Documentos de Académico
Documentos de Profesional
Documentos de Cultura
pa r a l a
Gest i ón d e
Ri esg os
Como integrar la seguridad a los objetivos estratégicos
de los negocios de una manera costo-beneficiosa.
El Diccionario de la Real Academia de la Lengua define el TEMOR como “recelo de un daño futuro” o
también como “pasión del ánimo, que hace huir o rehusar las cosas que se consideran dañosas, arriesgadas o
peligrosas”.
El TEMOR ha jugado tradicionalmente un papel importante a la hora de “manejar” los riesgos por parte de
personas u organizaciones. La respuesta instintiva cuando se percibe una amenaza que supera los niveles que el
interesado cree estar dispuesto a aceptar, es desarrollar acciones de control sobre ella (medidas de seguridad)
con la esperanza que dichas medidas lograrán el efecto de disminuir el riesgo que nos acecha (o que creemos
que nos acecha) recuperando entonces nuestra tranquilidad.
Con cada situación particular de riesgo que percibimos tendemos a repetir este proceso, por lo que al final,
lo que llamamos un “programa de seguridad” termina siendo la sumatoria desordenada de medidas
individuales incoherentes, que no obedecen a criterios racionales predefinidos.
El RIESGO ha dejado ya de ser visto como un problema con el cual deben lidiar las organizaciones y ha
pasado a ser considerado como una oportunidad necesaria para el desarrollo de las mismas. Dicho en otras
palabras, la GESTION DE RIESGOS se ha constituido en una herramienta para el desarrollo estratégico de
las empresas, y como tal, todos los programas de seguridad deberán estar montados cuidadosamente sobre un
“modelo de gestión” coherente y racional que evite al máximo que la toma de decisiones esté controlada por la
emotividad del momento o del actor.
Antes de decidir implantar una medida de intervención de riesgos – cualquiera que ella sea – es necesario
establecer una estrategia corporativa de manejo de riesgos (de TODOS los riesgos, independientemente de su
origen) adecuada a las condiciones y necesidades de la organización y entonces sí decidir y actuar siendo
consistente s con dicha estrategia El manejo de los riesgos en las organizaciones, para que sea costo-eficiente,
debe corresponder a un proceso basado en una metodología preestablecida, con patrones y criterios también
preestablecidos.
El presente artículo, extractado del Manual del Sistema GIRO (Gestión Integral de Riesgos en las
Organizaciones) desarrollado por el autor, describe de una manera resumida un modelo de metodología para
gestionar riesgos en las empresas e instituciones, de una manera independiente del tipo de organización o de la
clase de riesgo de que se trate
GESTION DE RIESGOS – César Duque & Asociados Consultores de Riesgos ® 2001 – Prohibida Su Reproducción
1.- M ARCO CONCEPTUAL
QUE ES LA SEGURIDAD?
QUE ES EL RIESGO?
SEGURIDAD COMO RESPUESTA AL RIESGO -
EL RIESGO EN LAS ORGANIZACIONES. Todas las
Para enfrentar los riesgos en un sistema el hombre
organizaciones durante su vida de funcionamiento ha desarrollado el concepto de SEGURIDAD, cuyo
están sometidas en forma permanente a amenazas propósito original era el de "eliminar" el riesgo, o
de diversa índole, ya sean de origen natural (por
disminuirlo "hasta donde sea posible".
ejemplo terremotos), tecnológico (p.ej. incendios) o
social (p.ej. terrorismo), que pueden afectar sus La seguridad se ha venido aplicando en múltiples
objetivos críticos.
campos en las empresas, dando origen a disciplinas
como la Salud Ocupacional, Seguridad Industrial,
(1) AMENAZA: situación con potencial de generar
consecuencias negativasNOTA: Ecología, Seguridad Contra Incendios, Seguridad
Física o Protección Industrial, etc.
La amenazas pueden permanecer latentes sin llegar
a afectar al sistema o también eventualmente EVOLUCION DEL CONCEPTO SEGURIDAD - La
pueden materializarse en un evento dañino con evolución de la conceptualización sobre los riesgos
consecuencia y efectos negativos variados tal como en las actividades humanas, resultado de múltiples
lesiones o muertes, daños materiales, pérdidas estudios e investigaciones realizadas durante los
económicas, suspensión de la operación, pérdida de últimos 20 años, ha generado un cambio significativo
información o daño ambiental en los modelos de manejo de riesgo en las
empresas y organizaciones. Hoy en día se reconoce
(2) SINIESTRO: evento negativo no planeado con que aun cuando los siniestros podrían ser evitables
capacidad de generar daño en la medida en que se haga un manejo adecuado
de los factores que los originan, el RIESGO por el
El proceso de generación de un siniestro nace en la contrario, no es posible eliminarlo, por cuanto él es
existencia de “factores” internos o externos al inherente a la actividad misma.
sistema, ya sea que ellos se originen en las acciones
u omisiones de personas (acciones sub-normales) o El componente neto de riesgo en un sistema con
en las condiciones materiales reinantes (condiciones recursos finitos será siempre positivo; esto es
sub-normales); estos factores pueden desencadenar conocido como el “principio de la permanencia del
en un evento con consecuencias sobre las personas, riesgo”. Por ello, la única forma de eliminar los
los bienes o la organización, y todo ello se reflejará riesgos sería eliminar la actividad a la cual están
en una pérdida económica. En el gráfico No 1 se asociados.
presenta un esquema sobre el proceso de los
siniestros. CONCEPTO ACTUAL DE SEGURIDAD - Ante la
imposibilidad de eliminar los riesgos, las alternativas
La probabilidad de que - en ciertas condiciones de son entonces ignorar su presencia o realizar un
exposición - las amenazas presentes puedan en un "manejo adecuado" de los mismos, ya sea
período de tiempo materializarse en un siniestro con controlándolos, limitándolos, modificándolos o
determinadas consecuencias sobre los elementos cambiándolos. Debido a que el manejo del riesgo no
expuestos, se ha denominado comúnmente como un es un fin por si mismo para las empresas y
RIESGO. organizaciones (es una herramienta adicional para el
logro de sus objetivos), y a que ellas tienen recursos
(3) RIESGO: probabilidad de una consecuencia finitos y limitados para destinar a su manejo, este
negativa (Daño o Pérdida) deberá responder a criterios de costo-eficiencia.
Por lo anterior, se considera que el Riesgo tiene tres El manejo de los riesgos se ha enmarcado en la
componentes básicos: el evento, la probabilidad de teoría moderna de "Gestión de Riesgos" dentro de la
que este ocurra y las consecuencias asociadas al cual se ha redefinido el concepto de seguridad,
mismo; por ejemplo: la probabilidad que una persona entendiéndolo como lograr unas condiciones de
muera como consecuencia de un accidente de riesgo que no superen unos niveles que se han
tránsito: o de que se roben la suma de US$ 100.000 considerado como “adecuados” o “normales” para
en un atraco. las necesidades de un sistema.
GESTION DE RIESGOS – César Duque & Asociados Consultores de Riesgos ® 2001 – Prohibida Su Reproducción Página No 1
Proceso del Siniestro
Factor
Factor Víctimas
Humano
Humano Víctimas
Daños
Daños Material
Daño
Daño Ambiental
Material Pérdida
Siniestro Suspensión
Suspensió Pérdida
Siniestro Ambiental Económica
Económic
Pérdida
Pérdida Inform.
n a
Factor Daño Imagen
Factor Daño
Inform.
Material Pérdida
Pérdida Mercado
Material Imagen
Mercado
Es por todo esto que en la práctica, la única forma Este enfoque plantea dos grandes interrogantes:
real de determinar la "seguridad requerida", es el primero de ellos es sobre el significado de la
estableciendo parámetros de medición de los niveles magnitud misma de las consecuencias; una
de aceptabilidad del riesgo, mediante el consenso pérdida, por ejemplo de US$ 10.000,oo ¿es muy
entre los especialistas, la gerencia y las autoridades, grande o muy pequeña?. El segundo tiene que
logrando así mantener la subjetividad en niveles ver con la manera como podemos equiparar las
racionales. Con el fin de compatibilizar todos los consecuencias sobre diferentes variables en una
intereses existentes en la sociedad, corresponde al organización, como por ejemplo: comparar la
estado determinar la aceptabilidad del riesgo en ocurrencia de tres heridos graves con la de tener
forma racional y coherente, mediante la utilización de US$ 100.000,oo de pérdidas, o con el hecho de
los mecanismos establecidos en la constitución y la que el resultado del siniestro sean cuatro
ley (aceptabilidad obligatoria) y con base en ella hectáreas contaminadas, o que se produzcan
corresponde a las organizaciones definir su propia siete días de paro en la operación; esto sería
seguridad (aceptabilidad voluntaria), acorde a sus como comparar naranjas con manzanas y estas
objetivos e intereses dentro del marco de la ley. con duraznos.
GESTION DE RIESGOS – César Duque & Asociados Consultores de Riesgos ® 2001 – Prohibida Su Reproducción Página No 2
(5) CONSECUENCIA: Valor numérico absoluto de Una vez evaluados los riesgos de cada escenario y
los resultados de un siniestro.. calificado su impacto posible sobre la empresa
(Vulnerabilidad) el resultado puede ser que dicha
b) IMPACTO: Estos interrogantes empiezan a vulnerabilidad esté por debajo del nivel considerado
resolverse cuando entendemos que la gravedad como aceptable, en cuyo caso significaría que el
de un siniestro no radica en cuánto dinero escenario de riesgo ES SEGURO, o por el contrario
pueda perderse -por ejemplo- sino en cómo esa la vulnerabilidad puede estar por encima del nivel
determinada suma afecte al sistema que la aceptable, lo que significaría que el escenario NO
sufre. ES SEGURO y por lo tanto requeriría de alguna
intervención para llevarla hasta el nivel aceptable. En
Para determinar la importancia relativa de los artículo posterior discutiremos algunas alternativas
riesgos se establece un nuevo parámetro para disponibles para evaluar y calificar los riesgos y la
medir "el impacto" que un siniestro podría tener NOTA
vulnerabilidad
sobre el sistema. Esta medida de impacto
establece el qué tan grave sería para el sistema Consecuentes con la teoría de que el riesgo más
por ejemplo, perder determinada cantidad de que un problema es una oportunidad (tal vez la única
dinero, o para su operación cierto número de alternativa para el desarrollo de las organizaciones),
días de paro. Esta medida adimensional y podríamos plantear que el riesgo tiene dos caras:
genérica del impacto se conoce como la aquella POSITIVA que sirve de soporte al desarrollo
VULNERABILIDAD RELATIVA de un sistema, y estratégico, cuando se encuentra dentro del nivel
corresponde a la sensibilidad del sistema a una aceptable, y la otra NEGATIVA capaz de poner en
consecuencia dada. peligro dicho desarrollo cuando se encuentra por
fuera de la aceptabilidad. La “porción indeseable” de
(6) VULNERABILIDAD RELATIVA: Medida del la vulnerabilidad (aquella que sobrepasa el valor de
Impacto que la consecuencia de un siniestro
aceptabilidad” se conoce como VULNERABILIDAD
pueda tener sobre la estabilidad de un sistema.
MARGINAL y corresponde a la parte que es
necesario tratar de reducir.
En definitiva lo que determina la gravedad de un
siniestro o de un posible siniestro (o Riesgo) no es el (7) VULNERABILIDAD MARGINAL: Aquélla parte
monto de la consecuencia producida sino el impacto de la vulnerabilidad de un escenario que excede
que estas puedan ocasionar al sistema. el Nivel Aceptable; vulnerabilidad a intervenir.
GESTION DE RIESGOS – César Duque & Asociados Consultores de Riesgos ® 2001 – Prohibida Su Reproducción Página No 3
Cada escenario evaluado podrá o no tener su (8) GESTION DE RIESGOS: proceso mediante el
“Vulnerabilidad Marginal” cuyo valor determinará la cual se identifican, analizan, evalúan, controlan y
prioridad que se requerirá para su intervención. Con financian los riesgos a que están expuestos los
bienes, recursos humanos e intereses de la
el conjunto de los resultados de los escenario
Entidad, la comunidad y el medio ambiente que la
evaluados se podrá construir el PERFIL DE rodea, optimizando los recursos disponibles para
RIESGOS de la empresa, también llamado ello.
“Panorama de Riesgos”,con base en el cual podrán
diseñarse los indicadores de Riesgo y Seguridad que Cuando la Vulnerabilidad inicialmente evaluada esté
sean requeridos. sobre el nivel considerado como aceptable para la
empresa el propósito de las medidas de intervención
a implementar es llevar el escenario a un valor de
vulnerabilidad igual o cercano al aceptable; no se
2.- GESTION DE RIESGOS requiere entonces intervenir aquellos escenario cuya
evaluación demuestre que su riesgo se encuentra
LA GESTION DEL RIESGO EN LA EMPRESA dentro de los límites de aceptabilidad.
El RIESGO es una variable permanente en todas las
actividades de la Empresa, que influye en sus Vale la pena enfatizar que el propósito de la Gestión
oportunidades de desarrollo, pero que también de Riesgos no es necesariamente DISMINUIR la
vulnerabilidad sino ADECUARLA a aquellos niveles
afecta sus resultados y puede poner en peligro su
estabilidad. Bajo la premisa de que "no es posible requeridos para el desarrollo estratégico de la
eliminar totalmente los riesgos en un sistema" empresa.
(Principio de Permanencia del Riesgo), se requiere
"manejarlos" de una manera adecuada, coherente y Cada medida de intervención tiene su capacidad de
consistente, mediante la implantación de un reducir la vulnerabilidad respecto a determinado
riesgo, que combinada con el costo de la misma nos
Programa Corporativo de Gestión de Riesgos.
permitirá valorar su eficiencia, eficacia y rentabilidad.
ALCANCES DE LA GESTION DE RIESGOS - La Es posible que la aplicación de una medida de
intervención o de un conjunto de ellas sobre un
Gestión de los Riesgos en la Empresa se basa en
escenario no logre llevarlo al nivel aceptable, por lo
controlar y limitar el IMPACTO que los eventos de
posible ocurrencia puedan generar sobre la que todavía quedará una porción remanente de
riesgo por intervenir (por fuera del nivel aceptable);
estabilidad de ella. Para esto se toma como
esta porción es conocida como VURNERABILIDAD
referencia el concepto de VULNERABILIDAD
RELATIVA (En adelante nos referiremos a ella RESIDUAL.
simplemente como Vulnerabilidad), que no es otra
En el Gráfico No 3 se presenta el concepto de la
cosa que una medida de que tan sensible es la
estabilidad de la Empresa u Organización respecto a Vulnerabilidad Residual, en donde Vf corresponde al
valor de la vulnerabilidad después de aplicadas las
las consecuencias de cada evento que pueda
medidas de intervención a un escenario (Final) y la
ocurrir. Un atentado terrorista a un equipo puede
generar ciertas consecuencias (Víctimas, Pérdidas diferencia o distancia entre esta nueva vulnerabilidad
y el valor definido como aceptable corresponde a la
económicas, operacionales, etc.) y cada una de
MARGINAL pendiente por intervenir. No siempre es
estas consecuencias tendrá un impacto sobre la
estabilidad de la empresa. En resumen, la Gestión posible lograr reducir más este remanente de riesgo.
de los Riesgos se fundamenta en limitar y controlar
la vulnerabilidad de la empresa relacionada con los
riesgos existentes. Reducción de la Vulnerabilidad
Nivel 100%
El control de la vulnerabilidad consiste en intervenir Vi
Nivel Inicial Vi l
los riesgos (reducirlos, modificarlos, controlarlos o
cambiarlos) de una manera racional, sistemática y V. Total
Reducción
costo-beneficiosa, con el fin de limitar el impacto Vf
l
posible que puedan tener sobre la estabilidad y la Nivel Final
GESTION DE RIESGOS – César Duque & Asociados Consultores de Riesgos ® 2001 – Prohibida Su Reproducción Página No 4
El proceso de Gestión de Riesgos comprende las COMUNICACIÓN DE RIESGOS – Esta es una de
siguientes tres etapas complementarias entre sí: las etapas más críticas y posiblemente a la que
menos importancia se le viene dando en el proceso
EVALUACIÓN DE RIESGOS – Esta primera etapa de Gestión de Riesgos. Su propósito es lograr el
está orientada al conocimiento del riesgo e incluye compromiso y participación de todas las personas
cuatro actividades básicas. Para el desarrollo de que de alguna manera estén relacionadas dentro o
esta etapa es necesario que previamente la empresa fuera de la organización con el programa de gestión
haya definido el modelo de medición a utilizar y las de riesgos que se pretende adelantar.
herramientas para ello, así como las diferentes
tablas y parámetros de referencia a aplicar: La comunicación del riesgo busca informar sobre las
decisiones a adoptadas a todas aquellas personas
1.- Identificación: Se refiere a la realización del que se verán afectadas por dichas decisiones pero
inventario de los bienes, recursos humanos e que no tomaron parte en la definición de las mismas.
intereses específicos que posee la Empresa y
de las amenazas a que ellos están expuestos;
es la identificación de los diferentes escenarios ESTRATEGIAS DE SEGURIDAD
a evaluar.
La Administración de los Riesgos implica – tal como
lo vimos anteriormente – la toma de decisiones
2.- Medición: Para cada uno de los escenarios que
sobre como debemos actuar frente a los riesgos
han sido identificados es necesario estimar la
evaluados. Para ello es necesario definir en forma
probabilidad de materialización de la amenaza
clara la orientación que se les dará a dichas
en un siniestro y valorar las consecuencias
decisiones en lo que comúnmente se conoce como
esperadas sobre cada una de las variables
la definición de “Estrategias de Seguridad”.
críticas de la empresa; la combinación de estos
dos valores permitirá medir el riesgo asociado a
Una estrategia de seguridad no es otra cosa que
dicho escenario.
como pensamos interferir con el desarrollo del riesgo
actuando sobre algunas de las fases del desarrollo
3.- Calificación: Usando los resultados obtenidos
posible del siniestro, tal como este se presentó con
en la medición de cada escenario, se calificará
anterioridad en el Gráfico No 2.
la gravedad de los mismos aplicando los
criterios de aceptabilidad corporativos, con lo
La acción sobre cada una de las fases del siniestro
cual se podrá establecer la necesidad de su
corresponde a una estrategia de seguridad; ellas
intervención y la priorización para ello.
son:
4.- Consolidación: Con los datos de las mediciones
ø ACEPTAR EL RIESGO: Esta Estrategia consiste
y calificaciones se diseña el “Perfil de Riesgos”
en no desarrollar ninguna acción tendiente al
(Panorama de Riesgos) y se construyen los
control del riesgo evaluado; también es posible
indicadores correspondientes.
referirse a ella como ASUMIR riesgos. Los
riesgos se asumen ya sea porque el resultado de
AMINISTRACION DE RIESGOS – Esta segunda
la evaluación muestra que la probabilidad de
etapa tiene como finalidad la toma de decisiones
ocurrencia del evento asociado o sus
sobre la intervención de los riesgos que lo ameriten.
consecuencias sobre el sistema no son
Para ello es necesario determinar las diversas
significativas, o porque independientemente de
alternativas existentes para intervenir los escenarios
ellas no se tienen los recursos o no existen las
cuya evaluación haya mostrado que tienen un valor
alternativas tecnológicas para efectuar su
de vulnerabilidad que supera el nivel aceptable;
intervención.
asimismo se necesita valorar cada alternativa a la
luz de variables económicas, legales, sociales y
También se aceptan de manera “involuntaria”
políticas y seleccionar aquellas que en función del
(pero con los mismos resultados) los riesgos que
costo-beneficio se consideren como las más
no son reconocidos.
adecuadas, para su posterior implantación.
La estrategia de "asumir" riesgos es por lo
Como resultado de esta etapa aparece el “Programa
general el resultado de aplicación de políticas
de Administración de Riesgos” de la empresa
dentro de una empresa, pues se relaciona con la
soportado con las actividades a desarrollar, su
disposición de ella de aceptar de antemano las
cronograma, un presupuesto y con las medidas de
consecuencias de un o algunos siniestros que
control y auditoria sobre su desempeño.
pudiera presentarse.
GESTION DE RIESGOS – César Duque & Asociados Consultores de Riesgos ® 2001 – Prohibida Su Reproducción Página No 5
La aceptación del riesgo es una decisión Las medidas de protección incluyen entre otras:
autónoma de la empresa, siempre y cuando no
- Medios estructurales para el control, o
se violen preceptos legales existentes.
Mitigación.
ø FINANCIAR EL RIESGO: Esta Estrategia de - Sistemas y/o Equipos de Protección
Administración de Riesgos consiste en controlar
- Procedimientos de acción: Planes de
las consecuencias económicas de los siniestros
Emergencia y Planes de Contingencia.
de posible ocurrencia, estableciendo de manera
previa los mecanismos para la financiación
Debe tenerse presente que las protecciones
parcial o total de las pérdidas esperadas, ya sea
activas y pasivas son proporcionales de manera
con el uso de recursos propios o de terceros. Se
tienen dos alternativas para ello: inversa, por lo que cuando mejor son las
protecciones pasivas menos protecciones
activas se requieren.
a) RETENER EL RIESGO: Esta alternativa
Consiste en establecer una provisión real de
ø PREVENIR EL RIESGO: Consiste en actuar
fondos que sea adecuada y suficiente para
sobre el factor humano o sobre las condiciones
responder por la pérdida esperada y de esta
manera poder garantizar la continuidad del materiales que generan el riesgo, para disminuir
la probabilidad de ocurrencia del siniestro.
negocio en caso de ocurrir el siniestro.
GESTION DE RIESGOS – César Duque & Asociados Consultores de Riesgos ® 2001 – Prohibida Su Reproducción Página No 6
Estrategias
PREVENIR PROTEGER FINANCIAR ASUMIR
Factor
Factor
Humano Víctimas
Víctimas
Humano
Daños
DañosMaterial
Material
Daño
DañoAmbiental
Ambiental
Suspensión Pérdidas
Pérdidas
Siniestro
Siniestro Suspensión
Pérdida Económicas
Económicas
PérdidaInform.
Inform.
Daño
DañoImagen
Imagen
Factor
Factor Pérdida
PérdidaMercado
Mercado
Material
Material
Causas
Causas Evento
Evento Consecuencias
Consecuencias
GESTION DE RIESGOS – César Duque & Asociados Consultores de Riesgos ® 2001 – Prohibida Su Reproducción Página No 7
Establecer
POLITICAS DE RIESGO
Definir el NIVEL
ACEPTABLE DE RIESGO
Identificar
QUE PODRIA PASAR
Desarrollar Análisis
de Riesgos
Vulnerabilidad SI
ASUMIR EL RIESGO
Aceptable ?
NO NO
SI NO
Puede Ser Puede Ser
Intervenido ? Financiado ?
SI
MEDIDAS DE MEDIDAS DE
PREVENCION PROTECCION
SI TRANSFERIR RETENCION DE
RIESGOS RIESGOS
SI
Vulnerabilidad Puede Ser
Residual ? Financiado ?
NO NO
RIESGO
GESTIONADO
GESTION DE RIESGOS – César Duque & Asociados Consultores de Riesgos ® 2001 – Prohibida Su Reproducción Página No 8