1er capítulo-identificación de riesgos

7/18/2019 1er Capítulo-identificación de Riesgos

http://slidepdf.com/reader/full/1er-capitulo-identificacion-de-riesgos 1/21

25

Capítulo 1Identificación de riesgos empresariales

Antecedentes

El interés por identificar los riesgos ha existido desde la antigüedad,fruto de la necesidad de prevenir eventos desfavorables para el bienestarde la humanidad. Acudir a oráculos para predecir los hechos, leer cartas

como el tarot o la llamada carta astral, pedir consejo a expertos, consultarinformación, estar atentos a las noticias locales e internacionales, mo ni-torear las acciones de la competencia y los gustos de los consumidoreshan sido, entre muchos otros, medios para identificar riesgos que alterenla realización de nuestros deseos y planes o afecten nuestra seguridad. Para identificar los riesgos personales no es necesario desarrollartécnicas sofisticadas; la observación es una de las mejores aliadas parabuscar la seguridad en la cotidianidad. Si se observa en las calles, bodegas,

edificios, laboratorios e instalaciones, se puede en general percibir unavariedad de señales que evidencian peligros y que permiten evitarlos ocontrolarlos; el instinto de conservación hace que estemos en constantealerta ante condiciones anormales que pueden atentar contra nuestrasupervivencia. La palabra riesgo, desde sus orígenes, se relaciona con peligro, conhechos adversos que pueden suceder y deben afrontarse:

Desde el punto de vista etimológico, el origen de la palabra riesgo se atribuye tanto al latín como al árabe. Se dice que llega al italianoa través de la palabra risico o rischio, y ésta del árabe clásico rizq (loque depara la providencia), o del latín resecu (riesgo en el mar, roca,risco) y risicare (desafiar, retar, enfrentar, atreverse o transitar porun sendero peligroso). El significado de riesgo se relacionaba conel peligro que en la antigüedad representaban los riscos marinospara las embarcaciones.1

1

Rubi Consuelo Mejía Quijano, El riesgo y la historia empresarial antioqueña. Tres casos de estudio, Medellín, Fondo Editorial Universidad EAFIT, 2011, p. 50.



26

Los riesgos han evolucionado y su estudio adquiere mayor relevan-cia en el ámbito de la práctica empresarial. Allí se evidencia aún másla necesidad de controlar las amenazas que pueden afectar el normal

funcionamiento de toda empresa y generar pérdidas, que van desde loeconómico hasta la afectación a las personas, pasando por el deterioro delmedio ambiente o de la imagen corporativa.

Según la norma ISO 31000, el riesgo es: “[…] el efecto de la incer-tidumbre sobre los objetivos”.2 En el campo empresarial el riesgo se aso-cia con la incertidumbre de un resultado, el cual puede ser negativo alocasionar pérdidas materiales o inmateriales, o positivo si se convierte enoportunidad de obtener ganancias.3

Sobre los conceptos incertidumbre y riesgo hay diferentes concep-tualizaciones; a continuación se presentan tres perspectivas que puedenaclarar la diferencia entre ellos:

Frank Knight uno de los autores más reconocidos en al ámbito dela economía por tratar en profundidad el tema del riesgo, en sulibro Risk, Uncertainty and Profit plantea el papel de la incertidumbreen la actividad empresarial y distingue los conceptos de riesgo eincertidumbre , caracterizando el primero como mesurable y el se-

gundo como incalculable. Es decir, cuando habla de riesgo, refierela aleatoriedad de los resultados con probabilidades conocidas; en elcaso de la incertidumbre, refiere la aleatoriedad con probabilidadesdesconocidas.4

El riesgo y la incertidumbre son conceptos relacionados; en algu-nos casos se utilizan los dos indistintamente. Algunos autores

2 International Organization for Standardization, ISO 31000 . Risk Management – Principles

and Guideline s, Suiza, ISO, 2009, p. 1. [Todas las traducciones de la norma son realizadaspor la autora].

3 Algunos autores, como Javier Mirabal, consideran que los posibles resultados de los riesgosdependen de si son riesgos puros o especulativos. Cuando se habla de riesgos especulativos existen tres posibles resultados: pérdida, ganancia o ni pérdida ni ganancia; cuando setrata de riesgos puros se pueden dar dos posibles resultados: pérdida o no pérdida. JavierMirabal T., “La Auditoría interna y la administración de riesgos”, Administración de riesgos

y seguros latinoamericana , Buenos Aires, año 1, núm. 1, abril de 2004, pp. 8-17.4

R. C. Mejía Quijano, El riesgo y la historia empresarial antioqueña. Tres casos de estudio, op. cit., p. 46



27

consideran el riesgo como cualquier situación en la que hay incer-tidumbre acerca del resultado que se obtendrá.

La incertidumbre se relaciona con la duda ante la posible ocurrencia

de algo que puede ocasionar pérdida, por lo cual algunos la con-sideran como una ilusión basada en el desconocimiento de loshechos o las condiciones que pueden generar pérdida; de ahí queIrvin Pteffer, al hablar del tema, diga que el riesgo es un estadodel mundo real y que la incertidumbre es un estado de la mente,porque es posible que exista el riesgo y no tengamos incertidumbresobre su ocurrencia, o por el contrario tengamos incertidum-

bre, pero el riesgo puede no existir.5

Es importante diferenciar entre riesgo e incertidumbre. La incer-tidumbre existe siempre que no se sabe con seguridad lo queocurrirá en el futuro. El riesgo es la incertidumbre que afectanegativamente el bienestar. Por ejemplo, hay incertidumbre deque mañana pueda llover, lo cual implica un riesgo para quien nolleve paraguas y una oportunidad para quien necesite rociar su jar-dín. Como se ve, oportunidad es la incertidumbre que mejora elbienestar de las personas, la cual cambia de una a otra de acuerdocon sus necesidades. Toda situación riesgosa es incierta, peropuede haber incertidumbre sin riesgo.6

Las empresas pueden afrontar riesgos provenientes de diferentesámbitos de su actuación, tanto del entorno como de sus operaciones;pero también se corren riesgos en la toma de decisiones: “[…] la esenciade ‘hacer negocios’ es, precisamente, correr riesgos, en otras palabras,el riesgo es una elección propia, más que una imposición o un obstáculoindeseable”.7

El avance en la identificación de riesgos con fines de control ha si-

do impulsado por varias razones, entre ellas, la creciente normatividadexpedida en diferentes campos, como los de la salud ocupacional y la

5 Rubi Consuelo Mejía Quijano, Administración del riesgo. Un enfoque empresarial, Medellín,Fondo Editorial Universidad EAFIT, 2006, p. 31.

6 Oscar Bravo Mendoza y Marleny Sánchez Celis, Gestión integral de riesgos, Bogotá, Bravo& Sánchez, 2009, p. 18.

7

Deloitte & Touche e IMEF, Administración integral de riesgos de negocios, México, InstitutoMexicano de Ejecutivos de Finanzas, 2003, p. XV .



28

pública, la seguridad industrial, las finanzas, etc. La conciencia creadahacia la responsabilidad del control de los riesgos que afectan a clientes,comunidades y medio ambiente, como el derrame de sustancias tóxicas

en ríos y mares, el deterioro ambiental, las explosiones de productos tó-xicos, la afectación de la salud por el uso de medicamentos o materialesdefectuosos en intervenciones quirúrgicas, las catástrofes naturales, elincremento y revelación de fraudes corporativos, el desacierto en deci-siones de administración de grandes capitales comunitarios en mercadosde valores, el aumento de costos para resarcir víctimas de riesgos pro-venientes de empresas o entidades públicas, el cuestionamiento ético

y de responsabilidad social sobre el manejo de riesgos y su impacto en

el futuro de la humanidad…, han puesto en alerta a administradores,legisladores, científicos y comunidad en general sobre la importancia deidentificar y administrar de forma efectiva los riesgos que pueden afectarla sociedad.

De otro lado, la globalización que ha generado la interdependenciaentre las naciones y las empresas, que ha permitido que la informaciónse difunda en tiempo real en todo el planeta, y el desdibujamiento de lasfronteras de tiempo y espacio, traen consigo un cambio drástico en la velo-cidad de la toma de decisiones, en la forma de responder a la diversidad

de costumbres y a las crecientes expectativas, necesidades y exigencias delmundo conectado. Cada vez se corren más riesgos, a la vez que se esperaque éstos sean controlados. Por tanto, identificar los riesgos que el entorno genera a las organi-zaciones y los que provienen de sus propios procesos constituye una fuentede información de vital importancia para la gestión y competitividadempresarial, y eso requiere de herramientas que complementen la obser-vación, la experiencia y la intuición.

En general los riesgos inherentes, y que por rutina se materializan enlas empresas o en otros sectores de la economía, pueden ser reconocidosfácilmente. El administrador no necesita técnicas especiales para iden-tificarlos; pero, ¿está preparada la empresa para identificar riesgos talescomo los psicosociales (depresión, ansiedad en el trabajo, tensión, insa-tisfacción laboral) o riesgos técnicos relacionados con los productos queelabora o servicios que ofrece, y que pueden generar a sus clientes o almedio ambiente impactos negativos?¿Está capacitada la organización paradeterminar las circunstancias externas e internas que pueden afectar elcumplimiento de los objetivos que se ha trazado? ¿Es suficientemente



29

flexible y tiene capacidad para adaptarse al entorno cambiante? ¿Puedeanalizar las causas de esos riesgos y sus consecuencias? La disciplina de la Administración de Riesgos surgió de la admi-

nistración de seguros. Inicialmente se dedicó al estudio de los ries-gos asegurables y con el tiempo amplió su cubrimiento a los demás riesgos:

El manejo del riesgo a través de un asegurador se inició con eltransporte marítimo; los banqueros, con el soporte de un contrato,financiaban a los dueños de los barcos viajes en los que se arriesgabatanto el barco como la carga. En caso de pérdida, el contrato esti-pulaba que el dueño del barco no tenía la obligación de pagarel valor financiado para el viaje. Este tipo de contratos, aunque

costosos, constituyeron el inicio del mercado de seguros. Éste seextendió posteriormente a otros campos, como el seguro de vida,al obtenerse cálculos más precisos de la esperanza de vida de laspersonas y los seguros patrimoniales. […]

Desde 1929, a nivel mundial se dio gran importancia al administradordel riesgo puro en los negocios, se crearon asociaciones de admi-nistradores de riesgos para intercambiar información entre losmiembros y publicar noticias o datos de interés para los compradorescorporativos de seguros. Posteriormente se fundaron Institutos de

investigación y Sociedades de Administración de Riesgos y Se- guros, los cuales, a través de reportes de estudios, seminarios ypublicaciones, ayudaron al desarrollo de la Administración deRiesgos.8

La evolución de la administración de riesgos ha permitido que seestablezcan acciones, ya no aisladas, sino de manera estructurada e in-tegral, para identificar, calificar, evaluar y monitorear todo tipo de riesgosque puedan afectar el cumplimiento de los objetivos de las organizaciones,

con el propósito de responder con medidas efectivas para su manejo.

9

La normatividad sobre riesgos empresariales ha evolucionado yen la actualidad un importante referente internacional es la normaISO 31000, que establece para la administración de riesgos, principios quefundamentan la gestión de riesgos, un marco de referencia que delimita

y direcciona la misma y un proceso para la gestión de riesgo que facili-

8 R. C. Mejía Quijano, Administración de riesgos. Un enfoque empresarial , op. cit., pp. 23-24.9 Ibíd., p. 41.



30

ta su ejecución. En la Figura 1.1 se presentan esos lineamientos, que segúnla norma interactúan en el desarrollo de la administración de riesgos.

Figura 1.1 Relación entre principios, marco y proceso de administración de riesgos

Fuente: Icontec International, NTC ISO 31000. Norma técnica colombiana,

Bogotá, Icontec, 2011, p. 3.

El proceso de administración de riesgos implica varias etapas:Iden tificación, etapa previa que conduce al Análisis de los riesgos (estos secalifican según la probabilidad de ocurrencia y el impacto que puedenproducir en caso de materializarse). Para Calificar los riesgos se usan es-calas de valoración, dependiendo de las necesidades de cada empresa.En la evaluación de riesgos se determina qué tan graves son los riesgosidentificados según los criterios de aceptabilidad, definidos por el niveldirectivo. Una vez evaluados los riesgos se definen las medidas para tra-tarlos: control o financiamiento de las pérdidas.10 Luego se implementanlas medidas de tratamiento de los riesgos y se monitorea su eficacia. El procesode monitoreo, al igual que la comunicación de la información referente a lasetapas de la administración de riesgos, es de acción permanente; ambospermiten el mejoramiento continuo del manejo de los riesgos.

10 R. C. Mejía Quijano, Administración de riesgos. Un enfoque empresarial , op. cit ., p. 115-140.



31

La identificación de riesgos, así como las demás acciones, no puedeser puntual ni obedecer a una moda administrativa o a un impulso origina-do por la materialización de un riesgo catastrófico; se trata de un proceso

consciente de análisis permanente y participativo, en el cual se buscaresponder como empresa a los riesgos que pueden afectarla.

¿En qué consiste la identificación de riesgos?

Identificar un riesgo empresarial es determinar los posibles eventosque con su materialización puedan impactar objetivos, estrategias, pla-nes, proyectos, servicios, productos u operaciones de la empresa. La

identificación de riesgos incluye además la caracterización de esos eventos,es decir, el análisis de cómo ocurrirían, por qué se presentarían, dónde ycuándo sucederían, quién o qué factores incidirían en su ocurrencia, qué oquién podría verse afectado por ella, cuál sería la afectación (a la imagen,al personal, a recursos materiales o inmateriales, a terceros, etc.) y quiénsería el responsable de manejar el riesgo. La norma ISO 31000 define la identificación de riesgos como el “[…]proceso para encontrar, reconocer y describir los riesgos”.11 Este procesono es tan sencillo de realizar como se podría pensar, porque implica elanálisis de varios elementos relacionados con el riesgo, que lo caracterizansegún las condiciones del proceso, la decisión, el proyecto, el producto ola función a analizar.

Importancia y beneficios de la identificación de riesgos

La identificación de riesgos permite la calificación, evaluación, tra-tamiento o respuesta y monitoreo, al brindar elementos de análisis paracada una de las etapas de su administración; por lo que quizás es el pasomás importante cuando se decide manejar los riesgos. De su correctaidentificación dependen las acciones posteriores, mientras que con suomisión la empresa puede quedar sujeta al vaivén de las circunstancias. Según el experto en riesgos Carlos Velásquez, la identificación de és-tos es considerada la actividad o etapa más importante del proceso de

11 International Organization for Standardization, op. cit ., p. 4.



32

gestión; no sólo porque los riesgos no identificados son asumidos inicial-mente por la empresa, sino también porque es el momento que habilitaun buen ejercicio de análisis de riesgos, de tratamiento, monitoreo y

comunicación: Una buena caracterización del riesgo es importante porque si se

define un nombre corto del riesgo (genérico) y luego un escenariode ocurrencia, lo primero permitirá consolidar el mapa de riesgocorporativo y lo segundo dará claridad sobre la probabilidad y lasconsecuencias del evento; esta información es útil para el análisisde riesgos.

De igual forma definir el propietario del riesgo tiene como fin res-ponsabilizarlo por monitorear el riesgo identificado y gestionar elplan de tratamiento, independiente de que él sea el responsablede implementar las acciones registradas en dicho plan.

La etapa de identificación también es un momento fundamentalpara el componente financiero de la gestión de riesgos, pues daelementos para estimar el costo del riesgo y además puede dar in-formación para definir frente a un posible impacto el porcentajede desviación o tolerancia aceptada.Si identificamos un agente generador o fuente del riesgo y sus cau-

sas asociadas, éstas pueden ser insumos tanto para identificarcontroles existentes así como futuros tratamientos; igual, al analizarlos tratamientos de los riesgos, desde su eficacia, se analiza el gradode incidencia de cada tratamiento sobre las causas, sean “causamediata” o “causa raíz”.12

Los beneficios de la identificación de riesgos son muchos, y puedendividirse primordialmente en dos campos: el primero tiene que ver conlo que se puede prevenir y el segundo con lo que se puede aprovechar;es decir, prevención de pérdidas y aprovechamiento de oportunidades. Los riesgos se identifican con el fin de estar preparados ante eventosno esperados, evitar sorpresas desagradables que puedan afectar nega-tivamente a la empresa o prevenir sanciones por el incumplimiento denormas. La identificación de riesgos facilita también la toma de decisiones,al brindar información que permite conocer causas e implicaciones de los

12

Carlos Andrés Velásquez, entrevista personal por Rubi Consuelo Mejía Quijano, Medellín,febrero de 2012.



33

hechos y definir si se hace o se deja de hacer alguna actividad, proyectoo estrategia, de acuerdo con el nivel de riesgo que implica; por lo cualgenera un manejo coherente del riesgo, lo que permite “correr” riesgos

controlados. La adecuada identificación de riesgos, unida a la correcta admi-nistración de los mismos, propicia mayor control de los eventos adver-sos, la optimización de inversiones y la protección de los recursos; ademásmejora las relaciones entre las partes o grupos de interés de la empresa,crea responsabilidad en el manejo de los mismos, genera comportamientoproactivo –más que reactivo– y permite alinear el comportamiento indi-vidual con la responsabilidad organizacional. Esto trae grandes beneficios

en la mejora de los procesos, productos o servicios, haciéndolos más seguros y reduciendo la posibilidad de pérdidas. Los riesgos pueden ser, a su vez, fuente de oportunidades: si se iden-tifican a tiempo y se estudia cómo manejarlos, se pueden transformar afavor de la empresa. Su evaluación puede llevar a vislumbrar decisiones–en ocasiones poco obvias– que permiten proteger y generar valor paralos grupos de interés, lo que los convierte en ventajas competitivas, puespropician la anticipación a las actuaciones de los competidores y el apro-vechamiento de oportunidades no previstas, que pueden redundar en uti-

lidades derivadas de la innovación y mejora organizacional.En una entrevista, el experto en riesgos Tomás Isaza Jaramillo destaca

otros aspectos de la identificación de riesgos:

En las buenas prácticas en la dirección de las empresas, dentro delas cuales se encuentra la Gestión Integral del Riesgo en general, y laidentificación de riesgos en particular como una de las etapas másimportantes de dicho proceso, se hallan otros tópicos relacionadosa ésta que merecen ser destacados:

En el mundo se habla cada vez más del desarrollo sostenible de lospaíses y de las empresas. Este concepto se basa fundamentalmenteen obtener el desarrollo económico logrando igualmente el desa-rrollo social y la preservación del medio ambiente. Hay quienesconsideran que éste será el nuevo modelo económico del mundo,ante el fracaso de los modelos dominantes en el siglo XX : el comu-nismo y el capitalismo (puro o salvaje). En este orden de ideas, laGestión Integral de Riesgos se constituye en un elemento tras-

cendental e ineludible para quienes están al frente de las em-presas. Así mismo, la identificación de riesgos se convierte enel elemento fundamental y punto de partida de aquellos riesgos



34

que atenten contra el desarrollo económico, el desarrollo social yla preservación del medio ambiente; es decir, ya no se trata sólode identificar riesgos que afecten la variable económica, sino tam-

bién los riesgos que incidan en las variables sociales (cambio de-mográfico, pobreza, desigualdad, desempleo, déficit pensional,etc.) y ecológica (capa de ozono, escasez de agua, agotamiento delos recursos no renovables, etc.), las cuales muchas veces no soncuantificables en términos monetarios.

La identificación de riesgos es igualmente importante en la eva-

luación de proyectos. Normalmente los proyectos se evalúan deacuerdo con las variables de mercadeo, factibilidad financiera, legal,tecnológica. Pero, pocas veces se hace un análisis desde el punto

de vista de riesgos del proyecto. Es factible que mediante unaidentificación integral de riesgos, se detecten factores de riesgosque hagan inviable un proyecto, que por otro lado resulte viableen las variables antes mencionadas. Es decir, existe una premisafundamental en finanzas y es que cada rentabilidad está asociadaa un riesgo. De esta manera puede decirse que la rentabilidad deun proyecto no puede analizarse en términos de rentabilidad (ROE,TIR , etc.) sino que es necesario asociarla a un nivel de riesgo, y estosolo se logra a través de un juicioso ejercicio de identificación de

riesgos.13

Consecuencias de no identificar los riesgos empresariales

Cuando una empresa quiebra, pierde mercado, se presenta un escándalopor fraude que le implica pérdidas económicas o deterioro reputacional,es sancionada, hay paros en la producción o los proyectos fallan y larentabilidad disminuye, se torna ilíquida y empieza a incumplir obliga-

ciones financieras, sus clientes la abandonan, la competencia se vuelveagresiva y pierde oportunidades, un accidente o una decisión inadecua-da genera consecuencias humanas o físicas, cuando sus productos nuevosno permanecen en el mercado o se deben retirar por fallas… sólo enton-ces la dirección de algunas empresas se cuestiona sobre lo adecuado dela administración de sus riesgos. Pero no es necesario pasar por todas

13

Tomás Isaza Jaramillo, entrevista personal, por Rubi Consuelo Mejía Quijano, Medellín,febrero de 2012.



35

esas situaciones para comprender la importancia de prevenirlas; to-das ellas implican pérdidas para la empresa y la pueden ubicar en si-tuación desventajosa, inclusive hasta minar su estabilidad y capacidad

de crecimiento. Si un riesgo no es identificado es como si no existiera, lo cual implí-citamente equivale a la decisión de aceptar las consecuencias de sumaterialización. Es responsabilidad del gerente o empresario no ignorarlo,así como identificar y controlar esos riesgos empresariales. A elloscorresponde la previsión, la viabilidad y el cumplimiento de lo planeado;también reorientar las acciones si hay fallas en su funcionamiento según loprevisto; todo ello con el fin de lograr los beneficios planeados y cumplir

las expectativas de sus grupos de interés.Si no se identifican los riesgos no se puede planear su control, es

decir, no se pueden definir medidas para disminuir su probabilidad deocurrencia, para minimizar su impacto, para transferirlos a terceros cuandosea necesario o posible, para eliminar la actividad que los genera o paraasumirlos, si es el caso, con plena conciencia.

Ejemplos de empresas que no identifican riesgos y llegan a la quiebrason numerosos. En el libro Cómo caen los poderosos, Jim Collins presenta,

como fruto de sus investigaciones, las cinco etapas de la decadencia de lospoderosos: la arrogancia nacida del éxito, la búsqueda desordenada de más,la negación del riesgo y el peligro, la búsqueda ansiosa de la salvación, lacapitulación ante la irrelevancia o la muerte. De esas etapas, la negacióndel riesgo es la que detona la caída de las empresas.14

Al entrar en la tercera etapa las señales de alerta comienzan a acu- mularse, pero los resultados externos de la empresa siguen siendo lo

suficientemente buenos como para desechar los datos preocupantes

o para sugerir que las dificultades son “transitorias” o “cíclicas” o“no tan malas”, y “no hay nada fundamentalmente mal”. En latercera etapa los directivos subestiman los datos negativos, am-

plifican los datos positivos y le imprimen un giro positivo a losdatos ambiguos.15

14 Jim Collins, Cómo caen los poderosos, Bogotá, Norma, 2009, pp. 18-20.15 Ibíd.,p. 19.



36

De ahí la importancia de identificar los riesgos a tiempo, de no darla espalda a la información relevante y de no dejar a la deriva decisionesimportantes respecto del manejo de los riesgos empresariales.

Responsables de la identificación de riesgos

Como la identificación de riesgos tiene un alcance amplio en las orga-nizaciones, en ella participan diferentes actores, unos como responsablesdirectos o “propietarios”16 de los riesgos y otros como personal inde-pendiente, de apoyo o externo a la organización. El personal interno responsable de la identificación de riesgos

estratégicos puede estar en la gerencia, en la junta directiva y en la altadirección; para los demás riesgos intervienen los líderes de los procesos,pro yectos, servicios o productos y quienes participan en ellos, con el apoyodel administrador de riesgos. Los auditores internos o externos, en forma independiente, sonresponsables de identificar los riesgos para realizar evaluaciones sobre laexposición de la empresa y la eficiencia de su sistema de administración;los entes reguladores, las entidades crediticias, las partes interesadas en laempresa pueden también identificar riesgos de una organización. Según la singularidad y complejidad de los riesgos identificados, yde acuerdo con los recursos y necesidades propios de una entidad, es po-sible que sea necesario personal externo, asesores expertos o consultoresespecializados en determinados tipos de riesgos. En ocasiones puedeser indispensable el apoyo de empresas del mismo sector, interesadasen identificar riesgos e implementar soluciones conjuntas para beneficiocomún. Los responsables de la identificación de riegos deben tener cono-

cimiento o experiencia sobre el ámbito en el cual se realiza esta actividad.Para ello deben estar capacitados en la identificación, de acuerdo conlas técnicas o metodologías seleccionadas. También deben disponer deimaginación, apertura a nuevas ideas o posibilidades, capacidad de pro-

yectar la influencia de eventos negativos sobre procesos y recur sos,

además de ser personas objetivas en sus apreciaciones.

16 International Organization for Standardization, op.cit., p. 2.



37

¿Cómo identificar los riesgos empresariales?

Para identificar los riesgos empresariales es necesario, inicialmente, tener

claridad acerca de los tipos de riesgos inherentes al carácter de la empresa,con el fin de que su administración de riesgos sea integral, no fragmen taria y parcial. La variedad de riesgos puede ser alta, igual que las formas de cla-sificarlos y abordarlos; por lo tanto, no es posible establecer una únicaclasificación de tipos de riesgos empresariales. En la Tabla 1.1, Riesgos generados por el entorno organizacional, sepresenta un es quema de categorías de riesgos provenientes del medioempresarial, en la Tabla1.2, Riesgos generados en la empresa, se relacionanlas categorías de riesgos que puede propiciar la organización en el curso

de sus operaciones. La información de estas tablas concreta la teoría desa-rrollada por Mejía Quijano en el libro Administración de riesgos. Un enfoque

empresarial .17

El esquema contempla los riesgos más comunes; sin embargo,cada empresa, de acuerdo con sus condiciones, puede enfrentar riesgossingulares. En este libro se presentan listas detalladas de riesgos, segúnsu importancia, en relación con el estudio de cada técnica o metodologíautilizada para la identificación de riesgos.

Tabla 1.1 Riesgos generados por el entorno organizacional

17 R. C. Mejía Quijano, Administración de riesgos. Un enfoque empresarial , op. cit .

Riesgos del entorno

Origendel riesgo

Tipo deriesgo Explicación

Naturaleza

Provenientes

de la naturaleza

Riesgos generados por el medio ambiente natural,tales como: huracanes, vientos fuertes, lluvias,inundaciones, maremotos, sequías, olas de frío o

calor, terremotos, movimientos sísmicos, erupciónvolcánica, deslizamiento de tierras, plagas, bac-terias, virus, epidemias, caída de meteoritos, etc.

Generados a la naturaleza por parte de la empresa

Uso inadecuado de recursos naturales que puedenafectar la naturaleza. Consecuencias: efecto in-vernadero; disminución de la capa de ozono;contaminación acumulativa del aire, agua, suelos;generación de residuos de alta peligrosidad; deser-tización y pérdida de biodiversidad



38

Origendel riesgo


Riesgosasociados

al país,la región

y laciudad deubicación

Riesgo paísGrado de peligro que representa un país para lasinversiones locales o extranjeras, según el nivel dedéficit fiscal, la situación política, el crecimien-to de la economía y la relación ingresos-deuda

Riesgo geopolítico

Debido a dificultades políticas entre naciones sepueden alterar las condiciones comerciales, que pue-den implicar pérdidas de negocios, demoras o con-flictos con proveedores o clientes

Riesgo social

Tiene que ver con la cultura de la región, lascondiciones de seguridad, empleo, salubridad,desarrollo de las comunidades, condiciones de vi-da, vivienda y bienestar, etc. Riesgos que puedenoriginarse en la sociedad son: hurto, robo, atraco,sabotaje, chantajes y extorsiones, terrorismo, mo-tín, conflictos generadores de guerra, alteracióndel orden público, huelgas, migraciones masivas,hambre, enfermedades, epidemias, colapso de ser-vicios públicos indispensables, conflictos de ba- ja intensidad, explotación de grupos sociales,cambios en los hábitos de consumo, demandas

colectivas, conflictos comerciales

Riesgo económico

Relacionado con el crecimiento económico na-cional y local, debido a las fluctuaciones de variables macroeconómicas: PIB, inflación, desem-pleo, balanza de pagos. El decrecimiento de laeconomía puede generar riesgos que conllevendetrimento patrimonial a las empresas, al disminuirla capacidad de compra de sus clientes y la de-manda de sus productos

Riesgo político

El manejo político del país, y las implicaciones quetiene sobre la economía nacional, afecta las orga-nizaciones según sus condiciones particulares

Sectoreconómicoe industrial

Riesgo sistemático

Riesgo que se origina por el hecho de competiren un sector determinado, ejemplo: campañasde desprestigio de la competencia comercial, es-pionaje industrial, tráfico de informaciones reser-vadas, competencia desleal, transacciones ilegales,corrupción institucional y privada, operacionesilícitas, daños por productos, accidentes y enfer-medades profesio nales; accidentes industriales,



39

Riesgos generados en la empresaTipo

de riesgo Explicación

No sistemáticos

Riesgos propios y específicos de cada empresa que pueden afec-tar procesos, recursos, clientes o imagen

Riesgo dereputación

Desprestigio de la organización, que acarrea pérdida de cre-dibilidad y confianza del público, por fraude, insolvencia, con-ducta irregular de empleados, rumores o errores cometidos en

la ejecución de alguna operación

Riesgo puro Al materializarse origina pérdidas, como incendio, accidente,inundación

Riesgo especulativo

Al materializarse presenta la posibilidad de generar indistin-tamente beneficio o pérdida, como una aventura comercial,inversión en divisas ante expectativas de devaluación o revalua-ción, compra de acciones, lanzamiento de nuevos productos

Riesgo estratégico

Tiene que ver con pérdidas ocasionadas por definicionesestratégicas inadecuadas o errores en el diseño de planes, pro-gramas, estructura, integración del modelo de operación con eldireccionamiento estratégico, asignación de recursos, estilo dedirección; además de ineficiencia en la adaptación a los cambiosconstantes del entorno empresarial

Riesgooperativo

Consiste en la posibilidad de pérdidas ocasionadas en laejecución de procesos y funciones de la empresa, por fallas enprocesos, sistemas, procedimientos, modelos o personas

Riesgos

financieros

Los riesgos financieros impactan la rentabilidad, ingresos ynivel de inversión, pueden provenir no sólo por decisionesde la empresa, sino por condiciones del mercado, ellos son:

Origendel riesgo


Sectoreconómicoe industrial

Riesgo sistemático

graves, actividades públicas molestas o peligrosas,reclamación judicial por productos de consumocontaminados, contaminación ambiental, respon-sabilidad por contratos de ejecución

Fuente: Rubi Consuelo Mejía Quijano, Administración de riesgos. Un enfoque empresarial,

Medellín, Fondo Editorial Universidad EAFIT, 2006, pp. 35-36.

Tabla 1.2 Riesgos generados en la empresa



40

Tipode riesgo Explicación

Riesgos financieros

Riesgo de mercado, tiene que ver con fluctuaciones de lasinversiones en bolsa de valores; también hacen parte de éstelas fluctuaciones de precios de insumos y productos, la tasa decambio y las tasas de interés

Riesgo de liquidez, se relaciona con la imposibilidad de transformaren efectivo un activo o portafolio o tener que pagar tasas dedescuento inusuales y diferentes a las del mercado para cumplircon obligaciones contractuales

Riesgo de crédito, consiste en que los clientes y las partes a lascuales se les ha prestado dinero, o con las cuales se ha inverti-

do, fallen en el pago

Riesgos legales

Se refieren a pérdidas en caso de incumplimiento de la contra-parte en un negocio, sumado a la imposibilidad de exigir jurídicamente la satisfacción de los compromisos adquiridos.También se puede presentar al cometer algún error de inter-pretación jurídica u omisión en la documentación, o en el in-cumplimiento de normas legales o disposiciones reglamentariasque puedan conducir a demandas o sanciones

Riesgos tecnológicos

Son generados por el uso de tecnología, como virus in formáticos,vandalismo puro o de ocio en las redes informáticas, fraudes,intrusiones de hackers, colapso de las telecomunicacionesque puede generar daño de información o interrupción delservicio. También incluyen la actualización y dependencia deun proveedor, o de tecnología específica, bien sea en el campoinformático, médico, de transporte u otras áreas

Riesgos

laborales

Los riesgos laborales, como accidentes de trabajo y enfermedadesprofesionales, pueden ocasionar daños a las personas y a la mismaorganización. Un accidente de trabajo puede producir lesio-nes orgánicas, invalidez, muerte o una perturbación funcional.La enfermedad profesional, por su parte, puede ser permanente

o temporal, consecuencia del trabajo desempeñado o del medioen el cual se realizan las funciones. Existen otros riesgos laboralesque surgen de la relación de la empresa con sus empleados,asociaciones o sindicatos, como huelgas, sabotajes, etc.

Riesgos físicos

Afectan los recursos materiales, como cortocircuitos, explo-siones, daños en maquinaria o equipos (por su operación,diseño, fabricación, montaje o mantenimiento), deterioro deproductos y daño en vehículos

Fuente: Rubi Consuelo Mejí Quijano, Administración de riesgos. Un enfoque empresarial,Medellín, Fondo Editorial Universidad EAFIT, 2006, pp. 37-39.



41

Según la norma ISO 31000, las acciones para la identificación deriesgos son:

[…] identificar las fuentes de riesgo, las áreas de impacto, loseventos (incluyendo los cambios en las circunstancias) y sus causas y consecuencias potenciales. El objeto de esta fase es generar unalista exhaustiva de riesgos con base en aquellos eventos que podríancrear, aumentar, prevenir, degradar, acelerar o retrasar el logro delos objetivos.18

La norma habla también de la importancia de incluir en la lista losriesgos, bien sea que estén bajo el control de la organización o fuerade él.

Para realizar la identificación de riesgos debe conocerse profundamentela organización: “[…] entender bien el riesgo es entender bien el ‘ business

model ’ de la empresa y sus puntos de creación de valor”;19 además de susplanes a mediano y largo plazo. La identificación de riesgos tiene un espec-tro amplio de aplicación, por tanto debe estar circunscrita a un ám bito deanálisis (decisiones, procesos, productos, servicios, funciones, proyectos,etc.). Definir el objetivo específico del ámbito de análisis es primordialpara identificar los riesgos que pueden afectar su cumplimiento.

La identificación de riesgos no se reduce a asignar un nombre alriesgo, pues se deben incluir todos los datos relacionados con el mismo,para estudiarlos exhaustivamente y aportar elementos a las demás eta-pas de su gestión. Para ello es primordial contar con información actualizada

y pertinente, además de establecer mecanismos de alerta temprana quepermitan identificar cambios en variables críticas, que ayuden a determinarriesgos estratégicos u operativos que pueden impactar la organización,

y procedimientos que garanticen el monitoreo en forma periódica, deacuerdo con los ciclos de la empresa y las transformaciones del entorno. Es importante crear una cultura de identificación de riesgos en lasorganizaciones, que permita a todos, y bajo cualquier circunstancia, estaratentos para detectar los posibles riesgos que deriven en consecuencias

18 International Organization for Standardization, op. cit ., p.17.19 Pierre-Alexandre Bapst, “El mapa de riesgos, punto de partida para una buena gerencia

global de riesgos” [2004] , sitio web: Gerencia de Riesgos y Seguros, disponible en: http://

www.mapfre.com/documentacion/publico/i18n/catalogo_imagenes/grupo.cmd?path=1025001, consulta: enero de 2012.



42

negativas y comunicar los hechos, de tal forma que la organización puedaresponder con acierto. Las técnicas de identificación de riesgos se han desarrollado con los

avances en sus estudios, desde los seguros, las finanzas, la sociología, elcontrol organizacional, la auditoría, la informática, la seguridad industrial,la salud ocupacional, la seguridad pública, la ingeniería ambiental, la ges-tión de proyectos y otros campos. Existen variedad de técnicas, herramientas y metodologías paraidentificar los riesgos, las cuales pueden aplicarse dependiendo de la dis- ponibilidad de recursos económicos, humanos y tecnológicos de la orga-nización; del tiempo, la experiencia, el grado de desarrollo de la empresa;

al igual que del nivel de implementación de la administración de riesgos.Es posible utilizar una mezcla de técnicas o alguna específica, según el tipode riesgo, su complejidad y la necesidad de información sobre el mismo. Algunas técnicas de identificación de riesgos son utilizadas en dis-ciplinas que no necesariamente han estudiado los riesgos, pero quehan necesitado abordar el tema, como la administración. En los análisisestratégicos se utiliza la matriz DOFA : “[…] es probable que este análi-sis sea la primera y más importante de todas las herramientas de análisis

de la estrategia. Identifica las actuales fortalezas y debilidades, las opor-tunidades emergentes y las amenazas preocupantes que enfrenta lacompañía”.20 También se recurre al análisis PEST: “[…] muchas veces selo denomina análisis PESTEL porque refleja los componentes políticos,económicos, sociales, tecnológicos, ambientales y legales”;21 con él seestablecen las variables del entorno que pueden afectar las empresas,antes de formular los planes estratégicos. Adicionalmente, en los análisis estratégicos se analizan las fuerzas

que mueven la competencia en un sector, llamadas también las CincoFuerzas de Porter que estudian “[…] el poder de negociación de los clien-tes, el poder de negociación de los proveedores, la amenaza de productoso servicios sustitutos, la amenaza de los nuevos ingresos de competidores

20 Robert S. Kaplan y David P. Norton, The Execution Premium, Barcelona, Deusto, 2008,p. 74.

21 Ibíd., p. 72.



43

potenciales, y la rivalidad entre los competidores existentes”.22 En todaslas herramientas mencionadas se abordan elementos de estudio que per-miten identificar los riesgos que podrían correr las compañías y que se

hace necesario analizar para definir las estrategias organizacionales. En campos del saber, como el de sistemas de calidad, se utilizan téc-nicas para identificar riesgos como el Análisis Causa-Efecto; en auditoríase acude, entre otras estrategias, a Entrevistas y Flujogramas de procesos. Existen técnicas de fácil aplicación, como las Entrevistas semies-tructuradas y la Lluvia de Ideas; algunas son estandarizadas, como lasListas de Chequeo y Cuestionarios; otras se aplican a procesos o productos,como el Análisis de Modo y Efecto de Falla o el Análisis de Puntos Crí-

ticos de Control. Algunas técnicas utilizan información histórica, comoregistros de eventos, estados financieros, informes de auditoría o de com-pañías aseguradoras. Otras se orientan hacia el futuro, como el Análisisde Escenarios, el Estudio del Impacto del Negocio o el “¿Qué pasaríasi?”. Las hay que se basan en la observación, como la Inspección, o en laconsulta a expertos, como el método Delphi. También se puede recurrira análisis de información por sectores. Con la proliferación de técnicas,23 herramientas y metodologías paraidentificar riesgos, a la hora de definir en la empresa cómo hacerlo, puedeparecer difícil decidir cuál de ellas es la más adecuada, o si es mejor crearuna metodología propia.

Ciertas compañías desarrollan metodologías ajustadas a sus nece-sidades para identificar los riesgos, algunas adaptan estrategias de reco-nocida aplicación en el medio; casi todas buscan adecuarse a las normaso estándares y algunas desarrollan conocimiento nuevo sobre el tema.Lo más importante al aplicar técnicas o métodos es la consistencia en suuso, de manera que permita estandarizar el proceso y obtener resultados

comparables en toda la organización, con el fin de lograr una identificaciónde riesgos que garantice su administración en forma integral.

22 Michael E. Porter, “The five competitive forces that shape strategy”, Harvard Business

Review, Boston, núm. 01, vol. 86, enero de 2008, p. 80.23 Ver: International Organization for Standarization, ISO 31010. Risk Management – Risk

Assessment Techniques, Suiza, ISO, 2009. En la que se listan técnicas que contribuyen a

la identificación de riesgos, clasificándolas según el grado de aplicabilidad. [Todas lastraducciones realizadas de la norma son elaboradas por la autora].



44

Esas técnicas, herramientas y metodologías son alternativas queayudan a identificar los principales riesgos que afectan una organización,pero no garantizan que se incluyan todos los posibles riesgos; es el respon-

sable de la identificación quien, con su experiencia, conocimiento ysentido común, determina cuáles riesgos son importantes en la iden-tificación y cuáles no lo son. En los siguientes capítulos se exponen diferentes técnicas y meto-dologías para identificar riesgos. En la Tabla 1.3 se listan cada una deellas, se describe algunas de sus aplicaciones y el capítulo en el cualse desarrollan.

Tabla 1.3 Uso de técnicas y metodologías para identificar riesgos24

24 Las tablas que carezcan de fuentes, son elaboración del autor.

Técnica /Metodología Aplicación Capítulo

Lluvia de Ideas Identificación de riesgos y de sus característicasen forma grupal 2

Análisis causa-efecto Identificación de causas y efectos de un riesgo 3

Listas deChequeo y

Cuestionarios

Identificación de riesgos con guías estanda-

rizadas, amplias y ajustables a todo tipo deempresa, pueden ayudar a elaborar el catálogogeneral de riesgos de una empresa

4

InspecciónIdentificación de riesgos que pueden serobservados en instalaciones o en el desarrollode un proceso

5

Entrevista Identificación de riesgos que requieren elconocimiento y experiencia de personas clave 6

Flujograma Identificación de riesgos en los procesos 7

Análisis deModo y Efecto

de Falla (AMEF)

Identificación de posibles formas en que puedefallar el diseño u operación de procesos, pro-ductos o servicios y los efectos de estas fallas

8

Análisis deInformación

Identificación de riesgos a través del análisisde información financiera, manuales técnicos,registro de siniestralidad y otros eventos, y delestudio de contratos laborales y comerciales

9



45

Técnica /Metodología Aplicación Capítulo

Método DelphiIdentificación de riesgos que requieran grupode expertos y opiniones independientes 10

Análisis deEscenarios

Identificación de riesgos estratégicos 11

RisicarIdentificación de riesgos operativos en procesos,actividades, procedimientos, productos, insta-laciones, cargos o funciones

12

PrestIdentificación de riesgos en la planeación es-tratégica

13

1er capítulo-identificación de riesgos

Documents