Unidad 1 / Escenario 2

Lectura Fundamental

La administración de riesgos

Contenido

1 La administración de riesgos

Palabras clave: Administración de Riesgos, COSO, FERMA, ISO 31000, ERM, Póliza de Seguros
1. La Administración de Riesgos
Hemos visto que el riesgo existe, que está presente en todas las actividades que desarrollamos día
tras día, en nuestra vida diaria, en donde trabajamos o en nuestras empresas, ahora, ¿qué hacemos
con ellos?

1.1. Introducción a la Administración de los Riesgos

Empecemos por el principio, tratemos de definir y aplicar lo que es la Administración: la

Administración es el resultado, luego de ejercer autoridad, de disponer y organizar bienes, usada para
distribuir algo.

El término administración, su concepto y terminología, a pesar de haber sido ideado para explicar el
funcionamiento de las empresas, en este caso le pedimos lo aplique primero a un grupo de personas
un poco más conocido: la familia, porque ella comprende todo lo que representa la empresa: cuenta
con una organización, generalmente con funciones muy bien definidas, que hace planificación, o lo
intenta, gestiona recursos, establece controles, etc.

La organización familiar arranca en los gerentes: padre y madre, con niños que se benefician de
la actividad empresarial y accionistas, cuando viven con los abuelos. Las funciones, sin entrar en
la discusión de quién manda en la casa, ya sea el papá o la mamá, uno de ellos tomará la última
decisión con respecto a los gastos: ¿qué se compra?, ¿qué no?, ¿en qué se invierte? y en ¿qué no?, y
así sucesivamente.

Algunos padres se preparan para el futuro y planean; la casa, el carro, estudios propios y de sus hijos,
viajes, lugar de recreo, y poco a poco trabajan para conseguir los recursos financieros necesarios para
obtenerlos; si en el proceso algo pasa, dispone de esos recursos para solucionar los inconvenientes y
continua, y así de por vida. Mejor es aún aquellos padres que disponen de sus ahorros para ejecutar
ideas de negocio y así recibir ingresos adicionales.

Que el padre, o madre, tenga correctamente destinados los recursos con los que dispone la familia,
le permitirá administrar mejor sus procesos, aprovechará todos y cada uno de ellos para alcanzar los
objetivos que como familia se haya propuesto.

Así mismo, el Gerente General de organizaciones más grandes busca aprovechar al máximo sus
recursos, bienes, activos, para alcanzar las metas propuestas por la Alta Dirección y mantenerse
generando beneficios; llámense beneficios, entre otros, a los sueldos de los trabajadores, al pago de
gastos fijos, variables y las utilidades de los accionistas.

POLITÉCNICO GRANCOLOMBIANO 2
El desconocimiento de estos recursos, de cómo se entrelazan para alcanzar objetivos misionales,
dificultará el reconocimiento de los riesgos que puedan afectarlos.

Y es que una de las críticas que en ocasiones podemos hacer al entorno interno de las organizaciones
es la falta de sinergia entre sus departamentos, como si cada uno fuera por su lado a cumplir sus
propios objetivos, sin tener en cuenta a los demás.

Por ejemplo, el departamento de ventas de la empresa, ideando vender más y cumplir sus metas, hace
promesas al cliente que el departamento de producción no puede cumplir, por falta de capacidad
instalada; o el departamento de seguridad hace promesas en la reducción de hechos delictivos, sin
contar con que el departamento de recursos físicos no cuenta con el material necesario para lograrlo,
y tampoco con el presupuesto para conseguirlo.

La falta de comunicación entre áreas, en este caso entre mercadeo y producción, puede causar el
riesgo de incumplimiento de contratos y pérdida de clientes, porque producción no puede entregar
todos los productos ofertados, lo que redunda en demandas de los clientes y/o su pérdida, lo que le
obliga, en primer caso, a pagar indemnizaciones y, en el segundo, a disminuir ventas, ingresos totales
esperados, afectando como resultado la utilidad.

Lo anterior se presenta por falta de un análisis y evaluación estructural, de la funcionalidad de la

empresa, de lo que representa cada área y su interacción para el cumplimiento de los objetivos
estratégicos, una revisión desde donde comienzan los procesos de apoyo hasta la entrega de los
servicios o productos a los clientes, desde cuáles son sus necesidades hasta el uso adecuado de los
recursos que posee.

Este análisis será el que denominaremos Administración de Riesgos y, para abordar sus metodologías,
presentaremos a continuación circunstancias que pensamos pueden ayudarle a ambientarse un poco
más en el proceso.

Empecemos evaluando la importancia de reconocer el tipo de empresa que va a administrar: si es de

servicios, comercial o industrial. Siguiendo con el ejemplo de los fabricantes de zapatos, usted por
ejemplo puede estar frente a uno que los comercialice, quien cuenta con un local comercial, ojalá bien
ubicado (geo-estratégicamente hablando), con bodega para almacenar la mercancía, por donde los
posibles clientes pasan, entran, se prueben los zapatos, piden más modelos para elegir y, si les gustan,
los compran.

¿Qué tipo de empresa se imagina? Piénselo… Si creyó que es de tipo comercial, con su propia área de
servicios, déjenos decirle que: está en lo correcto. Si no lo pensó así, siga practicando.

POLITÉCNICO GRANCOLOMBIANO 3
Ahora, el mismo día tiene una entrevista con otro comerciante de zapatos, uno que ya no necesita
una bodega, porque usa la de sus proveedores para guardar los productos, posee oficina en vez de
local; desde su computador, gracias a la internet, sube fotos de los artículos a vender y mediante
textos explicativos, con tallas y colores, atiende todos los pedidos, quejas y reclamos de sus clientes.

¿Qué tipo de empresa imagina es?, ¿Pensó en una industrial porque mencioné productos? Piénselo…
dijo sí, entonces esta vez no estuvo en lo correcto. Para este caso, los productos del comerciante
corresponden a las existencias, a la mercancía, pero que no le pertenecen, solo hace uso de
ellas cuando uno de sus clientes la compra mediante su página web, comportándose como un
intermediario, como una empresa de tipo servicios.

Los dos negocios presentados le invitan a imaginar riesgos distintos, pues ya no se trata solo del
cuidado del local, de la mercancía, de los trabajadores o de los clientes, sino también del cuidado de la
información, de la imagen y la reputación, el uso adecuado de las redes sociales virtuales, pues de ellos
dependerá la continuidad del negocio.

Piense usted ahora en los riesgos de una industria, dedicada a la fabricación de algún producto en
particular, que además los comercializa directamente y/o por medio de intermediarios, que además
tiene locales comerciales en distintos puntos de la ciudad y del país, ¿Qué riesgos imagina?

Use la metodología que considere más acertada para reconocer los riesgos, para luego decidir cuál o
cuáles de ellos podrían generar mayor afectación en la empresa, para decidir si debe o no mitigarlos
con la ayuda de la dirección ejecutiva.

Y es que el hecho de que usted, como futuro Especialista en Gerencia de Riesgos, intuya una
afectación en el proceso misional de la empresa, le obliga a pensar en alternativas de mitigación, en
procedimientos alternos que den continuidad al negocio cuando estas circunstancias sean reales y
se materialicen.

Por ejemplo, cuando llegue a las instalaciones del comerciante de zapatos va a encontrar en
sus cercanías un escenario deportivo; ahora, la situación que usted puede imaginar es el posible
enfrentamiento entre las barras de los equipos, que se encuentren disputando un juego dentro del
escenario, que redunden en disturbios de orden público.

Estos disturbios pueden generar al comerciante daños en el edificio, sus vehículos y sus clientes,
habrá cierre de vías principales, justo por donde llegan los clientes a las instalaciones de la empresa,
se hará necesaria la intervención de la fuerza pública, para aminorar los desmanes, y estos nuevos
enfrentamientos generan a su vez más daños.

POLITÉCNICO GRANCOLOMBIANO 4
En este panorama, ¿qué le recomendaría a su cliente que hiciera?, ¿cómo continuar atendiendo a los
clientes?, ¿le recomendaría cerrar? y si le recomienda cerrar, ¿cómo lo consuela? porque perdió todas
las ventas posibles de ese día, justo en la fecha en que la mayoría de sus clientes reciben su mesada,
su quincena, su sueldo, cuando se supone que cuentan con los recursos para adquirir ese producto o
servicio que comercializa.

El resultado del proceso de administración de riesgos debería ayudarle al comerciante a encontrar

alternativas que le permitan a su empresa seguir funcionando, seguir vendiendo, incluso y por qué
no, ganando más, vendiendo más en los días en que se realizan eventos en el escenario deportivo.
A la ligera podría decir: cambie de lugar su local o venda usando internet, sin tener en cuenta las
condiciones sociales del comerciante; y aun conociéndolas podría afirmar ¿quién lo mandó a tener un
local allí?, o ¡que aguante, eso no es de todos los días!

No es lo mismo el escenario anterior a que el local se encuentre cerca de una cárcel, de un teatro,
de una universidad o en zona despoblada. En cada análisis, y según el riesgo que crea se pueda
presentar, el nivel de exposición varía, por lo que las recomendaciones que haga no deben ser
generales o estandarizadas.

Ahora imagine que las instalaciones están en zona costera, sus conclusiones serán también muy
distintas, a las de un local en zona montañosa o a la rivera de un rio.

No vaya a pensar que estas situaciones son sacadas de la imaginación de quien escribe estas líneas,
pues puede repasar innumerables clientes dueños de empresas que tienen sus negocios en distintos
lugares: en ciudades costeras, montañosas, cerca de ríos, lagos o humedales, además de compartir,
tal vez, espacio con instituciones financieras, bases militares, competidores, lo que le obligue a
hacer análisis particulares por cada inmueble encontrado y, así mismo, pensar en tratamientos
distintos para mitigarlos.

Y sin irse tan lejos, puede ser una empresa ubicada dentro de un predio de cientos de metros
cuadrados, con sedes en distintos puntos equidistantes, rodeados por distintas circunstancias que
hacen que no sea posible generalizar el comportamiento de todos los riesgos que comparte cada una
de las instalaciones.

Pensará en riesgos que actúan de manera similar, considerando si existe una misma área de influencia,
y otros que deberán analizarse de manera independiente, por cada inmueble.

POLITÉCNICO GRANCOLOMBIANO 5
Figura 1. Bienes en zonas costeras
Fuente: Mihtiander (s.f.)

Imagine una zona franca con un edificio para el departamento administrativo, otro para el área
de fabricación, otro para el de seguridad, y así para cada departamento indispensable para el
funcionamiento de la empresa, separados por vías y caminos que permiten su comunicación, a
pie o sobre vehículo. ¿Puede que todos los riesgos, al materializarse, tengan el mismo impacto
sobre la organización?

Tal vez sí, si piensa en el terremoto, pero otros que no, como un incendio que solo afectaría el edifico
que lo contenga. Tenga en cuenta que estos riesgos, los que afectan los procesos y recursos de las
empresas, no son los únicos que requieren de administración, o entonces, ¿qué pasa en las empresas
donde los impactos de los riesgos son difícilmente tasables?, ¿qué pasa si encuentra una empresa
donde los riesgos asegurables son tan solo el 20% de todos los riesgos que pueden afectar su objetivo
misional?, ¿le continuaría prestando el servicio de Administración de Riesgos asegurables?

Analice los siguientes ejemplos, el primero, de una empresa comercializadora de bebidas que sufre de
una publicidad negativa por un usuario inconforme, quien presenta un error en el proceso, afirmando
que el producto comercializado está contaminado, mostrando pruebas del descubrimiento en sus
redes sociales y, al ser una empresa reconocida, esta falsa información se mueve a gran velocidad y sin
control por distintas redes sociales.

POLITÉCNICO GRANCOLOMBIANO 6
Al día siguiente, más de medio millón de consumidores han creído en la información compartida,
por conocidos y extraños, miles de ellos han decidido no volver a consumir el producto, sus hijos han
decidido sacar la bebida que les encantaba de sus meriendas, haciendo perder a esta empresa mucho
dinero en tan solo unas horas de salida la falsa noticia.

¿Cuánto?, ¿cuánto está perdiendo y cuánto seguirá perdiendo a futuro?, ¿puede calcularlo fácilmente?
y ¿cuánto tendrá que invertir esta empresa para recuperar su imagen y su reputación? Destinar
recursos para salvar su negocio y el mantenimiento de sus clientes, junto con los procesos que tendrá
que correr para demostrar que todo fue un montaje.

Un segundo ejemplo, relacionado con malas decisiones, es aquel en el que una empresa de
comestibles decide sacar al mercado un producto verdaderamente contaminado, y entonces las
entidades del estado, dentro de sus controles periódicos, descubren que lotes y lotes de producto se
encuentran en un estado negativo para la salud de los consumidores, cuando los productos ya están
en su poder, incluso ya sirvieron de alimento a miles de familias.

El pago de multas, indemnizaciones, mantenimiento de clientes o su recuperación, pérdida de

credibilidad, pérdida de empleos, calificaciones negativas ante entes internacionales, que le
impedirían a la empresa seguir con el comercio de estos productos en otros mercados, son pérdidas
incalculables, en dinero, imagen y tiempo.

Estos ejemplos, al igual que el de la petrolera de la lectura “El riesgo y la empresa", son casos que
puede encontrar y que no corresponden a los riesgos que conoce como asegurables, simplemente
por la dificultad que tienen para determinar su comportamiento y su impacto, por lo que lo que
aprenderán podrá serle útil para desarrollar sus habilidades como administrador de riesgos.

1.2. Definición práctica de administración de riesgos

Para mejorar, y luego de conocer lo que es el Riesgo, sus características, clasificarlos según ciertas
tipologías comunes, reconocer a quiénes afectan dentro de una empresa u organización y leer
sobre algunos ejemplos, se presentará a continuación la definición de lo que es la Administración
de Riesgos, ¿cuáles pueden ser algunos de sus objetivos?, y le compartiremos, a grandes rasgos,
metodologías empleadas en el mundo.

De la combinación de los términos Administración y Riesgos obtenemos la propuesta que hacemos

para definición de Administración de Riesgos, usada en el presente módulo: método o procedimiento
empleado para determinar el tratamiento de los riesgos identificados, que al evaluarlos se detecte
puedan afectar los bienes o el normal desarrollo de procesos, proyectos o actividades de las personas.

POLITÉCNICO GRANCOLOMBIANO 7
La Administración de Riesgos permite, además, aprovechar oportunidades y anticiparse a problemas
que pueden presentarse, mejorando tiempos de respuesta ante situaciones de riesgo.

Si en algún momento le preguntaran ¿Por qué es importante la Administración de Riesgos?, por favor
tenga en cuenta las siguientes recomendaciones, para que pueda responder adecuadamente:

»» Asegura la supervivencia de la empresa, garantizando la continuidad de su operación,

permitiéndole continuar prestando servicios o comercializando productos aún después de
materializados los riesgos.

»» Permite evitar pérdidas financieras que puedan llevar a las personas a la quiebra, afectar su
imagen o su participación en el mercado.

»» Ayuda a mejorar las condiciones de trabajo de los empleados, mediante el análisis y la evaluación
de riesgos que les afectan, como accidentes, lesiones, daños graves o la muerte, producto del
desarrollo normal de sus funciones.

»» Busca que las operaciones de la empresa causen el menor daño posible a quienes la rodean,
estableciendo métodos de control, por ejemplo, de emisión de contaminantes al ambiente, que
puedan afectar la salud y el bienestar humano, de la flora y la fauna.

»» Ayuda a la formulación de herramientas para que las operaciones se encuentren siempre bien
documentadas, controladas y bajo la vigilancia requerida.

»» Busca minimizar el impacto que causará, al entorno, el cierre definitivo de la empresa.

»» Beneficia las buenas relaciones con los diferentes públicos o grupos de interés, generando
confianza y credibilidad.

1.3. Metodologías para la administración de riesgos

Un proceso de Administración de Riesgos consiste básicamente en la Identificación del Riesgo,

su Análisis y Evaluación, su Calificación y Tratamiento. A continuación, se presentarán algunas
metodologías ampliamente aceptadas y utilizadas, que aplican prácticamente estos mismos conceptos.

1.3.1. COSO

El COSO (Committee of Sponsoring Organizations of the Treadway Commission) es una

organización fundada en 1985, compuesta por varias organizaciones de Contadores Públicos,
Auditores y Seguridad, de Norte América y Australia, que busca desarrollar marcos generales para la
gestión de Riesgos, Control Interno y disuasión del Fraude en las organizaciones.

POLITÉCNICO GRANCOLOMBIANO 8
El Control Interno de una organización intenta que las actividades, procesos y acciones, así como
el flujo de información para la toma de decisiones y la administración de los recursos, estén
encaminados al cumplimiento de las metas y objetivos propuestos, de manera dinámica e integral.

Desde el año 1992, COSO I se encaminaba principalmente a llevar a la empresa al logro de sus
objetivos mediante el mejoramiento de la Estructura de Control Interno de la organización.

Luego surge COSO II, debido a las irregularidades detectadas en el año 2004, y que significaron
pérdidas económicas para muchas personas, introduciendo el concepto de Enterprise Risk
Management (ERM), incorporando y complementando el proceso de control interno hacia la
identificación, evaluación y gestión de riesgos.

Desde el año 2013 se habla de COSO III, que incluye mejoras para facilitar el uso y la aplicación de
los conceptos de COSO I y COSO II en las organizaciones. Basa el ejercicio de control interno en
enfoques: el primero corresponde a los componentes del proceso de Administración de Riesgos,
el segundo a los objetivos organizacionales: hacia las operaciones, los reportes y cumplimiento, y el
tercero a la estructura de la organización.

La Figura 2 representa los diferentes enfoques de COSO para el manejo integrado de riesgos.

Figura 2. Enfoque COSO para la Administración de Riesgos

Fuente: elaboración propia

POLITÉCNICO GRANCOLOMBIANO 9
COSO III incluye diecisiete principios aplicables al Enfoque Componentes, cinco al Ambiente de
Control, cuatro a la Evaluación de los Riesgos, tres a las Actividades de Control, tres a la Información
y Comunicación y dos a las Actividades de Monitoreo, las cuales invitamos al estudiante a recorrer en
un estudio más profundo sobre esta metodología.

El proceso recomienda tener en cuenta un concepto determinante en cualquier empresa

denominado Apetito del Riesgo, relacionado con cuánto del riesgo detectado dentro de la
organización está dispuesto a asumir, un valor por el que responderá con su patrimonio en caso
de materializarse.

• Administración de Riesgos Empresariales (ERM)

Es una metodología de planeación estratégica promovida por COSO, para ser usada por la alta
dirección de cualquier organización, que le permitirá incrementar la capacidad para el tratamiento
integral de los riesgos, basado en la identificación, evaluación, calificación y reporte de situaciones que
puedan afectar o mejorar los objetivos estratégicos, los procesos, al personal o los sistemas internos.

La clasificación general de los riesgos, para la ERM (Enterprise Risk Management), se divide en
cuatro (4): el reputacional, el de mercado, el de crédito y el operacional, y se pretende que se
establezcan para ellos los debidos sistemas de detección, prevención y disminución.

Así mismo, según la ERM, dentro de esta gran clasificación existen ocho (8) riesgos
cuantificables (Figura 3):

Figura 3. Riesgos Cuantificables según la metodología ERM

Fuente: elaboración propia

POLITÉCNICO GRANCOLOMBIANO 10
El proceso de planificación estratégica propuesto por ERM se representa en la figura 4, y parte de la
Planeación, con el análisis de debilidades, oportunidades, fortalezas y amenazas, para establecer las
estrategias de planificación; continuando con la Ejecución e implementación, de los procedimientos
y el sistema de gestión de riesgos; el tercer paso es de Monitorización, donde se aplican controles y
seguimientos a lo propuesto; por último, la Adecuación, que constituye un proceso de reingeniería
para el ajuste y restablecimiento de todo el proceso.

Figura 4. Proceso de Planeación basada en ERM

Fuente: elaboración propia

Luego de aplicado el proceso de planificación estratégica, bajo los parámetros de la ERM, se

espera se tomen decisiones informadas sobre situaciones que se relacionen con el negocio, se
garantice la continuidad de las actividades, el buen uso de los recursos, las mejores prácticas
operacionales, calidad en el resultado, así como el fortalecimiento de una cultura en constante
actualización y mejora.

POLITÉCNICO GRANCOLOMBIANO 11
 1.3.2. FERMA

FERMA (Federation of European Risk Management Associations) corresponde al estándar

establecido en Europa para la Gestión de Riegos. Este estándar parte del tratamiento de los
riesgos vistos desde potenciales amenazas, con el fin de garantizar la obtención de beneficios y el
cumplimiento de los objetivos misionales de la organización.

El proceso de Gerencia de Riesgos según FERMA recomienda los siguientes pasos:

Figura 5. Proceso de Gerencia de Riesgos según FERMA

Fuente: elaboración propia

Introduce el concepto de Riesgo Residual, que es aquel que resulta luego de la aplicación de
tratamientos. Se menciona también en este estándar el “Apetito del Riesgo”, como aquella
proporción del riesgo que la organización puede o se encuentra en disposición de asumir en caso
de materializarse.

Desde el punto de vista de Pólizas de Seguros, el apetito del riesgo podría equivaler al deducible,
siempre y cuando este haya sido pactado luego de un estudio juicioso de Administración de Riesgos, y
no impuesto por la Compañía de Seguros.

La norma es extensa en explicar cada una de las etapas del proceso de administración y gestión de los
riesgos, por lo que los invitamos también a consultarla y profundizar un poco más sobre ella.

POLITÉCNICO GRANCOLOMBIANO 12
 1.3.3. ISO 31000

Es una norma de 2008, que pretende un estándar mundial en la materia, aplicable a cualquier tipo de
empresas, sin interferir con otras normas o formas de hacer gerencia. Fue adaptada por INCONTEC
bajo la norma NTC ISO 31000, para su aplicación en el contexto nacional colombiano.

Al igual que FERMA, tiene un proceso estándar para la Gestión del Riesgo:

Figura 6. Proceso de Gerencia de Riesgos según NTC ISO 31000

Fuente: elaboración propia

Para que el proceso de gestión de riesgos sea eficaz debe partir de un marco de referencia, y el
cumplimiento de principios que la norma NTC ISO 31000 establece.

POLITÉCNICO GRANCOLOMBIANO 13
Referencias bibliográficas
Colombia. (2015). Código de Comercio. Bogotá: Legis Editores S.A.

MAPFRE. (2016). Diccionario Mapfre de Seguros. Obtenido de Fundación Mapfre: https://www.

fundacionmapfre.org/wdiccionario/terminos/vertermino.shtml?r/riesgo.htm

Mejía D., H. (2011). Gestión Integral de Riesgos y Seguros. Bogotá D.C.: Ecoe Ediciones.

RAE. (2016). Real Academia Española. Obtenido de Diccionario de la Lengua Española: http://dle.rae.
es/?id=BrdY6Ro

RAE. (2016). Real Academía Española. Obtenido de Diccionario de la Lengua Española: http://dle.rae.
es/?id=WT8tAMI

Lista de figuras
Mihtiander (s.f.). Bienes en zonas costeras [Fotografía]. Recuperado de: https://www.gettyimages.com/
license/665578572

POLITÉCNICO GRANCOLOMBIANO 14
 INFORMACIÓN TÉCNICA

Módulo: Administración de riesgos

Unidad 1: La administración de riesgos
Escenario 2: La administración de riesgos

Autor: Hugo Armando Guzmán Useche

Asesor Pedagógico: Diana Marcela Díaz Salcedo

Diseñador Gráfico: Alejandro Torres
Asistente: Ginna Paola Quiroga Espinosa

Este material pertenece al Politécnico Grancolombiano. Por

ende, es de uso exclusivo de las Instituciones adscritas a la Red
Ilumno. Prohibida su reproducción total o parcial.

POLITÉCNICO GRANCOLOMBIANO 15