Capítulo 1
cia en el ámbito de la práctica empresarial. Allí se evidencia aún más
Identificación de riesgos empresariales
Antecedentes
El interés por identificar los riesgos ha existido desde la antigüedad,
fruto de la necesidad de prevenir eventos desfavorables para el bienestar
de la humanidad. Acudir a oráculos para predecir los hechos, leer cartas
como el tarot o la llamada carta astral, pedir consejo a expertos, consultar
información, estar atentos a las noticias locales e internacionales, moni-
torear las acciones de la competencia y los gustos de los consumidores
han sido, entre muchos otros, medios para identificar riesgos que alteren
la realización de nuestros deseos y planes o afecten nuestra seguridad.
Para identificar los riesgos personales no es necesario desarrollar
técnicas sofisticadas; la observación es una de las mejores aliadas para
buscar la seguridad en la cotidianidad. Si se observa en las calles, bodegas,
edificios, laboratorios e instalaciones, se puede en general percibir una
variedad de señales que evidencian peligros y que permiten evitarlos o
controlarlos; el instinto de conservación hace que estemos en constante
alerta ante condiciones anormales que pueden atentar contra nuestra
supervivencia.
La palabra riesgo, desde sus orígenes, se relaciona con peligro, con
hechos adversos que pueden suceder y deben afrontarse:
Desde el punto de vista etimológico, el origen de la palabra riesgo
se atribuye tanto al latín como al árabe. Se dice que llega al italiano
a través de la palabra risico o rischio, y ésta del árabe clásico rizq (lo
que depara la providencia), o del latín resecu (riesgo en el mar, roca,
risco) y risicare (desafiar, retar, enfrentar, atreverse o transitar por
un sendero peligroso). El significado de riesgo se relacionaba con
el peligro que en la antigüedad representaban los riscos marinos
para las embarcaciones.1
1
Rubi Consuelo Mejía Quijano, El riesgo y la historia empresarial antioqueña. Tres casos de estudio,
Medellín, Fondo Editorial Universidad EAFIT, 2011, p. 50.
25
Los riesgos han evolucionado y su estudio adquiere mayor relevan-
la necesidad de controlar las amenazas que pueden afectar el normal
funcionamiento de toda empresa y generar pérdidas, que van desde lo
económico hasta la afectación a las personas, pasando por el deterioro del
medio ambiente o de la imagen corporativa.
Según la norma ISO 31000, el riesgo es: “[…] el efecto de la incer-
tidumbre sobre los objetivos”.2 En el campo empresarial el riesgo se aso-
cia con la incertidumbre de un resultado, el cual puede ser negativo al
ocasionar pérdidas materiales o inmateriales, o positivo si se convierte en
oportunidad de obtener ganancias.3
Sobre los conceptos incertidumbre y riesgo hay diferentes concep-
tualizaciones; a continuación se presentan tres perspectivas que pueden
aclarar la diferencia entre ellos:
Frank Knight uno de los autores más reconocidos en al ámbito de
la economía por tratar en profundidad el tema del riesgo, en su
libro Risk, Uncertainty and Profit plantea el papel de la incertidumbre
en la actividad empresarial y distingue los conceptos de riesgo e
incertidumbre, caracterizando el primero como mesurable y el se-
gundo como incalculable. Es decir, cuando habla de riesgo, refiere
la aleatoriedad de los resultados con probabilidades conocidas; en el
caso de la incertidumbre, refiere la aleatoriedad con probabilidades
desconocidas.4
El riesgo y la incertidumbre son conceptos relacionados; en algu-
nos casos se utilizan los dos indistintamente. Algunos autores
2
International Organization for Standardization, ISO 31000. Risk Management – Principles
and Guidelines, Suiza, ISO, 2009, p. 1. [Todas las traducciones de la norma son realizadas
por la autora].
3
Algunos autores, como Javier Mirabal, consideran que los posibles resultados de los riesgos
dependen de si son riesgos puros o especulativos. Cuando se habla de riesgos especulativos
existen tres posibles resultados: pérdida, ganancia o ni pérdida ni ganancia; cuando se
trata de riesgos puros se pueden dar dos posibles resultados: pérdida o no pérdida. Javier
Mirabal T., “La Auditoría interna y la administración de riesgos”, Administración de riesgos
y seguros latinoamericana, Buenos Aires, año 1, núm. 1, abril de 2004, pp. 8-17.
4
R. C. Mejía Quijano, El riesgo y la historia empresarial antioqueña. Tres casos de estudio, op. cit.,
p. 46
26
 consideran el riesgo como cualquier situación en la que hay incer-
tidumbre acerca del resultado que se obtendrá.
La incertidumbre se relaciona con la duda ante la posible ocurrencia
de algo que puede ocasionar pérdida, por lo cual algunos la con-
sideran como una ilusión basada en el desconocimiento de los
hechos o las condiciones que pueden generar pérdida; de ahí que
Irvin Pteffer, al hablar del tema, diga que el riesgo es un estado
del mundo real y que la incertidumbre es un estado de la mente,
porque es posible que exista el riesgo y no tengamos incertidumbre
sobre su ocurrencia, o por el contrario tengamos incertidum-
bre, pero el riesgo puede no existir.5
Es importante diferenciar entre riesgo e incertidumbre. La incer-
tidumbre existe siempre que no se sabe con seguridad lo que
ocurrirá en el futuro. El riesgo es la incertidumbre que afecta
negativamente el bienestar. Por ejemplo, hay incertidumbre de
que mañana pueda llover, lo cual implica un riesgo para quien no
lleve paraguas y una oportunidad para quien necesite rociar su jar-
dín. Como se ve, oportunidad es la incertidumbre que mejora el
bienestar de las personas, la cual cambia de una a otra de acuerdo
con sus necesidades. Toda situación riesgosa es incierta, pero
puede haber incertidumbre sin riesgo.6
Las empresas pueden afrontar riesgos provenientes de diferentes
ámbitos de su actuación, tanto del entorno como de sus operaciones;
pero también se corren riesgos en la toma de decisiones: “[…] la esencia
de ‘hacer negocios’ es, precisamente, correr riesgos, en otras palabras,
el riesgo es una elección propia, más que una imposición o un obstáculo
indeseable”.7
El avance en la identificación de riesgos con fines de control ha si-
do impulsado por varias razones, entre ellas, la creciente normatividad
expedida en diferentes campos, como los de la salud ocupacional y la
5
Rubi Consuelo Mejía Quijano, Administración del riesgo. Un enfoque empresarial, Medellín,
Fondo Editorial Universidad EAFIT, 2006, p. 31.
6
Oscar Bravo Mendoza y Marleny Sánchez Celis, Gestión integral de riesgos, Bogotá, Bravo
& Sánchez, 2009, p. 18.
7
Deloitte & Touche e IMEF, Administración integral de riesgos de negocios, México, Instituto
Mexicano de Ejecutivos de Finanzas, 2003, p. XV.
27
pública, la seguridad industrial, las finanzas, etc. La conciencia creada
hacia la responsabilidad del control de los riesgos que afectan a clientes,
comunidades y medio ambiente, como el derrame de sustancias tóxicas
en ríos y mares, el deterioro ambiental, las explosiones de productos tó-
xicos, la afectación de la salud por el uso de medicamentos o materiales
defectuosos en intervenciones quirúrgicas, las catástrofes naturales, el
incremento y revelación de fraudes corporativos, el desacierto en deci-
siones de administración de grandes capitales comunitarios en mercados
de valores, el aumento de costos para resarcir víctimas de riesgos pro-
venientes de empresas o entidades públicas, el cuestionamiento ético
y de responsabilidad social sobre el manejo de riesgos y su impacto en
el futuro de la humanidad…, han puesto en alerta a administradores,
legisladores, científicos y comunidad en general sobre la importancia de
identificar y administrar de forma efectiva los riesgos que pueden afectar
la sociedad.
De otro lado, la globalización que ha generado la interdependencia
entre las naciones y las empresas, que ha permitido que la información
se difunda en tiempo real en todo el planeta, y el desdibujamiento de las
fronteras de tiempo y espacio, traen consigo un cambio drástico en la velo-
cidad de la toma de decisiones, en la forma de responder a la diversidad
de costumbres y a las crecientes expectativas, necesidades y exigencias del
mundo conectado. Cada vez se corren más riesgos, a la vez que se espera
que éstos sean controlados.
Por tanto, identificar los riesgos que el entorno genera a las organi-
zaciones y los que provienen de sus propios procesos constituye una fuente
de información de vital importancia para la gestión y competitividad
empresarial, y eso requiere de herramientas que complementen la obser-
vación, la experiencia y la intuición.
En general los riesgos inherentes, y que por rutina se materializan en
las empresas o en otros sectores de la economía, pueden ser reconocidos
fácilmente. El administrador no necesita técnicas especiales para iden-
tificarlos; pero, ¿está preparada la empresa para identificar riesgos tales
como los psicosociales (depresión, ansiedad en el trabajo, tensión, insa-
tisfacción laboral) o riesgos técnicos relacionados con los productos que
elabora o servicios que ofrece, y que pueden generar a sus clientes o al
medio ambiente impactos negativos?¿Está capacitada la organización para
determinar las circunstancias externas e internas que pueden afectar el
cumplimiento de los objetivos que se ha trazado? ¿Es suficientemente
28
flexible y tiene capacidad para adaptarse al entorno cambiante? ¿Puede ta su ejecución. En la Figura 1.1 se presentan esos lineamientos, que según
analizar las causas de esos riesgos y sus consecuencias? la norma interactúan en el desarrollo de la administración de riesgos.
La disciplina de la Administración de Riesgos surgió de la admi-
nistración de seguros. Inicialmente se dedicó al estudio de los ries- Figura 1.1 Relación entre principios, marco y proceso de administración de riesgos
gos asegurables y con el tiempo amplió su cubrimiento a los demás riesgos:
El manejo del riesgo a través de un asegurador se inició con el
transporte marítimo; los banqueros, con el soporte de un contrato,
financiaban a los dueños de los barcos viajes en los que se arriesgaba
tanto el barco como la carga. En caso de pérdida, el contrato esti-
pulaba que el dueño del barco no tenía la obligación de pagar
el valor financiado para el viaje. Este tipo de contratos, aunque
costosos, constituyeron el inicio del mercado de seguros. Éste se
extendió posteriormente a otros campos, como el seguro de vida,
al obtenerse cálculos más precisos de la esperanza de vida de las
personas y los seguros patrimoniales. […]
Desde 1929, a nivel mundial se dio gran importancia al administrador
del riesgo puro en los negocios, se crearon asociaciones de admi-
nistradores de riesgos para intercambiar información entre los
miembros y publicar noticias o datos de interés para los compradores
corporativos de seguros. Posteriormente se fundaron Institutos de
investigación y Sociedades de Administración de Riesgos y Se- Fuente: Icontec International, NTC ISO 31000. Norma técnica colombiana,
Bogotá, Icontec, 2011, p. 3.
guros, los cuales, a través de reportes de estudios, seminarios y
publicaciones, ayudaron al desarrollo de la Administración de
El proceso de administración de riesgos implica varias etapas:
Riesgos.8
Identificación, etapa previa que conduce al Análisis de los riesgos (estos se
La evolución de la administración de riesgos ha permitido que se califican según la probabilidad de ocurrencia y el impacto que pueden
establezcan acciones, ya no aisladas, sino de manera estructurada e in- producir en caso de materializarse). Para Calificar los riesgos se usan es-
tegral, para identificar, calificar, evaluar y monitorear todo tipo de riesgos calas de valoración, dependiendo de las necesidades de cada empresa.
que puedan afectar el cumplimiento de los objetivos de las organizaciones, En la evaluación de riesgos se determina qué tan graves son los riesgos
con el propósito de responder con medidas efectivas para su manejo.9 identificados según los criterios de aceptabilidad, definidos por el nivel
La normatividad sobre riesgos empresariales ha evolucionado y directivo. Una vez evaluados los riesgos se definen las medidas para tra-
en la actualidad un importante referente internacional es la norma tarlos: control o financiamiento de las pérdidas.10 Luego se implementan
ISO 31000, que establece para la administración de riesgos, principios que las medidas de tratamiento de los riesgos y se monitorea su eficacia. El proceso
fundamentan la gestión de riesgos, un marco de referencia que delimita de monitoreo, al igual que la comunicación de la información referente a las
y direcciona la misma y un proceso para la gestión de riesgo que facili- etapas de la administración de riesgos, es de acción permanente; ambos
permiten el mejoramiento continuo del manejo de los riesgos.

8
R. C. Mejía Quijano, Administración de riesgos. Un enfoque empresarial, op. cit., pp. 23-24.
9
Ibíd., p. 41. 10
R. C. Mejía Quijano, Administración de riesgos. Un enfoque empresarial, op. cit., p. 115-140.

29 30
 La identificación de riesgos, así como las demás acciones, no puede
ser puntual ni obedecer a una moda administrativa o a un impulso origina-
do por la materialización de un riesgo catastrófico; se trata de un proceso
consciente de análisis permanente y participativo, en el cual se busca
responder como empresa a los riesgos que pueden afectarla.
¿En qué consiste la identificación de riesgos?
Identificar un riesgo empresarial es determinar los posibles eventos
que con su materialización puedan impactar objetivos, estrategias, pla-
nes, proyectos, servicios, productos u operaciones de la empresa. La
identificación de riesgos incluye además la caracterización de esos eventos,
es decir, el análisis de cómo ocurrirían, por qué se presentarían, dónde y
cuándo sucederían, quién o qué factores incidirían en su ocurrencia, qué o
quién podría verse afectado por ella, cuál sería la afectación (a la imagen,
al personal, a recursos materiales o inmateriales, a terceros, etc.) y quién
sería el responsable de manejar el riesgo.
La norma ISO 31000 define la identificación de riesgos como el “[…]
proceso para encontrar, reconocer y describir los riesgos”.11 Este proceso
no es tan sencillo de realizar como se podría pensar, porque implica el
análisis de varios elementos relacionados con el riesgo, que lo caracterizan
según las condiciones del proceso, la decisión, el proyecto, el producto o
la función a analizar.
Importancia y beneficios de la identificación de riesgos
La identificación de riesgos permite la calificación, evaluación, tra-
tamiento o respuesta y monitoreo, al brindar elementos de análisis para
cada una de las etapas de su administración; por lo que quizás es el paso
más importante cuando se decide manejar los riesgos. De su correcta
identificación dependen las acciones posteriores, mientras que con su
omisión la empresa puede quedar sujeta al vaivén de las circunstancias.
Según el experto en riesgos Carlos Velásquez, la identificación de és-
tos es considerada la actividad o etapa más importante del proceso de
11
International Organization for Standardization, op. cit., p. 4.
31
gestión; no sólo porque los riesgos no identificados son asumidos inicial-
mente por la empresa, sino también porque es el momento que habilita
un buen ejercicio de análisis de riesgos, de tratamiento, monitoreo y
comunicación:
Una buena caracterización del riesgo es importante porque si se
define un nombre corto del riesgo (genérico) y luego un escenario
de ocurrencia, lo primero permitirá consolidar el mapa de riesgo
corporativo y lo segundo dará claridad sobre la probabilidad y las
consecuencias del evento; esta información es útil para el análisis
de riesgos.
De igual forma definir el propietario del riesgo tiene como fin res-
ponsabilizarlo por monitorear el riesgo identificado y gestionar el
plan de tratamiento, independiente de que él sea el responsable
de implementar las acciones registradas en dicho plan.
La etapa de identificación también es un momento fundamental
para el componente financiero de la gestión de riesgos, pues da
elementos para estimar el costo del riesgo y además puede dar in-
formación para definir frente a un posible impacto el porcentaje
de desviación o tolerancia aceptada.
Si identificamos un agente generador o fuente del riesgo y sus cau-
sas asociadas, éstas pueden ser insumos tanto para identificar
controles existentes así como futuros tratamientos; igual, al analizar
los tratamientos de los riesgos, desde su eficacia, se analiza el grado
de incidencia de cada tratamiento sobre las causas, sean “causa
mediata” o “causa raíz”.12
Los beneficios de la identificación de riesgos son muchos, y pueden
dividirse primordialmente en dos campos: el primero tiene que ver con
lo que se puede prevenir y el segundo con lo que se puede aprovechar;
es decir, prevención de pérdidas y aprovechamiento de oportunidades.
Los riesgos se identifican con el fin de estar preparados ante eventos
no esperados, evitar sorpresas desagradables que puedan afectar nega-
tivamente a la empresa o prevenir sanciones por el incumplimiento de
normas. La identificación de riesgos facilita también la toma de decisiones,
al brindar información que permite conocer causas e implicaciones de los
12
Carlos Andrés Velásquez, entrevista personal por Rubi Consuelo Mejía Quijano, Medellín,
febrero de 2012.
32
hechos y definir si se hace o se deja de hacer alguna actividad, proyecto
o estrategia, de acuerdo con el nivel de riesgo que implica; por lo cual
genera un manejo coherente del riesgo, lo que permite “correr” riesgos
controlados.
La adecuada identificación de riesgos, unida a la correcta admi-
nistración de los mismos, propicia mayor control de los eventos adver-
sos, la optimización de inversiones y la protección de los recursos; además
mejora las relaciones entre las partes o grupos de interés de la empresa,
crea responsabilidad en el manejo de los mismos, genera comportamiento
proactivo –más que reactivo– y permite alinear el comportamiento indi-
vidual con la responsabilidad organizacional. Esto trae grandes beneficios
en la mejora de los procesos, productos o servicios, haciéndolos más seguros
y reduciendo la posibilidad de pérdidas.
Los riesgos pueden ser, a su vez, fuente de oportunidades: si se iden-
tifican a tiempo y se estudia cómo manejarlos, se pueden transformar a
favor de la empresa. Su evaluación puede llevar a vislumbrar decisiones
–en ocasiones poco obvias– que permiten proteger y generar valor para
los grupos de interés, lo que los convierte en ventajas competitivas, pues
propician la anticipación a las actuaciones de los competidores y el apro-
vechamiento de oportunidades no previstas, que pueden redundar en uti-
lidades derivadas de la innovación y mejora organizacional.
En una entrevista, el experto en riesgos Tomás Isaza Jaramillo destaca
otros aspectos de la identificación de riesgos:
En las buenas prácticas en la dirección de las empresas, dentro de
las cuales se encuentra la Gestión Integral del Riesgo en general, y la
identificación de riesgos en particular como una de las etapas más
importantes de dicho proceso, se hallan otros tópicos relacionados
a ésta que merecen ser destacados:
En el mundo se habla cada vez más del desarrollo sostenible de los
países y de las empresas. Este concepto se basa fundamentalmente
en obtener el desarrollo económico logrando igualmente el desa-
rrollo social y la preservación del medio ambiente. Hay quienes
consideran que éste será el nuevo modelo económico del mundo,
ante el fracaso de los modelos dominantes en el siglo XX: el comu-
nismo y el capitalismo (puro o salvaje). En este orden de ideas, la
Gestión Integral de Riesgos se constituye en un elemento tras-
cendental e ineludible para quienes están al frente de las em-
presas. Así mismo, la identificación de riesgos se convierte en
el elemento fundamental y punto de partida de aquellos riesgos
33
que atenten contra el desarrollo económico, el desarrollo social y
la preservación del medio ambiente; es decir, ya no se trata sólo
de identificar riesgos que afecten la variable económica, sino tam-
bién los riesgos que incidan en las variables sociales (cambio de-
mográfico, pobreza, desigualdad, desempleo, déficit pensional,
etc.) y ecológica (capa de ozono, escasez de agua, agotamiento de
los recursos no renovables, etc.), las cuales muchas veces no son
cuantificables en términos monetarios.
La identificación de riesgos es igualmente importante en la eva-
luación de proyectos. Normalmente los proyectos se evalúan de
acuerdo con las variables de mercadeo, factibilidad financiera, legal,
tecnológica. Pero, pocas veces se hace un análisis desde el punto
de vista de riesgos del proyecto. Es factible que mediante una
identificación integral de riesgos, se detecten factores de riesgos
que hagan inviable un proyecto, que por otro lado resulte viable
en las variables antes mencionadas. Es decir, existe una premisa
fundamental en finanzas y es que cada rentabilidad está asociada
a un riesgo. De esta manera puede decirse que la rentabilidad de
un proyecto no puede analizarse en términos de rentabilidad (ROE,
TIR, etc.) sino que es necesario asociarla a un nivel de riesgo, y esto
solo se logra a través de un juicioso ejercicio de identificación de
riesgos.13
Consecuencias de no identificar los riesgos empresariales
Cuando una empresa quiebra, pierde mercado, se presenta un escándalo
por fraude que le implica pérdidas económicas o deterioro reputacional,
es sancionada, hay paros en la producción o los proyectos fallan y la
rentabilidad disminuye, se torna ilíquida y empieza a incumplir obliga-
ciones financieras, sus clientes la abandonan, la competencia se vuelve
agresiva y pierde oportunidades, un accidente o una decisión inadecua-
da genera consecuencias humanas o físicas, cuando sus productos nuevos
no permanecen en el mercado o se deben retirar por fallas… sólo enton-
ces la dirección de algunas empresas se cuestiona sobre lo adecuado de
la administración de sus riesgos. Pero no es necesario pasar por todas
13
Tomás Isaza Jaramillo, entrevista personal, por Rubi Consuelo Mejía Quijano, Medellín,
febrero de 2012.
34
esas situaciones para comprender la importancia de prevenirlas; to -
das ellas implican pérdidas para la empresa y la pueden ubicar en si-
tuación desventajosa, inclusive hasta minar su estabilidad y capacidad
de crecimiento.
Si un riesgo no es identificado es como si no existiera, lo cual implí-
citamente equivale a la decisión de aceptar las consecuencias de su
materialización. Es responsabilidad del gerente o empresario no ignorarlo,
así como identificar y controlar esos riesgos empresariales. A ellos
corresponde la previsión, la viabilidad y el cumplimiento de lo planeado;
también reorientar las acciones si hay fallas en su funcionamiento según lo
previsto; todo ello con el fin de lograr los beneficios planeados y cumplir
las expectativas de sus grupos de interés.
Si no se identifican los riesgos no se puede planear su control, es
decir, no se pueden definir medidas para disminuir su probabilidad de
ocurrencia, para minimizar su impacto, para transferirlos a terceros cuando
sea necesario o posible, para eliminar la actividad que los genera o para
asumirlos, si es el caso, con plena conciencia.
Ejemplos de empresas que no identifican riesgos y llegan a la quiebra
son numerosos. En el libro Cómo caen los poderosos, Jim Collins presenta,
como fruto de sus investigaciones, las cinco etapas de la decadencia de los
poderosos: la arrogancia nacida del éxito, la búsqueda desordenada de más,
la negación del riesgo y el peligro, la búsqueda ansiosa de la salvación, la
capitulación ante la irrelevancia o la muerte. De esas etapas, la negación
del riesgo es la que detona la caída de las empresas.14
Al entrar en la tercera etapa las señales de alerta comienzan a acu-
mularse, pero los resultados externos de la empresa siguen siendo lo
suficientemente buenos como para desechar los datos preocupantes
o para sugerir que las dificultades son “transitorias” o “cíclicas” o
“no tan malas”, y “no hay nada fundamentalmente mal”. En la
tercera etapa los directivos subestiman los datos negativos, am-
plifican los datos positivos y le imprimen un giro positivo a los
datos ambiguos.15
14
Jim Collins, Cómo caen los poderosos, Bogotá, Norma, 2009, pp. 18-20.
15
Ibíd.,p. 19.
35
De ahí la importancia de identificar los riesgos a tiempo, de no dar
la espalda a la información relevante y de no dejar a la deriva decisiones
importantes respecto del manejo de los riesgos empresariales.
Responsables de la identificación de riesgos
Como la identificación de riesgos tiene un alcance amplio en las orga-
nizaciones, en ella participan diferentes actores, unos como responsables
directos o “propietarios”16 de los riesgos y otros como personal inde-
pendiente, de apoyo o externo a la organización.
El personal interno responsable de la identificación de riesgos
estratégicos puede estar en la gerencia, en la junta directiva y en la alta
dirección; para los demás riesgos intervienen los líderes de los procesos,
proyectos, servicios o productos y quienes participan en ellos, con el apoyo
del administrador de riesgos.
Los auditores internos o externos, en forma independiente, son
responsables de identificar los riesgos para realizar evaluaciones sobre la
exposición de la empresa y la eficiencia de su sistema de administración;
los entes reguladores, las entidades crediticias, las partes interesadas en la
empresa pueden también identificar riesgos de una organización.
Según la singularidad y complejidad de los riesgos identificados, y
de acuerdo con los recursos y necesidades propios de una entidad, es po-
sible que sea necesario personal externo, asesores expertos o consultores
especializados en determinados tipos de riesgos. En ocasiones puede
ser indispensable el apoyo de empresas del mismo sector, interesadas
en identificar riesgos e implementar soluciones conjuntas para beneficio
común.
Los responsables de la identificación de riegos deben tener cono-
cimiento o experiencia sobre el ámbito en el cual se realiza esta actividad.
Para ello deben estar capacitados en la identificación, de acuerdo con
las técnicas o metodologías seleccionadas. También deben disponer de
imaginación, apertura a nuevas ideas o posibilidades, capacidad de pro-
yectar la influencia de eventos negativos sobre procesos y recursos,
además de ser personas objetivas en sus apreciaciones.
16
International Organization for Standardization, op.cit., p. 2.
36
¿Cómo identificar los riesgos empresariales?
Para identificar los riesgos empresariales es necesario, inicialmente, tener
claridad acerca de los tipos de riesgos inherentes al carácter de la empresa,
con el fin de que su administración de riesgos sea integral, no fragmentaria
y parcial. La variedad de riesgos puede ser alta, igual que las formas de cla-
sificarlos y abordarlos; por lo tanto, no es posible establecer una única
clasificación de tipos de riesgos empresariales.
En la Tabla 1.1, Riesgos generados por el entorno organizacional, se
presenta un esquema de categorías de riesgos provenientes del medio
empresarial, en la Tabla1.2, Riesgos generados en la empresa, se relacionan
las categorías de riesgos que puede propiciar la organización en el curso
de sus operaciones. La información de estas tablas concreta la teoría desa-
rrollada por Mejía Quijano en el libro Administración de riesgos. Un enfoque
empresarial.17
El esquema contempla los riesgos más comunes; sin embargo,
cada empresa, de acuerdo con sus condiciones, puede enfrentar riesgos
singulares. En este libro se presentan listas detalladas de riesgos, según
su importancia, en relación con el estudio de cada técnica o metodología
utilizada para la identificación de riesgos.
Tabla 1.1 Riesgos generados por el entorno organizacional
Riesgos del entorno
Origen Tipo de
Explicación
del riesgo riesgo
Riesgos generados por el medio ambiente natural,
Provenientes tales como: huracanes, vientos fuertes, lluvias,
inundaciones, maremotos, sequías, olas de frío o
de la
calor, terremotos, movimientos sísmicos, erupción
naturaleza
volcánica, deslizamiento de tierras, plagas, bac-
Naturaleza terias, virus, epidemias, caída de meteoritos, etc.
Uso inadecuado de recursos naturales que pueden
Generados a afectar la naturaleza. Consecuencias: efecto in-
la naturaleza vernadero; disminución de la capa de ozono;
por parte de contaminación acumulativa del aire, agua, suelos;
la empresa generación de residuos de alta peligrosidad; deser-
tización y pérdida de biodiversidad
17
R. C. Mejía Quijano, Administración de riesgos. Un enfoque empresarial, op. cit.
37
Origen Tipo de
Explicación
del riesgo riesgo
Grado de peligro que representa un país para las
inversiones locales o extranjeras, según el nivel de
Riesgo país
déficit fiscal, la situación política, el crecimien-
to de la economía y la relación ingresos-deuda
Debido a dificultades políticas entre naciones se
Riesgo pueden alterar las condiciones comerciales, que pue-
geopolítico den implicar pérdidas de negocios, demoras o con-
flictos con proveedores o clientes
Tiene que ver con la cultura de la región, las
condiciones de seguridad, empleo, salubridad,
desarrollo de las comunidades, condiciones de vi-
da, vivienda y bienestar, etc. Riesgos que pueden
originarse en la sociedad son: hurto, robo, atraco,
Riesgos
sabotaje, chantajes y extorsiones, terrorismo, mo-
asociados
Riesgo social tín, conflictos generadores de guerra, alteración
al país,
del orden público, huelgas, migraciones masivas,
la región
hambre, enfermedades, epidemias, colapso de ser-
y la
vicios públicos indispensables, conflictos de ba-
ciudad de
ja intensidad, explotación de grupos sociales,
ubicación
cambios en los hábitos de consumo, demandas
colectivas, conflictos comerciales
Relacionado con el crecimiento económico na-
cional y local, debido a las fluctuaciones de va-
riables macroeconómicas: PIB, inflación, desem-
Riesgo pleo, balanza de pagos. El decrecimiento de la
económico economía puede generar riesgos que conlleven
detrimento patrimonial a las empresas, al disminuir
la capacidad de compra de sus clientes y la de-
manda de sus productos
El manejo político del país, y las implicaciones que
Riesgo
tiene sobre la economía nacional, afecta las orga-
político
nizaciones según sus condiciones particulares
Riesgo que se origina por el hecho de competir
en un sector determinado, ejemplo: campañas
de desprestigio de la competencia comercial, es-
Sector
Riesgo pionaje industrial, tráfico de informaciones reser-
económico
sistemático vadas, competencia desleal, transacciones ilegales,
e industrial
corrupción institucional y privada, operaciones
ilícitas, daños por productos, accidentes y enfer-
medades profesionales; accidentes industriales,
38
 Origen Tipo de Tipo
Explicación Explicación
del riesgo riesgo de riesgo
graves, actividades públicas molestas o peligrosas, Riesgo de mercado, tiene que ver con fluctuaciones de las
Sector inversiones en bolsa de valores; también hacen parte de éste
Riesgo reclamación judicial por productos de consumo
económico las fluctuaciones de precios de insumos y productos, la tasa de
sistemático contaminados, contaminación ambiental, respon-
e industrial cambio y las tasas de interés
sabilidad por contratos de ejecución
Riesgo de liquidez, se relaciona con la imposibilidad de transformar
Riesgos
Fuente: Rubi Consuelo Mejía Quijano, Administración de riesgos. Un enfoque empresarial, en efectivo un activo o portafolio o tener que pagar tasas de
financieros
Medellín, Fondo Editorial Universidad EAFIT, 2006, pp. 35-36. descuento inusuales y diferentes a las del mercado para cumplir
con obligaciones contractuales
Tabla 1.2 Riesgos generados en la empresa Riesgo de crédito, consiste en que los clientes y las partes a las
cuales se les ha prestado dinero, o con las cuales se ha inverti-
do, fallen en el pago
Riesgos generados en la empresa
Se refieren a pérdidas en caso de incumplimiento de la contra-
Tipo parte en un negocio, sumado a la imposibilidad de exigir
Explicación
de riesgo jurídicamente la satisfacción de los compromisos adquiridos.
No Riesgos propios y específicos de cada empresa que pueden afec- Riesgos legales También se puede presentar al cometer algún error de inter-
sistemáticos tar procesos, recursos, clientes o imagen pretación jurídica u omisión en la documentación, o en el in-
cumplimiento de normas legales o disposiciones reglamentarias
Desprestigio de la organización, que acarrea pérdida de cre- que puedan conducir a demandas o sanciones
Riesgo de dibilidad y confianza del público, por fraude, insolvencia, con-
Son generados por el uso de tecnología, como virus informáticos,
reputación ducta irregular de empleados, rumores o errores cometidos en vandalismo puro o de ocio en las redes informáticas, fraudes,
la ejecución de alguna operación intrusiones de hackers, colapso de las telecomunicaciones
Riesgos
Al materializarse origina pérdidas, como incendio, accidente, que puede generar daño de información o interrupción del
Riesgo puro tecnológicos
inundación servicio. También incluyen la actualización y dependencia de
un proveedor, o de tecnología específica, bien sea en el campo
Al materializarse presenta la posibilidad de generar indistin- informático, médico, de transporte u otras áreas
Riesgo tamente beneficio o pérdida, como una aventura comercial,
Los riesgos laborales, como accidentes de trabajo y enfermedades
especulativo inversión en divisas ante expectativas de devaluación o revalua-
profesionales, pueden ocasionar daños a las personas y a la misma
ción, compra de acciones, lanzamiento de nuevos productos organización. Un accidente de trabajo puede producir lesio-
Tiene que ver con pérdidas ocasionadas por definiciones nes orgánicas, invalidez, muerte o una perturbación funcional.
Riesgos
estratégicas inadecuadas o errores en el diseño de planes, pro- La enfermedad profesional, por su parte, puede ser permanente
laborales
Riesgo gramas, estructura, integración del modelo de operación con el o temporal, consecuencia del trabajo desempeñado o del medio
estratégico direccionamiento estratégico, asignación de recursos, estilo de en el cual se realizan las funciones. Existen otros riesgos laborales
que surgen de la relación de la empresa con sus empleados,
dirección; además de ineficiencia en la adaptación a los cambios
asociaciones o sindicatos, como huelgas, sabotajes, etc.
constantes del entorno empresarial
Afectan los recursos materiales, como cortocircuitos, explo-
Consiste en la posibilidad de pérdidas ocasionadas en la siones, daños en maquinaria o equipos (por su operación,
Riesgo Riesgos físicos
ejecución de procesos y funciones de la empresa, por fallas en diseño, fabricación, montaje o mantenimiento), deterioro de
operativo
procesos, sistemas, procedimientos, modelos o personas productos y daño en vehículos
Los riesgos financieros impactan la rentabilidad, ingresos y
Riesgos
nivel de inversión, pueden provenir no sólo por decisiones
financieros Fuente: Rubi Consuelo Mejí Quijano, Administración de riesgos. Un enfoque empresarial,
de la empresa, sino por condiciones del mercado, ellos son: Medellín, Fondo Editorial Universidad EAFIT, 2006, pp. 37-39.

39 40
 Según la norma ISO 31000, las acciones para la identificación de
riesgos son:
[…] identificar las fuentes de riesgo, las áreas de impacto, los
eventos (incluyendo los cambios en las circunstancias) y sus causas
y consecuencias potenciales. El objeto de esta fase es generar una
lista exhaustiva de riesgos con base en aquellos eventos que podrían
crear, aumentar, prevenir, degradar, acelerar o retrasar el logro de
los objetivos.18
La norma habla también de la importancia de incluir en la lista los
riesgos, bien sea que estén bajo el control de la organización o fuera
de él.
Para realizar la identificación de riesgos debe conocerse profundamente
la organización: “[…] entender bien el riesgo es entender bien el ‘business
model’ de la empresa y sus puntos de creación de valor”;19 además de sus
planes a mediano y largo plazo. La identificación de riesgos tiene un espec-
tro amplio de aplicación, por tanto debe estar circunscrita a un ámbito de
análisis (decisiones, procesos, productos, servicios, funciones, proyectos,
etc.). Definir el objetivo específico del ámbito de análisis es primordial
para identificar los riesgos que pueden afectar su cumplimiento.
La identificación de riesgos no se reduce a asignar un nombre al
riesgo, pues se deben incluir todos los datos relacionados con el mismo,
para estudiarlos exhaustivamente y aportar elementos a las demás eta-
pas de su gestión. Para ello es primordial contar con información actualizada
y pertinente, además de establecer mecanismos de alerta temprana que
permitan identificar cambios en variables críticas, que ayuden a determinar
riesgos estratégicos u operativos que pueden impactar la organización,
y procedimientos que garanticen el monitoreo en forma periódica, de
acuerdo con los ciclos de la empresa y las transformaciones del entorno.
Es importante crear una cultura de identificación de riesgos en las
organizaciones, que permita a todos, y bajo cualquier circunstancia, estar
atentos para detectar los posibles riesgos que deriven en consecuencias
18
International Organization for Standardization, op. cit., p.17.
19
Pierre-Alexandre Bapst, “El mapa de riesgos, punto de partida para una buena gerencia
global de riesgos” [2004], sitio web: Gerencia de Riesgos y Seguros, disponible en: http://
www.mapfre.com/documentacion/publico/i18n/catalogo_imagenes/grupo.cmd?path=
1025001, consulta: enero de 2012.
41
negativas y comunicar los hechos, de tal forma que la organización pueda
responder con acierto.
Las técnicas de identificación de riesgos se han desarrollado con los
avances en sus estudios, desde los seguros, las finanzas, la sociología, el
control organizacional, la auditoría, la informática, la seguridad industrial,
la salud ocupacional, la seguridad pública, la ingeniería ambiental, la ges-
tión de proyectos y otros campos.
Existen variedad de técnicas, herramientas y metodologías para
identificar los riesgos, las cuales pueden aplicarse dependiendo de la dis-
ponibilidad de recursos económicos, humanos y tecnológicos de la orga-
nización; del tiempo, la experiencia, el grado de desarrollo de la empresa;
al igual que del nivel de implementación de la administración de riesgos.
Es posible utilizar una mezcla de técnicas o alguna específica, según el tipo
de riesgo, su complejidad y la necesidad de información sobre el mismo.
Algunas técnicas de identificación de riesgos son utilizadas en dis-
ciplinas que no necesariamente han estudiado los riesgos, pero que
han necesitado abordar el tema, como la administración. En los análisis
estratégicos se utiliza la matriz DOFA: “[…] es probable que este análi-
sis sea la primera y más importante de todas las herramientas de análisis
de la estrategia. Identifica las actuales fortalezas y debilidades, las opor-
tunidades emergentes y las amenazas preocupantes que enfrenta la
compañía”.20 También se recurre al análisis PEST: “[…] muchas veces se
lo denomina análisis PESTEL porque refleja los componentes políticos,
económicos, sociales, tecnológicos, ambientales y legales”;21 con él se
establecen las variables del entorno que pueden afectar las empresas,
antes de formular los planes estratégicos.
Adicionalmente, en los análisis estratégicos se analizan las fuerzas
que mueven la competencia en un sector, llamadas también las Cinco
Fuerzas de Porter que estudian “[…] el poder de negociación de los clien-
tes, el poder de negociación de los proveedores, la amenaza de productos
o servicios sustitutos, la amenaza de los nuevos ingresos de competidores
20
Robert S. Kaplan y David P. Norton, The Execution Premium, Barcelona, Deusto, 2008,
p. 74.
21
Ibíd., p. 72.
42
potenciales, y la rivalidad entre los competidores existentes”.22 En todas Esas técnicas, herramientas y metodologías son alternativas que
las herramientas mencionadas se abordan elementos de estudio que per- ayudan a identificar los principales riesgos que afectan una organización,
miten identificar los riesgos que podrían correr las compañías y que se pero no garantizan que se incluyan todos los posibles riesgos; es el respon-
hace necesario analizar para definir las estrategias organizacionales. sable de la identificación quien, con su experiencia, conocimiento y
En campos del saber, como el de sistemas de calidad, se utilizan téc- sentido común, determina cuáles riesgos son importantes en la iden-
nicas para identificar riesgos como el Análisis Causa-Efecto; en auditoría tificación y cuáles no lo son.
se acude, entre otras estrategias, a Entrevistas y Flujogramas de procesos. En los siguientes capítulos se exponen diferentes técnicas y meto-
Existen técnicas de fácil aplicación, como las Entrevistas semies- dologías para identificar riesgos. En la Tabla 1.3 se listan cada una de
tructuradas y la Lluvia de Ideas; algunas son estandarizadas, como las ellas, se describe algunas de sus aplicaciones y el capítulo en el cual
Listas de Chequeo y Cuestionarios; otras se aplican a procesos o productos, se desarrollan.
como el Análisis de Modo y Efecto de Falla o el Análisis de Puntos Crí-
Tabla 1.3 Uso de técnicas y metodologías para identificar riesgos24
ticos de Control. Algunas técnicas utilizan información histórica, como
registros de eventos, estados financieros, informes de auditoría o de com-
pañías aseguradoras. Otras se orientan hacia el futuro, como el Análisis Técnica /
Aplicación Capítulo
de Escenarios, el Estudio del Impacto del Negocio o el “¿Qué pasaría Metodología
si?”. Las hay que se basan en la observación, como la Inspección, o en la Identificación de riesgos y de sus características
Lluvia de Ideas 2
consulta a expertos, como el método Delphi. También se puede recurrir en forma grupal
a análisis de información por sectores. Análisis causa-
Identificación de causas y efectos de un riesgo 3
efecto
Con la proliferación de técnicas,23 herramientas y metodologías para
identificar riesgos, a la hora de definir en la empresa cómo hacerlo, puede Identificación de riesgos con guías estanda-
Listas de
rizadas, amplias y ajustables a todo tipo de
parecer difícil decidir cuál de ellas es la más adecuada, o si es mejor crear Chequeo y
empresa, pueden ayudar a elaborar el catálogo
4
una metodología propia. Cuestionarios
general de riesgos de una empresa
Ciertas compañías desarrollan metodologías ajustadas a sus nece- Identificación de riesgos que pueden ser
sidades para identificar los riesgos, algunas adaptan estrategias de reco- Inspección observados en instalaciones o en el desarrollo 5
nocida aplicación en el medio; casi todas buscan adecuarse a las normas de un proceso
o estándares y algunas desarrollan conocimiento nuevo sobre el tema. Identificación de riesgos que requieren el
Entrevista 6
Lo más importante al aplicar técnicas o métodos es la consistencia en su conocimiento y experiencia de personas clave
uso, de manera que permita estandarizar el proceso y obtener resultados Flujograma Identificación de riesgos en los procesos 7
comparables en toda la organización, con el fin de lograr una identificación
Análisis de Identificación de posibles formas en que puede
de riesgos que garantice su administración en forma integral. Modo y Efecto fallar el diseño u operación de procesos, pro- 8
de Falla (AMEF) ductos o servicios y los efectos de estas fallas
Identificación de riesgos a través del análisis
Análisis de de información financiera, manuales técnicos,
9
22
Michael E. Porter, “The five competitive forces that shape strategy”, Harvard Business Información registro de siniestralidad y otros eventos, y del
Review, Boston, núm. 01, vol. 86, enero de 2008, p. 80. estudio de contratos laborales y comerciales
23
Ver: International Organization for Standarization, ISO 31010. Risk Management – Risk
Assessment Techniques, Suiza, ISO, 2009. En la que se listan técnicas que contribuyen a
la identificación de riesgos, clasificándolas según el grado de aplicabilidad. [Todas las
traducciones realizadas de la norma son elaboradas por la autora]. 24
Las tablas que carezcan de fuentes, son elaboración del autor.

43 44
 Técnica /
Aplicación Capítulo
Metodología
Identificación de riesgos que requieran grupo
Método Delphi 10
de expertos y opiniones independientes
Análisis de
Identificación de riesgos estratégicos 11
Escenarios
Identificación de riesgos operativos en procesos,
Risicar actividades, procedimientos, productos, insta- 12
laciones, cargos o funciones
Identificación de riesgos en la planeación es-
Prest 13
tratégica

45