Está en la página 1de 59

DIPLOMADO VIRTUAL EN

GESTIÓN INTEGRAL
DEL RIESGO

MODULO
ESTRATEGÍAS PARA GESTIONAR EL RIESGO
V
BIENVENIDOS AL QUINTO MÓDULO DEL DIPLOMADO EN
GESTIÓN INTEGRAL DEL RIESGO

Tiempo destinado: 20 horas

MÓDULO 5: ESTRATEGÍAS PARA GESTIONAR EL RIESGO

“Cuando veas un negocio exitoso, alguien alguna vez tomó una difícil decisión”.
Peter Drucker.
Con un gran riesgo, frecuentemente viene una recompensa. Hay fracasos, retrasos y hasta cosas en las que
hay que volver a empezar, pero si no arriesgas algo nunca ganarás. Aventúrate y ve qué recompensas
saldrán de esta decisión tan valiente!

RESULTADO DE APRENDIZAJE:

Después de terminar el contenido de este Módulo usted estará en capacidad de describir el


proceso de tratamiento del riesgo y las técnicas más adecuadas para su aplicación.

Identificará las diferentes metodologías propuestas para administrar el Riesgo.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 1
TRATAMIENTO DE RIESGOS

Una vez analizado y cuantificado los riesgos, así como el impacto que tiene en su
plan de negocio el emprendedor debe analizar cuál es el nivel de oportunidad en caso
de asumir el riesgo.

En el gráfico se muestra una matriz de posicionamiento que muestra diferentes


opciones en función del nivel de riesgo y oportunidad, en caso de que el emprendedor
decida asumir el riesgo, deberá emprender un proceso de tratamiento de riesgos.

El proceso de tratamiento de riesgos consiste en seleccionar y aplicar las medidas


más adecuadas, con el fin de poder modificar el riesgo, para evitar de este modo los
daños intrínsecos al factor de riesgo, o bien aprovechar las ventajas que pueda
reportarnos.

Cualquier sistema de tratamiento de riesgos debe garantizar como mínimo:

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 2
 Un funcionamiento efectivo y eficiente de la organización.
 Controles internos efectivos.
 Conformidad con las leyes y reglamentos vigentes

¿Cuándo debemos enfrentarnos a los riesgos?

Para que el tratamiento de los riesgos sea efectivo, es necesario que el emprendedor
adopte determinadas medidas y acciones encaminadas a modificar, reducir o eliminar
el riesgo. Dichas medidas o acciones, tienen un coste de puesta en práctica que debe
ser asumido por el emprendedor. Del mismo modo, si decidimos no adoptar ninguna
medida contra el riesgo, puede tener importantes pérdidas.

Para elegir la estrategia más correcta con la que hacer frente al riesgo en cada caso
concreto, se debe analizar, de un lado, el coste para el emprendedor de cada una de
las diferentes medidas que podríamos adoptar de forma efectiva; de otro lado, debe
evaluar y cuantificar las posibles pérdidas que derivarían de la no adopción de
medidas contra el riesgo.

Al comparar los resultados, podremos saber si debemos actuar o no ante el riesgo, y


en caso de decidir actuar, cuál será la medida más adecuada. El tratamiento del
riesgo debe ser el más apropiado de acuerdo a su importancia y relevancia en la
actividad de la empresa:

• Los riesgos de bajo nivel, pueden ser aceptados por el emprendedor, pudiendo
no ser necesaria una acción adicional, aunque se requiera su control y seguimiento.

• Los riesgos de nivel significativo deben ser tratados y controlados siempre, y su


aceptación o no, responderá a la estrategia de la compañía y la oportunidad que el
riesgo pueda generar.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 3
• Los niveles altos de riesgo requerirán de una cuidadosa administración y gestión,
así como de la preparación de planes específicos para administrar y corregir posibles
consecuencias.

ESTRATEGÍAS DE TRATAMIENTO DE RIESGOS – AMENAZAS

Existen dos estrategias principales:

1. Estrategias de evitación: se trata de minimizar la probabilidad de que el


riesgo se presente. Para ello existen 4 opciones principales: Transferencia,
reducción, evitat y Modificar.

2. Estrategias de minimización: se trata de reducir el impacto del riesgo en el


producto o proyecto. Las estrategias de minimización se platean cuando han
fallado las estrategias de evitación, y por tanto, el riesgo pasa a ser un hecho.
En estos casos, deberá plantearse un Plan de contingencia, que intentará
paliar los efectos negativos del riesgo, una vez éste ya se ha producido.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 4
ESTRATEGÍAS DE EVITACIÓN

Una vez el emprendedor ha identificado y analizado los riesgos, debe tener claro
cuales pueden ofrecer una oportunidad de beneficio, y cuales suponen una amenaza,
así como la probabilidad de manifestarse de cada uno de ellos. Dependiendo por
tanto del tipo de riesgo al que se enfrente, y de la situación y características en que
se encuentre la empresa, debemos elegir la estrategia de evitación de riesgos más
adecuada. Disponemos de 4 opciones para tratar de evitar que los riesgos pasen a
ser una realidad negativa para nuestra empresa:

- Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización. Es


siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se
generan cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos
adecuados controles y acciones emprendidas. Un ejemplo de esto puede ser el control de
calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo
tecnológico, etc.

- Transferir o Compartir el riesgo, reduce su efecto a través del traspaso de las


pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de
DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO
GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 5
otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los
contratos a riesgo compartido. Es así como por ejemplo, la información de gran importancia
se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla
concentrada en un solo lugar.

Transferimos por medio de: Seguros, Garantías y Contratos

1. Transferencia del Riesgo mediante Seguros

 Contra daños directos a la propiedad (Colisión de automóviles, Cobertura de


equipos/materiales, activos de la organización), Seguro contra incendios y desastres
naturales, Seguro contra robo.
 Contra perdidas por consecuencia indirecta (Seguro contra daños a terceros,
Reemplazo de equipo)
 Protección por responsabilidad legal, penal, civil (daños a la entidad del proyecto
producto de: Errores de diseño, Errores durante la ejecución, Fallas en el desempeño
de los procesos o de proyectos)
 Seguros relacionados con el personal (Seguro contra lesiones físicas de los
empleados, Costos de reemplazo de trabajadores)

Para la adquisición de Seguros se debe tener en cuenta:

 La decisión sobre las coberturas adecuadas a las necesidades y estudio del alcance
de las mismas, sus limitaciones, exclusiones y costos Negociación de las coberturas.

 Revisión de los términos y cláusulas de los contratos de seguro.


 Análisis y selección de métodos de reducción de costos de seguro
 Selección de corredores según sus cualidades de servicio, conocimiento y costo
 Selección de la compañía de seguros en razón del costo de las coberturas deseadas,
servicio y solvencia financiera.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 6
2. Transferencia del Riesgo mediante Garantías

 Garantía de participación: Utilizadas para participar en licitaciones públicas y privadas


con el propósito de asegurar la seriedad de la oferta y el compromiso de entregar al
beneficiario, en caso de que se adjudique la licitación, una garantía de cumplimiento.

 Garantía de cumplimiento: Se emiten para asegurar al beneficiario una cierta suma


de dinero en caso de incumplimiento por parte del principal (cliente) sobre los términos
y condiciones pactadas, ya sea como resultado de la adjudicación de una licitación
pública o privada u otro fin específico.

 Garantía técnica o de desempeño: permite que el cliente se despreocupe de la calidad


del servicio o producto, por lo tanto, del posible impacto negativo que las prestaciones
del sistema pueda tener en el retorno de la organización o en un proyecto y en las
actividades empresariales asociadas.

3. Transferencia del Riesgo mediante Contratos

 Contratos con terceros para la ejecución de algunas actividades específicas de la


organización o de un proyecto.

 El tipo de contrato va a determinar como el riesgo es compartido entre el cliente y el


proveedor. Por ejemplo, un contrato de precio fijo transfiere el riego al vendedor

- Mitigar el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad


(medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo
es probablemente el método más sencillo y económico para superar las debilidades antes

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 7
de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los
procedimientos y la implementación de controles.

¿Cómo mitigar el Riesgo?

A menudo es más efectivo tomar acciones desde un inicio para mitigar el riesgo que reparar
las consecuencias después que este ocurra:

• Adoptando procesos menos complejos


• Aplicar pruebas (tests)
• Seleccionar proveedores estables
• Añadir más tiempo y recursos al cronograma
• Desarrollar prototipos
• Diseñar elementos redundantes para reducir el impacto

1. Mitigación del Riesgo mediante Separación

 La separación es dividir los bienes o las operaciones en unidades separadas.

 Se utiliza para reducir la dependencia en algo o alguien


 Hace que las pérdidas individuales sean más pequeñas y predecibles.
Ejemplo:
– División de un proyecto en varias fases

2. Mitigación del Riesgo mediante Duplicidad

 La duplicidad involucra una reproducción completa de los bienes u operaciones para


mantenerlos en reserva. El duplicado no se utiliza a menos que el original se dañe (o
viceversa).

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 8
 Utilizado para riesgos que de suceder fueran catastróficos o que el costo de la
duplicidad sea bajo.
Ejemplos:
– Respaldo de una base de datos, software, etc.
– Documentos y títulos valores en cajas de seguridad

3. Mitigación del Riesgo mediante Elementos Redundantes

 No es una duplicidad completa del elemento, sino que se diseña otra variante, por si
el original falla.
 Se trata de reducir el impacto de riesgos técnicos
Ejemplos:
– Puesta en paralelo de un sistema automatizado
– Servidores redundantes

- Aceptar un riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar
un riesgo residual que se mantiene, en este caso el gerente del proceso simplemente
acepta la pérdida residual probable y elabora planes de contingencia
para su manejo.

Para el manejo de los riesgos se deben analizar las posibles acciones a emprender, las
cuales deben ser factibles y efectivas, tales como: la implementación de las políticas,
definición de estándares, optimización de procesos y procedimientos y cambios físicos entre
otros. La selección de las acciones más conveniente debe considerar la viabilidad jurídica,
técnica, institucional, financiera y económica y se puede realizar con base en los siguientes
criterios:

a) La valoración del riesgo


b) El balance entre el costo de la implementación de cada acción contra el beneficio de la
misma.
DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO
GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 9
Para la ejecución de las acciones, se deben identificar las áreas o dependencias
responsables de llevarlas a cabo, definir un cronograma y unos indicadores que permitan
verificar el cumplimiento para tomar medidas correctivas cuando sea necesario. Con la
realización de esta etapa se busca encauzar el accionar de la entidad hacia el uso eficiente
de los recursos, la continuidad del negocio, la protección de los bienes utilizados para servir
a la comunidad. Igualmente, se busca que la entidad tenga claridad sobre las políticas de
Administración del Riesgo, las acciones de manejo de riesgo y el compromiso de la Dirección
y de los colaboradores de la entidad.

ESTRATEGÍAS DE MINIMIZACIÓN

Se aplican cuando los riesgos ya han producido sus efectos, y son, por tanto, una realidad.
En este momento, lo único que cabe es tomar medidas correctoras con el fin de minimizar
las consecuencias. Estas situaciones producen retrasos en los proyectos, gabinetes de
crisis, etc., por lo que no son aconsejables, y sólo deben ser utilizadas como medida de
emergencia. La principal medida que se puede adoptar en estas situaciones, con el fin de
paliar los efectos derivados de la realización del riesgo, son los Planes de Contingencia.

ESTRATEGIAS PARA GESTIONAR LAS OPORTUNIDADES

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 10
- Explotar: Busca eliminar la incertidumbre asociada con un riesgo positivo particular,
asegurando que la oportunidad definitivamente se concrete.

 “Las oportunidades son puertas que no se abren solas”


 La estrategia explotar, trata de eliminar la incertidumbre de la oportunidad
identificada haciendo que esta se concrete.
 Comparando, explotar es el equivalente positivo de evitar (en ambos casos se quita
la incertidumbre; en la de evitar la probabilidad se hace cero y en la de explotar la
probabilidad se hace uno (100%).

- Compartir: Implica asignar todo o parte de la propiedad de la


oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del
proyecto.

 Siguiendo la comparación, compartir es el equivalente positivo de transferir. La


estrategia compartir implica asignar la propiedad de un riesgo positivo a un tercero
mejor capacitado para capturar la oportunidad en beneficio del proyecto.
 Es importante que el compartir la oportunidad no se convierte en abdicación mera de
la responsabilidad de parte del encargado de proyecto, que debe conservar una
implicación activa en la gerencia de todos los riesgos que podrían afectar objetivos
del proyecto.
 Compartimos por medio de: Alianzas, Consorcios, Asociaciones Temporales

- Mejorar: Se utiliza para aumentar la probabilidad y/o los impactos positivos de


una oportunidad.

Mejorar, viene siendo la contraparte de la estrategia mitigar. La estrategia mejorar, tiene


como objetivo modificar el “tamaño” de la oportunidad, realzando la probabilidad y/o los
impactos positivos, e identificando y maximizando las fuerzas impulsoras clave de estos
riesgos de impacto positivo
DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO
GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 11
¿Cómo Mejorar la oportunidad?

 Aumentando la probabilidad

 Fortalecer la causa de la oportunidad


 Dirigirse de forma proactiva a las condiciones que la disparan (cambios externos que
favorecen la reducción el alcance)
 Aumentando las fuerzas impulsoras del impacto:
 Aumentar la susceptibilidad del proyecto a la oportunidad (recursos experimentados,
herramientas más productivas

- Aceptar: Consiste en tener la voluntad de tomar ventaja de ella si se presenta, pero


sin buscarla de manera activa.

• La estrategia aceptar es común tanto para las amenazas como para las
oportunidades.
• El equipo de gestión del Riesgo decide no modificar el plan de gestión de la
organización o del proyecto para hacer frente a un riesgo (positivo o negativo) o
porque no se ha identificado ninguna otra estrategia de respuesta adecuada para el
mismo.

¿Cómo aceptar el Riesgo?

• De forma activa: Establecer una Reserva para Contingencias (provisión de tiempo,


dinero o recursos necesarios para manejar las amenazas o las oportunidades
conocidas, o incluso también las posibles desconocidas. (actuar como un auto-
asegurador, con aplicación de técnicas de control de riesgos, financiamiento de
pérdidas y tratamiento de reclamaciones)

• De forma pasiva: sin hacer ninguna acción consciente o intencionadamente. (Si no se


hace nada inconsciente o no planificada - No se considera una estrategia de la
administración del riesgo)
DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO
GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 12
ADMINISTRACIÓN DEL RIESGO

MAPAS DE RIESGOS

Es una herramienta que permite organizar la información sobre los riesgos de las empresas
y visualizar su magnitud, con el fin de establecer las estrategias adecuadas para su manejo.

Los mapas de riesgos pueden representarse con gráficos o datos. Los gráficos corresponden
a la calificación de los riesgos con sus respectivas variables y a su evaluación de acuerdo
con el método utilizado en cada empresa. Los datos pueden agruparse en tablas, con
DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO
GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 13
información referente a los riesgos; a su calificación, evaluación, controles y los demás datos
que se requieran para contextualizar la situación de la empresa y sus procesos, con respecto
a los riesgos que la pueden afectar y a las medidas de tratamiento implementadas.

Beneficios:

 Permite un mejor entendimiento en relación con la situación de los riesgos de la


empresa en conjunto y de sus procesos o sus proyectos, al proporcionar información
en forma global o discriminada.

 En los casos en los cuales la gerencia no tiene conciencia de la necesidad de invertir


en las medidas de control o financiamiento de los riesgos, o en el entrenamiento y
sensibilización del personal, la información contenida en los mapas de riesgos puede
servir de motivación para apoyar al desarrollo de los programas de administración de
riesgos, orientar efectivamente las acciones al definir prioridades para su manejo y al
disponer de propuestas sobre las medidas de tratamiento.

 Con el diseño e implementación de los mapas de riesgos se promueve el trabajo en


equipo, lo cual incrementa el entendimiento de los participantes sobre los procesos
analizados y crea un mayor nivel de responsabilidad y colaboración entre las
dependencias, porque con ellos se logra entender las relaciones que tienen los
procesos entre si y sus implicaciones en la generación y administración de riesgos.

 El mapa de riesgos permite también monitorear el desempeño de la organización en


la administración de sus riesgos, con el establecimiento de comparativos anuales a
partir de las evaluaciones de los diferentes riesgos y el análisis de la efectividad de
las medidas de control implementadas.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 14
Mapa de Riesgos en el método Risicar

Es una herramienta administrativa que proporciona información relevante sobre los riesgos
y las estrategias para administrarlos.

El mapa de riesgos se establece en 2 niveles: el estratégico y el operativo.

En cada uno de ellos se proporciona información útil que permite, en el primero, la definición
de políticas para administrar los riesgos más significativos de la empresa y, en el segundo,
el diseño de controles. También facilita el monitoreo de las medidas e tratamiento definidas
como resultado de estos dos análisis.

Como el método Risicar se basa en el modelo de operación por procesos, el mapa de riesgos
se adjunta al manual de procesos y se actualiza al igual que él. Esta actualización debe
realizarse cada vez que se efectúen nuevos análisis de riesgos y se establezcan nuevas
medidas de respuestas ante los detectados. Normalmente, cuando se presentan cambios
inesperados en el entorno o se inician nuevos proyectos institucionales, se recomienda
revisar el mapa de riesgos para establecer los posibles cambios que se puedan generar e
impliquen mayores riesgos a tratar.

Responsables

Como todos los niveles de la organización tienen responsabilidades especificas en la


implementación y desarrollo de la implementación de riesgos, de igual forma la elaboración
de los mapas de riesgos hace parte de estas responsabilidades.

En el nivel directivo, a través del Comité de riesgos y con el apoyo de los líderes de los macro
procesos, es el responsable de elaborar el mapa de riesgos estratégico. En el nivel operativo
esta responsabilidad corresponde a los líderes de los procesos.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 15
1. Mapas de riesgos Estratégicos

Para elaborar los mapas estratégicos se requiere: determinar los macro procesos de la
empresa, establecer sus objetivos, sus riesgos, describir como se presentan los riesgos,
establecer los agentes que pueden generar los riesgos y medir los efectos que pueden
generarle a la empresa.

Cuando ya se tienen identificados cada uno de los macro procesos se debe calificar el riesgo
multiplicando el valor de la frecuencia por el impacto, luego se definen las medidas de
tratamiento y de acuerdo a los resultados se priorizan los riesgos; estos riesgos son los que
van a ser analizados con mayor cuidado, debido a que son representativos dentro de la
organización

Con todo lo anterior se logra plantear un esquema para desarrollar estrategias que
contrarresten a los riesgos más críticos.

2. Mapas de riesgos Operativos

Para la elaboración del mapa de riesgos operativos, se utiliza la información recopilada por
los líderes de los procesos con su grupo de apoyo, y pasos como: la definición del proceso
para el cual se elabora el mapa, establecer los objetivos, las actividades, identificar y
describir cada uno de los riesgos, también se deben establecer los agentes generadores de
los riesgos, las posibles causas, los efectos.

Luego para cada proceso, se califica el riesgo teniendo en cuenta su impacto y frecuencia,
se evalúan y se plantean las medidas de tratamiento: Para cada proceso se definen los
controles existentes y se proponen unos nuevos, se evalúa la efectividad de los controles
propuestos; y con esto se logra obtener un perfil claro acerca del riesgos y de su respectivos
análisis.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 16
Elaboración del Mapa de Riesgos por proceso y de la Organización.

El mapa de riesgos contiene a nivel estratégico los mayores riesgos a los cuales está
expuesta la entidad, permitiendo conocer las políticas inmediatas de respuesta ante ellos
tendientes a evitar, reducir, dispersar o transferir el riesgo; o asumir el riesgo residual, y la
aplicación de acciones, así como los responsables, el cronograma y los indicadores. No
obstante se considera recomendable, elaborar un mapa de riesgos por cada proceso para
facilitar la administración del riesgo, el cual debe elaborarse al finalizar la etapa de Valoración
del Riesgo.

Descripción del Mapa de riesgos

1. Riesgo: posibilidad de ocurrencia de un evento que pueda entorpecer el normal


desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos.

2. Impacto: consecuencias que puede ocasionar a la organización la materialización del


riesgo.

3. Probabilidad: entendida como la posibilidad de ocurrencia del riesgo; ésta puede ser
medida con criterios de Frecuencia, si se ha materializado (por ejemplo: No. de veces
en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de
factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya
materializado.

4. Evaluación del Riesgo: Resultado obtenido en la matriz de calificación, evaluación


y respuesta a los riesgos.
DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO
GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 17
5. Controles existentes: especificar cuál es el control que la entidad tiene
implementado para combatir, minimizar o prevenir el riesgo.

6. Valoración del Riesgo: es el resultado de determinar la vulnerabilidad de la entidad


al riesgo, luego de confrontar la evaluación del riesgo con los controles existentes.

7. Opciones de Manejo: opciones de respuesta ante los riesgos tendientes a evitar,


reducir, dispersar o transferir el riesgo; o asumir el riesgo residual

8. Acciones: es la aplicación concreta de las opciones de manejo del riesgo que


entrarán a prevenir o a reducir el riesgo y harán parte del plan de manejo del riesgo.

9. Responsables: son las dependencias o áreas encargadas de adelantar las acciones


propuestas.

10. Cronograma: son las fechas establecidas para implementar las acciones por parte
del grupo de trabajo.

11. Indicadores: se consignan los indicadores diseñados para evaluar el desarrollo de


las acciones implementadas.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 18
EJEMPLO MAPA DE RIESGOS

ORGANIZACIÓN Empresa de comercialización de


helados.
OBJETIVO: Ofrecer helados en el lugar y tiempo adecuado garantizando la
calidad de los productos para satisfacer a los clientes a través de buenas
estrategias de mercadeo, publicidad y ventas.

AGENTE
RIESGOS DESCRIPCION GENERADOR CAUSAS EFECTOS
Desacierto Posibilidad de Gerentes Incorrecta Perdidas
equivocación en investigación de económicas y
el diseño y mercados. Perdida de
aplicación de Inadecuado mercado
estrategias de perfil.
mercadeo, pu- Falta de
blicidad y información.
ventas
Demoras Posibilidad de Empleados Falta de Perdidas
tardanza en la segregación de económicas,
comercializació funciones Interrupción
n Ausencia del de servicio y
perfil de Deterioro de
selección de los imagen
empleados
Diseño
inadecuado del
proceso.
Equipos/maqui Obsolescencia
naria
Falta de
mantenimiento

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 19
Omisión Posibilidad de Empleados Exceso de Perdidas
no hacer los trabajo económica,
pedidos Deterioro de
acordados entre Exceso de imagen,
comprador y trabajo Pérdida de
vendedor o las mercado
condiciones Falta de claridad
previamente en las
acordadas. especificaciones

Falta de
segregación de
funciones

Riesgo precio Materiales Cambios en la Pérdida


demanda u económica,
oferta Perdida de
Posibilidad de Entorno Guerra de mercado
cambios (competencia) precios
drásticos en el
valor de venta
del productos.
Competencia
desleal

Saturación del
mercado con
productos
similares de los
ofrecidos por la
empresa

Mala calidad Posibilidad de Vendedores Condiciones Pérdida de


que la atención físicas y mercado,

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 20
al cliente no sea emocionales Deterioro de
la correcta inapropiadas imagen,
(antes o Perdidas
después de la Falta de políticas económicas.
venta), que la de selección de
información personal
suministrada al
cliente sea Falta de
incompleta o no capacitación
sea clara.
Falta de
estandarización
de actividades
Riesgo Posibilidad de Gerentes Falta de ideas en Pérdida de
incentivos que el vendedor la creación de mercado
no le ofrezca incentivos. Perdidas
incentivos a los económicas
posibles Desacuerdo con
clientes que este tipo de
permitan vender políticas.
el producto con Vendedores Falta de
éxito y que información.
además no fa-
cilite la
permanencia de
Falta de
los clientes que
capacitación
ya tienen.

Demandas Posibilidad de Gerentes Falta de estudios Pérdidas


que no se de leyes y económicas
cumplan los normatividad Perdidas de
contratos y que Empleados Falta de mercado
además no se capacitación

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 21
cumplan con los Falta de Perdida de
estándares de segregación de imagen
calidad (leyes y funciones
normatividad. Equipos/maqui Obsolescencia
naria Falta de
mantenimiento

INDICADORES DE DESEMPEÑO - KPI Y LA TOLERANCIA AL RIESGO

Tener indicadores de desempeño – KPI para los factores Críticos de la compañía no es


suficiente para asegurar el progreso hacia las metas organizacionales.
Para cada indicador de desempeño hay un nivel de tolerancia que se refiere a cuanta
desviación será aceptable sobre el nivel establecido.

Una organización define su tolerancia desde niveles de riesgo con tolerancias de bajo
impacto.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 22
Determinar la tolerancia al riesgo para cada KPI también puede ayudar en caso de que
sean necesarias medidas correctivas cuando este no se cumpla. Vincular la medida
correctiva con el nivel de tolerancia identificando para los KPI promueve la consistencia
durante todo el proceso y además confirma el valor de cumplir los KPI.

EJEMPLO TOLERANCIA DEL KPI DEL RIESGO

Una organización puede gestionar eficazmente sus riesgos estratégicos mediante la


identificación de problemas antes de que ocurran los accidentes que pueden conducir a
pérdidas. Los indicadores de riesgo clave ayudan a las organizaciones a identificar estos
problemas.

Las organizaciones utilizan indicadores de riesgo clave (KRIs) para planificar y responder
al riesgo. Los KRIs pueden revelar riesgos emergentes, identificar los niveles de
exposición de riesgo y detectar cambios o tendencias de exposición al riesgo existentes.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 23
PROPÓSITO DE LOS KRIs

Es importante distinguir entre KRIS y los indicadores clave de desempeño (KPI). Los KPI
miden el riesgo y la volatilidad relacionada al logro de esos objetivos.

 Los KRIs miden las consecuencias del cambio que ya ha ocurrido y los KRIs
siempre llevan indicadores predictivos.

 Los KRI eficaces proporcionan información objetiva y cuantificable sobre riesgos


emergentes y las tendencias en los riesgos que pueden afectar el éxito de una
organización.

 Un KRI puede revelar una tendencia al alza en el nivel de riesgo que de continuar
superará el umbral de riesgo que ha sido designado, sin embargo, la
administración puede tomar medidas para mitigar este impacto en la organización.
Los umbrales de riesgo se desarrollan a partir de criterios de riesgo determinados
para cada uno.

 Los KRIs ayudan a una organización a mantener un nivel de riesgo que se


encuentre dentro del nivel de tolerancia que haya sido definido. Los umbrales de
riesgo definen los límites de tolerancia al riesgo y los KRIs generan la advertencia
cuando las fronteras son o se acercan a una brecha.
DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO
GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 24
CARACTERÍSTICAS CLAVES DE KRIs

En el desarrollo de los KRIs, una organización debe buscar calidad más que cantidad ya
que muchos KRIs desarrollados rápidamente pueden dispersar el foco. Es más eficaz
desarrollara un número limitado de KRis vinculados a riesgos que tienen mayor potencial
en la organización.

Los KRIs eficaces comparten características clave:

 Se basan en información cuantificable


 Se atan a categorías de riesgo
 Están vinculados a los objetivos de la organización
 Pueden ser medibles

Los KRIs pueden establecerse para varios niveles dentro de una organización. El grado
de detalle que se aborda en un KRI depende de los tipos de decisiones necesarias en
cada nivel. Por ejemplo; los KRIs para unidades de negocio son, por lo general, más
específicas que las KRIs de toda l organización.

El KRI de un departamento puntual podría ser menos específico que un KRI a nivel
empresarial y luego agruparse todas las unidades de negocio en un KRI amplio y general
para la alta gerencia.
DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO
GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 25
PÓLIZAS DE SEGUROS

La póliza de seguro es un contrato entre un


asegurado y una compañía de seguros,
que establece los derechos y obligaciones
de ambos, en relación al seguro
contratado.

Existe una gama muy amplia de riesgos a


asegurar, por lo tanto, lo primero que se
debe hacer antes de tomar un seguro, es
informarse detalladamente de las
características del producto, de modo de
determinar con precisión los riesgos
cubiertos y las exclusiones existentes. Una
vez aceptada la propuesta, se emite la
póliza propiamente.

De diversos modos pueden clasificarse los seguros. En primer lugar, según se hallen a cargo
del Estado, en su función de tutela o de la actividad aseguradora privada, se dividen en
seguros sociales y seguros privados.

1. Seguros sociales: Los seguros sociales tiene por objeto amparar a la clase
trabajadora contra ciertos riesgos, como la muerte, los accidentes, la invalidez,
las enfermedades, la desocupación o la maternidad. Son obligatorios sus primas están a
cargo de los asegurados y empleadores, y en algunos casos el Estado contribuye también
con su aporte para la financiación de las indemnizaciones. Otra de sus características es la
falta de una póliza, con los derechos y obligaciones de las partes, dado que estos seguros
son establecidos por leyes y reglamentados por decretos, en donde se precisan esos
derechos y obligaciones.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 26
El asegurado instituye al beneficiario del seguro, y si faltase esa designación serán
beneficiarios sus herederos legales, como si fuera un bien ganancial, en el orden y en la
proporción que establece el Código Civil. Por consiguiente, producido el fallecimiento del
asegurado la Caja Nacional de Ahorro y Seguro abona el importe del seguro a los
beneficiarios instituidos por aquél o a sus herederos.

El sistema de previsión de las cajas de jubilaciones no es técnicamente un seguro, aunque


por sus finalidades resulta análogo. Permite gozar de una renta a los jubilados y cubre los
riesgos del desamparo en que puede quedar el cónyuge y los hijos menores de
una persona con derecho a jubilación, ordinaria o extraordinaria, a la fecha de su
fallecimiento.

2. Seguros privados: Estos seguros son los que el asegurado contrata voluntariamente
para cubrirse de ciertos riesgos, mediante el pago de una prima que se halla a su cargo
exclusivo. Además de estas características podemos señalar:

Los seguros privados se concretan con la emisión de una póliza – el instrumento del contrato
de seguro – en la que constan los derechos y obligaciones del asegurado y asegurador.

En nuestro país ((Colombia)) los seguros privados son explotados, en su mayoría por
compañías privadas, mutualidades y cooperativas. Pero también el Estado, por intermedio
de la Caja Nacional de Ahorro y seguro, hace seguros de distintos tipos, y en algunas
provincias existen aseguradoras oficiales.

De acuerdo con su objeto los seguros privados pueden clasificarse en seguros sobre las
personas y seguros sobre las cosas.

a. Seguros sobre las personas: El seguro sobre las personas comprende los
seguros sobre la vida, los seguros contra accidentes y los seguros contra
enfermedades. En realidad, constituyen un solo grupo denominado seguro de vida,
pues los seguros contra accidentes y enfermedades no son sino una variante de los
seguros de vida.
DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO
GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 1
Clasificación de los seguros de vida, conforme al riesgo que cubren:

 Seguros en caso de muerte: En los seguros de este tipo, al fallecimiento del


asegurado, el asegurador abona al beneficiario instituido por aquél el importe del
seguro.

 Seguros en caso de vida: En estos seguros la entidad aseguradora abona al


asegurado el importe del seguro, siempre que viva al vencimiento de un determinado
periodo de tiempo. También puede convenirse el pago de una renta periódica
mientras viva el asegurado, a partir de una fecha establecida de antemano.

 Seguros mixtos: Constituyen una combinación de los seguros de muerte y de vida.


Por lo tanto, el importe del seguro se paga a los beneficiarios si el asegurado muere
antes de vencer el contrato, y se le entrega a él si supervive a esa fecha

Según que cubran a una o más cabezas

 Seguros sobre una cabeza: Se paga el seguro cuando fallece la persona asegurada.

 Sobre dos o más cabezas: Mediante este contrato se asegura la vida de dos o más
personas y el seguro se paga cuando muere una de ellas a favor de la otra u otras o
más cabezas: Mediante este contrato se asegura la vida de dos o más

Atento al número de personas amparadas por la póliza

 Seguros individuales: Son los contratos por medio de los cuales se asegura una
persona con un seguro de muerte, de vida o mixto.

 Seguros colectivos: En estos contratos se asegura la vida de numerosas personas.


El seguro se paga a la muerte de estas, a los beneficiarios instituidos.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 2
Según las cláusulas adicionales

 Seguros con cláusulas adicionales: De acuerdo con estas cláusulas la póliza


puede prever otros beneficios.

 Seguros sin cláusulas adicionales: Son aquellos cuyas pólizas solo prevé el seguro
de muerte, vida o mixto.

b. Seguro sobre las cosas

 Seguro contra incendio: Con este seguro se cubre los bienes muebles e inmuebles
contra el riesgo de los incendios. La compañía aseguradora indemniza al asegurado
por el daño que hubieran sufrido los bienes objeto del seguro, a causa de un incendio,
por su puesto siempre que este no haya sido intencional.

 Seguro contra granizo: Las plantaciones pueden resultar muy dañadas, con la caída
del granizo, por lo cual este seguro presta un servicio de verdadera utilidad a los
agricultores que han asegurado sus sementeras contra este riesgo. Solo se indemniza
por los daños que causa el granizo sin tener en cuenta las pérdidas que
pueda haber originado las lluvias o el viento

Seguros de automóviles:

 Responsabilidad civil: Por lesiones causadas a terceros y por daños producidos a


cosas de estos. Si el dueño del automotor asegurado, causa por accidentes daños
corporales o la muerte de un tercero, la compañía responde hasta un determinado
importe. La indemnización por daños materiales es más reducida.

 Incendio, accidente y robo: la póliza ampara al propietario del vehículo contra estos
riesgos de acuerdo con la suma asegurada. En el caso de accidentes el seguro cubre
los daños sufridos por al automotor.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 3
 Seguro de transporte: Puede ser marítimo pluvial, terrestre y aéreo, y cubre los
riesgos que pesan sobre los medios de transportes, los efectos transportados y
los pasajeros. La compañía indemniza al propietario de los medios de transporte los
daños que estos puedan sufrir en el cumplimiento de su misión por diversos
accidentes, conforme al capital asegurado. También cubre este seguro el daño o
lesiones que puedan sufrir los pasajeros como consecuencia de accidentes de
transportes.

 Seguro de cristales: Con este seguro se prevé la indemnización a favor de una


persona o empresa por los daños que puede acarrearle la rotura de los cristales de
su negocio o propiedad.

 Seguro contra robos: Cubre la pérdida que puede experimentar una persona por
robos o hurtos.

 Seguro de créditos: Cubre el quebranto que le ocasiona a un apersona o empresa la


insolvencia de sus prestatarios. Mediante una determinada prima la compañía de
seguros se compromete a resarcirle esa pérdida y lo sustituye en las acciones que se
pueden intentar para perseguir el cobro de la deuda.

 Seguro de fidelidad de los empleados: Lo toman las empresas para cubrirse de las
pérdidas que pueden sufrir por infidelidad de sus empleados en caso de maniobras
dolorosas.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 4
SARLAFT

Sistema de Administración de riesgos con énfasis en


Lavado de activos y financiación de terrorismo

El riesgo de lavado de activos y financiación del terrorismo se define como la probabilidad


de pérdida o daño que puede sufrir una organización financiera por su propensión a ser
utilizada directamente o a través de sus operaciones como instrumento para el lavado de
activos y/o canalización de recursos hacia la realización de actividades terroristas, o cuando
se pretenda el ocultamiento de activos provenientes de dichas actividades.

A través de una adecuada administración del riesgo de lavado de activos y/o de financiación
del terrorismo se puede controlar los efectos de los riesgos legal, reputacional, operativo y
de contagio a los que se puede ver expuesta una organización, con el consecuente efecto
económico negativo que ello puede representar para su estabilidad financiera.

El SARLAFT abarca todas las actividades que realiza una Compañía en desarrollo de su
objeto social principal y prevé procedimientos y metodologías para protegerse de ser
utilizada a través de sus accionistas, administradores y vinculados como instrumento para el

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 5
lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas,
o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades.

Marco conceptual de Sarlaft

El lavado o blanqueo de activos corresponde al conjunto de operaciones tendientes a ocultar


o disfrazar el origen ilícito de bienes o recursos provenientes de actividades al margen de la
ley, procurando darles una apariencia de legalidad.

La financiación del terrorismo corresponde al conjunto de actividades que permiten la


circulación de recursos que tienen como finalidad la realización de actividades terroristas, o
que pretenden el ocultamiento de activos provenientes de dichas actividades. A diferencia
del lavado de activos, el origen de los fondos tendientes a financiar el terrorismo puede
provenir de una fuente lícita.

El lavado de activos comprende cualquiera de las conductas alternativas señaladas en el


artículo 323 del código penal (adquirir, resguardar, invertir, transportar, transformar,
custodiar, administrar, dar apariencia de legalidad, legalizar, ocultar, y encubrir) lo que
significa que con el sólo hecho de que se verifique una de ellas se tendrá por perfeccionado
o consumado el delito. Sin embargo la norma penal permite que se sancione
también cualquier otro acto destinado a ocultar o encubrir su origen ilícito.

Respecto de la financiación al terrorismo, en Colombia no existe una norma que de manera


expresa sancione el delito de financiación del terrorismo de acuerdo con lo establecido en la
Convención de Naciones Unidas sobre este delito. No obstante, el código penal Colombiano
sanciona esta actividad mediante las figuras del concierto para delinquir (artículo 340 del
código penal) y la administración de recursos relacionados con actividades terroristas
(artículo 345 del código penal), con lo cual, de alguna manera, se estaría imponiendo una
pena privativa de libertad a quienes financien el concierto o la asociación para delinquir a
grupos armados al margen de la ley.

Por otra parte los artículos 102 y subsiguientes del Estatuto Orgánico del Sistema Financiero
y la Circular Externa 026 de 2008 emitida por la SFC, con sus circulares modificatorias,

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 6
reglamentan la obligación de las empresas de adoptar medidas de prevención y control del
lavado de activos y financiación del terrorismo.

Con el fin de mitigar los riesgos que se derivan de la materialización de las conductas
anteriormente señaladas, la Superintendencia Financiera de Colombia estableció el
SARLAFT, sistema de administración del riesgo de lavado de activos y financiación al
terrorismo, cuya aplicación debe abarcar todas las actividades que realiza una organización,
en desarrollo de su objeto social principal y deberá prever además procedimientos y
metodologías para evitar que la compañía sea utilizada en forma directa, es decir a través
de sus accionistas, administradores y vinculados, como instrumento para el lavado de
activos y/o la canalización de recursos hacia la realización de actividades terroristas, o
cuando se pretenda el ocultamiento de activos provenientes de dichas actividades.

Etapas del sistema Sarlaft

El SARLAFT que implementen las entidades vigiladas debe comprender como mínimo las
siguientes etapas: Identificación, Medición o evaluación, Control, y Monitoreo

 Identificación: Como resultado de esta etapa las entidades vigiladas deben estar en
capacidad de identificar los factores de riesgo y los riesgos asociados a los cuales se
ven expuestas en relación al riesgo de LA/FT.
 Medición o Evaluación: Como resultado de esta etapa las entidades deben estar en
capacidad de establecer el perfil de riesgo inherente de LA/FT de la entidad y las
mediciones agregadas en cada factor de riesgo y en sus riesgos asociados.
 Control: Como resultado de esta etapa la entidad debe establecer el perfil de riesgo
residual de LA/FT. El control debe traducirse en una disminución de la posibilidad de
ocurrencia y/o del impacto del riesgo de LA/FT en caso de materializarse.
 Monitoreo: Esta etapa debe permitir a las entidades vigiladas hacer seguimiento del
perfil de riesgo y, en general, del SARLAFT, así como llevar a cabo la detección de
operaciones inusuales y/o sospechosas. (fuente:Superfinanciera)

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 7
Factores de Riesgo

Para tratar esta etapa es necesario contar con los siguientes insumos.

 Productos.
 Canales de distribución.
 Clientes.
 Jurisdicciones.

Elementos del Sarlaft

Las entidades vigiladas deben tener como mínimo los siguientes elementos, los cuales
deben desarrollar.

 Políticas.
 Procedimientos.
 Documentación.
 Estructura organizacional.
 Plataforma Tecnológica.
 Divulgación de la información.
 Capacitación.

Mecanismos del Sarlaft

Para prevenir el LA/FT se deben e adoptar los siguientes mecanismos.

 Conocimiento del cliente.


 Conocimiento del mercado.
 Identificación y análisis de operaciones inusuales.
 Determinación y reporte de actividades sospechosas.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 8
SARO

Sistema de Administración de Riesgo Operativo

El Sistema de Administración de Riesgos Operacionales es un conjunto de elementos tales


como políticas, procedimientos, documentación, estructura organizacional, registro de
eventos, órganos de control, plataforma tecnológica, divulgación y capacitación, mediante
los cuales se busca obtener una efectiva administración del riesgo operativo a través de sus
etapas de identificación, medición, monitoreo y control.

¿Cuál es su ámbito aplicación?

El SARO aplica a todas las entidades sometidas a la inspección y vigilancia de la SFC con
excepción de las oficinas de representación y reaseguradoras del Exterior.

La administración del riesgo debe ser implementada en todos los procesos de la compañía
de acuerdo con la estructura, tamaño, riesgo y complejidad de las operaciones.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 9
¿Cuáles son los factores que generan el Riesgo operacional?

Su clasificación es la siguiente:

Etapas de la administración del riesgo operativo

Previo a la implementación de las etapas del SARO, la entidad debió establecerlas políticas,
objetivos, procedimientos y estructura para la administración de riesgo operativo, teniendo
en cuenta que este sistema debe estar alineado con los planes estratégicos de la compañía.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 10
Las etapas aplicadas en la administración del riesgo operativo son:

¿Cuáles son los elementos del S.A.R.O?

 Políticas: son los lineamientos generales para la administración del SARO.


Comprende el aseguramiento del cumplimiento de las normas de R.O, impulsar la
cultura del R.O, desarrollo de planes de continuidad.

 Procedimientos: Corresponde a la descripción de cómo se instrumenta y desarrolla


cada uno de las etapas y elementos del SARO, como se identifican riesgos,
establecen y evolucionan los controles etc.

 Documentación: Todas las etapas y elementos del SARO, deben estar sustentadas
en documentos como el manual, documentos y registros que evidencien la operación
efectiva del sistema.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 11
 Estructura Organizacional: Con este elemento se busca tener establecidas y
asignadas las funciones en relación con las distintas etapas y elementos del SARO.

 Registro de eventos de R.O: El propósito de este elemento es permitir almacenar


en una base de datos todos los eventos de riesgo identificados y reportados por
cualquiera de los funcionarios de la compañía.

 Plataforma Tecnológica: Las entidades de acuerdo a su tamaño y naturaleza deben


contar con la tecnología y los sistemas necesarios para el adecuado funcionamiento
del SARO

 Divulgación de la información: La información referente al SARO debe ser


divulgada periódicamente y estar disponible en forma permanente. Por tanto se deben
diseñar reportes internos y externos.

 Capacitación: Las entidades deben diseñar programar y coordinar planes de


capacitación anual dirigidos a todos los funcionarios. Estos programas deben ser
medidos y evaluados para comprobar su eficacia y alcance de los objetivos
propuestos.

Clases o categorías de Riesgo Operativo

Todos los eventos de Riesgo Operacional, deben tener asignada una clase o categoría de
riesgo dependiendo de la causa que originó el evento; las pérdidas registradas pueden ser
agrupadas atendiendo a sus causas últimas. Para ello, se utilizan una serie de categorías
elementales que suministran una visión sintética de la distribución del riesgo global existente
en la compañía. Las clases o categorías más usuales definidas son las siguientes:
Capítulo

 Fraude Interno: Pérdidas derivadas de algún tipo de actuación de empleados o


terceros vinculados contractualmente a la compañía, encaminada a defraudar,
apropiarse de bienes indebidamente o incumplir regulaciones, leyes o políticas
DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO
GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 12
empresariales. Esta categoría incluye eventos como: fraudes, robos (con
participación de personal de la empresa), sobornos, entre otros.

 Fraude Externo Pérdidas derivadas de algún tipo de actuación realizadas por


personas ajenas a la compañía que buscan defraudar, apropiarse de bienes
indebidamente o desatender la legislación. Esta categoría incluye eventos como:
robos, falsificación, ataques informáticos, entre otros.

 Fallas tecnológicas: Pérdidas o interrupciones derivadas de fallos en los sistemas


de cómputo, comunicaciones, hardware o software de la compañía. Entre los casos
más comunes están las caídas del sistema por tiempos prolongados, daños en líneas
telefónicas, perdida de información electrónica, virus informáticos que afecten el
sistema, etc.

 Ejecución y gestión de procesos: Pérdidas derivadas de errores en el


procesamiento de operaciones o en la gestión de procesos, así como de relaciones
con contrapartes comerciales y proveedores. Esta categoría incluye eventos
asociados con: captura de transacciones, ejecución y mantenimiento, monitoreo y
reporte, entrada y documentación de clientes, gestión de cuentas de clientes,
contrapartes de negocio.

 Relaciones laborales y seguridad en el puesto de trabajo Pérdidas derivadas de


actuaciones incompatibles con la legislación o acuerdos laborales, sobre higiene o
seguridad en el trabajo, sobre el pago de reclamaciones por daños personales, o
sobre casos relacionados con discriminación en el trabajo.

 Daños a activos materiales Pérdidas derivadas de daños o perjuicios a activos


físicos como consecuencia de desastres naturales u otros eventos de fuentes
externas. Ej: Incendios, terremotos, actos terroristas, falta de mantenimiento de
activos, etc.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 13
 Clientes, productos y prácticas empresariales Pérdidas derivadas del
incumplimiento involuntario o negligente de una obligación profesional frente a
clientes o de la naturaleza o diseño de un producto. EJ: Competencia desleal, falsos
beneficios en productos, perjuicios a clientes, etc.

MÉTODOS DE CONTROL DE LOS FACTORES DE


RIESGO OCUPACIONAL

MEDIDAS DE CONTROL

El método de prevención y control de factores de riesgo tiene como objetivo evitar los
accidentes antes de que estos se den. Los métodos de control se dividen en:

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 14
CONTROL EN LA FUENTE.

Consiste en corregir la falla o avería del material de la estructura, de la máquina, del


equipo, o del sistema que general el factor de riesgo.

Los mecanismos que se emplean para este tipo de control en la fuente son los siguientes:

Mantenimiento preventivo:

 Cambio de piezas a las maquinas que cumplen con su tiempo de uso.


 Cambio de aceite, engrasado de máquinas etc.
 Es la atención oportuna antes que se presente el daño que constituye el factor de
riesgo.

Mantenimiento correctivo:

Es la atención que se hace después que se presenta el daño que constituye el factor de
riesgo.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 15
Otros métodos de control en la fuente son:

 Colocar guardas en los puntos de peligro.


 Mejorar o cambiar la maquina o el proceso.
 Comprar otras herramientas.
 Adecuar los puestos de trabajo.

CONTROL EN EL MEDIO.

Se emplea cuando el control en la fuente no es posible y se emplea para tratar de impedir


que el riesgo se difunda en el ambiente, esto es posible mediante los siguientes métodos.

- Encerrando el área donde se encuentra la fuente. Por ejemplo: Cortinas para talleres de
soldadura, barreras físicas, cabinas, entre otros.

- Se trata de mantener la fuente alejada de los trabajadores.

- Variando las condiciones ambientales.

-Adecuando los niveles:


 De luz.
 De calor.
 De frio.
 De humedad o sequedad.
 De ventilación general.
 Del aire acondicionado entre otros.

CONTROL EN EL RECEPTOR (INDIVIDUO).

El control en el hombre es la última opción cuando se trata de proteger la salud de los


trabajadores a través de protección personal. Este control debe de estar acompañado de
los siguientes aspectos:
DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO
GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 16
- Organización y el control del trabajo.
- Supervisión adecuada y oportuna.
- Tiempos y ritmos adecuados.
- Trabajos rotativos autónomos.
- Esquemas de trabajo planificados.
- Descansos oportunos y suficientes.
- Evaluación de méritos y estímulos de superación personal.
- Capacitación y controles adecuados y oportunos.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 17
CONTINUIDAD DEL NEGOCIO

El “British Continuity Institute BCI y British Standar Institute BSI define “Business Continuity
Management” (BCM) como “un proceso de gestión integral que identifica potenciales
impactos de una amenaza a la organización y provee una estructura flexible y una capacidad
de efectiva respuesta que resguarde los intereses de sus inversionistas, clientes, empleados,
reputación, marca y creación de valor. Teniendo en cuenta las siguientes aclaraciones:

• BCM no es solo una respuesta, es la capacidad de una empresa para hacer frente a los
impactos de un medio incierto.

• BCM no es solo apagar fuego, es entender que pueden existir riesgos y establecer
estrategias si pensamos que vamos hacia ello.

• BCM no es solo tener planes súper elaborados, es tener planes que se acomoden a la
naturaleza de su negocio.

• BCM no está anexado al negocio, debe estar incorporado íntegramente con el


gerenciamiento del proceso, gerenciamiento del riesgo en general como parte de un buen
gerenciamiento del negocio.

La realización del BCM en la organización traerá grandes ventajas como por ejemplo:

 Administrar la continuidad del negocio.


 Resistencia del negocio ante interrupciones.
 Detectar los aspectos vulnerables y las posibles causas.
 Protege y asegura la imagen de la empresa.
 Abre nuevas oportunidades de mercado y ayuda a ganar nuevos
 negocios.
 Aumenta la disponibilidad del negocio.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 18
PROGRAMA DE MANEJO DE CONTINUIDAD DE NEGOCIO

Mientras el BCM es un programa de nivel estratégico, para llevar a la práctica este se debe
elaborar un Business Continuity Management Program BCMP (Programa de gerenciamiento
y Continuidad del Negocio) el cual se define como un proceso de gerenciamiento continuo,
para asegurarse que regularmente se revisen los escenarios de posibles emergencias,
accidentes , desastres y amenazas .Lo que también involucra ;evaluación de los impactos
de dichos eventos ; elaboración de estrategias de recuperación y planes ;mantenimiento,
documentación y entrenamiento al personal; la realización de pruebas o simulacros.

Componente importante del BCMP es el Business Continuity Planning BCP (Plan de


Continuidad de Negocio) que es la documentación, las actividades y recomendaciones para
usar en los momentos de emergencia de continuidad de negocios, Incidentes y/o Crisis.
Típicamente es un plan que cubre todo el personal clave, recursos, servicios y acciones que
se requieren en el proceso de BCM.

Un Business Continuity Management Program se compone de los siguientes pasos:

• Definición del Programa: El objetivo de esta primera fase es establecer la necesidad


de desarrollar el BCM en la organización, de tal manera que se comunique la importancia de

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 19
realizar este plan, involucrando a los directivos y el personal de la empresa. Para esto, es
importante:
 Definir un comité responsable del plan
 Asignar responsabilidades por cada equipo de trabajo
 Indicar las actividades de cada una de las fases del proyecto
 Documentar los procesos
 Presentar los avances
 Obtener la aprobación por parte de los directivos.

• Evaluación de amenazas y riesgo: Revisar de acuerdo a nuestro negocio cuáles


son los riesgos o amenazas a los cuales se expone el negocio.

La importancia de este paso es clave en la elaboración del programa, si evaluamos mal los
riesgos obviamente se obtendrá un plan que no servirá. Para realizar una evaluación y
control de riesgos y amenazas se debe tener en cuenta lo siguiente:

• Identificar riesgos (Cuantitativo) y amenazas (Cualitativo)


• Análisis/Evaluación de riesgos y amenazas
• Gestión y Control de riesgos

Después de realizar la evaluación y el control de riesgos los resultados obtenidos incluyen


la identificación documentación de:

• La probabilidad de ocurrencia, en la organización, de un tipo específico de amenaza.


• Concentración de riesgos donde el número de Actividades de Misión Crítica es localizado
dentro del mismo edificio o en el mismo lugar.
• Una evaluación y análisis de riesgos
• Una estrategia de gestión de control de riesgo y plan de acción.
• El enfoque de priorización del BCM y control de riesgos.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 20
• Análisis Impacto en el Negocio. (Business Impact Analisys BIA) El objetivo
de un Análisis de Impacto del Negocio es identificar las actividades de misión crítica de una
organización, sus dependencias y sus puntos de fallas así como analizar el impacto y el
efecto que se generaría en caso de la perdida e interrupción de las actividades de misión
crítica. A su vez, informar y permitir opciones para crear una resistencia en las operaciones
de negocio de la organización. Sin embargo, la clave para realizar un Análisis de Impacto
del Negocio es analizar el negocio como un todo más no como componentes, procesos o
funciones individuales.

El análisis BIA tiene en cuenta el RTO (Recovery Time Objective) y RPO (Recovery Point
Objective) que deben ser establecidos por la organización. Están definidos como:

• RTO (recovery Time Objective): El tiempo entre el punto de interrupción, y el punto en el


cuál los sistemas sensibles en el tiempo deben estar funcionando nuevamente, con los datos
actualizados.

• RPO (Recovery Point Objective): El punto en el cuál fueron interrumpidas las actividades
del sistema debido a la ocurrencia de un determinado evento

• Preparación ante emergencias y mitigación Revisar la documentación existente en relación


a emergencias, e integrarlas con el Plan de recuperación de desastre, revisar los roles y
responsabilidades asignadas. Para cumplir con este propósito es necesario que:

 Identifique componentes de los procedimientos de respuesta a emergencia.


 Especifique los procedimientos de respuesta a una emergencia.
 Identifique requerimientos de control y autoridad.
 Procedimientos de control y autoridad.
 Respuesta a emergencia y recuperación de heridos.
 Seguridad y recuperación.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 21
• Desarrollo Implementación del plan de continuidad negocios. Esta fase
involucra el diseño, desarrollo e implementación de planes de continuidad del negocio para
evitar interrupciones de acuerdo a los marcos establecidos. Un buen desarrollo e
implementación de un BCM incluye:

 Identificar requerimientos para el desarrollo de los planes.


 Definir requerimientos de control y administración de la continuidad.
 Identificar y definir un formato y la estructura principal de los componentes de los
planes.
 Elaborar un borrador de los planes.
 Definir procedimientos de gestión de crisis y continuidad del negocio.

También hay que señalar que en algunos países las prácticas de regulación y / o las normas
ISO pueden ser incorporadas a la legislación nacional, dando así el documento adicional con
importancia en los países específicos que deseen adquirir la certificación pertinente. BCM
se encuentra dentro de los estándares de mitigación de riesgos que le dará a la empresa en
un momento dado los parámetros para levantarse de un mal momento de cualquier índole,
siempre y cuando se cuente con un plan bien diseñado que pueda abordar cada uno de los
problemas presentados ante cualquier circunstancia que afecta la empresa negativamente.

El primer paso para implementar BCM en la empresa es que debe haber una aceptación por
parte del jefe y los directivos y ver que se trata de un proceso útil.

El coordinador general de la continuidad del negocio debe ser designado para informar
directamente al jefe o equipo de alta gerencia. Esta persona es alguien que entiende
perfectamente las estructuras de negocios y la gente, tiene buena gestión del proyecto, la
comunicación y las habilidades interpersonales y es un buen líder de equipo. Sin embargo
se debe tener en cuenta que el objetivo es garantizar que pensar en la continuidad del
negocio es parte de las responsabilidades normales de cada empleado.

Algunos estándares BCM (Continuidad del Negocio) son:

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 22
 NFPA 1600:2007 Standard on Disaster / Emergency Management & Business
Continuity
 ISO/PAS 22399:2007 Incident Preparedness & Organizational Continuity.
 BS 25999-1: 2006
 BS 25999-2: 2007

RESUMÉN

La premisa subyacente en la gestión de riesgos corporativos es que las entidades existen


con el fin último de generar valor para sus grupos de interés. Todas se enfrentan a la
ausencia de certeza y el reto para su dirección es determinar cuánta incertidumbre se puede
aceptar mientras se esfuerzan en incrementar el valor para sus grupos de interés.

La incertidumbre implica riesgos y oportunidades y posee el potencial de erosionar o


aumentar el valor. La gestión integral de riesgos corporativos permite a la dirección tratar
eficazmente la incertidumbre y sus riesgos y oportunidades asociados, mejorando así la
capacidad de genera valor. Se maximiza el valor cuando la dirección establece una
estrategia y objetivos para encontrar un equilibrio óptimo entre los objetivos de crecimiento
y rentabilidad y los riesgos asociados, además de desplegar recursos eficaces y
eficientemente a fin de lograr los objetivos de la entidad.
DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO
GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 23
La gestión integral de riesgos corporativos incluye las siguientes capacidades:

Alinear el riesgo aceptado y la estrategia: En su evaluación de alternativas estratégicas,


la dirección considera el riesgo aceptado por la entidad, estableciendo los objetivos
correspondientes y desarrollando mecanismos para gestionar los riesgos asociados.

Mejorar las decisiones de respuesta a los riesgos: La gestión de riesgos corporativos


proporciona rigor para identificar los riesgos y seleccionar entre las posibles alternativas de
respuesta a ellos: evitar, reducir, transferir o aceptar.

Reducir las sorpresas y pérdidas operativas: Las entidades consiguen mejorar su


capacidad para identificar los eventos potenciales y establecer respuestas, reduciendo las
sorpresas y los costes o pérdidas asociados.

Identificar y gestionar la diversidad de riesgos para toda la entidad Cada entidad se


enfrenta a múltiples riesgos que afectan a las distintas partes de la organización y la gestión
de riesgos corporativos facilita respuestas eficaces e integradas a los impactos
interrelacionados de dichos riesgos.

Aprovechar las oportunidades: Mediante la consideración de una amplia gama de


potenciales eventos, la dirección está en posición de identificar y aprovechar las
oportunidades de modo proactivo.

Mejorar la dotación de capital La obtención de información sólida sobre el riesgo permite


a la dirección evaluar eficazmente las necesidades globales de capital y mejorar su
asignación.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 24
NORMA TÉCNICA COLOMBIANA NTC-ISO 31000

PROCESO

5.1 GENERALIDADES

El proceso para la gestión del riesgo debería:

 Ser parte integral de la gestión,


 Estar incluido en la cultura y las prácticas, y
 Estar adaptado a los procesos de negocio de la organización.

El proceso comprende las actividades que se describen en los numerales 5.2 al 5.6. El
proceso para la gestión del riesgo:

 Establecimiento del contexto (5.3)


 Valoración del riesgo (5.4)
 Identificación del riesgo (5.4.2)
 Análisis del riesgo (5.4.3)

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 25
 Evaluación del riesgo (5.4.4)
 Tratamiento del riesgo (5.5)
 Comunicación y consulta (5.2)
 Monitoreo y revisión (5.6)

5.2 COMUNICACIÓN Y CONSULTA

La comunicación y la consulta con las partes involucradas externas e internas deberían tener
lugar durante todas las etapas del proceso para la gestión del riesgo. Por lo tanto, se
deberían desarrollar tempranamente los planes para la comunicación y la consulta. Éstos
deberían abordar aspectos relacionados con el propio riesgo, sus causas, sus
consecuencias (si se conocen), y las medidas que se toman para tratarlo.

Es conveniente que tengan lugar la comunicación y las consultas externas e internas


eficaces para garantizar que aquellos responsables de la implementación del proceso para
la gestión del riesgo y las partes involucradas entiendan las bases sobre las cuales se toman
las decisiones, y las razones por las cuales se requieren acciones particulares.

Un enfoque de equipo consultor puede:

 Ayudar a establecer correctamente el contexto;


 Garantizar que se entienden y se toman en consideración los intereses de las partes
involucradas;
 Ayudar a garantizar que los riesgos estén correctamente identificados;
 Reunir diferentes áreas de experticia para analizar los riesgos,
 Garantizar que los diversos puntos de vista se toman en consideración
adecuadamente al definir los criterios del riesgo y al evaluar los riesgos;
 Asegurar la aprobación y el soporte para el plan de tratamiento;
 Fomentar la gestión adecuada del cambio durante el proceso para la gestión del
riesgo;
 Desarrollar un plan adecuado de comunicación y consulta externo e interno

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 26
.
La comunicación y la consulta con las partes involucradas son importantes dado que ellas
dan sus opiniones acerca del riesgo con base en sus percepciones de éste. Estas
percepciones pueden variar debido a las diferencias en los valores, las necesidades, las
asunciones, los conceptos y los intereses de las partes involucradas. Dado que sus puntos
de vista pueden tener un impacto significativo en las decisiones que se toman, las
percepciones de las partes involucradas se deberían identificar, registrar y tomar en
consideración en el proceso de toma de decisiones.

La comunicación y la consulta deberían facilitar los intercambios de información veraz,


pertinente, precisa y fácil de entender, teniendo en cuenta los aspectos de la integridad
personal y confidencial.

5.3 ESTABLECIMIENTO DEL CONTEXTO

Al establecer el contexto, la organización articula sus objetivos, define los parámetros


externos e internos que se van a considerar al gestionar el riesgo y establece el alcance y
los criterios del riesgo para el resto del proceso. Aunque muchos de estos parámetros son
similares a aquellos que se consideran en el diseño del marco de referencia para la gestión
del riesgo (véase el numeral 4.3.1), al establecer el contexto del proceso para la gestión del
riesgo, es necesario que estos parámetros se consideren en mayor detalle y, en particular,
la manera como se relacionan con el alcance del proceso para la gestión del riesgo particular.

5.4 VALORACIÓN DEL RIESGO

La valoración del riesgo es el proceso total de identificación del riesgo, análisis del riesgo y
Evaluación del riesgo.

NOTA ISO/IEC 31010 brinda directrices sobre las técnicas de valoración del riesgo.

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 27
5.4.2 Identificación del riesgo

La organización debería identificar las fuentes de riesgo, las áreas de impacto, los eventos
(incluyendo los cambios en las circunstancias) y sus causas y consecuencias potenciales.
El objeto de esta fase es generar una lista exhaustiva de riesgos con base en aquellos
eventos que podrían crear, aumentar, prevenir, degradar, acelerar o retrasar el logro de los
objetivos.

Es importante identificar los riesgos asociados a la no búsqueda de una oportunidad. La


identificación exhaustiva es crítica porque un riesgo que no se identifique en esta fase no
será incluido en el análisis posterior.

La identificación debería incluir los riesgos independientemente de si su origen está o no


bajo control de la organización, aun cuando el origen del riesgo o su causa pueden no ser
evidentes. La identificación del riesgo debería incluir el examen de los efectos colaterales de
las consecuencias particulares, incluyendo los efectos en cascada y acumulativos. También
se debería considerar un rango amplio de consecuencias incluso si el origen del riesgo o su
causa pueden no ser evidentes. Al igual que la identificación de lo que podría suceder, es
necesario considerar las causas y los escenarios posibles que muestran que las
consecuencias se podrían presentar. Se recomienda considerar todas las causas y
consecuencias significativas.

La organización debería aplicar herramientas y técnicas para la identificación del riesgo que
sean adecuadas a sus objetivos y capacidades, y a los riesgos que se enfrentan. La
información pertinente y actualizada es importante para identificar los riesgos. Esta
información debería incluir, siempre que sea posible, la información básica. En la
identificación del riesgo se deberían involucrar las personas con el conocimiento apropiado.

5.4.3 Análisis del riesgo

El análisis del riesgo implica el desarrollo y la comprensión del riesgo. Este análisis brinda
una entrada para la evaluación del riesgo y para las decisiones sobre si es necesario o no

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 28
tratar los riesgos y sobre las estrategias y métodos más adecuados para su tratamiento. El
análisis del riesgo también brinda una entrada para la toma de decisiones, en la cual se
deben hacer elecciones y las opciones implican diversos tipos y niveles de riesgo.

El análisis del riesgo involucra la consideración de las causas y las fuentes de riesgo, sus
consecuencias positivas y negativas, y la probabilidad de que tales consecuencias puedan
ocurrir. Se deberían identificar los factores que afectan a las consecuencias y a la
probabilidad.

El riesgo es analizado determinando las consecuencias y su probabilidad, y otros atributos


del riesgo. Un evento puede tener consecuencias múltiples y puede afectar a objetivos
múltiples.

También se deberían considerar los controles existentes y su eficacia y eficiencia. La forma


en la cual las consecuencias y la probabilidad se expresan y la forma en la cual ellas se
combinan para determinar un nivel de riesgo debería reflejar el tipo de riesgo, la información
disponible y el propósito para el cual se va a usar la salida de la valoración del riesgo. Todo
esto debería ser consistente con los criterios del riesgo. También es importante considerar
la interdependencia de los diferentes riesgos y sus orígenes.

Las consecuencias y su probabilidad se pueden determinar modelando los resultados de un


evento o grupo de eventos, o mediante extrapolación a partir de estudios experimentales o
de los datos disponibles. Las consecuencias se pueden expresar en términos de impactos
tangibles e intangibles. En algunos casos, se requiere más de un valor numérico o descriptor
para especificar las consecuencias y su probabilidad en diferentes momentos, lugares,
grupos o situaciones.

5.4.4 Evaluación del riesgo

El propósito de la evaluación del riesgo es facilitar la toma de decisiones, basada en los


resultados de dicho análisis, a acerca de cuáles riesgos necesitan tratamiento y la prioridad
vara la implementación del tratamiento. La evaluación del riesgo implica la comparación del

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 29
nivel de riesgo observado durante el proceso de análisis y de los criterios del riesgo
establecidos al considerar el contexto. Con base en esta comparación, se puede considerar
la necesidad de tratamiento.

En las decisiones se debería tener en cuenta el contexto más amplio del riesgo e incluir
consideración de la tolerancia de los riesgos que acarrean otras partes diferentes de la
organización que se benefician de los riesgos. Las decisiones se deberían tomar de acuerdo
con los requisitos legales, reglamentarios y otros.

5.5 TRATAMIENTO DEL RIESGO

El tratamiento del riesgo involucra la selección de una o más opciones para modificar los
riesgos y la implementación de tales opciones. Una vez implementado, el tratamiento
suministra controles o los modifica.

El tratamiento del riesgo implica un proceso cíclico de:

 Valoración del tratamiento del riesgo;


 Decisión sobre si los niveles de riesgo residual son tolerables;
 Si no son tolerables, generación de un nuevo tratamiento para el riesgo; y
 Valoración de la eficacia de dicho tratamiento.

Las opciones para el tratamiento del riesgo no necesariamente son mutuamente excluyentes
ni adecuadas en todas las circunstancias. Las opciones pueden incluir las siguientes:

a) evitar el riesgo al decidir no iniciar o continuar la actividad que lo originó;


b) tomar o incrementar el riesgo para perseguir una oportunidad;
c) retirar la fuente de riesgo;
d) cambiar la probabilidad;
e) cambiar las consecuencias;
f) compartir el riesgo con una o varias de las partes, (incluyendo los contratos y la
financiación del riesgo); y
g) retener el riesgo mediante una decisión informada.
DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO
GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 30
5.5.3 Preparación e implementación de los planes para el tratamiento del riesgo
El propósito de los planes para el tratamiento del riesgo es documentar la forma en que se
van a implementar las opciones de tratamiento seleccionadas. La información suministrada
en los planes de tratamiento debería incluir:

 Las razones para la selección de las opciones de tratamiento, que incluyan los
beneficios que se espera obtener;
 Aquellos que son responsables de aprobar el plan y los responsables de
implementarlo;
 Acciones propuestas;
 Requisitos de recursos, incluyendo las contingencias;
 Medidas y restricciones de desempeño;
 Requisitos de monitoreo y reporte; y
 Tiempo y cronograma.

5.6 MONITOREO Y REVISIÓN

Tanto el monitoreo como la reedición debería ser una parte planificada del proceso para la
gestión del riesgo e incluir verificación o vigilancia regulares. Pueden ser periódicos o según
convenga. Las responsabilidades del monitoreo y la revisión deberían estar claramente
definidas. Los procesos de monitoreo y revisión de la organización deberían comprender
todos los aspectos del proceso para la gestión del riesgo con el fin de:
 Garantizar que los controles son eficaces y eficientes tanto en el diseño como en la
operación;
 Obtener información adicional para mejorar la valoración del riesgo;
 Analizar y aprender lecciones a partir de los eventos (incluyendo los cuasi
accidentes),
 Los cambios, las tendencias, los éxitos y los fracasos;
 Detectar cambios en el contexto externo e interno, incluyendo los cambios en los
criterios del riesgo y en el riesgo mismo que puedan exigir revisión de los tratamientos
del riesgo y las prioridades; y
 Identificar los riesgos emergentes.
DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO
GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 31
Véase NORMA TÉCNICA COLOMBIANA NTC-ISO 31000

BIBLIOGRAFÍA

 Instituto Colombiano de Normas Técnicas y certificación. Norma Técnica Colombiana


NTC: 31000 GESTIÓN DEL RIESGO..

 DRA. Dª. Mª ISABEL MARTÍNEZ TORRE-ENCISO “El proceso de gestión de riesgos


como componente integral de la gestión empresarial” Publicado originalmente en
Boletín de Estudios Económicos. Vol. LXVI - N.202 - Abril 2011

 Rubí Consuelo Mejía Quijano, Administración de riesgos. Un enfoque empresarial,


Medellín, Fondo Editorial Universidad EAFIT, 2006.

CIBERGRAFÍA

 http://www.sisteseg.com/files/Microsoft_Word_-_Articulo_BS_25999_DEF1.pdf

 https://www.fogafin.gov.co/Default/que-es-fogafin/generalidades/sistema-integrado-
de-gesti%C3%B3n/saro

 http://www.sarlaft.com/html/capitulo_11.pdf

 https://www.isotools.org/normas/riesgos-y-seguridad/

DIPLOMADO VIRTUAL EN GESTIÓN INTEGRAL DEL RIESGO


GUÍA MÓDULO 5: ESTRATEGIAS PARA GESTIONAR EL RIESGO 32