combinar races cuadradas, funciones
trigonomtricas y otro tipo de artilugios matemticos. Sin embargo, en este sentido
y segn cmo se definan los parmetros, las frmulas sern ms complejas o
menos. Claramente lo ms simple dentro de las alternativas continuas es el uso de
Pitgoras. Es decir:
Dadas las coordenadas restantes de,
Pr = Probabilidad Restante
Ir = Impacto Restante
Magnitud = |Raiz (Pr^2 + I^2)-1|
Para llegar a ello, es necesario definir matemticamente la Probabilidad y el
Impacto restantes. Una forma sera:
Pr = P i * C

Ir = Ii * (1 + Vi/10 0,1) * ( 1 + Pi/10 - 0,1) * C

, segn sea el caso,


Pr = P i / C e

Ir = Ii * (1 + Vi/10 0,1) * ( 1 + Pi/10 - 0,1) / C

Donde,
Pr = Probabilidad Restante
Pi = Probabilidad Inherente
C = Mitigacin de Control
Ir = Impacto Residual
Ii = Impacto Inherente
Vi = Velocidad del Impacto
Pi = Persistencia del Impacto

Donde el nivel de mitigacin de los controles puede expresarse como un


porcentaje (se usa la primera expresin) o como un valor en la misma escala de
probabilidad e impacto (se usa la segunda expresin)
Igualmente, es necesario definir cmo se determinar el nivel de mitigacin y
control de los Controles. Al trabajar en una modalidad continua de escala, se
recomienda definir 2 a 4 parmetros para determinar la Calidad, Eficiencia y
Eficacia. Estos pudieran ser valorizados en la misma escala de la Probabilidad e
Impacto a objeto de mantener consistencias.

Algunos ejemplos de parmetros:


Calidad

Eficiencia

Nivel de Formalidad

Frecuencia de Requerimientos de Mantencin

Experiencias respecto del control

Seguridad en estado Stand By

Confiabilidad

Tiempo de Respuesta respecto del RTO de ese proceso o


actividad

Eficacia

Complejidad de aplicacin o ejecucin del control

Certeza de su activacin oportuna

Nivel de automatizacin

Alcance

Resultados conocidos/esperados de su aplicacin

Certeza de los resultados

Desarrollo propio

Una vez definidos los parmetros a considerarse y definido cmo se combinarn


estos valores para determinar el nivel de control o mitigacin del Control o la
Efectividad del mismo, se determina el nivel de control y mitigacin del conjunto de
controles que aplican.
El siguiente paso es definir parte de la metodologa de clculo del Riesgos. Es
necesario definir cmo se aplicarn estos valores, especialmente considerando

que para un FR puede existir un control y para otro FR puede existir ese mismo
control ms otros.
En este sentido existen distintos criterios. La mayora son subjetivos y valorizan
como un paquete el conjunto de controles. Sin embargo, el nivel de subjetividad de
dicha valoracin pone en riesgo el resultado de la valoracin de los Riesgos. La
ventaja de trabajar con ecuaciones matemticas, por muy simples que sean, es
que se mitiga o reduce en alguna medida, los conceptos y juicios de valor que
tergiversarn los resultados.
La siguiente frmula, ha sido perfeccionada en el tiempo en base a los resultados
y experiencias de su aplicacin. Esta frmula genera un porcentaje de mitigacin
producto de la combinacin priorizada de los controles segn su efectividad
individual.

% =

%Mc(1)
%Mc(n)
%Mc(i)
+ ( (
)) ( (
))
(id + 1)
(id + 1)
(id + 1)
=2

=1

Fuente: Desarrollo conjunto Ing. Alan Santos Ing. Leopoldo Ponce

Donde,
%Mc(1) = % de mitigacin del control que ms mitiga
Id = posicin relativa de la capacidad de mitigacin del control que aplica
%Mc(n) = % de mitigacin de n-simo control que ms mitiga
Umbral = nivel mximo de mitigacin asumiendo infinitos controles
%Mc(i) = % de mitigacin del i-simo control que ms mitiga.

Bsicamente, se asume que el mejor control, aquel que controla o mitiga ms,
opera mejor que los dems y en forma complementaria, los siguientes controles
van aportando mayor mitigacin. Ello genera una representacin matemtica que
permite que la combinacin de controles cuya capacidad de control y mitigacin
conjunta sea mayor a la del mejor control individual.
El concepto se puede observar con mayor facilidad en el siguiente grfico:

Fig 14 Grfico Aporte de Controles al % de Mitigacin

Luego, es cuestin de definir en forma continua los lmites entre un rango y otro.
Por ejemplo, la probabilidad e impactos se definen en rangos de 1 a 5, pero las
magnitudes del Riesgo no, solamente un nivel de tolerancia, puesto que la
magnitud combinando los valores mximos de 5 niveles sera levemente superior
a 6, en este ejemplo. En este sentido, se puede definir un par de niveles bajo el

nivel de tolerancia y otros 3 sobre dicho nivel, a objeto de generar las debidas
alertas. Por ejemplo, si el Nivel de Aceptacin se ha definido como una Magnitud
de Riesgo 3, estamos estableciendo que todos aquellos Riesgos cuyas
magnitudes sean menores a 3 se encuentran controlados. Luego es posible
establecer que en el rango de 2 a 3 est controlado y en el rango menor a 2 est
muy controlado. Luego para aquellos valores sobre el Nivel Aceptable, se puede
decir que el rango de 3 a 4 tendr un Nivel de Riesgo Medio, entre 4 y 5 un Nivel
de Riesgo Alto y sobre 5 un Nivel de Riesgo Extremo. Sin embargo, estos tres
niveles son inaceptables. Esta jerarquizacin permite identificar la prioridad con
que se deben designar los siempre escasos recursos para mitigar los Riesgos
segn su Nivel.
Sin embargo, al jerarquizar por rangos, lo que se est haciendo es llevar una
Magnitud de Riesgo representado matemticamente por una escala continua, a
una escala discontinua representada por los rangos. Esto se hace nicamente con
el fin de ofrecer a quienes no son entendidos en la materia y que en definitiva son
los que deciden las acciones relevantes de la organizacin, una herramienta ms
digerible y fcil de comprender.
Existen muchas frmulas de valoracin de Riesgos que entregan valores
continuos.
Por ejemplo:
Riesgo = Pr*Ir*F*Vi*Pi
C
Fuente: Proceso de Gestin de Riesgos y Seguros, Isabel Cceres San Jos-Marti

Donde:
Pr es la Probabilidad Restante
Ir es el Impacto Restante
F es la frecuencia con que se ejecuta la actividad donde el FR se presenta
Vi es la Velocidad con que se presenta el Impacto
Pi es la Persistencia del Impacto
C es la valoracin de los controles y mitigadores
En este caso, si se define que la Probabilidad, Impacto y Controles estn en
escalas de 1 a 5 y la Frecuencia, Velocidad del Impacto y Persistencia del Impacto
son parmetros mayores a 0 y menores o iguales a 1, el resultado siempre ser
entre 0 y 5, existiendo la posibilidad de tener magnitudes de Riesgo menores a 1.

Otra frmula la indica la Norma Europea Solvencia para los seguros:


RSS =
,=1((, ) )
Fuente: Directiva del Parlamento Europeo Solvencia 2009

Donde,
RSS = Riesgo de Suscripcin de Seguro
CORR= es la combinatoria de los RSS j y k

La misma norma, mediante su Reglamento emitido en 2015 conocido como


Solvencia II establece la siguiente frmula para determinar el Margen de Riesgo
de la cartera de seguros:
()

MR = CoC * >1 (1+(+1))+1


Fuente: Reglamento Delegado (UE) 2015/35 de la Comisin, Solvencia II

Donde,
MR = Margen de Riesgo
CoC = Tasa de Costo de Capital
CS(t) = Capital de solvencia obligatorio al cabo de t aos
R(t+1) = tipo de inters sin riesgo bsico correspondiente al vencimiento de
t + 1 aos

Para calcular el nivel de Riesgo Cardiovascular, se han identificado una serie de


parmetros que aportan al riesgo.

Para cada uno de estos parmetros se

determina un aporte parcial y la suma total indicar el nivel de Riesgo


Cardiovascular del individuo. De esta forma, el Riesgo Cardiovascular se
determinar como:
R.C. = f(Edad, Colesterol Total, Colesterol HDL, Antecedentes Familiares,
tabaquismos, gnero, estilo de vida)
Luego, para cada parmetro se puede determinar niveles de riesgo especficos o
rangos.

Por ejemplo, en el parmetro edad se podra establecer rangos como los


siguientes:
Rango Etario
0 - 10
10 - 20
20 - 40
40 - 60
60 +

Aporte
al
Cardiovascular
1
2
3
4
5

Riesgo

Igualmente, para cada parmetro se asignan rangos y valores de aporte, siendo


que el Riesgo Cardiovascular se definir como la suma de los resultados
individuales de los factores que aportan riesgo.
Particularmente, para efectos de medicin del Riesgo Cardiovascular (CV), los
mdicos especialistas usan una serie de tablas de Riesgo basadas en los
siguientes parmetros:

Pas,
tina,
Edad,
Gnero,
Antecedentes personales de enfermedad CV,
Antecedentes familiares de enfermedad CV: slo cuando stos han ocurrido
en familiares de 1er grado.
Tabaquismo,
Hipertensin arterial,
Diabetes,
Dislipidemia,
Obesidad abdominal,
Sedentarismo,
Colesterol HDL< 40 mg/dL,
Triglicridos >150 mg/dL

Estos son los parmetros utilizados en las Tablas de Framingham, las que se ven
aproximadamente como muestra la figura.

Fig 15 Ejemplo Tabla de Framingham de Riesgo Cardiovascular (RCV)

Como se puede observar de los anteriores ejemplos, se puede desarrollar las


frmulas que se estimen necesarias, con los parmetros adecuados a considerar
segn el objetivo al cual apunta la Gestin de Riesgos en cada caso especfico. La
principal ventaja de una escala continua, es que facilita la identificacin y trabajo
en base a rangos, cosa que no ocurre con las escalas discontinuas.
Complementariamente, la ventaja de usar frmulas, es que se elimina o de alguna
forma se reduce el aspecto subjetivo de la evaluacin, entregando informacin
ms certera.

EL FACTOR TIEMPO
Indistinto de la metodologa, escalas o criterios definidos, siempre existir una
pesadilla que rondar los rincones de nuestras mentes. Esta es cmo vara la
Magnitud del Riesgo en el tiempo.
Para analizar esta situacin, es necesario definir cinco estados o puntos en el
tiempo que son relevantes. Se definir como T0 aquella instancia de tiempo en que
no ocurre nada o desde la perspectiva de los parmetros de probabilidad e
impacto, aquel momento en el cual la probabilidad existe y es menor que 100%.
En el instante en que se materializa un incidente, ese preciso instante de tiempo
en que la probabilidad pasa a ser 100%, puesto que se ha materializado el riesgo,
se denominar T1. A partir de este punto, pasa un tiempo hasta el momento en
que la organizacin detecta y se da cuenta que se ha materializado el riesgo. A
este momento se le denominar T2. Entre T1 y T2 el impacto se va materializando
y en la medida que el tiempo transcurre, el impacto aumenta y el servicio o
proceso afectado se va degradando. En este punto (T2), la organizacin se
prepara para reaccionar, basado en los controles existentes o la intuicin, segn
sea el caso. Cuando efectivamente la organizacin comienza a reaccionar o los
controles comienzan a operar, ese instante ser T3. A partir de la reaccin de la
organizacin, se mitiga el impacto y este, en funcin lo la calidad de las respuesta,
ir disminuyendo hasta retornar a los niveles normales equivalentes a los
existentes en T0. Esto demorar el tiempo necesario para llegar a T4, el instante en
que se ha declarado que la incidencia ha sido superada.

Para algunos casos, estos tiempos pueden tener distancias temporales de unos
pocos segundos, mientras que para otros pudieran ser varios aos, segn sea el
riesgo materializado.
La figura 16 muestra estos tiempos en funcin del nivel de servicio que se ve
deteriorado por la materializacin de un Riesgo especfico.

T0

T2

T4

T3
Nivel normal
del Servicio

T1

Fig 16 Representacin grfica e los efectos del tiempo


Desarrollo propio

Como se observa, entre T1 y T2, la organizacin percibe el impacto inicial. La


degradacin del servicio depender de la velocidad con que el impacto se
materializa y la velocidad con que la organizacin reaccionar. A partir de T2, pese
a que se ha iniciado el proceso de activacin de las respuestas y procesos de
recuperacin, el impacto sigue aumentando hasta llegar el punto T 3, donde los
esfuerzos de mitigacin estn operando al 100% y comienzan a dar frutos. Es
recin a partir de T3 que se comienza a mitigar el impacto, por lo que la duracin
del perodo entre T3 y T4 depender esencialmente de la persistencia del impacto
y de las caractersticas de los mitigadores que operen.

Ejemplos:
Un banco realiza transacciones en miles de millones de dlares en forma diaria.
Se puede suponer el peor escenario posible, que justo cuando est realizando una
de estas millonarias transacciones, se produce un incidente. El banco no puede
darse el lujo de perder una transaccin, menos an si es por mucho dinero que no
es de su propiedad. Por lo tanto, el tiempo entre T1 y T2 debe ser menor a 1
segundo. Igualmente, el tiempo entre T3 y T4 no puede ser significativo y a lo ms
ser de unas horas.
Por otro lado, se dan situaciones como las centrales elctricas nucleares. El
accidente de Chernobil, por ejemplo, tuvo un plazo entre T 1 y T2 de unos das.
Mientras que el perodo entre T3 y T4 an no se puede cuantificar despus de 30
aos!

PROCESO DE GESTIN DE RIESGOS


El Proceso de Gestin de Riesgos, est definido por dos componentes. Por una
parte, est la definicin de Proceso y por otra la Gestin de Riesgos. La figura
muestra grficamente en qu consiste un Proceso.
DEFINICIN DE PROCESO
Elementos
de Entrada
Trmino

Transformacin
Inicio

Elementos
de Salida

Desarrollo propio

La Gestin de Riesgos consiste en la identificacin y tratamiento de los riesgos


identificados, as como la aceptacin de las consecuencias producto de la
materializacin de uno de ellos u otro no identificado.
Luego, el Proceso de Gestin de Riesgos consiste en la transformacin de datos
relacionados a riesgos que enfrenta la organizacin, en acciones de mitigacin y
control de los mismos que permitan reducir las consecuencias de la
materializacin de un riesgo.
En la figura 17 se muestra que el Proceso de Gestin de Riesgos se inicia con la
determinacin por parte de las mximas autoridades de una organizacin para
iniciarlo. Suena sencillo, pero si las autoridades de la organizacin no estn
interesadas, nada se puede hacer o su implementacin ser tan compleja que

nadie participar y todo el trabajo ir a parar a la basura. Las mximas autoridades


deben definir y designar los recursos necesarios y posteriormente establecer las
definiciones y criterios bajo los cuales se realizar la Gestin de Riesgos. Con
estas definiciones se tendr un Marco de Trabajo de la Gestin de Riesgos.
Dadas las definiciones y criterios establecidos, el ciclo de la Gestin de Riesgos
comienza con el levantamiento, identificacin, valorizacin y clculo de las
magnitudes de los Riesgos. Luego, estas deben se validadas con los usuarios
Dueos de los procesos y se procede a evaluar la consistencia entre las
magnitudes de riesgos resultantes y lo que el sentido comn del dueo del
proceso dice. Si existen ajustes, sean en los criterios o en las definiciones, estos
se implementan y si no es necesario realizar ajustes, se procede a implementar
controles y mitigadores, y el proceso se inicia nuevamente.
Inicio

DEFINICIONES

LEVANTAMIENTO Y
CLCULOS

REVISIN DE
DEFINICIONES Y
PARMETROS

SI

ACCIONES DE
MITIGACIN

VALIDACIN

REQUIERE
AJUSTES?

NO

Figura 17 Flujo de Levantamiento de Riesgos


Desarrollo propio

En general, como se ha mencionado anteriormente, el Proceso de Gestin de


Riesgos

requiere

de

ciertos

formalismos,

designacin

de

responsables,

otorgamiento de facultades y autoridades, as como de recursos para realizar la


tarea encomendada. En esta incipiente etapa, donde la Gestin de Riesgos se
encuentra incubando en las mentes de las mximas autoridades de la
organizacin y a penas germinada, es que se requiere tomar ciertas decisiones
tales como definir el Comit de Riesgos, su funcionamiento y operacin, as como
el encargado de Riesgos, Oficial de Riesgos o Director de Riesgos, su estructura
organizacional y los recursos necesarios para implementarla.
En paralelo a la implementacin de formalismos y designaciones, es factible iniciar
el proceso de identificacin de los riesgos, para lo cual la identificacin de
procesos crticos es recomendable y su posterior levantamiento o mapeo detallado
es una herramienta muy importante para las etapas siguientes. Durante el
levantamiento y mapeo de los procesos, para la debida Gestin de Riesgos, es
recomendable incorporar la mayor cantidad de informacin posible, tales como las
tecnologas involucradas, aspectos legales, documentos o informaciones que se
intercambian en uno u otro sentido del proceso, unidades o reas responsables, si
hay infraestructuras especficas necesarias para desarrollar una actividad,
interaccin con fiscalizadores, etc.
Una vez identificados los procesos, sus respectivas actividades, y sus respectivos
Riesgos, se puede proceder a valorizar los parmetros de Probabilidad e Impacto
de cada uno de los FR que generaran como consecuencia la materializacin del

Riesgo evaluado. Si hay ms parmetros, se evalan y valorizan tambin en este


punto.
Luego, determinados los parmetros, es necesario conocer el Riesgo Inherente,
esto es la Magnitud del Riesgo bajo el supuesto que no existiese ningn tipo de
control o mitigador y siempre pensando en la peor situacin. Una vez que el
Riesgo Inherente se ha determinado, y se conocen los controles y mitigadores
asociados a cada FR, se procede a determinar la Magnitud del Riesgo Residual o
Restante. En la prctica, este es el parmetro que a todos interesa, puesto que es
la situacin actualizada de ese Riesgo.
Siguiendo con el proceso, es necesario validar que los resultados sean
consistentes y coherentes con la realidad, para lo cual, una forma, es generar
reuniones de trabajo con los Dueos de procesos y actividades puntuales,
exponer los resultados y validar en conjunto los parmetros y los resultados. Con
ello, junto con validar, se est integrando a los colaboradores al Proceso de
Gestin de Riesgos y a su vez, quienes deben administrar directamente los
Riesgos, se involucran y reconocen los niveles de riesgo y los requerimientos de
tratamiento especfico identificado en sus casos. En este punto lo ms relevante
es que quienes activamente participan de las actividades donde existen riesgos,
reconocen la existencia de los mismos y validan su magnitud. Existen situaciones
en que los resultados no hacen sentido y en la gran mayora de los casos, resulta
que hay controles existentes que no han sido identificados anteriormente, por lo
que complementariamente se depura el levantamiento realizado.

Finalmente, si se requieren de nuevos controles o mitigadores, si se identifican


requerimientos de ajustes, se realizan y se revalidan. En su defecto, si se
identifican nuevos requerimientos de mitigacin, se modifican los controles y/o
mitigadores existentes o se complementan con nuevos controles o mitigadores.
La implementacin de nuevos controles y mitigadores por lo general conlleva
costos, tanto de implementacin y puesta en marcha como de operacin. Cuando
se decide implementar nuevos tratamientos al Riesgo, es necesario evaluar la
relacin costo-beneficio. Se puede dar situaciones en que el costo de reducir un
riesgo es tal que no se justifica por el escaso beneficio. En estas situaciones se
puede considerar bsicamente dos alternativas. Por un lado, se puede evaluar
modificar los seguros existentes y, de no existir, tomar un seguro. Con ello se
traspasa parcialmente el Riesgo a un tercero y se mitiga fuertemente el impacto.
Por otro lado, se puede asumir que se convivir con ese Nivel de Riesgo, el que
ser monitoreado en condiciones especiales con una frecuencia mayor. Si llegase
a surgir una tecnologa o elemento a costo razonable que permitiera tratar el
Riesgo, esta ser evaluada y eventualmente implementada. Una tercera opcin a
evaluar es la de traspasar la actividad en la cual se genera el Riesgo a un externo
para que la desarrolle en beneficio de la organizacin, hacindose responsable de
dicho Riesgo. Sin embargo, en este ltimo caso, surgirn nuevos Riesgos.
Finalmente, en forma regular y sistemtica, se valida la operacin, funcionamiento
y adecuacin del Modelo de Gestin de Riesgos, sus controles y mitigadores, su
cumplimiento y especialmente el registro de eventos, con lo que se procede a reevaluar y a afinar el resultado, permitiendo a la organizacin mejorar la calidad de

informacin respecto de sus riesgos y por ende una mejor calidad de informacin
para la toma de decisiones.

LEVANTAMIENTO DE PROCESOS
Para poder iniciar el levantamiento e identificacin de los Riesgos, es necesaria
una comprensin detallada del proceso que se evaluar. La forma ms prctica de
hacerlo es mediante un conjunto de documentos. Por un lado, un diagrama de
flujo que detalle las actividades, agrupadas en sub-procesos, si existieren, y en el
que cada toma de decisin y cada actividad, ya sea interna o externa, debiera
estar codificada y asociada a un rea o unidad responsable de dicha tarea. El
segundo documento debiera ser una descripcin operacional de cada una de las
actividades, indicando los elementos de entrada de dicha actividad, la actividad
propiamente tal y los elementos de salida. Adems, en ambos documentos es
necesario indicar las tecnologas involucradas. En este sentido es importante
reconocer que una corchetera (engrapadora) o un lpiz pueden ser tan
importantes como una base de datos digital o un sistema informtico de gestin.
Por ejemplo, en una actividad en particular se usan corchetes (grapas) para unir
importantes documentos, como un cheque y su respectivo documento de
autorizacin. Si no hay disponible una corchetera o siquiera corchetes que
permitan efectivamente unir ambos documentos para evitar el extravo de alguno
de ellos, la probabilidad de materializacin de un FR del tipo que se extrave un
cheque aumenta significativamente. Para evitar esta situacin, se puede
considerar como mitigador, tener un pequeo stock de corchetes o clips
disponibles.
En un banco pequeo, el dueo es el nico autorizado para firmar documentos
valorados sobre determinado monto. Hay un importante documento que debe ser

firmado con tinta azul, por un aspecto legal. Justo cuando va a firmar, no hay tinta
azul, solo negra y pese a que hay otras personas, solo hay lpices de tinta negra,
verde o roja o de cualquier color menos azul qu hacemos?
Ambos ejemplos anteriores son hechos reales que han sido observados en
distintas organizaciones y que efectivamente han causado impacto en las
organizaciones. Los detalles, usualmente los menos evidentes, son aquellos de
los que hay que preocuparse, del resto, slo hay que ocuparse.

FLUJOGRAMA
Cuando se trabaja con flujogramas, en general, es necesario conocer algunos
aspectos bsicos de los mismos. Para la documentacin de los flujos se
recomienda el uso del mtodo de notacin BPMN (Business Process Modeling
Notation ISO 19510:2013), el que consiste de una notacin grfica
estandarizada para el modelado de los procesos de negocio.
Su principal objetivo es:
Resolver las dificultades de comunicacin que tiene el lenguaje comn
Proporciona un mtodo normalizado para representar procesos de negocio
Facilita su entendimiento debido a la poca complejidad de su notacin
Proporciona un lenguaje comn entre los usuarios de negocio y los tcnicos
Facilita la diagramacin de los procesos de negocio
Algunas reglas o buenas prcticas mencionan lo siguiente:
1. Por lo general existe a lo menos un punto de inicio y un punto final del
proceso.
2. Una actividad especfica puede gatillar varias actividades subsecuentes
paralelas.
3. Una actividad especfica puede ser gatillada por una o varias actividades.
4. Una decisin slo tiene dos salidas, esto es que se cumple o no se cumple
una condicin.
5. La lnea de unin de dos figuras debe indicar hacia donde se dirige el flujo.

6. En el caso de las lneas de salida de una decisin, deben indicar si esa ruta
corresponde a una confirmacin de la condicin o a una negacin de la
misma.

Es recomendable que con cada actividad, adicionalmente se identifiquen:


1. Documentos o comunicaciones de entrada y/o salida de la actividad.
2. Tecnologas utilizadas para recepcin y/o transmisin de insumos a la
actividad, procesamiento de la actividad y entrega o despacho de los
resultados de la actividad.
3. Infraestructura relevante utilizada en esa actividad.
4. Un cdigo nico que permita identificar la actividad o toma de decisin en
forma especfica.

Fig. 18.- Ejemplo de Flujograma de Sub-Procesos


Desarrollo propio

Fig. 19.- Ejemplo se Flujograma en detalle


Desarrollo propio

En la figura 19 se puede observar que


las

actividades

especficas

las

decisiones se encuentran codificadas


y que algunas de estas actividades
tienen varias figuras numeradas en
torno

las

actividades

sub-

procesos. Estas corresponden, segn


sea el caso, a herramientas digitales o

Figura 20 Ejemplo de Simbologa de Flujos

en papel, cuyo nmero se asocia a una tecnologa en particular o un tipo de


documento que se ha definido y documentado en otra seccin del grfico,
generando un diccionario o glosario de figuras y numeraciones necesarias para
poder comprender el detalle del flujo.

Es importante contar con algn tipo de descriptor de la simbologa, tal que permita
conocer el significado de cada uno de ellos.

IDENTIFICACIN DE FACTORES DE RIESGO (FR)


Identificados los Procesos Crticos y sus respectivas actividades debidamente
documentadas y descritas, la infraestructura y tecnologas necesarias, se debe
evaluar en detalle cada una de las actividades y tomas de decisin del proceso.
Producto de este anlisis es necesario identificar la mayor cantidad de posibles
situaciones que pudieran generar la materializacin de un incidente que pudiera
afectar el proceso o sus componentes.
Particularmente es necesario considerar aquellas situaciones que pudieran afectar
los diversos recursos utilizados en cada actividad, lo que permitira identificar los
distintos FR que potencialmente afectaran dicha actividad especfica.
Por ejemplo, si una actividad es desarrollada por personas, es vlido preguntarse
qu sucede cuando se enferman?, lo cual es una de las tantas metodologas de
Gestin del Riesgo. Si el proceso se interrumpe o es necesario contar con una
persona que lo reemplace, significa que existe un FR. Igualmente, si la actividad
es automtica, es vlido preguntarse qu sucede cuando se corta la luz?. Si la
actividad requiere del uso de tecnologas, es vlido preguntarse qu sucede si esa
tecnologa no est disponible, presenta fallas o genera errores. Igualmente hay
que considerar las fallas que pudieran generarse producto de los elementos de
entrada a la actividad. Por ejemplo, si el informe llega ilegible o el archivo no se
puede abrir, podra afectar el proceso y es necesario evaluar su impacto y
probabilidad.
Se debe recorrer completamente el flujo de cada proceso, analizar cada actividad
y cada toma de decisin y documentar todos los FR identificados. Es tentador

generar Factores de Riesgo con la falta de controles del tipo Qu no funcione el


generador?. En este caso, el FR indica que no funcione el control, lo que no es un
FR, sino debe ser evaluado y considerado al momento de asignar una calidad al
control. Igualmente es tentador definir varios FR del tipo Que se enferme la
Recepcionista y luego Que se enferme el Gerente XXXX, etc. En realidad lo que
se est identificando es Que no se disponga del RRHH necesario en el momento
adecuado o Que no se disponga de RRHH Crticos. Con ello se analiza slo un
FR y se cubren todas las alternativas, incluyendo las variantes de que se
enfermen o renuncien o simplemente que no estn disponibles porque fueron a un
evento en el colegio de su hijo. Obviamente se debe intentar evaluar aquellas
alternativas ms crticas.
Por ejemplo, el efecto que se puede tener producto que la secretaria-recepcionista
se enferme puede ser muy distinto del efecto que el administrador de la base de
datos que se explota diariamente se enferme, o que el Gerente que firma los
cheques se enferme. Son Riesgos distintos, de probabilidad e impacto distintos,
pero el FR es el mismo, que la persona que realiza la actividad se enferme o que
el 10% de los RRHH de la empresa se enferme en un mismo instante, etc.
Muchos considerarn que evaluar que el 10% del RRHH se enferme
simultneamente es demasiado exagerado. Sin embargo cuando se producen
pandemias como la gripe aviar o la gripe porcina, efectivamente es posible y de
hecho sucedi, que ms del 10% de los RRHH de diversas organizaciones no
pudieron ir a trabajar. Se recurri a planes de emergencia y tecnologas que
permitieron el trabajo remoto, pero eso es un mitigador del Riesgo.

Otro ejemplo similar es con las inundaciones. Estn aquellos que tienden a
matizar que se inunde con 1 cm de agua, que se inunde con 5 cm de agua, etc.
Son matices, en la prctica es que se rompa una caera, lo cual es vlido
incluso en pisos altos. Sin embargo, tambin se puede producir una inundacin
porque en la oficina de arriba se produjo una filtracin o se rompi una caera.
Luego todas estas variantes estn incluidas en el FR Que se rompa una caera
provocando una inundacin, dado que lo importante es la consecuencia o impacto
y no la variante de la causa especfica.

IDENTIFICACIN DE RIESGOS
Teniendo identificados los FR especficos e individuales, que no son fallas o faltas
de controles, se pueden agrupar en variados criterios. Usualmente las normas
relacionadas a la Gestin de Riesgo indican una serie de categora y es cuestin
de analizarlas e ir asociando los FR a los Riesgos especificados. Por ejemplo,
Basilea II especifica 7 categoras sealadas anteriormente.
Estas categoras son vlidas para cualquier tipo de organizacin, indistinto que
fueran concebidas originalmente para la industria financiera. Obviamente existen
Riesgos especficos que se enmarcan en cada una de estas categoras. Por
ejemplo: Accidente Laboral; Acoso; Discriminacin; etc, son Riesgos
especficos asociados a Relaciones Laborales Y Seguridad En El Trabajo.
Complementariamente, si se considera necesario se puede abrir otras categoras
como por ejemplo Legales o Poltico Sociales.
Luego, estos Riesgos especficos agrupan distintas formas como se puede
materializar. Por ejemplo, el Riesgo Acoso incluye Que se solicite favores extralaborales a un subalterno con fines laborales; Que un supervisor genere cargas
de trabajo desproporcionadas respecto de sus supervisados; Que una autoridad
exija favores sexuales a cambio de mejoras de evaluaciones, remuneraciones o
simplemente para mantener el trabajo u otras condiciones; etc. Todos estos FR
son distintos, pero todos estn asociados al concepto de ACOSO, por lo que se
agrupan en ese Riesgo. Eventualmente pueden existir Riesgos mencionados en
normativas o guas de referencia que no aplican a la organizacin y en dicho caso,
no deben ser considerados. Sin embargo, usualmente la gran mayora de las

categoras y Riesgos mencionados en las normas y recomendaciones aplican a


cualquier organizacin, indistinto del tamao, giro, complejidad, tipo, etc.
No obstante, es importante recordar que el Riesgo ms relevante no es el ms
crtico y usualmente el de mayor impacto, es aquel que no conocemos o el cual no
consideramos como factible. Por mencionar tan solo un ejemplo, cuando el WTC
en Nueva York fue atacado y destruido por terroristas, uno de los Directores de la
compaa de seguros que ostentaba los seguros correspondientes se declar
inmediatamente en quiebra. Eventualmente pudieron llegar a esa situacin, pero
una adecuada Gestin de Riesgos interno de la compaa les permiti traspasar
gran parte de sus costos a Re-aseguradoras que terminaron por responder con los
pagos correspondientes.

ASOCIACION FACTOR DE RIESGO RIESGO


Una vez identificados los FR y definidos los Riesgos, es necesario relacionar de
alguna forma estos elementos. Ello es necesario dado que un mismo FR puede
materializar distintos Riesgos y a la inversa, un mismo Riesgo puede tener varios
FR. Por ejemplo, el Riesgo de Accidente Laboral tiene asociado el FR Que se
accidente el mensajero. Sin embargo, ese mismo FR Que se accidente el
mensajero tambin puede materializar un Riesgo de Prdida de documentos
jurdicos.
Las asociaciones de unos con otros pueden ser infinitas. Sin embargo, a objeto de
no volverse demasiado exagerado, se sugiere que un Riesgo no tenga ms de 40
50 FR asociados y a su vez, que un FR no se asocie a ms de 8 10 Riesgos.
El promedio ideal es de 5 a 6 FR por Riesgo, pero como todo lo utpico, es
extremadamente improbable.
A su vez, es muy importante una adecuada codificacin. En este sentido, una
forma que garantiza una codificacin nica de la forma Rxx, donde xx es un
nmero secuencial o aleatorio, pero nico y los FR, tambin debidamente
codificados, por ejemplo FRyyy donde yyy es un nmero nico. La combinacin de
estos, generar un cdigo nico para la relacin FR Riesgo, lo que ser muy til
al momento de identificar los FR ms relevantes dentro de un Riesgo en particular.

VALORACIN

Una vez identificados los FR, definidos los criterios y la metodologa que se
utilizar, comienza el trabajo de valorizar cada uno de los parmetros para cada
uno de los FR y de los controles. Lo peor que se puede hacer, es que a puerta
cerrada, entre un grupo de colaboradores que en ningn momento se encuentra
involucrado con las actividades o procesos donde se genera el FR, se valorice en
funcin del criterio de cada uno. Lamentablemente, el criterio no se puede
comprar en el negocio de la esquina o en supermercado de su rubro. Es por ello
que es indispensable estandarizar e integrar a los involucrados en las actividades
especficas.
Una forma que ha demostrado dar buenos resultados, es reunir a todos quienes
estn involucrados en el proceso, desde el auxiliar que reparte la correspondencia
hasta el director general, si participan en el proceso. Se hace una pequea
introduccin explicando la actividad a desarrollar, la metodologa y los resultados
esperados.
La metodologa bsicamente consiste en primero evaluar los parmetros de
Probabilidad para cada uno de los FR identificados. Esta situacin permite
concretar varios aspectos relevantes, puesto que primero se valida por los propios
usuarios, en forma pblica, que los FR identificados efectivamente son vlidos y
eventualmente incluso pueden surgir nuevos. Adicionalmente, se est capacitando
a los asistentes en la Gestin de Riesgos y por ltimo, se genera conciencia de los
niveles de relevancia de mitigar los FR en forma permanente. La idea es que para

cada valoracin se d un espacio para conversar respecto del nivel de


probabilidad e intentar llegar a un consenso al respecto. Si no es posible un
consenso, se puede aplicar la MODA, esto es la valoracin con mayor cantidad de
adeptos. En caso que aun as no sea posible concretar un valor, se puede usar un
promedio redondeado.
El promedio es recomendable hacer lo posible por evitarlo, puesto que no es
precisamente una buena salida, dado que justamente elimina los extremos. Sin
embargo, cuando no hay solucin en el debate y el tiempo apremia, es una
alternativa vlida.
El motivo de comenzar por valorizar la Probabilidad, es que dados criterios
estandarizados, es ms fcil identificar las probabilidades de ocurrencia y la
frecuencia con que una actividad expone a la organizacin a un Riesgo en
particular.
Una vez recorridos todos los FR y valorizados todos los parmetros de
Probabilidad para cada uno de ellos, se procede a valorizar los parmetros del
impacto. Se ocultan los valores de los parmetros de probabilidad evaluados
previamente, pudiendo incluso realizar esta segunda etapa de valoracin en una
segunda reunin de trabajo, con el objeto de evitar subjetivisar el impacto. La
ventaja de trabajar nicamente sobre estos parmetros es que se plantea que
indistinto del evento y de su probabilidad, se considera que el incidente
efectivamente sucedi. La organizacin se ve efectivamente enfrentada a una
situacin que le genera un impacto negativo.

Probablemente lo ms complicado, es que los colaboradores no consideren los


controles ya existentes. Por ejemplo, si la organizacin se ve afectada por un
incendio, no se debe considerar los seguros para efectos de valorizar el Impacto,
puesto que posteriormente, aplicando la frmula que corresponda y en funcin de
las caractersticas de los seguros, estos mitigarn el impacto del incidente
generando una valoracin objetiva del Nivel de Exposicin al cual la organizacin
est expuesta, producto de la inexistencia de seguros o de seguros que no cubren
la totalidad de los requerimiento, etc.
Luego, es necesario valorizar los Controles. En una tercera etapa o reunin, con el
mismo grupo se procede a valorizar los parmetros asociados a cada uno de los
controles en forma individual, indistinto del FR al que apliquen o la metodologa
que se utilice.
Finalmente, se procede a asociar cada control el/los FR que mitiga.

RIESGO
INHERENTE O INICIAL
Producto del anlisis detallado y la valoracin individual de los FR asociados a
cada Riesgo, se calcula un primer nivel de exposicin denominado Riesgo
Inherente. Este consiste con el clculo de la Magnitud del Riesgo, pero sin
considerar los controles, podramos decir que se evala el Riesgo tal cual Dios lo
trajo al mundo, desnudo. Este clculo matemtico entregar un valor asociado al
Riesgo Inherente o propio de la actividad para cada FR. Dado lo anterior, es
necesario identificar, para cada Riesgo, cual es el FR, asociado a ese Riesgo en
particular, que tiene la mayor exposicin y por ende es el que lleva al Riesgo a su
mayor nivel. En general es bastante evidente, pero hay ciertas condiciones de
borde que deben ser consideradas y tratadas.
Supongamos que tanto la probabilidad como el impacto estn en escala de 1 a 5.
La metodologa o frmula para calcular el Riesgo ser P * I. Qu sucede cuando
tenemos un FR con Probabilidad = 4 e Impacto = 5 y lo comparamos contra otro
de Probabilidad = 5 e Impacto = 4. Al aplicar nuestra frmula, en ambos casos
tenemos el mismo valor, 20. Cul de los dos es ms relevante? Es necesario
definir un criterio que permita discriminar cul de los dos es ms relevante.
Cuando ocurren estas situaciones medias extraas, es recomendable considerar
como ms relevante aquel FR cuyo Impacto es mayor. El motivo es que al
comparar dos situaciones, se presume que ambas han ocurrido, luego el Impacto
es la variable que manda para diferencia la prioridad de uno sobre el otro.

Un elemento interesante a destacar en este punto, es que usualmente el FR que


lleva el Riesgo a su mximo Nivel de Exposicin es el ms evidente y a su vez el
ms controlado. A su vez, en la mayora de los Riesgos, suceder que una vez
aplicados los controles sobre un Riego en particular, ser otro el FR que llevar el
Riesgo a su mximo Nivel de Exposicin, pero aun as, ser menor que el
inherente.

RIESGO RESTANTE O RESIDUAL


El Nivel de Riesgo Restante o Residual es el resultado del tratamiento del Riesgo
mediante controles y mitigadores que se aplican en determinadas actividades en
las que surgen los FR que pueden materializar distintos Riesgo. En otras palabras,
es el resultado de aplicar los controles y mitigadores disponibles a los FR
identificados y es el Nivel de Riesgo al cual la actividad est expuesta pese a que
se aplican los controles identificados.
Si el Nivel de Riesgo Residual de un Riesgo en particular es superior al Nivel de
Aceptable, significa que es necesario tomar medidas suficientes para reducir dicho
Nivel bajo el nivel aceptable o eventualmente, con conocimiento y debidamente
documentado, decidir traspasar dicho Riesgo a una aseguradora o simplemente
asumir dicho Riesgo.
MAPAS DE RIESGOS
El Mapa de Riesgos no es ms que una representacin grfica de los resultados
de la evaluacin de Riesgos y debe ser relativamente fcil de comprender por
parte de personas que no son entendidas en la materia, tales como altos directivos
de la compaa y Directores de la misma. En este sentido, existen distintas formas
de representacin. No hay unas ms correctas que otras, sino que simplemente
son distintas en funcin de lo que se pretende enfatizar.

MAPA DE PROBABILIDAD x IMPACTO


Estndar
El Mapa de Riesgos estndar basado en Probabilidad e Impacto, considera que
cada Riesgo es representado por un punto dado por la coordenada generada de
los resultados de la Probabilidad (eje X) y el Impacto o Severidad (eje Y) (tambin
se usan los ejes invertidos, donde el Impacto es el eje X y la Probabilidad el eje Y).
En este Mapa la Magnitud del Riesgo est dada por la magnitud del vector de
origen en el punto de interseccin de los ejes que termina en la coordenada del
Riesgo. Eventualmente la magnitud puede estar dada por el color resultante por la
posicin relativa en la matriz de colores y determinando su nivel de riesgo de esta
forma.

R04e

FR03

4
I
M
P
A 3
C
T
O
2

FR142 FR212

FR244
FR190

1
1

PROBA BI L I DA D

Fig 21.1 Mapa de Riesgos estndar P x I

Fig 21.2 Mapa de Riesgos estndar P x I

Variabilidad de Probabilidad y/o Impacto


Un Mapa de Riesgos del tipo P x I con variabilidad de Probabilidad y/o Impacto
representa, adicionalmente a la coordenada del Riesgo, su margen de error
respecto de la Probabilidad e Impacto representados. En este sentido, pudiera un
Riesgo tener una Probabilidad 2 con una variacin de un 10% por tanto en
realidad estara entre 1.8 y 2.2. Lo mismo sucede si existe un margen de error
conocido respecto del impacto potencial.

FR160

FR212

FR22

FR161

Fig 22 Mapa de Riesgos de tipo P x I con variabilidad de Probabilidad e Impacto


Desarrollo propio

MAPA DE RIESGO RESTANTE


Otra forma de mostrar grficamente la Magnitud de los Riesgos es directamente
utilizando las escala de riesgos. As el tamao de la figura indicar la cantidad de
Riegos asociados a una Categora en particular, el eje vertical indicar la mayor
Magnitud de Riesgo Residual de alguno de los Riesgos de dicha Categora y el
horizontal la Categora. El resultado se muestra en la figura 23, lo cual permite un
primer nivel de informacin ejecutiva.

Magnitud del Riesgo por Categora de Riesgo


45

39
32
29

25
17
12

Fig 23 Magnitud del Riesgo por Categora


Desarrollo propio

En general, cuando un Riesgo se encuentra con una Alta Probabilidad y es de


Alto Impacto, debe ser tratado inmediatamente. Cuando es solamente la

Probabilidad la que se puede afectar, es necesario implementar planes de control


tales como capacitaciones, dobles controles u otras medidas que permitan reducir
dicho parmetro. Cuando lo nico que se puede mitigar es el impacto, es
recomendable implementar planes de continuidad operacional y evaluar seguros
complementarios que mitiguen a lo menos el impacto financiero para la
organizacin.

INFORMES

Con cada ciclo de Gestin de Riesgos, donde se ha evaluado cada uno de los FR
y se ha determinado los niveles de exposicin de cada Riesgos y su relacin con
sus respectivos Niveles de Tolerancia o Aversin al Riesgo, es necesario informar
a las mximas autoridades de la organizacin el estado del arte o la situacin
vigente de los Riesgos. Esta informacin es muy importante para la toma de
decisiones y particularmente aquellas que tengan que ver con temas estratgicos
o con enfrentar situaciones de desmedro.
Por ejemplo, las compaas de seguro cobrarn menor prima si el nivel de
accidentalidad es nulo o bajo. En la medida que se apliquen controles adecuados,
el nivel de accidentabilidad bajar, las primas bajarn y todos estarn felices. Por
otro lado, es importante para la autoridad organizacional conocer estos factores,
puesto que se podra estar estudiando la fusin de la organizacin con otra y el
tener niveles bajos de accidentabilidad pudiera ser un factor preponderante en las
negociaciones y particularmente el precio. En el sentido opuesto, dada una
situacin de mercado que se contrae, es posible que sea necesario realizar
recortes presupuestarios. El hecho de tener una baja accidentabilidad es una
fortaleza que permitir que los recortes no estn por ese lado.
En general, el informe debe comenzar con una breve resea de la situacin
anterior. Breve, de no ms de un prrafo o dos, sumando no ms de unas 10
lneas. El informe debe ser ejecutivo, breve, conciso, sin rodeos, directo a la
materia. Luego una resea de la situacin actual, no ms larga que la anterior y

finalmente una resea de lo que se est haciendo para mejorar la situacin actual.
Cada uno de estos puntos no debe extenderse significativamente, puesto que se
complementar con informacin en detalle en el resto del informe. Todo esto debe
estar en una nica pgina del informe, puesto que es EJECUTIVO y no en detalle.
La siguiente seccin del informe deber profundizar un nivel mostrando grficos
de cada Categora de Riesgo, el comparativo del ciclo anterior y el actual. Ello
permitir mostrar en forma resumida la evolucin de la Gestin de Riesgos a nivel
de Categora.
La siguiente seccin profundiza an ms, y debe indicar los Factores de Riesgos
especficos ms riesgosos o peligrosos, indicando en primer lugar aquellos de
mayor prioridad y paulatinamente llegar hasta los de Magnitud del Riesgo medio o
bajo, segn sea el caso, hasta los cuales tengan una Magnitud del Riesgo sobre el
Nivel de Aceptacin definido, pero por muy poco. De esta forma se facilita la
priorizacin de la asignacin de los recursos y facilita la generacin de proyectos
necesarios para implementar nuevos controles.
En algunos casos, pudiera ser necesario especificar la situacin particular de
alguno de ellos, incluso cuando un Riesgo est bajo el nivel de tolerancia, por
motivos de cumplimiento legal. Usualmente, estos Riesgos especficos tienen que
ver con la probabilidad de comisin de algn delito por parte de la organizacin o
que esta sea utilizada por clientes o proveedores para cometer ilcitos. Es por ello
que pudiera ser tan relevante tratar estos Riesgos especficos en sesiones de
Directorio o reuniones de las mximas autoridades de la organizacin.

Luego de este informe de la situacin vigente, se debe indicar el seguimiento


realizado a los indicadores de Riesgo. En general, estos indicadores no debieran
ser ms de 10, los que se informan, indistinto de que el rea o unidad a cargo de
la Gestin de Riesgos pueda tener varios ms. La idea es escoger los principales
indicadores que den el mayor valor posible a la visualizacin de la relevancia de
los Riesgos y requerimientos de la Gestin de Riesgos, as como el mayor aporte
a la toma de decisiones. Al igual que con los Riesgos, es necesario indicar la
situacin comparada de cada indicador respecto del ciclo anterior y agregar
alguna pequea descripcin que justifique la variacin en uno u otro sentido.
Por ejemplo, el nmero de cadas de sistemas podra ser un indicador. En el
perodo anterior era 0 y para este perodo es 1. Se puede explicar que hubo una
situacin no prevista de cortes de energa en el proveedor de los sistemas, lo que
afect por aproximadamente xx minutos a nuestra organizacin. Se aplicarn las
multas establecidas en el contrato y se est evaluando el costo de cambiar de
proveedor o de implementar un sistema de respaldos ms complejo y seguro.
Finalmente, el informe debe indicar los proyectos asociados a la Gestin de
Riesgos, y todos los respectivos parmetros del proyecto, tales como responsable,
nivel de avance, problemticas puntuales, presupuesto, gasto real, etc.
Un informe con estas 5 secciones, se puede entregar en una reunin de directorio
o un Comit de Directores, y su presentacin no debe durar ms de 15 a 20
minutos, salvo que existan dudas de los asistentes. Este informe debiera ser
fcilmente entendido por un Directorio o una Alta Gerencia para incorporarlo en los
procesos de toma de decisin de la organizacin.

ANLISIS COSTO BENEFICIO


La Gestin de Riesgos no implica nicamente identificar la Magnitud del Riesgo
Restante de la organizacin a un Riesgo en particular, sino que adems requiere
que se determine qu hacer con l. Sin embargo, solamente el qu hacer no
basta, puesto que los costos involucrados pudieran no justificar el beneficio de
controlar el Riesgo. Por ejemplo, si la infraestructura tiene un costo de 100 y
mitigar el riesgo de prdida de ella significa una inversin de 200, el costo es muy
superior al beneficio y tal vez es mejor simplemente aceptar el Riesgo.
Es por lo anterior que, adicionalmente al informe ejecutivo, una adecuada Gestin
de Riesgos hace necesario entregar a las mximas autoridades de la organizacin
un anlisis de los costos involucrados en la mitigacin de los Riesgos versus los
beneficios esperados de dicha inversin. En general, los costos son bastante
claros y tienen que ver con bienes y servicios especficos, tales como servicios de
monitoreo y vigilancia o bienes como extintores y sistemas automticos de
extincin de incendios o primas de seguros, etc. Sin embargo, la parte difcil de
justificar es el beneficio y su mayor proporcin respecto del costo.
Por ejemplo, el costo de instalar un sistema de extincin de incendios puede ser
del orden de US$1.000.000 en una bodega. Sin embargo, el costo de los
productos en dicha bodega, superan en 10 veces dicho valor. A eso es necesario
considerar prdidas de mercado producto de un evento de esta naturaleza, juicios
y demandas de vecinos y terceros afectados, adems de la propia produccin que
no se puede generar.

Cuando el resultado de la proporcin entre invertir en mitigadores y el costo


resultante es casi 1, es decir son casi iguales, es necesario evaluar dos
alternativas. Por un lado, segn el monto involucrado, decidir asumir dicho costo
en caso de materializacin de un evento. La otra alternativa es evaluar seguros a
los cuales poder traspasar a lo menos el impacto financiero de un evento de dicha
naturaleza. Una tercera alternativa sera asumir el Riesgo.

REGISTRO DE PRDIDAS

Usualmente, cuando se inicia el proceso de Gestin de Riesgos, no hay


disponibles registros o estadsticas respecto de las probabilidades o de los
impactos reales de todos los eventos. Es por ello que es indispensable, junto con
el inicio del proceso de Gestin de Riesgos, generar un modelo de base de datos
que permita registrar y contabilizar las prdidas y en definitiva los impactos.
Este registro debe contener la mayor cantidad posible de informacin, tal que
permita hacer un anlisis y como resultado del mismo se puedan implementar
mejoras. Por ejemplo, cundo sucedi, qu sucedi y cmo sucedi. El cundo es
bastante evidente, se debe indicar no slo la fecha, sino tambin la hora y el lugar.
El qu, debe ser una descripcin ms que de los eventos, de la percepcin de la
situacin, del contexto general en que se dio el incidente y el cmo debe indicar el
anlisis de causa raz y sus conclusiones. Adicionalmente, es necesario detallar
los efectos en la infraestructura, la tecnologa, la produccin, las personas, el
negocio como tal, si los seguros operaron adecuadamente, si se detectaron
falencias en planes de evacuacin, planes de contingencia, etc.
En la medida que se disponga de mayor cantidad y calidad de informacin, mejor
ser la evaluacin de los riesgos, la comprensin de los requerimientos de
mitigacin y ms certero el anlisis de costo beneficio de los controles
implementados.

Por ejemplo, en las industrias manufactureras es comn ver carteles que indican
la cantidad de das transcurridos desde el ltimo accidente. Un accidente en una
industria donde la mano de obra es intensa, tiene un costo que va ms all de la o
las personas accidentadas, con el costo que significa el tratamiento de las
lesiones, los costos de recuperacin y eventualmente capacitacin. Tambin hay
que considerar los costos de despido y los costos de reemplazo, slo desde el
punto de vista del recurso humano. Adicionalmente, estn los costos de la
produccin propiamente tal. Si el proceso productivo se detuvo durante varias
horas o eventualmente das, existe un costo relevante en la materia, la reposicin
de componentes o maquinarias daadas producto del accidente, el impacto en la
moral y la eficiencia de los colaboradores que vieron el accidente o participaron
indirectamente, amigos y colegas. Complementariamente, subir la prima de
accidentes, y en el peor de los casos puede incluso surgir demandas laborales o
descontento general. Directamente, todo lo anterior debe valorizarse en dinero,
necesariamente, puesto que ello se comparar con el costo de implementar una o
un conjunto de medidas con el objetivo que el incidente no se repita y a que si
llegase a ocurrir, el impacto del mismo sea el menor posible.

GLOSARIO

Amenaza: Causa potencia de un evento no deseado, que puede resultar en daos


o perjuicios a los sistemas o la organizacin.
Anlisis de Riesgo: Proceso de comprender la naturaleza del riesgo y determinar
el Nivel de Riesgo.
Apetito de Riesgo: a) Magnitud del Riesgo que se est dispuesto a aceptar en
bsqueda de resultados acordes con los objetivos de la organizacin. (Nivel de
Aceptacin). b) Decisin informada de asumir un determinado Riesgo.
Apreciacin del Riesgo: Es el proceso global de identificacin, de anlisis y de
evaluacin del Riesgo.
Auditora: Proceso sistemtico, independiente y documentado para obtener
evidencia y evaluarla objetivamente para determinar el nivel de cumplimiento de
los criterios de auditora.
Alcance de la Auditora: Extensin y lmites de una auditora.
Alta Direccin: Persona o grupo de personas que dirigen y controlan una
organizacin a su ms alto nivel.
Aversin al Riesgo: Actitud de alejarse del Riesgo.
BCP: Sigla del ingls Business Continuity Plan o Plan de Continuidad de Negocio.
Su objetivo es contar con procedimientos claros y estructurados que permitan

proteger a las personas y continuar con la operacin o restablecerla a la brevedad


posible.
BIA: Sigla del ingls Business Impact Analysis o Anlisis de Impacto al Negocio.
Su principal objetivo es identificar aquellas situaciones que de materializarse
generaran un mayor impacto negativo en la organizacin, tal que la misma pueda
preparar acciones o controles que reduzcan la probabilidad que ocurran estos
eventos o que en caso de ocurrir, el impacto sea menor al considerado
originalmente. (vase el punto BIA)
Buena Prctica: Conjunto de criterios y/o actividades que han sido probadas en
diversas organizaciones de diversas caractersticas, que han dado resultados
positivos.
Capacidad de Riesgo: Mxima Magnitud de Riesgo Restante que la organizacin
es capaz de soportar en caso de materializacin de el/los Riesgos.
Criterio: Trmino de referencia contra el cual se realiza una evaluacin.
Crtico: Caracterstica de un elemento, actividad, sub-proceso o proceso, sin el
cual la organizacin no puede continuar su operacin usual.
Control: Proceso, elemento o accin, que permite controlar y/o mitigar, identificar
o reaccionar ante la materializacin de un Riesgo.
Controlar: Accin que reduce de alguna manera la Probabilidad de la
materializacin de un Riesgo.
Consecuencia: Resultado de un evento que afecta objetivos.

Descripcin del Riesgo: Declaracin estructurada del Riesgo que usualmente


contiene cuatro elementos: fuentes, eventos, causas y consecuencias.
Dueo del Riesgo: Persona o entidad que tiene la responsabilidad y autoridad
para gestionar el Riesgo.
DRP: Sigla de ingls Disaster Recovery Plan o Plan de Recuperacin de
Desastres. Cuando el BCP no logra controlar la situacin y se declara que ha
ocurrido un desastre, este conjunto de planes e instrucciones establecen los
mecanismos para recuperar a la organizacin de una situacin de esta naturaleza.
Efectividad: Se refiere a las capacidades de un control de operar en calidad,
tiempo y alcance de acuerdo a sus caractersticas propias.
Eficacia: Caracterstica relacionada a cun bien opera o se ejecuta una
actividad, proceso o control.
Eficiencia: Caracterstica relacionada a cun rpido opera o se ejecuta una
actividad, proceso o control.
Escala: Conjunto de valores ordenados, continuos o discretos, o conjunto de
categoras a los cuales un parmetro hace referencia.
Evaluacin del Riesgo: Proceso de comparacin de los resultados del Anlisis de
Riesgos con Criterios de Riesgo y/o el Nivel de Aceptacin o Tolerancia al Riesgo.
Evento: a) Algo que sucede en la organizacin fuera de lo establecido en los
procedimientos y procesos usuales de la misma. b) Cambio en un conjunto
particular de circunstancias.

Factor de Riesgo (FR): Causa raz o incidente que materializa un Riesgo en


particular.
Fuente de Riesgo: Elemento que por s solo o en combinacin con otros tiene
potencial intrnseco de materializar un Riesgo.
Gestin de Riesgos: Actividades coordinadas para administrar, dirigir y controlar
una organizacin respecto de los Riesgos.
Identificacin de Riesgos: Proceso de deteccin, reconocimiento y descripcin
de Riesgos. (Vase el punto Identificacin de Riesgos)
Impacto: Resultado negativo sobre la organizacin dada la materializacin de un
Riesgo. (Vase el punto Impacto)
Incidente: Evento de connotacin negativa para la organizacin.
Incertidumbre: Estado, incluso parcial, de deficiencia de informacin relacionada
con la comprensin o conocimiento de un evento, su consecuencia o su
probabilidad.
Indicador: Medida que provee una estimacin, valoracin o referencia de una
variable, una actividad, o un proceso, como resultado de un proceso de anlisis.
Matriz de Riesgos: Herramienta que permite ordenar y priorizar Riesgos,
mediante la definicin de rangos de parmetros tales como Probabilidad o Impacto
u otros.
Mapa de Riesgo: Representacin grfica de los resultados del tratamiento de los
Riesgos reflejados en la Matriz de Riesgos Residual o Restante.

Medicin: Proceso para determinar un valor.


Mitigar: Accin que reduce de alguna manera el Impacto de la materializacin de
un Riesgo.
Monitoreo: Proceso de determinacin del estado de un proceso o actividad
especfica en un momento dado.
Nivel de Aceptacin: a) Magnitud del Riesgo que la organizacin est dispuesta
a correr, pudiendo afectar negativamente los resultados financieros de la
organizacin. b) Magnitud del Riesgo considerada aceptable y dentro del Apetito al
Riesgo.
Nivel de Exposicin: Cantidad o Nivel de veces en que la organizacin se ve
expuesta a la materializacin de un Riesgo en particular.
Nivel de Riesgo: Magnitud del Riesgo, resultante de la Apreciacin del Riesgo,
representada como el resultado de una combinacin de variables.
Percepcin del Riesgo: Visin que las partes interesadas tienen del Riesgo.
Poltica: Expresin formal de intencin y direccin de una organizacin por parte
de la Alta Direccin.
Probabilidad: Frecuencia de veces que se materializa un evento respecto de la
cantidad de veces que se ejecuta la accin en la cual el riesgo est presente.
(Vase el punto Probabilidad)
Proceso: Transformacin de elementos de Entrada en elementos de Salida.

Resiliencia: a) Capacidad adaptativa de una organizacin en un ambiente


complejo y cambiante. b) Resistencia.
Riesgo: a) Combinacin de parmetros de Probabilidad e Impacto respecto de la
materializacin de un evento especfico que afecte a la organizacin o su
desarrollo cotidiano. b) Contingencia o proximidad de un dao. c) Efecto de la
incertidumbre en los objetivos.
Riesgo Residual: Riesgo restante.
Riesgo Restante: a) Resultado de la combinacin de la evaluacin de
Probabilidad, Impacto y Controles que indica la prioridad y nivel de efecto de un
Riesgo en particular. b) Magnitud del Riesgo luego de aplicar un tratamiento al
Riesgo.
RPO: Sigla del ingls Recovery Point Objective o Punto Objetivo de Recuperacin,
es la cantidad de datos o procesos que la organizacin considera tolerable o
aceptable perder antes de considerarlo una interrupcin del proceso.
RTO: Sigla del ingls Recovery Time Objective o Tiempo Objetivo de
Recuperacin, es la cantidad de tiempo que se considera aceptable que un
proceso pueda estar detenido hasta que ste se reactiva sin ser considerado
crtico.
Tratamiento al Riesgo: a) Combinacin de controles que tienden a reducir el
impacto y/o probabilidad de materializacin de un Riesgo. b) Proceso para
modificar el Riesgo.

Tolerancia al Riesgo: Rango de error aceptable para considerar un parmetro de


Riesgo como confiable.
Vulnerabilidad: Debilidad de un activo o control que potencialmente puede ser
explotada por una o ms amenazas.

BIBLIOGRAFIA

Gua 73 - Risk management Vocabulary - ISO


NCH ISO 19600: 2015 - Sistemas de gestin de Compliance Directrices - INN
ISO 31000:2009 - Risk management ISO
ISO 31010:2009 - Risk assessment techniques - ISO
ISO 27001:2013 - Information technology -- Security techniques -- Information
security management systems Requirements ISO
ISO 22301:2012 - Societal security Business continuity management systems
Requirements ISO
ISO 19510:2013 - Information technology - Object Management Group Business
Process Model and Notation - ISO

ISO/TC 176/SC2 Documento N1222, Julio 2014


Risk Taking: A Corporate Governance Perspective IFC World Bank Group
Proceso de gestin de riesgos y seguros en las empresas - M ISABEL CASARES
SAN JOS-MART, Madrid 2013.
Implementacin de la Gestin Integral de Riesgos en el Sector Asegurador bajo la
norma ISO 31000 - - M ISABEL CASARES SAN JOS-MART, Madrid 2014
Recomendacin Basilea II Banco Mundial

COSO I - Internal Control Integrated Framework 1992


COSO II - Internal Control Integrated Framework 2004
COSO III - Internal Control Integrated Framework 2013
Directiva del Parlamento Europeo Solvencia 2009
Reglamento Delegado (UE) 2015/35 de la Comisin, Solvencia II
Diccionario de la Real Academia de la Lengua Espaola
Clculo del Nivel de Riesgo Cardiovascular UNED - Facultad de Ciencias
Nutricin

Diettica

FERNANDO

MARTN

FERNNDEZ

http://www2.uned.es/pea-nutricion-y-dietetica-I/guia/PDF/
Programa_Calculo_Riesgo_Cardiovascular _UNED.pdf
Nuevas Tablas Para La Evaluacin Del Riesgo Coronarios En Chile - Dra. Carolina
Echegoyen Inzunza http://medicinafamiliar.uc.cl/html/articulos/240.html