Cultura de Riesgos 2020 PDF

O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
cial
d e so
com
er
A
l u
e
ite
R erm
p
U
se
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo
odo
©T 1
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
cial
d e so
com
er
A
Trabajo de grado l u
e
ite
R
Maestría en Administración de Riesgos
rm
CULTURA DE RIESGOS
Buenas prácticas para transformar la
pe
U
cultura de riesgos en las organizaciones
se
No
T
Autores
.
os
L
MARCELA ALEÁN SUÁREZ
d
va
LINA MARÍA JARAMILLO ECHEVERRI
r
se
FREDDY GUSTAVO VELA MARTÍNEZ
U
Asesora
MARÍA ANTONIA NÚÑEZ PATIÑO r
e
hos
C
Diseño y diagramación ec
ANDRÉS HERRERA
d er
los
os
2017
o d
2
© T
AGRADECIMIENTOS
A las organizaciones que amablemente nos brindaron un espacio para realizar las entrevistas.
O S
G
n.
A Maria Antonia Núñez, nuestra asesora de trabajo de grado, por sus valiosos aportes y acompañarnos en este proceso.
A Rubí Consuelo Mejía, por su paciencia y acompañamiento constante durante la Maestría en Administración de Riesgos.
ió
S
izac
or
E
LINA... u t
a
I
via su tiempo
A mi hija Valeria, mi tesoro más preciado y la razón para querer ser mejor cada día, por entender y cederme
e
durante estos dos intensos años.
prapoyo incondicional y
R
A mis padres, Rodrigo y Lucía, a mis hermanas Sol y Juliana y a mis cuñados Diego y Frank, pornsu
por acompañar a Valeria mientras yo tenía mis largas jornadas académicas.
l si
A mi jefe Jorge, por su apoyo incondicional y porque su manera práctica de comprender eliamundo ha sido una inspiración
c
e er
para mí.
d so
com
A
MARCELA... u
e l
ie
R
A Dios, porque GRACIAS a él he logrado alcanzar otro sueño en mitvida.
A mi papá Álvaro y a mis hermanos Lina y Hernán, por su apoyom incondicional y espíritu alentador que me ayudó de forma
r
permanente a lograr los objetivos propuestos.
pe guía e ilumina para que todo salga bien.
U
A mi mamá Mary Luz, porque desde el cielo siempre meecuida,
A mi equipo de trabajo Lina y Freddy, por su amistad s
o incondicional y por estos dos años llenos de experiencias, apoyo,
T
crecimiento, esfuerzo y compromiso.
s.N
A mis compañeros de trabajo, por acompañarme
o en este sueño.
L
d
rva
FREDDY... rese
C U
A Dios, por permitirme llegaros
bondad y amor.
A mis padres Elvira y e
ser una persona de
A mis hijas Aleja
do
s
A mis compañeras
s
c h hasta este punto y haberme dado salud para lograr mis objetivos, además de su infinita
re por su apoyo, sus consejos, sus valores, por la motivación constante que me ha permitido
Gustavo,
dbien, pero más que nada, por su amor.
loy Paula, por todas las veces que no pudieron tener un papá de tiempo completo.
de tesis Lina y Marce, por su respaldo, paciencia, cariño y sobre todo por empujarme a cumplir con
o
©T
este sueño.
3
MAPA MENTAL
O S
G
INTRODUCCIÓN
ión.
S
izac
or
E
CULTURA
ut
GOBIERNO PARA LA a
I
DE RIESGOS
GESTIÓN DE RIESGOS
evia
pr
R
Definiciones
Importancia
sin
Definición
ial
Marco de referencia Importancia
c
e er
Tipos de cultura Estructura de gobierno
d om Evaluación
Modelo de Cultura Responsabilidades
de Riesgos c
so
A
l u
e
ite
R erm
p
U
s e
o
T
. N
COMPROMISO DE LA HABILIDADES Y RECURSOS
os
ALTA DIRECCIÓN EN LA PARA LA GESTIÓN
L
ad
GESTIÓN DE RIESGOS DE RIESGOS
v
ser
U
re Definición Definición
os Importancia Importancia
ch
C
Rol en la cultura Habilidades
e
der Evaluar el compromiso Recursos
os
Evaluación
l
dos
To
4
©
O S
G ió n.
S
COMUNICACIÓN
izac
or
E
DE RIESGOS CAJA DE
ut
a
I
TOMA DE DECISIONES HERRAMIENTAS
BASADAS EN RIESGOS Definición PARA LAvia
p re
R
Importancia TRANSFORMACIÓN
Definición Modelo
s n CULTURA
DE iLA
ial
Importancia Estrategias DE RIESGOS
c
e er Carta de navegación
Decisiones informadas Plan de comunicaciones
d om Herramientas
Sensibilizar Otros aspectos
Evaluación Evaluación c
so
A
l u
e
ite
R erm
p
U
se
o
T
APETITO
. N CAPACITACIÓN Y DESARROLLO
DE RIESGO
o s PARA LA GESTIÓN DE RIESGOS
L
a d
rv
Definición
e
Principios
Importancia esClaves de éxito
Definición Programa
U
Pasos para s
r Importancia Estrategias
h o Proceso Evaluación
C
Enfoques
ec a
la definición Diagnóstico
r Metodologías
de
Aspectos
considerar Evaluación GLOSARIO
l os DE TÉRMINOS
d os BIBLIOGRAFÍA
o
©T 5
1. CULTURA DE RIESGOS
Definición
O S
G
¿Por qué es importante la cultura de
riesgos en una organización?
ión.
S
ac
Marco de referencia de la cultura de riesgos
La cultura de riesgos - Aspectos del modelo
iz
or
IE
ut
a
via
2. COMPROMISO DE LA ALTA DIRECCIÓN
EN LA GESTIÓN DE RIESGOS e
pr
Figura 1
R
Definición
¿Por qué es importante la alta dirección
sin
ial
en la cultura de riesgos?
c
e er
¿Cuál es el papel de la alta dirección
en la cultura de riesgos?
d om
MAPA MENTAL DE LA
¿Cómo evaluar el compromiso de la

CULTURA DE RIESGO
c
so
A
alta dirección en la cultura de riesgos?
l u
e
ite Definición
R
3. GOBIERNO PARA LA GESTIÓN DE RIESGOS
rm de riesgos?
¿Por qué es importante el gobierno en laecultura
p gobierno de riesgos
U
Estructura e del
con s
o roles y responsabilidades
T
. N en la cultura de riesgos?
¿Cómo evaluar el gobierno
os
L
a d
4. HABILIDADES YrvRECURSOS PARA LA GESTIÓN DE RIESGOS
se
U
re Definición
s
¿Por qué son importantes las habilidades y recursos en la cultura de riesgos?
oespecíficas
h
C
Habilidades para la gestión de riesgos que transforman la cultura
c
e ¿Cómo evaluar laspara
e r Recursos la gestión de riesgos que fortalecen la cultura
d habilidades y recursos para la cultura de riesgos?
los
dos Fuente: elaboración de los autores como producto del trabajo de investigación
To
6
©
9. CAJA DE HERRAMIENTAS PARA LA
TRANSFORMACIÓN DE LA CULTURA DE RIESGOS
O S
G
Carta de navegación
Caja de herramientas
ió n.
S
8. CAPACITACIÓN Y DESARROLLO PARA LA GESTIÓN DE RIESGOS izac
or
E
Definición
u t
a
I
¿Por qué es importante la capacitación y desarrollo para la cultura de riesgos?
Proceso cíclico de capacitación y desarrollo en gestión de riesgos
e vdeiariesgos
Diagnóstico de necesidades de capacitación y desarrollo en gestión
p r de riesgos?
R
Métodos y estrategias para potenciar la ejecución del plan sin
¿Cómo diseñar un programa de capacitación y desarrollo en gestión
de capacitación y desarrollo en gestión de riesgos

ciadel riesgos?
e er
¿Cómo evaluar la capacitación y desarrollo en la gestión
d
7. COMUNICACIÓN DE RIESGOS
so
com
A
Definición
l u
¿Por qué es importante la comunicación para la cultura de riesgos?
Modelo de comunicaciónepara la gestión de riesgos
ite de comunicación en la gestión de riesgos?
R
¿Cómo evaluar el proceso
erm Principios que guían la
p
U
6. APETITO DE RIESGO
Definición s e implantación del apetito de riesgo
o
T
N
¿Por qué es importante el Claves de éxito para definir
apetito para.la cultura de riesgo? el apetito de riesgo
osla definición
L
d
Pasos para Enfoques en la definición del apetito de riesgo
va ade
del apetito
r
riesgo Metodologías para la definición
e
Aspectos considerar del apetito de riesgo
s definir el apetito de riesgo ¿Cómo evaluar el apetito de riesgo?
U
repara
hos DE DECISIONES BASADAS EN RIESGOS
C
5. TOMA
rec
Definición
e qué es importante la toma de decisiones basadas en riesgos para transformar la cultura?
d¿Por
s
lo ¿Cómo sensibilizar a los empleados para transformar la cultura?
Decisiones informadas de riesgos
s
odo ¿Cómo evaluar las decisiones basadas en riesgos?
©T 7
S
INTRODUCCIÓN
O
INTRODUCCIÓN
G ión.
S
iz ac
E n los últimos años, las organizaciones han demostrado un interés por la administración de riesgos y la han
or
in-
E
corporado en la práctica empresarial con el propósito de mejorar su desempeño lo que conlleva a incrementar t
u y per-
a
I
via de riesgos,
utilidades, lograr los objetivos estratégicos y garantizar la permanencia en el tiempo. La gestión consciente
manente de los riesgos en todos los niveles de la organización apoya la transformación de la cultura
re
p
R
entendida como el conjunto de actitudes, prácticas, valores y conocimiento que guían el comportamiento de los
in
l s responder a las ame-
empleados para enfrentar el riesgo en las tareas ejecutadas en su día a día . Así, la cultura de 1
riesgos es un aspecto
indispensable para generar consciencia, actitudes de compromiso y responsabilidadesia para
rc y arraigada en todos los
e e
nazas que enfrenta la organización y que debe ser desarrollada, divulgada, interiorizada
d om
niveles.
c
sopor las firmas MARSH y RIMS en 2016
A
Un estudio de Benchmark de Gestión de Riesgos en Latinoamérica realizado
concluye que en Colombia el 16% de las organizaciones encuestadas e l u
presentan un elevado desarrollo e implemen-
e
R
tación de su sistema de gestión de riesgos, frente a un 31% en Latinoamérica. it Este mismo estudio muestra que el
13% de las organizaciones en Colombia cuentan con una cultura r mde riesgos totalmente interiorizada, frente a un 16%
e
e p no garantiza el desarrollo de una cultura de riesgos
U
en Latinoamérica.
Sin embargo, la existencia de un sistema de gestión desriesgos
seoencuentre interiorizada en las actividades del día a día de la
T
fuerte, debido a que ésta necesita que la gestión N
.
organización; además, cuente con aspectos como
os eldecompromiso de la alta dirección, una estructura de gobierno
L
para la gestión de riesgos, habilidades y recursos a d riesgos, toma de decisiones basadas en riesgos, entre otros
r v
se
aspectos fundamentales para la transformación de la cultura. Otra razón para que la gestión de riesgos no garantice
U
una cultura de riesgos fuerte, es la e
con una posición definida por la s
r coexistencia de diversas actitudes de los empleados frente al riesgo, sin contar
h oorganización, para gestionar los eventos de riesgo.
C
rec
s de
s lo
Definición o do con información de IRM, 2012, p.7, Deloitte, 2012, p.4 y Roisenzvit & Zárate, 2006, p.9.
©T
1
construida
8
Por tal motivo, esta cartilla se crea con el propósito de
recopilar las buenas prácticas que se llevan a cabo en
tito de riesgo, comunicación de riesgos y capacitación y
desarrollo para la gestión de riesgos, desde un enfoque
O S
G
n.
organizaciones Colombianas que permiten transformar teórico y su aplicación en la práctica empresarial.
la cultura de riesgos, a través de la identificación de los
ió
S
aspectos claves de la cultura, la compilación de buenas Para la recolección de datos se tuvieron entrevistas
iz acde
prácticas que favorecen su adopción y una propuesta de carácter semiestructurado con los líderes de las r
ocon áreas
IE
herramientas claves que una organización puede imple- de riesgos de las empresas seleccionadas, u t pre-
mentar para la transformación de la cultura de riesgos. guntas organizadas en un protocolo, lasa cuales fueron a
complementadas durante la entrevista e vi por el equipo
El proceso de investigación fue realizado en cuatro (4) de investigación con el objetivo depobtener información r
R
organizaciones privadas , con trayectoria en su sistema adicional sobre el tema . Se utilizaron
2 7
s in observaciones di-
de administración de riesgos y con una cultura de ries- rectas y material audiovisual
c ial como políticas de riesgos,
e eder la yinformación,
gos desarrollada, bajo un enfoque cualitativo que bus- informes de sostenibilidad estructuras organizaciona-
d
có realizar un análisis de un tema de estudio a través les, y para el registro
o m grabaciones de
c
slaso variables de análisis seleccionadas para
de la exploración y descripción, que luego mediante el audio que fueron codificadas y los datos clasificados de
A
desarrollo de entrevistas fue analizado de lo particular acuerdo con
l u
a lo general para identificar elementos comunes y ge- la investigación. e
ite
R
nerar conclusiones . El tipo de estudio fue exploratorio
3 4
e instrumental en donde se analizó como tema central rEsta m cartilla de buenas prácticas servirá como guía o
e
5
la cultura de riesgos desde diferentes perspectivas, y dep referente para cualquier organización con sistemas de
U
carácter descriptivo , ya que se identificaron los siguien-
6
s e gestión de riesgos en cualquier nivel de desarrollo, in-
Nocom- teresada en transformar su cultura de riesgos con el
T
tes aspectos presentes en la cultura de riesgos:
.
promiso de la alta dirección en la gestión de riesgos,
osy recursos go- propósito de encaminar sus actividades hacia el cumpli-
L
bierno para la gestión de riesgos, habilidades a d miento de las políticas y procedimientos de riesgos es-
v
de riesgos, toma de decisiones basadas
s er en riesgos, ape- tablecidos, afectar positivamente la capacidad de tomar
U
s re
o al sector

C
2
Debido al carácter académico y confidencial de la investigación las organizaciones no serán nombradas, cada una de ellas se identificará con una letra. La empresa A
e c al sector servicios
cuenta con 3.800 empleados y pertenece telecomunicaciones, la empresa B cuenta con 1.384 empleados y pertenece al sector infraestructura, la empresa C
der2016.
fue tomada el mes de Julioe
cuenta con 596 empleados y pertenece y la empresa D cuenta con 687 empleados y pertenece al sector energía. La información del número de empleados
Hernández, Fernández yd
s Baptista, 2010, p.9.
3
4
Ibid, p.79
s lo
Ibid, p.72. o
5
Galeano, 2004, p.71.
od
6
T
Ibid, p.418.
7
© 9
S
INTRODUCCIÓN
O
decisiones basadas en riesgos, facilitar el cumplimiento riesgos y la toma de decisiones basadas en riesgos y
de los objetivos estratégicos, tácticos y operacionales, y tres (3) aspectos transversales: apetito de riesgo, comu-
G
n.
minimizar las pérdidas por la materialización de even- nicación, y capacitación y desarrollo, los cuales apoyan
tos. La cultura de riesgos ha sido y será motivo de in- el modelo y han sido desarrollados por diferentes au-
ió
S
vestigación y desarrollo a nivel académico y empresarial, tores como ICONTEC, Instituto de Auditores Internos de
izac
y por esta razón los autores de la cartilla con el acom- España, Smith & Hindson, Morago & Bell, López, Mejía,
or
IE
pañamiento de su asesora de trabajo de grado, desean Ituarte, Escajeda y Enríquez, y la práctica organizacio- ut
a
via
aportar en la construcción del conocimiento con herra- nal9. Dichos aspectos le permiten a una organización
mientas prácticas que permiten fortalecer aquellos as- transformar su cultura de riesgos como un proceso de e
pr
R
pectos propios de la cultura de riesgos. aprendizaje continuo que genere capacidad de respuesta
s in
ante las amenazas a las que se ve enfrentada.
La cartilla se encuentra estructurada en diez (10) capí-
cial
e er importancia
tulos. En el capítulo uno (1) se encuentran definiciones En el capítulo dos (2) se define el rol de la alta dirección
d
relacionadas con el término de cultura de riesgos y su
o m
y sus factores de éxito, su en la cultura de
c
so organizacional y una lista de che-
importancia, el marco de referencia de cultura de ries- riesgos, aquellas prácticas evidenciadas tanto en la teo-
A
gos del IRM (Institute of Risk Management)8, definido ría como en laurealidad
como un conjunto de relaciones entre diferentes facto- el
queo con preguntas que permiten identificar oportunida-
e
R
res que influyen en la cultura de riesgos de una organi- t
des deimejora para el compromiso de la alta dirección en
zación, compuesto por cinco (5) capas, tres (3) de ellas r m
la gestión de riesgos.
pe
U
conectadas al individuo (predisposición personal a los
riesgos, ética personal y comportamientos), y dos (2) a s e En el capítulo tres (3) se explica el concepto de gobierno
No y su importancia para la cultura de riesgos, se presenta
T
la organización (cultura organizacional y cultura de ries-
.
gos). Además, se relacionan los tipos de culturas tanto
os una propuesta de estructura básica de gobierno con sus
L
organizacional como desde una perspectiva de riesgos a d roles y responsabilidades para la gestión de riesgos y fi-
v
y finalmente se presenta una propuesta de un modelo
s er naliza con una lista de chequeo para evaluar el gobierno
U
de cultura de riesgos compuesto por cuatro (4) aspec-
re de riesgos.
os
tos identificados por el IRM que son: el compromiso de
h
C
ec
la alta dirección, el gobierno, habilidades y recursos de
r
s de
o
IRM son las siglas enlinglés de Institute of Risk Management, es una organización sin ánimo de lucro que conduce la gestión de riesgos a nivel profesional. Ayudan a cons-

8
s
oen ladegestión
o dgeneral
truir la excelencia de riesgos, con el objetivo de mejorar la forma en que las organizaciones trabajan. [online] Disponible en https://www.theirm.org
©T
La definición
9
los siete (7) aspectos se encuentra en la figura cinco (5) Aspectos del modelo de cultura de riesgos.
10
O S
En el capítulo cuatro (4) se exponen los conceptos de habilidades y recursos para la gestión de riesgos y su impor-
tancia para la cultura de riesgos, se comparten las habilidades específicas que deben tener aquellos empleados
G
n.
relacionados con la gestión de riesgos, a través de la propuesta de un perfil mínimo requerido. Adicionalmente se
revisan aquellos recursos necesarios para la gestión de riesgos que fortalecen la cultura vistos en la práctica em-
ió
S
presarial. Finalmente se presenta una lista de chequeo con preguntas que permiten identificar oportunidades de
izac
mejora en cuanto a las habilidades y recursos para la gestión de riesgos.
or
E
t
ugestión de
a
I
via el cual debe
En el capítulo cinco (5) se define el concepto de toma de decisiones, la importancia para el sistema de
e
riesgos en la transformación de la cultura, se presentan los pasos en el proceso de toma de decisiones
r deben reforzar
p
R
ser apoyado por un esquema de sensibilización donde el desempeño y la gestión del talento humano
y estimular el mantenimiento de los comportamientos de gestión de riesgos deseadossen in las organizaciones, se
realiza de manera general una introducción a la definición de indicadores de desempeño
c ial para la gestión de riesgos,
e er y finalmente, se presenta una
como mecanismo para generar los insumos en la toma de decisiones conscientes,
d om
lista de chequeo para evaluar el proceso de toma de decisiones basadas en riesgos.
c
so
A
En el capítulo seis (6) se aborda el concepto de apetito de riesgo, susutérminos asociados, tolerancia y capacidad
de riesgo, y su importancia para la cultura de riesgos, se indican los l
e pasos, los aspectos, los principios, las claves
e
R
de éxito, los enfoques y las metodologías existentes para definiritel apetito de riesgo, y finalmente se presenta cómo
evaluarlo a través de una lista de chequeo.
erm
p
U
s e
En el capítulo siete (7) se explica el concepto de comunicación y su importancia para la cultura de riesgos, se plan-
o
T
tea un modelo general del proceso, los tipos deNmensajes y estrategias de comunicación, y se propone un formato
estándar para elaborar un plan orientado a las.comunicación de riesgos en la organización. Al cierre del capítulo, se
do que permiten identificar oportunidades de mejora en el proceso de
L
a
establece una lista de chequeo con preguntas
rv en la organización.
comunicación para la gestión de riesgos e
es
U
r
s los aspectos de capacitación y desarrollo y su importancia para la cultura de ries-
o
En el capítulo ocho (8) se definen
h
C
ec un programa y algunas estrategias para potenciarlo, finalmente se comparten algunas
gos, se presentan las etapas del proceso cíclico de capacitación y desarrollo, se enumeran algunos componentes
r
de
básicos que debe contener
s
opciones de entrenamiento en la gestión de riesgos y se plantea una lista de chequeo para evaluar la capacitación y
desarrollo paralola gestión de riesgos en la organización.
d os
T o
© 11
S
INTRODUCCIÓN
G O ión.
S
izac
or
IE
ut
a
evia
pr
R
in
El capítulo nueve (9) llamado caja de herramientas, presenta una carta de navegación para hacer uso de las pro-
s
ial
puestas realizadas por los autores de la cartilla para la transformación de la cultura de riesgos, las cuales se reco-
c
e er
gen a partir de la investigación realizada, las entrevistas, la práctica empresarial y los conocimientos adquiridos en
d om
la Maestría en Administración de Riesgos, como construcción inicial que puede ser complementada por las organi-
c
zaciones de acuerdo con sus necesidades y capacidades, y se relacionan algunos mensajes de alerta recopilados por
so
A
los autores de la cartilla desde su experiencia laboral, que se deben tener en cuenta en el momento de la ejecución
l u
de las herramientas.
e
ite entender aquellos conceptos relacionados
F
R ermde cada capítulo. En conclusión, esta cartilla es una
inalmente, la cartilla cuenta con un glosario de términos que permite
p clave de la cultura de riesgos como elemento funda-
U
con la cultura de riesgos y que se presentan en el desarrollo
se
iniciativa que busca brindar información sobre los aspectos
o
T
mental de la gestión de riesgos, por lo tanto se espera obtener retroalimentación de aquellas personas que accedan
s.N
a ella, para enriquecerla con su experiencia o conocimiento.
do
L
rva
e
es
U
r
h os
C
rec
s de
s lo
odo
12
©T
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
cial
d e so
com
er
A
l u
e
ite
R erm
p
U
se
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo
odo
©T 13
O S
G ión.
S
izac
or
E
ut
a
I
evia
pr
R
CULTURA DE RIESGOS
sin
al ci
e
r
e los autores bus-
L
d
a cultura de riesgos es el concepto principal de esta cartilla, a través de la m
cual
can consolidar las buenas prácticas para transformarla en la organización. c o Durante el recorri-
sosu importancia, el marco
A
do del capítulo, se encuentran definiciones relacionadas con el término,
u
l organizacional como desde
de referencia de cultura de riesgos del IRM, tipos de culturas tanto e
te de un modelo que le permitirá
R
iun
una perspectiva de riesgos y finalmente se presenta una propuesta
a una organización transformar la cultura de riesgos como
rm proceso de aprendizaje continuo
e
que genere capacidad de respuesta ante las amenazaspa las que se ve enfrentada la organización.
U
se
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
e re
s d
s lo
o do
©T
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
cial
d e so
com
er
A
l u
e
ite
R erm
p
U
se
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo
odo
©T
S
O
DEFINICIONES Figura 2
E CULTURA
G
S D
n.
El término cultura de riesgos ha sido desarro-
NE DE
llado por autores e instituciones en su oficio de 2 ió
S
generación de conocimiento o de prestación de
C
IO 1 R
izac “La cultura de
or
“La cultura de riesgos riesgos consiste en que
servicios relacionados con el tema de gestión de
E
t
IE
es el conjunto de normas, cada uno de los empleados
NI
riesgos. Al recolectar las definiciones de cultu- u
valores, y percepciones que
a
de la compañía tenga interiori-
SG
tienen las personas sobre los zado los temas de riesgos y sea
via
FI
ra de riesgos, se encuentran elementos comu- riesgos que pueden evitar que consciente de la existencia de los
e
la organización cumpla sus mismos en el desarrollo normal de las
OS
nes que permiten definirla como un conjunto de
DE
pr
objetivos. Hablar de cultura de operaciones. Como resultado, se espera
R
actitudes, prácticas, valores y conocimiento que riesgos es construir alternativas que gestionen los riesgos a través de la
guían el comportamiento de los empleados de sin

para solucionar un problema que definición de medidas de tratamiento que
ial
permita tomar decisiones con permitan mitigarlo. El posicionamiento de
información que contenga diferentes la gestión de riesgos debe estar en todos
una organización para enfrentar el riesgo en las
c
e er
miradas soportado en un diálogo los niveles de la organización, incluida la
tareas ejecutadas en su día a día10. respetuoso y organizado.”12 alta dirección. Este conocimiento debe
d om 3
ser transversal en toda la organización.”13
c
so 4
Algunas de las definiciones encontradas en las
A
organizaciones entrevistadas11 permiten visuali-
l u “La cultura de riesgos es reconocer
zar que cada compañía construye su propia defi- e como primer paso que el riesgo existe
ite
“La cultura de riesgos
R
y una vez reconocido el riesgo, poder
es un proceso inmerso en prepararse para prevenirlo o mitigar
nición de cultura de riesgos a partir de la ejecu-
rm
el ser humano, es decir, el impacto. Es saber reconocer el
ción de un proceso de administración de riesgos
e
algo que se desarrolla riesgo, ser capaz de identificar
U
naturalmente que requiere un unas medidas de tratamiento o
y de la identificación de sus fortalezas, debilida-
e
pensamiento estructurado y de reducción del riesgo e incluir
des, oportunidades y amenazas en la gestión, s lógico desde una perspectiva de estas variables en la planea-
No
6
T
Fu
riesgos.” 15
s1
en ción y en la ejecución del
da
así como del respaldo permanente de todo el
.
trabajo.”14
s
el
iza
te
l
ea
do
ab
:
personal de la organización. Como resultado de
L
o r
ra tas
la recopilación de esta información, en la figura
rv a ció
nd
e lo ent
revis
dos (2) se presentan diferentes definiciones or- e s au las
es
U
tores de
con información
ganizacionales sobre la cultura de riesgos.
r
h os
C
eA,cB,deC,IRM,

10
e r
Definición construida con información 2012, p.7, Deloitte, 2012, p.4 y Roisenzvit & Zárate, 2006, p.9.
d 12 de agosto de 2016).
Entrevistas realizadas a empresas D, 2016.
11
12
13
l
Empresa C, (Entrevista s
Empresa B, (Entrevista personal,
opersonal, 2319 dede agosto
personal, de 2016).
os apersonal,
14
Empresa D, (Entrevista septiembre de 2016).
d
Empresa A, (Entrevista 05 de agosto de 2016).
15
o
©T
16
Entrevistas realizadas empresas A, B, C, D, 2016.
16
¿POR QUÉ ES IMPORTANTE LA CULTURA
DE RIESGOS EN UNA ORGANIZACIÓN?
O S
G
Así, los elementos comunes evidenciados en las defini-
i
La cultura de riesgos es importante porque todas lasón.
S
ciones de cultura de riesgos, en la teoría y en la prácti- ac
organizaciones están expuestas a diversos riesgos para
iz
ca17 son los siguientes:
or
la consecución de sus objetivos estratégicos, tácticos y
IE
ut
operativos que afectan significativamente la capacidad
a
via
• Partes involucradas: alta dirección, empleados y ter- de tomar decisiones soportadas en riesgo18, al crear
ceros interesados como los clientes, proveedores etc. e
pr
consciencia y actitudes de compromiso, responsabilidad
R
• Características: reconocer la existencia del riesgo, y participación de los empleados, encaminado a respon-
ser conscientes e interiorizar que las organizaciones sin
der asertivamente a las situaciones de peligro que pue-
están expuestas al riesgo por el hecho de existir. ial
den ser agentes de amenaza para la organización.
c
e er
• Acciones clave: identificar, definir medidas de trata-
d
miento, analizar y monitorear los riesgos. Otro aspecto que o mdebe tener en cuenta en la cultura
se
de riesgos al o c
momento de adoptar un sistema de ges-
A
us
En síntesis, la cultura de riesgos involucra a todo el per- tión es la dificultad generada por el hecho que los seres
sonal y es un proceso que se desarrolla de forma progre- humanos e l como individuos, no necesariamente se com-
e
R
siva, constante y requiere como base la sensibilización portan it de manera lógica, previsible y controlable, cada
m
de los empleados a través del reconocimiento de los va- rindividuo
e tiene su percepción única de riesgos, todos los
lores corporativos. Por esta razón, las estrategias debenp grupos y organizaciones tienen su propio enfoque y la
U
estar enfocadas en el ser humano, como eje central, s eal cultura de riesgos puede ser o no útil en el manejo exi-
Node las toso de los mismos .
T
tener en cuenta los sentimientos, pensamientos
.
19
s de cul-
personas e identificación de los diferentes otipos
L
tura presentes en la organización. No se adpuede olvidar, Por consiguiente, la cultura de riesgos es importante en
v
er en el sistema de una organización y conduce a que la gestión del día a día
que la cultura es un elemento inherente
s
U
e como el autocontrol se desarrolle bajo los lineamientos definidos para la ad-
s rcada uno de los colabo- ministración de riesgos dentro de un marco de gestión.
gestión de riesgos al ser entendido
y el mejoramiento continuoode
ch
C
radores. En la práctica, hablar de riesgos es gestionar el valor
re
de de una compañía, es algo que se debe vincular desde el
o s principio para generar un cambio en la percepción del

sl

riesgo en la organización.
IRM, 2012, o
17
Ibid.
od2012, p.16.
18
p.8.
T
Hindson,
19
© 17
S
Figura 3
G O ión.
S
izac
or
IE
1 ut
11 a
Cada empleado desde su rol debe tener cono- 2evia
pr
Debe ser integrada
R
cimiento de la estrategia y debe verse identi- La gestión a los procesos.
ficado en ella, para que a partir de allí haga el

sin
crea valor a la
ial
organización.
Facilita la mejora
despliegue de la gestión de riesgos20. 10 Forma parte de la toma
c
continua de la
e
de decisiones de
er
organización. la organización.
3
d om
La organización debe enfocarse en su razón
de ser y en gestionar los riesgos asociados al c
sDEoDELARIESGOS
A
Responde PRINCIPIOS
desarrollo de su negocio y buscar las mejores
u
Trata de forma
GESTIÓN
l
Fuente: Elabora
-31000²¹
continuamente explícita la incertidumbre.
estrategias de cultura de riesgos que le per- e
al cambio.
te
R
9 SEGÚN
i
IS O
mitan la sostenibilidad en el tiempo, en otras NTC ISO-31000
rm
TC
palabras, la cultura de riesgos implica que la 4
N
e
ció
Debe ser sistemática,
la
p
e
n
U
Deber ser transparente, estructurada y
de
los
organización esté convencida de los beneficios ió n
d
ac
e
eficaz e inclusiva. a ut adecuada.
ores co inform
s
n
que trae gestionar los riesgos. Referente a esto,
o
T
N
Basada en
la ISO-31000 define once (11) principios que re-
saltan la importancia de la gestión de riesgos,s.
Toma en cuenta fuentes de
8 los factores información
o
L
humanos y Alineada con
d
disponible para
el contexto
5
los cuales se presentan a continuación a través
a
culturales. su gestión.
v
interno, externo
er
y perfil de riesgo
de la figura tres (3):
s
U
organizacional.
s re 7 6
ho
C
c
e re
s d
s lo
do2011, p.9.personal, 12 de agosto de 2016).

Empresa B, (Entrevista
o
20
©T
21
NTC ISO-31000,
18
O S
G ión.
S
En consecuencia, la cultura de riesgos ayuda a crear consciencia en los miembros de una organización sobre
izacel
or a las
E
significado y la necesidad de tener una visión preventiva de gestión de riesgos y responder acertadamente
u t
a
I
amenazas a las que se encuentra expuesta.
via
re
MARCO DE REFERENCIA DE LA CULTURA DE RIESGOS
p
R
s inpor instituciones como
ial medirla y evaluarla, los
En la teoría existen diferentes aproximaciones al marco de cultura de riesgos propuestos
c
e er indispensable de la alta direc-
Deloitte , Protiviti e IRM, quienes han definido sus propios enfoques para desarrollarla,
22 23
d
cuales comparten elementos relacionados con el gobierno de la organización, el papel
ción en el fomento de la cultura de riesgos, las habilidades relacionadas con c oelmrecurso humano, las herramientas
so de los empleados, a través de incentivos
A
tecnológicas, las políticas, procesos y procedimientos, y la sensibilización
y recompensas relacionadas con la gestión de riesgos. No obstante, leluenfoque que ofrece mayores herramientas e
ee
R
información pública disponible, para que pueda ser usada con el propósito
it de generar conocimiento para las organi-
zaciones es el desarrollado por el IRM, que busca analizar, planificar
r m y actuar para influir en la cultura de riesgos de
cualquier organización, y ayudarlas a obtener una mayor comprensión
p e de su propia cultura de riesgos, al ofrecer al-
U
gunas herramientas prácticas que puedan utilizar para
s e impulsar el cambio . A continuación, este marco se resume
24
o entre diferentes factores que influyen en la cultura de riesgos
T
en la figura cuatro (4) como un conjunto de relaciones
N
de una organización, que debe ser leído desde.el círculo más pequeño hacia el más grande, donde se reconoce que
os de riesgos .
L
la cultura organizacional hace parte de ladcultura 25
r va
se
U
r e
s
ho
C
c

e re profesionales de auditoría, legal, impuestos, riesgo, consultoría, BPS y asesoramiento financiero. [online]
d
Organización que presta servicios
22
l s
Disponible en https://www2.deloitte.com/co/es.html#
o para temas de tecnología, procesos empresariales, análisis, riesgos, cumplimiento, transacciones y auditorías internas. [online]
Soluciones de asesoría
23
IRM, 2012,o s
Disponible en https://www.protiviti.com/US-en/about-us
d p.4
24
T o
Ibid, p.16.
25
© 19
S
Figura 4
ULTU RA DE RIES
GO
S
G O ión.
S
C RA ORGANIZAC
IO izac
TU NA or
IE
UL ORTAMI ut
C MP ENT L a
via
CO O
PERSONA e
ICA
pr
R
ÉT L
N PERSONA
sin
ial
ICIÓ LA
S L
c
O
e er
SP
RI
DI
d
ES
om
PRE
GO
MARCO DE
c
so
A
REFERENCIA
DE LA CULTURA
l u
DE RIESGOS e
ite
R
DEL IRM
M 26
Fu
rm
e
e:
IR
nt
e
do y adae
To od
p
ma
U
ptad
s e
o
T
s.N
do
L
rva
e
es
U
r
hos
C
rec
s de
s lo
do

o
©T
26
Ibid.
20
Otros autores indican que el marco de cultura de ries-
gos del IRM son cinco capas conectadas en un sistema
O
bio de información y la toma de decisiones29.
S
G
n.
en forma de cebolla. Las tres primeras capas (predis- La ética personal
posición personal a los riesgos, ética personal y com- ó
Las organizaciones deben estar atentas al perfil ético
i
S
portamientos) están más conectadas al individuo, y las ac
de las personas que trabajan en sus negocios. Cada in-
iz
dos últimas capas (cultura organizacional y cultura de
or
dividuo llega con su propio balance de valores morales
IE
riesgos) están relacionadas con las organizaciones. Las ut
y éstos tienen una gran influencia sobre las decisiones
a
via
cinco capas son un conjunto de relaciones entre diferen- que toman en el día a día. Es por esto que existen tres
tes factores que influyen en la cultura de riesgos de una e
conciencias éticas que intervienen en el proceso de toma
pr
R
organización27. de decisiones de los individuos:
sin
Ética de la obediencia (cumplimiento de las reglas, el es-
Capas conectadas con el individuo píritu de la ley, etc.).
cial
e er
Ética del cuidado (empatía, preocupación, respeto, etc.).
d om
La predisposición personal al riesgo Ética de la razón (sabiduría, experiencia, prudencia,
c
so
Cada individuo llega a una organización con su propia etc.)30.
A
percepción personal del riesgo . Esta predisposición
28
u
l fundamentalmente quieren hacer lo co-
es posible medirla a través de herramientas de evalua- Las personas e
ite Por lo tanto, es altamente recomendable para las
R
ción de la personalidad que permitan identificar rasgos, rrecto.
m
como, por ejemplo, optimistas vs pesimistas, cautelosos rorganizaciones desarrollar una cultura decente, abierta
e
p y respetuosa que permita a los seres humanos interac-
U
vs ansiosos, conformes vs resilientes.
e
s tuar en el trabajo como lo harían en su entorno familiar
o
T
En términos de construcción de cultura, el balance
. N de o social. Esta es la cultura que mitiga los riesgos y daños
o s en la for- a la reputación, alienta un mayor rendimiento y rentabili-
L
los rasgos mencionados anteriormente influye
d
mación de la cultura de riesgos, debidoaa que tiene una dad, la cual se produce en el desarrollo de un modelo de
v equipo y afecta negocio ético y sostenible .
rdel
influencia significativa en la dinámicae 31
esla voluntad de tomar
U
la percepción colectiva del riesgo,r
hos
riesgos, las percepciones interpersonales, el intercam-
C
rec

Paalanen, 2013, p.53. d

e
27
28
lo s
Hindson, 2012, p.17.
s
do p.34.
29
Ibid.
30
Ibid.
o
©T
31
Neville, 2012,
21
S
G O ión.
S
izac
or
E
El comportamiento
ut
a
I
ia
La cultura de una organización está compuesta por el comportamiento repetido de cada uno de sus miembros.
comportamiento del grupo y de sus individuos está formado por sus actitudes, que son la posición velegida por un
El
p re están influen-
R
individuo o grupo hacia el riesgo. En este orden de ideas, tanto el comportamiento como las actitudes
ciados por la cultura de riesgos dominante del grupo. Por esta razón, es importante que la s in
organización identifique
los tipos de cultura que coexisten dentro de ella. ia l
c
d e
Igualmente, no hay que olvidar que las decisiones pueden ser el resultado de las m
c
er
acciones o comportamientos guia-
o El juicio es determinado en gran
dos por los juicios hechos o las acciones pueden ser el resultado de las decisiones.
o experiencias y las personas sobre la
A
medida por el carácter individual, por cómo se evalúan las circunstancias,u slas
base de la interpretación personal de los valores morales fundamentales,el profundamente arraigados como el cora-
ite
R
je, la equidad, la confianza, la excelencia y la humildad.
e rm
p
U
Capas relacionadas con las organizaciones
se
o
T
. N autores han identificado tipos de cultura que enmarcan las
La cultura organizacional
s
do dentro de la organización. A continuación, en la tabla uno (1) se
Desde el punto de vista de las organizaciones, algunos
L
conductas de las personas en su quehacer a cotidiano
e rv
presentan miradas de dos autores diferentes:
es
U
r
hos
C
rec
s de
s lo
do

o
©T
32
Ibid.
22
O S
G
Tabla 1
TIPOS DE CULTURA ORGANIZACIONAL ión.
S
izac
TIPOS DE CULTURA VISTO DESDE VISTO DESDE
or
E
ORGANIZACIONAL PAALANEN RIPPL
u t
a
I
Hay límites fuertes, fuerte división del trabajo y
vyialasalto
Las culturas jerárquicas tienen
e
interés
jerarquías. El colectivo se valora más que los
r
por las relaciones de grupo
p
relaciones
R
Jerárquica
n
individuos. La tradición y el orden son soporta- sociales o estructuras jerárquicas de grupo.
dos. La equidad significa la igualdad ante la ley.
s i
ia l
rclasinterés
e
Hay una mínima diferenciación de roles inter- Tienen un alto y alta identificación con
nos, existe una posición compartida con el respectoea relaciones de grupo, pero no
d
mundo exterior. La justicia es la igualdad de
o m por las
les gustan las relaciones sociales que se
Igualitaria resultados.
o c
forman diferencias sociales o estruc-
A
us relaciones sociales, están abiertas a la nego-
turas jerárquicas del grupo. En su opinión las
e l ciación.
e
R
itcomo lo Los individualistas tienen baja simpatía por
m
eres competitivo
Las personas son libres de actuar
desean, los límites están abiertos para la las estructuras jerárquicas y baja simpatía
p
U
Individualista
s e
negociación. El medio ambiente
y la equidad significa igualdad de oportunida-
por la unión de grupo.
T
. N que la vida está organi- Los fatalistas tienen baja simpatía por la
des.
s
domanera que está fuera de su unión de grupo. No se sienten parte de un
L
Las personas sienten
zada deatal
Fatalista r vLa equidad no es una cuestión relevan- colectivo social.
e
control.
ete,sya que se explica por el destino.
U
r
hos elaboración de los autores con información de Paalanen y Rippl
Fuente: 33 34
C
rec
s de
o
s lp.19.

Paalanen, o
od p.149.
33
2013,
T
34
Rippl, 2002,
© 23
S
O
Los cuatro tipos de cultura organizacional, pueden ser vistos desde una perspectiva de riesgos en la que el ser
humano presta atención, entiende, maneja, defiende y percibe el riesgo. Estas miradas han sido desarrolladas por
G
n.
diferentes autores, las cuales se presentan a continuación a través de la tabla dos (2):
ió
S
ac
Tabla 2
iz
or
E
TIPOS DE CULTURA ORGANIZACIONAL DESDE UNA PERSPECTIVA DE RIESGOS
ut
a
I
MARY DOUGLAS Y AARON
evia
r
TIPOS DE CULTURA PAALANEN (2013) RIPPL (2002)
p
R
ORGANIZACIONAL WILDAVSKY (2012)
s in
ial
Se necesitan expertos en riesgos para ayudar Suponen que el futuro se puede predecir y se Las personas con orientaciones jerárquicas
c
e
a evaluar la capacidad de riesgo a tomar, si puede administrar por lo menos dentro de ciertos aceptan riesgos siempre y cuando las
er
existe una compensación adecuada y un límites. Los riesgos deben ser gestionados de decisiones sobre la toma de riesgos sean
equilibrio de riesgo. manera activa y la toma de riesgos excesiva debe justificadas por autoridades superiores o
om
d
Jerárquica La capacidad es la máxima exposición al ser evitada. expertos en el tema.
c
riesgo que una organización puede soportar Querrán incorporar un sistema de riesgos en la
so
en la busqueda de sus objetivos. organización que defina el apetito de riesgo y
A
establezca la relación de riesgo y recompensa.
l u
e Los igualitarios se oponen a los riesgos que
ite
R
Observan que todos los riesgos amenazan el tienen peligros irreversibles en muchas
Evitar las pérdidas es más importante que la delicado equilibrio actual. Por lo tanto, el riesgo es personas o sobre las generaciones futuras.
rm
obtención de beneficios. Por lo tanto, lo mejor implícitamente malo y debe evitarse tanto como Desconfían de los riesgos que son tomados
Igualitaria
e
es evitar, controlar o mitigar los riesgos sea posible. por la decisión de una pequeña élite de
U
Creen en sanciones en la toma de riesgos cuando expertos o autoridades.
e
ellos prefieren una política para evitar riesgos.
o s
T
.N
Observan los riesgos como posibilidades. Se Los individualistas perciben el riesgo como
Los riesgos proporcionan oportunidades para requiere gestionar los riesgos y los que están una oportunidad. Las nuevas tecnologías por
s
acumular ganancias. Por lo tanto, un gran dispuestos a asumirlos tendrán éxito con el ejemplo, son vistas más como una oportuni-
do
L
Individualista riesgo debe aceptarse si los beneficios que tiempo. dad que como un peligro.
a
ofrecen son lo suficientemente gratificantes. Tendrá en cuenta sus límites y habilidades para
rv
obtener beneficios mediante la participación en
e
aventuras riesgosas.
es
U
Suponen que el futuro es impredecible. Evaluar y Los fatalistas tienen una fuerte orientación
r
El futuro es inherentemente incierto. La gestionar riesgos es esencialmente una pérdida hacia la asignación de clasificaciones socia-
os
planeación estratégica no es beneficiosa y de tiempo, ya que no se puede predecir lo que será les, pero sin una identificación de grupo.
C
Fatalista todo lo que pueden hacer es reaccionar a los el futuro. Tratan de no conocer y de no preocuparse por
ec
cambios de las circunstancias. Siempre ven riesgos, simplemente les impide aquellas cosas sobre las que ellos creen que
r
reaccionar a medida que cambian las circunstan- no se puede hacer nada al respecto.
de
cias.
s
Fuente: elaboración de los autores con información de Douglas & Wildavsky indicada por Hillson, Linsley, Smith, Hindson & Murray 35, Paalanen 36 y Rippl 37.
s loHindson & Murray, 2012, p.22.

opp.20, 21.
35
Hillson, Linsley, Smith,
dp.150.
Paalanen, 2013,
36
o
©T
37
Rippl, 2002,
24
O S
G ión.
S
izac
En la práctica , el grado de avance del sistema de gestión de riesgos en las organizaciones entrevistadasopermite r
E
t
38
aufatalista, ya
I
que coexistan diferentes tipos de culturas de riesgos, excepto los comportamientos del tipo de cultura
que entienden la importancia de la gestión de riesgos en sus labores del día a día y no dejan su tratamiento
via a deci-
siones del destino. re
p
R
En cualquier organización los cuatro tipos de cultura estarán presentes, y aunque una cultura
sin puede ser prepon-
derante en un período determinado, ésta puede ser reemplazada cuando otra cultura lse eleva a una posición do-
minante. Los debates entre culturas pueden ser inevitables, ya que tienen visionescidel a mundo opuestas. Por esto
requiere para lograr la cultura deseada . 39
d e
es importante que las organizaciones sean capaces de reconocer las cuatro culturas
so
com
er y adoptar la posición que se
A
La cultura de riesgos – Aspectos del modelo l u
La última capa del marco de referencia desarrollado por el IRM e esela cultura de riesgos, que es la razón de ser de
R
it es el conjunto de actitudes, prácticas, valores y
esta cartilla. Como se mencionó anteriormente, la cultura de riesgos
m
conocimiento que guían el comportamiento de los empleados
p er para enfrentar el riesgo en las tareas ejecutadas en su
U
día a día . Para que la organización pueda transformar
40
s e la cultura de riesgos, se propone a continuación, en la figura
o
T
cinco (5), un modelo que permita establecer los aspectos claves de una cultura de riesgos saludable, el cual está
N
compuesto por el compromiso de la alta dirección
habilidades y recursos de riesgos, la toma o s.decisiones
en la gestión de riesgos, el gobierno para la gestión de riesgos, las
L
a d de basadas en riesgos, el apetito de riesgo, la comunicación
de riesgos, y la capacitación y desarrollo
e rv para la gestión de riesgos.
es
U
r
h os
C
r ec
s de

s lo a empresas A, B, C, D, 2016.
doconstruida
Entrevistas realizadas
38
Hillson et al.,
39
2012, p.23.
T o
Definición
40
con información de IRM, 2012, p.7, Deloitte, 2012, p.4 y Roisenzvit & Zárate, 2006, p.9.
© 25
S
O
ASPECTOS DEL MODELO DE LA CULTURA DE RIESGOS
G
Figura 5
ión.
S
izac
or
COMPROMISO
IE
DE LA ALTA GOBIERNO
ut
DIRECCIÓN EN PARA LA CAPACITACIÓN
a
via
LA GESTIÓN GESTIÓN Y DESARROLLO
DE RIESGOS DE RIESGOS PARA LA
e
pr
R
GESTIÓN
La alta dirección Definición de roles y
in
COMUNICACIÓN DE RIESGOS
establece expectativas responsabilidades para la
s
DE RIESGOS
claras y consistentes gestión de riesgos del
ial
Conjunto de
Proceso continuo para la gestión de riesgos.41 negocio.42 actividades
c
e er
para suministrar, encaminadas a
compartir u proporcionar al
d
m
obtener informa- TOMA DE DECISIONES capital humano
RECURSOS PARA LA o
ción relacionada BASADAS EN RIESGO HABILIDADES Y conocimientos
GESTIÓN DE RIESGOSc
con la gestión de para la gestión
so
A
riesgos.46 de riesgos en su
Tomar decisiones basadas trabajo actual y
Capacidades de lasuperso-
en riesgo con información
el en el
prepararlos
oportuna y confiable, para asumir
nas que interactuan
proceso dee
a través del desarrollo responsabilida-
R
riesgos yit
de las estrategias gestión de des futuras.47
los recursos
de sensibilización
m
r paso delque apoyan
necesarios
e
para lograr el
pproceso.
U
comportamiento cada
e
43
deseado.44
s
No
T
.
os
L
d
va
APETITO DE RIESGO
r
se
Cantidad máxima de riesgo que una organización
U
desea asumir en la consecución de sus objetivos.45
re
s
ho
Fuente: elaboración de los autores con información del IRM41, ICONTEC42, Smith & Hindson43, Hindson44, Morago & Bell45, López, Mejía, Ituarte, Escajeda y Enríquez46 y la práctica organizacional47.
C
c
re

IRM, 2012, p.18.

e
41
Smith y Hindson, 2012, p.60d

42
ICONTEC, 2011, p.7.
os
43
Morago y Bell, 2012,lp.68.

44
Hindson, 2012, p.18.
os Escajeda
45
d
López, Mejía, Ituarte, y Enríquez, 2014, p.94
46
47
T o
Entrevistas realizadas a empresas A, B, C, D, 2016.
26
©
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
c ial
e
E r de cultura de riesgos debe
n conclusión, el modelo
e
d om el negocio
estar alineado con de la organización y
c
debe ser pilar fundamental del sistema de gestión de
soimpactar de manera positiva aspectos
A
l u
riesgos, para
como laecompetitividad, la sostenibilidad y la consecu-
e los objetivos estratégicos de la organización. En
R
ciónitde
mcapítulos siguientes se desarrollarán los siete (7) as-
rlos
pe
U
pectos de la cultura de riesgos del modelo propuesto de
se forma individual.
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo
odo
©T 27
O S
G ión.
S
izac
or
E
ut
a
I
evia
pr
R
COMPROMISO DE LA ALTA DIRECCIÓN sin
cial
m
er
EN LA GESTIÓN DE RIESGOS
d e o co
A
omo se mencionó en el capítulo anterior existen siete (7) aspectos s
C de riesgos. El compromiso de la alta dirección en la gestión de el u fundamentales
riesgos, es el
en la cultura
primer elemento
e cultura de riesgos, al ser quienes
R
que debe ser considerado en el proceso de transformación deitla
m
impulsan, definen las directrices y crean un ambiente derparticipación y compromiso para preve-
pe
U
nir el riesgo, con el propósito de lograr organizaciones más calificadas y con mayor capacidad de
respuesta ante eventos adversos . 48
se
o
T
. N
Un compromiso constante de la alta dirección facilita que el sistema de administración de riesgos
os
madure y evolucione a través del tiempo y genere como consecuencia la transformación de la cul-
L
tura de riesgos. Durante el recorrido deldcapítulo, se define el rol de la alta dirección y sus factores
r a riesgos, aquellas prácticas evidenciadas tanto en la teoría
vde
se y una lista de chequeo con preguntas que permiten identificar
de éxito, su importancia en la cultura
U
e
como en la realidad organizacional
r el compromiso de la alta dirección en la gestión de riesgos.
oportunidades de mejora para s
ho
C
c
ere
s d
s lo
do2012, p.17.

o
©T
48
Núñez,
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
cial
d e so
com
er
A
l u
e
ite
R erm
p
U
se
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo
odo
©T
S
2. COMPROMISO DE LA ALTA DIRECCIÓN EN LA GESTIÓN DE RIESGOS
O
DEFINICIÓN del ejemplo, hacer constantemente lo que dicen y estar
abiertos a responder a las malas noticias.
G
n.
El compromiso de la alta dirección se entiende como Como líderes deben ser capaces de comunicar la visión
el papel o rol fundamental en la gestión de riesgos49, el del riesgo y transformar una cultura en la cual los em-
ió
S
cual se fortalece a través de la definición de lineamien- pleados tengan la propiedad y la responsabilidad de ha-
izac
tos para interiorizar, adoptar e implementar el modelo de cer lo correcto para la organización. Éstos líderes deben
or
IE
riesgos dentro la organización, que incluye la aprobación contar con una visión de empresa de largo plazo, funda- ut
a
via
de una política de riesgos y la definición de la estrategia, mentada en el control de riesgos y deben ser capaces
con una visión clara de las implicaciones de riesgos en de gestionar equipos eficientes, con poder de liderazgo ye
pr
R
cada uno de los objetivos estratégicos. Al respecto, au- con pensamiento abierto al cambio52.
tores como Morago & Bell50, definen el compromiso de sin
la alta dirección como la capacidad de la organización
ciallas empresas entrevista-
De lo anterior, se evidencia en
e
para proteger de forma proactiva el valor de la misma y das la existencia de doseraproximaciones Top-Down y 53
d
avanzar en la estrategia, en la disyuntiva entre riesgo y 54
o m
Bottom-Up para implementar la gestión de riesgos:
c
so más importantes y determina los
oportunidad al considerar que el riesgo es una condición • Enfoque Top-Down: donde la alta dirección iden-
A
para hacer negocios y que gestionarlos permite entregar tifica losuriesgos
un mayor retorno a las partes interesadas. e l y procedimientos alrededor de la gestión
principios
iteriesgos, comunicándola a través de la organiza-
R
de
En la práctica51, las organizaciones reconocen como ele-
ermción.
p • Enfoque Bottom-Up: donde los riesgos son iden-
U
mento fundamental la participación de la alta dirección
en la cultura de riesgos, donde no sólo definen y aprue- s e tificados a través de la organización en todos los
o
T
ban los lineamientos y directrices, sino que se involucran
. N niveles, con el fin de proveer la foto más completa
y logran que estén inmersos en cada uno de los procesos os posible de todos los riesgos para que puedan ser
L
de la organización. En otras palabras, son apalancado- ad analizados y priorizados por la alta dirección, des-
v
er
res de la transformación de la cultura de riesgos a través
s
pués de un proceso de depuración y consolidación
U
re por parte de los mandos medios.
h os
eA,cB, C, D, 2016.
Smith & Hindson, 2012, p.60.
49
Morago & Bell, 2012, p.65

r
50
de
Entrevistas realizadas a empresas
51
Empresa B, (Entrevista s
Núñez, 2012, p.16
52
lo personal, 12 de agosto de 2016), empresa C, (Entrevista personal, 23 de agosto de 2016) y empresa D, (Entrevista personal, 19 de septiembre de
53
2016).
s
o personal,
d
Empresa A, (Entrevista
54
personal, 05 de agosto de 2016), empresa B, (Entrevista personal, 12 de agosto de 2016), empresa C, (Entrevista personal, 23 de agosto de 2016) y
T o
empresa D, (Entrevista 19 de septiembre de 2016).
30
©
O S
G ió n.
S
izac
or
E
t
uriesgos.
a
I
via
Estas dos aproximaciones pueden combinarse para lograr una visión holística del sistema de gestión de
re
p
R
¿POR QUÉ ES IMPORTANTE LA ALTA DIRECCIÓN EN LA CULTURA DE RIESGOS?
s in
La alta dirección es clave porque sus principios y actuaciones contribuyen en gran imedida
c al a definir la cultura de
e er , lasniveles
riesgos de la organización. Adicionalmente, son un factor de motivación a los diferentes a través del ejemplo.
d
Otra aproximación es realizada por organizaciones como Protiviti y Ernst & Young
55
om 56
cuales ratifican que la alta
c
so se promueve un entorno que fomente el
dirección es responsable de la definición y articulación de los valores en que se basa la cultura de riesgos, donde se
A
indica que todos los empleados son responsables de su comportamiento, u
lla organización.
desafío, el establecimiento y la adhesión para el apetito de riesgo dee
ite
R
¿CUÁL ES EL PAPEL DE LA ALTA DIRECCIÓN rEN m LA CULTURA DE RIESGOS?
p e
U
e
o s en riesgos e integrar los riesgos en todos los sistemas de
La alta dirección debe promover un pensamiento basado
T
gestión presentes en las organizaciones. Es porNesta razón, que a continuación, en la figura seis (6) se mencionan
s.
algunos factores de éxito en el rol de la altaodirección
L
en la gestión de riesgos de la organización:
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo
o p.9.

Ernst & d
55
Protiviti, 2014,
o
©T
56
Young, 2014, p.1.
31
S
O
Figura 6 FACTORES DE ÉXITO EN EL ROL DE LA ALTA DIRECCIÓN
G
Establecer un proceso de retroalimentación constante que ión.
S
impulse la evolución permanente de la gestión de riesgos.
izac
or
IE
Equilibrar la toma de riesgos y la creación de valor en la
ut
organización, a través de la declaración del apetito de riesgo. a
evia
pr
R
Trabajar de forma conjunta la gestión de
riesgos y la toma de decisiones. sin
cial
e
Comunicar a la organización la estrategia de riesgos
d so
com
er a
través de los planes de negocio y planes estratégicos.
A
u
lde riesgos,
Escuchar todos los puntos de vista e
tela organización,
R
originados en cualquier nivel ide
de modo que la información mde riesgos (positiva o
roculta
p e
U
negativa) no se mantenga o pase desapercibida.
s e
o
T
Definir explícitamente la cultura de riesgo
deseada y los valores
s. N necesarios para alcanzarla.
do el riesgo, el capital y la
L
Relacionar claramente va
estrategia con e larplanificación organizacional.
es
U
Vincular los o s r
objetivos de la organización y la gestión de riesgos.
h
C
rec
s de de los autores con información tomada de Morago & Bell y de las entrevistas realizadas .
Fuente: elaboración 57 58
s lo
Morago & Bell,o

d 2012, p.67
57
58
T o
32
©
O S
G
Por último, otras prácticas evidenciadas se relacio-
ón.
nan con la labor de capitalizar y entender las lecciones
i
S
izac
aprendidas a través de la potencialización de fortalezas
or
y aprovechamiento de las oportunidades, y de la defini-
IE
En la práctica59, se ha evidenciado que es importante ut
ción de planes de mejora sobre las debilidades y miti-
a
via
la definición e involucramiento de líderes o gestores de gación de las amenazas, monitorear la evolución de los
e
riesgos en el tiempo, participar en la definición de los
pr
riesgos como aliados estratégicos del negocio y empo-
R
riesgos estratégicos y desarrollar una estrategia de cul-
derarlos para la toma de decisiones, generación de res-
s in
tura acompañada del compromiso de la alta dirección.
ial
puestas y rendición de cuentas. Además, el compromi-
En síntesis, cuando la alta dirección empieza a encon-
so de la alta dirección se evidencia cuando el discurso
c
e er
organizacional es realizado en términos de riesgos, en trarle sentido y valor agregado a la gestión de riesgos,
d om
informes anuales de resultados, informes directivos, co- se facilita el proceso de interiorización de la cultura de
c
so
riesgos en la organización.
A
municaciones internas, entre otros.
u
l EVALUAR EL COMPROMISO DE LA
Otros aspectos que se han identificado en las organiza- ¿CÓMO e
ite DIRECCIÓN EN LA CULTURA DE RIES-
R
ciones entrevistadas y que han ayudado a transformar la ALTA
m
cultura de riesgos son la definición de espacios formales rGOS?
en los comités directivos para realizar ejercicios de va-p
e
U
sede Para evaluar el compromiso de la alta dirección en la
o
loración de riesgos, el establecimiento de directrices
T
riesgos en políticas corporativas y en el códigoN
gobierno con el objetivo de incorporarlas o
. de buen cultura de riesgos, se presenta a continuación en la tabla
s las agen- tres (3) una lista de chequeo para que sea diligenciada.
L
en
ad
rv
das de trabajo de la dirección, y el involucramiento en Aquellas consideraciones que se respondan de manera
se definancieras.
la planeación estratégica de escenarios riesgos para negativa, deben ser tenidas en cuenta como actividades
U
re
realizar planes de negocio y proyecciones a desarrollar, orientadas al fortalecimiento del compro-
o s miso de la alta dirección en la cultura de riesgos.
h
C
rec
s de
s lo
do

o
©T
59
Ibid.
33
S
O
Tabla 3
G
LISTA DE CHEQUEO PARA EVALUAR EL COMPROMISO DE LA ALTA DIRECCIÓN
PREGUNTAS SI
ión. NO
S
COMPROMISO DE LA ALTA DIRECCIÓN
izac
or
1 ¿La alta dirección participa en el establecimiento de los lineamientos para la gestión de riesgos?
IE
ut
a
2 ¿La alta dirección promueve la transparencia en la información de riesgos?
via
3 ¿La alta dirección demuestra con sus actos la importancia de gestionar riesgos?
e
pr
R
4 ¿La alta dirección gestiona los riesgos para el logro de los objetivos estratégicos?
5 ¿La alta dirección gestiona los riesgos soportados en los valores de la organización?
sin
6 ¿La alta dirección utiliza un lenguaje de riesgos en los discursos organizacionales?
cial
e er
7 ¿La información de riesgos emitida desde la alta dirección es clara, consistente, oportuna y se refuerza de manera activa?
d com
8 ¿La alta dirección tiene una visión clara de la cultura de riesgos que quiere para la organización y de las consecuencias del comportamiento de esta cultura?
so
A
¿La alta dirección promueve a través de comportamientos, acciones y palabras, una cultura de riesgos basada en el intercambio abierto de puntos de vista, el
u
9
desafío y el debate?
10
el
ite
¿La alta dirección es sujeto de las mismas expectativas de integridad, gobierno de riesgo y cultura de riesgo que el resto de los empleados?
R
rm
11 ¿La alta dirección evalúa que el discurso de riesgos en los mandos medios sea consistente con el definido por ellos para toda la organización?
pe
U
12 ¿La alta dirección monitorea sistemáticamente la prontitud y efectividad con que los riesgos son supervisados y controlados por la organización?
s e
¿La alta dirección identifica las deficiencias en los lineamientos de la gestión de riesgos, con el objetivo de detectar las causas y definir planes de acción que
No
13
T
permitan corregir y fortalecer la cultura de riesgos de la organización?
.
os
14 ¿La alta dirección supervisa y evalúa sistemáticamente la cultura de riesgo y guía proactivamente cualquier debilidad o preocupación?
L
d
va
15 ¿La alta dirección evalúa y comunica las lecciones aprendidas de eventos pasados relacionados con la gestión de riesgos?
r
se
16 ¿Los éxitos y fracasos son vistos por la alta dirección como una oportunidad para mejorar la cultura de riesgos de la organización y para promulgar cambios
U
reales para el futuro?
r e
s
Fuente: elaboración de los autores a partir de la información del FSB 60, Protivit 61, Ernst & Young 62, Morago & Bell 63, Smith & Hindson 64, Núñez 65 y de las entrevistas realizadas 66.
h oinglés Financial Stability Board. Organización internacional que monitorea y realiza recomendaciones sobre el sistema financiero
c
re internacional. [Online] Disponible en http://www.fsb.org/about/
FSB, 2014, pp.6-7. FSB, por sus siglas en
60
global, al promover la estabilidad financiera
Ernst & Young, 2014, p.1. d

Protiviti, 2014, p.9.
61
e
s
62
Morago & Bell, 2012, o

63
l p.67.
s p.60.
o
Smith & Hindson, 2012,
64
d a empresas A, B, C, D, 2016
Núñez, 2012, p.16.
65
T o
66
34
©
O S
G ión.
S
L a alta dirección es fundamental en la cultura de ries-
izac
or
gos, ya que es un apalancador del cambio de la visión
IE
del riesgo. Autores como Morago & Bell67, indican que el ut
a
via
compromiso de la alta dirección debe estar involucra-
do en la cultura y en las declaraciones de valores, las e
pr
R
medidas de desempeño y el establecimiento de objeti-
vos estratégicos. Igualmente, el FBS68 concluye que el sin
tono apropiado y el nivel de comportamiento de la alta
cial
e er
dirección es una condición necesaria para la promoción
d om
de una cultura de riesgos y para garantizar que ésta se
c
so
encuentra inmersa dentro de la organización.
A
l u
No obstante, el comportamiento en los mandos medios e
ite
R
también es importante para el fomento de una cultura
de riesgos sólida, ya que es un canal a través del cual rm
las prácticas de cultura de riesgo se conectan en cas-pe
U
cada al final de una organización. Los empleados debajo s e
No
T
de la cadena de mando, observarán a la alta dirección
para ver cómo se vive la cultura de riesgos s .
oadquiere
y cuánto se
L
ha permeado en toda la organización, lo cual ad un
v
valor fundamental debido a que se usa
s er para tomar deci-
U
siones que protejan los activos y el
re crecimiento futuro de
la misma.
hos
C
rec
s de
lo
s 2012,
Morago & o

d Bell, p.67
67
68
T o
FSB, 2014, p.6
© 35
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
s in
GOBIERNO PARA ial
LA
c
d e
GESTIÓN DE oRIESGOS
c
m
er
so que involucra la asig-
A
E e e
u
l segundo aspecto fundamental en la cultura de riesgos es el gobierno
l
nación de roles y responsabilidades para los miembros de la organización relacionados con la
R
gestión de riesgos. El gobierno es fundamental para la cultura it de riesgos en el sentido que ayuda
rm en los empleados para responder
a crear conciencia y actitudes de compromiso y responsabilidad
de forma acertada a los riesgos a los que se enfrentape
U
la organización. Durante el recorrido del
se
capítulo, se define el concepto de gobierno y su importancia para la cultura de riesgos, se presenta
o
T
una propuesta de estructura básica de gobierno
. N que
con sus roles y responsabilidades para la gestión
o s
de riesgos y una lista de chequeo con preguntas permiten identificar oportunidades de mejora
L
para el gobierno de riesgos. a d
v
s er
U
s re
ho
C
c
ere
s d
s lo
odo
©T
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
cial
d e so
com
er
A
l u
e
ite
R erm
p
U
se
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo
odo
©T 37
S
G O ión.
S
ac
DEFINICIÓN
iz
or a la
E
Una estructura de gobierno de riesgos hace referencia a la asignación de roles y responsabilidades que incluye
t
69
a u
I
alta dirección activa y comprometida, el equipo de gestión de riesgos con experiencia, centralizado e independiente
de las líneas de negocio, y las áreas tácticas y operativas que acompañan la gestión en la organización.
viaAl respecto,
instituciones como Ernst & Young , The Financial Stability Board y Protiviti indican que una cultura e
r de riesgos ne-
p
70 71 72
R
n
siniveles
cesita un gobierno con prácticas claramente definidas y entendidas, establecer funciones y responsabilidades en la
gestión de riesgos para la alta dirección, la dirección de riesgos y los empleados de todos llos con el objetivo
c ia
e er de decisiones basadas en
de comprender los valores organizacionales y el enfoque de riesgos, ser capaces de desempeñar los roles definidos,
d
y ser conscientes que todos son responsables por sus acciones con relación a la toma
riesgos. De modo similar, las funciones de cumplimiento, auditoría interna y controlc om interno deben tener claramente
o
A
delineadas las responsabilidades en cuanto al seguimiento, identificación, s gestión, mitigación y escalamiento de los
riesgos .
73
l u
e
te
R
La eficacia de las organizaciones para responder a los problemas,i eventos u oportunidades puede ser influenciada
por su gestión de riesgos. Un efectivo gobierno de riesgos, aetravés rm del uso de medidas objetivas y una mayor parti-
p las áreas y generar el reporte oportuno de los riesgos.
U
cipación en las decisiones, debe enfocar la atención en todas
s e
Razón por la cual, la estructura de gobierno puede o
T
ser vista como la columna vertebral de una administración de
riesgos efectiva, cuyo objetivo debe ser mejorar la
s. Ncapacidad de la organización para tomar mejores decisiones ba-
dolas siguientes preguntas claves que se presentan en la figura siete (7):
L
sadas en riesgos y donde se tengan en cuenta
rva
e
es
U
r
hos
C
rec
de

69
70
l s
Ernst & Young, 2014, o p.1.
71
Protiviti, 2014, o
FSB, 2014, p.2.
s
d p.10.
72
FSB, 2014,opp.
©T
73
7-8.
38
O S
G
Figura 7
ión.
S
izac
PREGUNTAS CLAVES DEL GOBIERNO DE RIESGOS tor
E
au
I
via
yla Toleran re
p
R
os
sgo de recurs cia
ie
R ión al rie
sg s in
ial
a c o
ign
c
e
as
er
d ¿Cuándo reducir
so
c om
A
¿Dónde invertir? la exposición?
u
o
mi sg
el
asu rie
La de
ite
r
R
sea de
res l ries
rm
e de ima
pon go
p e
que sad máx
sabi
s e
¿Cuánto es el o ¿A quién poner
lidad
N
id
riesgo a soportar? . a cargo?

Capac
s
do
L
rv a
e
es elaboración de los autores con información de Morago & Bell .
U
r
osFuente: 74
C
rec
s de
lo

dos
74
To
Morago & Bell, 2012, p.66.
© 39
S
Además, la alta dirección necesita establecer los comi-
G O
II. Un marco de políticas y un conjunto de normas de ne-
ión.
S
ac
tés adecuados para tomar decisiones basadas en riesgo, gocio:
así como definir responsabilidades claras y una forma-
iz
Un segundo elemento para la eficacia de la gestión de
or
IE
lidad en torno a las decisiones claves, que puede ser lo-
t
riesgos es un “libro de reglas” o un conjunto de princi-
u
grado a través de: a
pios que describa la forma en que se deben gestionar
via
los riesgos a través de la formalización de una política
e
I. Un marco de delegación efectiva de autoridad y/o es-
pr
articulada con las normas de negocio que explican con
R
tructura de los comités: in
más detalle la forma de operar y gestionar los riesgos y
s
ial
La delegación y las disposiciones del comité no sólo de- los controles de los procesos claves75.
c
e er
ben traer rigor al proceso de toma de decisiones, sino
d
también permitir el correcto comportamiento, la cultura, ¿POR QUÉ ES IMPORTANTE
o m EL GOBIERNO
la agilidad y la rapidez de la respuesta para las comuni- EN LA CULTURA
o c DE RIESGOS?
A
usriesgos es importante debido a que per-
caciones de riesgos.
Para asegurar la alineación y buen compromiso, cual- El gobierno lde
ee
R
quier comité de discusión formal (comité de auditoría, mite latasignación
comité de riesgos, comité de cumplimiento, comité de gos m
i de funciones para la gestión de ries-
a todo nivel en la organización, al asegurar que todos
presidencia, entre otros), requiere una serie de perspec- e r
ptengan claro lo que se espera de ellos y su comporta-
U
se
tivas, y por lo tanto la estructura de los miembros debe miento para responder de forma asertiva a las amena-
No
T
ser bien pensada. Los procesos de gobierno diseñados zas. Así, responsabilidades como la pertenencia a un co-
.
os
deben tener un enfoque acorde con la estructura organi- mité de riesgos, la propiedad de riesgos o la autoridad
L
d
zacional e incluir un proceso de escalamiento eficaz, por en la toma de decisiones no deben estar simplemente
rva
lo general basado en el apetito de riesgo propio de cada escritas dentro de un manual de funciones, deben tener
se
U
organización. Por último, la estructura de gobierno debe
re
permitir un buen nivel de desafío y la apertura mediante
vida a través de las actuaciones de los empleados para
s transformar la cultura de riesgos.
ho
C
el establecimiento apropiado de retroalimentación, para
c
re
que cualquier persona pueda participar.
e
s d
s lo
do

o
©T
75
Ibid.
40
O S
G ió n.
S
izac
or
E
En la práctica se evidencian las siguientes estrategias ESTRUCTURA DEL GOBIERNO DE RIESGOS
t
76
a u
I
en gobierno de riesgos que permiten una cultura de CON ROLES Y RESPONSABILIDADES
riesgos adecuada:
via
• Constituir un comité de riesgos que analice y su- Cada organización tiene su propia visión e
r del negocio y es
p
R
pervise los riesgos desde diferentes ópticas para única en sus procesos, filosofía n
si esta información para
y estructura, es por esta
tomar decisiones claves. razón que se debe recopilarl toda
cia de riesgos que mejor se
e
• Definir roles, responsabilidades y entregables definir el esquema de gobierno
er una fórmula general debido a
d
para cada proceso de negocio. adapte, ya que no existe
c om
• Determinar por el comité de riesgos una plan- que los roles y responsabilidades varían de una organi-
tilla de decisiones y la información mínima reque- zación a otra yodependen del estilo de dirección. No obs-
A
rida para las decisiones claves, establecida por el tante, loslautores us de la cartilla proponen a continuación
en la e e ocho (8), unos niveles mínimos que se deben
R
comité de riesgos.
it figura
m
• Seleccionar líderes o gestores de riesgos como tener en cuenta para definir la estructura de gobierno,
aliados estratégicos del negocio al ser los ojos del erjunto con las responsabilidades para cada uno de los ni-
p veles.
U
área de riesgos en los procesos. e
s de
o
T
• Detallar procesos de escalamiento de eventos
riesgo.
s.N
o insumos
L
• Utilizar los informes de riesgos como
a
para la ejecución del proceso devauditoría basada
d
s er
U
en riesgos.
s re
ho
C
c
ere
s d
s lo
dorealizadas a empresas A, B, C, D, 2016.

o
©T
76
Entrevistas
41
S
O
Figura 8
G
ESTRUCTURA DE GOBIERNO DE RIESGOS
ión.
S
izac
or
E
ESTRATÉGICO
u t
a
I
Definiciones y
aprobaciones Alta v ia
e
A
dirección pr
Una estructura de gobierno
R
U
se debe n
s i complementar con la
D
ia l de roles y responsa-
definición
I
c
e
bilidades para cada uno de los
TÁCTICO r
eniveles definidos. Los autores
T
d
Incorporación m
o de la cartilla proponen las si-
O
de criterios de
o c
A
R
Administración s guientes responsabilidades
lu
gestión de riesgos
Í
basadas en la teoría y en la
de riesgos e
ite
R
práctica para la alta direc-
A
80
r m ción en la figura nueve (9), la
p e administración de riesgos en
U
OPERATIVO
Adopción s e la figura diez (10), las unidades
o de negocio y líderes de riesgo
T
del sistema N
. Negocio en la figura once (11) y audito-
Unidades de s
o riesgos
L
y líderes a dde ría en la figura doce (12):
e rv
es
U
r
h os
C
Fuente: elaboración de los autoresc
r e con base en COSO , PWC & Ambrosone y las entrevistas realizadas .
77 78 79
s de
COSO, por sus siglas o
PWC & Ambrosone, l2007, pp.18-19
77
en inglés Committee of Sponsoring Organizations of the Treadway Commission, 2013.
os a empresas A, B, C, D, 2016.
78
Informaciónd
79
80
T o recopilada de las entrevistas realizadas a empresas A, B, C, D, 2016 y de instituciones como COSO y PWC.
42
©
O S
G
Figura 9 Definir y aprobar
ión.
S
ac
los lineamientos
de riesgo
iz
or
Realizar
IE
seguimiento a
los eventos de
Entender y
ut
alto impacto,
gestionar los
a
via
riesgos
cuando sea
necesario
e
pr
R
s in
cial
e
Hacer
ele
r
Aprobar
d
seguimiento al RESPONSABILIDADES mpolítica de
apetito y la
DE LA ALTA DIRECCIÓN co gestión de
sistema de
so
gestión de
A
riesgos riesgos
l u
e
ite
R e rm
p
U
Proveer
los recursos
necesarios para s e Monitoreo y
No
aseguramiento
T
el funcionamiento de la gestión
de la gestión
de riesgos.
s. de riesgos
do
L
Fomentar
rv a una cultura
frente al riesgo
e
es
U
r
h os
C
r ec
Fuente: elaboración de los autores con base en COSO81, PWC & Ambrosone82 y las entrevistas realizadas83.
s de

s lo
dorealizadas2007,
81
COSO, 2013.
82
PWC & Ambrosone, pp.18-19.
o
©T
83
Entrevistas a empresas A, B, C, D, 2016.
43
S
G O
Figura 10
Divulgar y
promover la
Reportar e
interactuar
ión.
S
cultura de con la alta
dirección
izac
or
riesgos
IE
ut
Mantener Acompañar a a
via
actualizado el los dueños de
inventario de
e
pr
proceso en la
R
riesgos identificación
in
de riesgos
s
RESPONSABILIDADES
c ial
Actualizar la
política de
DE LA ADMINISTRACIÓN
DE RIESGOS
d e
(CRO Y SU EQUIPO so gestión
c
er
m que
oelAsegurar
A
84 alcance de la
gestión de
riesgos cuando
se requiera DE RIESGOS) el u va más
de riesgos
allá del
ite
R
cumplimiento
normativo
e rm
p
U
Acompañar a la
s e Definir una
o
organización y ase-
T
. NProporcionar
gurar la aplicación metodlogía para la
de las metodologías gestión de riesgos,
para la gestión o
y mecanismos s común a toda la
L
de riesgos. d
orientación y organización
rv a capacitación en
s e la gestión de
U
r e riesgos
h os
C
r ec
Fuente: elaboración de los autores con base en COSO85, PWC & Ambrosone86 y las entrevistas realizadas87.
s de
o Chief Risk Officer o Director de Riesgos.

84
l
Por sus siglas en inglés
os 2007,
85
COSO, 2013.
d
86
o
©T
87
44
O S
G
Colaborar y
n.
comunicar los Incorporar la
ó
Figura 11 riesgos de acuerdo gestión de
i
S
ac
con los niveles de riesgos en el
escalamiento y día a día
iz
reporte
or
IE
ut
Escalar oportu- Comprender a
via
namente todos responsabilida-
los eventos de des y expectati-
e
riesgo
pr
R
vas en la ges-
s in tión de riesgos
c ial
e er
RESPONSABILIDADES
d
Participar
om Generar
en las capacita- DE LAS UNIDADES
ciones, ejercicios DE NEGOCIO Y c
so
A
y pruebas
programadas LÍDERES DE RIESGO
l u discusiones
de riesgos
para la gestión
e
ite
R
de riesgos
e rm
p
U
Monitorear los
s e
riesgos y
o Gestionar
T
administración . N
reportar a la los riesgos
de riesgosos
conscientemente
L
Identificar y
a d valorar los
rv riesgos
e
es
U
r
h os
C
r ec
Fuente: elaboración de los autores con base en COSO88, PWC & Ambrosone89, y las entrevistas realizadas90.
s de

s lo
dorealizadas2007,
88
COSO, 2013.
89
o
©T
90
45
S
O
RESPONSABILIDADES DE AUDITORÍA
G
Figura 12
ión.
S
izac
or
IE
Proporcionar
ut
aseguramiento
a
via
sobre la efectividad
del programa
e
pr
R
de riesgos
sin
cial
Recomendar
acciones de
d e Evaluar los
c
controles
so de
er
oymlos
A
mejoramiento planes
u
elfrente al riesgo
para el proceso de respuesta
ite
gestión de riesgos
R erm
p
U
s e
o
T
Evaluar
s.N
el cumplimiento
o riesgos
L
de la política de
ad de forma
v
s er independiente
U
s re
ho
C
c
e re
Fuente: elaboración de los autores con base en COSO91, PWC & Ambrosone92, y las entrevistas realizadas93.
s d

s lo
do 2007,
91
COSO, 2013.
92
o
©T
93
46
O S
G
Dentro de cada uno de los niveles de la estructura de gobierno, pueden ser definidos algunos comités como los que
se mencionaron anteriormente. Algunos de ellos se detallan a continuación en la tabla cuatro (4):
ión.
S
izac
or
E
Tabla 4
u t
a
I
COMITÉS DE APOYO A LA ESTRUCTURA DE GOBIERNO DE RIESGOS evia
pr
R
NIVEL DE LA
s
PRINCIPALESin
ial
ESTRUCTURA COMITÉ A CREAR RESPONSABILIDADES
DE GOBIERNO
c
d e er gestión de riesgos estraté-

om del negocio.
Velar por una adecuada
c
gicos y críticos
so las tablas de valoración de probabilidad e
A
u
Aprobar
l impacto de los riesgos.
Alta dirección Comité de presidencia
e
ite Aprobar las definiciones de apetito, tolerancia y
R e rm capacidad de riesgo.
p
U
se
o
T
Analizar y supervisar de forma periódica los
Administración
de riesgos Comité. deN riesgos riesgos desde diferentes ópticas para tomar
o s decisiones claves.
L
ad
v
s er Monitorear el sistema de control interno y la
U
re gestión integral de riesgos.
Supervisión – auditorías Comité de auditoría
ho
C
Definir recomendaciones para los riesgos críticos
rec del negocio.
s de elaboración de los autores a partir de la información obtenida en las entrevistas .

Fuente:
lo
94
s
do

o
©T
94
Ibid.
47
S
G O ión.
S
iz ac
or
E
u t
esaautónoma
I
Como buena práctica se evidencia que el área de riesgos depende directamente de la alta dirección y a
i
95
e interactúa activamente con todos los niveles de la organización. Se resalta la importancia de empoderar
r ev a los em-
pleados a través de la creación de estructuras de liderazgo, no sólo desde la toma de decisiones p
R
basadas en riesgos
sino también desde la respuesta y la rendición de cuentas. En este orden de ideas, todas las in
s áreas son responsa-
bles de su gestión y el CRO y su equipo son facilitadores que ofrecen un apoyo metodológico a l
i para que la gestión de
c
e
riesgos funcione de manera sistemática dentro de la organización. Adicionalmente,er se debe alinear la gestión con
d olamparticipación
los sistemas integrados que existen al interior de la organización como apalancadores
96
de la transformación de la
cultura de riesgos. Es importante definir la estructura del comité de riesgos con o c de una amplia gama
A
de áreas del negocio, con conocimiento y experiencia para brindar una u s
visión holística al análisis de la gestión de
riesgos. e l
ite
R
¿CÓMO EVALUAR EL GOBIERNO EN LA CULTURA
e rmDE RIESGOS?
p
U
e
s lista de chequeo para evaluar el gobierno en la cultura
A continuación, se presenta en la tabla cinco (5) la siguiente o
T
de riesgos. Aquellas consideraciones que se respondan . N de manera negativa deben ser tenidas en cuenta como acti-
s
do para el fortalecimiento de la estructura de gobierno:
L
vidades a desarrollar al interior de la organización
rv a
e
es
U
r
h os
C
r ec
s de

s lo
do como COSO, COBIT, continuidad del negocio, normas de calidad, ambiental, seguridad ocupacional, entre otros.
95
Empresa B, (Entrevista personal, 12 de agosto de 2016), empresa C, (Entrevista personal, 23 de agosto de 2016) y empresa D, (Entrevista personal, 19 de septiembre de
2016).
Sistemas o
©T
96
integrados
48
O S
G
Tabla 5
ión.
S
izac
LISTA DE CHEQUEO PARA EVALUAR EL GOBIERNO DE RIESGOS
r
SI to NO
E
PREGUNTAS
au
I
via
GOBIERNO DE RIESGOS
1
re
¿La estructura de gobierno definida en la organización incluye las unidades de negocio y líderes de riesgo, área de riesgos y auditoría?
R
in
2 ¿La responsabilidad de la gestión de los riesgos claves del negocio está claramente definida a todos los niveles de la organización?
s
ial
3 ¿Se establecen responsabilidades claras con relación al seguimiento, la notificación y la respuesta a los riesgos a través de todos los niveles en la organización?
c
er
e
4 ¿Los procesos de escalamiento son establecidos para apoyar la gestión de riesgos?
om
d
5 ¿La rendición de cuentas para la gestión de riesgos está alineada con las responsabilidades de los procesos claves del negocio y objetivos de la organización?
c
¿Las responsabilidades de riesgos están establecidas en el manual de funciones de los administradores?
so
6
A
7
l u
¿Existen comités que apoyen la estructura de gobierno definida para la gestión de riesgos?
e
ite
¿Los comités creados para la gestión de riesgos, tiene claramente definidas sus responsabilidades?
R
8
rm
9 ¿Los comités creados en la organización cuentan con la participación de un equipo interdisciplinario con conocimiento y experiencia en riesgos y con capacidad
para tomar decisiones?
pe
U
10 ¿El área de riesgos depende directamente de la alta dirección?
se
o
11 ¿El área de riesgos es independiente y autónoma para la toma de decisiones?
T
12
s.N
¿Los empleados cuentan con mecanismos para elevar y reportar las preocupaciones sobre las prácticas de riesgo?
do
L
13 ¿Los empleados conocen los procesos de escalamiento de eventos de riesgo?
14
rva
¿Los empleados utilizan los mecanismos de escalamiento relacionados con los eventos de riesgo?
e
es
U
¿Las áreas de control tienen claramente delineadas las responsabilidades para la gestión de riesgos?
r
15
os
Fuente: elaboración de los autores a partir de la información del IRM 97, el FSB 98, Protiviti 99, PWC & Ambrosone 100, Morago & Bell 101, Smith & Hindson 102 y las entrevistas realizadas 103.
C
ec

97
IRM, 2012, p.60.
e r
Protiviti, 2014, p.10. d
98
FSB, 2014, pp.6-7.
99
s
o 2007, pp.18-19.
Morago & Bell,l2012, p.67.
100
PWC & Ambrosone,
101
s 2012, p.60.
orealizadas
d
Smith & Hindson,
102
103
T o
© 49
S
G O ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
cial
d e so
com
er
A
l u
e
ite
R erm
p
U
se
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo
odo
50
©T
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
E ial
n síntesis, una estructura de gobierno para la administración de riesgos, requiere de una colaboración armonio-
c
e er
sa y comprometida de la alta dirección, un área de gestión de riesgos que apoye a las unidades de negocio en el
d
proceso de entendimiento e integración de la metodología y lineamientos para la administración de riesgos, y en el
com
fortalecimiento del conocimiento de sus procesos para crear actitudes de compromiso frente a los retos que enfren-
so
A
ta la organización para transformar la cultura de riesgos.
l u
El papel del administrador debe tender hacia la consultoría y el soporte, en un rol de coordinador, educador y acti-
e
ite
R
vador y sentirse responsable de la comprensión de los riesgos en su parte del negocio y mantener a la organización
rm
dentro de los límites de riesgo definidos. Y los empleados deben ser responsables por las debilidades de los contro-
e
les identificadas en sus propias áreas y en la organización como un todo. El hecho de que exista un área de riesgos,
p
U
e
no exonera a las otras áreas de que se preocupen por la gestión de los mismos.
s
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo
odo
©T 51
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
HABILIDADES Y RECURSOS ial
c
PARA LA GESTIÓN DE oRIESGOS
d e c
m
er
so por dos conceptos lla-
A
E e
u
l tercer aspecto fundamental en la cultura de riesgos está compuesto
l como las capacidades de
mados habilidades y recursos para la gestión de riesgos, entendidos
te y los recursos necesarios que lo
R
i
las personas que interactúan en el proceso de gestión de riesgos
104
e rmque
apoyan . Durante el recorrido del capítulo, se definen ambos conceptos y su importancia para la
p
U
cultura de riesgos, se comparten las habilidades específicas deben tener aquellos empleados
relacionados con la gestión de riesgos, a través de e
s la propuesta de un perfil mínimo requerido.
o
T
. NFinalmentepara
Adicionalmente se revisan aquellos recursos necesarios la gestión de riesgos que fortalecen
o s
la cultura, vistos en la práctica empresarial. se presenta una lista de chequeo con
L
a d
preguntas que permiten identificar oportunidades de mejora orientadas al fortalecimiento de las
v
s er
habilidades y recursos para la gestión de riesgos.
U
s re
ho
C
c
ere
s d
s lo

o do 2012, p.18.
©T
104
Hindson,
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
cial
d e so
com
er
A
l u
e
ite
R erm
p
U
se
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo
odo
©T 53
S
4. HABILIDADES Y RECURSOS PARA LA GESTIÓN DE RIESGOS
O
DEFINICIÓN La necesidad de desarrollar las competencias técnicas
y gerenciales, requiere que el equipo de gestión de ries-
G
n.
Las habilidades de riesgos se refieren a las capacida- gos esté en constante actualización de sus habilidades
des de las personas que interactúan en el proceso de dentro de la organización. Las competencias técnicas y
ió
S
gestión de riesgos105 en cualquier nivel de la organiza- blandas se pueden aprender, y deben estar en equilibrio
izac
ción que incluye aspectos como formación, competen-
or
y ser complementarias. Por otro lado, contar con las he-
IE
cias y experiencia orientadas al desarrollo de su rol. En ut
rramientas adecuadas para las necesidades y estilo de
a
via
otras palabras, son conductas y maneras de proceder cada organización, facilita la gestión de los riesgos, de-
mediante las cuales se obtiene un resultado al integrar e
bido a que estandariza el proceso al definir estructuras
pr
R
los conceptos saber (conocimiento), poder (competen- comunes para el registro de la información de riesgos,
cias) y querer (actitudes). La gestión de riesgos también s in
unifica políticas de escalamiento y consolidación de in-
requiere de recursos que apoyen su labor, tales como:
cial
formación, permite que los empleados se mantengan en
e er
procesos, herramientas, políticas, planes de comunica- constante búsqueda y actualización de nueva informa-
d om
ción106 y capacitación107, entre otros108. ción que aporte al mejoramiento continuo de la gestión
c
so
de riesgos.
A
¿POR QUÉ SON IMPORTANTES LAS HABI-
l u
LIDADES Y RECURSOS EN LA CULTURA DE HABILIDADES
e e ESPECÍFICAS PARA LA GES-
R
RIESGOS? TIÓNitDE RIESGOS QUE TRANSFORMAN LA
e rm
CULTURA
El área de riesgos, al igual que las áreas clave y de apo-e p
U
yo al negocio requieren empleados con conocimientos o s Como resultado del trabajo de campo realizado en las
T
específicos para el cumplimiento de sus objetivos, . N los organizaciones , se han identificado los atributos gene-
109
s
do y di- rales
L
cuales deben avanzar de acuerdo con la evolución que componen el perfil de las personas que hacen
namismo tanto del entorno como de la organización.
rva parte del área de riesgos y de los líderes de riesgo de
se
U
las unidades de negocio. Estos atributos se han clasifi-
r e cado en formación, experiencia, competencias técnicas y
o s blandas, específicas para el desarrollo de la gestión de
h
C
rec riesgos.
de

105
106
Ibid.
l s
o siete (7).
Desarrollado en el capítulo
os2011, p.14.
107
Desarrollado en el capítulo ocho (8).
108
o d
NTC ISO 31000,
T
109
54
©
En la tabla seis (6), se presenta el resultado de lo evidenciado en la práctica, no obstante, se debe tomar en conside-
ración aquellos elementos que sean aplicables de acuerdo con la estructura y alcance que se quiera dar al área de
O S
G
n.
riesgos y de las necesidades y recursos con los que cuenta la organización.
ió
S
ac
Tabla 6
PERFIL DE LA ORGANIZACIÓN PARA LA GESTIÓN DE RIESGOS riz

o
IE
ALTA ADMINISTRACIÓN DE RIESGOS
UNIDADES DE NEGOCIOau
t
via
CONCEPTOS DIRECCIÓN CRO ÁREA DE Y LÍDERES DE RIESGO
CHIEF RISK OFFICER RIESGOS
re
p
R
Específica de su Estudios de postgrado
cargo. Estudios de postgrados.
s in afines con la gestión de
ial
Certificaciones en riesgos. riesgos. Capacitaciones internas en
Formación Capacitaciones gestión de riesgos.
c
e
internas/externas en Capacitaciones internas en Capacitaciones internas.
er
gestión de riesgos. gestión de riesgos.
d
Certificación en Riesgos.
com
so
A
Específicas de su
u
cargo (de acuerdo al Mínimo 5 años de experiencia Mínimo 2 años de expe- Conocer ampliamente el pro-
l
Experiencia negocio/sector/in- en cargos similares/afines a riencia en áreas de ries- ceso del cual lidera la gestión
dustria).
e
CRO. gos. de riesgos
ite
R erm Destreza numérica. Equipo multidisciplinario
U
con conocimiento en
Competencias
cargo. s e
Específicas de su Conocimientos en áreas admi-
nistrativas.
áreas como finanzas,
actuaría, sistemas, legal, Específicas de su cargo.
o
Técnicas
T
riesgos, estadística, entre
.N
(de acuerdo al nego- Visión holística del negocio. otros. (de acuerdo al negocio/sec-
s
cio/sector/indus- tor/industria).
do
L
tria). Conocimiento de diferentes Conocimiento del nego-
rva metodologías para la gestión

de riesgos.
cio.
e
es
U
r Liderazgo.
os
Liderazgo. Capacidad de análisis. Capacidad de análisis.
h
Toma de decisiones.
C
Toma de decisiones. Comunicación oral y Capacidad de análisis.
ec
Competencias Trabajo en equipo. Planificación. escrita. Comunicación.
r
Blandas Comunicación. Comunicación. Adaptabilidad al cambio. Específicas de su cargo.
de
Orientación al logro. Adaptabilidad al cambio. Trabajo en equipo.
Entre otras. Tomar decisiones y desarrollar Compromiso.
los acciones bajo presión.
os Fuente: elaboración de los autores con base en las entrevistas realizadas 110.
Ibid. d

o
©T
110
55
S
G O ión.
S
izac
or
E
u t
a
I
El éxito de un área de riesgos se basa en el complemento de las competencias técnicas y blandas, combinadas
via con
la formación y experiencia de cada miembro del equipo. Es importante reconocer que la definición del e perfil del área
rdebido
p
R
de riesgos debe ser una labor conjunta con el área de talento humano y arquitectura empresarial,
in a que son
s orientar al CRO y a la
un apoyo importante por su conocimiento de la estrategia del negocio y conocen la forma de
a
alta dirección en el diseño y estructuración de los perfiles del cargo para los integrantesi del equipo de riesgos.
l
c
e er
Como aporte fundamental, es importante destacar que la suma de esfuerzos o la contribución que se pueda lograr
d
por parte del área de riesgos, es más importante que la capacidad de cada uno o demlos integrantes a nivel individual.
c
so
A
Una vez el equipo de riesgos se encuentre consolidado, integrado, comprometido,
l u engranado y tenga un conoci-
miento holístico de la organización, es importante dar inicio al posicionamiento e del área. El CRO debe tener reco-
ite
R
nocimiento y credibilidad en la organización, informar al CEO y reportar 111
a la alta dirección. Como se mencionó en
el capítulo dos (2) de esta cartilla, la función de riesgos deberproporcionar m
pe desafío y asesoramiento independiente
U
a la empresa, así como participar en los procesos de negocio
se en donde la función de riesgo necesita construir gra-
y la toma de decisiones estratégicas. Para muchas
industrias y organizaciones, esto es por lo general un proceso
o
T
dualmente credibilidad . Esta construcción por loNgeneral sigue las fases descritas a continuación a través de la
.
112
os
L
figura trece (13):
d
r va
se
U
r e
s
ho
C
c
e re
s d
s lo
doinglés

111
Por sus siglas en Chief Executive Officer o Presidente/Gerente General.
o
©T
112
56
O S
G
Figura 13
ión.
S
en las labores del día a día del riz
· Incorporar la gestión de riesgos ac
1 to
E
negocio.
a u
I
· Identificar los aspectos de la cultura de a
· Desarrollar las acciones
i
v de riesgos
necesarias para transfor-
riesgos que deben ser mejorados al interior Construir la
re
mar la cultura
en la p
R
de la organización. infraestruc-
Integrar la in organización.
gestión de l s
· Identificar los comportamientos equivo- tura para la
riesgos alia
cados con respecto a la gestión de riesgos, gestión de
rc
e
con el objetivo de alinearlos con las políti- riesgos
cas de la organización. CONSTRUCCIÓN negocio e
d
· Construir la confianza en el área de ries- DE CREDIBILIDAD om
gos a través del compromiso de la alta
o c
2
A
DEL ÁREA
us
dirección. DE RIESGOS
el
ite
R
rmdecisiones
3 p e
U
Tomar
s e basadas en riesgo · Gestionar los riesgos en la
o
T
organización, crear valor para la
N
s.
compañía y proporcionar transparencia
o
L
y alineación estratégica.
d
va
· Gestionar los riesgos de forma proactiva y
e r mitigar los riesgos existentes.
es
U
· Mantener la madurez del sistema de gestión de riesgos y
s r la cultura de riesgos.
Fuente: h
o
C
c elaboración de los autores con base en Smith & Hindson y las entrevistas realizadas
113 114
e re
s d
s lo
dorealizadas a empresas A, B, C, D, 2016

113
Ibid.
o
©T
114
Entrevistas
57
S
O
El desarrollo de las habilidades del equipo es un proce- dologías de apoyo a la gestión, que buscan estructurar
so gradual que se construye con dedicación y con metas un marco de trabajo estandarizado para que la organi-
G
n.
claras, sin olvidar que el apoyo de la alta dirección es zación gestione bajo determinados marcos o directrices,
necesario y clave en el proceso de transformación de la los eventos de riesgo.
ió
S
c
za
cultura de riesgos. En la medida en que los dueños de
los procesos de la organización se sientan apoyados por Las herramientas de apoyo a la gestión de riesgosrique
o
E
el área de riesgos para el desarrollo de sus tareas rela- pueden ser desarrolladas por externos o por la utmisma
a cla-
I
cionadas con la gestión de riesgos, el diálogo y las co- a
organización, facilitan el registro, almacenamiento,
i
v prácticas
municaciones corporativas comiencen a interiorizar en e
sificación y búsqueda de eventos. Las buenas
r
p
R
su ADN las prácticas de administración de riesgos y se evidenciadas en las empresas entrevistadas 115
reflejan la
presenten mejoras derivadas de la buena gestión, será sin
importancia de contar con herramientas que van desde
identificada el área de riesgos como socio estratégico de el manejo de matrices en Excel, l
ia Access hasta la adquisi-
c
e er lecciones
todas las actuaciones y decisiones organizacionales. ción de aplicaciones robustas que permitan tener bases
d om
estandarizadas de riesgos, aprendidas ya do-
RECURSOS PARA LA GESTIÓN DE RIESGOS o c
cumentadas, análisis de tendencias con los datos esta-
A
dísticos para ulas toma de decisiones y almacenamiento
QUE FORTALECEN LA CULTURA
e l histórica con el fin de calificar con mayor
de información
ite la probabilidad e impacto de los riesgos. Es
R
Como complemento a un adecuado perfil de los involu- información
crados en la gestión de riesgos, la organización requiere
e rm indicar que tener una herramienta con pro-
importante
pcedimientos y políticas claramente definidas facilita la
U
se
un conjunto de recursos o medios que ayuden al equipo
gestión de riesgos, pero la ausencia de ésta no impide
No
de riesgos a conseguir sus propósitos o fines determina-
T
que se puedan gestionar los riesgos de la organización.
.
dos. Podría mencionarse una amplia variedad de recur-
os Los programas de entrenamiento y los planes de comu-
L
sos como apoyo a la gestión de riesgos, que encaminados
d
va
adecuadamente fortalecen la cultura de riesgos. Dentro
r
nicación hacen parte de las herramientas que favorecen
se
de los más representativos y que se han encontrado en la gestión de riesgos debido a que apoyan de manera
U
re
la realidad organizacional, se destacan el tiempo, la dis- transversal cada una de las etapas del proceso y son
s
ho
ponibilidad de las personas asignadas a la gestión de aliados en el fortalecimiento de la cultura de riesgos. El
C
c detalle de los aspectos de comunicación y capacitación,
re
riesgos y las normas o procedimientos documentados.
e
Dentro de ellos es importante destacar la política para la
d
serán tratados en los capítulos siete (7) y ocho (8) de la
s
administración de riesgos, procesos, instructivos, meto-
lo
cartilla.
s
do

o
©T
115
Ibid.
58
A continuación, en la figura catorce (14) los autores de la cartilla presentan algunas ventajas y recomendaciones del
uso de herramientas para la gestión de riesgos:
O S
G
Figura 14
ión.
S
c
VENTAJAS Y RECOMENDACIONES DEL USO DE riza
HERRAMIENTAS PARA LA GESTIÓN DE RIESGOSuto
E
a
I
ia
+
ev
r
p de
R
T A J
VEN AS
· Permite un diseño de alertas tempranas del riesgo a través de la priorización
los mismos.
s in
· Generar indicadores de riesgos.
a l
ciminería de datos
e
· Elaboración de inventarios de riesgos (catálogo).
· Categorizar información clave del negocio que permita hacer e r
d
(búsqueda de tendencias, toma de decisiones). m
o de riesgos.
· Contar con un repositorio centralizado de informaciónc
soriesgos.
A
· Uniformidad en el registro y calificación de los
l u
· Realizar trazabilidad a los riesgos registrados.
e e
· Facilita la búsqueda de eficiencia en la ejecución de la gestión de riesgos.
R
· Generación de informes gerenciales, it mapas por proceso, riesgo, factor.
e rm
p
U
· Diseñar una capacitación que no conviertas ae OM
REC ENDA
la herramienta como un accesorio.
o
T
.N
· Gestionar un manejo seguro de contraseñas, perfiles, interfaces y actualización
de las versiones.
· Ingresar información de calidado
s
CIO
a d a la herramienta.
rv a los responsables de registrar la información en
NES
· Monitorear permanente la información.
· Acompañar constantemente e
es de acuerdo a las necesidades de la empresa.
U
la herramienta.
r
os del software para la gestión de riesgos de acuerdo con
· Adquirir una herramienta
h
C
· Pensar en la evolución
el procesocde maduración de la cultura de riesgos.
e re
s d
lo Fuente: elaboración de los autores con información de las entrevistas realizadas .
116
dos
116
To Ibid.
© 59
S
G O ión.
S
izac
or
E
u t
a
I
e via
p r y el proceso, al
R
En conclusión, la organización puede establecer el orden de implementación entre la herramienta
ser válido tener un proceso eficiente de gestión de riesgos y luego desarrollar una herramienta,s in o implementar una
herramienta que condicione los procesos y genere un cambio organizacional en funcióniadel l riesgo. Finalmente, se
c
e
puede pensar en utilizar una herramienta desarrollada internamente o adquirida a e r de terceros con el propó-
través
d omy conocida
sito de estandarizar la forma de gestionar y así calificar con una escala homogénea por todos la probabi-
c
so
lidad e impacto de los riesgos y centralizar los controles y el monitoreo en un repositorio de información.
A
u
l LA CULTURA DE RIESGOS?
e
ite
¿CÓMO EVALUAR LAS HABILIDADES Y RECURSOS PARA
R e rmde chequeo para evaluar las habilidades y recursos

A continuación, se presenta en la tabla siete (7), la siguiente lista
para la gestión de riesgos. Aquellas consideraciones que p
U
se se respondan de manera negativa deben ser tenidas en
o
cuenta como actividades a desarrollar al interior de la organización orientadas al fortalecimiento de las habilidades
T
y recursos en la gestión de riesgos para transformar
s . N la cultura:
do
L
rv a
e
es
U
r
hos
C
rec
s de
s lo
o do
60
©T
O S
G
ió n.
S
ac
Tabla 7
iz
or
E
LISTA DE CHEQUEO PARA EVALUAR HABILIDADES Y RECURSOS DE LA GESTIÓN DE RIESGOS
SIu
t
a
I
PREGUNTAS NO
ia
ev
HABILIDADES Y RECURSOS DE LA GESTIÓN DE RIESGOS
pr
R
1 ¿La alta dirección y el área de talento humano garantizan que aquellas personas involucradas con la gestión de riesgos poseen la formación y experiencia reque-
rida para el perfil del cargo?
sin
2
al
¿La alta dirección garantiza que aquellas personas involucradas con la gestión de riesgos poseen la formación y experiencia requerida para el perfil del cargo?
ci
e
3
er
¿El equipo de gestión de riesgos construye y mantiene relaciones con todos los colaboradores de la organización necesarios para la gestión de riesgos?
d
4
om
¿El equipo de gestión de riesgos se ve como facilitador para la toma de decisiones y fuente de conocimiento?
c
so
5 ¿El CRO evalúa periódicamente las habilidades de su equipo para cumplir con el objetivo de la gestión de riesgos?
A
6
l u
¿El CRO analiza los recursos necesarios para cumplir con el objetivo de la gestión de riesgos?
e
ite
R
7 ¿La figura de los líderes de riesgo de las unidades de negocio se ha creado para apoyar la gestión de riesgos?
rm
8 ¿Los líderes de las unidades de negocio reconocen las habilidades en la gestión de riesgos de su equipo operativo o táctico?
pe
U
9 ¿Cada proceso de negocio define las actividades, responsables y los entregables asociados a la gestión de riesgos?
10
se
¿La organización cuenta con herramientas tecnológicas que soportan la gestión de riesgos?
T
.N
11 ¿El proceso de gestión de riesgos se encuentra formalmente documentado y divulgado?
s
do
L
12 ¿La organización cuenta con una metodología de riesgos bajo estándares nacionales o internacionales?
13
rva
¿La alta dirección garantiza que los líderes cuentan con las herramientas, recursos e información necesaria para llevar a cabo sus funciones con eficacia?
e
es
Fuente: elaboración de los autores con información de NTC ISO 31000 117, Hindson 118, Smith & Hindson 119 y las entrevistas realizadas 120.
U
r
h os
C
rec
s de
o p.14.

117
l
NTC ISO 31000, 2011,
s 2012, p. 100.
orealizadas
Hindson, 2012,
118
p.18.
119
o d
Smith & Hindson,
T
120
© 61
S
G O ión.
S
izac
or
IE
ut
a
evia
pr
R
in
E cial
s
s importante que la organización tenga claridad sobre las habilidades y recursos necesarios para la gestión de
riesgos, ya que apoyan la toma de decisiones sobre los riesgos que puedan poner en peligro la estabilidad y per-
e er
manencia en el tiempo de la organización o en el caso de los riesgos positivos aprovechar las oportunidades y maxi-
d om
mizar las fortalezas de la organización. También es clave que el CRO esté apoyado por un equipo multidisciplinario
c
so
que tengan la aptitud y actitud para la consecución de los objetivos estratégicos enmarcados bajo los lineamientos
A
u
definidos en la gestión de riesgos. Por último, toda la organización debe ser receptiva a las propuestas y requeri-
l
e
mientos del equipo de riesgos en doble vía al crear una relación gana a gana entre la gestión de riesgos y los proce-
ite
R
sos de negocio. Como lo resalta Protiviti121, una cultura de riesgos sólida estimula un ambiente de desafío efectivo en
erm
el cual el proceso de toma de decisiones promueve puntos de vista, permite probar las prácticas actuales, estimula
p
U
e
una actitud positiva y crítica en los empleados y un ambiente de gestión abierto y constructivo.
s
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo

o dop.11.
©T
121
Protiviti, 2014,
62
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
cial
d e so
com
er
A
l u
e
ite
R erm
p
U
se
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo
odo
©T 63
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
cial
d e so
com
er
A
l u
e
ite
R erm
p
U
se
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo
odo
©T
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
s in
TOMA DE DECISIONES ial
c
BASADAS EN RIESGOS omer
d e o c
A
s del modelo de cultura de riesgos
L u
a toma de decisiones basadas en riesgos es el cuarto aspecto
l
que se desarrollará en el presente capítulo, dondeese evidencia la importancia de contar con
tela organización tomar decisiones basadas en
R
información oportuna y confiable que le permita a i
122
e rm sedeseados
riesgos y mantenerlos en los niveles de exposición y definidos para transformar la cul-
p
U
tura de riesgos. Durante el recorrido del capítulo, define el concepto de toma de decisiones, la
e
importancia para el sistema de gestiónsde riesgos en la transformación de la cultura, se presenta
oy el esquema de sensibilización como apoyo para lograr los
T
el proceso para la toma de decisiones
. N
comportamientos de gestión desriesgos deseados en los empleados de la organización, se realiza
do
L
rva
de manera general una introducción a la definición de indicadores de desempeño para la gestión
de riesgos, como mecanismo
e para generar los insumos para la toma de decisiones conscientes, y
es una lista de chequeo con preguntas que permitan identificar oportunida-
U
finalmente, se presenta
r
os el proceso de toma de decisiones basadas en riesgos.
des de mejora para
h
C
r ec
s de
s lo
odo Morago & Bell, 2012, p.68.

©T
122
DEFINICIÓN ¿POR QUÉ ES IMPORTANTE LA TOMA DE
DECISIONES BASADAS EN RIESGOS PARA
O S
G
n.
Tomar decisiones basadas en riesgos es elegir entre va- TRANSFORMAR LA CULTURA?
rias opciones aquella que se considera más convenien-
ió
S
te para el cumplimiento de los objetivos del negocio, de Es importante tomar decisiones conscientes y basadas
izac
una estrategia, un proceso o un proyecto en particular. en riesgos para que la organización tenga claras lasr im-
to otra.
E
Para que esto se lleve a cabo es necesario contar con plicaciones de seleccionar una opción en lugarude
a eficaces,
I
información oportuna y confiable sobre cada una de las
ia
Un indicador cultural de la toma de decisiones
alternativas y analizar sus posibles consecuencias, para
rev
se observa cuando los empleados activamente buscan
p
R
lograr una toma de decisiones consciente. Las decisio-
in y la conciencia del
y exigen información de alta calidad sobre los riesgos
nes de riesgo no deben separarse de las del negocio, una s
ial a través de la cual los
como parte de la toma de decisiones,
cultura de riesgos efectiva, asegura que la información
c
riesgo se convierte en una marca
e
de riesgos se integre con la de la organización y se pro- empleados son educadoser para exigir y esperar informa-
d om de riesgo que tienen las de-

porcione de manera oportuna y apropiada para asegurar ción sobre las implicaciones
que las decisiones de negocio sean informadas desde c
o tácticas y operativas. Así, al tener
A
cisiones estratégicas,
una perspectiva equilibrada sobre las implicaciones de s
u los riesgos claramente entendida y
riesgo123. comunicada,
l
información sobre
e la organización está dispuesta a gestionar
iteeventos adversos en situaciones de incertidum-
R
aquellos
En este orden de ideas, para la toma de decisiones basa- brerm, y por ende, transformar la cultura de riesgos.
pe
124
U
das en riesgos se requiere que la organización desarro-
lle estrategias de sensibilización a través de incentivosse
No
Todo lo anterior debe ser reforzado con un adecuado es-
T
emocionales y/o económicos, como mecanismos para
. quema de sensibilización donde el desempeño y la ges-
os
reforzar las prácticas de gestión de riesgos en pro de la
L
tión del talento humano deben reforzar el mantenimiento
d
rva
transformación de la cultura. En otras palabras, se debe de los comportamientos de gestión de riesgos deseados
se
estimular y reforzar el comportamiento deseado por en las organizaciones. Por otra parte, el poder de una
U
re
la organización para la gestión de riesgos, a través del cultura de riesgos positiva radica en su capacidad para
s
ho
diseño y ejecución de estrategias de sensibilización en motivar a los empleados a querer controlar los riesgos
C
c
todos los niveles de la organización, para que todas las
re
debido a que la administración de riesgos se valora y se
de
decisiones operativas, tácticas y estratégicas sean basa- hace cumplir.
das en riesgos.
los
s

123
FSB, 2014, d
Ibid.
o
o p.4.
124
66
©T
S
5. TOMA DE DECISIONES BASADAS EN RIESGOS
O
Así, la gestión de riesgos y cumplimiento conducen al manejo de la compensación, promoción, contratación y eva-
luación del rendimiento de los empleados dentro de las unidades de negocio y al monitoreo de indicadores de des-
G
n.
empeño de riesgos como parte importante de los programas de desarrollo, valoración, evaluación, promoción y
compensación de los profesionales de la organización125.
ió
S
izac
DECISIONES INFORMADAS DE RIESGOS
or
E
u t
a
I
La toma de decisiones basadas en riesgos se presenta en cualquier nivel de la estructura de gobierno 126
v ia , al eviden-
ciarse que hay decisiones a nivel estratégico tomadas por la alta dirección, a nivel táctico por el eárea de riesgos y a
p r de ideas, la alta
R
nivel operativo por los responsables de las unidades de negocio o dueños procesos. En este orden
dirección debe tener la capacidad y la habilidad para tomar decisiones no programadas o s noinestructuradas en forma
sistemática, con el objetivo de responder a las necesidades del negocio de manera ioportuna.
c al En la estructura de
e
gobierno, las tareas que se desempeñan en niveles tácticos y operativos son cada e r más rutinarias y las decisiones
vez
d om
en estos niveles serán más repetitivas, estructuradas o programadas.
c
so como los conocimientos del proceso o
A
En la práctica , la toma de decisiones involucra aspectos fundamentales
127
u
l la experiencia de la persona responsable de
negocio, competencias técnicas y blandas, todo esto es combinadoecon
iteasignado dentro de la estructura de la organización
R
tomar la decisión y empoderar a los empleados de acuerdo al rol
para que tomen las decisiones que estén a su alcance.
e rm
En el flujo de toma de decisiones basadas en riesgos, lapinformación es la materia prima, la decisión es el input, la
U
e
cual es tratada de manera adecuada dentro del flujosy genera la acción a ejecutar como output. Al ejecutarse la ac-
No la cual se integrará a la información existente para servir de
T
ción elegida, se genera nueva información de riesgos,
.
snueva acción y así sucesivamente. A continuación, en la figura quince
o
L
base a una nueva decisión, que generará una
d
(15) se ilustra el flujo mencionado anteriormente:
r va
se
U
r e
s
ho
C
c
e re
s d
Ibid, pp.9-10. lo

socho (8) de estructura de gobierno para la gestión de riesgos en el capítulo tres (3) de esta cartilla.
125
d orealizadas
Ver la figura
126
T o
Entrevistas
127
a empresas A, B, C, D, 2016.
© 67
ormación
O S
G
f
Figura 15
In ón.
i
S
izac
or
E
ut
a
I
evia
pr
R
FLUJO DE LA sin
ial
Feedback
TOMA DE c
Decisión
DECISIONES o com
er
d e
A
BASADASel us
ite
R
EN RIESGOS
rm
p e
U
se
No
T
.
os
L
d
r va
se
U
s re Acción
hdeolos autores con información de Menguzzato & Renau
C
c
re
Fuente: elaboración y de las entrevistas realizadas129.
128
d e
o s

s l 1991, p.44.
Menguzzato &oRenau,
Entrevistas d
128
129
T o realizadas a empresas A, B, C, D, 2016.

68
©
S
O
Como propuesta para tomar decisiones de riesgos de alto impacto se plantea desarrollar cada uno de los siguientes
pasos definidos en la figura dieciséis (16) como proceso de evaluación formal:
G
Figura 16
ión.
S
Ponderar los criterios seleccionados en el paso iz
ac
anterior de acuerdo a su nivel de importancia or
Establecer los criterios de decisión
E
ut
que serán relevantes para la decisión
a
I
2. 3.
Identificar los Asignar
via
criterios para ponderaciones
r e
p
R
a los criterios
in las alternativas
Identificar la discrepancia tomar la Analizar viables
entre el diagnóstico inicial o decisión
l s
y seleccionar las que más se
estado actual y el estado 4.
c iaencaminen a los resultados
e
1.
Desarrollar r deseados, al facilitar la toma
al que se quiere llegar
Identificar e de decisiones
d
el problema
o m
las alternativas
c
propuestas
so
A
u
l 5.
8. e
ite alternativas
R
Evaluar la Analizar las
Resultado de la toma de la decisión
efectividad de
la decisión erm Analizar fortalezas y
p
U
para ver si se ha seleccionado la debilidades de las
7. e
opción más conveniente
s 6. alternativas
No
T
Implementar Seleccionar
la. alternativa una
s
do
L
alternativa
r v a
Llevar a cabo la decisión,s e
U
r e darla a conocer
a las personas involucradas y lograr
Seleccionar la mejor alternativa
de todas las valoradas
s
ho
que se comprometan con la misma
C
c
e re elaboración de los autores con información de Robbins y las entrevistas realizadas .
s dFuente: 130 131
s lo
orealizadas

d
Robbins, 1994, p.157.
130
T o
Entrevistas
131
© 69
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
si n
ial
¿CÓMO SENSIBILIZAR A LOS EMPLEADOS PARA TRANSFORMAR LA CULTURA?
c
d e
Como se mencionó anteriormente, las estrategias de sensibilización se desarrollanear través de incentivos emocio-
nales y/o económicos como mecanismos para reforzar las prácticas de gestión o
c
mriesgos en pro de la transforma-
de
ción de la cultura de riesgos en todos los niveles. Es fundamental hallar laoforma de sensibilizar adecuadamente
A
s
a los empleados para obtener el mejor rendimiento posible a través deluenfoque
l top-down y definir para todos los
programas de incentivos, un fin específico, para que quienes lo dirijanepuedan estudiar los resultados a través de la
ite
R
definición de indicadores de desempeño de riesgos.
e rmempleados con el propósito de que ellos obtengan
Por tal motivo, los incentivos son estímulos que se ofrecen a los 132
p de una meta establecida o logren el reconocimiento al
U
e
un bien material a cambio de la eficiencia en la consecución
deber cumplido. Así, los incentivos emocionales buscans facilitarle al empleado un mejor balance entre la vida labo-
No
T
s .
ral y personal y algunos ejemplos se indican a continuación en la figura diecisiete (17):
do
L
rv a
e
es
U
r
hos
C
rec
s de
s lo
dop.74.

o
©T
132
Hindson, 2012,
70
S
Figura 17
G ió n.
O
S
izac
INCENTIVOS EMOCIONALES PARA LA GESTIÓN DE RIESGOS or
E
u t
a
I
evia
pr
R
s in
cial
1 3
d e 5 mer
o c o
7
A
us
Figuras como el Esquemas de
campeón del riesgo Reconocimientos en Asignación de teletrabajo, para
l
para el mejor comités de la alta responsabilidades aquellos empleados
empleado de la dirección o eventos
e claves en la gestión destacados
ite
R
gestión de riesgos públicos corporativos. de riesgos. en su gestión.
de la organización.
2 4e rm 6
p
U
s e
o
T
.N
Publicar en la intranet Construcción de un
logo símbolo como
s
los logros obtenidos Día del gestor de
do
insignia para los
L
por los empleados riesgos.
al mitigar los riesgos. involucrados en el
rva tema de riesgos.
s e
U
r eelaboración
s
Fuente: de los autores con información de las entrevistas realizadas . 133
ho
C
c
e re
s d
s lo
dorealizadas a empresas A, B, C, D, 2016.

o
©T
Entrevistas
133
71
Figura 18
O S
G ión.
S
ac
INCENTIVOS
ECONÓMICOS iz
or
E
PARA LA Incremento salarial.
u t
a
I
GESTIÓN DE
RIESGOS e via
p r
R
in
Bonificaciones
extras
s
ial
(bonos, viajes).
Y los incentivos económicos son todos
c
los pagos que realiza una Incremento
empresa a sus
e er
salarial.
d omAsistencia
trabajadores por el logro de los indicado-
Bonificaciones extras (bonos,
o c a
A
res de desempeño de riesgos. viajes).
Ejemplos seminarios o
u s congresos en temas
de este tipo de incentivos se indican
Remuneración a adi-
variable
cional por cumplimientos de e l de riesgos para los
ite
continuación en la figuraindicadores
dieciochode(18):
R
riesgos. empleados destacados
por su gestión.
m
Asistencia a seminarios o
per
U
congresos en temas de ries-
gos para los empleados des-
se Remuneración
tacados por su gestión.
o
T
. N variable
os
Aportes extras a fondo de adicional por
L
cumplimientos
pensiones voluntarias.
d
va
de indicadores
Aportes extras a fondo de
e r pensiones voluntarias.
de riesgos.
es
U
r
h os
C
r ec
s de
s lo
do

Fuente: elaboración de los autores con información de las entrevistas realizadas .
o
134
©T
Ibid.
134
72
S
O
Buenas prácticas evidenciadas en las empresas entrevistadas se relacionan con la definición de indicadores de 135
desempeño de riesgos sobre los cuales se mide la gestión de los empleados, como, por ejemplo, el cumplimiento
G
n.
de los objetivos de los procesos, los cuales se encuentran orientados tanto al riesgo negativo como positivo y hacia
ó
el mejoramiento de la posición de la compañía frente al riesgo. Se identifican indicadores cualitativos como la asis-
i
S
izac
tencia a cursos internos de capacitación y cuantitativos como indicadores de tendencia, frecuencia, entre otros. Así,
or
se resalta la importancia de incentivar el reporte de los eventos de riesgo con el fin de fomentar el desarrollo de
E
ut
la cultura de riesgos y la medición constante de los indicadores de desempeño de riesgos que han permitido a las
a
I
via
organizaciones controlar la evolución del comportamiento y mejorar el desarrollo de sus procesos en el día a día.
e
r estándar para el
p
R
A continuación, en la tabla ocho (8), los autores presentan una estructura básica de ficha técnica
diseño de indicadores de desempeño de riesgos que pueden ser útiles para la construcción sin de sus indicadores. En
cial
el capítulo nueve (9) caja de herramientas para transformar la cultura de riesgos se proponen algunos ejemplos de
e
erde acuerdo a las necesidades de
indicadores de desempeño de riesgos creados por los autores para ser utilizados
om
d
su organización.
c
soEL
A
Tabla 8
FICHA TÉCNICA ESTÁNDAR PARA u
l DE RIESGOS
DISEÑO DE INDICADORES DE DESEMPEÑO e
ite
R
NOMBRE INDICADOR DESCRIPCIÓN FÓRMULA DETALLE VARIABLES FÓRMULA
<Nombre relacionado
con la medición>
erm
<Explicación breve de lo que se busca al <Fórmula para realizar el cálculo del indicador. <Indicar de dónde se obtiene cada
p
variable de la fórmula>
U
realizar la medición> Usar fórmula matemática>
e
Medir el nivel de cobertura de los emplea- (Nro. de empleados capacitados período actual - Nro.
s
Incremento en capacitación en dos de la organización con relación a los empleados capacitados período anterior) / Nro. de Se obtiene de los planes de entrenamiento
gestión de riesgos liderados por el área de talento humano
o
temas de administración de riesgos empleados capacitados en el período anterior
T
.N
UNIDAD DE MEDIDA FRECUENCIA DE MEDICIÓN RESPONSABLE DE MEDICIÓN TENDENCIA
s
do
L
<El resultado de la fórmula en
que unidad de medida se <Periodicidad de medición de la métrica: <Indicar si la medición
a
obtiene: Porcentaje (%), Días Semanal (S), Mensual (M), Trimestral (R), <Rol de la(s) persona(s) que generan la métrica> es creciente o decreciente>
rv
(D), Horas (Hrs), Unidad (Und)> Semestral (S), Anual (A)>
e
es
U
Porcentaje (%) Trimestral (T) Analista de riesgos Creciente. Debe aumentar con el tiempo
r
os
FRECUENCIA DE ANÁLISIS RESPONSABLE DE ANÁLISIS TIPO DE INDICADOR META DEL INDICADOR
C
ec
<Periodicidad de análisis de la
métrica: Semanal (S), Mensual <Rol de la(s) persona(s) <Indicar si el indicador es de Gestión (G), <Indique el resultado
r
(M), Trimestral (R), Semestral que analizan la métrica> Desempeño (D), Proceso (P), Eficiencia (E)> esperado del indicador>
de
(S), Anual (A)>
s
Semestral (S) Líder de riesgos Gestión (G) Incremento de un período a otro del 10%
s lo Fuente: elaboración de los autores con información de las entrevistas realizadas 136.
Ibid. d
135
Ibid.
o
©T
136
73
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
ial
Otras prácticas137 utilizadas se orientan a la creación de concursos o retos que buscan proponer ideas innovadoras
c
e
para fomentar la cultura de riesgos, realizar encuestas para medir el grado de percepción de la importancia de
er
riesgos en la organización, vincular el cumplimiento de los indicadores de desempeño de riesgos a la compensación
d c om
y pensar en estructuras de recompensa para objetivos de corto y largo plazo a nivel estratégico, táctico y operativo.
so
A
¿CÓMO EVALUAR LAS DECISIONES BASADAS EN RIESGOS? l u
e
ite evaluar las decisiones basadas en riesgos a
R
rm Aquellas consideraciones que se respondan de
A continuación, se presenta una propuesta en la tabla nueve (9) para
e
través de la siguiente lista de chequeo para que sea diligenciada.
p
U
se
manera negativa deben ser tenidas en cuenta como actividades a desarrollar, orientadas al fortalecimiento de la
No
T
toma de decisiones y de la sensibilización para la gestión de riesgos:
.
os
L
d
rva
se
U
re
s
ho
C
c
e re
s d
s lo
do

o
©T
Ibid.
137
74
S
O
Tabla 9
G
n.
LISTA DE CHEQUEO PARA EVALUAR TOMA DE DECISIONES Y
ó
SENSIBILIZACIÓN PARA LA GESTIÓN DE RIESGOS
i
S
NO c
iza
PREGUNTAS SI
DECISIONES INFORMADAS DE RIESGO
tor
IE
1 ¿Los responsables de la gestión de riesgos buscan y demandan calidad en la información como parte del proceso de toma de decisiones?
au
2 ¿La información utilizada para tomar decisiones basadas en riesgos es confiable y sus resultados son verificables?
ia
3 ¿Se cuenta con un proceso formal de toma de decisiones basadas en riesgos?
rev
p
R
in
4 ¿Se toman decisiones basadas en riesgos?
s
ial
5 ¿Se tiene claridad sobre cuáles decisiones basadas en riesgos pueden ser tomadas por un individuo o un comité y éstas se encuentran documentadas?
c
e er
6 ¿La alta dirección asegura que la toma decisiones basadas en riesgos no está dominada por una sola persona o un pequeño grupo de individuos en una forma que sea
perjudicial para los intereses de la organización como un todo?
d com
7 ¿Los empleados son capaces de tomar en cuenta la incertidumbre en la toma de decisiones, analizar opciones alternativas y equilibrar riesgo versus rentabilidad?
so
A
¿La alta dirección y los empleados de toda la organización rinden cuentas por sus acciones y entienden las consecuencias si no están alineados con los parámetros
u
8
definidos por la organización en la gestión de riesgos?
SENSIBILIZACIÓN el
ite
R
9 ¿La estructura de incentivos para una adecuada gestión de riesgos se encuentra formalmente documentada en la organización?
10
erm
¿La estructura de compensación es compatible con los valores fundamentales defendidos por la organización y promueve las conductas de toma de riesgos?
U
11
se
¿La remuneración y las métricas de rendimiento conducen los comportamientos deseados de toma de riesgos en la organización?
No
T
¿La remuneración y las métricas de rendimiento alientan a los empleados para gestionar los riesgos por el bien de la organización, en lugar de actuar para ellos
12
.
mismos o para su línea de negocio?
os
L
¿Existen indicadores de desempeño de riesgos definidos en todos los niveles de la organización?
d
13
14
r va
¿Se monitorea constantemente el resultado de los indicadores de desempeño de riesgos?
se
U
¿Se tiene en cuenta los resultados de los indicadores de desempeño para tomar decisiones basadas en riesgos?
e
15
s r
Fuente: elaboración de los autores con base en FSB 138, Smith & Hindson 139, Morago & Bell 140, Menguzzato & Renau 141, Robbins 142, Hindson 143 y las entrevistas realizadas 144.
h o
C

c
e -101.
FSB, 2014, pp.4-10.
138
e r100
d
Smith & Hindson, 2012, pp.
139
s
Morago & Bell, 2012, p.68.
140
Robbins, 1994, l
o 1991, p.44.
Menguzzato & Renau,
141
142
s p. 74.
orealizadas
p.157.
d
Hindson, 2012,
143
T o
Entrevistas
144
© 75
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
cial
d e so
com
er
A
l u
e
ite
R erm
p
U
se
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo
odo
76
©T
S
G O ión.
S
izac
or
IE
ut
a
evia
E pr
R
n síntesis, para transformar una cultura de riesgos
se necesita un proceso formal a nivel corporativo que
sin
permita analizar el nivel de riesgo donde las organiza-
cial
e er
ciones definan lineamientos claros para la gestión de
d om
riesgos y establezcan incentivos eficaces que planteen
las decisiones correctas sobre riesgo-recompensa y c
so
A
así reconocer y premiar la conducta positiva del riesgo
l u
y acompañar a quienes no cumplan con los procesos y
e
ite
R
políticas de riesgos145. Además, se debe fundamentar la
toma de decisiones en información fidedigna que refleje
erm
p
U
la realidad del negocio, ya que ésta es la materia prima
fundamental en la toma de decisiones de una organiza-
se
No
T
ción y de igual forma toma relevancia que los empleados
.
os
sean conscientes de las decisiones tomadas en la ejecu-
L
d
ción de las labores del día a día y no dejen las decisiones
al azar. rva
se
U
re
s
ho
C
c
e re
s d
s lo

o do& Zárate, 2006, p.10.

©T
Roisenzvit
145
77
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
cial
d e so
com
er
A
l u
e
ite
R erm
p
U
se
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo
odo
©T
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
s in
APETITO DE RIESGO ial
c
d e c om
er
so de riesgos, el cual es considerado
A
E e e
un aspecto transversal en el modelo propuesto, entendido
u
l apetito de riesgo es el quinto aspecto del modelo de cultura
l como la cantidad máxima de riesgo
R
que la organización desea asumir . Es un aspecto
146
it fundamental de la cultura de riesgos al ser
mbasadas en riesgos, necesario para transformar
er
uno de los pilares para la toma de decisiones
la cultura y crear conciencia, actitudes depcompromiso
U
y responsabilidad para responder a las
se
amenazas a las que se enfrenta la organización. Durante el desarrollo de este capítulo, se define
o
T
el concepto de apetito de riesgo, sus
. N términos asociados, tolerancia y capacidad de riesgo, y su
o s
importancia para la cultura de riesgos, se indican los pasos, los aspectos, los principios, las claves
L
d
de éxito, los enfoques y lasametodologías existentes para su definición y finalmente se comparte
rv
e
cómo evaluar el apetito de riesgo de una organización a través de una lista de chequeo.
es
U
r
h os
C
rec
s de
s lo
odo IRM, 2011, p.7.

©T
146
O S
G ión.
S
izac
or
E
DEFINICIÓN
u t
a
I
Las organizaciones llevan a cabo sus operaciones con el propósito de generar valor y obtener los vresultados ia
seados, y para cumplir con sus objetivos pueden optar por apoyarse en un sistema de gestión depriesgos. r e de-
R
Una tarea
fundamental a desarrollar para la gestión del sistema es la fijación del apetito de riesgo,sel incual se define como
la cantidad máxima de riesgo que una organización desea asumir para la consecucióniade l sus objetivos , la cual
147
c
e
puede ser expresada de forma cuantitativa o cualitativa. Se identifican en las organizaciones
er entrevistadas ambas
148
d om y en las agendas de trabajo de

aproximaciones, plasmadas en los códigos de buen gobierno, políticas corporativas
la alta dirección. c
so
A
No obstante, al hablar de apetito de riesgo, se deben examinar otroseaspectos l u adicionales como la tolerancia y la
e
R
capacidad de riesgo de la organización. La tolerancia es el nivel deitrespuesta de las unidades de negocio para conti-
nuar su operación ante la materialización de riesgos correlacionados
estratégicas, de cumplimiento, operativas y financieras . p
rm con las diferentes categorías de riesgos como
Lae capacidad de riesgo es la máxima exposición que una
U
149
organización puede soportar en la búsqueda de sus objetivos s

150e . En la práctica , se logra identificar una relación
151
T
directamente proporcional del nivel de exposiciónN al riesgo con respecto al retorno, donde a mayor apetito mayor
capacidad de tolerancia y de resiliencia frente al s. impacto de los riesgos identificados. A continuación, en la figura
o
L
diecinueve (19) se presentan visualmente los adconceptos anteriormente mencionados:
v
s er
U
s re
ho
C
c
e re
d

Ibid.
147
o s
Sánchez, 2016, p.6. l
148
os Internos
149
d
Instituto de Auditores de España, 2013, p.10.
150
o
©T
Entrevistas
151
realizadas a empresas A, B, C, D, 2016.
80
S
Figura 19
G O ión.
S
Capac
idad de riesgo
izac
or
IE
Toleran
cia al riesgo ut
a
Apetito de riesgo evia
pr
R
sin
cial
d e so
com
er
A
l u
e
ite
R erm
p
U
s e
No
EXPOSICIÓN
T
.
osAL RIESGO
L
d
r va
se del Instituto de Auditores Internos de España
U
Fuente: elaboración de los autores con información , IRM153, Sánchez154, y las entrevistas realizadas155.
e
152
s r
ho
C
c
e re
s d
o Internos de España, 2013, p.16.

IRM, 2011, p.7. l

Instituto de Auditores
152
Sánchez, o
153
s
154
o d 2016, p.6.
T
155
© 81
A continuación, en la tabla diez (10) se relacionan los conceptos asociados al apetito de riesgo, tolerancia y capaci-
dad, desde tres perspectivas diferentes planteadas por fuentes especializadas internacionales, y los marcos156 y es-
O S
G
n.
tándares que recopilan las directrices sobre el apetito de riesgo y su uso en las organizaciones, para que se tengan
en cuenta aquellos de carácter obligatorio, las mejores prácticas recomendadas y se profundice en lo establecido
ió
S
por cada uno de ellos en caso de que lo requiera:
izac
or
IE
ut
a
via
Tabla 10
e
pr
R
CONCEPTOS ASOCIADOS AL APETITO DE RIESGO
sin
ial
ORGANISMO
INSTITUTO DE AUDITORES
COSO IRM OTROS INSTITUTOS
c
e
INTERNOS DE ESPAÑA
er
TÉRMINO
d so
com
A
l u La cantidad de riesgo que una
Nivel de riesgo que la organización Riesgo que se está dispuesto a
e organización está dispuesta a
ite
R
Apetito de riesgo quiere aceptar, aquél con el que se aceptar en la búsqueda de la aceptar en la búsqueda de sus
siente cómoda. misión/visión de la organización. objetivos de largo plazo. Marcos de carácter obligatorio:
rm
*Marco regulador para entidades bancarias
e
(Basilea)
U
e
**Marco regulador para entidades asegurado-
s
ras (Solvencia II)
No
T
Nivel aceptable de variación en los Mejores prácticas:
.
resultados de la organización
· OCDE
os
relativo a la consecución o logro de Los límites para tomar riesgos por
Desviación respecto al nivel de sus objetivos. En otras palabras, la fuera de los que la organización no · ISO
L
d
Tolerancia de riesgo apetito de riesgo. tolerancia es la cantidad máxima está preparada para arriesgar en · British Standard 31100
va
de un riesgo que una organización la consecución de los objetivos de
está dispuesta a aceptar para largo plazo.
r
se
lograr su objetivo.
U
r e Cantidad y tipo de riesgo máximo
s
Máximo nivel de riesgo que una que una organización es capaz de Habilidad para soportar riesgos y
ho
Capacidad de riesgo organización puede soportar para soportar en la búsqueda de sus la madurez de la gestión de ries-
C
el logro de sus objetivos. objetivos. gos para manejarlos.
c
re
Fuente: elaboración de los autores con información del Instituto de Auditores Internos de España 157, COSO 158 e IRM 159.
d e

156
l s
oInternoscomo
Estos marcos son relevantes punto de partida para la utilización del apetito de riesgo o para evaluar su grado de desarrollo.
157
COSO, 2013. o
s
Instituto de Auditores de España, 2013, p. 10.
158
o d
T
IRM, 2011, pp. 6-11.
159
82
©
S
G O ión.
S
¿POR QUÉ ES IMPORTANTE EL APETITO
izac
PARA LA CULTURA DE RIESGOS?
or
IE
ut
a
via
La definición del apetito de riesgo permite optimizar el
binomio riesgo/rentabilidad y mantener las amenazas e
pr
R
de riesgos en los niveles deseados por la organización160,
al servir de guía para la toma de decisiones basadas en sin
riesgos de manera consciente, la asignación de recur- PASOS PARA LA DEFINICIÓN
c ial DEL APETITO
e er
sos y obtener alineación en la búsqueda de los objetivos DE RIESGO
d om
definidos por la alta dirección, al permitir un acompa-
La implantacióncdel apetito de riesgo en una organiza-
so gradual que contiene un conjunto de
ñamiento y monitoreo de los resultados obtenidos y sus
A
riesgos asociados que favorece la transformación de la ción es un u
proceso
cultura de riesgos de una organización. el que deben ser llevadas a cabo por un equipo
actividades
ite
R
El proceso de definición del apetito de riesgo es específi- multidisciplinario con responsabilidad en la gestión de
co para cada organización puesto que no existe un único r m
riesgos. A continuación, en la figura veinte (20) se pre-
e
p sentan los pasos previos que deben tenerse en cuenta
U
valor aplicable a todas ellas y será responsabilidad de la
alta dirección determinarlo y realizar los ajustes necesa- se para implantar el apetito de riesgo como parte del siste-
No
T
rios para mantener alineado el apetito con los objetivos ma de gestión de riesgos161:
.
os
L
estratégicos. Es necesario tener en cuenta que el apetito
d
va
de riesgo debe ser medido y actualizado de acuerdo con
r
se
la evolución de los objetivos y estrategia de la organiza-
U
ción y sus riesgos asociados.
r e
s
ho
C
c
e re
s d
s lo
doAuditores Internos de España, 2013, p.9.

Instituto de
160
o
©T
Ibid, pp.41-44.
161
83
Figura 20
O S
G
Definición del
marco estratégico
ión.
S
Comunicación,
izac
actividades de control 6 or
IE
y supervisión
1 ut
a
evia
pr
R
s in
cial
Establecimiento
5 PASOS PARA
IMPLANTAR EL sod e c om
er de principios
A
Metodología APETITO DE RIESGO e lu 2
ite
de cálculo
R e rm
p
U
s e
o
T
4 os. N
L
a d 3 Descripción de
rv la estructura
s e
U
reAsignación
hosniveles de riesgo
C
rec de los autores con información del Instituto de Auditores Internos de España , IRM y Sánchez .
de
Fuente: elaboración 162 163 164
lo s
162
IRM, 2011, p.7.o

Ibid, p.46.
s
od p.6.
163
T
Sánchez, 2016,
164
84
©
S
O
1. Definición del marco estratégico 3. Descripción de la estructura
La alta dirección es responsable de precisar la visión Como se mencionó en el capítulo tres (3) la estructura de
G
n.
del sistema de gestión de riesgos, que incluye la defini- gobierno de la organización facilita la gestión de riesgos
ción del apetito de riesgo alineada con los objetivos es- y proporciona los canales de comunicación para trans-
ió
S
tratégicos de la organización, debe identificar el ámbito ac
mitir la información relacionada con los niveles de apeti-
iz
de aplicación y los integrantes de la organización para to de riesgo hasta el tratamiento de los mismos.
or
E
t
au
quienes será de obligatorio cumplimiento al igual que
I
las directrices, políticas y procedimientos derivados en 4. Asignación de los niveles de apetito deariesgo
i de riesgos
la implantación del sistema de administración de ries-
rev
La alta dirección y las unidades responsables
p riesgo de la organi-
R
gos y las actividades claves que se deben realizar para establecen y aprueban el apetito de
cumplir con la visión del sistema de gestión de riesgos. sin
zación en coherencia con los objetivos y el nivel de riesgo
i
que están dispuestos a asumir.a l El apetito debe ser admi-
c
e erde forma constante para adecuar
2. Establecimiento de principios nistrado y monitoreado
d
En este paso se debe acompañar la definición del apetito el perfil de riesgo m
c oa las políticas y límites establecidos
so
de riesgo con los principios que apoyan la estrategia, las por la organización.
A
operaciones y el cumplimiento de la organización. Por u
l de cálculo
ejemplo, a nivel de estrategia se busca que ésta se en- 5. Metodología e
ite dirección y los responsables de la gestión de ries-
R
cuentre alineada con el perfil de riesgo, y en las opera- La alta
ciones, éste debe incorporarse consistentemente en las rgos m establecen la metodología de cálculo y priorización
e
categorías de riesgos y/o áreas de la organización. Ade-p del apetito de riesgo. Para el cálculo debe tenerse en
U
s
más, se definen indicadores claves de riesgo que permi-e cuenta la definición de parámetros homogéneos y cuan-
No
T
tan realizar un seguimiento de los mismos, y disponer
. tificables con las métricas utilizadas en la organización,
de un sistema de alertas y de evaluación del
os proceso.
L
revisar los criterios y las mediciones mínimo una vez al
d
rvalaconsiderar sus año,
Se debe establecer el intercambio de información de la ajustarlo de acuerdo con la evolución del negocio
se Con relación al en diferentes
organización con los grupos de interés, y realizar estudio de casos de eventos materializados
U
expectativas con respecto a cadaeriesgo.
r escenarios. Para la priorización, se deben
cumplimiento, se asegura queslos responsables de ries- analizar aquellos riesgos que representen mayor seve-
ho las normas establecidas ridad para la organización con el objetivo de tomar las
C
c
gos en la organización apliquen
e re
por los órganos o instituciones que regulan en su ámbito medidas encaminadas a su mitigación y balancear la re-
de actuación. s d lación riesgo/rentabilidad.
o
o sl
T od
© 85
O S
G
Tabla 11
ión.
S
ac
ASPECTOS A CONSIDERAR PARA r iz
to
E
6. Comunicación y actividades de control DEFINIR EL APETITO DE RIESGOS
a u
I
La alta dirección es responsable de comunicar y moni- ASPECTO A CONSIDERAR ELEMENTOS DE ANÁLISIS
v ia
torear el apetito de riesgo con el fin de garantizar que
re
p de las operaciones.
R
Naturaleza del negocio.
las acciones desarrolladas por la organización están ali-
n
Tamaño de la empresa.
neadas con el nivel de exposición definido. En la práctica i
s de la cadena
Distribución geográfica
es recomendable elaborar un documento con la declara- Contexto de Negocio

ia l
Grado de madurez
Complejidad
tecnológico.
de valor.
c
e erClima
Interdependencias con otros socios.
ción formal del apetito de riesgo para que todas las uni- político.
d om Ambiente
Entorno regulatorio.
dades de negocio realicen la gestión de riesgos de forma competitivo.
consistente y estandarizada. Las actividades de control
o c
A
Compromiso de la alta dirección.
son responsabilidad del área de auditoría interna, quien u s
Cultura de riesgos
Las actitudes hacia la gestión del riesgo,
l
el control, la regulación y la innovación.
puede asesorar además a la alta dirección en el esta- e Competencias y capacidades.
ite
R
blecimiento del apetito de riesgo sin olvidar su función Identificación de procesos.
independiente y objetiva en el proceso. rm Procesos de evaluación.
e
Seguimiento e informes de procesos.
U
Lenguaje común.
ASPECTOS A CONSIDERAR PARA DEFINIRse

Alcance de los procesos comunes.
Gestión de riesgos en los procesos Delegación de autoridad.
No
La integración con la estrategia y la
T
planificación de negocios.
s.
EL APETITO DE RIESGO Integración con presentación de informes
o
periódicos.
L
ad siguientes Procedimientos de escalamiento.
Una organización debe tener en cuenta los
v
er los cuales se
Alcance de la estructura de la organización
aspectos para definir el apetito de riesgo, para facilitar la gestión de riesgos.
s
U
reonce (11):
Estrategia de gestión de riesgos y políticas
presentan a continuación en la tabla definidas.
s Gestión de riesgos en los sistemas Sistemas de apoyo de TI.
ho
Almacenamiento de datos empresariales
C
c para los datos de riesgo.
re
Presentación de informes de riesgo.
de Fuente: información tomada de Anderson 165.
los
s

o do p.22.
©T
Anderson,
165
2011,
86
S
Figura 21 El beneficio de definir el apetito

de riesgo debe superar el
G
EF
O ión .
S
ac
costo de hacerlo. IC
IE
NCor iz
E
a utIA
I
El apetito de riesgo debe ser
proporcional al tamaño,
via
las operaciones y los CIO pPrReO
R
PRINCIPIOS QUE GUÍAN LA IM-
procesos de la organización.
sin NA POR
LID -
PLANTACIÓN DEL APETITO DE ial AD
c
e
RIESGO e r
d omlas
El apetito de riesgo debe
Para considerar que el apetito de riesgo c
ser dinámico, reflejar
diferentes tipologíasode riesgo
A
s FLEXIBILIDAD
lu
definido es útil y eficiente para la organi- de cada organización y ser
zación, éste debe reflejar los cinco prin- actualizado e periódicamente.
ite
R
cipios que se mencionan a continuación
en la figura veintiuno (21), al vincularse a
e rm
p El apetito de riesgo debe
U
los objetivos y definirse de forma simple y TO
sobre variables relevantes en la toma de se ser medible, conciso de N CRE
o CO
T
.N
decisiones :166 tal manera que pueda
os ser comunicado,
L
d aplicado y monitoreado.
N
v a
Ó
er
CI
s
U
RA
re
G
s
TE
h o El apetito de riesgo debe integrar
C
IN
ec
la gestión con la cultura de riesgos.
r
s de
s lo Fuente: elaboración de los autores con información del Instituto de Auditores Internos de España167.
oAuditores Internos de España, 2013, p.49.

Ibid. d
Instituto de
166
o
©T
167
87
CLAVES DE ÉXITO PARA DEFINIR EL APETITO DE RIESGO
O S
G
n.
Como buenas prácticas se identificaron las siguientes claves de éxito a la hora de definir el apetito de riesgo en una
organización, las cuales se presentan a continuación en la figura veintidós (22):
ió
S
izac
or
E
t
Figura 22
a u
I
Tener en cuenta las expectativas de los diferentes grupos de interés,
v ia
al considerar que cada grupo tiene diferentes preferencias
re
Alinear el apetito de riesgo con la estrategia,
p
R
respecto al apetito de riesgo, razón por la cual debe la capacidad y la cultura de riesgos.
garantizarse un equilibrio adecuado en la gestión
de las expectativas de cada uno de ellos.
s in
c ial
2 3
Personalizar la definición
d e o c
er el apetito a la capacidad
omde riesgo de la organización y a la
Vincular
A
del apetito de riesgo
1 4 s cultura de riesgo existente.
lu
para cada organización.
e
ite
R
Utilizar la tolerancia como un indicador
e rm
p
U
Asegurar una adecuada medición
8 5
que informe a la organización si se está
asumiendo un nivel de riesgo por encima
s e de los niveles de apetito, tolerancia y
o
T
del deseado y reconducir la situación, y capacidad de la organización debido a
.N
como señal de alerta para evitar llegar a que son la base para la toma de deci-
niveles que superen la capacidad y expo-
o s siones estratégicas de la empresa.
L
nerse a riesgos difíciles de soportar.
a d 7 6
v
s er
U
r e
Monitorearscontinuamente
La alta dirección debe desarrollar un plan
de comunicación y divulgación del apetito de
h o el apetito de riesgo. riesgo de forma transversal a toda la organización,
C
ec
para conseguir que se interiorice por los empleados.
r
s
Fuente: elaboración de losdeautores con base en la información del Instituto de Auditores Internos de España , RIMS , y las entrevistas realizadas .
168 169 170
s lo
Ibid, p. 19.
o a empresas A, B, C, D, 2016.
168
169
o drealizadas
RIMS, 2012, p.13.
©T
Entrevistas
170
88
S
G O ión.
S
izac
or
IE
ut
a
evia
pr
R
ENFOQUES EN LA DEFINICIÓN DEL APETITO DE RIESGO
s in
La organización puede determinar el apetito de riesgo a través de dos enfoques: de forma
c ial descendente o ascenden-
e er para
te. El primer enfoque, también conocido como top-down, busca establecer el apetito de riesgos desde el más alto
d
nivel, alinearlo a los objetivos estratégicos y establecer niveles específicos de m apetito las unidades de negocio
al tener en cuenta los requerimientos de los grupos de interés y estimular el o
c debate en la alta dirección. El segundo
o
A
s
lu
enfoque o bottom-up, define el apetito de riesgo al mínimo nivel de decisión, por ejemplo, por proceso o proyecto
para luego ascender a través de la estructura organizacional hastaeconsolidarse en un apetito de riesgo global .
171
ite toman como base la información histórica de
R
m
er
En la práctica , las organizaciones que usan el enfoque ascendente
172
riesgos y desarrollan modelos estadísticos que incluyenpvariables
U
asociadas con la industria y el entorno macroeco-
nómico. Para el enfoque descendente consolidan en s e
el más alto nivel la información de todas las áreas para obtener
una visión global y de conjunto de la situación de laoorganización. Los dos enfoques se consideran complementarios
T
y no excluyentes, a continuación en la figura s . N (23) se detallan las ventajas y desventajas de cada enfoque:
veintitrés
do
L
rv a
e
es
U
r
h os
C
rec
s de
s lo
dorealizadas

Instituto de
171
Auditores Internos de España, 2013, p. 11.
T o
Entrevistas
172
© 89
VENTAJAS Y DESVENTAJAS DE LOS ENFOQUES
O S
G
Figura 23
EN LA DEFINICIÓN DEL APETITO DE RIESGO

ión.
S
izac
TOP-DOWN BOTTOM-UP
or
E
u t
a
I
· Alineación estratégica · Mayor participación de toda la via
organización
p re
R
· Convergencia con la capacidad máxima
de riesgo · Alto nivel de capilaridad si
n
ial
c
e
· Estimulación del debate del equipo ejecutivo r
· Sencillez en la definición, sobre todo
para riesgos másedifíciles de cuantificar
d om
· Alineación con buenas prácticas
o c
A
· Uso de información histórica y detallada de
· Inclusión de los grupos de interés
+ + el u riesgos s
ite
R - -
e rm
p
U
· Menos participación de niveles s e · Demasiadas interacciones para
o
T
operativos en la definición
. N converger con capacidad máxima de riesgo
os
L
· Menos nivel de detalle
ad · Menos debate en niveles ejecutivos
· Mayor complejidad en la definición rvy
s e · Menor convergencia con los requisitos
U
cuantificación
r e de los grupos de interés
h os
C
c con información del Instituto de Auditores Internos de España , Sánchez y entrevistas realizadas .
eautores
r
de
Fuente: elaboración de los 173 174 175
s
loInternos de España, 2013, p.28.
173
s
op.6.
Instituto de Auditores
Entrevistasd
174
Sánchez, 2016,
o
©T
175
90
S
G O ió n.
S
i zac
METODOLOGÍAS PARA LA DEFINICIÓN DEL APETITO DE RIESGO
or
E
t
au
I
Existen metodologías para definir el apetito de riesgo condicionadas en gran medida a la actividadaeconómica
v i y al
sector en el que se desempeña la organización. Los autores de la cartilla ofrecen las particularidades
todologías tanto de organizaciones vinculadas al sector financiero, como las que no, debidopa que las financieras
re de las me-
R
generalmente utilizan medidas cuantitativas y las del sector real pueden tener tanto cuantitativas sin como cualitativas.
cial
e er
• Organizaciones no financieras
d omingresos,representativas
Elegir una cifra para el apetito de riesgo puede basarse en variables económicas del tamaño
de la organización (área, país, unidad, etc.), un porcentaje del EBITDA, o c resultado operativo, entre
A
otras. Esta cifra puede complementarse con un valor de probabilidad, s
u es decir, apetitos de riesgo que resultan
de combinaciones de impacto y probabilidad y que pueden asociarse e l a intervalos en el mapa de riesgos para
e
R
una mejor representación gráfica y comprensión . 176
it
m
p er
U
• Organizaciones financieras
Las instituciones financieras pueden elegir medidas se cuantitativas para expresar su apetito de riesgo global a
No y las métricas utilizadas son diversas y varían en función del
T
través de la simulación de diferentes escenarios
sector de actividad. Es habitual que eloapetito s.
L
de riesgo esté compuesto de valores económicos y probabilida-
d
des. A continuación, en la figura veinticuatro
r vdea la definición
(24) se presenta a modo de ejemplo, un cuadro con indicadores
mínimos que deben formar parte
s e del apetito de riesgo de la organización, así como de su pos-
U
terior seguimiento:
s re
ho
C
c
e re
s d
s lo
o
Institutodde Auditores Internos de España, 2013, p.29.

o
©T
176
91
O S
G
Figura 24
ión.
S
ac
MÉTRICAS PARA DEFINIR EL APETITO DE RIESGO
iz
or
E
ut
a
I
e via
p r
R
sin
cial
e er
MÉTRICAS DE MÉTRICAS DE MÉTRICAS DE
d
CAPITAL INGRESOS LIQUIDEZ
c om
so
A
l u
e
ite
R e rm
p
U
se
o
T
Solvencia. Fondos propios
s. N dedelos
Volatilidad ingresos. Plazo de liquidez. Periodo de
do
requeridos por la actividad. Variabilidad los ingresos. tiempo en el que el balance de caja
L
Capital económico. Fondos va
r Rentabilidad del capital
Rentabilidad del capital.
es suficiente para hacer frente a
los compromisos esperados.
s e
U
propios requeridos con un
nivel de confianza (superior al re económico ajustadas Ratio de liquidez. Comparación
90%). Suele ser superior s
al capital regulatorio.ho
al riesgos. entre los activos esperados y las
C
ec salidas de caja esperadas.
der elaboración de los autores con base en el Instituto de Auditores Internos de España .
os
Fuente: 177
Ibid, p.30. d
os
177
T o
92
©
S
G O ión.
S
izac
or
IE
ut
a
evia
pr
R
s in
cial
¿CÓMO EVALUAR EL APETITO DE RIESGO?
d e c om
er
sola cultura de riesgos como en la gestión,
A
Para evaluar el apetito de riesgo como un aspecto fundamental tantouen
l sea diligenciada. Aquellas consideraciones
se presenta en la tabla doce (12) la siguiente lista de chequeo paraeque
ite como actividades a desarrollar, orientadas al
R
que se respondan de manera negativa deben ser tenidas en cuenta
fortalecimiento del sistema de gestión de riesgos y por ende
ermapoyen la transformación de la cultura:
p
U
s e
o
T
s .N
do
L
rva
e
es
U
r
h os
C
rec
s de
s lo
odo
©T 93
O S
G
n.
Tabla 12
ió
S
LISTA DE CHEQUEO PARA EVALUAR EL APETITO DE RIESGO
izac
PREGUNTAS SI
or
NO
E
ut
a
I
APETITO DE RIESGO
1 ¿La organización cuenta con una declaración cualitativa o cuantitativa del apetito de riesgo?
evia
pr
R
2 ¿El apetito de riesgo fue aprobado por la alta dirección?
sin
ial
3 ¿El apetito de riesgo tiene en cuenta las diferentes expectativas de los grupos de interés?
c
e er
4 ¿La definición del apetito de riesgo se encuentra alineada con la información de los mapas de riesgos actualizados?
d om
¿En el diseño del apetito de riesgo interactúan elementos como la cultura de riesgos, la capacidad de riesgos, la madurez del
5 proceso de gestión de riesgos?
c
so
A
6 ¿La organización tiene definidos los niveles de aceptación de sus principales riesgos?
u
l estratégicos?
e
te
R
7 ¿La organización tiene identificada la medida en que los riesgos afectan la consecución de los objetivos
¿La organización enfrenta diferentes niveles de riesgo: estratégico, táctico y operacional? i

rm naturalezas y situaciones que afronta?
8
p e
U
9 ¿La organización tiene definidos diferentes apetitos de riesgo, en función de las diferentes
¿La tolerancia al riesgo y el apetito de riesgo se encuentran alineados? s

e
No
10
T
.
os
11 ¿El apetito de riesgo se comunica internamente dentro de la organización?
L
a d
¿El apetito de riesgo es monitoreado y actualizado periódicamente?
12
r v
s e
U
13 ¿Se cuentan con controles y sistemas de alerta de desviaciones que permitan reconducir los niveles de riesgo, en caso que estos
re
sobrepasen los límites establecidos?
s
ho
Fuente: elaboración de los autores con base en la información del Instituto de Auditores Internos de España 178, RIMS 179, IRM 180, Anderson 181, Sánchez 182 y las entrevistas realizadas 183.
C
c

e re
Ibid, pp.9-49.
d
178
RIMS, 2012, p.13.

s
179
180
IRM, 2011, p.7.
s lo
op.6.
181
Anderson, 2011, p.22.
Entrevistasd
182
Sánchez, 2016,
o
©T
183
94
S
E n síntesis, la definición del apetito de riesgo es una
G O ión.
S
guía para que la organización tome decisiones cons-
izac
or
cientes basadas en riesgos que los mantengan en los ni-
IE
veles de exposición deseados y definidos. Al realizar la
ut
definición se debe tener como premisa la alineación con a
la estrategia y destacar la importancia y responsabilidad
evia
pr
R
que tiene la alta dirección en la determinación del mis-
mo. Además, es fundamental tener claridad en los obje-
sin
tivos estratégicos definidos y los riesgos que emergen de
cial
e er
cada uno de ellos. Desde el punto de vista de los autores,
d om
una vez analizada la información recopilada para definir
el apetito de riesgo de la compañía, se sugiere abordar c
so
A
riesgos reputacionales, financieros, operativos, estra-
l u
tégicos, legales, de comportamiento (soborno, transpa- e
ite
R
rencia, corrupción, conflicto de intereses), así como los
de lavado de dinero y prácticas poco éticas, con el pro-
erm
p
U
pósito de establecer un marco de apetito de riesgo eficaz
se
que ayude a reforzar la cultura de riesgos en una organi-
No
T
zación, lo cual a su vez es importante para una adecuada
.
gestión de riesgos.
os
L
d
va
Por último, cada organización debe establecer los nive-
r
les que mejor se adecuen a su realidad en todo momento
se
U
e
y al perfil de riesgo que desea la alta dirección con va-
r
s
riables tanto cualitativas como cuantitativas, sin olvidar
ho
C
c
que se pueden definir varios apetitos de riesgo para una
re
misma organización desde el punto de vista operativo,
e
d
financiero, legal, entre otros.
s
s lo
odo
©T 95
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
cial
d e so
com
er
A
l u
e
ite
R erm
p
U
se
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo
odo
©T
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
s in
COMUNICACIÓN DE RIESGOSial
c
d e so
c om
er
A
Criesgos es la comunicación de riesgos, entendida como
e
l u
omo se mencionó en el capítulo uno (1), un aspecto transversal en el modelo de cultura de
e un proceso continuo para suministrar,
R
compartir u obtener información relacionada con la it gestión de eventos . Así, la comunicación de
184
riesgos está conectada con la transformaciónrde m la cultura de riesgos, al generar que el perso-
e
p de gestión. Durante el recorrido del capítulo, se
U
nal sea consciente del riesgo y de sus prácticas
explica el concepto de comunicación y s e
su importancia para la cultura de riesgos, se comparte un
o
T
. Nundeplan
modelo general del proceso, los tipos mensajes y estrategias de comunicación y se presenta
un formato estándar para elaborar
o s de comunicaciones orientado a la comunicación de
L
riesgos en la organización.aAldcierre del capítulo, se comunica una lista de chequeo con preguntas
e rvoportunidades de mejora en el proceso de comunicación para la gestión
que permitirán identificar
es
U
de riesgos en la organización.
r
h os
C
r ec
s de
s lo
odo ICONTEC, 2011, p.7.

©T
184
O S
1. Como un proceso social: conjunto de mensajes
que se intercambian entre los empleados de una
G
n.
organización y entre las organizaciones y sus pú-
blicos externos.
ió
S
izac
2. Como una disciplina: entendida a manera de un
DEFINICIÓN
or
campo del conocimiento humano, que estudia la
IE
ut
forma en que se da el proceso de comunicación en-
a
via
La comunicación es un proceso continuo y repetitivo que tre personas y organizaciones.
una organización realiza para suministrar, compartir u e
3. Como un conjunto de técnicas y actividades: los
pr
R
obtener información y establecer un diálogo con las par- conocimientos generados a través de la investiga-
tes involucradas respecto a la gestión del riesgo185. Es vi- s in
ción en el proceso de comunicación, sirven para
tal para el ser humano en un entorno familiar, en socie- ial
desarrollar estrategias encaminadas a facilitar y
c
e er
dad o en un ambiente empresarial, y cobra cada vez más agilizar el flujo de mensajes entre los miembros de
d om
relevancia asegurar que los procesos se desarrollan con una organización y entre ésta y su público externo.
c
sopara la gestión de riesgos debe clasifi-
elementos comunes tales como un lenguaje unificado
A
para el emisor y el receptor, canales adecuados y cla- u
La comunicación
l al grupo de interés a quien vaya dirigido
ridad en el mensaje a comunicar. Otra aproximación es e
carse de acuerdo
ite que se desea transmitir. Se puede identificar
R
desarrollada por Andrade186, quien presenta la siguiente el mensaje
analogía: la comunicación es para la organización lo que m
la rcomunicación interna como aquella dispuesta para
e
pobtener, compartir o suministras información al interior
U
el sistema circulatorio es para el ser humano, permite
que la sangre que en este caso es la información, lle- s e de la organización, a través de la cual se crean relacio-
No
T
gue a todos los rincones del cuerpo y les proporcione el nes con el propósito de informar, integrar y motivar a los
.
os
oxígeno necesario para su sano funcionamiento y, por lo empleados para que contribuyan al logro de los objetivos
L
d
rva
tanto, para la supervivencia misma del sistema. y la comunicación externa, como aquella dispuesta para
se
obtener, compartir o suministrar información al público
U
Existen diferentes maneras de ver laecomunicación
r al in-
s se definen de tres
externo con el objetivo de mantener y mejorar las rela-
ho
terior de la organización, las cuales ciones, proyectar una imagen favorable y promover pro-
C
ec
formas :187
ductos y servicios de una organización188.
er

s d
185
Andrade, 2005, p.9. l

Ibid.
o
Ibid, pp-15-16os
186
Ibid, p.17. d
187
188
T o
98
©
S
G O ión.
S
izac
or
E
u t
a
I
¿POR QUÉ ES IMPORTANTE LA COMUNICACIÓN PARA LA CULTURA DE RIESGOS?
evia
p r
R
sin
La comunicación es un aspecto transversal en el modelo de cultura y se desarrolla para suministrar, compartir u
obtener la información relacionada con la gestión de riesgos en todos los niveles de la lorganización, ya sea de ma-
c ia
e
nera verbal o escrita. Es un mecanismo a través del cual los empleados reciben y comparten información sobre las
r
e el conocimiento organizacio-
políticas, directrices, responsabilidades y eventos, propicia la participación y promueve
d o m
c
nal alrededor de la gestión de riesgos. Para asegurar que la comunicación relacionada con la gestión de riesgos se
desarrolle de manera eficaz, es importante que la organización defina unolenguaje común, pautas claras y canales
A
us
adecuados para su transmisión y que dicho proceso sea continuo yl repetitivo para que aquellos mensajes claves
relacionados con la información de riesgos se mantengan en la ememoria e
R
organizacional y se logre transformar la
cultura de riesgos. it
m
p er
U
MODELO DE COMUNICACIÓN PARA LA GESTIÓN
s e DE RIESGOS
o
T
Un reto al que se enfrentan las organizaciones. N es encontrar la estrategia adecuada para comunicar, que incluya la
os el público objetivo, los colores, estilos, formas, contenidos, entre
L
d
selección del canal, la estructura del mensaje,
rvapresentan en la figura veinticinco (25) un modelo general de comunicación
otros aspectos. Los autores de la cartilla
seseguir una metodología en la implementación de programas y campañas de
U
organizacional interna, que permite
e
comunicación para la gestión derriesgos:
h os
C
rec
s de
s lo
o do
©T 99
Figura 25 MODELO DE COMUNICACIÓN ORGANIZACIONAL
O S
G
PARA LA GESTIÓN DE RIESGOS
ión.
S
izac
or
IE
¿Qué se quiere ut
a
via
Comunicar?
e
Identificar el mensaje o
pr
R
tema, el público a quien va
in
do ión
s
su nt y
dirigido, la necesidad de
re me ión
ial
lta ac
s
de oali luac
comunicación, qué se
c
e er
quiere lograr
tr a
re Ev
d so
c om
A
l u
e
ite
R
Estructuración y
desarrollo del
erm Definición de
p
U
plan de comunicaciones
se las estrategias
de comunicación
Despliegue de la estrategia de
o
T
.N
comunicación definida en las
etapas anteriores
o s · Estructuración del mensaje
L
a d · Definición de un
r v
e lenguaje común
es
U
s r · Seleccionar pautas
h o y canales de
C
ec
comunicación
r
s deFuente: elaboración de los autores con información de Andrade y las entrevistas realizadas .
lo
189 190

s
189
Ibid, p.47
o drealizadas
©T
190
Entrevistas
100
S
G O ión.
S
izac
or
IE
ut
a
evia
¿QUÉ SE QUIERE COMUNICAR?
pr
R
sin
ial
A través de las estructuras organizacionales conocidas en la práctica191, se evidencia que entre los grupos interesa-
c
e
dos al interior de la organización sobre los cuales circula la información y los mensajes de la gestión de riesgos se
er
d
encuentran la alta dirección, el equipo de gestión de riesgos, auditoría, control, las unidades de negocio y las unida-
com
des de apoyo a los procesos clave. La información circula siguiendo los caminos oficiales dictados por la estructura
so
A
jerárquica o roles de los empleados y sigue los enfoques top-down, para aquellas directrices y comunicación de la
l u
gestión de riesgos que se emite desde la alta dirección o unidades estratégicas hacia las unidades de negocio o de
e
ite
R
apoyo, tales como lineamientos para la gestión de riesgos, políticas de apetito de riesgo, estructuración de roles y
rm
responsabilidades, entre otras. La información que circula con un enfoque bottom-up, promueve la participación de
e
los empleados y puede tratarse de reportes de riesgos, informes de rendimiento y resultados de indicadores de ries-
p
U
e
gos. La información también circula en el mismo nivel o de manera horizontal y es aquella que se da entre emplea-
s
No
T
dos del mismo equipo de trabajo o en roles similares en la organización. La siguiente tabla trece (13), describe los
.
diferentes tipos de mensajes existentes en la organización los cuales pueden ser tomados y adecuados de acuerdo
os
L
d
a la información relacionada con la gestión de riesgos:
rva
se
U
re
s
ho
C
c
ere
s d
s lo

Ibid. od
o
©T
191
101
O S
G
ión.
S
Tabla 13
izac
or
E
ut
a
I
TIPOS DE MENSAJES PARA LA COMUNICACIÓN DE RIESGOS
TIPO DE MENSAJE DESCRIPCIÓN INFORMACIÓN A COMUNICAR
evia
pr
R
in
Políticas y lineamientos en gestión de riesgos.
s
Explican cómo deben realizarse las tareas y Planes de comunicación para promover las responsabilidades de riesgos.
ial
Mensajes directivos qué se espera de los empleados (instruccio- Directrices relacionadas con el apetito de riesgo.
nes, acciones, normas, disposiciones) en Directrices sobre cómo comunicar los eventos de riesgos.
c
er
e
gestión de riesgos. Informe anual de gestión de riesgos.
om
d
Su objetivo básico es que las personas sepan Informe periódico de resultados sobre la gestión de riesgos.
Mensajes informativos lo que sucede en la organización con relación a
c Información con mediciones de indicadores de riesgos.
so
A
o de contexto los temas de riesgos. Comunicación de riesgos materializados fuera de los niveles de apetito de riesgo.
l u
e
ite
Buscan participación y el involucramiento del
R
Mensajes personal en los proyectos y programas de Campañas para sensibilizar, generar conciencia y cultura en la gestión de riesgos.
rm
motivacionales cambio que emprende la organización relacio-
nados con la gestión de riesgos.
pe
U
e
Proporcionan información sobre riesgos que Informe final luego de la materialización de un riesgo.
Mensajes de apoyo
de crisis organizacional.
o s
las personas requieren saber en situaciones Protocolos de comunicación de riesgos.
T
Mensajes
s.N
Proporcionan retroalimentación y reconoci- Notificación de resultados sobre la gestión de riesgos.
do
L
de desempeño miento sobre el desempeño laboral en gestión Publicación de empleados destacados en sus unidades de negocio
de riesgos; elementos indispensables para que con relación a la gestión de riesgos.
rva
los colaboradores mejoren sus resultados. Informes de desempeño de riesgo.
e
es
U
Fuente: elaboración de los autores con base en Andrade 192 e información de las entrevistas realizadas 193.
r
h os
C
rec
s de
s lo
dp.9.o a empresas A, B, C, D, 2016.

192
o
©T
193
FSB, 2014,
102
S
O
Como se mencionó anteriormente, la comunicación so- mensajes se deben estructurar para cada público obje-
bre la gestión de riesgos circula en todos los niveles y tivo tanto interno como externo desde su función o rol
G
n.
en todas direcciones. La organización debe propiciar un en la gestión de riesgos, con el propósito de mantener a
ambiente abierto y transparente, en el que se estimulen ó
los colaboradores informados en un proceso de retroa-
i
S
todos los puntos de vista con una actitud positiva y crítica ac
limentación continuo. Así, la transformación de una cul-
iz
entre los empleados y en donde se promueva la partici-
or
tura de riesgos, significa que el personal es consciente
IE
pación en la identificación y escalamiento de los proble- ut
del riesgo y de sus prácticas de gestión, transparentes y
a
via
mas de riesgos de una forma constructiva194. discutidas regularmente196.
e
Es importante definir un lenguaje común acerca de la
pr
R
La rendición de cuentas puede fomentarse a través del gestión de riesgos con pautas de comunicación claras y
establecimiento de mecanismos para la comunicación sin
canales adecuados para transmitir información relacio-
interna, que incluyan directrices para la consulta con las ial
nada con niveles de apetito y tratamiento de riesgos.
c
e er
partes involucradas e información disponible en todos
d om Y DESARROLLO DEL
los niveles. De la misma manera, se deben desarrollar e
c
so
implementar planes para la comunicación con las partes ESTRUCTURACIÓN
A
interesadas externas y garantizar el intercambio de in- PLAN DEuCOMUNICACIONES
formación y retroalimentación para ambos. De esta ma- el
ite
R
nera, las partes involucradas darán sus opiniones de los La organización debe estar en constante búsqueda de
riesgos, causas, consecuencias y medidas con base en m
rnuevas o diferentes maneras de comunicar los mensajes
pe sobre riesgos, a través de un lenguaje común para todos
U
la percepción que tengan sobre los eventos, las cuales
podrán variar195. se
No
los miembros de la organización. A continuación, en la
T
. figura veintiséis (26) los autores de la cartilla presentan
osDE CO-
L
DEFINICIÓN DE LAS ESTRATEGIAS las técnicas de comunicación más utilizadas por las em-
d
MUNICACIÓN
r va presas entrevistadas197:
se
U
Una estrategia de comunicación r e adecuada a través de
o
los canales oficiales de la organización s es necesaria para
dar a conocer las políticasch
C
re
y las decisiones de riesgo. Los
d e
FSB, 2014, p.9. os

NTC ISO 31000,l2011, pp.15-18.

194
195
s p.77.
orealizadas
d
Hindson, 2012,
196
T o
Entrevistas
197
© 103
O S
G
Figura 26
Reportes
ión.
S
ac
de riesgos/ Boletines
amenazas virtuales
iz
or
IE
ut
a
evia
pr
Folletos Mensajes
R
informativos a través
de correos s in
c ial
e er
MEDIOS MÁS
COMUNES DE
COMUNICACIÓNuso d com
A
Banner en
SOBRE LA GESTIÓN e l LUP:
ite
R
la intranet Lecciones
DE RIESGOS m
de un punto
p er
U
s e
No
T
enviados desde os
Reportes .
L
las unidades ad Manuales
r v virtuales
de negocio
e
es
U
s r Cartillas
ho
impresas
C
c
e re
s d
o
Fuente: elaboración de los autores con base en las entrevistas realizadas .
198
osl
od

Ibid.
T
198
104
©
S
ión.
G O
S
izac
or
E
ut
a
I
a
vitipo
Seleccionar un canal o medio para comunicar la información de riesgos, depende del público y del
re de informa-
ción que se desee comunicar. Deben analizarse aspectos como longitud del mensaje, tipos pde datos a presentar,
R
in
audiencia, confidencialidad de la información, número de personas a quien debe llegar elsmensaje,
a l tipo de mensaje,
entre otros. A continuación, en la tabla catorce (14), los autores de la cartilla proponeni una estructura básica para el
c
e ercon la gestión de riesgos.
diseño de un plan que permita practicar una comunicación organizada relacionada
so d
com
A
Tabla 14
l u
e
te DE COMUNICACIONES CICLO DE
R
PLANTILLA PARA EL DISEÑO DE UN PLAN
i
rm
TIPO DE
e
MENSAJE CONTENIDO CANAL EMISOR RECEPTOR RESPONSABLE FRECUENCIA VIDA CANAL
p
U
<Indicar si son
mensajes Directi-
<Descripción del
contenido de los
s
de qué canale
<Indicar a través <Rol, cargo,
persona quien
<Público objetivo
que recibirá el
<Área o rol en la
organización respon-
<Periodicidad de
envío del mensaje:
<Indicar si el canal
está Nuevo (N) o
No
T
vos (D), Informa- mensajes> serán enviado los emitirá el mensaje> sable de que dicho Semanal (S), Mensual Maduro (M)>
.
tivos (I), Motiva- mensajes: Correo mensaje> mensaje sea enviado (M), Semestral (T),
os
cionales (M), (C), Boletín (B), de acuerdo al proto- Anual (A)>
L
etc.> Informe (I), etc.> colo definido>
d
va
Fuente: elaboración de los autores con base en las entrevistas realizadas 199.
r
se
U
re
s
ho
C
c
e re
s d
s lo

Ibid. d
o
o
©T
199
105
O S
G ión.
S
izac
or
E
u t
Como complemento a la estructura del plan de comunicaciones, se describen los siguientes factores, queade acuer-
I
do con ICONTEC , en su texto comunicación y consulta acerca del riesgo, pueden tener influencia envel iaéxito de una
e
200
p r
R
comunicación, los cuales se mencionan a continuación:
sin
• Contexto: situación en la cual ocurre la comunicación.
cial
e
r
eprevio.
• Cultura: antecedentes del transmisor y receptor, cultura y subcultura de la organización.
d ompersonas de culturas diferentes.

• Conocimiento: tanto la capacidad intelectual del receptor, como su conocimiento
c
• Lenguaje: el significado preciso de las palabras, en contextos diferentes y para
so a la naturaleza y el tamaño de las
A
u
• Motivación: la motivación del transmisor y del receptor puede diferir respecto
l
consecuencias potenciales, si ocurre un evento. e
ite de un mensaje puede estar alterada por su
R
• Percepciones individuales: la interpretación que hace un individuo
experiencia de vida, actitudes, valores, creencia, cultura y rm
educación.
p e
U
• Complejidad del mensaje: el mensaje puede hacerse complejo, debido a la disciplina técnica involucrada o a la
complejidad del riesgo. s e
o
T
• Marco temporal: la comunicación que se presenta
. N demasiado pronto o demasiado tarde para ser significativa,
puede ser contraproducente.
os o evidencia conflictiva, pueden interferir con los mensajes.
L
d
va
• Interferencia: información errónea, propaganda
r
se
U
re
s
ho
C
c
ere
s d
s lo
do p.10.

o
©T
200
ICONTEC, 2011,
106
S
O
Figura 27
G
OTROS ASPECTOS QUE DE- Crea sentido de
ión.
S
urgencia, evoca
BEN CONSIDERARSE PARA emociones
ac
fuertes, peligro.
r iz
comunicación, to
ESTRUCTURAR EL PLAN DE Incentiva la
E
Asociado con
respeto, corpora- incrementa la u
COMUNICACIONES
a
I
tivismo, sobrie-
i a
alegría, utilizado
ev
dad, autoridad y para llamar la
Se han mencionado anteriormente elegancia.
p r
atención.
R
los medios más comunes de informa-
sin
ción y los factores que pueden tener
al
influencia en el éxito de la comunica-
ci
e
ción, sin embargo, existen aspectos er Representa
d om
Representa calma y sereni-
que deben considerarse importantes PSICOLOGÍA
claridad,
c
o COLOR
dad, incrementa
A
para el diseño y ejecución del plan DEL
s
simplicidad, la productividad,
de comunicaciones. Algunos de ellos
perfección y
l u es un color no
e
verdad. invasivo.
ite
como el color, cumplen un papel fun-
R
damental en la interpretación, asocia-
ción y orientación del mensaje, si bien e rm
p con sa-
U
cada organización tiene definidos sus
e
s usado
Asociado
Símbolo de pre-
caución, refleja
colores corporativos, los cuales deben
o biduría,
T
entusiasmo, re-
N para calmar y
s.
ser utilizados para las comunicacio- apaciguar, repre-
presenta una
o marca amigable,
L
nes, aquí se comparten algunos con-
d
senta creatividad. alegre, confiable.
Representa un
ceptos generales sobre el uso de los va nuevo crecimien-
colores en la figura veintisiete (27) y
s er to, asociado con
U
re
riqueza, utilizado
lo que cada uno de ellos quiere repre- para relajar.
s
sentar:
ho
C
c
e re
s d Fuente: elaboración de los autores con base en Valero201 y las entrevistas realizadas202.
s lo
dorealizadas

Valero, 2013,
201
pp.179-180.
T o
Entrevistas
202
© 107
O S
G ión.
S
izac
or
E
que se quieren comunicar de manera visual. La construcción de un logo agradable y apropiado para el a
t
El logo que representa o caracteriza el área de riesgos también es importante porque crea identidad en los mensajes
u debe
I
área,
asegurar que las personas se identifiquen con ésta o con los propósitos corporativos y en especial del v iaárea de ries-
e
gos. El logo debe crear recordación en la mente de los empleados de la organización, de forma talr que los comuni-
p relacionados
R
n
cados emitidos por riesgos adquieran una marca o sello particular y reconocimiento por todosiaquellos
s
con la gestión de riesgos.
al
ci
e e r
d
EVALUACIÓN Y RETROALIMENTACIÓN DE RESULTADOS
o m
c
so de identificar su eficacia y realizar los
A
El plan de comunicaciones debe evaluarse de forma periódica con el objetivo
u
ajustes en los componentes del plan que así lo requieran. Acompañadol del desarrollo del plan de comunicaciones,
e e de la necesidad e importancia de llevar
R
t
deben ejecutarse estrategias que permitan concientizar a la organización
i
rm
a cabo dicho plan. La evaluación y retroalimentación de los resultados del plan de comunicación, le permiten a la
p e
U
organización identificar si se utilizan los medios de comunicación, formatos, estructuras, colores y mensajes ade-
cuados para socializar la información de riesgos. s e
o
T
¿CÓMO EVALUAR EL PROCESO DE COMUNICACIÓN s .N EN LA GESTIÓN DE RIESGOS?
o
L
a d
v
r (15), la siguiente lista de chequeo para evaluar el proceso de comuni-
A continuación, se presenta en la tabla quince
e
s consideraciones que se respondan de manera negativa deben ser tenidas
U
e
cación en la gestión de riesgos. Aquellas
r
o s
en cuenta como actividades a desarrollar al interior de la organización orientadas al fortalecimiento del proceso de
comunicación de riesgos parahtransformar la cultura:
C
rec
s de
s lo
o do
108
©T
S
O
Tabla 15
G
n.
LISTA DE CHEQUEO PARA EVALUAR EL PROCESO DE COMUNICACIÓN EN LA GESTIÓN DE RIESGOS
PREGUNTAS SI NO
ió
S
COMUNICACIÓN DE RIESGOS
izac
or
1 ¿Se tiene estructurado un plan de comunicaciones para la gestión de riesgos en la organización?
IE
2 ¿Los mensajes relacionados con la gestión de riesgos son comunicados con un lenguaje sencillo y claro en todos los niveles de la organización?
ut
a
via
3 ¿La alta dirección comunica constantemente su compromiso con la gestión de riesgos?
e
pr
4 ¿Se tiene un protocolo estándar de comunicación de los eventos de riesgos?
R
in
5 ¿El área de riesgos comunica de forma periódica el grado de avance en la gestión de riesgos?
s
ial
6 ¿El área de riesgos realiza campañas de sensibilización a través del envío de tips o cápsulas informativas relacionadas con la gestión de riesgos?
c
e er
7 ¿Se cumple la periodicidad definida por la organización para las campañas de sensibilización relacionadas con la gestión de riesgos?
d
¿Los empleados de la organización comunican los eventos de riesgos formalmente?
om
8
9 ¿Se tiene definido el tipo de información que va dirigida a cada uno de los públicos interesados?
c
so
A
10 ¿El lenguaje de riesgos se encuentra inmerso en las actividades diarias de los empleados de la organización?
l u
e
11 ¿El equipo de la gestión de riesgos garantiza que la información de riesgos sea comunicada en los niveles pertinentes?
ite
R
12 ¿Se tiene claridad del tipo de información de riesgos que puede ser compartida con los diferentes grupos de interés a nivel organizacional?
rm
13 ¿Se cuenta con canales para el envío de información relacionada con la gestión de riesgos?
pe
U
14 El área de riesgos cuenta con un logo que identifique los comunicados, mensajes e información relacionada con la gestión de riesgos?
15
se
¿La información relacionada con la gestión de riesgos circula siguiendo enfoques top-down, botton-up u horizontal?
No
T
16 ¿Existen mensajes directivos relacionados con la gestión de riesgos, los cuales son enviados al resto de la organización?
.
os
L
17 ¿Existen mensajes informativos o de contexto relacionados con la gestión de riesgos, los cuales son enviados al resto de la organización?
d
va
18 ¿Existen mensajes motivacionales relacionados con la gestión de riesgos, los cuales son enviados al resto de la organización?
r
se
19 ¿Existen mensajes de apoyo relacionados con la gestión de riesgos, los cuales son enviados al resto de la organización?
U
20
r e
¿Existen mensajes de desempeño relacionados con la gestión de riesgos, los cuales son enviados al resto de la organización?
s
ho
21 ¿Los mensajes enviados por el área de riesgos contienen información que es fácilmente entendida por los empleados en la organización?
C
c
re
Fuente: elaboración de los autores con información de ICONTEC 203, NTC ISO 31000 204, FSB 205, Andrade 206, Hindson 207 y las entrevistas realizadas 208.
ICONTEC, 2011, p.7.

d
203
s
NTC ISO 31000, 2011, pp.15-18.
204
FSB, 2014, p.9.

205
o
EAndrade, 2005,l pp.9-47.
s
dorealizadas
206
Hindson, 2012,
207
p.77.
T o
Entrevistas
208
© 109
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
cial
d e so
com
er
A
l u
e
ite
R erm
p
U
se
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo
odo
110
©T
S
G O ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
ial
E c
e
n conclusión, la gestión de riesgos debe hacer parte
del lenguaje común en las labores diarias y se debe er
d om
comunicar de manera constante en comités, reuniones,
c
so
A
capacitaciones, entre otros. Es importante generar es-
trategias acerca de la cultura de riesgos que permita co- l u
e
ite
R
municar a través de mensajes que los riesgos son una
condición necesaria para hacer negocios y administrar-
los conscientemente le brinda a la organización informa- er
m
p
U
e
ción confiable para tomar decisiones y difundir el conoci-
s
miento acerca de los riesgos. o
T
s.N
do
L
rva
e
es
U
r
h os
C
rec
s de
s lo
o do
©T 111
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
cial
d e so
com
er
A
l u
e
ite
R erm
p
U
se
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo
odo
©T
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
CAPACITACIÓN Y DESARROLLO ial
c
PARA LA GESTIÓN DE RIESGOS
d e so
c om
er
A
L e l u
a capacitación y desarrollo es el último componente transversal
gos propuesto en el capítulo uno (1), donde la capacitación
e
del modelo de cultura de ries-
es entendida como aquellas activi-
R
dades que proporcionan a los empleados conocimiento it para la gestión de riesgos en su trabajo
209
e rmde la que
actual y el desarrollo es definido como las acciones prepararan a los empleados para asu-
p
U
mir responsabilidades futuras. La importancia capacitación y desarrollo en la cultura de
se
riesgos radica en que provee a los empleados de la organización conocimientos y habilidades en
o
T
gestión de riesgos que mejoran sus
. Ny actitudes frente al mismo. Durante el recorrido de este ca-
o s
pítulo, se definen los dos aspectos su importancia para la cultura de riesgos, se presentan las
L
etapas del proceso cíclico ade d capacitación y desarrollo, se listan algunos componentes básicos
rv
se
que debe contener un programa y algunas estrategias para potenciarlo, finalmente se comparten
U
algunas opciones deeentrenamiento en la gestión de riesgos. Al cierre del capítulo, se plantea una
r
lista de chequeoscon preguntas que permiten identificar oportunidades de mejora en el proceso
hoy desarrollo para la gestión de riesgos en la organización.
C
c
de capacitación
e re
s d
s lo
odo López et al., 2014, p.94.

©T
209
DEFINICIÓN
O S
El desarrollo es definido desde el punto de vista de la
organización y de las personas como las acciones que
G
n.
Como se mencionó anteriormente, la capacitación es el buscan preparar a los empleados para asumir respon-
conjunto de actividades encaminadas a proporcionar al
ió
sabilidades de trabajo futuras en el primer caso, y para
S
capital humano conocimientos, para que desarrolle ha-
izac
el segundo es el proceso que conduce mediante el cono-
bilidades y destrezas, y modifique actitudes, al mejorar
or
cimiento de sí mismo a incrementar las posibilidades de
IE
así el desempeño de sus actividades e incrementar la ut
crecimiento, progreso, adelanto y desarrollo del talento
a
via
competitividad de la organización210. Otra aproximación, humano212. En gestión de riesgos, el desarrollo busca
la define como el proceso de preparación y perfecciona- e
que los empleados obtengan a futuro la posibilidad de
pr
R
miento técnico para mantener o mejorar un desempeño ascender en la estructura de roles y responsabilidades
eficaz y eficiente en el cargo actual. Así, existen tres cla- sin
de riesgos definida en la compañía. De acuerdo con las
ses de capacitación según los fines: capacitación para
cial
definiciones anteriores, la principal diferencia entre ca-
e er
saber, hacer y ser211. La primera corresponde a acciones pacitación y desarrollo radica en la finalidad ya que la
d om
que tienen como finalidad la adquisición de conocimien- primera prepara a la persona para que realice el trabajo
c
so
to, por ejemplo, cursos, seminarios, conferencias, entre actual, la segunda para los puestos futuros en la orga-
A
otros. La segunda, es la capacitación que busca desarro- nización.
l u
llar las habilidades de la persona a través de talleres de e
e ES IMPORTANTE LA CAPACITA-
R
negociación, comunicación, presentaciones asertivas, ¿PORitQUÉ
entre otras. Y la tercera tiene como objetivo lograr la ac-
erm Y DESARROLLO PARA LA CULTURA
CIÓN
pDE RIESGOS?
U
titud adecuada por parte de los empleados para el tra-
bajo organizado en equipo, y por otra parte, el mejora- se
No
T
miento de la persona como miembro de la organización,
. La capacitación y desarrollo permiten una mejor integra-
os
la comunidad y la sociedad en general. Para la gestión
L
ción de los miembros en la organización, promueven la
d
rva
de riesgos, la capacitación es un proceso educativo don- identificación con la cultura de riesgos, así como la alta
se
de los empleados adquieren conocimientos, desarrollan productividad, competitividad, creatividad, innovación y
U
re
habilidades y mejoran sus actitudes frente a los riesgos disposición para el trabajo y mejoran el desempeño de
s
ho
al transformar la cultura. los colaboradores de la organización.
C
c
ere
s d

s lo
Rueda, 2010. o
210
Ibid.
od 2003.
211
T
Aspe y López,
212
114
©
S
8. CAPACITACIÓN Y DESARROLLO PARA LA GESTIÓN DE RIESGOS
G O ió n.
S
izac
or
E
t
auempleados,
I
Invertir en capacitación y desarrollo minimiza los riesgos operativos y mejora la tasa de retención deialos
la satisfacción del cliente y la creatividad para idear nuevos productos . Al dotar a los empleados
213
revde conocimientos
y habilidades, la organización debe potenciarse a través del desarrollo de las capacidades depaprendizaje, creativi-
R
dad e innovación al fin de crear un capital intelectual, entendido como un nuevo activo quesse inconforma básicamente
cial
del conocimiento implícito en los procesos y explícito en la experiencia de los trabajadores.
d e
En suma, la capacitación y desarrollo son herramientas de cambio positivo oen
c
er
mla transformación de la cultura de
o donde los empleados estén formados
A
riesgos en la organización, ayudan a mejorar el presente, a construir el futuro,
us
eficiente. e l
y preparados para superarse continuamente y gestionar los riesgos motivados para lograr una colaboración más
ite
R
PROCESO CÍCLICO DE CAPACITACIÓN Y DESARROLLO e rm EN GESTIÓN DE RIESGOS
p
U
Un proceso de capacitación y desarrollo en gestióno de seriesgos y en cualquier otra disciplina contiene las siguientes
T
etapas que deben ser desarrolladas en orden,.como N se muestra en la figura veintiocho (28) con el objetivo de iden-
s
do y obtener el patrocinio de la alta dirección.
L
tificar las necesidades, los recursos, el tiempo
rva
e
es
U
r
hos
C
rec
s de
s lo
dal.,o 2014, p.96.

o
©T
213
López et
115
Figura 28
O S
G
n.
PROCESO DE ió
S
CAPACITACIÓN izac
or
E
Y DESARROLLO ut
a
I
Evaluación, control y seguimiento:
ia
vproceso
Evaluar los resultados del
re
p
R
al establecer una comparación
entre la situación actual
s in y la anterior.
cial
d e Implementación:
Ejecución del programa.
so
c om
er
A
l u
e
ite
R
rm
Programación:
Diseño del programa.
p e
U
s e
o
T
Diagnóstico: s .N
do
L
a
Inventario de necesidades.
rv
e
es información de López, Mejía, Ituarte, Escajeda y Enríquez , y las entrevistas realizadas .
U
r
Fuente: elaboración de los autores con 214 215
h os
C
rec
s de
s lo
o

Entrevistasd
214
Ibid, pp. 94-96.
o
©T
215
116
S
G O ió n.
S
izac
or
E
t
u DE
a
I
via
DIAGNÓSTICO DE NECESIDADES DE CAPACITACIÓN Y DESARROLLO EN GESTIÓN
RIESGOS
r e
p
R
En la primera etapa de diagnóstico se identifican las necesidades de la organización en sincuanto a conocimientos
técnicos y desarrollo de competencias blandas necesarias, de acuerdo con los perfiles i l
aasignados a los cargos, para
c
e e r
desarrollar las actividades relacionadas con la gestión de riesgos. Un diagnóstico acertado facilita la creación de un
d
plan de capacitación y desarrollo adecuado que permite enfocar los recursos am
de los objetivos del plan. c o las necesidades reales para el logro
so
A
u
l Y DESARROLLO EN GESTIÓN DE
¿CÓMO DISEÑAR UN PROGRAMA DE CAPACITACIÓN e
ite
R
RIESGOS?
erm
p
U
El desarrollo de habilidades a nivel del individuo, gira alrededor de los planes de desarrollo personales; mientras que
e
a nivel organizacional, estos aspectos tienen que serscapturados a través de un marco de riesgos de la organización
No para la gestión de riesgos . Así, la naturaleza y la estructura de
T
y en la estrategia global de aprendizaje y desarrollo
.
216
os
L
un programa de capacitación y desarrollo adecuado, como segunda etapa del proceso, busca determinar los medios
y aspectos necesarios que den soluciónaadlas insuficiencias detectadas en el diagnóstico. Los autores de la cartilla
rv
sugieren estructurar el programa deecapacitación y desarrollo con los datos definidos en la figura veintinueve (29):
s
U
s re
ho
C
c
ere
s d
s lo

o p.78.
d2012,
o
©T
216
Hindson,
117
O S
G
Figura 29 DATOS BÁSICOS QUE DEBE CONTENER UN PROGRAMA
DE CAPACIÓN Y DESARROLLO EN GESTIÓN DE RIESGOS
ión.
S
izac
or
IE
ut
a
evia
pr
Empleados a
R
quien va dirigida
Costos la capacitación
sin
cial
Objetivos y
resultados
d e Nombre deo
so
c
m
er
A
esperados capacitador(es)
u
el
ite
R
Mecanismos de
evaluación de e rm Tema o contenido
p
U
conocimientos
adquiridos
se
o
T
s.N Métodos
o
L
Fechas, para enseñar
adduración e y recursos
v
er
intensidad necesarios
s (material,
U
re
herramientas,
s instalaciones)
ho
C
c
e re
s d
s lo Fuente: elaboración de los autores con información de las entrevistas realizadas217.
Entrevistasd
o
o
©T
217
118
S
O
A continuación, en la tabla dieciséis (16) los autores de la cartilla proponen algunas opciones de entrenamiento las
cuales podrán ser utilizadas para definir la estructura del programa de formación en gestión de riesgos:
G
n.
Tabla 16
ió
S
OPCIONES DE ENTRENAMIENTO EN GESTIÓN DE RIESGOS
izac
or
E
TIPO DE ENTRENAMIENTO ASPECTOS CLAVES DE CONTENIDO PÚBLICO OBJETIVO
u t
a
I
via nuevo.
Entrenamiento de inducción Inducción corta virtual o presencial incorporada a programas
corporativos. Por lo general se explica lo que se espera del Todo el personal
e
en gestión de riesgos
personal en gestión de riesgos.
p r
R
in dentroo gestores
Una serie de talleres y/o capacitación por miembros del perso-
Entrenamiento del campeón nal que tienen roles dentro de los procesos de gestión de ries-
sCampeones de
ial
o gestores de riesgos gos. A menudo se describen como campeones o gestores de riesgos del negocio.
riesgos.
c
e
Sesiones cortas abiertas al personal de todos los niveles de un r
tema de relevancia o de interés en la gestión de riesgos. Partee
d
Comidas de trabajo (desayuno,
de la ejecución del programa de aprendizaje y desarrollo. m
Todo el personal existente.
almuerzos, cenas)
c o
ocomunica-
A
Presentaciones del equipo
Presentaciones o grupos de trabajo en diferentes niveles
parte de una formación continua y un programa de
u s como
Varias unidades de negocios.
de gestión de riesgos ción de la gestión de riesgos.
e l
e
R
Capacitación de directores Formación específica para asegurar que
it entienden el marco de
Directores.
en gestión de riesgos gestión de riesgos y la cultura de
m riesgos.
p eder riesgos,
U
Algunas organizaciones invierten medio día o un día en cursos
completo para dotar a e
de entrenamiento en gestión como un programa
Cursos formales de entrenamiento
específico de
o s
riesgos,
los empleados con un rol de gestión
para asegurar que tienen la capacidad de
Todos los empleados con un rol
específico de riesgos.
T
organización yN
asumir el rol de manera consistente con los procesos de la
s . la cultura.
o es una eficiente manera de entrenar a los emplea-
L
dosaad
E-learning
Cursos e-learning
v a través de toda la organización, particularmente en
un costo eficiente, al demostrar que este puede ser
rrealizado Todos los empleados.
e
es partes es importante.
U
ambientes altamente regulados, donde la evidencia a terceras
s r
Entrenamiento técnico o
En profundidad, programas técnicos o profesionales de tiempo
h
C
completo para la gestión de riesgos a los miembros de un Miembros de la función de
e c
en gestión de riesgos equipo en temas como identificación, análisis, evaluación y riesgos.
er
tratamiento de riesgos, entre otros.
d
os
Fuente: elaboración de los autores con base en Hindso 218 y las entrevistas realizadas. 219
l
s p.79.
orealizadas

218
o d
Hindson, 2012,
T
219
© 119
O S
G ión.
S
izac
or
E
ut
a
I
evia
pr
R
MÉTODOS Y ESTRATEGIASnPARA POTEN-
i
sPLAN
CIAR LA EJECUCIÓN DEL
ial DE CAPA-
rc
e
CITACIÓN Y DESARROLLO EN GESTIÓN DE
e
d
RIESGOS m o
o c
A
Para la etapa desimplementación, las organizaciones uti-
u
lizan varios lmétodos para incrementar los conocimien-
e eempleados y ayudarlos a ser más eficaces y
R
tos de tlos
i
rm en el desempeño de sus funciones para la
eficientes
e
pgestión de riesgos, los cuales se mencionan a continua-
U
se ción en la figura treinta (30) y que pueden ser utilizados
No
T
por la organización para desarrollar sus estrategias en-
.
os
focadas a la transformación de la cultura de riesgos:
L
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo
odo
120
©T
S
O
Figura 30
MÉTODOS PARA POTENCIAR LA CAPACITACIÓN
G
Y DESARROLLO EN GESTIÓN DE RIESGOS
ión.
S
Consiste en que los
izac
gestores de riesgos
o r
E
pasen por varios pues- Es una forma tradi- Las personas nuevas
uy t en
a
I
tos de las unidades de cional de desarrollo un puesto de trabajo
iateóricoseny
negocio en la organiza- por cursos formales, reciben instrucción
ción con la intención Significa brindar al clases y seminarios
ev
prácticas minuciosas
r dedesuriesgos.
de expandir sus habili- equipo de riesgos la en riesgos para los aspectos
p
R
dades, conocimientos y oportunidad de todos los empleados prácticos rol en la
in
capacidades. participar en la de la organización. gestión
toma de decisiones,
s
ial
aprender al obser-
c
var a otros e inves-
e er
tigar problemas
específicos de la
d
PARTICIPACIÓN
ROTACIÓN organización.
EN CURSOS Y
o m CAPACITACIÓN
DE PUESTOS SEMINARIOS
o c DE EMPLEADOS
NUEVOS
A
EXTERNOS
s
elu
ite
R
ASIGNACIÓN DE
COMISIONES COACHING
e rm
p
U
e
s ESTUDIO JUEGO DE ROLES
No DERIESGOS
APRENDIZAJE
T
PRÁCTICO CASOS DE PARA TODOS LOS
s . Retroalimentar a
los responsables de EMPLEADOS
do
L
gestionar los
r v a riesgos sobre el
desempeño de su
e labor, a cargo
es
U
de un tercero.
r
Permite a los integran- Se trata de una técnica Consiste en asumir las
conocer y analizar el s
tes del área de riesgos que permite a los em- actitudes y comportamien-
funcionamiento de las o
pleados diagnosticar tos al desempeñar el rol de
h
C
un problema real y otras personas en diferen-
e
unidades de negocioc presentar alternativas tes escenarios para la
e r
en todos los niveles. para su solución. gestión de riesgos.
s d
s lo Fuente: adaptación de los autores con información de López, Mejía, Ituarte, Escajeda y Enríquez .
220
o
oetdal., 2014, pp.92-93.

T
López
220
© 121
En las organizaciones entrevistadas221 se evidencia el
uso de herramientas para capacitación y desarrollo ta-
O S
hacen negociaciones para traer consultores y expertos
de todas las partes del mundo para capacitar en temas
G
n.
les como el curso virtual de riesgos incluido en la in- muy específicos de la gestión de riesgos. En suma, to-
ducción para nuevos empleados, la cartilla de riesgos das las prácticas mencionadas anteriormente se reali-
ió
S
virtual como guía rápida con los lineamientos de riesgos zan con el objetivo de cumplir con la implementación de
izac
y física para realizar ejercicios durante el programa de
or
la estrategia organizacional y se fomenten y fortalezcan
E
capacitación y desarrollo, los manuales de riesgos con u t
los roles y las responsabilidades de la gestión de ries-
a
I
via
las directrices para la gestión de riesgos donde se defi- gos.
nen términos como probabilidad, impacto, apetito, entre
re
p
R
otros, y la semana de gestión integral de riesgos que se ¿CÓMO EVALUAR LA CAPACITACIÓN Y
desarrolla una vez al año con el propósito de profundi- sin
DESARROLLO EN LA GESTIÓN
a l DE RIES-
zar los conocimientos. Además, el plan está definido a
ci
e
GOS?
corto, mediano y largo plazo para todos los niveles de er
d
la organización: desde la alta dirección hasta los niveles El plan de capacitaciónm
o y desarrollo debe evaluarse de
tácticos y operativos, tanto en temas de riesgos genera- forma periódica o c
A
les como específicos. scon elrequeridos
y realizar losuajustes
propósito de verificar su eficacia
l en los elementos que
componeneel plan. El desarrollo de la última etapa de
ite control y seguimiento, le permite a la orga-
R
Se resaltan otras prácticas realizadas como revisar las evaluación,
matrices de riesgos a través de talleres interdisciplina-
e rm identificar si se utilizan los medios y estrate-
nización
pgias adecuadas para proporcionar a los empleados los
U
rios desarrollados dentro de la organización, certificar
en riesgos a gestores de las unidades de negocio para se
No
conocimientos necesarios y si se están preparando para
T
que tengan los mismos conocimientos que el equipo de
. asumir responsabilidades futuras. A continuación, se
riesgos, y definir planes a través de capacitaciones in-
os
L
presenta la tabla diecisiete (17) para evaluar la efecti-
d
ternas, es decir, las que hace el equipo de riesgos a la
rva vidad del plan de capacitación y desarrollo en gestión
se
organización al utilizar canales internos para llegar a de riesgos a través de la siguiente lista de chequeo para
U
r e
los empleados (intranet, cursos virtuales o presenciales, que sea diligenciada. Aquellas consideraciones que se
s
ho
juegos), y capacitaciones externas con expertos especia- respondan de manera negativa deben ser tenidas en
C
c
lizados en temas de riesgos. Para este último caso, se
re
cuenta como actividades a desarrollar, orientadas al for-
de talecimiento del programa de capacitación y desarrollo
lo s en gestión riesgos:
s
drealizadas

o
©T
221
Entrevistas
122
S
Tabla 17
ión.
G O
S
izac
or NO
LISTA DE CHEQUEO PARA EVALUAR LA CAPACITACIÓN Y DESARROLLO EN GESTIÓN DE RIESGOS
E
u t
PREGUNTAS
aSI
I
via
CAPACITACIÓN Y DESARROLLO
re
p
1 ¿Se realiza un diagnóstico de las necesidades de la organización en cuanto a la gestión de riesgos para definir el plan de capacitación y desarrollo?
R
2
sin
¿Se tiene estructurado un plan de capacitación y desarrollo para la gestión de riesgos a mediano y largo plazo?
ial
3 ¿Los programas de capacitación y desarrollo están orientados al fortalecimiento de las competencias técnicas en gestión de riesgos?
c
er
e
4 ¿Los programas de capacitación y desarrollo están orientados al fortalecimiento de las competencias blandas para la gestión de riesgos?
om
d
5 ¿Se evalúa la eficacia del plan de capacitación y desarrollo para la gestión de riesgos?
c
so
A
6 ¿El plan de capación y desarrollo para la gestión de riesgos involucra a todos los niveles de la organización?
7
l u
¿Se evalúan los conocimientos adquiridos por los empleados relacionados con la gestión de riesgos una vez finalizada la capacitación y desarrollo?
e
ite
R
8 ¿Existe retroalimentación de los resultados de las evaluaciones hacia los empleados una vez finaliza la capacitación y desarrollo relacionada con la
gestión de riesgos?
erm
¿Se evalúa la ejecución del plan de capacitación y desarrollo para la gestión de riesgos, y en caso de desviaciones se toman las acciones necesarias?
p
9
U
10
se
¿Se evalúan los resultados obtenidos del plan de capacitación y desarrollo relacionados con la gestión de riesgos, y en caso de desviaciones se
o
toman las acciones necesarias?
T
11
s.N
¿Las opciones y métodos de entrenamiento relacionados con la gestión de riesgos son evaluados por los empleados capacitados con el propósito de
do
obtener retroalimentación para el mejoramiento continuo de los mismos?
L
12
rva
¿Se evalúa el perfil actual de los empleados para la gestión de riesgos, se identifican brechas y se definen planes de capacitación y desarrollo para
disminuir esas brechas identificadas?
e
es
U
Fuente: elaboración de los autores con base en la información de Aspe y López 222, Hindson 223, Rueda 224, López, Mejía, Ituarte, Escajeda y Enríquez 225 y las entrevistas realizadas 226.
r
h os
C
r ec

d e
s
Aspe y López, 2013, p.96.
222
Rueda, 2010 l
o
Hindson, 2012, pp.78-79.
223
224
s
orealizadas
d
López et al., 2014, pp.92-94.
225
T o
Entrevistas
226
© 123
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
ial
L c
as organizaciones requieren de capital humano competente e innovador, capaz de enfrentarse con los mejores
e
r
niveles de competencias técnicas y blandas en la gestión de riesgos, orientados aegenerar conocimiento colectivo
d om de negocio. Esto se logra a

y ventajas competitivas para los retos que enfrentan en el desarrollo de su estrategia
c
o de forma permanente en todos los
A
través de la estructuración de un adecuado plan, el cual debe ser desarrollado
s
niveles de la organización y acompañado por la alta dirección.
lu
Una organización debe estar preparada para capacitar y acompañar aelos empleados en el proceso de entendimien-
e
R
to de la gestión de riesgos para propender en un futuro cercano aitla autogestión y lograr que todos los empleados
hablen el mismo lenguaje y entiendan lo mismo por riesgo, e rm plan de tratamiento, y se transforme la cultura
control,
p
U
de riesgos de la organización.
s e
o
T
s.N
do
L
rva
e
es
U
r
hos
C
rec
s de
s lo
odo
124
©T
S
G O ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
cial
d e so
com
er
A
l u
e
ite
R erm
p
U
se
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo
odo
©T 125
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
cial
d e so
com
er
A
l u
e
ite
R erm
p
U
se
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo
odo
©T
O S
G ión.
S
izac
or
IE
ut
a
evia
pr
R
s in
CAJA DE HERRAMIENTAS PARA ial
c
LA TRANSFORMACIÓN DE
CULTURA DE RIESGOSuso d e com
er
LA
A
e l
tela cultura de riesgos, en este último capítulo
R
Una vez comprendidos los aspectos del modelo ide
rm para la transformación de la misma, y así
los autores de la cartilla proponen herramientas
e
ep
U
lograr crear consciencia y actitudes de compromiso de los empleados para responder de forma
acertada a los eventos que enfrenta la sorganización y mantener los riesgos en los niveles de ex-
No de este capítulo se presenta una carta de navegación
T
posición deseados. Durante el desarrollo
.
oscon transformar
para hacer uso de propuestas para la cultura de riesgos, a través del desarrollo de
L
recomendaciones relacionadasa d los aspectos de la cultura que pueden ser ejecutadas según
v
r en la organización, y finalmente se relacionan mensajes de alerta
secuenta en el momento de la ejecución de las herramientas.
las necesidades identificadas
U
que se deben tener e
s r en
ho
C
c
ere
s d
s lo
odo
©T
O S
G ión.
S
izac
or
E
u t
a
I
evia
pr de investiga-
R
Las herramientas propuestas nacen como resultado del trabajo de campo realizado en este proceso
sin
ción, de la experiencia laboral en diferentes sectores económicos y de los conocimientos adquiridos en la Maestría
en Administración de Riesgos. Los mensajes de alerta se construyeron con base en la a
i l
experiencia profesional de
c
e eyrsus sistemas de gestión. Vale
cada uno de los autores, motivados por compartir una propuesta inicial de un modelo de cultura de riesgos diná-
d om de partida debido a que en el

mico, que debe ser actualizado en la medida en que evolucionen las organizaciones
la pena mencionar que las herramientas relacionadas a continuación son uncpunto
so
A
proceso de implementación se pueden identificar nuevas herramientas o enriquecer las existentes para la transfor-
l u
mación de la cultura.
e
ite y sensibilización en riesgos, permite que las
R
rmde riesgos, no significa que tengan una cultura de
Reconocer que la cultura de riesgos va más allá de la capacitación
e
p
U
organizaciones asimilen que contar con un sistema de gestión
s
riesgos fuerte. Esta se desarrolla en la medida en que lose aspectos del modelo sean interiorizados en el ADN de las
o
T
organizaciones.
. N
oscaja de herramientas aporte en el proceso de transformación de la
Transformar la cultura de riesgos es un proceso único que depende en gran medida del compromiso de todos los
L
miembros de la organización. Se espera quedla
cultura de riesgos. rva
se
U
r e
s
ho
C
c
e re
s d
s lo
o do
128
©T
S
9. CAJA DE HERRAMIENTAS PARA LA TRANSFORMACIÓN DE LA CULTURA DE RIESGOS
O
CARTA DE NAVEGACIÓN
G
n.
Antes del desarrollo de cada una de las herramientas se recomienda la ejecución de las siguientes actividades con
ó
el propósito de contar con la información básica que le permita a la organización obtener el contexto general del tipo
i
S
de cultura de riesgos que posee:
izac
or
IE
ut
a
evia
pr
R
sin
l
Contexto general, a través del entendimiento de los componentes deiametodologías como
c
e er de riesgo de crédi-
ISO 31000, COSO II, ISO 27000, normas de calidad, temas de metodología
d om
to, legal, operativo, financiero, entre otras.
c
o le aplican de acuer-
A
Conocimiento de las normas u sque
do al sector económicoeen l el que se desempeña la
ite
R
empresa.
erm
p de la cultura de riesgos, soportado
U
e
Apoyar el diagnóstico del estado actual
s propuestas por capítulo.
o
en cada una de las listas de chequeo
T
s.N
dolos tipos de cultura de riesgos presentes en la organización.
L
rv a
Identificar
e
es
U
s r De acuerdo con la cultura de riesgos, plan-
ho
C
tear la estrategia para su transformación.
c
e re
s d
s lo
odo
©T 129
CAJA DE HERRAMIENTAS
O S
Herramienta N° 2: Presen-
G
n.
Herramienta N° 1: Compro- tar la implementación de la
meter a la alta dirección en gestión de riesgos como un
ió
S
la gestión de riesgos proyecto
izac
r
oimple-
E
Se recomienda sensibilizar a Un proyecto para la t
u de
a
I
viaconsistente
la alta dirección a través de mentación de la gestión
las siguientes actividades: riesgos debeeser
p r y la estrategia
R
• Presentación ejecutiva con con el tamaño
información (hechos y datos) de la organización. En este ordensiden ideas, se deben te-
de los beneficios de la ges- ner en cuenta:
cial
e er
tión de riesgos. • Las oportunidades y amenazas del entorno a las que se
d
encuentra expuesta lamorganización, para las cuales se
• Generar estadísticas de impacto (términos económi-
cono están bajo su control.
soy fortalezas internas para la gestión de
cos) relacionadas con la gestión de riesgos. debe preparar ya que
A
• Recopilar casos de éxito en la gestión de riesgos. (Ben- u
• Las debilidades
l cuales la organización debe trabajar.
chmarking de empresas del sector) riesgos enelas
ite
R
• Consolidar lecciones aprendidas en la gestión de ries- • Determinación y cuantificación de recursos necesarios
gos en empresas referentes. rm
(humano y tecnológico).
p•eMetas y objetivos.
U
• Informes de evaluación de la gestión de riesgos en la
organización sustentados con marcos académicos. se • El proyecto debe ser presentado a la alta dirección y
No
T
aprobado por la misma.
.
Errores comunes: odes riesgos
L
d
va
• Hablar con la alta dirección sobre la gestión
r
Errores comunes:
seuna herramienta
como una tarea. • Desconocimiento de los procesos.
U
• Pensar que con la implementaciónede
r
tecnológica se logra una gestiónsintegral de riesgos.
• Ausencia total o parcial de una estructura de procesos.
ho cualitativos sobre los

• Inadecuada gestión del conocimiento.
C
c
• Hablar solamente en términos • Falta de integración entre el sistema de gestión de
beneficios de la gestiónedereriesgos. riesgos con los sistemas existentes dentro de la organi-
s
• Vender la gestión de driesgos como una actividad adicio- zación como el de calidad, seguridad y salud en el traba-
lo normativo.
nal o de cumplimiento
s jo, entre otros.
odo
130
©T
S
O
Herramienta N° 3: Definir organización pueden ser integrados o separados:
una estructura de gobierno
G
n.
para la gestión de riesgos
Figura 31
ió
S
Validar si existe una estruc-
izac
tura de gobierno organiza- ROLES EN LA or
E
cional e integrar los roles ut
ADMINISTRACIÓN a
I
via
y funciones de riesgos a la
misma. Se debe tener en DE RIESGOS re
p
R
cuenta que no en todos los
casos se debe crear una estructura de riesgos indepen- s in
diente, debido a que depende de la capacidad y tama-
c ial Comité de
e er
ño de la organización. No obstante, cómo mínimo debe riesgos
d om
existir un rol responsable de la gestión de riesgos. Adi-
c
so Gestor
cionalmente se debe contar con un efectivo sistema de
A
de
control, como control interno o auditoría para apoyar el
l u riesgos
sistema de gestión de riesgos. e
ite
R
En la estructura de gobierno de riesgos propuesta en el rm
capítulo tres (3) los autores de la cartilla plantearon unape
Unidad de
U
estructura basada en los siguientes niveles: s e riesgos
No
T
1.Nivel estratégico compuesto por la alta dirección.
s .
o
2.Nivel táctico conformado por la administración
L
Fuente: elaboración de los autores.
de riesgos. a d Errores comunes:
v
r unidades de ne- • El responsable de riesgos (Gestor) no participa en los
3.Nivel operativo integrado porelas
gocio y líderes de riesgo. es
U
r
4. Y un nivel transversal,scompuesto por auditoría.
foros y decisiones claves del negocio.
h o • La dirección de riesgos no cuenta con independencia
C
e c en la toma de decisiones.
Para el segundo nivel erde administración de riesgos se • Inadecuada segregación de funciones para la gestión
recomienda como s d
mínimo, tener en cuenta en la defini- de riesgos entre las áreas estratégicas, operativas y de
o
l roles que se presentan en la figura riesgos.
ción los siguientes
s
do (31), que de acuerdo con el tamaño de la • Los responsables de las unidades de negocio no asu-
treinta y uno
o
©T 131
men su responsabilidad dentro de la gestión de riesgos.
• Inexistencia de registro y administración de excepcio-
O S
ser revisada y ajustada, por cambios en alguno de los
criterios mencionados anteriormente o por modificacio-
G
n.
nes en la estructura de gobierno de riesgos. nes en la estrategia de la compañía.
ió
S
Herramienta N° 4: Definir la política para la gestión de Errores comunes:
iz ac
riesgos • Política desarticulada con el sistema de gestión
or de
E
riesgos. t
u de
a
I
via
La política de riesgos permi- • Débil comunicación de la política a todos los niveles
te dar una visión general a la organización. e
r para definir
p
R
la organización en cuanto a • Uso de lenguaje técnico o poco entendible
la gestión de riesgos y debe la política. s in
contener como mínimo la si- ial
• Falencias en la definición, dirección,
c implementación o
e
guiente información: divulgación de la política.er
• Alcance
d so
c om Herramienta N° 5: Estable-
A
• Nombrar la metodología a
l u cer los límites de exposición
utilizar
e e al riesgo de la organización
R
• A quién va dirigido it
• Declaración de principios generales rm A continuación se relacionan
pe
U
• Revisión y cumplimiento de la política algunos aspectos a conside-
• Lineamientos básicos para el registro de eventos s e rar en la definición del apetito
No
T
• Glosario de términos de riesgo:
.
• Roles y responsabilidades
os
L
a d 1. Tener acceso a la siguiente
rvcon
selos planes
La política de riesgos debe estar alineada la planea- información:
U
re
ción estratégica de la organización, con de ad- a. Multas y sanciones que se hayan materializado.
o
ministración de riesgos y con loss límites de exposición b. Fraudes y robos presentados.
h
C
ec periódicamente.
definidos en el apetito de riesgo. Debe ser aprobada por c. Pérdidas por materialización de eventos de ries-
r
de que la política de riesgos debe
la alta dirección y actualizada go operativo.
s
Se debe tener en cuenta
lo
s
odo
132
©T
S
O
Se recomienda consultar la información de los últimos a. El control se encuentra documentado, es decir
cinco años con el propósito de poder establecer una ten- está formalizado y se encuentra comunicado a los
G
n.
dencia de la materialización de estos riesgos. responsables de su ejecución.
Sin embargo, en los casos en que no se cuente con una ó
b. El control se encuentra asignado, es decir se ha
i
S
base de eventos operativos, se debe buscar información ac
definido claramente un responsable de su ejecu-
iz
de empresas del sector o del gremio en páginas de orga- ción, seguimiento y efectividad.
or
IE
nismos de control. ut
c. La frecuencia definida para la ejecución del con-
a
via
trol es apropiada para cumplir con el objetivo de
2. Solicitar los estados financieros con el objetivo de ana- e
control y mitigar de manera efectiva el riesgo.
pr
R
lizar pérdidas, provisiones (reservas), pago de multas y d. La naturaleza del control (manual, automática
sanciones e indemnizaciones. s in
o dependiente de TI) es adecuada para mitigar el
riesgo.
cial
e ervalida si tras la aplicación de las
3. Requerir el mapa de procesos de la organización con
d om éstos mitigan el riesgo asociado

el fin de identificar procesos de direccionamiento estra- 6. La eficacia operativa
c
sode acuerdo con los criterios definidos por
tégico, del core del negocio, de apoyo y tercerizados. pruebas a los controles,
A
u
y se ejecutan
lde proceso en su diseño. Esta evaluación de-
4. Conocer los riesgos residuales (riesgos después de el dueño e
itedel criterio del funcionario encargado de ejecutar
R
controles) de la organización, para priorizar los riesgos pende
críticos del negocio y disminuir las distorsiones en la rlas mpruebas, por lo cual se debe actuar con la mayor ob-
e
evaluación del apetito. Tener en cuenta, que calcular elp jetividad e independencia durante este proceso.
U
s
apetito sobre el riesgo inherente (riesgos sin controles)e
No
T
puede generar un mayor valor de reserva o provisión, 7. Determinar si la declaración del apetito va a ser en
.
s los nive- términos cualitativos o cuantitativos.
oajustado
mientras desarrollar el apetito de riesgo sobre
L
les de riesgo residual ofrece un nivel mása d a la
v
realidad del negocio.
s er A continuación, los autores de la cartilla definen un ape-
U
re tito de riesgo en la figura treinta y dos (32), a modo de
5. En el caso que no se cuente
os con el riesgo residual, ejemplo con base en la utilidad neta de la organización
h
C
se recomienda evaluar elc cumplimiento del objetivo, la de los últimos cinco (5) años.
e
relación costo-beneficiorey la efectividad de los controles
d
(diseño y eficaciasoperativa) a través de la revisión de los
o
sl
siguientes criterios:
o
T od
© 133
Figura 32
O S
G
EJEMPLO DE APETITO DE RIESGO
ión.
S
2011 2102 2013 2014 2015
izac
or
Utilidad Neta $ 1.394.034.856,00 $ 1.709.340.899,00 $ 3.001.495.127,00 $ 2.984.209.005,00 $ 3.082.378.463,00
E
Patrimonio $ 4.673.919.400,00 $ 4.105.563.280,00 $ 4.994.596.871,00 $ 5.491.264.875,00
u t
$ 5.634.559.021,00
a
I
v ia
e
Promedio de utilidad Neta $ 2.434.291.670,00
pr
R
Patrimonio promedio $ 4.979.980.689,40
Desviación estándar Utilidad Neta $ 814.222.510,69 3,29 (Variación Porcentual)
s in
al
Desviación estándar Patrimonio $ 622.169.040.96
c i
e er
Distribución Lineal
En %
dEn %
so
c om
A
u
4,89% Mayor o igual a: $ 119.036.862,66
4,49% $ 109.299.695,98
e l
ite
R
4,09% $ 99.562.529,30
$ 80.088.195,94 rm
3,69% $ 89.825.362,62
Mayor o igual a $ 119.036.862,66 pe

3,29% Menor o igual a:
U
e
5 Superior
4 Mayor s
Entre $ 99.562.529,30 y $ 109.299.695,98
No
T
3 Importante Entre $ 89.825.362,63 y $ 99.562.529,30
Entre $ 80.088.195,95 y .$ 89.825.362,62
2 Menor
Menor o igual ao
s
L
1 Inferior
d $ 80.088.195,94
r va Fuente: elaboración de los autores.

se
U
re
s
ho el cálculo basado en el tipo de actividad económica de la organización y en el
C
c
No obstante, se recomienda
indicador financiero queemejor re refleje el core del negocio. Por ejemplo, en empresas de producción se puede pensar
realizar
s d en empresas de inversión en indicadores de liquidez o retorno, en empresas de servicios

en indicadores de costos,
o
lotros.
en utilidad, entre s
o do
134
©T
S
G O ión.
S
izac
or
Explicación del ejercicio:
IE
1. Se seleccionaron dos variables (utilidad y patrimonio) para realizar el cálculo del apetito.
ut
2. Se recopiló la información de los últimos cinco (5) años de estas dos variables. a
3. Se calculó el promedio de los cinco (5) años para cada una de las variables.
evia
pr
R
4. Se calculó la desviación estándar de los cinco (5) años para cada una de las variables.
sin
5. Se realizó un análisis de las dos variables, y se determina seleccionar la variable utilidad por la capacidad que
tiene la empresa para asumir el riesgo a corto plazo.
cial
e er
6. Se calculó la variación porcentual (3.29%) del indicador de la utilidad para los dos (2) últimos años.
d om
7. Se aplica el porcentaje de variación porcentual sobre el promedio de utilidad neta. El resultado se toma como base
para definir la escala de apetito ($80.088.195,94). c
so
A
u
8. Como supuesto, se incrementa la variación porcentual en 0.4% como efecto de la distribución lineal, hasta obtener
l
e
cada uno de los niveles definidos en la matriz, para el caso del ejercicio son cinco (5). Este porcentaje (%) debe ser
ite
R
definido por la alta dirección o el comité de riesgos.
rm
9. Cada uno de los porcentajes de variación porcentual se aplican al promedio de utilidad neta para obtener un valor
e
p
U
en pesos.
s e
10. Sobre estos rangos la organización debe definir los niveles de apetito, tolerancia y capacidad de riesgo.
o
T
. N
Errores comunes:
ospuros o inherentes al generar distorsiones para el diseño de controles
L
d
va
• Definir el apetito de riesgo sobre los riesgos
r
se se puede ajustar para los diferentes procesos de la organización debido a su
y toma de decisiones.
U
e
• Pensar que un solo apetito de riesgo
rde valor.
importancia dentro de la cadena
o s
• Falta de actualización delhapetito
C
ec de riesgo con la estrategia de la compañía.
er con una cifra absoluta que no se ajusta periódicamente.
• Definir el apetito de riesgo
d
los
d os
To
© 135
O S
G ión.
S
izac
or
E
u t
a
I
via
re
Herramienta N° 6: Definir un procedimiento para la gestión de riesgos
p
R
Como parte de la implementación de la gestión de riesgos len silan Compañía, se debe
cia
e
definir un proceso dinámico y sistémico que permita elrdesarrollo de cada una de las
e
d om
etapas del proceso las cuales se relacionan a continuación:
c
sode riesgos a través de la identificación
A
1. Analizar el contexto general para la gestión
l
de situaciones en el ámbito social, político,ueconómico, legal, tecnológico, ambiental,
e
e internos y externos a través de un análisis
R
t
entre otros. Se deben considerar factores
i
DOFA.
e rm
p del contexto se inicia la etapa de identificación de los
U
e
s técnicas para identificarlos, las cuales se relacionan a
2. Una vez realizado el análisis
o
T
riesgos, donde la organización debe definir entre diferentes
continuación en la tabla dieciocho (18):
s .N
do
L
va
Adicionalmente, se recomienda tener enrcuenta los siguientes aspectos:
e
es
U
r
h os
C
r ec
s de
s lo
o do
136
©T
S
Tabla 18
G O ión.
S
izac
TÉCNICAS PARA LA IDENTIFICACIÓN DE RIESGOS or
E
u t
a
I
via
TÉCNICA ASPECTOS CLAVES TIPOS DE RIESGOS A IDENTIFICAR
Lluvia de Ideas Identificación de riesgos y de sus características en Operativos y estratégicos

r e
p
R
forma grupal.
s in
Análisis causa - efecto Identificación de causas y efectos de un riesgo. Operativos
ia l
c
e ery legales
Identificación de riesgos con guías estandarizadas,
d om
Lista de chequeo y amplias y ajustables a todo tipo de empresas que Operativos
pueden ayudar a elaborar el catálogo general de
cuestionarios
c
soOperativos y puros
riesgos de una empresa.
A
u
en instalaciones o en el desarrollo de un proceso.el
Inspección Identificación de riesgos que pueden ser observados
te
R
Identificación de riesgos que requieren eli conoci-
miento y experiencia de personas clave.rm
Entrevista con el dueño Operativos, financieros y legales
del proceso
p e
U
Método delphi s e
Identificación de riesgos que requieran grupo de Estratégicos, reputacionales, macroeconómi-
o
T
expertos y opiniones independientes. cos, políticos, sociales
N
o s. posibles en diferentes ám- Estratégicos,
Identificación de riesgos reputacionales, operacionales y
L
Análisis de escenarios
bitos.
a d legales
v
er
Fuente: elaboración de los autores con información de Mejía 227.
U
s re
ho
C
c
ere
s d
s lo
do pp.44-45.

o
©T
Mejía, 2013,
227
137
• Clasificar los riesgos de acuerdo a su ubicación en la
cadena de valor de la organización.
O S
4. Una cuarta etapa es el análisis de los controles, enfo-
cados en las causas, para disminuir los riesgos en im-
G
n.
• Realizar una clasificación de las causas que generan pacto o probabilidad y obtener así el nivel de riesgo re-
los riesgos. Para esta actividad, los autores de la car- sidual. Se debe tener en cuenta las recomendaciones de
ió
S
tilla proponen utilizar los factores de riesgos descritos controles definidas en la herramienta número cinco (5).
izac
en el Sistema de Administración de Riesgo Operativo r
detotrata-
E
(SARO)228, los cuales facilitan la clasificación de las cau- 5. Una quinta etapa es el diseño de medidas u
a mapa de
I
sas. De acuerdo con esta norma, los factores internos miento de los riesgos, donde se estructuraa el
i
vde los riesgos.
son los siguientes: recurso humano, procesos, tecnolo- riesgos y se define el plan de tratamiento
re
p una fecha de
R
gía, infraestructura. Y los externos, son aquellos eventos Los planes de tratamiento deben indicar
asociados a la fuerza de la naturaleza u ocasionados por in
s en cuenta, que los
inicio y de cierre. Es importante tener
terceros, que escapan en cuanto a su causa y origen al ial
riesgos son dinámicos y evolucionan con el tiempo, y por
c
e er
control de la organización. tanto requieren una actualización periódica.
d
• El diseño de los controles debe estar orientado a la mi- m
ose
tigación de las causas que generan el riesgo debido a
o
6. Como última etapa c encuentra el monitoreo y segui-
A
que al orientar el control al riesgo se generan reproce- us
miento a la implementación de los planes de tratamiento
sos, incremento de los gastos e ineficiencia en el trata- e l
donde se analiza la eficacia de los mismos y posterior-
e
R
miento de los mismos. menteiset identifican ajustes en la probabilidad e impacto
• Clasificar las consecuencias y priorizarlas de acuerdo m riesgos.
de rlos
pe
U
con el impacto del riesgo para ser efectivo en el trata-
miento del mismo y así definir un adecuado plan de tra- s e Errores comunes:
No • Falta de claridad en los conceptos de riesgo, causa y
T
bajo.
.
os riesgos consecuencia.
L
3. La etapa siguiente es la de calificación de a dlos • Emitir una directriz errada en el procedimiento al defi-
v
r e impacto, las nir los controles sobre los riesgos y no sobre las causas
sefrecuencia y eco- y consecuencias.
a través de las escalas de probabilidad
U
cuales están definidas en términos e
s r de
nómicos, respectivamente.
h o • Falta de alineación entre la normatividad y la realidad
C
ec
De acuerdo con esta calificación, se obtiene como resul- de la organización.
tado el riesgo inherente. e r • Definición errada de las escalas de probabilidad e im-
s d pacto.
o
osl
d en riesgo operativo emitido por la Superintendencia Financiera en la Circular Externa 041 de 2007.

T o
Normatividad
228
138
©
S
O
• Proceso de riesgos desalineado con los sistemas de Errores comunes:
gestión existentes en la organización. • Capacitaciones masivas a través de plataformas e-lear-
G
n.
ning a personal con diferentes roles y responsabilidades
Herramienta N° 7: Capacitar a la organización en la en el proceso de riesgos.
ió
S
gestión de riesgos ac
• Plan de capacitación ligado únicamente al cumpli-
iz
miento de la norma.
or
IE
Una vez se tienen los linea- u
• No evaluar la eficacia de la capacitación.t
a
via
mientos para la gestión de • Asumir un conocimiento estandarizado en riesgos, del
riesgos claramente definidos personal asistente a la capacitación.e
pr
R
en la organización, se reco-
mienda estructurar un plan sin
Herramienta N°8: Mecanis-
de capacitación a mediano y
cial
mos de monitoreo y control
e er Se recomienda realizar una

largo plazo, el cual debe ser
d om autoevaluación continua y
específico para los roles y las
c
so
responsabilidades en la ges-
A
tión de riesgos.
l u una auditoría periódica de
Este proceso debe ser articulado con el área de gestión
e e políticas, atribuciones, pro-
R
del talento humano para que se logre tener en cuenta it cesos y controles para eva-
las diferencias en cuanto a conocimientos de los partici- rm luar de manera objetiva e
pantes, se estructuren cursos dinámicos y se proponganp e
U
independiente la existencia,
s
diferentes técnicas de acuerdo con el alcance y sus con-e desarrollo y grado de efectividad de la gestión de ries-
o
T
tenidos.
. N gos, que ayudan a transformar la cultura de riesgos.
s tenga una Esta auditoría incluye la validación de la actualización de
do los partici- los indicadores de acuerdo con las cifras de la organiza-
Se recomienda que el proceso de capacitación
L
validación de conocimientos adquiridosapor
pantes, con el propósito de evaluar e elrv
grado de efectivi- ción. Esta revisión debe ser realizada por el área de con-
s
U
r e necesarios.
dad alcanzada y realizar los correctivos trol definida por la organización, que sea independiente
o
La capacitación en los temas des riesgos, debe ir relacio- del área de riesgos.
h
C
ec se debe actualizar el conoci- ños de proceso deben definir planes de acción que lo-
nada con el dinamismo del proceso, es decir, ante cual- Para los hallazgos identificados en la auditoría, los due-
r
dseevean afectados con el cambio.
quier cambio en el proceso,
miento de quienes
os gren mitigar los riesgos identificados.
osl
Tod
© 139
Errores comunes:
• Realizar monitoreo a todo el sistema de gestión de
O S
G
n.
riesgos sin validar su efectividad.
• Concentración de funciones en el proceso de monito-
ió
S
reo que no permita tener independencia.
El mapa de riesgos es una representación visual deza
c
i la
• Pensar que los controles eliminan los riesgos cuando
or
E
realmente los mitigan.
matriz de riesgos, que puede ser analizado de acuerdo
u t
a la ubicación de los riesgos según el nivel deaseveridad.
I
En esta etapa se le recomienda asignar uniaresponsable
• Pensar que el control interno lo ejerce la auditoría.
r
para la administración y manejo de la matrizev y del mapa
p evaluar el pro-
R
Herramienta N°9: Matriz y
de riesgos, definir una periodicidadnpara
mapa de riesgos i
s y diseñar mapas de
l
ceso de actualización de los mismos
a
riesgos con escalas de 3x3 c y idos (2) niveles de severidad
e
Se debe diferenciar entre los r
e de severidad o aceptabilidad,
d
o 5x5 y cuatro (4) niveles
conceptos de matriz y mapa m
o más ácida y evite que los ries-
de riesgos. Matriz es una de
o c
que facilite una medición
A
s
gos se ubiquen en sectores intermedios que creen una
l u de seguridad en administración de ries-
las herramientas de control
falsa sensación
y de gestión que permite el e
ite
R
gos.
registro de actividades, es-
pecíficamente riesgos inter-
e rm comunes:
Errores
p
U
nos o externos, para su evaluación. Una matriz diseñada
se
adecuadamente permite ser un soporte funcional para
• Creer que la matriz y el mapa de riesgos son la única
No
T
solución para la administración de riesgos.
un sistema efectivo de gestión de riesgos. La matriz
. • Definir inadecuadamente los niveles de severidad o
os
debe contener como mínimo: definición del riesgo, cau-
L
d aceptabilidad del mapa de riesgos.
rva
sa, consecuencia, probabilidad de ocurrencia, impacto,
• Definir escalas de probabilidad con poca o nula infor-
se
agente generador, responsable, controles, entre otros
U
mación histórica.
re
aspectos. Dicha información genera como resultado un
• Mezclar diferentes tipos de riesgos en la matriz sin te-
s
ho
riesgo residual el cual va a ser ubicado en el mapa de
C
ner en cuenta su impacto.
riesgos. c
ere
s d
s lo
odo
140
©T
S
O
Herramienta N°10: Indicadores de cultura de riesgos como señales de alerta
G
n.
Los autores de la cartilla proponen en la tabla diecinueve (19) los siguientes indicadores
ó
de desempeño (KPI), los cuales a través de la medición y el control de los resultados son
i
S
izac
un insumo para mejorar el sistema de administración de riesgos y paralelamente se
transforme la cultura de riesgos:
or
E
ut
a
I
evia
Tabla 19
pr
R
in
INDICADORES PARA MEDIR LA TRANSFORMACIÓN DE LA CULTURA DE RIESGOS
s
ial
ASPECTO DEL
KPI OBJETIVO DE LA MEDICIÓN
MODELO DE CULTURA
c
er
e
Nombre del indicador: cantidad de informes de riesgo presentados y analizados Cada organización debe determinar la periodicidad con que se espera
con la alta dirección. comunicar aspectos relevantes de la gestión de riesgos. Este indicador
om
d
Compromiso de la alta dirección Fórmula: (número de informes revisados con la alta dirección período actual – debe aumentar con el tiempo y con relación al período anterior.
c
en la gestión de riesgos número de informes revisados con la alta dirección en el período anterior) /
número de informes revisados con la alta dirección en el período anterior.
so
A
u
Este indicador tiene como propósito identificar planes de tratamiento
l
Gobierno para la Nombre del indicador: acción correctiva sobre los eventos de riesgo. efectivos que ayuden a mitigar la causa raíz que genera el evento. La
e
gestión de riesgos Fórmula: número de casos resueltos efectivamente por el comité de riesgos / meta de este indicador la debe definir la organización, con la finalidad
ite
R
número de casos reportados. de llegar al 100%.
Nombre del indicador: disminución de la brecha entre el perfil real vs el perfil defi- Este indicador es de cumplimiento que tiene como objetivo llegar a 0,
rm
Habilidades y nido por la organización para el equipo de riesgos. al lograr que el perfil real sea igual al perfil definido en la matriz de
e
recursos de riesgo Fórmula: 100% del perfil definido por la organización – % de cumplimiento del roles y cargos de la organización.
U
perfil real.
se
Nombre del indicador: incremento en el número de empleados con incentivos por Este indicador es incremental y tiene como propósito aumentar el
o
una buena gestión de riesgos. número de empleados que acceden a incentivos como resultado de
T
.N
Toma de decisiones Fórmula: (número de empleados del período actual con incentivos – número de una buena labor en la gestión de riesgos.
empleados del período anterior con incentivos) / número de empleados del perío-
s do anterior con incentivos.
do
L
a
Nombre del indicador: materialización de eventos de riesgo (valor en pesos) que Este indicador de gestión busca controlar que no se exceda el valor en
rv
sobrepasen el límite de apetito de riesgo definido por la organización. pesos definido como apetito de riesgos, y en caso de cercanía al límite
Apetito de riesgos Fórmula: valor en pesos de apetito de riesgos definido – sumatoria del valor en superior de apetito se genere una alerta para tomar las medidas que
e
es
pesos de los eventos de riesgo materializados en un período de tiempo definido lleven el riesgo a los límites deseados.
U
por la organización.
r
os
Nombre del indicador: eventos de riesgo reportados. Este indicador es creciente y tiene como propósito lograr un crecimien-
Fórmula: (número de eventos de riesgo reportados en el período actual – número to en la cantidad de eventos de riesgo reportados como resultado de la
C
Comunicación de riesgos de eventos de riesgo reportados en el período anterior) / número de eventos de interiorización de la cultura de riesgos.
ec
riesgo reportados en el período anterior.
r
de
Este indicador de cumplimiento tiene como objetivo llegar al 100% en
la medición de la eficacia.
los
Capacitación y desarrollo para
la gestión de riesgos
Nombre del indicador: eficacia de la capacitación en gestión de riesgos.
Fórmula: (capacitaciones eficaces / total de capacitaciones realizadas en un perío-
Es decisión de cada organización definir la eficacia de la capacitación.
Para este ejemplo, la eficacia está asociado al cumplimiento de los
s
do definido por la organización) * 100%. objetivos de riesgos para el grupo de empleados capacitados en ges-
do
tión de riesgos.
o
©T
Fuente: elaboración de los autores.
141
Errores comunes:
• Definir indicadores no medibles.
O S
2. Cultura de riesgos inicial: Existencia de algunos as-
pectos de la cultura de riesgos desarrollados de manera
G
n.
• Confundir los indicadores de riesgos (KRI) con los de incipiente pero no interiorizados dentro de la organiza-
desempeño de la gestión de riesgos (KPI). ción.
ió
S
• Utilizar información desactualizada para realizar el
izac
cálculo de los indicadores.
or
3.Cultura de riesgos en desarrollo: Todos los aspectos
E
t
au
de la cultura de riesgos existen dentro de la organización
I
Herramienta N°11: ADN de pero se encuentran en diferentes niveles deadesarrollo e
vi
la cultura de riesgos interiorización.
p re
R
Como última herramienta 4. Cultura de riesgos consolidada:sinLa organización tiene
los autores de la cartilla pro- ial de riesgos en su día a
totalmente interiorizada la gestión
c
e er dederiesgos,
ponen la siguiente escala de día y se cuenta con el respaldo la alta dirección, existe
d
evaluación del grado de de-
om
una estructura de gobierno se toman deci-
c
so del cargo para la gestión de riesgos
sarrollo de la existencia de siones basadas en riesgos y soportadas en el apetito, se
A
una cultura de riesgos dentro cuenta con unuperfil
de una organización. e
definido, se lcomunican los eventos de riesgo y la organi-
e
R
Los niveles están secuencialmente ordenados de forma zaciónitcapacita a todos sus empleados en la gestión de
que se vaya de un estado inicial hasta un último estado, rm
riesgos.
pe
U
en el que la organización se oriente en el mejoramiento
continuo. s e 5. Mejora continua de la cultura de riesgos: la organiza-
No
T
La propuesta consiste en 5 niveles de interiorización de ción además de contar con los aspectos mencionados en
.
la cultura los cuales se describen a continuación:
os la etapa anterior, evalúa de forma constante la cultura
L
d
r va de la cultu- de riesgos para mejorarla continuamente como ventaja
sdee la organización,
1. Cultura de riesgos incipiente: los aspectos competitiva.
U
r
ra de riesgos no se evidencian dentroe
o s
las prácticas que desarrolla demuestran que no hay una
h
C
alineación entre procesos y cunidades de negocio y no hay
re de riesgos.
un lenguaje común paraehablar
s d
s lo
odo
142
©T
S
G O ión.
S
izac
or
IE
ut
a
evia
pr
R
sin
cial
d e so
com
er
A
l u
e
ite
R erm
p
U
se
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
ere
s d
s lo
odo
©T 143
S
GLOSARIO DE TÉRMINOS
O
G ión.
S
izac
or
A B
IE
Administración del riesgo: Actividades coordinadas para t
u ac-
Benchmark: Es un conjunto de procedimientos mediante
a
voiacontra el de
dirigir y controlar una organización con respecto al ries- los cuales una organización compara su desempeño
go.229 tual contra su propio desempeño pasado,
otras empresas comparables con el pfin
e
r de aprender de
R
Amenaza: Probabilidad de ocurrencia de un evento po-
tencialmente desastroso durante cierto período de tiem- s
éstas y generar un cambio positivoina su interior.
234
po en un sitio dado.230
cial
e er
Análisis del riesgo: Proceso para comprender la natura-
d
C
leza del riesgo y determinar el nivel de riesgo. El aná-
omriesgo: Magnitud de un riesgo o
Calificación o nivelcde
so de riesgos, expresada en términos
lisis del riesgo busca las bases para la evaluación del
A
de una combinación
riesgo y las decisiones sobre el tratamiento del riesgo. u
El análisis incluye la estimación del riesgo.231
dad. te
el
de la combinación de las consecuencias y su probabili-
R
i Conjunto de recursos, bienes y valores disponi-
235
Apetito de riesgo: Cantidad máxima de riesgo que una
m
Capital:
organización desea asumir en la consecución de sus ob-
er para satisfacer una necesidad o llevar a cabo una
pbles
U
jetivos.232
Asumir un riesgo: Aceptar un riesgo y las consecuencias se actividad definida y generar un beneficio económico o
No
T
que este atraiga en el momento que se presente.233 ganancia particular.236
.
os
L
d
rva
se
U
re
s
ho
229
NTC ISO 31000, 2011, p.4.
c
Cardona, 1993, p.55.
re
230
231
NTC ISO 31000, 2011, p.8.
d e
IRM, 2011, p.7.
s
232
Mejía, 2006, p.12.

lo y Jimenez, 2005, p.3.
233
s
Castellanos, Montañez
234
235
d
NTC ISO 31000,o p.8.
2011,
236
T o
McConnell & Brue, 1997, p.5.
144
©
Causas (factores internos o externos): Son los medios,
las circunstancias y agentes generadores de riesgo que
E
O S
Evaluación del riesgo: Proceso de comparación de los
G
n.
se pueden clasificar en internos o externos. Los agentes resultados del análisis del riesgo con los criterios del
generadores se entienden como todos los sujetos u obje-
ió
riesgo, para determinar si el riesgo, su magnitud o am-
S
tos que tienen la capacidad de originar un riesgo.237
zac
bos son aceptables o tolerables. La evaluación ayuda en
i
Compartir o transferir el riesgo: Forma de tratamiento
or
la decisión acerca del tratamiento del riesgo.241
IE
del riesgo que implica el involucramiento de un terce- ut
Evento: Ocurrencia o cambio de un conjunto particular
a
via
ro en el manejo del riesgo, quien en algunas ocasiones de circunstancias. Un evento puede ser una o más ocu-
puede absorber parte de las pérdidas ocasionadas por e
pr
rrencias y puede tener varias causas. Un evento puede
R
su ocurrencia e incluso responsabilizarse de la aplica-
ción de las medidas de control para reducirlo.238 sin
consistir en algo que no está sucediendo. En ocasiones,
ial
se puede hacer referencia a un evento como un “inciden-
Contexto interno: Ambiente interno en el cual la orga-
c
te” o “accidente”. También se puede hacer referencia a
e er
nización busca alcanzar sus objetivos. Puede incluir go- un evento sin consecuencias como un “cuasi accidente”,
d om
bierno, estructura organizacional, funciones y respon- “incidente”, “situación de peligro” o “conato de acciden-
c
so
sabilidades, políticas, objetivos, estrategias, recursos,
A
te”.242
conocimiento, sistemas de información, cultura de la
l u
Evitar el riesgo: Eliminar la actividad que genera el ries-
organización, entre otros.239 e
ite
go o reubicar el o los recursos amenazados donde se eli-
R
Control: Medida que modifica al riesgo. Los controles mine su nivel de exposición.243
incluyen procesos, políticas, dispositivos, prácticas u
erm
p
U
otras acciones que modifican al riesgo. Los controles no
siempre pueden ejercer el efecto modificador previsto o se
No
T
asumido.240
.
os
L
d
rva
se
U
re
os
ch
Circular Externa 041 de 2007,ep.31.

er
237
d
Mejía, 2013, p.108.
238
os p.9.
NTC ISO 31000, 2011, p.6.
239
NTC ISO 31000,l2011, p.8.

NTC ISO 31000, 2011,
240
Ibid, p.7. os
241
od P.100.
242
T
Mejía, 2013.
243
© 145
S
O
F M
Factores de riesgo: Son todas las fuentes generadoras Matriz de riesgos: Herramienta para clasificar y visua-
G
n.
de riesgo operativo, que pueden o no generar pérdidas. lizar el riesgo mediante la definición de rangos para la
Son factores de riesgo el recurso humano, los procesos, consecuencia y la posibilidad.247 ió
S
la tecnología, la infraestructura y los acontecimientos
z
Mapa de riesgos: Documento para organizar la informa-
i ac
externos. Dichos factores se clasifican en:
or
ción que describe los riesgos de la entidad. El mapa de
IE
Internos: Los recursos humanos, los procesos, la ut
riesgos es una representación final de la probabilidad e
a
via
tecnología y la infraestructura. Sobre estos facto- impacto de uno o más riesgos frente a un proceso, pro-
e
pr
res, la organización tiene un control directo. yecto o programa. Un mapa de riesgos puede adoptar la
R
Externos: Son eventos asociados a la fuerza de la
in
forma de un cuadro resumen que muestre cada uno de
s
ial
naturaleza u ocasionados por terceros.244 los pasos llevados a cabo para su levantamiento.248
c
G
Gestión del riesgo: Actividades coordinadas para dirigir
d e P
c
er
om consolidado de la medición
Perfil de riesgo: Resultado
o que se ve expuesta una entidad.
A
de los riesgos aslos
y controlar una organización con respecto al riesgo.245
u
249
Planes de e l
Negocio: Se define como un instrumento clave
e
R
it
y fundamental para el éxito, el cual consiste en una serie
I m
de ractividades relacionadas entre si para el comienzo o
Impacto o consecuencia: Resultado de un evento que
pe
U
desarrollo de una empresa. Así como la guía que facilita
afecta los objetivos. Un evento puede generar un rango
se la creación o el crecimiento de la misma.250
No
T
de consecuencias, las cuales se pueden expresar cuali- Política de gestión de riesgos: EDeclaración de la direc-
.
os
tativa o cuantitativamente. Las consecuencias iniciales ción e intenciones generales de una organización con
L
pueden escalar a través de efectos secundarios.246 d
va
respecto a la gestión del riesgo.251
r
se
U
re
s
ho
Circular Externa 041 de 2007, p.1.

c
re
244
NTC ISO 31000, 2011, p.4.

e
245
Ibid, p.7.
d
246
Guía para la gestión delsRiesgo, 2011, p.39.

247
Ibid, p.8.
248
o
Circular Externa 041l de 2007, p.1.
s
do2011, p.5.
249
250
Fleitman, 2000.
o
©T
251
NTC ISO 31000,
146
Prevenir: Es una medida de tratamiento de riesgos, que
trabaja con la anticipación. Es decir, vislumbrar los even-
O S
Riesgo: Efecto de la incertidumbre sobre los objetivos.
Dicho efecto puede ser positivo, negativo o ambos. La
G
n.
tos que puedan suceder y aplicar tareas conducentes a incertidumbre es el estado, incluso parcial, de deficien-
que el evento no ocurra o se disminuya su probabilidad.252 ó
cia de información relacionada con la comprensión o el
i
S
Probabilidad: Oportunidad de que algo suceda, esté o no ac
conocimiento de un evento, su consecuencia o probabi-
iz
definido, medido o determinado objetiva o subjetivamen- lidad.256
or
IE
te, cualitativa o cuantitativamente, y descrito utilizando ut
Riesgo inherente: Igual que riesgo puro. Aquel que al
a
via
términos generales o matemáticos (como la probabili- materializarse origina pérdida, como un incendio, acci-
dad numérica o la frecuencia en un periodo de tiempo dente, inundación, etc.257 e
pr
R
determinado).253 Riesgo residual: Riesgo retenido o remanente después
Proteger: Conocido como mitigar. Acción que se realiza sin
de aplicar el tratamiento. El riesgo residual puede con-
en la presencia del riesgo y se logra a través de la eje- ial
tener un riesgo no identificado.258
c
e er
cución de tareas conducentes a disminuir la intensidad o
d om
el impacto negativo sobre los recursos amenazados, que S
generan los riegos en caso de ocurrencia.254 c
o o alertas tempranas: Conjunto de in-
A
us
Señales de alerta
dicadoresl cualitativos y cuantitativos que permiten iden-
R e
tificareoportuna
R
y/o prospectivamente comportamientos
Resiliencia: Capacidad de adaptación de un ser vivo atípicos it de las variables relevantes, previamente deter-
m
frente a un agente perturbador o un estado a situación erminadas por la organización. 259
U
adversos. Capacidad de un material, mecanismo o siste- e
s la
ma para recuperar su estado inicial cuando ha cesado o
T
perturbación a la que había estado sometido. . N
255
os
L
d
rva
se
U
re
s
ho
NTC ISO 31000, 2011, p.7. ec

Mejía, 2013, p.101.
252
er
253
Mejía, 2013, p.103.

d
254
os p.4.
RAE, 2001.
255
l
NTC ISO 31000, 2011,
256
os 2011, p.9.
Mejía, 2013, p.37.
257
Circulard
NTC ISO 31000,
258
259
T o Externa 022 de 2007, p.73.
© 147
S
O
Sistema de Administración de Riesgo Operativo (SARO):
Conjunto de elementos tales como políticas, procedi-
G
n.
mientos, documentación, estructura organizacional, re-
gistro de eventos de riesgo operativo, órganos de control,
ió
S
plataforma tecnológica, divulgación de información y ca-
izac
pacitación; mediante los cuales las entidades identifican,
or
IE
miden, controlan y monitorean el riesgo operativo.260 ut
a
evia
T pr
R
Tratamiento del riesgo: Proceso para modificar el ries-
sin
go, que puede implicar evitar el riesgo al decidir no
cial
e er
iniciar o continuar la actividad que lo originó. Tomar o
d om
incrementar el riesgo con el fin de perseguir una opor-
tunidad. Retirar la fuente del riesgo. Cambiar la proba- c
so
A
bilidad. Cambiar las consecuencias. Compartir el riesgo
l u
con una o varias de las partes. Retener el riesgo.261
e
ite
R
V
erm
p
U
Valoración del riesgo: Proceso global de identificación,
análisis y evaluación del riesgo.262 se
No
T
.
os
L
d
rva
se
U
re
s
ho
C
c
e re
s d
Circular Externa 041lo

s dep.8.2007, p.3.
260
o
od 2011, p.6.
261
NTC ISO 31000, 2011,
T
262
NTC ISO 31000,
148
©
BIBLIOGRAFÍA
O S
G ión.
S
Ambrosone, M. (2007). La administración del riesgo empresarial: Una responsabilidad de todos - El enfoque COSO.
izac
PricewaterhouseCoopers, 24.
or
E
ut
a
I
Anderson, R. (2011). Risk Appetite and Risk Tolerance. 45.
e via S.I.
Andrade, H. (2005). Comunicación organizacional interna: proceso, disciplina y técnica. España: Gesbiblo,
pr
R
Arbelo, A., & Pérez, P. (2001). La reputación empresarial como recurso estratégico: un enfoque
sin de recursos y capa-
al
cidades. https://www.researchgate.net/publication/242084664, 16.
c i
e
Cardona, O. (1993). Los desastres no son naturales. "Evaluación de la amenaza, la rvulnerabilidad y el riesgo".
e
d
A. Maskrey.
om
o c
A
Castellanos, O., Montañez, V., & Jiménez, C. (2005). El Benchmark como Instrumento de Generación de Conocimien-
to Empresarial. ALTEC 2005 XI Seminario Latino-Iberoamericano de Gestión s
u de Tecnología, 13.
el
ite Universidad EAFIT.
R
Castro Peralta, A. P. (2013). Cultura de Riesgos en las Organizaciones.
COSO II. (2013). Internal Control Integrated Framework. rm
pe
U
Deloitte. (2012). Cultivating a Risk Intelligent Culture.eUnderstand, measure, strengthen, and report. Australia: De-
loitte Development LLC. o s
T
. N
Deloitte. (2013). Hot Topics. The board´s rolesin cultivating a risk-intelligent culture. Estados Unidos: Deloitte Deve-
do
L
lopment LLC.
a
rv de Deloitte Colombia: https://www2.deloitte.com/co/es.html#
e
Deloitte. (23 de Julio de 2016). Obtenido
elas Función Pública. Dirección de Control Interno y Racionalización de Trámites.
U
r
os del Riesgo. Cuarta Edición.
Departamento Administrativo de
h
C
(2011). Guía para la Administración
ec
Ernst & Young. (2014).rAssessing
de risk culture — questions firms should be asking. Global Regulatory Network, 8.
os Risk culture - Meeting regulatory expectations and assessing culture. Global Regulatory Ne-
Ernst & Young. (2014).
l
os
twork, 5.
o d
© T 149
S
BIBLIOGRAFÍA
O
Fleitman, J. (2000). Negocios Exitosos. Mc Graw Hill.
FSB - Financial Stability Board. (2013). Principios para un marco efectivo de apetito al riesgo. 17.
G
FSB - Financial Stability Board. (2014). Guidance on Supervisory Interaction with Financial Institutions on Risk Cul-
ión.
S
ture. A Framework for Assessing Risk Culture. 14.
izac
FSB. (23 de Julio de 2016). FSB - Financial Stability Board. Obtenido de http://www.fsb.org/about
or
E
Galeano Marín, M. E. (2004). Diseño de proyectos en la investigación cualitativa. Medellín: Fondo Editorialau
t
I
Universi-
dad EAFIT. via
re
p
R
Galeano Marín, M. E. (2004). Estrategias de investigación social cualitativa. El giro en la mirada. Medellín: La Carreta
Editores. s in
al
cide la investigación. México:
e
Hernández Sampieri, R., Fernández Collado, C., & Baptista Lucio, P. (2010). Metodología
Mc Graw Hill. e r
d
m
o 3: Models of risk culture. Risk
c
Hillson, D., Linsley, P., Smith, K., Hindson, A., & Murray-Webster, R. (2012). Chapter
so
A
Culture - Resources for Practitioners, 116.
l u
e
Hindson, A. (2012). Chapter 10: Implementation guidance – building sociability. Risk Culture - Resources for Practi-
ite
R
tioners, 116.
e rm Risk Culture - Resources for Practitioners, 116.
p
Hindson, A. (2012). Chapter 2: A practical approach to risk culture.
U
ICONTEC. (2011). HB 327:2010 Comunicación y consulta seacerca del riesgo. Bogotá D.C., Colombia: ICONTEC.
o
T
N
Instituto de Auditores Internos de España. (2013).. Definición e implantación de apetito de riesgo. España.
s
do Caso práctico sobre apetito de riesgo. 53.
L
Instituto de Auditores Internos de España. (2015).
v a
r(2011).
IRM - The Institute of Risk Management.
se Risk Appetite & Tolerance Guidance paper.
U
s re (2012). Risk Culture - Under the Microscope Guidance for Boards. 20.
IRM - The Institute of Risk Management.
ho de The IRM: http://www.theirm.org
C
c
IRM. (23 de Julio de 2016). Obtenido
ere Investigación cualitativa en administración. Cinta Moebio, 128-145.
d
López, F., & Salas, H. (2009).
s
o
López, M., Mejía, lM., Ituarte, V., Escajeda, A., & Enriquez, C. (2014). El desarrollo del capital humano como factor de
competitividad
d osorganizacional. 83-97.
To
150
©
O S
Manguzzato, M., & Renau, J. J. (1991). La dirección estratégica de la empresa. Un enfoque innovador del manage-
ment. España: Ariel.
G
MARSH & RIMS. (2016). 2° BENCHMARK DE GESTIÓN DE RIESGOS EN LATINOAMÉRICA. Marsh LLC.
ió n.
S
McConnell, C., & Stanley, B. (1997). Economía. Mc Graw Hill.
i zac
Mejía, R. C. (2009). El empresario y el manejo del riesgo. El caso Carlos E. Restrepo. AD-MINISTER Universidad
or EA-
E
FIT, 79-104. u t
a
I
Mejía, R. C. (2013). Identificación de Riesgos. Medellín: Fondo Editorial Universidad EAFIT.
e via
pr - Resources for
R
Morago, J., & Bell, M. (2012). Chapter 9: Implementation guidance – building solidarity. Risk Culture
Practitioners, 116. sin
c ialfor Practitioners, 116.
e
Neville, P. (2012). Chapter 5: The individual – personal ethics. Risk Culture - Resources
er y Directrices. Bogotá: Instituto
d om
Norma Técnica Colombiana NTC-ISO 31000. (2011). Gestión del Riesgo. Principios
Colombiano de Normas Técnicas y Certificación (ICONTEC). c
so de riesgos en las organizaciones. Tésis
A
Núñez Patiño, M. A. (2012). Modelo para fomentar una conciencia de gestión
l u
de Maestría - Universidad Pontificia de Salamanca, 50. e
ite Systems Science - Master's thesis, 116.
R
rm
Paalanen, A. (2013). Risk Culture - A descriptive model. Information
e
p
U
Protiviti. (23 de Julio de 2016). Obtenido de Protiviti: https://www.protiviti.com/US-en/about-us
se
o
Protiviti. Risk & Business Consulting. (2014). Establishing and Nurturing an Effective Risk Culture - Enabling the
T
N
s.
Chief Risk Officer´s Success. 25.
o
L
Real Academia Española. (Octubre de 2014).
ad rae.es. Obtenido de http://www.rae.es
v
Real Academia Española, RAE (2001).
ser(Recuperado el 24 de Mayo de 2017). Diccionario de la lengua española 22 ed.
U
re de http://www.rae.es/
[version electrónica]. Madrid. Obtenido
s
ho Society. (2012). Exploring Risk Appetite and Risk Tolerance. 13.
C
RIMS - The Risk Management
c
e retheory and risk perception: a proposal for a better measurement. Journal of Risk Research
Rippl, S. (2002). Cultural
5 (2), 147–165, 20. d
los Comportamiento organizacional. San Diego: Pearson.
os
Robbins, S. (1994).
o d
© T 151
S
BIBLIOGRAFÍA
O
Roisenzvit, A., & Zárate, M. (2006). Hacia una cultura de Risk Management. 11.
Rueda, L. (2010). Gestión del Talento Humano: Capítulo 3 Capacitación, desarrollo y resultados del talento humano.
G
Bogotá.
ión.
S
Sánchez, L. (2016). Tolerancia y apetito al riesgo. Bogotá.
izac
Smith, k., & Hindson, A. (2012). Chapter 12: Practical guidance: a ten point plan for implementing. 116.
or
E
t
u - Re-
a
I
Smith, K., & Hindson, A. (2012). Chapter 8: Implementation guidance – evaluating risk culture. Risk Culture
sources for Practitioners, 116.
e via
Smith, K., & Hindson, A. (2012). Guía de implementación - Evaluando la cultura de riesgos. IRM. pr
R
sin I - Capítulo XI Ins-
Superintendencia Financiera de Colombia. (2007). Circular Externa 022 de 2007 de la SFC.l Título
cia del terrorismo, 94.
e
trucciones relativas a la administración del riesgo de lavado de activos y de la financiación
erSFC. Capítulo XXIII Reglas re-
d om
Superintendencia Financiera de Colombia. (2007). Circular Externa 041 de 2007 de la
lativas a la administración del Riesgo Operativo, 10. c
so Club Universitario.
A
u
Valero Muñoz, A. (2013). Principos de color y holopintura. Barcelona: Editorial
l
e
ite
R e rm
p
U
s e
o
T
s .N
do
L
rv a
e
es
U
r
h os
C
rec
s de
s lo
odo
152
©T

Cultura de Riesgos 2020 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cultura de Riesgos 2020 PDF

Cargado por

Copyright:

Formatos disponibles

O S

¿Cómo evaluar el compromiso de la

de capacitación y desarrollo en gestión de riesgos

h oorganización, para gestionar los eventos de riesgo.

guían el comportamiento de los empleados de sin

o s principio para generar un cambio en la percepción del

ficado en ella, para que a partir de allí haga el

o entre diferentes factores que influyen en la cultura de riesgos

esla voluntad de tomar

Paalanen, 2013, p.53. d

TIPOS DE CULTURA ORGANIZACIONAL ión.

ete,sya que se explica por el destino.

s loHindson & Murray, 2012, p.22.

IRM, 2012, p.18.

Smith y Hindson, 2012, p.60d

Morago y Bell, 2012,lp.68.

Morago & Bell, 2012, p.65

global, al promover la estabilidad financiera

Ernst & Young, 2014, p.1. d

Morago & Bell, 2012, o

riesgo a soportar? . a cargo?

Además, la alta dirección necesita establecer los comi-

r m ción en la figura nueve (9), la

d e er gestión de riesgos estraté-

so las tablas de valoración de probabilidad e

rec del negocio.

s de elaboración de los autores a partir de la información obtenida en las entrevistas .

PERFIL DE LA ORGANIZACIÓN PARA LA GESTIÓN DE RIESGOS riz

R erm Destreza numérica. Equipo multidisciplinario

rva metodologías para la gestión

los acciones bajo presión.

e r mitigar los riesgos existentes.

R e rmde chequeo para evaluar las habilidades y recursos

d om de riesgo que tienen las de-

T o realizadas a empresas A, B, C, D, 2016.

p de una meta establecida o logren el reconocimiento al

rva tema de riesgos.

o do& Zárate, 2006, p.10.

d om y en las agendas de trabajo de

organización puede soportar en la búsqueda de sus objetivos s

IRM, 2011, p.7. l

IRM, 2011, p.7.o

es recomendable elaborar un documento con la declara- Contexto de Negocio

independiente y objetiva en el proceso. rm Procesos de evaluación.

ASPECTOS A CONSIDERAR PARA DEFINIRse

de Fuente: información tomada de Anderson 165.

Figura 21 El beneficio de definir el apetito

oAuditores Internos de España, 2013, p.49.

h o el apetito de riesgo. riesgo de forma transversal a toda la organización,

ite toman como base la información histórica de

riesgos y desarrollan modelos estadísticos que incluyenpvariables

EN LA DEFINICIÓN DEL APETITO DE RIESGO

¿La organización enfrenta diferentes niveles de riesgo: estratégico, táctico y operacional? i

¿La tolerancia al riesgo y el apetito de riesgo se encuentran alineados? s

RIMS, 2012, p.13.

E n síntesis, la definición del apetito de riesgo es una

Andrade, 2005, p.9. l

NTC ISO 31000,l2011, pp.15-18.

d ompersonas de culturas diferentes.

ICONTEC, 2011, p.7.

FSB, 2014, p.9.

d om de negocio. Esto se logra a

d om de partida debido a que en el