Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Riesgos Empresariales
Autora: Rubi Consuelo Mejía Quijano1
Resumen
La empresa de hoy está expuesta constantemente a riesgos que pueden afectar el cumplimiento
de su misión y sus objetivos institucionales. Surge entonces la Administración de riesgos
Empresariales, que proporciona a la entidad los medios necesarios para identificar los Riesgos
que se pueden presentar, medir su magnitud y definir la forma de responder ante ellos, de tal
manera que no se afecten los intereses, el patrimonio y la responsabilidad de la organización.
primera instancia la responsable de administrar los riesgos a los cuales se enfrenta la empresa
día a día.
Abstract
Enterprises today are constantly exposed to constant risks that can affect the fulfillment of
their mission and their institutional objectives. Under these circunstances, Enterprise Risk
Management provides the entities with the necessary means to identify the risks that may
arise, measure their magnitude and define a way of responding to them so they will not affect
the interests, patrimony and responsibility of the organization.
Under the decided support of the general management, who is ultimately responsible for risk
administration within the company, Enterprise Risk Management engages all employees in its
purpose and includes all the processes in the entity.
Palabras Clave: Riesgo, administración de riesgos, identificación de riesgos, valoración de riesgos, respuesta a los
riesgos
Key Words: Risk, Enterprise Risk Management, Risk Identificaction, Risk Assessment, Risk Response
1
Contadora Pública, Especialista en Auditoría de Sistemas y Especialista en Gerencia de Proyectos de la Universidad EAFIT.
Profesora del Departamento de Contaduría de la Universidad EAFIT. Medellín. Coordinadora de las Especializaciones de Auditoría
de Sistemas y de Administración de Riesgos y Seguros. Dirección electrónica: rmejia@eafit.edu.co
74
Introducción climáticos, políticos, económicos y sociales
afectan el desempeño de las empresas y las
La incertidumbre está presente aún en el hace más vulnerables a los riesgos, puesto que
corto plazo. Es causada por la imposibilidad de enfrentan situaciones cada vez más complejas
determinar los eventos que pueden presentarse que pueden limitar su crecimiento y desarrollo,
y sus resultados; con la incertidumbre viene y comprometer el cumplimiento de su misión y
asociado el riesgo. objetivos institucionales.
75
I. Concepto de Administración de • Mantener la buena imagen de la organización
Riesgos ante sus grupos de interés.
76
responsabilidad del nivel directivo, quien a económico nacional y local. El decrecimiento de
través de los diferentes comités o conformación la economía puede generar riesgos a las empresas,
de grupos internos identifica y valora los riesgos, que conlleven a un detrimento patrimonial.
define las políticas y da respuestas adecuadas
para su manejo” (modelo de control interno, Las situaciones sociales en las que la
cConceptual, 2004, p. 92). población se ve obligada a desplazarse; en las que
las condiciones de vida, vivienda y bienestar son
IV. Etapas bajas, pueden generar condiciones de violencia
e inseguridad y atentar contra los intereses de la
Las etapas que establece la Admi- organización.
nistración de riesgos son: Contexto de
análisis, identificación de riesgos, valoración Las condiciones geológicas y los
de riesgos, respuesta a los riesgos, políticas de fenómenos naturales que se presentan en la
administración de riesgos y mapa de riesgos. región, constituyen otros elementos del entorno
que deben estudiarse, debido a la posibilidad de
A. Contexto de análisis afectar significativamente la prestación de los
servicios en las instituciones.
Es el establecimiento del conjunto de
circunstancias internas y externas a la empresa, El entorno político puede crear
que pueden generarle riesgo, impedir o afectar condiciones legales que obliguen a la empresa a
el cumplimiento de los fines para los cuales fue estar preparada para aplicarlas, de lo contrario
creada. Con él se establece la relación entre la pueden generar sanciones por el no cumplimiento
77
que presentan, la forma como se relacionan permiten establecer los riesgos, los agentes
con la organización, el apoyo a sus iniciativas, generadores, las causas y sus efectos. Adicional
hace parte del contexto de análisis que debe a estos aspectos se establece una descripción de
realizarse. los riesgos, la cual permite explicar el riesgo en
forma más precisa.
2. Análisis al interior
Por agentes generadores se entienden to-
El análisis al interior de la entidad das aquellas personas, cosas, eventos, acciones
contempla aspectos sobre los recursos y o circunstancias que tienen la capacidad de ori-
capacidades con los cuales ginar un riesgo. En este sentido se clasifican en
cuenta la entidad. Los cinco categorías:
Por riesgo se entiende la posibilidad • Personas: empleados,
recursos se refieren a los
medios físicos, humanos, de que un evento ocurra y sea capaz clientes, proveedores, con-
tecnológicos, financieros de poner en peligro el cumplimiento tratistas o cualquier perso-
y organizacionales; las na o grupo de personas que
de los objetivos de la organización. pueda, de alguna manera,
capacidades se refieren a
las habilidades que tiene La identificación de riesgos permite poner en riesgo las activi-
reconocer si existen eventos que dades de la organización
la entidad para coordinar
• Materiales: conjunto
sus recursos en procura del puedan afectarla y definir sus de elementos o insumos
bienestar de la comunidad
características; determina qué necesarios para fabricar o
que atiende.
puede suceder, quién o qué lo puede procesar productos en una
actividad determinada,
AD-MINISTER Universidad EAFIT Medellín Número 5 jul - dic 2004
78
que efectivamente tengan incidencia sobre ellas, y se obtienen los elementos necesarios para
disminuyéndolas o eliminándolas. establecer políticas tendientes a la reducción
o eliminación del riesgo, la aceptación de sus
Los efectos son las consecuencias que efectos, o la búsqueda de la forma de compartir
la ocurrencia del riesgo puede causar al el riesgo con un tercero.
cumplimiento de los objetivos de la organización.
Generalmente se dan sobre las personas, sobre 1. La calificación del riesgo
los bienes materiales o inmateriales. Algunos
de los efectos más importantes son: pérdidas Consiste en asignar un valor al riesgo,
económicas, pérdida de información, pérdida resultado de multiplicar dos variables: frecuencia
de bienes, interrupción del servicio, daño e impacto. La primera representa el número de
ambiental, pérdida de imagen y de mercado, y veces que se ha presentado o puede presentarse
daños a personas. el riesgo en el macroproceso estudiado y la
segunda corresponde a la magnitud de sus
El desconocimiento de los riesgos a
efectos.
los cuales está expuesta la empresa, afecta la
eficiencia de su operación, la eficacia para
Para determinar la frecuencia y el impacto
obtener los resultados esperados y la toma de
se utilizan diferentes métodos (cualitativos,
decisiones, la que puede ser desacertada si no se
semi-cuantitativos, cuantitativos). Los métodos
contemplan dichos riesgos.
cualitativos se usan cuando la organización no
posee suficiente información sobre la ocurrencia
La identificación de riesgos se efectúa
para cada macroproceso, proceso y actividad de los riesgos y cuando el costo de obtenerla
79
de la organización. En este modelo se utilizan su ocurrencia. Cuando su ubicación se da en
técnicas semi-cuantitativas y se califica el riesgo la zona de riesgo moderado siempre hay que
utilizando dos escalas de valores, que permiten tomar medidas, porque el riesgo puede afectar
establecer su frecuencia (F) y el impacto (I). la entidad en forma significativa; las acciones
Estas escalas se presentan en la Figura 1. Las pueden implementarse a mediano plazo. Si se
calificaciones de la escala de frecuencia se ubica en la zona de riesgo importante se deben
incrementan en forma lineal, mientras las del tomar acciones a corto plazo, por representar un
impacto lo hacen en forma geométrica, con el gran peligro para la organización. Finalmente,
fin de darle mayor peso al impacto, el cual afecta si se ubica en la zona de riesgo inaceptable, las
más significativamente la organización. medidas a tomar deben ser inmediatas, ya que
este tipo de riesgos atentan contra la estabilidad
ESCALA DE VALORES de la entidad.
PARA LA FRECUENCIA
D. Respuesta ante los riesgos
Frecuencia Calificación
(F)
Cuatro son las medidas de respuesta que
Baja 1 puede tomar una organización para administrar
Media 2 sus riesgos: aceptar, reducir, compartir o evitar.
Alta 3 Cuando se habla de aceptar un riesgo, significa
que éste se asume porque su frecuencia es muy
ESCALA DE VALORES baja y no representa peligro para la entidad.
PARA EL IMPACTO En algunos casos se puede crear una provisión
AD-MINISTER Universidad EAFIT Medellín Número 5 jul - dic 2004
80
Frecuencia Valor
3 15 30 60
Alta Zona de riesgo Zona de riesgo Zona de riesgo
moderado importante inaceptable
2 10 20 40
Media Zona de riesgo Zona de riesgo Zona de riesgo
tolerable moderado importante
1 5 30 30
Baja Zona de riesgo Zona de riesgo Zona de riesgo
aceptable tolerable moderado
Impacto Leve Moderado Catastrófico
Valor 5 10 20
partes distribuyen las pérdidas. Otro ejemplo de Por ejemplo, en caso de ser ubicada
transferencia de riesgos, puede darse mediante la calificación del riesgo en la zona de riesgo
la contratación de las actividades o servicios de aceptable, no es necesario tomar ninguna medida
alto riesgo y la concertación de condiciones que para manejarlo; es decir, que el riesgo se puede
aceptar siempre que se actúe en conformidad
81
Frecuencia Valor
15 30 60
Zona de riesgo Zona de riesgo Zona de riesgo
3
Alta moderado importante inaceptable
Prevenir Prevenir, proteger, Evitar, prevenir,
competir proteger, compartir
10 20 40
Zona de riesgo Zona de riesgo Zona de riesgo
Media 2 tolerable moderado importante
Aceptar, prevenir Prevenir, proteger, Prevenir, proteger,
compartir compartir
5 30 30
Zona de riesgo Zona de riesgo Zona de riesgo
Baja 1
aceptable tolerable moderado
aceptar Proteger, compartir Proteger, compartir
Valor 5 10 20
82
• Determinar el ámbito donde se realiza la macroprocesos pueden estar expuestos a un mayor
identificación y valoración de los riesgos en la número de riesgos. Disponer de esta información
organización. Ejemplo: en los macroprocesos, permite emprender acciones inmediatas de
procesos, actividades, proyectos, etc. respuesta ante ellos.
• Establecer el significado de las escalas
de calificación de los riesgos (tanto de Para establecer la prioridad de los
la frecuencia como del impacto); esto es riesgos más peligrosos para la entidad y de los
necesario porque lo que puede ser leve para macroprocesos más riesgosos, se utiliza la matriz.
una organización puede no serlo para otra y lo de priorización de riesgos y macroprocesos que se
grave para alguna puede ser catastrófico para presenta en la Figura 4.
otra; lo mismo puede suceder con la escala
de frecuencia, en la que es importante tener Para diligenciar la matriz, inicialmente
presente el ciclo normal de los procesos de las se establece la ponderación de los macroprocesos,
empresas, para definir dichas políticas. que consiste en darles un valor de acuerdo
• Contener lineamientos sobre las prioridades con su importancia o grado de contribución al
y parámetros para establecer las medidas de cumplimiento de la misión institucional, sus
respuesta ante los riesgos: aceptar, evitar, objetivos y sus planes.
reducir (prevenir, proteger), compartir.
Posteriormente se define la ponderación
2. Políticas particulares de los riesgos, de acuerdo con el peligro que
representan para la empresa. El total de
Se deben establecer políticas particulares los porcentajes asignados a los riesgos debe
para disminuir los mayores riesgos de la corresponder al 100 %, al igual que el de los
Mayor
riesgo
83
frecuencia del riesgo (F), su impacto (I) y la F. Mapa de riesgos
calificación (C).
Es una herramienta organizacional que
Para determinar el valor de la celda facilita la visualización y entendimiento de los
sombreada contigua a la calificación del riesgos, y la definición de una estrategia para su
riesgo, se multiplican los tres valores definidos apropiada administración.
anteriormente: la calificación del riesgo (C) y las
dos ponderaciones (del riesgo y del macroproceso). Su utilidad se basa en lo siguiente:
El resultado obtenido de esta multiplicación, • Localiza los riesgos más significativos
registrado en la celda sombreada, se suma para en los diferentes niveles de operación
cada riesgo y para cada macroproceso, y se (macroprocesos, procesos)
obtienen dos resultados: uno en la columna y • Establece para cada nivel sus respectivos
otro en la fila, denominado total objetivos, los riesgos identificados, su
descripción, los agentes generadores, las
Los totales obtenidos en la matriz causas, los efectos y la calificación.
construida anteriormente, se interpretan de • Determina la evaluación de los riesgos.
la siguiente forma: el total de cada una de • Permite definir prioridades para el manejo de
las filas muestra para cada riesgo su peso; un los riesgos.
mayor valor representa un mayor peligro para la • Registra las medidas de respuesta ante los
organización, por lo tanto exige más cuidado. El riesgos.
total de cada una de las columnas indica para • Permite definir los objetivos de desempeño
cada macroproceso el nivel de riesgo a que se para el programa de Administración de
encuentra expuesto. Riesgos y definir criterios para la toma de
AD-MINISTER Universidad EAFIT Medellín Número 5 jul - dic 2004
Descripción Agente
Macroproceso/ Objetivo Riesgos Causa Efecto
del riesgo generador
Macroprocesos/Proceso:
Respuesta a los
Riesgos Frecuencia Impacto Calificación Evaluación
riesgos
84
V. CONCLUSIONES directos de ellas y como mayores conocedores
de su ejecución.
La administración de riesgos en la
empresa, surge de la necesidad de manejar La administración de riesgos se establece
la incertidumbre y de establecer los riesgos a través de seis etapas, que van desde el análisis
provenientes de los cambios que genera el del contexto de la organización donde se
entorno y la operación de la organización, con determinan las situaciones tanto internas como
el fin de tomar las acciones conducentes a externas que pueden generarle riesgo; pasando
evitarlos, reducirlos o mitigar su impacto, y para por la identificación de los riesgos con sus causas,
proteger la entidad contra las posibles pérdidas efectos y agentes generadores; la valoración de
que pueda representarle su ocurrencia. los riesgos a través del establecimiento de su
calificación y evaluación; hasta la definición
Es responsabilidad de la alta dirección de las medidas tomadas como respuesta ante
propiciar su desarrollo, y apoyar los esfuerzos esos riesgos, el establecimiento de las políticas
de las áreas y de los equipos diseñados para su para su administración y el diseño del mapa de
manejo. También es importante responsabilizar procesos, en el cual se plasma toda la información
a cada empleado sobre la identificación, analizada con relación a la administración de
evaluación y control de los riesgos propios de los riesgos.
las actividades que desarrollan, como partícipes
Duque, Cesar & Asociados, Consultores de McNamee, David. (2002). “La Gerencia de
Riesgo. (1999). Seminario taller: Gestión riesgos hoy y mañana. Experiencias en
integral de riesgos organizacionales. Bogota. administraciones públicas”. En: Gerencia de
Cesar duque & asociados. 100p. riesgos y seguros. Vol. 19. No. 077. pp. 17-30.
85