Metodología de la administración de riesgos (estrategias e identificación)

De acuerdo con Góngora (2010), el adecuado manejo de los riesgos favorece el desarrollo
y crecimiento de la entidad, con el fin de asegurar dicho manejo es importante que se
establezca el entorno de la entidad, la identificación, análisis, valoración y definición de las
alternativas de acciones de mitigación de los riesgos. En este orden y considerando la figura
,1 proceso de gestión del riesgo, indicada en la unidad 1, a continuación se desarrollan
cada uno de los procedimientos que ayudan a una gestión adecuada y permiten un
escenario eficiente para la toma de decisiones.

Establecimiento o definición del contexto

Quien debe administrar riesgos necesita identificar la contribución que hará a la

organización en el logro de sus objetivos, valores, políticas y estrategias, cuando tome
decisiones acerca de los riesgos (contexto organizacional). Debe comprenderse cómo
estos objetivos, valores, políticas y estrategias, ayudan tanto a definir los criterios que
determinarán finalmente cuales de los riesgos identificados son aceptables y cuales no los
son, como a establecer las bases de los controles necesarios y la administración de las
opcio- nes. El enfoque y profundidad de la revisión de los riesgos también debe definirse
en esta etapa. De esta manera, Góngora (2010, p.24), plantea, con algunos ajustes, los
siguientes factores externos e internos de riesgo a la hora de definir el contexto:

Factores internos Factores externos

Económicos: disponibilidad de capital, emisión
Infraestructura: disponibilidad de activos,
de deuda o no pago de esta, liquidez,
capacidad de los activos y acceso al
mercados financieros, desempleo,
capital.
competencia.
Personal: capacidad del personal, salud y Medioambientales: emisiones y residuos,
seguridad. energía, catástrofes naturales, desarrollo
sostenible.
Procesos: capacidad de planeación,
Políticos: cambios de gobierno, legislación,
diseño e innovación, ejecución,
regulación.
proveedores, entradas, salidas y
conocimiento.
Sociales: demografía, responsabilidad social,
Tecnología: integridad de datos, terrorismo
disponibilidad de datos y sistemas,
desarrollo, producción y mantenimiento. Tecnológicos: interrupciones, comercio
electrónico, datos externos, tecnología
emergente.
Identificación de los riesgos

No se puede definir ningún programa o procedimiento de intervención sin que antes se

conozca exactamente cuáles son esos riesgos y cómo y por qué ellos pueden surgir, más
aún, los riesgos no identificados pueden significar una amenaza para el éxito de una
auditoría. Es necesario entonces identificar los riesgos y la relación que tienen con los
controles existentes. Se debe comenzar por identificar los riesgos obvios y luego trabajar a
partir de ellos.

Una buena identificación de los riesgos involucra el examinar todas las fuentes de riesgo y
las perspectivas de todos los entes participantes ya sean internos o externos. Otro factor
importante es la buena calidad de la información y el comprender cómo y dónde estos
riesgos han tenido o pueden tener su efecto. Aunque no siempre es posible obtener toda la
información necesaria, esta debe ser lo más amplia, integral, precisa y oportuna en la
medida que lo permitan los recursos disponibles u otros factores restrictivos.

Resulta esencial que el personal que tenga a su cargo este paso tenga, o haya obtenido en
etapas previas, un amplio conocimiento de:

 Las políticas, los planes y los programas de fiscalización relacionados con el tema
que está investigando.

 Los procesos y las operaciones, que están bajo revisión, además de la normativa y
otros aspectos mencionados en la etapa de
 análisis preliminar.

 En los temas que existe un alto grado de complejidad generalmente existen muy
pocas personas que entiendan todos sus elementos, en este caso puede ser mejor
trabajar en equipo.

Posibles fuentes de riesgo:

 Las relaciones comerciales.
 Vacíos en la normativa.
 Deficiencia en actividades administrativas o controles internos.
 El alto grado tecnológico.
 Complejidad en la valoración de las mercancías involucradas.
 La complejidad de las operaciones.
 La carga tributaria (Impuesto específicos).

Posibles áreas del impacto del riesgo:

La evaluación del riesgo puede concentrarse en uno o más áreas probables de impacto
relevantes para la Aduana, las que pueden incluir las siguientes:
  Recaudación tributaria (derechos dejados de percibir).
 Recursos fiscales (Beneficios y franquicias percibidas en forma fraudulenta).
 Salud pública y medio ambiente.
 Propiedad intelectual, etc.

Información necesaria para identificar los riesgos

Es necesario realizar un levantamiento planificado de información que considere:

1. La normativa actual relacionada con la materia de investigación.

2. Las entidades o agentes económicos involucra- dos (Empresa, Bancos

comerciales, Servicios Públicos, otros).

3. Los distintos procesos involucrados, sus características y principales

actividades, esto incluye los procesos internos, los de canales de
comercialización, los procesos de negocios de la organización, los de
producción, los administrativos, entre otros.

4. Las responsabilidades de los agentes económicos involucradas, la secuencia y

la manera como se relacionan.
5. Identificar los principales documentos que intervienen en las operaciones, cual
es la función que cumplen, quienes los emiten, quienes los reciben.

6. Determinar los tiempos asociados a las actividades de los procesos

involucrados.

7. Cuantificar la participación de los distintos agentes económicos que intervienen

en la investigación.

8. En general cualquier otro estudio que el gerente o equipo designado determine

necesario para planificar tareas con eficacia y definir con éxito los
procedimientos de monitoreo.

Se debe evaluar en el transcurso de esta etapa la conveniencia de utilizar las diversas

fuentes de información existentes en forma previa a la visita de las dependencias de la
empresa, es decir puede resultar más conveniente, en términos de lograr los objetivos
de la investigación, no poner en conocimiento la existencia de una investigación en
curso, para lo cual la información que necesariamente debe obtenerse deberá levantarse
al momento de realizar la visita, acciones que deberán considerarse en los programas de
revisión.

Métodos de identificación de riesgos

Existe una gran variedad de herramientas que pueden ser utilizados para identificar los
riesgos involucrados en una investigación, algunos de ellos son:
 • Diagramas de flujo, técnicas de análisis de sistemas.
• Discusiones de grupo o entrevistas.
• Experiencia personal del o los funcionarios.
• Las inspecciones físicas y auditorías anteriores.
• Brainstorming (Lluvia de Ideas).
• Encuestas y cuestionarios.
• Técnica Delphi.
• Estudio de la experiencia extranjera o nacional.
• Los juicios, los consensos especulativos, conjeturas e intuiciones.

Análisis de riesgos

Habiendo ya identificados los riesgos, este paso trata de analizar la posibilidad y las
consecuencias de cada factor de riesgo con el fin de establecer el nivel de riesgos. Los
riesgos necesitan ser analizados para decidir cuáles son los factores de riesgo que
potencialmente tendrían un mayor efecto y por lo tanto necesitarían ser administrados o
tratados.

El nivel de riesgo se determina considerando los dos siguientes aspectos en relación con
los controles existentes: (i) ¿Qué posibilidad existe de que las cosas sucedan (posibilidad,
frecuencia o probabilidad)?; y (ii) Las posibles consecuencias que existirán si este hecho
ocurre (el impacto o la magnitud del efecto). Una observación preliminar de los riesgos
identificados se puede realizar para excluir de la revisión aquellos riesgos de consecuencias
extremadamente bajas. La racionalidad para excluir estos riesgos debería ser documentada
para demostrar que tan amplio ha sido el análisis.

Hay tres categorías de métodos utilizados para determinar el nivel de riesgos. Los métodos
pueden ser: Cualitativos, Semicuantitativos y Cuantitativos.

El enfoque que se utiliza con mayor frecuencia en la toma de decisiones acerca de los
riesgos en el lugar de trabajo tiende a ser cualitativo. Los administradores utilizan la
experiencia, el juicio y la intuición para tomar sus decisiones. El nivel de riesgo está
determinado por la relación entre la posibilidad y la consecuencia que usualmente se
determina en una tabla como la que, por ejemplo, se muestra a continuación:
 • Riesgo alto: se requiere una investigación detallada y una planificación a
niveles superiores.

• Riego importante: se requiere una atención del personal superior.

• Riesgo significativo: se debe especificar la responsabilidad de gestión.

• Riesgo bajo: se maneja mediante procedimientos de rutina.

El análisis cualitativo también se puede utilizar cuando el nivel de riesgo no justifica el

tiempo y los recursos necesarios para hacer un análisis completo donde los datos
numéricos son inadecuados para un análisis más cuantitativo o para desarrollar una
observación general inicial de los riesgos para un análisis posterior y más detallado.

Un enfoque semi-cuantitativo puede utilizar clasificaciones de palabras como alto medio o

bajo, o descripciones más detalladas de la probabilidad y la consecuencia.

Estas clasificaciones se demuestran en relación con una escala apropiada para calcular el
nivel de riesgo. Se debe poner atención en la escala utilizada a fin de evitar malos
entendidos o malas interpretaciones de los resultados del cálculo. El nivel de riesgo puede
ser calculado utilizando el método cuantitativo en las situaciones donde la probabilidad de
ocurrencia y las consecuencias puedan ser cuantificadas.

Evaluación y priorización de riesgos

Luego del análisis, en este paso se trata de decidir si los riesgos son aceptables o no
aceptables esto se hace comparando el nivel de cada riesgo a partir del paso en el literal
“d” (análisis de riesgos) en relación con el nivel de riesgo aceptable evaluado en el paso
número 1 (establecimiento del contexto). De esta forma, se clasifican los riesgos más
importantes para identificar las prioridades de gestión.
Las decisiones acerca de la aceptabilidad del riesgo deben tomar en cuenta un contexto
más amplio del riesgo. Las organizaciones o agencias han descubierto que una gestión de
riesgo exitosa involucra tomar en cuenta las obligaciones más amplias y los compromisos
requeridos por la legislación y el medio ambiente político social y económico en el cuál
operan los administradores.

La evaluación debe tomar en cuenta el grado de control sobre cada uno de los riesgos y el
impacto de los costos, los beneficios y las oportunidades presentadas por los riesgos.
Además, se deben considerar también los riesgos que sufren otros participantes en el
proceso y que se benefician a partir de estos riesgos. Finalmente los riesgos se clasifican
de acuerdo con las prioridades de gestión para su tratamiento.

Tratamiento de los riesgos

El tratamiento de los riesgos necesita ser adecuado o apropiado de acuerdo con la

significancia del riesgo y la importancia de la política, el programa, proceso o actividad.
Como pauta general se puede mencionar:

 Los riesgos de bajo nivel pueden ser aceptados y puede no ser necesaria una acción
adicional estos riesgos deben ser controlados.
 Los niveles de riesgo significativos o más importantes deben ser tratados.
 Los niveles altos de riesgo requieren de una cuidadosa administración o gestión y
de la preparación de un plan formal para administrar los riesgos.
 Las opciones para el tratamiento de los riesgos se mencionan a continuación. Una
combinación de estas acciones puede ser apropiada para el trata- miento de los
riesgos:
 Eludir un riesgo decidiendo no proceder con la política, programa, proyecto o
actividad en la que incurriría el riesgo o es- coger medios alternativos para la acción
que logre este mismo resultado. Debe des- tacarse que evitar el riesgo puede
resultar que otros riesgos se vuelvan más significativos.
 Reducir el nivel de riesgo reduciendo la probabilidad de ocurrencia o las con-
secuencias, o ambas a la vez. La probabilidad puede reducirse a través de los
controles de gestión, los arreglos organizacionales y de otro tipo, los cuales reducen
la frecuencia o la oportunidad de que ocurra un error, estos arreglos se refieren a
cosas tales como los procedimientos alternativos, el aseguramiento de la calidad, el
testeo, la capacitación, la supervisión, la revisión, las políticas y procedimientos
documentados, la investigación y el desarrollo. Las consecuencias pueden reducirse
asegurando o garantizando que los controles de manejo y de otro tipo o bien las
barreras físicas estén en el lugar apropiado para minimizar cualquier con- secuencia
adversa tales como las planificaciones de contingencia, las condiciones o arreglos
contractuales, la planificación de control de fraude, etc.
 Transferencia del riesgo. Esto significa el cambiar la responsabilidad de un riesgo
de una organización a otra parte como por ejemplo una compañía de seguros
 que en último lugar tendrá que trabajar con las consecuencias si es que el evento
ocurre (transferencia completa). Por otra parte o en forma alternativa esto puede
involucrar que la otra parte comparta las responsabilidades o alguna parte de las
 consecuencias de alguna forma acordada entre ambas partes (transferencia
parcial).
 Aceptar y retener los riesgos dentro de la organización donde estos no pueden ser
eludidos, reducidos o transferidos o donde el costo de eludir o transferir un riesgo
no se justifica usualmente porque la probabilidad y la consecuencia son bajas. Los
riesgos deben ser controlados o monitoreados. La idea es establecer cómo se van
a descubrir las perdidas si estas ocurren.

El costo del manejo de riesgo debe ser compara- do con los beneficios obtenidos, la
significancia de la actividad y los riesgos involucrados. Es necesario determinar el impacto
del costo total de los riesgos y el costo de administrar o manejar estos riesgos. El costo de
administrar los riesgos incluye los fondos tanto para el costo directo y los gastos extras para
el salario y la administración incluyendo la capacitación y los costos de sistemas.
La opción más apropiada para el tratamiento del riesgo involucra un balance o un equilibrio
del costo de implementación de cada acción en comparación con los beneficios obtenidos.
Esto puede evaluarse llevando a cabo un análisis de costo beneficio de las opciones.

Las opciones deben ser evaluadas sobre la base de que los riesgos puedan ser reducidos
y la ex- tensión de los beneficios aumentadas o se pue- dan crear nuevas oportunidades.
Generalmente, mientras mayor sea la oportunidad mayor es el riesgo asociado no obstante
existen muchos ejemplos donde una opción de reducción de riesgo no es justificable
solamente en términos económicos. Otros factores tales como los costos sociales y
políticos y los beneficios, deberán tomarse en cuenta. La relación existente entre el
tratamiento del riesgo, el nivel de riesgo y oportunidad ofrecidos por el riesgo se ilustra a
continuación:

Clasificación de los riesgos

La clasificación de los riesgos puede variar de acuerdo con la entidad que los afronte y/o
los determine; de todas formas cada organización o institución puede clasificar los riesgos
 teniendo en cuenta sus objetivos. En este sentido, se pueden listar los siguientes, ya
definidos en la unidad 1, dejando claro que se pueden añadir nuevas clasificaciones, según
los intereses.

• Riesgo económico
• Riesgo financiero
• Riesgo estratégico
• Riesgos operativos
• Riesgos de control
• Riesgos de cumplimiento
• Riesgos de tecnología

La idea es que una vez se identifique el tipo de riesgo, éstos deben relacionarse con los
procesos de la entidad u organización y establecer sus efectos. Con la realización de este
procedimiento, se deben obtener los siguientes resultados:

1. Determinar las causas (factores internos o externos) de las situaciones identificadas

como riesgos para la entidad u organización.

2. Describir los riesgos identificados con sus características.

3. Precisar los efectos que los riesgos puedan ocasionar a la entidad u organización.
Para mayor efectividad, se sugiere que en el pro- ceso de identificación se conozcan y
entiendan la importancia de los siguientes conceptos:

Proceso:
Nombre del
proceso
Objetivo del Se debe transcribir el objetivo que se ha definido para el proceso al
proceso cual se le están identificando los riesgos.
Riesgo Representa la posibilidad de ocurrencia de un evento que pueda
entorpecer el normal desarrollo de las funciones de la entidad y afectar
el logro de sus objetivos.
Causas - factores Son los medios, las circunstancias y agentes generadores de riesgo.
(Internos o Los agentes generadores que se entienden como todos los sujetos u
externos) objetos que tienen la capacidad de originar un riesgo; se pueden
clasificar en cinco categorías: personas, materiales, comités,
instalaciones y entorno.
Descripción Se refiere a las características generales o las formas en que se
observa o manifiesta el riesgo identificado.
Efectos Constituyen las consecuencias de la ocurrencia del riesgo sobre los
(consecuencia objetivos de la entidad; generalmente se dan sobre las personas o los
s) bienes materiales o inmateriales con incidencias importantes tales como
daños físicos y fallecimiento, sanciones, pérdidas económicas, de
información, de bienes, de imagen, de credibilidad y de confianza,
interrupción del servicio y daño ambiental.

Lo anterior puede realizarse en el siguiente instrumento (con los ajustes discrecionales de

cada empresa u organización), tal y como lo muestra la guía de Administración del riesgo
del departamento administrativo de la función pública (2009):

Proceso

Objetivos del Causas – Efectos

Factores (Internos Riesgo Descripción
Proceso (Consecuencias)
y Externos)

En últimas, la metodología y clasificación para la gestión de riesgos integra sistémicamente

los aspectos comprendidos en las políticas y/o directrices relacionadas con el control
interno, todo esto sobre la base de los procesos de la gestión de la calidad, utilizando para
ello métodos y técnicas para la toma de decisiones participativas y ejecutivas. Esta forma
estructurada presenta pasos o fases flexibles y se considera también como una herramienta
para gestionar eficientemente los riesgos al nivel de toda la organización.

¿QUÉ ES EL RIESGO?

Ante todo debemos familiarizarnos con la definición del riesgo. Existen diversas
definiciones veamos algunas:

 “Posibilidad de obtener resultados positivos o negativos.”

 “Amenaza evaluada en cuanto a su probabilidad de ocurrencia y la
gravedad de sus posibles consecuencias.”
  “Posibilidad de ocurrencia de un evento que puede afectar el
cumplimiento de los objetivos.”
 “Multiplicación entre impacto, vulnerabilidad y exposición.”
 “Resultados de una amenaza con efectos adversos en un sistema
vulnerable.”
 “Probabilidad de que un evento, fortuito o intencional desencadene un
peligro con consecuencias relevantes para la compañía.”
 “La posibilidad de que algo ocurra y que impacte determinados objetivos,
el cual se mide en términos de consecuencias y esperanza matemática”
 “Toda aquella probabilidad que pudiese afectar de forma adversa el logro
de los objetivos del negocio”
 “La combinación de la probabilidad de ocurrencia de un evento y sus
consecuencias. Haciendo notar que estas pueden ser positivas o
negativas y, en algunas circunstancias, el riesgo surge de la posibilidad
de la desviación de la ocurrencia del evento esperado.”

Definición de Riesgo ISO 31000

“Efecto de la incertidumbre sobre los objetivos”

Efecto: Desviación de aquello que se espera, sea positivo o negativo

Objetivos: Financieros, salud y seguridad, ambientales. Diferentes niveles:

estratégico, en toda la organización, proyectos, productos, procesos.
El punto común en las organizaciones y proyectos, son los objetivos. Referencia
a los eventos, consecuencia o a su combinación.
Incertidumbre: es el estado imparcial de deficiencia de información relacionada
con la comprensión o el conocimiento de un evento, su consecuencia o
posibilidad.

 Concepto de riesgo de informe promulgado por el Comité COSO en el

marco de la Gestión Integral del Riesgo (Enterprise Risk Management –
ERM):
“Los riesgos son futuros eventos inciertos, los cuales pueden influir en el cumplimiento
de los objetivos de las organizaciones, incluyendo sus objetivos estratégicos,
operacionales, financieros y de cumplimiento.”

Este concepto promueve que la gerencia le preste más atención a los riesgos,
que los incluya dentro de sus análisis de gestión y que busque el logro de los
objetivos.

VARIABLES DEL RIESGO

FRECUENCIA/ PROBABILIDAD: Medida de presentación de los siniestros en

función de la exposición al mismo.

SEVERIDAD/ GRAVEDAD: Nivel esperado de las consecuencias negativas de un

siniestro, medido en extensión del daño. En otras palabras, es la magnitud de las
pérdidas que se presentarían con la ocurrencia de un siniestro. (Estas pérdidas
pueden ser: económicas, humanas, de interrupción de actividades, imagen de la
compañía, ambiental, etc.).

LA VALORACIÓN DE RIESGOS

Es el proceso mediante el cual se establece la probabilidad de que ocurran daños

personales o pérdidas materiales y la cuantificación de los mismos. Es importante
en toda organización contar con una herramienta, que garantice la correcta
evaluación de los riesgos, a los cuales están sometidos los procesos y actividades
que participan en un proceso especifico y por medio de una buena gestión se
pueda evaluar el desempeño, desarrollo y ejecución del mismo.

Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en

cuenta que una de las principales causas de los problemas dentro del entorno informático,
es la inadecuada administración de riesgos, este trabajo sirve de apoyo para una adecuada
gestión de la administración de riesgos.

Definimos el riesgo como la probabilidad de que la amenaza se materialice, debido a la

existencia de una o varias vulnerabilidades de peso significativo. El riesgo es difícil de medir,
sobretodo, cuando no se cuenta con datos estadísticos que lo respalden o avalen, por la
tendencia de las empresas a ocultar incidentes, la localización geográfica, las culturas,
leyes, criticidad, situación país, etc. También se define como una amenaza evaluada en
cuanto a su probabilidad de ocurrencia (Frecuencia) y a la gravedad de sus consecuencias
(Severidad).

Probabilidad/Frecuencia: Es el número de veces que se da un evento. Ver también

posibilidad y probabilidad. También se define como el número de veces que una amenaza
deja de serlo para convertirse en realidad, a lo largo de un determinado periodo de tiempo.

Gravedad/Severidad/Impacto: Es la evaluación del efecto y consecuencia del riesgo.

Generalmente, la exposición al riesgo se mide en aspectos económicos, imagen de las
personas o empresas, disminución de capacidad de respuesta y competitividad,
interrupción de operaciones, etc.
El éxito de un proceso de Gestión Integral del Riesgo es reducir la exposición de los riesgos,
a niveles razonables. Con las anteriores definiciones, este plan de análisis y valoración
pretende identificar y calificar los riesgos que se presentan alrededor la organización.

¿QUÉ ES LA VALORACIÓN DE RIESGOS?

Es el proceso mediante el cual se establece la probabilidad de que ocurran daños

personales o pérdidas materiales y la cuantificación de los mismos. Es importante en toda
organización contar con una herramienta, que garantice la correcta evaluación de los
riesgos, a los cuales están sometidos los procesos y actividades que participan en un
proyecto informático y por medio de una buena gestión se pueda evaluar el desempeño,
desarrollo y ejecución del mismo. Viendo la necesidad en el entorno empresarial de este
tipo de herramientas y teniendo en cuenta que una de las principales causas de los
problemas dentro del entorno informático, es la inadecuada administración de riesgos, este
trabajo sirve de apoyo para una adecuada gestión de la administración de riesgos.

ANÁLISIS DE LA PROBABILIDAD O (FRECUENCIA):

NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS

Para evaluar esta etapa se describen los problemas con más impacto y probabilidad de
ocurrencia que se les presentan a las empresas desarrolladoras se describen los procesos
y amenazas existentes en los cuales permiten obtener información para los efectos de la
toma de decisiones, estos niveles de riesgo son:
ALTO (cuando el riesgo hace altamente vulnerable a la entidad o unidad). O (Impacto y
probabilidad alta vs controles).

MEDIO (cuando el riesgo presenta una vulnerabilidad media). (Impacto alto – probabilidad
baja o Impacto bajo - probabilidad alta vs controles).

BAJO (cuando el riesgo presenta vulnerabilidad baja), (Impacto y probabilidad baja vs

controles).

VALOR PROBABILIDAD O (FRECUENCIA):

 IMPROBABLE: Cuando el riesgo evaluado no ha sucedido hasta ahora y es muy

difícil que ocurra.
 REMOTO: Cuando el riesgo evaluado ha sucedido sólo en forma excepcional y se
tiene una posibilidad de ocurrencia muy baja.
 OCASIONAL: Cuando el riesgo evaluado ha sucedido pocas veces y tiene baja
posibilidad de ocurrencia.
 MODERADO: Si el riesgo sucede en forma esporádica y tiene limitada posibilidad
de ocurrencia.
 FRECUENTE: Si el riesgo sucede algunas veces y tiene una significativa
posibilidad de ocurrencia.
 CONSTANTE: Si el riesgo sucede algunas veces y tiene una significativa
posibilidad de ocurrencia.

VALOR DE LA SEVERIDAD /GRAVEDAD:

Se refiere a la magnitud en términos relativos de las consecuencias que pueden

generarse al ocurrir la amenaza evaluada. La tabla de gravedad, debe construirse en
forma estándar para las empresas.

 INSIGNIFICANTE: Cuando las consecuencias (impacto) pueden ser

consideradas como despreciables porque que no afectan el funcionamiento del
proyecto.

 MARGINAL: Cuando las consecuencias (impacto) se consideran tolerables

(moderadas) porque afectan en forma leve al proyecto.

 GRAVE: Cuando las consecuencias (impacto) afectan parcialmente el

funcionamiento del proyecto, pero no ponen en peligro su ejecución.

 CRÍTICO: Se valora la consecuencia (impacto) en términos considerables

porque dichas consecuencias afectan parcialmente al proyecto desplazando su
ejecución. DESASTROSO: Las consecuencias afectan totalmente al proyecto,
 desplazando su ejecución y aumentando los costos del mismo de lo inicialmente
presupuestado.
 CATASTRÓFICO: Cuando las consecuencias se consideran de gran magnitud
porque afectan en forma total el proyecto pudiendo poner en riesgo la estabilidad
del mismo e inclusive impidiendo su terminación.

Las anteriores son criterios que se pueden adoptar para realizar una evaluación del riesgo
en la organización en los diferentes procesos.

COMPONENTES DEL RIESGO

De acuerdo al principio de causalidad, todo efecto siempre tiene una causa. El principio de
uniformidad agrega que, en idénticas circunstancias, una causa siempre produce la misma
consecuencia o efecto.

La causa se refiere a las características, fenómenos, circunstancias, situaciones que están

presentes o se pueden presentar en un negocio, entorno, proceso, proyecto, sistema y que
tienen la capacidad de generar el riesgo. Se trata de determinar cuáles son esos
disparadores (situaciones o eventos que hacen que la amenaza/oportunidad se materialice.

Un evento es un hecho o acontecimiento, una interrupción o alteración histórica, social o

política del curso normal de los sucesos, y que por sus efectos contemporáneos o influencia
en hechos futuros, exige ser recordado.

Una eventualidad es algo que escapa los límites de lo planificado; un evento como los
mencionados anteriormente, en cambio, debe ser programado con antelación.

Podemos decir que la consecuencia o efecto deriva de la causa, siendo esto una
consecuencia del evento.

Se deben estimar las posibles consecuencias o efectos de los escenarios producidos por
las hipótesis de los eventos. Los resultados de esta estimación deberán servir de base para
el análisis del ambiente vulnerable en las instalaciones estudiadas. Normalmente, esos
análisis se realizan considerando los daños a las personas expuestas a esos impactos.
Clasificar los diferentes tipos de riesgos pueden ayudas a una organización a entender y
manejar sus riesgos, por esto las categorías deben estar alineadas con los objetivos de la
organización y las metas de gestión de riesgos.

La clasificación de riesgos puede ayudar a evaluar los riesgos porque muchos en la misma
clasificación pueden tener atributos similares y también pueden ayudar con la gestión de
riesgos, porque muchos riesgos en la misma clasificación se pueden manejar técnicas
similares.

Finalmente es importante tener en cuenta que al igual que las múltiples definiciones que
existen de Riesgo, su tipología también lo es. A continuación encontraremos las
clasificaciones por tipo de riesgo:

PURO Y ESPECULATIVO

Un Riesgo Puro son aquellos que únicamente ofrecen una probabilidad de pérdida,
entendidas como resultados no deseables. La mayor parte de estos riesgos, pero no todos,
son asegurables.

En contraste, el Riesgo Especulativo involucra una probabilidad de ganar y por esto puede
ser deseable.

Los seguros funcionan principalmente alrededor de los riesgos de pérdidas y no de riesgos

de ganancias, es decir, trabajan con riesgos puros más que con riesgos especulativos.
Sin embargo, la distinción de estos dos tipos de clasificación de riesgos no es siempre
precisa, ya que muchos riesgos pueden tener aspectos tanto puros como especulativos a
la misma vez. Pero se debe dar la mayor importancia a distinguir estas dos clases de
riesgos, ya que, ambos se manejan de manera diferente.

OPERACIONAL, LEGAL, REPUTACIONAL, ESTRATÉGICO, FINANCIERO:

RIESGO OPERACIONAL:

El riesgo operacional es el riesgo de sufrir pérdidas debido a la inadecuación o fallas en los

procesos, personal y sistemas internos o bien por eventos externos. Lo que NO incluye a
los riesgos reputacionales, estratégicos y sistémicos.

Uno de los mayores avances que se consiguió al consensuar una definición para el riesgo
operacional es que a partir de ella se pudo establecer una clasificación y determinación de
los principales factores y eventos de pérdida. Dicha clasificación se compone de la siguiente
manera:

 Fraude interno
 Fraude externo
 Relaciones laborales y de seguridad en el trabajo (abarca los sistemas de gestión
en seguridad y salud en el trabajo – SST)
 Incidencias en el negocio y fallos en los sistemas (incluye los sistemas integrados
de gestión y las diferentes certificaciones de la organización)
 Daños a activos materiales.
  Clientes, producto y prácticas empresariales.
 Ejecución, entrega y gestión de procesos.

RIESGO LEGAL:

El Riesgo Legal es el riesgo por contratos impracticables (total o parcialmente), juicios,

sentencia adversas o procedimientos legales que interrumpan o afecten adversamente a
las operaciones o condiciones dermales de la organización

El riesgo legal incluye la posibilidad de ser sancionado, multado u obligado a sanciones

penales como resultado de acciones del supervisor o acuerdo privado de las partes.
Entre otras causas el riesgo puede tener como fuente el incumplimiento de un cliente a una

RIESGO REPUTACIONAL

Este riesgo puede ser considerado una consecuencia de riesgo operacional pero no una
causa del mismo, lo que explicaría su expulsión de la definición de riesgo operacional por
parte de COSO.

El riesgo reputacional se refiere a la posibilidad de una opinión pública negativa respecto a

prácticas institucionales, sea cierta o falsa, que deriva en una disminución de la base de
clientes, litigios onerosos y/o una caída en ingresos.

Riesgo reputacional puede producir falta de liquidez y caídas en la cotización de la

organización.

RIESGO ESTRATÉGICO:

También conocido como riesgo de negocio.

El Riesgo Estratégico incorpora el riesgo por una inadecuada estrategia de negocio o desde
cambios adversos en los supuestos, parámetros, metas o en otros aspectos que apoyan
una estrategia, Este es, por lo tanto, una función de las metas estratégicas, del desarrollo
de la estrategia de negocio para alcanzar las metas, de los recursos desplegados en la
persecución de esas metas y de la calidad de la implementación de esos recursos.

RIESGO FINANCIERO

El Riesgo financiero es la probabilidad de un evento adverso y sus consecuencias. El riesgo

financiero se refiere a la probabilidad de ocurrencia de un evento que tenga consecuencias
financieras negativas para una organización.
El concepto debe entenderse en sentido amplio, incluyendo la posibilidad de que los
resultados financieros sean mayores o menores de los esperados. De hecho, habida la
posibilidad de que los inversores realicen apuestas financieras en contra del mercado,
movimientos de éstos en una u otra dirección pueden generar tanto ganancias o pérdidas
en función de la estrategia de inversión.

Tipos de Riesgo Financiero:

 Riesgo de mercado, asociado a las fluctuaciones de los mercados financieros, y en

el que se distinguen:

 Riesgo de cambio, consecuencia de la volatilidad del mercado de divisas.

 Riesgo de tipo de interés, consecuencia de la volatilidad de los tipos de interés.

 Riesgo de mercado (en acepción restringida), que se refiere específicamente a la

volatilidad de los mercados de instrumentos financieros tales como acciones, deuda,
derivados.

 Riesgo de crédito, consecuencia de la posibilidad de que una de las partes de un

contrato financiero no asuma sus obligaciones.

 Riesgo de liquidez o de financiación, y que se refiere al hecho de que una de las

partes de un contrato financiero no pueda obtener la liquidez necesaria para asumir
sus obligaciones a pesar de disponer de los activos —que no puede vender con la
suficiente rapidez y al precio adecuado— y la voluntad de hacerlo.

 Riesgo operativo, que es entendido como la posibilidad de ocurrencia de pérdidas

financieras, originadas por fallas o insuficiencias de procesos, personas, sistemas
internos, tecnología, y en la presencia de eventos externos imprevistos.

RIESGO DEL ENTORNO INTERNO Y EXTERNO

a. Riesgos Internos:

Riesgos operacionales:
Posibilidad de pérdidas ocasionadas en la ejecución de los procesos y funciones
de la empresa.
 Fallas humanas.
Fallas de procedimientos.
 Pérdida de reputación.
 Asignación de recursos.
 Estilo de dirección.
Ineficiencias.
No adaptarse a los cambios.
Fallas en sistemas

Riesgos estratégicos:

Pérdidas ocasionadas por definiciones estratégicas inadecuadas y errores de diseño en

planes, programas, estructura, integración del modelo de operación con el direccionamiento
estratégico:

 No tener clara la estrategia.

 Teniendo clara la estrategia no tener claros los mecanismos para lograrla.
 No destinar los recursos necesarios
 No definir un público o negocio objetivo.
 No definir bien competencia y sustitutos.
 No tener objetivos interiorizados.
 No compartir información con los empleados.
 No hacer partícipes a los empleados.
 No capacitar para el cambio.
 No tomar decisiones adecuadas u oportunas de inversión.
 Estilo de dirección

b. Riesgos Externos:

Riesgos asociados a la naturaleza:

Riesgos que la organización le puede generar a la naturaleza por el inadecuado manejo de

los recursos:

 Efecto invernadero.
 Disminución de la capa de ozono.
  Contaminación acumulativa del aire, agua, suelos.
 La generación de residuos de alta peligrosidad.
 Desertización.
 Pérdida de suelos.
 Pérdida de biodiversidad

Riesgos que la naturaleza le puede generar a la organización:

 Climáticos: huracanes, vientos fuertes, lluvias, inundaciones,

maremotos, sequías, olas de frio o calor.
 Geológicos: terremotos, movimientos sísmicos, erupción
volcánica, deslizamientos de tierras.

 Biológicos: Plagas, bacterias, virus, mutaciones

naturales, epidemias transmitidas al ser
humano.

Riesgos asociados a un país:

Grado de peligro que el país y su macroeconomía o entorno representa para las

inversiones locales y extranjeras:

 Déficit fiscal
 Burbujas económicas
 Situación política:
 Crecimiento de la economía.

Cuanto mayor es el riesgo país menos proyectos de inversión pueden obtener una
rentabilidad acorde con los fondos colocados:
  Disminución de inversiones extranjeras.
 Menor crecimiento económico.
Desempleo.
Bajos salarios.

Riesgos asociados al sector económico y la industria

Riesgo sistemático: riesgo al cual se encuentra la empresa expuesta por competir

o desarrollarse en un sector específico:

 Espionaje industrial.
 Tráfico de información confidencial o reservada.
 Competencia desleal.
 Transacciones ilegales.
 Corrupción.
 Operaciones ilícitas.
 Daños por productos.
 Accidentes y enfermedades profesionales.
 Accidentes industriales graves.
 Reclamaciones por contaminación, productos, ejecución de
contratos.
 OBJETIVOS DE LA ADMINISTRACIÓN DE RIESGOS

Es muy importante para un gestor profesional del riesgo entender el valor de la

gestión integral del riesgo (ERM), ya que el apoyo y el compromiso de los
ejecutivos de la alta gerencia, los gestores de riesgo deben ser capaces de
comunicar como la ERM agrega valor a las organizaciones.

Los gestores de riesgo deben tomar liderazgo para abordar por la Gestión Integral
del Riesgo (ERM) en sus organizaciones y desarrollara sus programas con
madurez; además los administradores del riesgos deben prepararse para
responder preguntas a la alta gerencia cuando estén presentando en programa
de Gestión Integral del Riesgo.

BENEFICIOS DE LA GESTIÓN INTEGRAL DEL RIESGO

  Mejorar el proceso de toma de decisiones y planificación: Una de las
funciones más importantes de la Gestión integral del Riesgo en la Planeación
Es alinear el apetito de riesgo de la organización, con los riesgos inherentes
una decisión o una dirección importante.
 Minimizar amenazas que afecten el logro de los objetivos de la organización.
 Ofrece una visión integrada del negocio y sus amenazas y oportunidades
 Apoya a los empleados a mejorar la base de conocimientos de la
organización
 Protege y mejora los activos y la imagen de la organización.
 Permite realizar una asignación más eficiente de los recursos financieros y
operativos.
Desarrolla una estructura que permite que las actividades futuras se
desarrollen en forma controlada.
 Anticipar y reconocer los riesgos emergentes: Un programa de
Administración del Riesgo sólido debe considerar que no existen y no se
reconocen actualmente, pero pueden surgir debido al cambio del medio
ambiente.
 Identificar y manejar riesgos transversales en la organización.

MOTIVADORES DE LA GESTIÓN INTEGRAL DEL RIESGO

Existen motivadores internos y externos que influencian la decisión de la

organización para establecer un programa de Gestión Integral del Riesgo.

Los motivadores Internos incluyen el deseo por una aproximación comprensiva

a la gestión de riesgos que afectan la organización, así como también el
reconocimiento del valor que agrega la Gestión Integral del Riesgo. El más
grande se usa cuando para tomar decisiones con un propósito doble: Proteger
los activos de la organización y promover el crecimiento futuro.

Los motivadores externos no debieran ser los más importante, son

inevitablemente más significativos para las organizaciones:

 Legislación
Requerimientos legislatorios
 Estándares de Gestión de Riesgos
Inversionistas
Calificadoras de riesgo
Responsabilidad social
Eventos catastroficos.

¿QUIÉNES DEBEN ESTAR INVOLUCRADOS EN LA

GESTIÓN DE RIESGOS?

 La Alta Dirección de la empresa

 Los inversionistas de la organización
 El Director de la Organización
Los jefes de procesos.
El Equipo de Riesgos
Todos los Interesados

GERENCIA Y LIDERAZGO DE LA GESTIÓN DE RIESGOS

Para ser efectiva la Gestión Integral del Riesgo debe estra alineada Con las
funciones claves de la organización. Un exitoso programa de ERM desde arriba
está incluido en el gobierno corporativo, que es la función en la cual la junta
directiva y la alta gerencia definen las políticas y los alineamientos de gestión y
deben realizar una revisión continua de la gestión de riesgos.

Para medir el éxito de la incorporación de la Gestión de Riesgos en los objetivos

estratégicos, las organizaciones deben diseñar medida de desempeño
adecuado. La alta gerencia deberá ser responsable ante sus juntas directivas
por la gestión por la gestión del riesgo, tanto en el gobierno corporativo como
en la planeación estratégica. La cabeza de la junta directiva y las unidades de
negocio deberán ser responsables por la gestión del riesgo operacional.
Algunas organizaciones tienen en sus juntas directivas comités de riesgos que
proveen una vigilancia sobre la gestión de riesgos.

ESTRUCTURA DE UN SISTEMA DE GESTIÓN DE RIESGOS







 


DEFINICIÓN DE LA POLITICA PARA LA GESTIÓN DE RIESGOS

Incluir la Gestión Integral del Riesgo dentro del proceso operativo de una
organización es clave para el éxito del programa. Un programa es exitoso si
comienza desde arriba haciendo Gestión de Riesgos una prioridad y
comunicando este propósito a través de la organización; pero es ejecutado
principalmente por los empleados que desarrollen acciones de negocio diarias.
Algunas organizaciones usan medidas de desempeño para premiar o castigar
a los empleados, de tal manera que se mejore la gestión del riesgo. Es más
efectivo incluir la Gestión del Riesgo en todos los procesos de la organización
y hacer responsables a los gerentes, lo que representa una revisión permanente
y una mejora de operaciones.
 
El cumplimiento normativo con requerimientos la gobierno local, regional y
nacional, es un aspecto de la Gestión Integral del riesgo. Todas las organizaciones
deben ser conscientes de los diferentes estándares que se relacionan con sus
operaciones y sus requerimientos y, aseguran el cumplimiento de estos, sin
embargo, el cumplimiento normativo es sólo un aspecto de un programa de gestión
Integral del Riesgo exitoso.