Fase 1: Concepto y diferentes marcos de la Administración del Riesgo Empresarial

1.1 Principales conceptos de la administración del riesgo

Para introducirnos en el estudio de la administración del riesgo, es preciso que definamos

determinados conceptos, que resultarán claves para abordar la materia. El primer concepto clave
que se deberá considerar es el término de riesgo.

¿Qué es el riesgo?

La Organización Internacional de Normalización (ISO) lo define como efecto de la incertidumbre

sobre los objetivos. En términos generales, éste se podría definir como un posible cambio fuera de
las expectativas, ya sea positivo o negativo que pueden resultar en oportunidades o amenazas
para los objetivos. El riesgo usualmente es expresado en términos de fuentes de riesgo, eventos
potenciales, sus consecuencias y posibilidades. Pero los 2 elementos comunes del riesgo son
probabilidad e impacto.

No confundirse con el concepto de peligro, el peligro es la condición que puede causar lesión o
enfermedad, daño a la propiedad y/o paralización de un proceso.

Normalmente. atendiendo a la naturaleza de los riesgos empresariales suele distinguirse entre

riesgos puros' y riesgos especulativos. El riesgo puro se define como la incertidumbre de que
acontezca un determinado suceso que ocasiona una pérdida económica. Por su parte. el riesgo
especulativo se define como la incertidumbre de que ocurra un determinado suceso cuya
ocurrencia produciría la materialización de una expectativa de beneficio o pérdida,
indistintamente.

En consecuencia. el riesgo puro es aquél del que sólo puede derivarse un daño en caso de
ocurrencia y. por tanto, una pérdida económica. Por el contrario, en el riesgo especulativo existe la
incertidumbre, respecto al propio suceso, de que pudiera producirse indistintamente un beneficio
o una pérdida.

En general. esta distinción es bastante significativa. ya que la cobertura financiera de los riesgos
procurada por la institución aseguradora atiende generalmente a los riesgos puros. Los riesgos
especulativos son asumidos habitualmente por el empresario en función de su conocimiento y
quedan fuera del marco asegurador, si bien actualmente existe un cierto acercamiento del seguro
a determinadas parcelas de riesgos especulativos.
Tipos de riesgos

El riesgo viene en todos los tamaños y formas; los profesionales del riesgo generalmente
reconocen 3 tipos más comunes.

• Riesgo de mercado es, que pasa cuando hay un cambio sustancial en el mercado
particular en el que la empresa compite.
• Riesgo de crédito es cuando la compañía les da a sus clientes una línea de crédito, así
como también cuando la empresa no tiene los suficientes fondos para pagar sus cuentas.
• Riesgo operacional emerge como resultado de las actividades comunes de una empresa
e incluye fraude, problemas legales y personales

Riesgo de mercado

El riesgo de mercado involucra el riesgo del cambio en las condiciones del mercado especifico en
el cual la empresa compite.

Un ejemplo del riesgo de mercado es el incremento en la tendencia de los clientes a comprar en

línea. Este aspecto de riesgo de mercado ha presentado desafíos significativos a la venta
tradicional del negocio. Las compañías que han podido hacer las adaptaciones necesarias para el
servicio de venta en línea han prosperado y visto un sustancial incremento en los ingresos,
mientras las compañías que han sido lentas en adaptar o han hecho malas decisiones en la
reacción de cambiar el mercado, han fallado.

Riesgo de crédito

El riesgo de crédito es el riesgo en el que las empresas caen cuando les extienden créditos a sus
clientes. Este riesgo también puede referirse al propio riesgo de crédito de la empresa con sus
proveedores. Un negocio adquiere un riesgo financiero cuando este les proporciona financiamiento
a sus clientes, debido a la posibilidad de que un cliente pueda fallar en el pago.

Una compañía debe manejar sus propias obligaciones de créditos asegurándose de que tiene
suficiente flujo de efectivo para pagar sus facturas de cuentas por pagar de manera oportuna. Por
otro lado, los proveedores pueden dejar de dar crédito a la compañía o incluso ya no hacer
negocios con la empresa.

Riesgo operacional

El riesgo operacional es el riesgo en el cual las personas, procesos o sistemas pueden fallar, o que
un evento externo impacte negativamente a la compañía.
1.2 ¿Qué es la administración de riesgo?

Anteriormente, revisamos los conceptos aplicables a todos los riesgos que una compañía pueda
enfrentar. Ciertamente es un prerrequisito que una compañía desarrolle un proceso efectivo para
cada uno de sus riesgos significativos.

Pero no es suficiente crear un proceso separado para cada riesgo en aislamiento. Los riesgos son
por su propia naturaleza dinámica, fluida y muy interdependiente. Las empresas que operan en
ambiente volátil de hoy en día requieren de un enfoque mucho más integrado a la gestión de sus
portafolios de riesgos.

Tradicionalmente, las compañías administraban el riesgo in “silos”. El riesgo de mercado, crédito y

operacional eran tratados por separado y comúnmente tomado por diferentes individuos dentro de
una institución.
Por ejemplo, los expertos en crédito evaluaban el riesgo de incumplimiento, los especialistas en
hipotecas analizaban el riesgo de prepago, los corredores eran responsables del riesgo de
mercado, y los actuarios manejaban los pasivos, mortalidad, y otros riesgos de seguros.

Sin embargo, esto se ha vuelto cada vez más evidente que cada enfoque fragmentado
simplemente no funciona, porque los riesgos son altamente interdependientes y no pueden ser
segmentados y administrados por unidades enteramente independientes.

Una función de la administración del riesgo empresarial será ser responsable de dirigir la
administración de ciertos riesgos, coordinar las actividades de la administración del riesgo para
cualquier otra función que sea responsable de última instancia, y proveer en general monitoreo
para el senior management. Tampoco es más eficiente la monitorización de los riesgos en silos. El
problema es que las funciones de riesgo individuales miden y reportan su riesgo en específico en
diferentes metodologías y formatos.

El senior management y la junta directiva tienen las piezas del rompecabezas, pero no la imagen
completa. En muchas compañías, las funciones de riesgo producen literalmente cientos de páginas
de reportes de riesgo mes con mes. Sin embargo, todavía no proporcionan a la dirección y al
consejo información útil sobre riesgos.

Una buena prueba de ácido es preguntar si el senior management sabe las respuestas a las
siguientes preguntas básicas:

• ¿Cuál es el top 10 de los riesgos de la compañía?

• ¿Tenemos un reporte conciso que muestre las exposiciones y tendencias de los riesgos de
mercado, crédito y operacional?
• ¿Estamos en cumplimiento con las políticas internas, leyes y regulaciones?
• ¿Están la mayoría de las pérdidas e incidentes actuales de la compañía identificados por
los reportes de riesgo?
• ¿Gestionamos los riesgos sobre una base de rentabilidad ajustada al riesgo?

Si una compañía es incierta a cerca de las respuestas a cualquiera de estas preguntas, entonces
es más probable que se beneficien de un enfoque más integrado para manejar todos los aspectos
del riesgo- Administración del riesgo empresarial (ERM).

Enterprise Risk Management (ERM) es una respuesta a la sensación de insuficiencia en el uso de

un enfoque basado en silos para gestionar riesgos cada vez más interdependientes.

La disciplina de ERM a veces denominada gestión estratégica de riesgos empresariales, se

considera un método más sólido de la gestión de riesgos y oportunidades y una respuesta a estas
presiones comerciales. ERM está diseñado para mejorar el rendimiento empresarial. Es un
enfoque relativamente nuevo, mediante el cual se gestionan los riesgos de forma coordinada e
integrada en todo el negocio. El enfoque es menos que hacer con cualquier avance audaz en el
pensamiento, pero más que ver con el crecimiento continuo y maduro, evolución de la profesión de
gestión de riesgos y su aplicación de forma estructurada y disciplinada.
1.3 Antecedentes y contexto actual de la administración del riesgo.

Introducción

Los usuarios de seguros solucionan parcialmente los riesgos a través del financiamiento de las
pérdidas a que están expuestas las corporaciones para las cuales trabajan, en virtud de que existe
un buen número de contingencias no transferibles a las aseguradoras. Es así, que se inicia un
proceso orientado a la investigación del riesgo como tal, que trata de definir su naturaleza,
terminología, componentes y selección de herramientas para enfrentarlo con eficacia.

Conocimiento de la Empresa.

Es un requisito esencial en el campo de la Administración de Riesgos conocer a fondo las

instalaciones y la operación de la empresa en la que va a trabajar. Es común que las personas que
manejan los riesgos en su empresa no conozcan las actividades que desarrolla esa organización y
por ende su gestión deja mucho que desear.

Un inadecuado conocimiento de la empresa conlleva a una incorrecta identificación de los riesgos

y consecuentemente a la deficiente aplicación de las soluciones correspondientes.

Muchas personas que se dedican a la aplicación de la Administración de Riesgos en sus respectivas

empresas y cuya identificación con ellas es deficiente o insuficiente, tienden a resolver los
problemas de su compañía mediante el apoyo de su agente de seguros, o su corredor, o incluso
directamente con la aseguradora, malinterpretando la Administración de Riesgos como una
disciplina cuya misión es comprar seguros.

Desde luego, que es una de las funciones a desarrollar, pero no es la única ni la más importante.

Antecedentes de la Administración de Riesgos

Apenas hace cincuenta años, no se hablaba más que de los riesgos del seguro que englobaban
principalmente, los accidentes de trabajo, cubiertos después por la seguridad social; la
responsabilidad civil del Jefe de Empresa y los riesgos de Incendio, por lo cual se puede decir que
hasta 1960, la protección del patrimonio de las empresas reposaba exclusivamente en los sistemas
de aseguramiento.

En los sesentas, la aparición de materiales plásticos contribuía ampliamente al aumento de los

siniestros. Además, se incrementó la responsabilidad civil. Asimismo, el deterioro de los resultados
técnicos de las aseguradoras, causaron incrementos en las primas, lo cual propició que las
empresas se preocuparan por si solas por prevenirse y protegerse de los riesgos.

Esto causó que se tuviera un nuevo enfoque con respecto a los riesgos, ya que ahora en vez de
protegerse contra las consecuencias financieras de un riesgo por medio de seguros, las empresas
pueden buscar otras alternativas de manera preventiva antes de la formación del riesgo.
De esta evolución surgió la Administración de Riesgos (Risk Management).

La Administración de Riesgos nació en los Estados Unidos de Norteamérica, cuando los

compradores de seguros solucionaban parcialmente los riesgos a través del financiamiento de las
pérdidas a que estaban expuestas las corporaciones para las cuales trabajaban, en virtud de que
existían contingencias no transferibles a las instituciones de seguros. Así, se inició un proceso
orientado a la investigación del riesgo como tal, que trataba de definir su naturaleza, terminología,
componentes y selección de herramientas para poder enfrentarlo con eficacia.

La Administración de Riesgos en México

En México se inició la aplicación de la Administración de Riesgos en 1972, cuando un grupo de

personas encargadas del manejo de los programas de seguros en algunas empresas del país
establecieron contacto con la ASIM (American Society of Insurance Management) con el objeto de
difundir en México la teoría del Risk Management.

Posteriormente, se vio la ventaja de crear un organismo, basado en el ASIM, por lo que para 1973
se fundó en México la AMARAC (Asociación Mexicana de Administradores de Riesgos, A.C.), que
tenía como objetivos principales:

1. Promover y estimular la nueva disciplina denominada Administración de Riesgos con un

profundo sentido ético profesional.

2. Enseñar y fomentar el estudio de las técnicas conocidas para el manejo de los riesgos.

3. Recolectar, recopilar, estudiar, analizar y presentar datos estadísticos sobre los riesgos.

4. Fomentar relaciones de amistad y acercamiento con organizaciones similares, nacionales e

internacionales, llevando a cabo, entre otras cosas, un intercambio de ideas y de conocimientos,
así como otros tipos de comunicación y de cooperación.

AMARAC se asoció a la Risk an Insurance Management Society (RIMS), nuevo nombre de la ASIM e
incluso se inició contacto con la Association of Insurance and Risk Managers in Industry Commerce
(AIRMIC), de la Gran Bretaña con el objeto de ampliar los horizontes de la Administración de
Riesgos de México y enriquecer su acervo técnico.

Después de más de 10 años de labores, en 1984 este organismo cambió de nombre por el IMARAC
(Instituto Mexicano de Administradores de Riesgos, A.C.) con el cual se ha dado mayor empuje a la
Administración de Riesgos y se ha logrado que se le considere como una actividad de carácter
profesional.

La Administración de Riesgos funciona apoyándose en las técnicas de otras disciplinas como la

estadística, las finanzas, la informática, la seguridad industrial y los seguros entre otras, y se
sustenta en las relaciones que de manera interna, dentro de su ambiente de trabajo, desarrolla en
la empresa, pero preocupándose por mantener en todo momento intensas y profundas relaciones
con su entorno exterior del cual depende notablemente.
Estas relaciones internas y externas de la Administración de Riesgos, paulatinamente se han ido
incrementando dentro de las empresas al grado de que ha habido una verdadera revolución al
pasar de ser un mero comprador de seguros hasta convertirse en un verdadero administrador de
riesgos.

Estos fueron los primeros pasos de la administración de riesgo como tal, ya no era solo un
problema que la empresa tenía que resolver sus pérdidas con base a soluciones simples y
deficientes, como lo es asegurar todo lo que se pueda asegurar.

En 1985, se creó un comité en Estados unidos con la intención de informar y prevenir acerca de los
fraudes en las empresas. En 1992, publicaron un marco del control interno de las empresas y
finalmente llegaron a formar parte en la administración del riesgo en 2004.

Una de las mayores razones de la creación de un marco de la administración del riesgo en 2004, es
que había una vasta cantidad de información acerca del riesgo y de la administración del riesgo,
pero un había un lugar en donde se viera combinado estos dos aspectos.

Razones:

La información que se tenía del riesgo empezaba ahí, con el riesgo, y no con objetivos. Por lo cual,
hay que comprender que siempre debemos empezar con los objetivos, y crear la necesidad de
eliminar los silos o las pequeñas partes independientes de la organización para guiarnos a la
administración del riesgo por toda la empresa.

Otra razón por la que se decide crear este marco de la administración del riesgo es la introducción
de términos que la gente tenía problemas lidiando con dichos conceptos.

Conceptos que las organizaciones necesitaban empezar a hablar dentro de ellas si querían mitigar
el riesgo y tener en mente que es lo que conlleva dicho proyecto.

No es acerca del riesgo principalmente, es acerca de lograr nuestros objetivos y entender que hay
riesgos que van a estar entre ellos y sus objetivos y tú tienes que saber cómo lidiar, administrarlos
o movernos con ellos.

Norma ISO 31000:2009

Aunque la práctica de la gestión del riesgo ha sido desarrollada con el tiempo y en muchos
sectores, a fin de satisfacer las diversas necesidades, la adopción de procesos coherentes dentro
de un marco global puede ayudar a garantizar que el riesgo se gestiona de manera eficaz, eficiente
y coherente en toda la organización.

El genérico enfoque descrito en esta norma establece los principios y directrices para la gestión de
cualquier forma de riesgo de manera sistemática, transparente y creíble y en cualquier ámbito y
contexto. Cada sector específico o la aplicación de la gestión del riesgo trae consigo las
necesidades individuales, el público, la percepción de y criterios.
Por lo tanto, una característica clave de esta norma internacional es la inclusión de "establecer el
contexto" como una actividad al comienzo de este proceso genérico de gestión de riesgos.

Establecer el contexto capturará los objetivos de la organización, el entorno en el que persigue

estos objetivos, las partes interesadas y el la diversidad de criterios de riesgo - todo lo cual
ayudará a revelar y evaluar la naturaleza y complejidad de sus riesgos.

En esta norma internacional, las expresiones " la gestión de riesgos " y "la gestión del riesgo" son
utilizados. En términos generales, "la gestión de riesgos" se refiere a la arquitectura (principios,
marcos y procesos) para la gestión de los riesgos de manera efectiva, mientras que "la gestión del
riesgo" se refiere a la aplicación de esta arquitectura a determinados riesgos.

Aunque esta norma internacional proporciona directrices genéricas, no es la intención de

promover la uniformidad de riesgo la gestión de las organizaciones.

El diseño y ejecución de planes de gestión de riesgos y Marcos tendrá que tomar en cuenta las
diferentes necesidades de una organización específica, sus objetivos particulares, contexto,
estructura, operaciones, procesos, funciones, proyectos, productos, servicios o activos específicos
y prácticas empleadas.

Se pretende que esta Norma Internacional se utilizará para armonizar los procesos de gestión de
riesgos en los actuales y las normas futuras.

Proporciona un enfoque común en apoyo de las normas relativas a riesgos específicos y / o

sectores, y no sustituyen a las normas.

Esta Norma Internacional no se destine a los fines de la certificación.

1.4 Marcos vigentes

Hoy en día la administración del riesgo se ha vuelto más popular y recomendada alrededor de
todas las empresas, instituciones, organizaciones etc.. del mundo.

Los marcos vigentes que veremos durante el curso y que se utilizan mas en la práctica de la
administración del riesgo son 2:

El COSO ERM framework 2017 y la Norma ISO 31000:2018

El COSO ERM framework 2017

Sobre el paso de la década pasada, la publicación de 2004 ha ganado amplia aceptación por las
organizaciones en sus esfuerzos para administrar el riesgo.
Durante ese periodo de tiempo, la complejidad del riesgo ha cambiado, nuevos riesgos han
surgido, y ambos juntas directivas y ejecutivos han mejorado su conciencia y punto de vista de la
administración del riesgo mientras buscan por reportes de riesgo más desarrollados.

Este documento actualizado, Enterprise Risk Management—Integrating with Strategy and

Performance resalta la importancia de considerar el riesgo en ambos aspectos la estrategia y
configuración del proceso y el manejar la implementación.

La primera parte de la actualización ofrece una perspectiva en los conceptos actuales y evolutivos
y aplicaciones de la administración del riesgo empresarial. la segunda parte del marco está
organizada en 5 componentes fáciles de entender que dictan diferentes puntos de vista y
estructura de operación, y mejora de las estrategias y la toma de decisiones.

Norma ISO 31000:2018

Este documento fue preparado por el Comité Técnico ISO/TC 262, Risk management.

Esta segunda edición cancela y reemplaza la primera edición, Norma ISO 31000:2009, la cual ha
sido técnicamente revisada.

Los principales cambios que podemos comparar con la edición pasada son los siguientes:

-Revisión de los conceptos principales de la administración del riesgo qué son clave para el criterio
de su éxito.

-Resalta el liderazgo de los top managers y la integración del comienzo de la gestión del riesgo con
el Gobierno de la organización.

-Mayor énfasis en la naturaleza interactiva de la administración del riesgo nada más que nuevas
experiencias, conocimiento y análisis pueden dirigir a una revisión de los elementos de los
procesos acciones y controles en cada uno de los apartados del proceso.

-Racionalización del contenido con un enfoque más grande en el sustento de un modelo de

sistema abierto en el que se encaje múltiples necesidades y contextos.