+34 691 225 633

Rev. Febrero 2021

Autor:
Enrique Molina.

Identificación de los distintos tipos de riesgo

Introducción

Los riesgos han evolucionado, y su estudio adquiere mayor relevancia en el

ámbito de la práctica empresarial. Allí, se evidencia aún más la necesidad de
controlar las amenazas que pueden afectar el normal funcionamiento de toda
empresa y generar pérdidas, que pueden ir desde lo económico hasta afectar a
las personas, pasando por el deterioro del medio ambiente o de la imagen
corporativa.

Según la norma ISO 31000, el riesgo es: “el efecto de la incertidumbre sobre los
objetivos”. En el campo empresarial, el riesgo se asocia con la incertidumbre de
un resultado, el cual puede ser negativo, al ocasionar pérdidas materiales o
inmateriales, o positivo, si se convierte en oportunidad de obtener ganancias.

Las Organizaciones pueden afrontar riesgos provenientes de diferentes ámbitos

de su actuación, tanto del entorno, como de sus operaciones; pero también se
corren riesgos en la toma de decisiones: “la esencia de ‘hacer negocios’ es,
precisamente, correr riesgos, en otras palabras, el riesgo es una elección propia,
más que una imposición o un obstáculo indeseable”.

El avance en la identificación de riesgos con fines de control ha sido impulsado

por varias razones, entre ellas, la creciente normatividad expedida en diferentes
campos, como los de la salud ocupacional y la pública, la seguridad industrial,
las finanzas, etc. La conciencia creada hacia la responsabilidad del control de los
riesgos que afectan a clientes, comunidades y medio ambiente, como el derrame
de sustancias tóxicas en ríos y mares, el deterioro ambiental, las explosiones de
productos tóxicos, la afectación de la salud por el uso de medicamentos o
materiales defectuosos en intervenciones quirúrgicas, las catástrofes naturales, el
incremento y revelación de fraudes corporativos, el desacierto en decisiones de
 +34 691 225 633
Rev. Febrero 2021

administración de grandes capitales comunitarios en mercados de valores, el

aumento de costos para resarcir víctimas de riesgos provenientes de empresas o
entidades públicas, el cuestionamiento ético y de responsabilidad social sobre el
tratamiento de riesgos y su impacto en el futuro de la humanidad…, han puesto
en alerta a administradores, legisladores, científicos y comunidad en general
sobre la importancia de identificar y administrar de forma efectiva los riesgos
que pueden afectar a la sociedad.

De otro lado, la globalización que ha generado la interdependencia entre las

naciones y las empresas, que ha permitido que la información se difunda en
tiempo real en todo el planeta, y el desdibujamiento de las fronteras de tiempo y
espacio, traen consigo un cambio drástico en la velocidad de la toma de
decisiones, en la forma de responder a la diversidad de costumbres y a las
crecientes expectativas, necesidades y exigencias del mundo conectado. Cada vez
se corren más riesgos, a la vez que se espera que éstos sean controlados.

Por tanto, identificar los riesgos que el entorno genera a las organizaciones y los
que provienen de sus propios procesos, constituye una fuente de información de
vital importancia para la gestión y competitividad empresarial, y eso requiere de
herramientas que complementen la observación, la experiencia y la intuición.

En general los riesgos inherentes, y que por rutina se materializan en las

Organizaciones o en otros sectores de la economía, pueden ser reconocidos
fácilmente. La gerencia no necesita técnicas especiales para identificarlos; pero,
¿está preparada la empresa para identificar riesgos tales como los psicosociales
(depresión, ansiedad en el trabajo, tensión, insatisfacción laboral) o riesgos
técnicos relacionados con los productos que elabora o servicios que ofrece, y que
pueden generar a sus clientes o al medio ambiente impactos negativos?¿Está
capacitada la organización para determinar las circunstancias externas e internas
que pueden afectar el cumplimiento de los objetivos que se ha trazado? ¿Es
suficientemente flexible y tiene capacidad para adaptarse al entorno cambiante?
¿Puede analizar las causas de esos riesgos y sus consecuencias?

La evolución de la gestión de riesgos ha permitido que se establezcan acciones,

ya no aisladas, sino de manera estructurada e integral, para identificar, calificar,
 +34 691 225 633
Rev. Febrero 2021

evaluar y monitorear todo tipo de riesgos que puedan afectar al cumplimiento

de los objetivos de las organizaciones, con el propósito de responder con medidas
efectivas para su tratamiento.

La normativa sobre riesgos empresariales ha evolucionado y en la actualidad un

importante referente internacional es la norma ISO 31000, que establece, para la
gestión de riesgos, principios que fundamentan la misma, un marco de referencia
que delimita y la direcciona, y un proceso para la gestión de riesgo que facilita su
ejecución.
 +34 691 225 633
Rev. Febrero 2021

Contenido

¿En qué consiste la identificación de riesgos? Identificar un riesgo empresarial

es determinar los posibles eventos que con su materialización pueden impactar
objetivos, estrategias, planes, proyectos, servicios, productos u operaciones de la
empresa. La identificación de riesgos incluye además, la caracterización de esos
eventos, es decir, el análisis de cómo ocurrirían, por qué se presentarían, dónde
y cuándo sucederían, quién o qué factores incidirían en su ocurrencia, qué o
quién podría verse afectado por ello, cuál sería la afectación (a la imagen, al
personal, a recursos materiales o inmateriales, a terceros, etc.), y quién sería el
responsable de manejar el riesgo. La norma ISO 31000 define la identificación de
riesgos como el “proceso para encontrar, reconocer y describir los riesgos”. Este
proceso no es tan sencillo de realizar como se podría pensar, porque implica el
análisis de varios elementos relacionados con el riesgo, que lo caracterizan según
las condiciones del proceso, la decisión, el proyecto, el producto o la función a
analizar.

Importancia y beneficios de la identificación de riesgos.

La identificación de riesgos permite la calificación, evaluación, tratamiento o

respuesta y monitoreo, al brindar elementos de análisis para cada una de las
etapas de su gestión; por lo que quizás es el paso más importante cuando se
decide tratar los riesgos. De su correcta identificación dependen las acciones
posteriores, mientras que con su omisión la empresa puede quedar sujeta al
vaivén de las circunstancias.

Los beneficios de la identificación de riesgos son muchos, y pueden dividirse

primordialmente en dos campos: el primero, tiene que ver con lo que se puede
prevenir y el segundo con lo que se puede aprovechar; es decir, prevención de
pérdidas y aprovechamiento de oportunidades.

Los riesgos se identifican con el fin de estar preparados ante eventos no

esperados, evitar sorpresas desagradables que puedan afectar negativamente a
la empresa o prevenir sanciones por el incumplimiento de normas. La
identificación de riesgos facilita también la toma de decisiones, al brindar
 +34 691 225 633
Rev. Febrero 2021

información que permite conocer causas e implicaciones de los hechos y definir

si se hace o se deja de hacer alguna actividad, proyecto o estrategia, de acuerdo
con el nivel de riesgo que implica; por lo cual genera un tratamiento coherente
del riesgo, lo que permite “asumir” riesgos controlados.

La adecuada identificación de riesgos, unida a la correcta administración de los

mismos, propicia mayor control de los eventos adversos, la optimización de
inversiones y la protección de los recursos; además mejora las relaciones entre las
partes o grupos de interés de la empresa, crea responsabilidad en el tratamiento
de los mismos, genera comportamiento proactivo –más que reactivo– y permite
alinear el comportamiento individual con la responsabilidad organizacional.
Esto trae grandes beneficios en la mejora de los procesos, productos o servicios,
haciéndolos más seguros y reduciendo la posibilidad de pérdidas.

Los riesgos pueden ser, a su vez, fuente de oportunidades: si se identifican a

tiempo y se estudia cómo manejarlos, se pueden transformar a favor de la
empresa. Su evaluación puede llevar a vislumbrar decisiones –en ocasiones poco
obvias– que permiten proteger y generar valor para los grupos de interés, lo que
los convierte en ventajas competitivas, pues propician la anticipación a las
actuaciones de los competidores y el aprovechamiento de oportunidades no
previstas, que pueden redundar en utilidades derivadas de la innovación y
mejora organizacional.
 +34 691 225 633
Rev. Febrero 2021

Responsables de la identificación de riesgos.

Como la identificación de riesgos tiene un alcance amplio en las organizaciones,

en ella participan diferentes actores, unos como responsables directos o
“propietarios” de los riesgos y otros como personal independiente de apoyo o
externo a la organización.
 +34 691 225 633
Rev. Febrero 2021

El personal interno responsable de la identificación de riesgos estratégicos puede

estar en la gerencia, en la junta directiva y en la alta dirección; para los demás
riesgos intervienen los líderes de los procesos, proyectos, servicios o productos y
quienes participan en ellos, con el apoyo del gestor de riesgos.

Los auditores internos o externos, de forma independiente, son también

responsables de identificar los riesgos para realizar evaluaciones sobre la
exposición de la empresa y la eficiencia de su sistema de administración; los entes
reguladores, las entidades crediticias, las partes interesadas en la empresa
pueden también identificar los riesgos de una organización.

Según la singularidad y la complejidad de los riesgos identificados, y de acuerdo

con los recursos y necesidades propios de una Organización, es posible que sea
necesario personal externo, asesores expertos o consultores especializados en
determinados tipos de riesgos. En ocasiones puede ser indispensable el apoyo de
empresas del mismo sector, interesadas en identificar riesgos e implementar
soluciones conjuntas para beneficio común.

Los responsables de la identificación de riegos deben tener conocimiento o

experiencia sobre el ámbito en el cual se realiza esta actividad.

Para ello deben estar capacitados en la identificación, de acuerdo con las técnicas
o metodologías seleccionadas. También deben disponer de imaginación,
apertura a nuevas ideas o posibilidades, capacidad de proyectar la influencia de
eventos negativos sobre procesos y recursos, además de ser personas objetivas
en sus apreciaciones.

¿Cómo identificar los riesgos empresariales?

Para identificar los riesgos empresariales es necesario, inicialmente, tener

claridad acerca de los tipos de riesgos inherentes al carácter de la empresa, con el
fin de que su administración de riesgos sea integral, no fragmentaria ni parcial.
La variedad de riesgos puede ser alta, igual que las formas de clasificarlos y
abordarlos; por lo tanto, no es posible establecer una única clasificación de tipos
de riesgos empresariales.
 +34 691 225 633
Rev. Febrero 2021

En la Tabla 1.1, Riesgos generados por el entorno organizacional, se presenta un

esquema de categorías de riesgos provenientes del medio empresarial, en la
Tabla 1.2, Riesgos generados en la empresa, donde se relacionan las categorías de
riesgos que puede propiciar la organización en el curso de sus operaciones.

El esquema contempla los riesgos más comunes; sin embargo, cada empresa, de
acuerdo con sus condiciones, se puede enfrentar a riesgos singulares.
+34 691 225 633
Rev. Febrero 2021
 +34 691 225 633
Rev. Febrero 2021

Tabla 1.2 Riesgos generados en la empresa

+34 691 225 633
Rev. Febrero 2021
 +34 691 225 633
Rev. Febrero 2021

Según la norma ISO 31000, las acciones para la identificación de riesgos son:
“identificar las fuentes de riesgo, las áreas de impacto, los eventos (incluyendo
los cambios en las circunstancias) y sus causas y consecuencias potenciales”. El
objeto de esta fase es generar una lista exhaustiva de riesgos con base en aquellos
eventos que podrían crear, aumentar, prevenir, degradar, acelerar o retrasar el
logro de los objetivos.

La norma habla también de la importancia de incluir en la lista los riesgos, bien

sea que estén bajo el control de la organización o fuera de él.

Para realizar la identificación de riesgos debe conocerse profundamente la

organización: “entender bien el riesgo es entender bien el ‘business model’ de la
empresa y sus puntos de creación de valor”; además de sus planes a mediano y
largo plazo. La identificación de riesgos tiene un espectro amplio de aplicación,
por tanto debe estar circunscrita a un ámbito de análisis (decisiones, procesos,
productos, servicios, funciones, proyectos, etc..).

Definir el objetivo específico del ámbito de análisis es primordial para identificar

los riesgos que pueden afectar su cumplimiento.
 +34 691 225 633
Rev. Febrero 2021

La identificación de riesgos no se reduce a asignar un nombre al riesgo, pues se

deben incluir todos los datos relacionados con el mismo, para estudiarlos
exhaustivamente y aportar elementos a las demás etapas de su gestión. Para ello
es primordial contar con información actualizada y pertinente, además de
establecer mecanismos de alerta temprana que permitan identificar cambios en
variables críticas, que ayuden a determinar riesgos estratégicos u operativos que
pueden impactar la organización, y procedimientos que garanticen el monitoreo
en forma periódica, de acuerdo con los ciclos de la empresa y las
transformaciones del entorno.

Es importante crear una cultura de identificación de riesgos en las

organizaciones, que permita a todos, y bajo cualquier circunstancia, estar atentos
para detectar los posibles riesgos que deriven en consecuencias negativas y
comunicar los hechos, de tal forma que la organización pueda responder con
acierto.

Las técnicas de identificación de riesgos se han desarrollado con los avances en

sus estudios, desde los seguros, las finanzas, la sociología, el control
organizacional, la auditoría, la informática, la seguridad industrial, la salud
ocupacional, la seguridad pública, la ingeniería ambiental, la gestión de
proyectos y otros campos.

Existen variedad de técnicas, herramientas y metodologías para identificar los

riesgos, las cuales pueden aplicarse dependiendo de la disponibilidad de
recursos económicos, humanos y tecnológicos de la organización; del tiempo, la
experiencia, el grado de desarrollo de la empresa; al igual que del nivel de
implementación de la administración de riesgos.

Es posible utilizar una mezcla de técnicas o alguna específica, según el tipo de

riesgo, su complejidad y la necesidad de información sobre el mismo.

Algunas técnicas de identificación de riesgos son utilizadas en disciplinas que no

necesariamente han estudiado los riesgos, pero que han necesitado abordar el
tema, como la administración. En los análisis estratégicos se utiliza la matriz
DAFO: “es probable que este análisis sea la primera y más importante de todas
 +34 691 225 633
Rev. Febrero 2021

las herramientas de análisis de la estrategia. Identifica las actuales fortalezas y

debilidades, las oportunidades emergentes y las amenazas preocupantes que
enfrenta la compañía”.

También se recurre al análisis pest: “muchas veces se lo denomina análisis pestel

porque refleja los componentes políticos, económicos, sociales, tecnológicos,
ambientales y legales”; con él se establecen las variables del entorno que pueden
afectar a las empresas, antes de formular los planes estratégicos.

Adicionalmente, en los análisis estratégicos se analizan las fuerzas que mueven

la competencia en un sector, llamadas también las Cinco Fuerzas de Porter que
estudian “el poder de negociación de los clientes, el poder de negociación de los
proveedores, la amenaza de productos o servicios sustitutos, la amenaza de los
nuevos ingresos de competidores potenciales, y la rivalidad entre los
competidores existentes”.

En todas las herramientas mencionadas se abordan elementos de estudio que

permiten identificar los riesgos que podrían correr las compañías y que se hace
necesario analizar para definir las estrategias organizacionales.

En campos del saber, como el de sistemas de calidad, se utilizan técnicas para

identificar riesgos como el Análisis Causa-Efecto; en auditoría se acude, entre
otras estrategias, a Entrevistas y Flujogramas de procesos.

Existen técnicas de fácil aplicación, como las Entrevistas semiestructuradas y la

Lluvia de Ideas; algunas son estandarizadas, como las Listas de Chequeo y
Cuestionarios; otras se aplican a procesos o productos, como el Análisis de Modo
y Efecto de Falla o el Análisis de Puntos Críticos de Control. Algunas técnicas
utilizan información histórica, como registros de eventos, estados financieros,
informes de auditoría o de compañías aseguradoras. Otras se orientan hacia el
futuro, como el Análisis de Escenarios, el Estudio del Impacto del Negocio o el
“¿Qué pasaría si?”. Las hay que se basan en la observación, como la Inspección,
o en la consulta a expertos, como el método Delphi. También se puede recurrir al
análisis de información por sectores.
 +34 691 225 633
Rev. Febrero 2021

Con la proliferación de técnicas, herramientas y metodologías para identificar

riesgos, a la hora de definir en la empresa cómo hacerlo, puede parecer difícil
decidir cuál de ellas es la más adecuada, o si es mejor crear una metodología
propia.

Ciertas compañías desarrollan metodologías ajustadas a sus necesidades para

identificar los riesgos, algunas adaptan estrategias de reconocida aplicación en el
medio; casi todas buscan adecuarse a las normas o estándares y algunas
desarrollan conocimiento nuevo sobre el tema.

Lo más importante al aplicar técnicas o métodos es la consistencia en su uso, de

manera que permita estandarizar el proceso y obtener resultados comparables en
toda la organización, con el fin de lograr una identificación de riesgos que
garantice su tratamiento de forma integral.

Esas técnicas, herramientas y metodologías son alternativas que ayudan a

identificar los principales riesgos que afectan a una organización, pero no
garantizan que se incluyan todos los posibles riesgos; es el responsable de la
identificación quien, con su experiencia, conocimiento y sentido común,
determina cuáles riesgos son importantes en la identificación y cuáles no lo son.
En la siguiente tabla, se exponen diferentes técnicas y metodologías para
identificar los distintos tipos de riesgos y su aplicación.
+34 691 225 633
Rev. Febrero 2021
 +34 691 225 633
Rev. Febrero 2021

Conclusiones

Se hace patente que en la realidad actual, para llevar a cabo una correcta
identificación de los riesgos, no es necesario desarrollar técnicas sofisticadas,
simplemente, estando alerta y observando, podemos conseguir llegar a un grado
de seguridad que nos permita seguir afrontando nuestro futuro profesional,
empresarial o incluso personal. Las señales que evidencian los peligros y por
tanto los posibles riesgos, son visibles y nos van a permitir evitarlos y/o
controlarlos. El propio instinto de supervivencia nos permite estar en continuo
estado de alerta ante situaciones anómalas que lo puedan poner en peligro.
Situaciones, que con el paso del tiempo han ido evolucionando y adquiriendo
mayor relevancia en el ámbito empresarial y han provocado la necesidad de
controlar las distintas amenazas que puedan causar un efecto adverso en las
mismas, pudiendo generar grandes pérdidas, pudiendo afectar a los recursos
humanos, a la imagen corporativa, etc., o en su caso, una oportunidad de negocio
aportando ciertos beneficios. Las Organizaciones por tanto, pueden encontrarse
con riesgos que provengan de sus ámbitos de actuación, como también de la toma
de decisiones, siendo la esencia de cualquier negocio el correr riesgos, o dicho de
otra manera, el riesgo es una elección propia más que un obstáculo no querido o
una imposición.

Por tanto, identificar los riesgos que el entorno genera a las organizaciones, y los
que provienen de sus propios procesos, constituye, una fuente de información de
vital importancia para la gestión y competitividad empresarial, y eso requiere de
herramientas que complementen la observación, la experiencia y la intuición.