Actividad individual i2) – Tarea 2

Reporte de lecturas obligatorias (unidad 2)

Gestión del Riesgo en Redes de Valor (228010)

Estudiante:

Mariana Agudelo M.

Grupo No #2

Año 2022 (periodo 16-01)

Contenido

1. Unidad 2. Enfoques para la gestión del riesgo .......................... 3

1.1 Hopkin (2017) - capítulo 15 (tolerate, treat, transfer and
terminate) ................................................................................... 3
1.1.1 Explicación en palabras propias .............................................................. 3
1.1.2 Discusión ............................................................................................ 4

1.2 Mejía (2011) - capítulo 3 (la administración del riesgo) ...... 4

1.2.1 Explicación en palabras propias .............................................................. 4
1.2.2 Discusión ............................................................................................ 5

1.3 NTC-ISO 31000 (2018) - introducción + capítulos 4 y 6 ....... 5

1.3.1 Introducción ........................................................................................ 5
1.3.2 Capítulo/sección 4 (principios) ............................................................... 6
1.3.3 Capítulo/sección 6 (proceso) .................................................................. 7
1.3.4 Discusión de alguna idea (introducción, sección 4 o sección 6) ................... 8

1.4 Pardo (2017) - capítulo 10 (gestión del riesgo operacional,

el riesgo asociado a los procesos) ................................................ 8
1.4.1 Explicación en palabras propias .............................................................. 8
1.4.2 Discusión ............................................................................................ 9

1.5 Rendle (2016) - capítulo 12 (cyber risk management) ......... 9

1.5.1 Explicación en palabras propias .............................................................. 9
1.5.2 Discusión .......................................................................................... 10

1.6 Vivares (2019) - OVI .......................................................... 10

1.6.1 Explicación en palabras propias ............................................................ 10
1.6.2 Discusión .......................................................................................... 11
1. Unidad 2. Enfoques para la gestión del riesgo

1.1 Hopkin (2017) - capítulo 15 (tolerate, treat, transfer and

terminate)
Hopkin, P. (2017). Fundamentals of risk management: Understanding,
evaluating and implementing effective risk management (Fourth edition).
London: Kogan Page Limited. (Capítulo 15).

1.1.1 Explicación en palabras propias

En este capítulo 15, se profundiza la gama de respuestas al riesgo,
propuestas como las cuatro T, tolerar, tratar, transferir y terminar. En el
primer caso tolerar el riesgo, puede significar varias cosas, sin embargo,
es importante resultar que no es tolerar el riesgo a nivel general, sino más
bien de manera muy específica a un individuo o proceso, en algunas
situaciones esta tolerancia al riesgo puede estar influenciado por temas
legales, independiente de la decisión por parte de la empresa. En la
mayoría de los casos el nivel de tolerancia por parte de la compañía
depende del impacto que este riesgo tenga en la misma, es inusual ver
que una compañía tolere riesgos mayores a su zona de confort, esto
dependerá netamente del beneficio económico que pueda brindar la
exposición al riesgo.

La siguiente T hace referencia al tratamiento del riesgo, la cual busca mas

que eliminar, es minimizar el impacto del riesgo, mejorar las condiciones
de exposición para evitar que la perdida sea tan alta, dejando asi el riesgo
en un estado de tolerancia para la compañía. La transferencia del riesgo
hace referencia básicamente a la posibilidad de asegurar la empresa o los
procesos con un tercero, para neutralizar el impacto financiero que
provoca la materialización del riesgo, en algunos otros casos el riesgo
puede ser compartido con una empresa socia o algo similar.

La ultima T, es la de terminar o eliminar el riesgo, como bien su nombre lo

indica lo que la compañía busca con esto, es finalizar la exposición al
riesgo ya que las consecuencias que este tiene son inadmisibles para la
empresa. Es posible que la empresa no pueda terminar el riesgo por la
naturaleza de sus actividades para ello se hace necesario implementar
otras de las estrategias anteriormente mencionadas con el fin de mitigarlo.
1.1.2 Discusión
De acuerdo a lo leído en el capitulo 15 de Fundamentals of risk
management: Understanding, evaluating and implementing effective risk
management, se logra interiorizar las respuestas a los riesgos propuestas,
como lo son las T, tolerar, tratar, transferir y terminar, las cuales pueden
ser empleadas de manera individual, que es lo mas común, o de manera
combinada, esto de acuerdo a las necesidades y situaciones en los cuales
se encuentre la empresa, de acuerdo a cuál es la disposición de la
compañía para aceptar el impacto del riesgo y hasta qué punto, o de si es
inadmisible la exposición al mismo.

1.2 Mejía (2011) - capítulo 3 (la administración del riesgo)

Mejía, H. (2011). Gestión integral de riesgos y seguros para empresas de
servicios, comercio e industria. Bogotá: Ecoe Ediciones. (Capítulo 3).

1.2.1 Explicación en palabras propias

El riesgo existe de manera inherente a las actividades humanas, para este
caso específico, se habla de riesgos en las actividades económicas de una
empresa, donde la mejor manera de afrontarlo, es la prevención. Para ello
existe la gestión del riesgo, que se encarga de planear, dirigir, organizar y
controlar, los impactos que tienen los riesgos. Existen gran variedad de
actividades económicas, por consiguiente, variedad en los tipos y/o
derivaciones de los riesgos; sin embargo, hay unas fases, la identificación,
la evaluación y la solución, las cuales permiten la administración de los
riesgos, con el fin de controlar y/o mitigar el impacto financiero.
De acuerdo a lo anterior, la identificación del riesgo no es solo la primera
fase, es indispensable a la hora de gestionar el riesgo, pues este permite
definir la mejor herramienta para el tratamiento; posterior se encuentra la
evaluación del riesgo, en esta se valora la probabilidad, la recurrencia y la
intensidad del impacto, sobre la protección que se tiene dentro de la
compañía, dentro de un tiempo determinado, al recurso humano o
recursos materiales; todo esto proceso tiene como resultado varios
procedimientos estadísticos los cuales hacen viable cuantificar el riesgo,
brindado así mismo, la posibilidad de asegurar la empresa de acuerdo a
los activos en riesgo.
Siguiendo con las fases se encuentra, la reducción o control del riesgo, en
la cual se encuentran dos métodos básicamente, la prevención, definida
como su palabra lo dice a evitar que se materialice el riesgo o para evitar
su recurrencia y la protección, que es la acción por la cual se busca
disminuir el impacto del riesgo sea sobre la persona o el bien en cuestión,
para terminar es importante resaltar que el riesgo solo disminuirá a 0
siempre y cuando se elimine por completo la actividad empresarial, por
tanto es preciso reafirmar que la prevención y/o mitigación son las únicas
y mejores alternativas para la empresa.

1.2.2 Discusión
En el capítulo 3 la administración del riesgo, página 48 del libro Gestión
integral de riesgos y seguros para empresas de servicios, comercio e
industria, el autor hace referencia a que la prevención es mejor que pagar
las consecuencias; postura con la cual me encuentro de acuerdo, teniendo
en cuenta que cualquier actividad en la vida, llamase vida cotidiana o
empresarial, implica un riesgo, por ende, debemos prepararnos y
anticiparnos a eso, haciendo uso de las múltiples herramientas que han
sido puestas a disposición por estudiosos de la materia, facilitando la
posibilidad de tomar decisiones basados en criterios cuantificables,
disminuyendo al mínimo las perdidas económicas.

1.3 NTC-ISO 31000 (2018) - introducción + capítulos 4 y 6

NTC-ISO 31000 (2018). Gestión del riesgo - Directrices. Bogotá: ICONTEC.
(Introducción, capítulos 4 y 6).

1.3.1 Introducción

La NTC-ISO 31000 es una guía general para todos quienes estén

involucrados en el ámbito de gestión de riesgo, especialmente para las
empresas o quienes toman las decisiones en ellas, la cual busca alinear los
conocimientos con el fin de que los involucrados logren mejorar la eficacia
de todos sus procesos, por medio de los cuales buscan disminuir la
incertidumbre que representan los riesgos para los objetivos, usando
principalmente la identificación y evaluación del riesgo.

En la NTC 31000 se enuncian once principios los cuales buscan enforcar de

manera precisa a la organización para una buena gestión del riesgo, es
importante resaltar que estos funcionan en todos los contextos externos e
internos y pueden ser tomados también como indicadores de desempeño,
ayudando a la toma de decisiones la alta dirección de las compañías.

Es importante resaltar también, que la NTC 31000, describe 3 pilares

fundamentales para la gestión del riesgo, entre ellos hace referencia a los
8 principios que buscan la creación y protección del valor, por medio de
factores humanos y culturales, mejor información disponible, dinámica,
inclusiva, adaptada, estructurada y exhaustiva, integrada y mejora
continua, y protección el valor; el marco de referencia donde se desarrolla
lo concerniente al liderazgo y compromiso; y el proceso donde se describe
paso a paso cual la manera en que debe llevarse a cabo el plan de gestión
de riesgo; Estos tres pilares están alineados unos con los otros, de manera
que en conjunto construyen un plan de gestión de riesgo optimo, eficaz,
eficiente y coherente, sin embargo, cabe aclarar que no es una camisa de
fuerza seguir tal cual esta guía, pues los pilares pueden ser modificados de
acuerdo a las necesidades de gestión alineándose a los diferentes
objetivos.

1.3.2 Capítulo/sección 4 (principios)

En el Capitulo 4 de la NTC 31000 se describen todos y cada uno de los

principios que hacen parte de ese primer pilar fundamental para la gestión
de riesgo; estos entregan a la empresa el valor y propósito de la creación
de la gestión de riesgo, permitiendo a su vez dar a conocer las
características del mismo habilitando su diligencia.

A continuación, se profundiza un poco mas acerca de cada uno de ellos, el

primer principio es integral, esto hace referencia a que la gestión de riesgo
es parte fundamental de cada uno de los procesos realizados en la
compañía, el segundo es el enfoque estructurado y exhaustivo que permite
que los resultados obtenidos sean medibles y/o confrontables, seguido de
este esta el principio de adaptación donde la gestión de riesgo busca
adaptarse a cualquier contexto presente dentro y fuera de la empresa,
siempre alineado con sus objetivos, también esta la inclusividad de la
gestión donde se desarrollan las participaciones de las partes interesadas,
donde no solo se pone en contexto a todos sino que se genera una
conciencia al respecto; esta el principio dinámico que hace referencia a la
facilidad con que la gestión de riesgo se anticipa a los cambios
reconociendo y respondiendo a cualquier evento de manera oportuna y
precisa.

Otro de los principios de la gestión de riesgo es la información disponible,

que propone la información no solo de manera actualizada, sino que pone
en contexto con información historia y permite proyectar expectativas
futuras, permitiendo a las partes interesadas acceder y limitar la
incertidumbre que existe frente al cumplimiento de los objetivos; no
menos importante esta el principio de factores humanos y culturales, pues
indiscutiblemente influye directamente en todos los niveles de la gestión
de riesgo y por último, y no menos importante se encuentra el principio de
mejora continua, pues la gestión de riesgo es un plan mutable que debe
alinearse no solo con los objetivos, sino también con las situaciones que se
deriven en el proceso, por tanto, este principio generara lecciones
aprendidas y por ende doctrina.

1.3.3 Capítulo/sección 6 (proceso)

Este capitulo 6 de la NTC 31000 de 2018, inicialmente se describe el

proceso de la gestión de riesgo como la implementación “sistemática de
políticas, procedimientos y prácticas a las actividades de comunicación y
consulta, establecimiento del contexto y evaluación, tratamiento,
seguimiento, revisión, registro e informe del riesgo.” La gestión de riesgo
es fundamental en la toma de decisiones, en todos y cada uno de los
procedimientos, tanto en el nivel operacional, estratégico y de proyecto,
este se adapta para lograr los objetivos de acuerdo a diferentes variables
en los recursos humanos especialmente.
Dentro del proceso, existe dos puntos de gran valor que están presentes y
aportan en todos los aspectos a la gestión de riesgo, el primero, es la
comunicación, que tiene como principal objetivo dar a entender el
panorama de la gestión de riesgo, los motivos de las decisiones y la
necesidad de las mismas y el segundo, es la consulta, la cual busca
soportar la toma de decisiones; todo esto con el objetivo de brindar
información pertinente, verídica y fácil de entender.

El alcance, el contexto y el criterio, hacen parte de otro punto importante

en el proceso de la gestión de riesgo, pues este permite moldear la gestión
de acuerdo a la evaluación y el tratamiento pertinente del riesgo. El
alcance hace referencia a un enfoque especifico, ya que este determina no
solo los niveles donde puede aplicarse la gestión de riesgo sino también el
tiempo, las herramientas y técnicas apropiadas, recursos requeridos entre
otros. El contexto hace referencia al entorno y el criterio hace referencia a
la cantidad y/o tipo de riesgo que puede o no asumir una empresa. La
evaluación del riesgo, en este no solo se identifica, se reconoce y se
describe, por medio de información adecuada, sino que también se analiza
el riesgo, se estudian características, naturaleza, causas, consecuencias,
etc. Posterior se tiene una valoración del riesgo, la cual permite tomar
decisiones en base a los resultados.
El siguiente paso es el tratamiento del riesgo, donde se formula todos
acerca de las opciones pertinentes en el caso, posterior el seguimiento y la
revisión donde se evalúan los resultados del tratamiento, el registro e
informe, donde se documenta todo el proceso y se pone en conocimiento a
todas las partes.

1.3.4 Discusión de alguna idea (introducción, sección 4 o sección

6)
La NTC 31000 se presenta como una guía la cual puede ayudar a planificar
de forma correcta una buena gestión de riesgo, ya que toma en cuenta
todas las variables que pueden ser necesarias para plantear una gestión
de riesgo exitosa. En esta guía no solo exponen de manera detallada y
precisa el proceso, sino también los actores, a quien esta dirigida y quien
puede hacer uso de ella, en que casos, brindando un panorama más
amplio con respecto a la temática trabajada. Siendo así una herramienta
muy útil a la hora de proyectar un objetivo ya sea a corto, mediano o largo
plazo, de una empresa pequeña o grande, e incluso de situaciones de la
vida cotidiana.

1.4 Pardo (2017) - capítulo 10 (gestión del riesgo operacional,

el riesgo asociado a los procesos)
Pardo, J.M. (2017). Gestión por procesos y riesgo operacional. Madrid:
Aenor. (Capítulo 10).

1.4.1 Explicación en palabras propias

Dentro de los campos de estudio de la gestión de riesgo existe un campo

especifico destinado a los procesos por su gran actuación dentro de las
compañías, es conocida como gestión de riesgo operacional, tal es el
impacto que se ha constituido varias normas como la ISO 9000-2015,
donde inicialmente se define el riesgo como omnipresente en todas las
actividades y a su vez se expone información que permite gestionar
cualquier riesgo. La gestión del riesgo operación se trabaja desde la
planificación de los procesos, sin embargo, también resulta muy útil para
la mejora de los procesos PHVA.

Es importante resaltar que las compañías en ocasiones no les es posible

gestionar todos los riesgos presentes cada uno de los procesos, por ende,
es necesario realizar una selección, donde estos se prioricen, terminada su
gestión, se debe continuar con los demás, hasta que se abarquen todos,
para esto se usan herramientas y/o matrices que ayuden la priorización.

Para la identificación del existen algunas herramientas, como la lluvia de

ideas, donde el objetivo será resolver qué puede fallar durante el proceso;
otra de las herramientas puede ser buscar riesgos en el ciclo PHVA,
también pueden ser útiles entrevistas estructuradas a personas
involucradas, método Delphi, o las listas de verificación las cuales ayudan
no solo a identificar el riesgo sino también a no olvidar detalles y una
última sería una DAFO el cual definiría debilidades, amenazas, fortalezas y
oportunidades.
Posterior se encuentra el análisis del riesgo, este puede ser cualitativo,
cuantitativo o combinado, y lo que busca es definir la probabilidad del
riesgo y su impacto. Como es preciso, el riesgo necesita un tratamiento,
este surgirá de los resultados de las fases anteriores, y ayudará a
minimizar el impacto del mismo. Es de vital importancia mantener un
seguimiento a todo este ciclo para tomas de decisiones asertivas.

1.4.2 Discusión
De acuerdo al texto en el Gestión por procesos y riesgo operacional, en el
capítulo 10, Pardo, J.M. cita la NTC ISO 9000-2015, donde se define el
riesgo como inherente a la naturalidad misma de las cosas, y considerando
la oportunidad de leer varios argumentos que apoyan esta afirmación,
considero que la gestión de riesgo, es vitalicia para cualquier actividad o
proceso que se desarrolle en el campo empresarial e incluso en la vida
misma, pues no solo permitirá la reducción de los costos, sino también el
mejoramiento y aprovechamiento de los procesos.

1.5 Rendle (2016) - capítulo 12 (cyber risk management)

Rendle, B. (2016). Cyber risk management. In D. Hillson (Ed.), The risk
management handbook: A practical guide to managing the multiple
dimensions of risk (pp. 194–214. Capítulo 12). London: Kogan Page
Limited.

1.5.1 Explicación en palabras propias

El autor Ben Rendle en el libro gestión del ciber riesgo, describe como el
mundo ha cambiado de manera rápida y continua después de la creación
de todas las herramientas digitales que hoy se conocen, pero mas aun
desde la llegada del internet, pues la conectividad a nivel global ha
generado la unión de miles de millones de personas, de millones de
empresas y a su vez a permitido la creación de una cantidad inimaginable
de información en los últimos años. Como anteriormente se mencionó los
riesgos son inherentes a las actividades humanas, y se han vuelto mas
tangibles a raíz de este crecimiento global en cuanto a tecnología. No solo
impacta al individuo como tal sino a las compañías, puesto que el ciber
riesgo está presente en todos los procesos, las transacciones financieras,
las bases de datos del recurso humano, lo clientes, los inventarios,
educación, entre muchos otros.
El ciber riesgo puede resultar también en un impacto positivo para las
organizaciones en cuanto pueden mejorarse muchos procesos, como
clases virtuales en el caso de colegios y universidades, recolección de
donaciones, entre muchos otros, que, así como benefician la empresa
pueden seguir poniéndolos en un estado de vulnerabilidad.
De acuerdo a la magnitud del ciber espacio y lo que para las empresas
esto significa, es preciso decir que es casi imposible conseguir un seguro
que evite en su totalidad la exposición al riesgo cibernético, sin embargo,
han sido establecidos algunos pasos para la ciber seguridad, como las
contraseñas seguras, protección contra el malware, controles de medios
extraíbles, régimen de gestión de riesgo de información, control y
monitoreo, entre otros. Es importante resaltar que un mal manejo de la
gestión de riesgo cibernético puede tener consecuencias como daños
significativos a la reputación, perdida de la información e incluso la
continuidad de la empresa.

1.5.2 Discusión
De acuerdo a este capítulo, el internet llego para compactar el mundo, por
medio de herramientas cibernéticas hemos podido acceder a información
impensable, de manera rápida y sencilla, sin embargo, esto trajo consigo
una cantidad inimaginable que pone en estado de vulnerabilidad las
personas, las empresas, las organizaciones, por ende, es indispensable
invertir en la gestión del riesgo cibernético evitando.

1.6 Vivares (2019) - OVI

Vivares, J.A. (2019). Enfoques para la gestión del riesgo.

1.6.1 Explicación en palabras propias

De acuerdo a lo expuesto la gestión del riesgo puede enfocarse de tres
maneras distintas, por áreas especializadas, como un proceso y basado en
normas, es importante aclarar que no son indiferentes uno del otro, sino
que por el contrario pueden complementarse.
A través de la historia los estudiosos de la gestión del riesgo, han dividido
por áreas especificas la gestión de riesgos, basados en los resultados que
obtuvieron de la primera área constituida como campo de estudio, que fue
la gestión de riesgo financiero, a partir de allí, nacen otras áreas como la
legal, la operacional, la gestión de riesgo político, entre otras, de acuerdo
a entorno y sus cambios.

Existe también la gestión de riesgo como un proceso, donde se definen

unas etapas, la primera es la identificación del riesgo, como bien lo dice su
nombre comprenda la caracterización, tipificación; seguido se encuentra la
etapa de valoración, donde el riesgo es cuantificado, para posterior llegar
al análisis de estos resultados, de manera que sea posible decidir sobre el
tratamiento a seguir del riesgo; la etapa final hace referencia al control,
donde se evalúa nuevamente en caso de que existan nuevos riesgos, para
ser gestionados o simplemente por temas de mejora continua.
El ultimo enfoque hace referencia a la gestión de riesgo basada en normas
entre ellas se encuentra la NTC-ISO 31000 del 2018, guía general de la
aplicación de gestión de riesgo, entre otras pertinentes también. En este
punto es importante resaltar el riesgo que implica la cadena de suministro
siendo tal que fue necesario crear una normal especifica para este.

1.6.2 Discusión
De acuerdo a lo expuesto en el OVI de Vivares, J.A. (2019). Enfoques para
la gestión del riesgo, estoy en acuerdo con la postura presentada por el
exponente donde decía que “la gestión de riesgo no tiene una forma única
ni universal”, puesto que esta se adapta a cada una de las situaciones de
acuerdo a los lineamientos de la empresa o de los entes involucrados, con
los objetivos propuestos, o existe también la posibilidad de que la gestión
de riesgo se vea impactada por las posibles variaciones que se presenten
durante los diferentes procesos, ya sea poro imprevistos que surjan, o ya
sea en cambios el entorno donde se desarrollen o incluso por variaciones
que provengan del recurso humano involucrado.