gestión de riesgos - alan santos.pdf
Post on 06-Jul-2018
222 Views
Preview:
TRANSCRIPT
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 1/168
Gestión de
RiesgosVersión “ Light ”
(Apto para todo público)
Alan Santos Cori©
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 2/168
Agradezco a:
Irene, que me apoya en cada locura
Gad, que me acompaña en cada aventura
Mis hermanos, que han actuado como revisores y críticosMa Isabel Casares San José-Martí, mi profe
Christian Haindl, de quien he aprendido casi todo en estas materias
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 3/168
Prefacio
La Gestión de Riesgos es un proceso que diariamente todo ser viviente
realiza en todo momento de su vida. En este texto no se pretende
presentar una verdad única ni muchas verdades contrapuestas,
simplemente se busca introducir el tema en aquellas mentes no iniciadas
en la materia.
Se mencionan y tratan muchos aspectos de la Gestión de Riesgos, pero
todos ellos son referenciales. Lo único relevante es que para realizar un
adecuado tratamiento de los riesgos, es necesario tener el interés y la
voluntad de hacer algo al respecto. De lo contrario, todo esfuerzo es
vano.
Es mi deseo y objetivo, que este esfuerzo realizado para facilitar la
comprensión del lector respecto de una materia tan vaga y difusa como
la Gestión de Riesgos, le permita contar con una orientación, aunque
sea inicial, respecto de cómo o por donde comenzar.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 4/168
Todos los derechos reservados. Prohibidas su reproducción parcial y/o total sin
autorización escrita previa. ©Alan Santos
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 5/168
I N D I C E
INTRODUCCIÓN .................................................................................................. 13
NORMAS Y BUENAS PRÁCTICAS ...................................................................... 21
ISO 31000 .......................................................................................................... 28
COSO III ............................................................................................................ 31
BASILEA ............................................................................................................ 35
SOX ................................................................................................................... 39
FORMALIZACIÓN DE UN MODELO DE GESTION DE RIESGOS (MGR) .......... 43
BUSINESS IMPACT ANALYSIS (BIA) .................................................................. 48
ANÁLISIS FODA ................................................................................................... 54
FACTORES DE RIESGO ...................................................................................... 57
CATEGORÍAS DE RIESGOS ................................................................................ 60
DEFINICIONES Y CRITERIOS ............................................................................. 67
ESCALA ............................................................................................................. 68
MEDICIÓN NOMINAL ..................................................................................... 68
MEDICIÓN ORDINAL ..................................................................................... 69
MEDICIÓN POR RAZONES ........................................................................... 69
MEDICIÓN POR INTERVALOS ..................................................................... 70
TRES NIVELES ........................................................................................... 70
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 6/168
CUATRO NIVELES ..................................................................................... 72
CINCO NIVELES ......................................................................................... 73
OTRAS ESCALAS ....................................................................................... 74
PROBABILIDAD................................................................................................. 77
IMPACTO ........................................................................................................... 81
IMPACTO FINANCIERO ................................................................................ 83
IMPACTO LEGAL ........................................................................................... 84
IMPACTO EN IMAGEN .................................................................................. 85
IMPACTO NORMATIVO ................................................................................. 85
IMPACTO NEGOCIO...................................................................................... 86
OTROS PARÁMETROS DEL IMPACTO ........................................................ 86
EXPOSICIÓN AL RIESGO ................................................................................ 89
CONTROLES ..................................................................................................... 91
VALORIZACIÓN DE LOS CONTROLES ........................................................ 95
CALIDAD ..................................................................................................... 96
EFICACIA .................................................................................................... 96
EFICIENCIA ................................................................................................ 97
MAGNITUD DEL RIESGO ................................................................................. 99
MAGNITUD DISCRETA .................................................................................. 99
MAGNITUD CONTINUA ............................................................................... 100
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 7/168
UMBRAL Y APETITO AL RIESGO .................................................................. 102
METODOLOGÍA DE CÁLCULO (LA LICUADORA) ......................................... 106
METODOLOGÍA DE ANÁLISIS .................................................................... 108
METODOLOGÍA BÁSICA ............................................................................. 108
METODOLOGÍA DE INTRODUCCIÓN ........................................................ 113
METODOLOGÍA CONTÍNUA ....................................................................... 116
EL FACTOR TIEMPO ................................................................................... 126
PROCESO DE GESTIÓN DE RIESGOS ............................................................ 129
LEVANTAMIENTO DE PROCESOS ................................................................ 135
FLUJOGRAMA ............................................................................................. 137
IDENTIFICACIÓN DE FACTORES DE RIESGO (FR) ..................................... 141
IDENTIFICACIÓN DE RIESGOS ..................................................................... 144
ASOCIACION FACTOR DE RIESGO – RIESGO ............................................ 146
VALORACIÓN ..................................................................................................... 147
RIESGO .............................................................................................................. 150
INHERENTE O INICIAL ................................................................................... 150
RIESGO RESTANTE O RESIDUAL ................................................................ 152
MAPAS DE RIESGOS .................................................................................. 152
MAPA DE PROBABILIDAD x IMPACTO ................................................... 153
MAPA DE RIESGO RESTANTE ............................................................... 155
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 8/168
INFORMES ......................................................................................................... 157
ANÁLISIS COSTO BENEFICIO ....................................................................... 160
REGISTRO DE PÉRDIDAS ................................................................................ 162
GLOSARIO .......................................................................................................... 164
BIBLIOGRAFIA ................................................................................................... 171
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 9/168
INTRODUCCIÓN
Un día, o tal vez una noche, sentí una serie de empujones. No entendía nada.
Estaba acomodado en mi rincón, sin molestar a nadie. Un poco apretado nada
más, pero muy tranquilo. Vi una luz y sentí la necesidad de ir a ella. Los
empujones eran cada vez más fuerte. Había una pequeña abertura, pero no cabía.
Trataba de salir pero no podía. Desde la luz entró algo como una cuchara y
empujó mi cabeza. Calzaba justo en la abertura y partí. Al salir, hacía mucho frio,
estaba todo seco, no sabía que hacer e instintivamente comencé a gritar. De mis
narices saltaron líquidos varios. Me atoré cuando metieron unos tubos en mi
garganta. Hacía mucho frio, tenía miedo, estaba incómodo. Lo único que quería
era volver a donde estaba. Me envolvieron en unas telas, había luz, mucha luz,
que molestaba mis ojos, voces y ruidos que no conocía. Entre ellos escuche una
voz familiar, me pusieron contra su pecho y escuche el latir de su corazón, me
tranquilizo, estaba con mi madre.
El simple hecho de nacer, un acto primordial en la vida de todo ser viviente, es un
acto riesgoso per se. Sin embargo, todos lo hemos sufrido y sobrevivido. El cordón
umbilical puede estar como banda presidencial alrededor del pecho, o peor aún,
alrededor del cuello. Dentro de los primeros minutos el recién nacido debe
instintivamente aprender a controlar su temperatura corporal, aprender a respirar,debe ser protegido contra los riesgos de enfermedades tan simples como un
resfrío u otras más complejas y graves. El único lugar donde se siente protegido,
es cerca de donde siempre estuvo, escuchando lo que siempre escucho, el
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 10/168
corazón de su madre. ¿Por qué? ¿Por qué es necesario sentirse protegido?
¿Protegido de qué?
Instintivamente, todos sentimos aversión a situaciones y elementos que nos
puedan causar incomodidad, molestia, daño, dolor e incluso la muerte. Es por ello
que en principio nuestras madres nos protegen, unas más que otras, y nos
permiten crecer y desarrollarnos hasta lograr defendernos de los riesgos que
enfrentamos diariamente. Riesgos que van desde un traspié o un simple raspón
en la rodilla, hasta riesgos sociales al enamorarse y no ser correspondido, riesgos
a la salud en general, llegar retrasados a un compromiso o no cumplir con alguna
obligación, etc. En Chile existe una prenda de vestir denominada “chaleco”.
Usualmente es un suéter grueso que ha sido tejido por las apasionadas y
amorosas manos de nuestra madre o abuela. Su definición es esencialmente:
“aquella prenda de vestir que tu madre te obliga a usar, cuando ella tiene frio ”. En
realidad, es una muestra de cómo ellas intentan controlar el entorno en el cual nos
encontramos y continuar instintivamente protegiéndonos de los riesgos.
Con las organizaciones, de cualquier tipo, por el simple hecho de ser hijas e hijos
de las personas, y más aún por estar compuestas de personas, estas también se
ven enfrentadas a riesgos y desafíos que se encuentran en su entorno. Una
organización se puede enfermar si el virus de la corrupción la afecta. Incluso
puede llegar a morir producto de éste insidioso virus. Una organización debe
cumplir con la Ley y puede ser castigada por su incumplimiento. Una organización
puede verse afectada por eventos de la naturaleza, quedar inválida o “cojear”. Una
organización, indistinto de su origen, tamaño, industria o quehacer, siempre se
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 11/168
verá enfrentada a riesgos. Es por ello que es necesario, primero conocer cuáles
son y luego gestionarlos o decidir qué hacer al respecto.
Al analizar las conductas individuales de las personas, diariamente gestionan los
riesgos, sea al elegir un producto que sea ecológico o no, si contiene sustancias
nocivas, o se cruza en una esquina con luz roja o se detiene en un cruce
ferroviario. Desde el momento en que se levanta, un persona está gestionando
riesgos. El asearse diariamente tiene por objetivo mitigar la probabilidad de
enfermar. El lavarse los dientes diariamente tiene por objetivo llegar a la tercera o
cuarta edad y aún contar con todos los dientes, etc.
Con las organizaciones sucede lo mismo. Las organizaciones deben gestionar sus
riesgos en forma permanente, sean estos riesgos propios del negocio como
comprar o vender o el riesgo de contratar a alguien que no sea adecuado, o que
se inicie un incendio en las bodegas o la planta de producción, etc. Sin embargo,
la organización no gestiona los riesgos simplemente por arte de magia. Laspersonas son la principal, aunque no la única, fuente de riesgo de una
organización y la única forma de mitigar estos riesgos es con colaboradores
consientes de la necesidad de gestionar permanentemente el riesgo. Esto no es
una tarea fácil, por lo que es necesario sistematizar la Gestión de Riesgos en una
organización mediante un Modelo de Gestión de Riesgos, similar en estructura o
equivalente a un Sistema de Gestión de Calidad (ISO 9001) o un Sistema de
Gestión de Seguridad de la Información (ISO 27001) o un Modelo de Prevención
de Delitos Corporativos (Ley 20.393 de Chile) o tantos otros.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 12/168
Incluso, al generalizar más los conceptos, se podría establecer que hoy en día, la
Humanidad en forma íntegra, se ve enfrentada a diversos desafíos. El mayor de
ellos es la subsistencia de la misma, producto del Cambio Climático. Sin embargo,
existen diversos riesgos que permanentemente ponen en jaque el interés global y
el de la mayoría de las personas que comparte este pequeño grano de arena que
flota en la inmensidad del universo. Los riesgos de guerras, producto de la
intolerancia e incomprensión o simplemente porque se puede; Los riesgos de
enfermedades, muchas producidas o generadas por la misma humanidad; Los
riesgos asociados a la naturaleza de nuestro universo y de nuestro planeta, que
han provocado la desaparición de una innumerable cantidad de vida en este
mismo planeta; sólo por mencionar algunos.
En general, todo ser viviente en este planeta, inconscientemente está en forma
permanente evaluando riesgos. Un venado evalúa la existencia de depredadores
antes de acercarse a tomar agua en un bebedero. Quienes viven en una ciudad,
evalúan cruzar o no una calle. Quienes viven en el campo, evalúan el riesgo de
sembrar o plantar tal o cual fruto o cultivo. Todos están permanentemente
evaluando riesgos.
La Gestión de Riesgos es un proceso complejo que formalmente nace con los
comerciantes y banqueros. Los primeros Riegos en ser formalmente evaluados y
considerados, fueron los riesgos asociados al Crédito. Esto es que la contraparte
no devuelva o reintegre los fondos entregados a un plazo determinado. De allí
nacieron las aseguradoras, otra industria con un alto nivel de conocimiento de la
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 13/168
Gestión de Riesgos, puesto que ese es su negocio. Con el advenimiento de la
revolución industrial, comenzaron a considerarse formalmente los Riesgos del
Negocio y/o Riesgos del Mercado. Estos riesgos tienen que ver directamente con
el quehacer, si voy a importar un producto determinado, que no surja un producto
alternativo, si la fecha de lanzamiento del producto es crítica, que exista
disponibilidad en dicha fecha, si voy a vender trajes de baño, que no sea en
Alaska o en invierno o en el desierto.
Tras las Primera y Segunda guerras mundiales, surgió la necesidad de formalizar
la evaluación de otro tipo de riesgo, como el Riesgo País o Político – Social. En
este riesgo se evalúa la estabilidad política y social del mercado, la madurez de la
economía y del marco jurídico, etc. Finalmente, hacia principios del nuevo milenio,
una serie de escándalos que terminan por liquidar importantes organizaciones y
desestabilizan los mercados internacionales hacen pensar que existen otros tipos
de riesgos, por lo que nace un nuevo tipo de riesgo a ser considerado al momento
de la toma de decisión, el Riesgo Operacional. Este tipo de riesgo considera los
accidentes laborales, discontinuidades operacionales producto de procesos mal
diseñados o ejecutados, de fallas en tecnologías, Fraudes internos y externos, etc.
Además, hay quienes consideran en este tipo de riesgo, los ámbitos jurídicos y
normativos que en algunos casos incluso pudieran llegar al cierre de la operación,
con el correspondiente perjuicio.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 14/168
“La Gestión de Riesgos corporativos es un proceso efectuado por todos los
miembros de una organización, diseñado para identificar eventos negativos
reales o potenciales que puedan afectar a la organización y coordinar la
implementación de las medidas necesarias y suficientes tal que se mantenga
un nivel de exposición dentro de lo aceptado, que aporte en la toma de
decisión de la organización.” (ISABEL CASARES SAN JOSÉ-MARTI – Proceso
de Gestión de Riesgos y Seguros en las empresas - 2013)
En este texto, se entregará una visión básica y genérica de cómo identificar, medir
y evaluar los riesgos, así como establecer una orientación respecto de cómo se
podría implementar un Modelo de Gestión de Riesgos en forma amplia, sin
limitaciones de visión o de ámbito, permitiendo que cada institución, organización
o persona pueda optar por una metodología según estime factible aplicar a la
gestión de sus riesgos, indistinto del tipo de riesgo o del tipo y características de laorganización a la que se aplique. Los conceptos y fórmulas planteados son
meramente referenciales, pudiendo los interesados aplicarlas directamente o
modificarlas, adaptándolas a su propia organización y realidad.
No obstante, es indispensable conocer qué se puede hacer con los riesgos que se
identifiquen. El cómo, se definirá en base a las características y recursos que la
organización pueda disponer o considere relevantes para la gestión de sus
riesgos.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 15/168
Los riesgos solamente se pueden (TATE):
1. Transferir: Mediante la contratación de seguros o la subcontratación de
bienes y/o servicios. Usualmente al traspasarse un riesgo, aparecen otros.
2. Aceptar: Asumiendo formalmente que los costos de mitigación son
demasiado altos respecto del beneficio de dicha mitigación.
3. Tratar: Mediante la implementación de elementos de control y/o mitigación
que reduzcan probabilidad o impacto de ocurrencia de un evento adverso.
4. Eliminar: Dejando de hacer las actividades que generan el riesgo.
Es importante recordar, que peor que no hacer algo respecto de un riesgo
conocido, es desconocer la existencia del mismo. Por tanto, el proceso de
levantamiento e identificación de los riesgos requiere de un alto nivel de
minuciosidad, detalle y participación de todas las partes involucradas,
especialmente de los dueños de proceso y quienes ejecutan directamente las
actividades donde se pudieran presentar los riesgos. Sin embargo, desconocer unriesgo, es decir, hacer “la vista gorda” respecto de la mera existencia de uno,
incluso pudiera configurarse como un delito. Es por ello que es mejor identificar
todos los riesgos posibles y, en caso de decidir no tratar uno u otro, por cualquier
motivo, declararlo formalmente, documentado, para evitar sorpresas. En esta
declaración, para cada riesgo que no se tratará, sino que se acepta, es necesario
hacer una pequeña explicación de no más de un par de líneas que justifique o de
alguna forma explique porqué se acepta. Puede ser por un tema de costo, de
simple relevancia o porque está fuera de las competencias de la organización. Sin
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 16/168
embargo, es evidencia que el riesgo se conoce y la organización está consciente
de su existencia.
En este texto se hará especial énfasis en intentar llevar apreciaciones subjetivas a
resultados objetivos, involucrando fórmulas matemáticas como parte de una
metodología para determinar lo más objetivamente la Magnitud del Riesgo al cual
una organización se expone. Sin embargo, no hay ninguna metodología
perfecta, ideal o desde el punto de vista opuesto, mala o siquiera errada .
Existen tantas metodologías de Gestión de Riesgos, como profesionales y
organizaciones que las aplican. De hecho existen más de una treintena de
metodologías formales que pueden ser utilizadas para la Gestión de Riesgos.
En este texto se utilizará la metodología de Matriz de Probabilidad x Impacto a
objeto de representar gráficamente los resultados del proceso de Apreciación del
Riesgo. El motivo por el cual se ha seleccionado esta metodología, es que ella es
la más próxima a lo indicado en los estándares ISO, en todas aquellas instanciasen las que se requiere evaluar algún tipo de riesgo, sea de seguridad, continuidad,
medio ambiental, salud ocupacional, responsabilidad social, inocuidad alimentaria
entre muchas otras. Ninguna Norma ISO especifica explícitamente que se debiera
utilizar una matriz de Probabilidad x Impacto, sin embargo sí indica que es
necesario, al momento de considerar el riesgo, conocer su Probabilidad y
Consecuencia.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 17/168
NORMAS Y BUENAS PRÁCTICAS
Al tratar de analizar los riesgos por primera vez, es necesario buscar referencias o
parámetros para conocer cómo gestionarlos o simplemente cómo identificar el
riesgo. Existen diversas normas internacionales y recomendaciones respecto de la
gestión de riesgos específicos. Por mencionar algunas, sin ser una lista exhaustiva
ni mucho menos detallada, se puede mencionar a: ISO 9001:2015 que busca
gestionar los riesgos asociados a la calidad del producto/servicio; ISO 14001 que
busca gestionar los riesgos medioambientales; OHSAS 18000 que busca
gestionar los riesgos laborales; ISO 22001 que busca gestionar los riesgos
relacionados a la inocuidad alimentaria; ISO 19600 que busca gestionar los
riesgos relacionados con el cumplimiento o “compliance”; BASILEA I, II y III, que
es una “recomendación” en el ámbito de la industria financiera, aunque en algunos
países es una exigencia para la industria financiera; SOX, Ley norteamericana que
busca hacer responsables a la alta dirección de conocer exactamente el origen,
flujo y destino de los recursos que por ella transitan; COSO I, II y III, así como
SAS, que también son “recomendaciones” que apuntan esencialmente a la
información contable y financiera, aunque COSO III es bastante más amplia y se
puede aplicar a otras instancias; la Directiva del Parlamento Europeo Solvencia I y
II que regula en forma continental (Europa) la industria de los seguros; ITIL busca
gestionar riesgos asociados específicamente al ámbito de servicios y tecnologías,
al igual que ISO 20000; ISO 27001, que busca controlar los riesgos relacionados
con la Seguridad de la Información; y la Guía ISO/CEI 73:2002 que proporciona
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 18/168
definiciones genéricas de términos relacionados con la Gestión de Riesgos. Todas
las anteriores, sólo por mencionar algunas, son referencias válidas de reglas,
definiciones o lineamientos de Gestión de Riesgos que pueden y debieran ser
utilizadas como mínimo como un punto de referencia.
Como se puede observar, existe un enorme universo de recomendaciones y
normas que son específicas a temas puntuales. Sin embargo, del concepto más
amplio de riesgo en forma genérica, del concepto de Gobierno Corporativo de la
Gestión de Riesgos, aplicable a todo tipo de gestión de riesgos, se plasma en la
norma ISO 31000, complementada con la norma ISO 31010 que establece
técnicas de evaluación de los riesgos. Esta norma no es específica, puesto que la
variedad de riesgos e Industrias hace que sea prácticamente imposible determinar
un criterio único y uniforme. Sin embargo, sí es posible estandarizar algunos
conceptos que sí son transversales a toda industria y proceso. Es justamente por
ello que la Norma ISO 31000 no es certificable, las variantes son tantas en función
de las infinitas características y particularidades de cada organización, que no se
puede estandarizar. El mismo concepto de riesgo que para unos puede ser una
cosa, para otros puede ser algo distinto.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 19/168
Existen distintos tipos o categorías de riesgos, los que para efectos de este texto
serán considerados los Ámbitos de Riesgo.
Están los Riesgos de Crédito, que hacen esencialmente referencia al riesgo de no
poder recuperar recursos entregados a otros. Por ejemplo, cuando se vende a
crédito, existe un plazo en el cual el producto está entregado, posiblemente
distribuido e incluso puede estar consumido, pero aún no se recibe el pago. Si
durante ese plazo el cliente desaparece por cualquier motivo (quiebra, muerte,
fraude, etc.), no es posible recuperar los recursos y por ende se genera una
pérdida y un impacto negativo. Lo mismos es aplicable a la industria bancaria,
cuando se otorga un crédito propiamente tal, al servicio público y empresas de
bienes y/o servicios.
Están los Riesgos de Mercado o Político - Sociales, que se asocian a las
condiciones socio-económicas del mercado en que la organización realiza sus
actividades. En este sentido se consideran posibles cambios en el mercadointernos, estabilidad geopolítica del lugar de desarrollo de la actividad, estabilidad
social, factores culturales, etc. Todos estos eventos pueden generar la
materialización de riesgos y la pérdida de la totalidad de los ingresos e incluso de
la misma propiedad de la organización. Sin embargo, son riesgos propios del lugar
donde se realiza la actividad.
También está el Riesgo de Negocio. Este es el riesgo propio de invertir en un área
productiva o de servicio y que los resultados no sean los esperados o incluso
negativos. Por ejemplo invertir en la adquisición de una cantidad de productos y no
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 20/168
lograr venderlos en los plazos definidos para generar una utilidad o rentabilidad
adecuada, podría generar pérdidas de capital.
Finalmente está el Riesgo Operacional. Este tipo de riesgo abarca toda aquella
situación que, indistinto de su origen o causa raíz, pudiera directa o indirectamente
afectar la operación o funcionamiento de una organización en su quehacer
cotidiano. Así las cosas, el Riesgo Operacional abarca los riesgos legales, desde
el punto de vista de la fiscalización, de la relación con clientes y proveedores, e
incluso con los propios empleados o con terceras partes que pudieran estar
involucradas, como un directorio o una junta de accionistas. También incluye los
temas medio ambientales, seguridad de las personas, tecnologías, seguridad de la
información, seguridad ante situaciones de emergencia, sea originadas por el
hombre o la naturaleza, etc. El Riesgo Operacional abarca escencialmente
aquellos riesgos que directa o indirectamente pudieran afectar la Calidad,
Continuidad, Seguridad de la Información y eventualmente los aspectos legales.
Es decir, todo lo que no está en los Ámbitos de Riesgo mencionados
anteriormente.
Particularmente, cuando se evalúa el Riesgo Operacional, dada su diversidad de
ámbitos, es recomendable clasificar los riesgos en los ejes que corresponda. Así
se tendrán riesgos asociados al Eje Calidad, al Eje Seguridad de la Información, al
Eje Continuidad Operacional y al Eje Legal.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 21/168
Dado lo anterior, la “familia” de las Normas ISO 31.000 es una buena guía que
puede ser complementada con buenas prácticas al respecto, que pueden
adoptarse o adaptarse según sea el caso, a casi cualquier organización.
Nota: ISO 31.004 es la guía de implementación de ISO 31.000
Otra recomendación es Basilea II, la cual es el resultado de la segunda
recomendación emitida por el Comité de Basilea o Comité de Supervisión
Bancaria de Basilea , en el año 2004, la que pese a ser una norma orientada a la
industria financiera, puede aplicarse efectivamente a cualquier industria,
diferenciando pequeños matices, siendo la primera “recomendación” en que se
identifican y tipifican los tres principales pilares de riesgo, los cuales tienen
aproximadamente el mismo “peso” o relevancia en la Gestión de Riesgos y que no
son propios de su quehacer (Riesgo de Negocio). Estos son el Riesgo de Crédito,
Riesgo de Mercado y Riesgo Operacional antes mencionados.
Una pregunta frecuente es ¿Qué se entiende por “Buena Práctica”? Existen
Normas, que pueden ser de reconocimiento nacional o internacional, orientadas a
una industria, procesos específicos o genéricos a todo tipo de organización, que
consisten en un conjunto de reglas y mandatos que la organización se auto
impone como obligatorias; está la legislación de cada localidad, la Ley, que
consiste de un conjunto de reglas y mandatos impuestos por un ente supervisor;
existen las Recomendaciones, que consisten de un conjunto de elementos y
reglas que pudieran ser implementadas o eventualmente asimiladas o adaptadas
a la organización; y las Buenas Prácticas consisten en reglas, controles y en
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 22/168
Fig 2 Proceso de Gestión de RiesgosFuente: ISO 31000:2009
Fig 1 Ciclo PDCA
Fuente: Estándares ISO
PLANIFICAR HACER
VERIFICARACTUAR
GESTIÓN DE RIESGOS
OP E RA C I ON
general ciertas actividades comunes a múltiples organizaciones a nivel global que
han dado resultados positivos similares y satisfactorios, transformándose así, en
“Buenas Prácticas”.
Por lo general el Ciclo de Denim o Ciclo PDCA (figura 1), ampliamente utilizado en
todas las Normas ISO para representar el ciclo de mejora continua, es una
excelente forma de explicar los aspectos generales del proceso de Gestión del
Riesgo. Al compararlo con el flujo del Proceso de Gestión de Riesgos (figura 2) se
puede observar la similitud.
El Ciclo PDCA (por sus siglas en inglés Plan, Do, Check, Act) desde la perspectiva
de la Gestión de Riesgo comienza por la identificación de los riesgos, producto de
lo cual se establecen planes de acción. Una vez estos planes de acción han sido
definidos (Planificar), se procede a su implementación u operativización (Hacer).
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 23/168
Una vez implementados los planes de acción, es necesario verificar la efectividad
de ellos, mediante una nueva medición de los riesgos (Verificar) y en función de
los resultados, es necesario tomar acciones adecuadas (Actuar), para lo cual se
procede a planificar … y así se va generando la mejora continua, la mitigación de
los riesgos y estos a su vez caen a niveles aceptables o a un punto en que pueden
ser traspasables a otras organizaciones tales como empresas de seguro o
proveedores estratégicos.
En este punto, es importante recordar que no importa cuánto se mitigue un riesgo
o un Factor de Riesgo específico, se puede gastar infinitos recursos, pero nunca el
riesgo será eliminado, excepto cuando se elimine la actividad o el conjunto de
actividades que generan dicho riesgo. Usualmente, la eliminación de una actividad
para eliminar un riesgo, conlleva el surgimiento de otros riesgos que antes no
existían.
Por ejemplo, la única forma de eliminar de raíz el riesgo de sufrir un ataquecibernético, es simplemente desconectar completamente a la organización de todo
equipo o quehacer relacionado con Internet. Una situación tan extrema como esta
podría presentar otros desafíos y generar otros riesgos o aumentar la probabilidad
de ocurrencia o el impacto de riesgos existentes, como pudiera ser un “error de
digitación” o “ilegibilidad del registro”, si los registros se realizan con lápiz y papel.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 24/168
ISO 31000
Pese a que no existe ningún estándar certificable que pueda definir un criterio u
orientación única para una adecuada Gestión de Riesgos, ISO (International
Standards Organization), dada su vasta experiencia en materias relacionadas, es
un referente importante que hay que considerar. Particularmente, y al darse
cuenta que todas sus normas de una u otra forma incorporan a la Gestión de
Riesgos específicos, la ISO decidió desarrollar una “Recomendación” o Guía para
la implementación de la Gestión del Riesgo. Es importante hacer notar que ISO en
ningún momento recomienda un Modelo o Sistema de Gestión del Riesgo basado
en algo parecido a lo planteado en otras normas tales como la ISO 9001, ISO
14001 u otras, pese a que implícitamente en cada una de las normas ISO
demanda una adecuada identificación y Gestión de Riesgos asociados a dichas
normas. De hecho, la revisión de ISO 9001:2015 incorporó explícitamente la
obligación de gestionar los riesgos y particularmente tomar en consideración la
probabilidad y consecuencia de los riesgos identificados.
En éste documento sólo se mencionará algunos de los aspectos de la norma,
puesto que entrar en su detalle corresponde a otro documento, con un análisis
más en profundidad de ella.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 25/168
ISO 31000 trata del Gobierno Corporativo, de cómo la organización en forma
integral puede gestionar sus riesgos y cuáles son los pasos que pudiera seguir
para ello. En su versión 2009 (actualmente en etapa de revisión), la Norma se
enfoca en los siguientes ámbitos:
0. Introducción
1. Alcance
2. Términos y Definiciones
3. Principios
4. Marco de Acción
5. Procesos
En los Términos y Definiciones, ISO 31000 define lo que el estándar entiende por
29 conceptos específicos. Complementariamente en la Guía 73 se incluye una
serie de definiciones que aplican a todas las normas ISO. El objetivo es que
cualquiera que implemente en base a estas guías, entienda lo mismo para el
mismo concepto.
Los principios de la Gestión de Riesgos de la guía ISO 31.000 son 11 y se
enumeran a continuación:
a. Crear Valor
b. Está integrada en los procesos de la organización
c. Forma parte de la toma de decisiones
d. Trata explícitamente la incertidumbre
e. Es sistemática, estructurada y adecuada
f. Está basada en la mejor información disponible
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 26/168
g. Está hecha a medida
h. Tiene en cuenta factores humanos y culturales
i. Es transparente e inclusiva
j. Es dinámica, iterativa y sensible al cambio
k. Facilita la mejora continua de la organización
Fuente: ISO 31000:2009
No se entrará a analizar cada uno en detalle, existe suficiente literatura en el
mercado y en Internet como para profundizar cada uno de estos Principios.
Actualmente la guía ISO 31000:2009 se encuentra en revisión, siendo que eldiagrama adjunto mostraría los principales ámbitos de cambios en la norma. Estos
básicamente profundizan en mayor detalle algunos aspectos abarcados por la
versión 2009.
Relación general entre las secciones de ISO 310000:20XX y el estándar existente
Fuente: Traducción desde Draft Design Specification for the revision of ISO 31000
P r o c e s o s
ISO 31000:20xx ISO 31000:2009
Introducción Introducción
1. Alcance 1. Alcance
2.- Conceptos Clave y Definiciones 2.- Términos y definiciones (29)
3.- Principios3.- Proceso de toma de decisiones en organizaciones
4.- Proceso de consideración de la incertidumbre en latoma de decisiones
5.- Proceso de consideración de la incertidumbrecuando han existido cambios sucesivos
4.- Marco de trabajo
5.- Procesos
6.- Estructura organizacional y capacidades
7.- Criterios de rendimiento
Anexo A
Bibliografía
AnexosA. Expresiones comunes (contemporáneas y legadas)B. Aplicación a otros estándaresC. Aplicación a requisitos de aproximación basada en
riesgoD. Aplicación en ambientes ISO 31000:2009
El esquema esta diseñado para mostrar donde los
conceptos en el estándar existente serán
principalmente considerados en el borrador del
nuevo estándar
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 27/168
COSO III
La recomendación del Committee of Sponsoring Organizations of the Treadway
Commission (COSO) es bastante extensa, por lo que no corresponde su análisis
detallado en este documento. No obstante, es importante hacer mención de
algunos aspectos relevantes.
El objetivo principal del informe COSO es establecer una definición de control
interno que sea común para todas las entidades y que ayude a las organizaciones
a evaluar de mejor manera sus sistemas de control y en definitiva mejorar su
proceso de toma decisiones.
Particularmente COSO III define que la Gestión de Riesgos corporativos como el
proceso que incluye las siguientes capacidades:
Alinear el riesgo aceptado y la estrategia: En su evaluación de alternativas
estratégicas, la dirección debiera considerar el riesgo aceptado por la
entidad, estableciendo los objetivos correspondientes y desarrollando
mecanismos para gestionar los riesgos asociados.
Mejorar las decisiones de respuesta a los riesgos: La gestión de riesgos
corporativos proporciona rigor para identificar los riesgos y seleccionar
entre las posibles alternativas de respuesta a ellos: evitar, reducir, compartir
o aceptar.
Reducir las sorpresas y pérdidas operativas: Las entidades consiguen
mejorar su capacidad para identificar los eventos potenciales y establecer
respuestas, reduciendo las sorpresas y los costes o pérdidas asociados.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 28/168
Identificar y gestionar la diversidad de riesgos para toda la entidad: Cada
entidad se enfrenta a múltiples riesgos que afectan a las distintas partes de
la organización y la gestión de riesgos corporativos facilita respuestas
eficaces e integradas a los impactos interrelacionados de dichos riesgos.
Aprovechar las oportunidades: Mediante la consideración de una amplia
gama de potenciales eventos, la dirección está en posición de identificar y
aprovechar las oportunidades de modo proactivo.
Mejorar la dotación de capital: La obtención de información sólida sobre el
riesgo permite a la dirección evaluar eficazmente las necesidades globalesde capital y mejorar su asignación.
Contando con estas capacidades, COSO define que:
El entorno de control: Marca la pauta del funcionamiento de una
organización e influye en la concienciación de sus empleados respecto al
control. Es la base de todos los demás componentes del control interno.
Principio 1: Demuestra compromiso con la integridad y los valores éticos
Principio 2: Ejerce responsabilidad de supervisión
Principio 3: Establece estructura, autoridad, y responsabilidad
Principio 4: Demuestra compromiso para la competencia
Principio 5: Hace cumplir con la responsabilidad
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 29/168
La Evaluación de los riesgos: consiste en la identificación y el análisis de
los riesgos relevantes para la consecución de los objetivos, y sirve de base
para determinar cómo han de ser gestionados los riesgos.
Principio 6: Especifica objetivos relevantes
Principio 7: Identifica y analiza los riesgos
Principio 8: Evalúa el riesgo de fraude
Principio 9: Identifica y analiza cambios importantes
Las Actividades de control: las actividades de control son las políticas y los
procedimientos que llevan a cabo las instrucciones de la dirección. Hay
actividades de control en toda la organización, a todos los niveles y en
todas las funciones; en éstas incluyen aprobaciones, autorizaciones,
verificaciones, conciliaciones, y otras.
Principio 10: Selecciona y desarrolla actividades de control
Principio 11: Selecciona y desarrolla controles generales sobre tecnología
Principio 12: Se implementa a través de políticas y procedimientos
Principio 13: Usa información Relevante
La Información y comunicación: hay que identificar, recopilar y comunicar
información pertinente en forma y plazo que permitan cumplir a cada
empleado con sus responsabilidades.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 30/168
Principio 14: Comunica internamente
Principio 15: Comunica externamente
Supervisión: los sistemas de control requieren de un proceso que
comprueba que se mantiene el adecuado funcionamiento del sistema a lo
largo del tiempo; esto se consigue mediante supervisión controlada,
evaluaciones periódicas o ambas.
Principio 16: Conduce evaluaciones continuas y/o independientes
Principio 17: Evalúa y comunica deficiencias
Fuente: Informe COSO III - 2013
En resumen, COSO se parece mucho al modelo PDCA que usa ISO, donde se
desarrolla un Ambiente de Control, sobre el cual se desarrolla la Evaluación de
Riesgos, que debe ser
controlada mediante
Actividades de Control,
producto de lo cual se
genera información y
comunicación, la cual debe
ser monitoreada para
adecuar el Ambiente de
Control.
Fuente: Informe COSO II - 2004
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 31/168
BASILEA
Se le conoce como Basilea I, Basilea II y Basilea III, pero esencialmente son
informes y “recomendaciones” del Comité de Basilea o Comité de Supervisión
Bancaria de Basilea. Estas son normas para las instituciones financieras que
directa o indirectamente participan o de alguna forma son supervisadas por
organismos relacionados a la banca mundial. La principal característica de Basilea
II fue la de reconocer la existencia de un tipo de riesgo distinto a los conocidos a la
fecha, Riesgo de Crédito y Riesgo de Mercado. El Riesgo del Negocio está
implícito en el Riesgo de Crédito, el principal negocio de las institucionesfinancieras, por lo que no se considera. Sin embargo, se definió por primera vez la
existencia de un Riesgo Operacional. Esto es que existe riesgo para mi
organización, producto de la misma organización, su funcionamiento y operación
y/o sus colaboradores, infraestructura o tecnologías involucradas.
De esta forma, Basilea reconoce la necesidad de gestionar específicamente los
riesgos operacionales respecto de las siguientes 7 categorías:
CATEGORIA DEFINICIÓN
FRAUDE INTERNO Riesgos derivados de algún tipo de actuación
orientada a cometer fraude, apropiarse de bienes
(robo) o soslayar la legislación (informes adulterados)
en los que se encuentran involucrados, al menos, una
persona perteneciente al grupo.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 32/168
CATEGORIA DEFINICI N
FRAUDE EXTERNO Riesgos derivados de algún tipo de actuación
orientada a cometer fraude, apropiarse de bienes o
soslayar la legislación por parte de terceros ajenos a
la compañía.
RELACIONES
LABORALES Y
SEGURIDAD EN EL
TRABAJO
Riesgos derivados de actuaciones incompatibles con
la legislación o acuerdos laborales sobre empleo
(despido injustificado) y seguridad laboral, así como
las derivadas de reclamos por daños personales
(físicos o síquicos), incluidas las relativas a acoso y
discriminación.
CLIENTES,
PRODUCTOS Y
PRÁCTICAS
EMPRESARIALES
Riesgos derivados del incumplimiento involuntario,
negligente o doloso de una obligación frente a los
clientes, que pueden generar, como por ejemplo,
costos y responsabilidad civil asociada con temas de
idoneidad, incumplimiento de obligaciones fiduciarias
(obligación de actuar lo mejor posible en beneficio de
los intereses de otra parte) y prácticas de venta.
DAÑOS A ACTIVOS
MATERIALES
Riesgos derivados de daños o perjuicios a activos
materiales o inmateriales, como consecuencia de
desastres naturales u otros eventos causados por la
mano del hombre (Protestas, paros, atentados
terroristas, etc).
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 33/168
CATEGORIA DEFINICI N
INCIDENCIAS EN EL
NEGOCIO Y FALLOS
EN LOS SISTEMAS
Riesgos derivados de interrupciones inesperadas de
la actividad y/o de la prestación de servicios,
provocadas por fallas en los sistemas (problemas de
software, hardware o telecomunicaciones u otras
tecnologías).
EJECUCI N, ENTREGA
Y GESTIÓN DE
PROCESOS
Riesgos derivados de errores en el procesamiento de
operaciones o en la gestión de procesos (gestión
interna), así como de relaciones con contrapartes
comerciales y proveedores. Podría incluir los
asociados a temas legales.
Fuente: Informe Basilea II - 2004
Lo anterior, sin dejar de lado las gestiones realizadas respecto de los Riesgos de
Crédito y Riesgos de Mercado ya conocidos con anterioridad.
Cómo se puede observar, desde el punto de vista operacional, los riesgos o
Categorías de Riesgos especificados por Basilea son bastante transversales a
todo tipo de organización, indistinto que esté o no relacionada a la industria
financiera o específicamente a la banca. A diferencia de las otras normas y
recomendaciones, Basilea es la única que especifica y agrupa de alguna forma los
riesgos.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 34/168
Adicionalmente, Basilea ha generado una definición de riesgo bastante interesante
y adaptable a los conceptos de Gestión de Riesgo. Así ha definido el Riesgo
Operacional como:
“ El riesgo de pérdidas resultantes de la falta de adecuación o fallas en los
procesos internos, de la actuación del personal o de los sistemas o bien aquellas
que sean producto de eventos externos.” Fuente: Informe Basilea II – Banco Mundial
En definitiva, el r iesgo de pérdidas resultante de… cualquier situación o evento
adverso que ocurra.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 35/168
SOX
Sox es una legislación norteamericana que nace a principios del milenio (2002)
como respuesta a una serie de situaciones financieras de grandes empresas y
conglomerados que afectaron la economía global. Al consultar a cualquier
entendido en la materia, cuál es el punto más relevante de la legislación, todos
responderán, con un 100% de certeza, que la sección 404 de la Ley.
“ SEC. 404. MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS.
(a) RULES REQUIRED.—The Commission shall prescribe rules requiring each
annual report required by section 13(a) or 15(d) of the Securities Exchange Act of
1934 (15 U.S.C. 78m or 78o(d)) to contain an internal control report, which shall —
(1) state the responsibility of management for establishing and maintaining an
adequate internal control structure and procedures for financial reporting; and (2)
contain an assessment, as of the end of the most recent fiscal year of the issuer, of
the effectiveness of the internal control structure and procedures of the issuer for
financial reporting.
(b) INTERNAL CONTROL EVALUATION AND REPORTING .—With respect to the
internal control assessment required by subsection (a), each registered public
accounting firm that prepares or issues the audit report for the issuer shall attest to,
and report on, the assessment made by the management of the issuer. An
attestation made under this subsection shall be made in accordance with
standards for attestation engagements issued or adopted by the Board. Any such
attestation shall not be the subject of a separate engagement.”
Fuente: Sabarnes-Oxley Law – Biblioteca del Congreso de EEUU - 2002
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 36/168
"SEC. 404. Evaluación de la Dirección respecto de los controles internos.
(A) NORMAS REQUERIDAS.-La Comisión debiera fijar las reglas que
requieren cada informe anual requerido por el artículo 13 (a) o 15 (d) de la
Ley de Valores de 1934 (15 USC 78m 78o o (d)) para contener un control
interno informe, que deberá: (1) precisar la responsabilidad de la
administración para establecer y mantener una estructura de control interno
adecuado y procedimientos para la presentación de informes financieros; y
(2) contener una evaluación, a partir de finales del año fiscal más reciente
del emisor, de la eficacia de la estructura y los procedimientos del emisor
de la información financiera de control interno.
(B) CONTROL INTERNO DE EVALUACIÓN Y NOTIFICACIÓN.-Con respecto
a la evaluación del control interno requerido por el inciso (a), cada firma de
contabilidad pública registrada que prepare o expida el informe de auditoría
para el emisor, deberá dar fe e informar sobre la evaluación hecha por la
administración del emisor. Una certificación hecha bajo esta sección
deberá hacerse de acuerdo con las normas para las certificaciones
emitidas o adoptadas por el Consejo. Dicha certificación no será objeto de
un compromiso por separado".
Fuente: Traducción Sabarnes-Oxley Law – Biblioteca del Congreso de EEUU – 2002
Otros artículos de la Ley que son relevantes, son:
Sec. 302. Responsabilidad corporativa por reportes financieros
Sec. 303. Influencia inapropiada en la conducción de auditorías
Sec. 401. Revelaciones en reportes periódicos
Sec. 802. Penalidades criminales por alterar documentos
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 37/168
En buen español, lo que esta Ley establece es que es responsabilidad de los
dueños y directores y todo aquel con facultades de administración, la disposición
de información detallada y fidedigna de los movimientos de los recursos de la
organización, particularmente los financieros, así como todo acto que intente
engañar las fiscalizaciones. Los estados financieros deberán ser auditados por un
tercero que acreditara la veracidad de los datos. El punto más relevante de ello es
que sea FIDEDIGNA. En definitiva, busca de alguna forma salvaguardar la fe
pública.
En resumidas palabras, la ley SOX establece la pena de presidio para quienes
incumplan la obligación de contar y entregar información financiera fidedigna.
Dado lo anterior, se entiende porqué el nivel de preocupación de los empresarios
norteamericanos respecto de esta Ley. Hasta la promulgación de la misma, no
existían penas de cárcel para quienes realizaban desfalcos a las compañías en las
cuales se desempeñaban, particularmente sociedades anónimas donde laresponsabilidad final recae en los accionistas, limitada a la cantidad de acciones
que cada uno representa. Con esta legislación, adicionalmente, se hizo
responsables a todos quienes tuvieran algún nivel de capacidad de administración
de recursos financieros, debiendo responder en cualquier momento con
información suficiente y fidedigna, como para poder identificar con absoluta
certeza qué dinero entró, por donde pasó y en qué se gastó.
Por otro lado, existe un tema de alcance. En general las distintas legislaciones
aplican territorialmente. Sin embargo, esta ley aplica a toda empresa
norteamericana o que tenga algún grado de participación de una empresa
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 38/168
norteamericana. Esto es, si una empresa de origen norteamericano es dueña de
una acción de una compañía de cualquier otro lugar del mundo, los fiscalizadores
pueden hacer responsables a los directivos connacionales responsables por
información falsa o no fidedigna respecto de la empresa que no es norteamericana
y cuyos resultados deben declarar para efectos impositivos.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 39/168
FORMALIZACIÓN DE UN MODELO DE GESTION DE RIESGOS (MGR)
No es posible implementar un Modelo de Gestión estandarizado en todas las
organizaciones del tipo establecido en las normas ISO, pero para efectos de
Gestión de Riesgos es posible incorporar en la organización una cultura de su
gestión y un “sistema” o “modelo” que opere en forma permanente para garantizar
en algún grado su correcta adopción y operación.
Una vez definido por las máximas autoridades de la organización, que se requiere
identificar, evaluar, tratar y gestionar sus Riesgos mediante un MGR, una de las
primeras acciones es la de generar conciencia y responsabilidad en toda la
organización. Esta acción puede desarrollarse en paralelo a otras acciones
también necesarias, como las definiciones respecto del MGR, metodología, etc.
Para generar conciencia organizacional es necesario se cumplan varios requisitos
y formalismos. Para comenzar, es necesario definir, formalizar e informar a laorganización, cuáles serán los objetivos del MGR, los que debieran estar
alineados con los objetivos estratégicos de la organización. Por ejemplo, un
adecuado MGR podría aumentar el valor de las acciones de una empresa, facilitar
la gestión de riesgos relacionados con normativas y regulaciones, abrir mercados
que antes no estaban al alcance, reducir accidentes de personal y por ende
mejorar las características de los seguros, etc.
La organización debe definir una estructura organizacional que pueda administrar
adecuadamente los Riesgos e informar a las autoridades correspondientes para
que, con la debida diligencia respecto de los eventos que pudieran materializar
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 40/168
Riesgos, se ejecuten acciones de mitigación y se tomen acciones de mejora para
evitar o reducir la probabilidad de una nueva ocurrencia o el impacto de la misma.
En este sentido, se puede definir un Comité de Riesgos o un comité existente
designarlo como tal. Este comité tendrá por principal función generar un
seguimiento permanente a las Políticas de Gestión de Riesgos y a los Riesgos
específicos identificados y deberá mantener informado periódicamente a las
máximas autoridades de la organización, sean estas el dueño, el directorio, la
Junta de Accionistas, o quien corresponda. Además, es necesario definir un
responsable único o un equipo de trabajo liderado por él, que tenga dedicación, a
lo menos prioritaria a estos temas, pudiendo combinarlos con temas tales como
Seguridad de la Información (OSI), Oficial de Cumplimiento o Compliance, Oficial
de Riesgo, Auditoría, u otros modelos de gestión (del tipo requerido por los
estándares ISO), etc.
Fig 3 Organigrama tipo
En la figura 3 se muestra un organigrama tipo donde el Comité de Administración
de Riesgos puede estar relacionado directamente con la Gerencia General o
directamente con el Directorio o Dueños de la empresa. Eventualmente, puede
DIRECTORIO
Gerencia
General Staff
Comité de
Riesgo
Gerencia 1 Gerencia 2 Gerencia N
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 41/168
estar también bajo el alero de una Contraloría o Jurídico, aunque dependiendo del
giro de la empresa, en la mayoría de los casos, no es recomendable que estén en
el ámbito legal, puesto que se tiende a minimizar los Riesgos relacionados con
otros factores, como el Operacional. El Comité de Administración de Riesgos
necesariamente debe estar fuera de las áreas de negocio y aquellas que generan
Riesgo. La razón es evidente, no se puede evaluar objetivamente una situación de
la cual se es parte. Igualmente, el Comité de Riesgos debe incorporar a todas las
áreas que generan y son “dueñas” de los procesos donde existen los Riesgos,
presidido por el Gerente General o el Contralor de la empresa. En esta instancia
se deberá informar regularmente el estado de la gestión de los riesgos, tomar
decisiones respecto de mejoras y tratamiento de los Riesgos, así como definir y
estructurar informes para el Directorio o Dueño.
Adicionalmente, dado que el principal Riesgo en toda organización tiene que ver
directamente con el “Error humano”, es necesario especificar e incorporar dentro
de la reglamentación interna, perfiles de cargo y/o los propios contratos de trabajo,
cláusulas específicas respecto de la Gestión de Riesgos que individualmente cada
colaborador debe realizar en sus actividades dentro de los procesos del negocio,
sean estas esporádicas o cotidianas.
Una forma de difundir esta propuesta es la capacitación. Sin embargo, si se
combina con campañas lúdicas se puede mantener el interés por identificar y
gestionar los riesgos. Por ejemplo, hacer una “cacería de riesgos” con un p remio
para quien identifique el riesgo más relevante no identificado anteriormente, o una
“búsqueda del mitigador perdido” donde se premie a qu ien proponga controles o
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 42/168
mitigadores efectivos que pudieran reducir costos o reducir impacto o probabilidad
o una combinación de ellos, etc. Los premios no necesitan ser costosas joyas,
vehículos de lujo o viajes paradisiacos, pero sí puede ser una cena familiar en
algún lugar al cual habitualmente los trabajadores no tendrán acceso por los
costos que ellos significa, un par de días libres, entradas para el cine o un
concierto de música, entradas para un parque de diversiones, obras de teatro, un
fin de semana en algún hotel o resort cercano, etc. De hecho, la misma campaña
es un mitigador, puesto que toda la organización estará atenta a los Riesgos y los
gestionará e informará a objeto de postular a obtener algún premio.
El MGR debe necesariamente ser revisado y actualizado regularmente por la
unidad encargada de la Gestión de Riesgos y adicionalmente, cada vez que se
produzca un cambio estructural o de proceso, una nueva evaluación específica
debe realizarse. El resultado de estas evaluaciones y su evolución respecto de
períodos anteriores debe ser informado al Comité de Riesgos o aquel que cumpla
con sus funciones, para que a su vez, de considerarlo relevante, el Comité informe
a las autoridades superiores para una toma de conocimiento y posterior definición
de acciones de mitigación cuando correspondan. No obstante, periódicamente es
necesario mantener informadas a las autoridades de la organización, puesto que
dicha información pudiera ser relevante en las tomas de decisiones que se
realicen. Por ejemplo, decisiones estratégicas tales como la venta, compra o
fusión de la organización, salida a mercado de valores, etc. Adicionalmente, la
estructura, políticas y principales aspectos del MGR deben ser revisados
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 43/168
periódicamente por el Comité de Riesgos y sus resultados y decisiones tomadas,
deben ser informadas y ratificadas por el Directorio o Dueños.
En organizaciones muy grandes para que sólo una persona gestione los riesgos,
se puede definir “responsables” sectoriales o de cada área o gerencia de la
organización. Cada uno de estos tendrá la responsabilidad parcial de supervisar y
controlar la operación y funcionamiento del MGR en el área o unidad a la cual se
le asigna.
De igual forma, cuando la organización es mediana o grande, es necesario contar
con “especialistas” en Riesgos. Estos especialistas apoyarán al Comité de Riesgo
para evaluar determinados riesgos específicos. Por ejemplo un especialista en
riesgos tecnológicos, otro en temas legales, otro en temas contables, etc. Estos
especialistas colaboran con la identificación de riesgos, su valorización y con la
capacitación a los colaboradores en la gestión de controles y mitigadores que
ataquen estos riesgos.
Probablemente lo más difícil para un modelo de gestión de cualquier tipo, es
justamente mantenerlo vigente, activo y consciente. Particularmente respecto de
un MGR, es necesario realizar las actividades suficientes para llegar al punto en
que los colaboradores inconscientemente comiencen a gestionar sus Riesgos,
simplemente porque es buen negocio para todos hacerlo.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 44/168
BUSINESS IMPACT ANALYSIS (BIA)
Una forma de introducir a una organización en los conceptos relacionados a la
Gestión de Riesgos y su relevancia para el quehacer de la misma, es mediante el
desarrollo de un Análisis de Impacto en el Negocio o BIA (por su sigla en inglés).
El motivo es simple, con un análisis de alto nivel como un BIA, se puede
sensibilizar y eventualmente convencer a las autoridades y particularmente a los
mandos medios, que la Gestión de Riesgos genera un aporte relevante para la
organización y que es necesaria. El peor de todos los Riesgos, es aquel que se
desconoce. Se desconoce por donde puede llegar, se desconoce cómo puede
llegar y se desconoce cuánto va a “doler” su materialización. Justamente estos
tres conceptos son la base inicial para justificar el desarrollo de un BIA.
En el BIA se busca evaluar el impacto que pudiera tener en la organización uno o
un conjunto de eventuales incidentes que pudieran afectar los procesos críticos dela organización y producto de este análisis, determinar las acciones preventivas
que pudieran mitigar el impacto de la materialización de dichos incidentes. Este
impacto pudiera ser de tipo monetario, el más evidente, pero también pudiera ser
de tipo inmaterial como la imagen o incluso de tipo jurídico o normativo el que no
necesariamente termina en un costo directamente monetario. Eventualmente,
pudiera incluso generar la disolución de la sociedad. Considerando que es una
primera herramienta para identificar escenarios y eventos que pudieran
materializarse y en base a ello definir un BCP o un DRP, su principal valor para la
Gestión de Riesgos es la información que se debe levantar para poder desarrollar
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 45/168
este análisis y la sensibilización respecto de los Riesgos que afecta a quienes
realizan la toma de decisión y la gestión diaria de ellos.
Cuando se realiza un BIA, lo primero es definir cuáles son los procesos críticos de
la organización. Es común que se piense que son los procesos de producción o
venta, pero usualmente no son los únicos. En este primer paso es donde la
organización comienza a tomar conciencia de cuáles son sus procesos críticos
reales. Por ejemplo, una empresa productiva, considerará el proceso de
producción como crítico. Sin embargo, el proceso de recepción de materias primas
puede ser tanto o más crítico, al igual que el proceso de despacho o distribución, o
el de mantención de equipamiento tecnológico utilizado en la producción.
Para poder identificar los procesos críticos es necesario tomar una referencia y
entender qué es un proceso crítico. Un proceso crítico es aquel sin el cual la
organización no puede hacer su negocio. Suena absurdo y demasiado
evidente, pero tendemos a olvidar o a dejar de lado lo evidente y concentrarnos enlo que no lo es. En el caso de una fábrica de algo, es evidente que el proceso
productivo es crítico, pero si no hay un proceso de adquisiciones y otro de logística
y recepción de insumos, el primero no sirve de nada. Una forma fácil para
identificar los procesos críticos es hacer un “mapa” o un diagrama general de la
interacción de los procesos y luego ir sacando uno a uno y observar si el negocio
puede seguir funcionando. Usualmente los procesos de recursos humanos no son
críticos, al igual que la contabilidad y eventualmente incluso bodegaje o
almacenaje. Pero consideremos una organización que presta servicios. Digamos
una empresa de transporte. Para efectos del ejemplo da lo mismo que el tipo de
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 46/168
transporte sea de carga, personas, valores, animales vivos, u otros. Las empresas
de transporte, en general, tienen esencialmente un proceso de retiro o carga de lo
que se transportará, uno de logística o transporte y uno de despacho o entrega.
Sin embargo, si el camión, bus o avión no tiene combustible, el servicio no se
puede prestar. Luego, el proceso de carga de combustible es crítico. Por otro lado,
la mantención periódica de los vehículos, el retraso en un par de días o una
semana no impide prestar el servicio, indistinto que los riesgos relacionados a la
mantención aumenten, por tanto no es un proceso crítico. En general, toda
organización depende de las personas, del “recurso humano”. Sin embargo, salvo
casos contados, los procesos de contratación, asignación de beneficios, pago de
remuneraciones, etc., relacionados con las personas o procesos de recursos
humanos, usualmente no son críticos.
Veamos otro ejemplo. Una empresa que produce productos intravenosos tales
como sueros, productos oncológicos u otros. Estos producen productos
específicos, diseñados para cada paciente individual en función de una receta
médica. Si se produce un error en su elaboración, personas pueden morir.
Evidentemente, el proceso de producción es extremadamente sensible. Sin
embargo, si no se entrega a tiempo, el paciente podría también morir. Luego la
logística de despacho también es un tema crítico. Por otro lado, en todo el mundo
se conoce cómo es la letra de los médicos, especialmente cuando se trata de
recetas. ¿Qué sucedería cuando se recibe la receta en forma illegible? Tenemos
otro proceso crítico.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 47/168
Una vez identificados los procesos críticos, es necesario priorizarlos. Todos son
críticos, pero habrá unos más críticos que otros. Puede usarse cualquier criterio,
pero es indispensable priorizarlos de alguna forma. Usualmente, los procesos
críticos más evidentes se les consideran más críticos. Por ejemplo, en una
universidad, el proceso de “Admisión y Matrícula” es evidentemen te el más
importante. En caso que dicho proceso se vea afectado, se corre el riesgo de
afectar los ingresos por un largo período de tiempo. No obstante, el proceso de
“Toma de Ramos” también es crítico, pero no tanto como la Admisión y Matrícula.
Identificados y priorizados los procesos, es necesario identificar los componentes
críticos de cada uno de ellos. Nuevamente, un componente crítico es aquel
cuya ausencia provoca que el proceso no funcione o se vea interrumpido.
Los componentes se ordenan en tres categorías: Recursos Humanos,
Infraestructura y Tecnologías. Estos componentes del proceso son los que se
combinan para transformar los elementos de entrada del proceso (insumos) en
elementos de salida (producto o sub-producto). Nuevamente, se requiere hacer un
diagrama del proceso crítico identificando los componentes y hacer el ejercicio de
sacar individualmente cada componente de cada actividad y evaluar si el proceso
se interrumpe. Cuando ello ocurra, se habrá identificado un componente crítico. Es
recomendable asignar un valor a los componentes críticos. Por ejemplo, un
componente crítico cuya ausencia o falla afecta a varios procesos críticos es más
relevante que uno que afecta sólo a uno. Por otro lado, un componente crítico del
proceso más crítico es más relevante que un conjunto de componentes críticos de
otros procesos menos críticos. ¿Cómo priorizar los componentes? Una forma es
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 48/168
asignar un valor a los procesos según su criticidad. En sentido inverso, el proceso
más crítico tendrá el valor más alto. Luego, a los componentes se les asigna un
valor equivalente a la suma de los valores de los procesos en que éste participa.
Así por ejemplo, un componente crítico, cuya ausencia afecta los proceso crítico 4
de 5 y 5 de 5 tendrá un “valor” de 1 + 2 = 3, mientras un componente crítico cuya
ausencia afecta únicamente el proceso más crítico de todos, el proceso crítico 1
de 5, tendrá un “valor” 5. Si un componente afecta a los dos procesos más críticos,
ese componente es más importante que otro que pudiera afectar únicamente a
uno u otro proceso.
Cuando se analizan estos componentes, se determinan escenarios que los
pudieran afectar, identificando Factores de Riesgo (FR) que pudieran afectar el
proceso crítico. Sin embargo, a estas alturas es necesario identificar también los
RPO y RTO. El RPO o Recovery Point Objective, es la cantidad de datos o
procesos que la organización considera tolerable o aceptable perder antes de
considerarlo una interrupción del proceso. El RTO o Recovery Time Objective es
la cantidad de tiempo que un proceso puede estar detenido hasta que éste se
reactiva sin ser considerado crítico. Por ejemplo, un banco puede definir que su
RPO no debe ser más de un segundo, puesto que una transacción de miles o
millones de dólares puede ocurrir justamente en ese instante. Por otro lado, su
RTO puede definirse como un par de horas. Esto es que una vez que ocurre el
incidente, pueden demorarse hasta dos horas antes de determinar que ha ocurrido
una interrupción de un servicio crítico. ¿Cuántas veces hemos ido al banco y nos
encontramos con la excusa “es que no hay sistema”? Para el banco un par de
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 49/168
horas puede ser grave, pero no crítico, mientras que más de eso ya pasa a ser
color de hormiga.
El proceso de Análisis del Impacto en el Negocio o BIA, identificará situaciones de
impacto severo o máximo que afectarán a la organización y permitirán establecer
planes de contingencia organizados en un BCP o incluso planes ante situaciones
de desastre que se configurarán en un DRP.
Sin embargo, para efectos de la Gestión de Riesgos, el BIA nos aporta
información relevante, en función de la metodología de Gestión de Riesgos que se
utilice. Los escenarios planteados en el BIA, la identificación de procesos críticos y
de sus componentes, así como de los principales Factores de Riesgo o
situaciones puntuales que pudieran ocurrir y el impacto que estas pudieran tener
sobre la organización, los RTO y RPO de los procesos y de las actividades
puntuales, son un importante insumo a considerar. Adicionalmente, la
implementación de un Plan de Continuidad de Negocio o BCP e incluso un DRP,son mitigadores de impacto que deben ser valorados y considerados al momento
de determinar los niveles de riesgo restante de las situaciones puntuales en las
cuales se activan estos planes.
A diferencia del proceso inicial de Gestión de Riesgo, en que se asume existe una
Probabilidad y un Impacto, para efectos del BIA se asume una probabilidad 100%.
Esto es un evento que se ha materializado. Lo que un Modelo de Gestión de
Riesgos permite, es racionalizar y priorizar las inversiones y costos asociados a
las respuestas necesarias para hacer frente a los eventos detectados en un BIA.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 50/168
ANÁLISIS FODA
Otra forma de introducir a la organización en la Gestión de Riesgos, es mediante
la realización de un detallado análisis FODA o análisis de Fortalezas y Debilidades
(Fortalezas, Oportunidades, Debilidades, Amenazas).
El proceso de análisis de las Fortalezas y Oportunidades permitirá identificar los
niveles de Riesgo Aceptables o controlados por la organización, así como los
controles y mitigadores implementados, mientras las Debilidades y Amenazas
permitirán identificar Riesgos.
Esencialmente, el proceso es el siguiente. Se prepara 4 cuadros, uno para cada
componente del FODA y luego se analizan individualmente. Usualmente cada
Fortaleza está asociada a una Oportunidad, aunque ello no es estrictamente
obligatorio y cada Debilidad muestra una Amenaza consistente en la explotación
de dicha debilidad. Se analiza componente a componente y se listan los aspectos
de la empresa, la organización o el entorno que correspondan.
Al realizar el análisis se define con cierta certeza el nivel de aceptación de ciertos
Riesgos, se pueden identificar algunos riesgos específicos y se puede comparar y
ajustar las definiciones de los criterios de impacto. Este resultado de las
expectativas de la organización se cruza con las declaraciones de misión, visión y
objetivos del negocio, lo cual permitirá identificar no sólo el “apetito” al Riesgo,
sino eventualmente dará algunas luces respecto de las prioridades que se deben
atender.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 51/168
Por ejemplo, la empresa tiene dentro de sus objetivos la externalización de la
organización hacia mercados nuevos. Dentro de las oportunidades, como
resultado del análisis, surge la posibilidad de expandir el mercado objetivo hacia
los mercados externos y particularmente un determinado país, probablemente
fronterizo. Sin embargo, existe un Riesgo adicional al del negocio propiamente tal,
el que estaría relacionado con las fluctuaciones en el tipo de cambio entre una
moneda y la otra. Se puede definir que una variación de un 5% del tipo de cambio
no afectará la política de precios y por ende se considerará para este riesgo en
particular como de impacto Bajo. Sin embargo, un cambio de un 50% en el tipo de
cambio, que afecta la factibilidad de continuar exportando a ese mercado, se
define como un Impacto Extremo. Como resultado se define un Nivel de
Tolerancia o Apetito al Riesgo, para este Riesgo en particular, de tipo Bajo, en que
se acepta variaciones del tipo de cambio abruptas de hasta un 15%. Si se tiene
una variación de hasta un 30%, se considerará de tipo Medio; sobre un 30% hasta
un 45% se considerará un Riesgo Alto; y sobre ese valor se considerará Extremo.
Claramente, para este Riesgo en particular, un Nivel de Riesgos “ Alto” o “Medio”
no es aceptable y algo hay que hacer al respecto.
En el mismo caso, se identifica como una Amenaza el hecho que la infraestructura
de producción esté al 90% de su capacidad, por lo que sería insuficiente para
abarcar la producción necesaria para la exportación. Aquí la amenaza es “no
poder cumplir con el mercado”. Lo que representa un problema que pudiera
traducirse en un Riesgo Operacional. La oportunidad es la “mejora de los
equipamientos” y/o “adquisición de nueva infraestructura”, para cumplir con
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 52/168
nuevos requerimientos, reduciendo el Riesgo de “no poder cumplir con el
mercado”.
En definitiva, el Apetito al Riesgo o Riesgo Aceptable, es el punto en el cual
necesitamos se levanten alertas extremas que nos permitan reaccionar a tiempo
para controlar o mitigar Riesgos que están en niveles inaceptables para la
organización, dadas su misión, visión y objetivos estratégicos.
Por otro lado, la Tolerancia al Riesgo es el error que puede existir en torno al
Apetito al Riesgo. Por ejemplo, el Apetito al Riesgo se ha definido en un nivel
valorizado como 3, y la tolerancia al Riesgo se ha valorizado con 0,5. Esto se
puede interpretar como que los Riesgos que se encuentren entre 3 y 3,5, pueden
ser no aceptables, pero son tolerables. Es decir, es necesario hacer algo para
controlar o mitigar sus efectos ante una materialización, pero no son prioritarios y
podemos convivir con ese pequeño margen de error.
Hay quienes plantean que el Riesgo Aceptable y la Tolerancia al Riesgo son
equivalentes y las utilizan indistintamente para referirse al mismo concepto. Es
absolutamente válido y aceptable, en la medida que toda la organización así lo
entienda.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 53/168
FACTORES DE RIESGO
Dada mi experiencia personal, la mejor forma de explicar la diferencia entre un
Riesgo y un Factor de Riesgo es con el concepto de un accidente vehicular. El
conductor se sube al vehículo y corre el Riesgo de tener “un accidente vehicular ”.
Sin embargo, este accidente puede ser porque el conductor estaba bebido, sufrió
un infarto, el vehículo presentaba fatiga de materiales, no contaba con insumos
necesarios, hubo elementos de distracción, etc. Cada uno de estos elementos
puede ser la causa raíz de la materialización de un Riesgo y por ello se denomina
Factor de Riesgo (FR). Una forma de identificar los FR es describiéndolos de la
forma que suceda algo o que no suceda algo. En el ejemplo del accidente
vehicular, tenemos “que el conductor esté bebido”, “que se produzca un
desperfecto mecánico”, “que el automóvil no tenga combustible”, etc.
Sin embargo, igual como un Riesgo puede tener varios Factores de Riesgo omotivos que provocan la materialización del Riesgo, un Factor de Riesgo podría
materializar distintos Riegos. Volviendo al tema vehicular, “que el conductor esté
bebido” puede materializar el Riesgo de un accidente de tránsito (que es lo más
evidente), pero también puede materializar una Violación a la Ley de Tránsito,
Generar Antecedentes Policiales, provocar la Muerte propia o de terceros, o la
Pérdida del Vehículo, por mencionar algunos.
Consideremos otro ejemplo. La organización se encuentra dispersa en la ciudad y
a veces es necesario enviar documentos físicos de carácter crítico de un lugar a
otro. Existe el FR “que el mensajero se accidente”. Sin embargo, producto del
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 54/168
accidente podría materializarse el Riesgo “Indisponibilidad de Personal”, “Pérdida
de documentos” o “Atraso / Incumplimiento” u otros.
Cuando se comienza a identificar Factores de Riesgos, es importante no abusar
del lenguaje y generar miles de FR diferenciados simplemente por matices. Para
efectos prácticos “que el suelo tenga una capa de 1 cm de agua”, “que el suelo
tenga una capa de 5 cm de agua” o “que el suelo tenga una capa de 30 cm de
agua”, da lo mismo, es un anegamiento o inundación, que inutiliza el espacio físico
y afecta la continuidad de un proceso. Siempre se corre el Riesgo de hilar
demasiado fino, por lo que es necesario controlarse. A su vez, hay que tener
cuidado con la redacción, puesto que puede escribirse un mismo FR de distinta
forma y por ello ser considerado otro FR cuando no los es. Por ejemplo: “Que se
enferme el 10%+ del personal crítico” o “Indisponibilidad de personal Crítico”. El
matiz existe, pero para efectos prácticos de Gestión de Riesgo, son exactamente
el mismo FR, sólo diferenciado por un tema de redacción. Otra situación con la
cual se debe tener cuidado, es con los controles. La falta de un control no es un
FR. Sin embargo usualmente se cae en FR del tipo, que el control no opere, que
no esté disponible el control, etc. Por ejemplo, “Que no se realice la revisión
técnica del vehículo”, siendo que la revisión técnica es justamente un control. Otro
ejemplo, “que los frenos no funcionen” suena razonable a FR, pero los frenos son
un control y lo que se indica es que el control no funcione. Luego, no es un FR
válido. Las características del control deben considerar o valorizar de alguna forma
el hecho que el control no funcione, se deteriore o simplemente no cumpla su
función. Si un control requiere de mantenciones regulares, se puede valorizar
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 55/168
algún parámetro respecto de las mantenciones, e incorporarlo en la valorización
del control mismo.
Como referencia, una organización cualquiera podrá identificar entre 150 y 300
Factores de Riesgo individuales y específicos dado un proceso en particular, los
que estarán asociados a un rango entre 20 y 80 Riesgos. Cualquier cosa que
exceda estos rangos, es necesario re-evaluarlo, puesto que es factible existan
Factores de Riesgo duplicados expresados de distinta forma o un conjunto de
ellos que sean matices unos de otros. Al considerar 300 Factores de Riesgo, a un
promedio de 5 FR por Riesgo, significa que se deberá valorizar 1500 Factores de
Riesgo – Riesgo (FRxR), lo cual es tremendamente excesivo. Una cantidad en el
límite de los humanamente razonable, y medianamente manejable con una planilla
electrónica, es de 1000 a 1200 FRxR que deberán ser analizados individualmente.
En caso de ser necesario manejar un mayor número de Riesgos y/o Factores de
Riesgo, es recomendable avanzar con algún desarrollo con bases de datos másindustrializadas que una planilla o incluso la adquisición de algún sistema de
Gestión de Riesgos.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 56/168
CATEGORÍAS DE RIESGOS
Para poder identificar un Riesgo, es necesario tener claro qué es un Riesgo. Cada
especialista en Gestión de Riesgo tendrá sus matices respecto de dicha definición,
por lo que también es un aspecto de la Gestión de Riesgos que se encuentra aún
en un ámbito etéreo y gris.
Para algunos, el Riesgo de cruzar un puente
puede ser alto, mientras que para otros
puede ser bajo e incluso rutinario.
Para algunos una actividad deportiva puede ser un Riesgo “controlado” mientras
que para otros es un riesgo demasiado alto como para siquiera pensar en dicha
actividad.
En algunas culturas existe un Riesgo que se debe asumir por temas de tradición y
preservación cultural.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 57/168
En general, el ser humano tiene cierta aversión al Riesgo y especialmente a
aquellos Riesgos que pudieran generar un impacto en el que el dolor y
eventualmente la muerte pudieran ser el resultado.
Dada esta diversidad de conceptos de Riesgo, es que el tema es tan vago y
amplio. Sin embargo, para efectos de consensuar algún criterio básico sobre el
cual poder desarrollar la Gestión de Riesgos, comenzaremos por orientarnos con
la fuente del idioma.
Según la RAE, Riesgo es:
1. m. Contingencia o proximidad de un daño.
2. m. Cada una de las contingencias que pueden ser objeto de un contrato
de seguro.
Fuente: www.rae.es
Adaptando estas definiciones a la Gestión de Riesgos, hay quienes consideran
que un Riesgo es “la probabilidad de ocurrencia de un incidente que afecte a la
organización (en forma positiva o negativa)”.
Sin embargo, para otros es “una combinación de parámetros de Probabilidad e
Impacto respecto de la materialización de un evento específico que afecte a la
organización o su desarrollo cotidiano”.
Algunos más puristas en materias del lenguaje, simplemente adoptan la primera
acepción del diccionario, dejando en claro que el Riesgo siempre estará asociado
a una contingencia y por su efecto a un daño a la organización.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 58/168
Se vio que Basilea II tiene una definición de Riesgo que esencialmente es un
matiz de lo anterior. Sin embargo, según se defina qué es un Riesgo para la
organización, se podrán definir criterios y parámetros adecuados para su gestión.
Es difícil separar la identificación de los Riesgos de la identificación de Factores de
Riesgos. Muchas veces un Factor de Riesgo es “disfrazado” de Riesgo. Por
ejemplo: “que se produzca un asalto” suena a FR, pero en realidad es un Riesgo
“disfrazado”, puesto que el Riesgo es “Robo, Hurto”. El que se produzca un robo
puede deberse a planificación de ruta con errores, uso excesivo de efectivo, u
otros. Luego los FR de este Riesgo serían del tipo: “Que la ruta planificada para el
traslado de efectivo sea pública” o “Que se mueva físicamente grandes cantidades
de dinero” o “que el dinero esté visible”, etc. Se podría decir que los Riesgos
surgen de la agrupación racional de los FR.
Existen básicamente dos tendencias filosóficas o pensamientos respecto de cómo
evaluar el Riesgo. Poner un número o determinar una magnitud a algo tansubjetivo y etéreo como un Riesgo ha sido un debate de mucho tiempo. La buena
práctica, aquella más diversificada y que ha dado resultados razonablemente
acertados, es definir la Magnitud del Riesgo como el producto de la Probabilidad y
el Impacto. El resultado de este producto puede ser corregido por otros
parámetros asociados a la Severidad del impacto, tales como la Velocidad del
Impacto, la Persistencia del Impacto o la frecuencia en que se ejecuta la actividad
asociada al FR o su Nivel de Exposición.
Sin embargo, existe una visión disidente que establece que, pese a que la
Probabilidad y el Impacto Inherente o Inicial son variables independientes, el
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 59/168
Impacto Residual o Restante no lo es, sino que depende de la Probabilidad
Residual o Restante. Quienes argumentan a favor de este concepto, consideran
que cuando la probabilidad es mitigada o reducida, el impacto también lo es, como
un efecto secundario. Esta misma filosofía de Gestión de Riesgos establece que
no sólo puede darse un Riesgo de magnitud cero, sino que incluso se puede
generar un Riesgo de Magnitud negativa. ¿Qué significa una Magnitud de Riesgo
negativa? Básicamente es una oportunidad que aporta beneficios al negocio. Una
Magnitud negativa implica un impacto doblemente negativo y desde el punto de
vista matemático, un beneficio. De hecho, durante la revisión de la Norma ISO
31000, uno de los aspectos que se ha estudiado es justamente qué sucede con un
Riesgo negativo, es decir cuando el Riesgo se transforma en una Oportunidad.
En general, los riesgos se pueden agrupar en grandes Categorías según el
proceso, el tipo de negocio, si existe normativa de referencia, etc. Por ejemplo, a
nivel de industrias productivas se podrían clasificar en: Servir Mal; No Servir;
Producir Mal; No Producir; Medioambiente y Entorno; y Legal. En industrias más
normadas es necesario referirse a las especificaciones indicadas por las normas.
Por ejemplo, la industria bancaria y financiera en general, se rige por las
recomendaciones de BASILEA II y/o por legislación como SOX. La principal
diferencia entre BASILEA II y las otras normas y recomendaciones existentes, es
que en ella se especifican 7 categorías de Riesgos, que serían: Fraude Interno;
Fraude Externo; Relaciones Laborales y Seguridad en el Trabajo; Clientes,
Productos y Prácticas Empresariales; Daños a Activos Materiales (eventos de la
naturaleza, sociales, país); Incidencias en el Negocio y Fallas de Sistemas; y
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 60/168
Ejecución, Entrega y Gestión de Procesos. Existen otras recomendaciones y
estándares industriales que establecen sus propias categorías y criterios tales
como COSO II o incluso SOX. Sin embargo, en ninguna de ellas se explicita y por
ende orienta, con una categorización específica que oriente respecto de qué y por
donde hay que buscar.
La ventaja de categorizar los Riesgos es que permite una mejor visualización de
ellos. Por ejemplo, se puede tener un número entre 1 y 20 Riesgos asociados a
una categoría en particular y luego una cantidad de 1 a 150 FR asociados a un
Riesgo específico. ¿Se imagina un gráfico de calor con todos esos puntos (20 x
150 = 3000)? Probablemente no se vería el gráfico, sino una enorme nube de
puntos y sus respectivas etiquetas. Además, las personas tendemos a entender
gráficos (nubes de puntos) con un máximo de unos 40 a 50 puntos (Fig 5). Sobre
eso, ya es un desorden que cuesta entender. Si se utiliza otro tipo de gráficos,
como el de burbujas (Fig 4), puede que se complique la explicación del mismo a
Fig 4 Mapa de Riesgos por Categorías
FI FE
RL
CP
DA IN
GP
N i v e l d e E x p o s i c i ó n
Categorías
Mapa de Riesgos por Categoría Basilea
Fig 5 Mapa de 80 Riesgos
R01FR202
R02FR03
R03FR148
R04FR03
R05FR35R06FR160 R07FR121
R08FR32
R09FR142
R10FR35
R11
R12FR138
R13FR35
R14FR03
R15FR03
R16FR43
R17FR20
R18FR135
R19FR188
R20FR188 R21FR237
R22FR135
R23FR106
R24FR163R25FR159
R26FR106
R27FR230
R28FR241
R29FR107
R30FR106 R31FR17
R32FR16
R33FR15
R34FR122R35FR122 R36FR122R37FR122R38FR123 R39FR123
R40FR01
R41FR101
R42FR123
R43FR112R44FR212
R45FR55
R46FR55
R47FR131
R48FR152
R49FR242
R50FR108
R51FR28
R52FR135
R53FR67
R54FR162R55FR237
R56FR54
R57FR237
R58FR66
R59FR154
R60FR207
R61FR196
R62FR154
R63FR223
R64FR240
R65FR37
R66FR173
R67FR223
R68FR181
R69FR135
R70FR135
R71FR08
R72FR112
R73FR188
R74FR111
R75FR175
R76FR242
R77FR63R78FR237
R79FR231
MAPA DE RIESGOS
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 61/168
las autoridades de la organización, pero es evidentemente menos caótico y más
visual.
Luego, para poder comprender adecuadamente donde potencialmente le “duele el
zapato” a la organización, se puede hacer un gráfico de primer nivel con las
Categorías. En el ejemplo de la figura 4, cada categoría está en la máxima
Magnitud del Riesgo de alguno de los Riesgos de ella e indica cuál es ese nivel.
Su tamaño refleja cuantos Riesgos están en esa categoría. Así, se puede observar
que una Categoría de Riesgo que tiene pocos Riesgos, puede tener una Magnitud
del Riesgo mayor que otra que tiene muchos Riesgos. Para contar con una visión
general, pero más detallada, se puede graficar sólo el FR de mayor Magnitud de
Riesgo para cada Riesgo. Al considerar un máximo de 80 a 100 Riesgos, son
muchos puntos para entender el
mapa (Fig 5).
La buena práctica recomienda que,para tener un segundo nivel de
detalle, se haga un mapa por cada
Categoría (Fig 6), tal que se
visualice, para cada Categoría, la
Magnitud del Riesgo de cada uno
de los Riesgos en ella incluida. Esto
es un máximo de 20 a 30 puntos (Riesgos) por Categoría. Eventualmente se
puede hacer un tercer nivel de detalle en el que se grafican los FR de cada Riesgo
(Fig 7), lo que permitiría identificar en detalle aquellos que se encuentre con una
Fig 6 Mapa de Riesgo Residual de una Categoría
R13FR35
R14FR03
R15FR03
R16FR43
R17FR20
R18FR135
R19FR188
R20FR188 R21FR237
NIVEL DE RIESGO RESIDUAL CATEGORIA
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 62/168
mayor Magnitud del Riesgo, y según cómo se especifique un FR y los datos
asociados al mismo, incluso se podría identificar la actividad en la cual dicho FR
puede ocurrir. En este punto en particular, es recomendable exponer solamente
los “TOP” 20 ó 30 y no la totalidad de 150 punto, puesto que muchos FR pudieran
tener magnitudes de riesgo relativamente bajas o controladas y que no tienen
sentido el ser destacados, cuando existen otros mucho más relevantes respecto
de los cuales hay que hacer algo.
Fig 7 Mapas de Riesgo Inherente y Riesgo Residual de FRs del Riesgo R03
FR44
FR182 FR49FR129
FR174FR180FR201
FR42 FR05
FR193
FR203
FR47FR181FR45
R03i
FR44
FR182
FR49
FR129
FR174FR180
FR201 FR42
FR05
FR193
FR203
FR47
FR181 FR45
R03e
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 63/168
DEFINICIONES Y CRITERIOS
Previo al inicio del levantamiento, identificación y valoración de Riesgos y su
posterior gestión y mitigación, es necesario establecer algunos criterios y
definiciones que permitan contar con una metodología estandarizada que mitigue
de alguna forma los elementos subjetivos y juicios de valor que pudieran afectar
los resultados del proceso de Gestión de Riesgos. En este sentido, las buenas
prácticas establecen que los principales parámetros para determinar la Magnitud
del Riesgo es una combinación de Probabilidad e Impacto (algunas normas y
recomendaciones mencionan Severidad en vez de Impacto). Cómo se medirán,
cuál será la escala de medida, cómo se relacionarán estos parámetros, etc, son
parte de las definiciones y criterios que son necesarios establecer y en la medida
de lo posible formalizar en toda organización.
No obstante, las metodologías basadas 100% en aspectos subjetivos son tanválidas, certeras o no, como aquellas basadas estrictamente en datos históricos.
Todas estas definiciones deben necesariamente ser consensuadas, con las
máximas autoridades de la organización, puesto que esencialmente consisten de
definiciones de un “idioma” particular de la organización y su proceso de Gestión
del Riesgo, el que definitivamente apoyará la toma de decisiones estratégicas de
la organización pudiendo eventualmente reducir costos o aumentar la certeza
respecto de alguna acción. En algún momento, todos en la organización deberán
entender lo mismo cuando se indique que un Riesgo tal o cual tiene una Magnitud
de X o un Nivel de Exposición de Y .
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 64/168
ESCALA
En este sentido, se debe comenzar por definir lo mínimo necesario para construir
sobre ello. Es necesario definir diversas escalas de medición. En general, los
especialistas en la materia están de acuerdo en que es necesario llevar una
escala de impacto y otra de probabilidad, se debe definir otras escalas según la
metodología y parámetros que se utilicen. Por ejemplo, si se define que se utilizará
un Nivel de Riesgo Residual o la Severidad que se medirá en función de la
Velocidad del Impacto y la Persistencia del Impacto, los controles y sus
parámetros, etc. Cada parámetro deberá estar asociado a una escala determinada
para entender exactamente en qué consiste cada parámetro. Existen básicamente
cuatro formas de medición: nominal, ordinal, de intervalo y de razón. Se analizará
brevemente cada una de ellas, pero se profundizará especialmente en la medición
de intervalos.
MEDICIÓN NOMINAL
Es la forma más sencilla de abordar el tema de la medición mediante la
agrupación en categorías tales como económica, tecnológica o medioambiental,
sin situar un acontecimiento específico por sobre otro. Los números asignados en
la medición nominal únicamente tienen por objetivo la identificación de los riesgos.
Al usar este tipo de medición, las evaluaciones son cualitativas y por ende se
basan fuertemente en aspectos subjetivos que pudieran ocultar algunos riesgos o
pudieran exponer riesgos que no son relevantes respecto de otros.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 65/168
MEDICIÓN ORDINAL
En este tipo de medición, los eventos se describen en orden de relevancia para la
organización, con etiquetas del tipo Crítico, Indispensable o Relevante o
clasificado con valores definidos en la escala. Por ejemplo, la dirección de una
organización podría definir que la probabilidad de un error humano es muy baja,
mientras que la probabilidad de una falla en los sistemas es muy alta, indistinto de
la historia, datos estadísticos u otras formas de valorizar o definir.
Al usar este tipo de medición, las evaluaciones son cualitativas y por ende se
basan fuertemente en aspectos subjetivos que pudieran ocultar algunos riesgos o
pudieran exponer riesgos que no son relevantes respecto de otros.
MEDICIÓN POR RAZONES
Este tipo de medición permite concluir que si un evento tiene un impacto X y otro
tiene un impacto 2X, el impacto del segundo evento es el doble que el del primero.
Esto es absolutamente válido, pero dado que esta forma de medición incluye el
cero, existe la posibilidad de tener una Magnitud del Riesgo cero, que podría
prestarse para confusiones, asumiendo por ejemplo que el Riesgo ya no existe.
Sin embargo, mientras se desarrolle la actividad o conjunto de actividades en las
que el Riesgo esté presente, no importa la metodología o valoración, el Riesgo
SIEMPRE EXISTE y por ende no puede tener un valor cero.
Este tipo de medición se basa en datos “duros”, estadísticas cuando existen o
eventos históricos reconocidos, y ecuaciones matemáticas.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 66/168
MEDICIÓN POR INTERVALOS
Este tipo de medición utiliza escalas numéricas equidistantes. Por ejemplo, para
un evento el impacto es 1, para otro es 2 y para un tercero es 3, el salto de
impacto desde el primero al segundo evento es igual al salto de impacto entre el
segundo y el tercero. Sin embargo, esto no significa que el impacto del segundo
evento sea necesariamente el doble del primer evento.
Este tipo de medición se basa en datos “duros”, estadísticas cuando existen o
eventos históricos reconocidos, y ecuaciones matemáticas.
Uno de los requisitos de una escala por intervalos adecuada para la Gestión de
Riesgos, es que exista un punto medio. Graficado, significa que el diagrama
debiera ser simétrico por las diagonales. Otro de los requisitos, es que no existan
coordenadas que generen inconsistencias.
TRES NIVELES
Hay quienes promueven una escala de tres valores, tanto para la Probabilidad
como para el Impacto y su consecuente escala discontinua de tres niveles para el
Riesgo. Ello es una condición válida, que se asocia a los colores del semáforo, por
lo cual es más amigable y fácil de implementar, tiene varias deficiencias por lo que
la buena práctica no la recomienda. Sus grandes problemas radican en que la
mayoría de los riesgos tiende a caer en la zona media, la cual además, tiende a
ser levemente mayor que los extremos. Si se grafica un Mapa de Riesgo con los
colores del semáforo, como el de la fig 8.1 podemos ver cómo la mayoría de los
Riesgos tenderá a caer en un nivel Medio, despreciando Riesgos que pudieran ser
relevantes o desviando recursos a Riesgos que pudieran ser de menor relevancia.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 67/168
Fig 8.1.- Fig 8.2.- Fig 8.3.-
Si la distribución de los rangos es equivalente y homogénea, se generan puntos
de inconsistencia en donde se puede tener dos e incluso tres niveles en forma
simultánea. Adicionalmente es necesario definir qué sucede cuando el punto está
en el límite propiamente tal. Es necesario definir qué nivel tendrán estos puntos.
Se puede optar por el nivel más alto o por el nivel más bajo. Ambas opciones son
válidas. Sin embargo, nuevamente pensando en la buena práctica o lo más
difundido y que ha dado buenos resultados, es usar el límite como parte del nivel
más alto. Esto da mayor relevancia y visibilidad a los Riesgos que se encuentran
en esta situación.
Las formas verbales para expresar estos niveles pueden ser del tipo:
Nivel 1 Nivel 2 Nivel 3
Bajo Medio Alto
Atendible Urgente Prioritario
Menor Medio Mayor
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 68/168
CUATRO NIVELES
Muchas normas y guías que ayudan a gestionar los Riesgos, trabajan con escalas
de 4 niveles. La alternativa de escalas pares y particularmente de una escala de 4
valores, genera varios problemas. El primer problema, como se puede observar en
los esquemas de las figuras 9.1, 9.2 y 9.3, es la simetría en las diagonales, la cual
simplemente no se puede lograr y motivo por el cual tampoco existe un punto
medio.
Adicionalmente hay un claro problema al poder pasar un Riesgo de un nivel a otro
sin pasar por un nivel intermedio. También en estos diagramas se producen
puntos de intersección donde un Riesgo pudiera tener 3 niveles de riesgo
simultáneos, lo que no es consistente.
En el caso de la figura 9.3.- se eliminan los puntos inconsistentes y no existe
forma de pasar de un nivel a otro sin pasar por uno intermedio, pero más del 40%
de la superficie es considerada de magnitud mínima, mientras en contra partida,
sólo un 6% es considerada como crítica. Claramente existe la tendencia a
disminuir la importancia de los Riesgos graficados.
Fig 9.1.- Fig 9.2.- Fig 9.3.-
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 69/168
Fig 10.- Mapa de 5 niveles
Las formas verbales como se pueden expresar estos niveles pueden ser del tipo:
Nivel 1 Nivel 2 Nivel 3 Nivel 4
Malo Regular Aceptable Bueno
Aceptado Atendible Urgente Prioritario
Menor Medio Mayor Extremo
CINCO NIVELES
Otra alternativa de escala es la de cinco niveles (Figura 10). Su característica
esencial es que siendo simétrica, es la escala más pequeña que cumple con los
requerimientos de escalas. Estos son:
1.- Qué no presente posibles inconsistencias.
2.- Que exista un punto medio
Adicionalmente a las características mínimas
necesarias indicadas anteriormente, el tener un
nivel de segregación de la escala de un 20%
facilita contar con un mayor nivel de sensibilidad
respecto de las Magnitudes de los Riesgos y por ende la discriminación respecto
de cuales mitigar o controlar primero, con los siempre escasos recursos
disponibles.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 70/168
Fig 11 Escala continua P x I
Las formas verbales como se pueden expresar estos niveles pueden ser del tipo:
Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5
Mínimo Menor Medio Alto Extremo
Controlado Aceptado Atendible Urgente Prioritario
Malo Regular Aceptable Bueno Muy bueno
OTRAS ESCALAS
Otras escalas que se pueden utilizar son las relacionadas con los puntajes o
escala de valoración utilizada en los países donde se aplicará la evaluación de los
Riesgos. En este sentido, en algunos países de Sudamérica se usa una escala de
1 a 7 con un decimal, en Europa y Norteamérica se usan escalas de 5, 10 y 100,
con hasta 4 decimales e incluso con letras. Todas estas escalas tiene el beneficio
de la facilidad o reconocimiento por parte que los usuarios y dueños de procesos
que deberán finalmente valorizar.
Sin embargo, particularmente las
escalas pares tienen sus
inconvenientes.
El primer problema es que siendo
pares no tienen un nivel o punto
medio claro, es un límite entre un
punto y otro, una intersección de
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 71/168
ejes. Por otro lado, es un nivel de segmentación muy detallado. Particularmente la
segmentación en 100 niveles, pensando en porcentajes, requiere de un nivel de
madurez de la Gestión de Riesgos y de capacidad de cálculo, que no hace
recomendable adoptar estas escalas dentro de los primeros ciclos del proceso de
Gestión de Riesgos. Ello no impide que en la medida que la organización madure
respecto de su Gestión de Riesgos, se pueda redefinir y afinar con mayor detalle
una escala o la metodología completa.
Dado que las organizaciones en general no cuentan con información suficiente ni
fidedigna, y que su involucramiento con la Gestión de Riesgos es relativamente
incipiente o baja, es recomendable utilizar escalas discretas, tales que las
Magnitudes de Riesgos o colores de la temperatura del Riesgo estén asociados a
matrices discretas, más que a valores o rangos específicos.
Cuando una organización se encuentra suficientemente madura respecto a los
conceptos asociados a la Gestión de Riesgo, se puede considerar una escalacontinua que abarque rangos en degradé continuo desde el Azul oscuro hasta un
rojo, pasando por un lila, amarillo y naranjo, representando de alguna forma la
temperatura de las magnitudes de los riesgos. Estas escalas permiten dejar de
lado la metodología discreta y enfocarse en valorización numérica de los Riesgos.
Por ejemplo, se puede determinar la magnitud de un riesgo como la magnitud del
vector cuyo origen están en la coordenada 1,1 y termina en las coordenadas del
mapa correspondiente a la combinación de Probabilidad e Impacto restantes tras
la aplicación de controles o exposición. A su vez, la urgencia o prioridad de
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 72/168
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 73/168
PROBABILIDAD
Según el diccionario de la Real Academia de la Lengua Española:
probabilidad.(Del lat. probabilĭtas, -ātis).
1. f. Verosimilitud o fundada apariencia de verdad.
2. f. Cualidad de probable, que puede suceder.
3. f. Mat. En un proceso aleatorio, razón entre el número de casos
favorables y el número de casos posibles.
Fuente: www.rae.es
Suponiendo se definirá una escala de probabilidad discreta, para efectos de suvaloración, es necesario determinar una nomenclatura verbal que permita a los
usuarios y dueños de procesos comprender el valor asociado que deberán
asignar. En este sentido, para efectos de la Gestión de Riesgo, debemos entender
por Probabilidad, “la frecuencia de veces que se materializa un evento respecto de
la cantidad de veces que se ejecuta la acción en la cual el riesgo está presente”
(RAE acepción 3). Por ejemplo, si diariamente se debe hacer un balance, como
los bancos, y en las últimas 260 oportunidades que se ha ejecutado el proceso de
hacer el Balance (1 año aproximadamente) se ha materializado el FR “Que se
informe una Balance con errores” en 5 oportunidades, tendremos una probabilidad
de ocurrencia o materialización de dicho Factor de Riesgo de 5 en 260 ó una
probabilidad de 1,92%. Al definir discretamente la escala de la probabilidad, de la
forma “si ocurre 5 veces en el año”, el valor podría ser el máximo en la escala.
Sin embargo, lo usual en las organizaciones del mundo, de todo tipo, es que no
existan registros de eventos de pérdida o de materialización de eventos de este
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 74/168
tipo. Usualmente, cuando se comienza a implementar un Modelo de Gestión de
Riesgo se debe recurrir a la memoria de las personas que llevan más tiempo en la
organización, con todo lo que ello puede implicar, pero es un punto de partida.
Hay quienes proponen el uso de datos estadísticos de la industria cuando no
existen datos históricos. Sin embargo, al evaluar la probabilidad de ocurrencia, por
ejemplo, de un error tecnológico, el valor va a depender del tipo de tecnología,
infraestructura, nivel de criticidad de la tecnología, actividades en las cuales esta
es crítica, configuración, etc. Luego es en extremo “poco probable” obtener la
información a nivel de industria respecto de situaciones del mismo tipo con la
misma tecnología.
Considerando que usualmente no hay datos, se asocian los niveles de
probabilidad, según la escala definida, a la cantidad de veces que ha ocurrido en
un tiempo determinado, usualmente uno o dos años, o cuando es una actividad
que se realiza con muy poca frecuencia, en las últimas X oportunidades que se hadesarrollado la actividad en que un FR particular puede materializarse. Esto
permite generar un primer impulso a la Gestión de Riesgos, consensuar los
valores y en definitiva iniciar el proceso mediante el cual se colonizará la cultura
de Gestión de Riesgos en la organización.
Por ejemplo, durante un proceso productivo, la actividad “soldar izquierdo y
derecho en una pieza” presenta el Factor de Riesgo “Que la soldadura presente
problemas de sello”. Dado que se hacen varios cientos, miles o más en forma
diaria, esta actividad se consideraría rutinaria y frecuente, por lo que si ocurre una
cantidad de veces que el FR se materializa en un período de tiempo definido, se le
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 75/168
puede asignar un valor. Dicho valor sería del tipo “ha ocurrido YYY veces en un
año”.
Por otro lado, actividades como “Realizar mantenimiento de equipos”, en algunos
casos requiere detener la producción de ese equipo por períodos de días o
semanas. Los FR en este punto tienen que ver con un aumento no planificado de
la duración de la mantención, provocando problemas de operación, o directamente
con la imposibilidad de arrancar nuevamente, u otros. Dado lo anterior, este tipo
de actividades se realizan muy poco en un período de un año o incluso dos, por lo
que para determinar el valor de la Probabilidad de materialización de un FR sería
en función de la cantidad de veces que la actividad se realiza. Dicho valor sería
del tipo “ha ocurrido Z veces en las últimas N veces que se ha realizado la
actividad.” Donde N es un parámetro fijo, predefinido como un criterio de
referencia.
Ambas formas de valoración de la Probabilidad son válidas y pueden utilizarseindividualmente durante todo el proceso o alternar el criterio en función de la
actividad en la cual se pudiera materializar el Factor de Riesgo.
Sin embargo, cuando existe suficiente información de materialización de eventos
(a lo menos un año de estadísticas), es recomendable modificar el criterio y
ajustarlo de acuerdo a los nuevos resultados en base a datos más “duros”. De
esta forma se logra refinar el criterio utilizado para definir o estimar la probabilidad.
Otro aspecto de la Probabilidad que es conveniente tener en cuenta es que ella se
describe en función de varios parámetros. Por ejemplo, la probabilidad que caiga
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 76/168
un rayo en determinado lugar dependerá de la cantidad de veces que se produce
una tormenta eléctrica y la cantidad de rayos que se producen en cada tormenta.
También, si se considera la Exposición, debemos considerar cuantas veces la
organización se expone a ese Riesgo.
Otro ejemplo. Antes de 1960, la probabilidad relacionada al riesgo de accidente en
el espacio exterior era nula. Ello debido a que aún no era posible llegar allá y los
elementos en el espacio exterior eran mínimos en cantidad. Hoy en día, para
determinar la probabilidad, no basta con saber cuánta basura espacial existe
dando vueltas a nuestro planeta, también debemos considerar la Exposición, es
decir, cuantas veces nos exponemos a sufrir un accidente en el espacio exterior.
Se puede comparar la situación con los vuelos comerciales. La probabilidad de
sufrir un accidente aeronáutico está claramente relacionada a la cantidad de
vuelos en un momento dado, pero también a la cantidad de veces que
individualmente se participa de alguno de ellos, nuestra Exposición al Riesgo.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 77/168
IMPACTO
Cuando se analiza el Impacto hay varios elementos que se deben considerar. El
Impacto se traduce en “cuanto puede llegar a doler a la organización la
materialización de un Riesgo en particular ”. En este “cuanto le puede llegar a
doler “ hay que considerar no sólo los costos directos como el de una máquina,
sino también los costos de reparación o reposición, los costos asociados a no
poder operar, si hay heridos, los costos asociados a esas personas, etc. El
impacto puede reducirse directa e indirectamente a valores financieros, pero es
recomendable utilizar FLIN a objeto de tener una visión más amplia del Impacto.
FLIN es un acrónimo que a lo largo del tiempo he acuñado y que representa las
cuatro principales formas como se puede presentar el impacto que una
organización puede percibir. Estos son: Impacto Financiero, el más evidente;
Impacto Legal, se refiere a demandas laborales o comerciales en contra de la
empresa. No considera las acciones que la organización emprenda contra otros;
Impacto en Imagen o Percepción de la Marca, puede afectar el valor de una
marca, más que el del producto que la lleva; e Impacto Normativo o regulatorio, el
que se refiere a las distintas situaciones con reguladores y fiscalizadores como el
Servicio de Impuestos, reguladores industriales, Inspección del Trabajo,
superintendencias, municipios, representantes del estado en general, etc.
Adicionalmente, se puede evaluar el efecto o Impacto en el Negocio propiamente,
tales como efectos de surgimiento de productos alternativos, aparición de
competencia agresiva o incluso competencia desleal, problemas con patentes
industriales, colusión en contra de la empresa, etc.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 78/168
Aplicando la escala que se defina, es necesario asociar a cada nivel una expresión
o verbalización de dicho nivel que esté asociada de alguna forma al nivel y que
permita facilitar la comprensión por parte de los usuarios y dueños de procesos.
Sin embargo, la discriminación de los impacto por medio de FLIN o FLINN,
permitirá identificar en forma más certera el origen del impacto y por donde hay
que tratarlo. Por ejemplo, un Riesgo cuyo impacto en Imagen sea extremo
requiere un tipo de tratamiento muy distinto que un impacto que desde el punto de
vista Normativo tiene la misma magnitud. En el caso de un impacto en Imagen, se
dispondrá de orientaciones para una comunicación adecuada con el público,
clientes y proveedores, mientras que en el caso normativo, se mantendrá acuciosa
vigilancia respecto de los aspectos normativos que pudieran verse afectados o
respecto de los que pudiera existir alguna brecha o incumplimiento.
Dicho lo anterior, y en el marco de la escala que se defina, para cada uno de los
impactos FLIN es necesario establecer un criterio que estandarice la valorización
en el marco de la misma escala definida para el Impacto. Es decir, los cuatro
aspectos de FLIN deben ser valorizados con la misma escala, pero un mismo nivel
significará distinto para un aspecto que para otro.
A su vez, dado que el objetivo de la evaluación de Riesgos es exponer los
Riesgos, para efectos de definición de cuál valor de los tipos de impactos se
utilizara para realizar cálculos y gráficas, se recomienda que sea el valor más alto,
es decir, el que potencialmente produce mayor dolor para la organización.
Por ejemplo, en forma genérica se ha determinado que un nivel de Impacto
mínimo, desde el punto de vista Financiero “representa menos de US$1000”;
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 79/168
mientras que desde el punto de vista Legal, “se resuelve directamente sin
intervención de terceros”; desde el punto de vista Imagen, “es sólo de
conocimiento del personal de la organización”; y desde el punto de vista
Normativo, “se recibe sólo una observación o amonestación verbal”.
IMPACTO FINANCIERO
Cuando se define el impacto Financiero estamos hablando de dinero. Es así como
una organización puede considerar en el nivel “mínimo” a cualquier materialización
de un Riesgo cuyos costos asociados sea menor a US$1.000 ó a un 0,0001% de
la utilidad de la empresa. También podría definirse como un monto menor al que
se asigna como “Caja Chica”. La forma de definirlo puede variar según cada
organización, sus criterios definidos previamente y la cultura de la misma. Por otro
lado, un impacto financiero “extremo” podría definirse como sobre los US$50.000
ó sobre un 10% de la utilidad antes de impuestos. En este sentido, un Impacto
financiero “mínimo” debe ser algo que se puede subsanar o resolver con recursos
relativamente mínimos para la organización. Por el lado del nivel máximo, se
puede considerar cualquier gastos o costo o combinación de ambos, que supere
un monto o un orden de magnitud significativo para la organización o que pudiera
incluso poner en riesgo la continuidad del negocio.
Sin embargo, es importante recordar que los océanos se formaron a partir de
pequeñas gotas, por lo que un evento con un impacto aparentemente menor no
debe ser desechado por ese simple hecho. El hecho que un Riesgo esté bajo el
Nivel de Aceptación del Riesgo, no significa que se pueda descuidar o
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 80/168
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 81/168
IMPACTO EN IMAGEN
Al tratar el concepto de Imagen, estamos tratando con un bien valorado intangible
como lo es la marca, el respeto que esta provoca, la confianza en la misma o su
credibilidad. Hay marcas que, debido a un incidente mayor, han debido eliminarse
y redefinirse, pese a que el producto final sigue siendo el mismo. En este sentido,
se debe definir cada nivel en función del impacto negativo respecto de la imagen
hacia el mercado que la organización quiere mostrar. Por ejemplo, una situación
simple o menor, sería que se resuelva internamente sin conocimiento por parte de
proveedores o cliente. Mientras, en el otro extremo, habría información en medios
de comunicación masiva como radio, periódicos o televisión.
IMPACTO NORMATIVO
El impacto Normativo tiene que ver con los fiscalizadores y terceras partes
interesadas, principalmente entidades del Estado. Por ejemplo, que se detecte un
problema sanitario en una planta productora de alimentos, podría llegar hasta la
clausura de la planta por dicha situación. También hay que considerar que una
situación pequeña puede rápidamente escalar a una más compleja o incluso hasta
el cierre de las operaciones.
En este sentido, un impacto menor podría ser una visita de inspección con
resultados desfavorables menores (observaciones o detección de brechas
fácilmente enmendables), mientras en el otro extremo se tendría sanciones de
diverso tipo que pudieran incluso incluir el cierre temporal o término definitivo,
parcial o total de la operación.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 82/168
IMPACTO NEGOCIO
El impacto en el Negocio tiene que ver directamente con los resultados producto
del giro de la Empresa. A diferencia del impacto Financiero, donde pudiera
considerarse efectos en el flujo de caja o en cuentas contables específicas, éste
se fija principalmente en los efectos sobre los resultados del ejercicios anual, las
utilidades o beneficios.
Aquí el impacto “menor ” podría ser que no afecta los resultados de la
organización, mientras un nivel “máximo” pudiera ser un ejercicio comercial con
resultados negativos, equivalentes o superiores a 10% del ejercicio anterior.
OTROS PARÁMETROS DEL IMPACTO
Adicionalmente a las alternativas de FLINN para el impacto, existen otros
parámetros que en algún momento debieran ser considerados. Por un lado está la
Velocidad con que llega el impacto y por otro la Persistencia del impacto en el
tiempo. Estos dos parámetros tienen que ver con la Severidad o cuan grave es el
impacto.
Cuando se menciona que el impacto ocurre en forma rápida, como producto de
desastres de la naturaleza, estamos ante situaciones con determinadas
características. Sin embargo, un nivel de impacto equivalente puede darse con un
paro de actividades de los trabajadores, la cual podría venir incubándose con
bastante tiempo y paulatinamente va afectando los procesos.
Cuando se menciona la Persistencia de un impacto, nos referimos a como ese
impacto se mantiene en el tiempo. Por ejemplo, el accidente en una central
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 83/168
nuclear como FUKUSHIMA o CHERNOBIL, ha demostrado que la catástrofe no
fue solamente en forma inmediata. Varias años después, aún hay evidencia de
efectos nocivos en la flora y fauna de la región, con mutaciones y serios
problemas para la población. Mientras que los efectos del terremoto que causó los
daños en Fukushima ya están subsanados desde el punto de vista de la
infraestructura e incluso la planta ha vuelto a funcionar, el impacto del accidente
en la planta nuclear se ha mantenido, persistiendo en el tiempo.
Adicionalmente, es necesario considerar algunas situaciones o condiciones de
borde. Por ejemplo, cuando la probabilidad es “mínima”, pero el impacto es el
mayor posible. Hasta Septiembre de 2001, considerar que un avión choque contra
un edificio era tema de chistes, risas y anécdotas. Producto de los eventos
ocurridos con las torres gemelas en Estados Unidos el 11 de Septiembre de 2001,
esa concepción cambió radicalmente. Para evitar pasar por alto estos casos de
muy baja probabilidad pero muy alto impacto, la buena práctica recomienda que
dado un impacto “máximo”, la probabilidad no debiera ser “mínima”, debiera ser a
lo menos del segundo nivel, con el único objetivo de darle mayor visibilidad al
Riesgo.
Otro tipo de situación de borde, es aquella en que la probabilidad es certeza
absoluta. Cuando se piensa que en Chile hay 3 movimientos sísmicos por día y es
parte de una de las cadenas montañosas con la mayor cantidad de volcanes
activos del mundo, y se plantea la posibilidad que un volcán haga erupción,
muchos aún lo toman como broma. Sin embargo, considerando que las
probabilidades de ocurrencia en un momento dado, por ejemplo hoy, son
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 84/168
absolutamente mínimas, cuando suceda, el impacto sería tal, que la organización
simplemente podría desaparecer, como ha sucedido con poblados completos, sea
por un terremoto o por una erupción volcánica. Puntualmente en el caso chileno, la
pregunta no es si habrá una erupción volcánica o si habrá un terremoto
catastrófico. Chile tiene el registro del terremoto más fuerte jamás registrado en la
historia desde que existen registros (9.5 Richter, Valdivia, 22 de Mayo 1960). La
pregunta es cuándo, y eso significa que el impacto máximo posible será real y no
potencial, salvo que se tomen algunas consideraciones previas y la organización
se prepare. En este ejemplo, la probabilidad de un terremoto siempre es de 100%.
En el caso de Estados Unidos, por ejemplo, la probabilidad de un tornado en
ciertas localidades y épocas del año también es 100% y en el Golfo de México la
probabilidad de un huracán también es 100%. Hay lugares y eventos de la
naturaleza que sabemos que ocurrirán, tarde o temprano, que son inevitables.
Luego, su probabilidad es 100% y solamente se puede trabajar en reducir el
impacto que dichos eventos producirán sobre la organización. Igualmente, la
probabilidad de que nuestra vida termine es de un 100%, todos vamos a morir un
día. Sin embargo, existen seguros de vida que buscan compensar los daños a la
familia cuando ello ocurra.
Eventualmente, la organización podría evaluar considerar otras formas de
impacto, especificando impacto en el medio ambiente, impacto social, e incluso
impacto políticos. En general los “flancos” por donde pudiera darse un impacto son
los principales ejes de evaluación del Impacto que la organización debe llevar a
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 85/168
cabo. Con ello se tiene una visión integrada y de 360° respecto del origen del
potencial impacto y de su magnitud esperada.
EXPOSICIÓN AL RIESGO
Es habitual que se confundan conceptos de Riesgo Residual o Restante y la
Exposición al Riesgo. El Riesgos Restante o Residual es el Riesgo como resultado
de la aplicación de controles y mitigadores. Sin embargo, el Nivel de Exposición al
Riesgo tiene que ver con la cantidad de veces en un período dado en que la
organización, producto de sus actividades y controles, se ve enfrentada o
expuesta a un Riesgo en particular. Por ejemplo, una fábrica de productos en serie
se ve expuesta a tener un producto fallido con una frecuencia bastante alta. Se
podría decir, sin temor a error, que la empresa está expuesta a producir un
producto fallido, en forma diaria. Sin embargo, un fabricante de vehículos
motorizados a pedido, se ve expuesto al mismo riesgo, pero no con la misma
frecuencia. Con mayor certeza, se ve expuesto al mismo riesgo cada vez que
produce un nuevo vehículo a pedido y no en forma diaria.
Otro ejemplo: Una fábrica de helados produce varios cientos de miles de helados
en forma automatizada. Es casi seguro que a lo menos uno o dos de ellos tengan
algún defecto, sea de forma, color, el palito no quedó al centro, etc. Es decir la
organización se ve Expuesta al Riesgo en forma diaria. Por otro lado, se puede
considerar el mismo producto, pero en esta oportunidad, la producción será
artesanal. Aunque la producción es aproximadamente en serie, un día se hace
una actividad del proceso, otro día se hace otra actividad y así sucesivamente, se
logra completar un lote de producto en aproximadamente 5 días. En este caso, la
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 86/168
organización se ve expuesta al Factor de Riesgo “que el color no sea adecuado”,
solamente en el día en que se aplica el color, lo que sucede solamente una vez
cada 5 días y no en forma diaria. Por ello, su Exposición al Riesgo es 1 vez cada 5
días, mientras en el caso de la fábrica automatizada sería de 1ó 2 veces cada 1
día.
Este es sólo un elemento a considerar para efectos de calcular o estimar el
Riesgo. El impacto de un producto con falla es mucho mayor en el productor
artesanal que en el productor industrial, pero eso es la componente de Impacto.
Igualmente, existe otra Probabilidad, en que la probabilidad de un error en el
proceso industrial es menor que en el proceso artesanal. Ello es válido al
considerar el cálculo como la cantidad de fallas respecto de la cantidad total de
producción. Las fallas en un proceso industrial serán más que las de un proceso
artesanal. Sin embargo, la cantidad de unidades producidas industrialmente es
muy superior a las producidas artesanalmente, por lo que finalmente la proporción
es menor en el proceso industrializado.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 87/168
CONTROLES
Existen esencialmente tres tipos de controles. Están aquellos que controlan que
un evento no suceda, estos reducen la probabilidad y se les denomina controles
Preventivos. Existen otros controles que no previenen nada, pero permiten mejorar
el nivel de reacción ante la materialización de un Riesgo, por lo que se les
denomina Detectivos, dado que detectan que ha sucedido algo y generan una
alerta que permite una reacción temprana, reduciendo los efectos negativos del
evento. Finalmente están los controles que mitigan puramente el Impacto o
Reactivos, es decir, cuando se ha materializado el Riesgo, estos controles
permiten que la recuperación o el daño, sea mitigado.
La mayoría de los Riesgos y particularmente los más evidentes, están mitigados o
controlados. Ello es debido a que existen controles o mitigadores implementados.
Por ejemplo, en Chile los movimientos sísmicos son frecuentes en todo el país.
Por eso las empresas, por mandato judicial (está en la Ley), deben contar con un
plan de evacuación y deben ejercitarlo a lo menos una vez al año. Por tanto, todos
los trabajadores conocen qué hacer, en forma casi instintiva, ante un sismo fuerte
y particularmente, ante la necesidad de un proceso de evacuación. Algunas
localidades costeras incluso han implementado planes de evacuación masiva de la
población en caso de existir cierto grado de certeza respecto de un TSUNAMI. En
estos casos, el Plan de Evacuación es un mitigador de impacto y por ende es un
mitigador Reactivo que afecta el impacto en la organización producto de la
materialización de un Riesgo. En realidad no hay como evitar o reducir la
probabilidad que se produzcan eventos de la naturaleza tales como terremotos,
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 88/168
huracanes o desastres naturales de cualquier índole. El mitigador de tipo reactivo
se activa u opera una vez que ha ocurrido un incidente. Su objetivo es hacer un
control sobre los potenciales daños que pudieran ocurrir a la organización
producto de dicho incidente.
Por otro lado, las auditorías, los monitoreos de sistemas, detectores de humos,
sensores de movimiento, alarmas, antivirus y alertas en general, son elementos
que permiten a la organización reaccionar en forma más eficiente ante la
materialización de un Riesgo. Este tipo de controles que “detectan” cosas y alertan
respecto de un evento, son denominados Detectivos. Dado que este tipo de
controles permite una reacción más rápida, estos afectan en alguna proporción a
la probabilidad y en otra al impacto. No obstante, se verá más adelante que
dependiendo de los criterios y definiciones que se determinen, estos pueden
definirse como que afectan únicamente la Probabilidad o el Impacto o que la
proporción de mitigación de Probabilidad e Impacto no es la misma para todos los
controles.
Por ejemplo, los avisos de alerta emitidos por organismos de estado son
mitigadores de impacto, puesto que permiten a la población que desconoce la
amenaza inminente, reaccionar rápidamente y huir del lugar antes de la llegada de
un tsunami. Con ello se mitiga el impacto en materias de pérdidas de vidas
humanas producto de este tipo de evento. Al tratarse de sistemas tecnológicos, las
alertas respecto de un virus, la falta de una actualización o el indicador de
temperatura de un motor, permiten también reducir la probabilidad y el impacto de
materialización de un incidente. Las alarmas antirrobo, pese a que por su nombre
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 89/168
supuestamente impiden el robo, en la práctica permiten una reacción oportuna o
más eficiente por parte de quien resguarda la propiedad o el bien, afectando la
probabilidad de materialización de un robo mayor y también el impacto del
mismos. Siguiendo con el ejemplo de las alarmas, en las películas se ve que los
delincuentes usan cronómetros, puesto que saben con anticipación cuanto
demorará la policía en llegar al lugar del atraco. La alarma mitiga el impacto,
puesto que podrán llevarse sólo lo que puedan sacar en ese “breve” momento
entre la activación de la alarma y la llegada de guardias o policías.
Los controles Preventivos particularmente buscan reducir la probabilidad de
ocurrencia de un evento o de la materialización de un Riesgo. Por ejemplo, las
mantenciones preventivas del sistema, de redes de datos, de motores y
maquinarias, capacitaciones., las actualizaciones de sistemas operativos o
plataformas tecnológicas de elementos específicos, las actualizaciones de los
antivirus, en general las políticas y reglamentos internos, cláusulas específicas en
contratos de trabajo, declaraciones juradas de proveedores, certificaciones de
cumplimiento de normas, elementos disuasivos tales como carteles, cámara de
vigilancia falsas o verdaderas, disparos al aire aleatorios, etc. Por ejemplo, cuando
el antivirus salta con un mensaje que se ha detectado un virus, está mitigando la
probabilidad de que el equipo se contagie con un virus. En un predio, cuando el
guardia dispara al aire, está informando a los delincuentes que se les recibirá a
tiros y de alguna manera reduce la intención de ataque.
Las mantenciones preventivas a controles son controles de controles, los que
serán evaluados dentro del control principal, puesto que son un aporte indirecto a
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 90/168
las características propias del control. Por ejemplo, los generadores de respaldo
son un control de tipo reactivo que entran a operar cuando hay un corte de energía
eléctrica. Sin embargo, las mantenciones a dichos equipos, el que cuenten con
suficiente combustible y sus respectivos fluidos, el que el personal conozca como
encenderlo, etc., son parte de un control sobre el control. Esto se evalúa cuando
se analiza la calidad del control.
A continuación algunos ejemplos de categorías de controles:
Tipo de Control Categoría de Control
Preventivos Segregación de tarea o función
Preventivos Configuración de seguridad de sistemas
Preventivos Procedimientos
Preventivos Políticas
Preventivos Códigos internos (Ética, conducta u otros)
Preventivos Reglamentos internos
Preventivos Cláusulas contractuales
Preventivos Control de acceso
Detectivo Autorización
Detectivo Alertas
Detectivo Informes de gestión
Detectivo Validaciones
Detectivo Indicadores
Detectivo Supervisión
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 91/168
Tipo de Control Categoría de Control
Detectivo Conciliaciones – Cuadraturas
Detectivo Auditoria
Correctivos Planes de contingencia (BCP + DRP)
Correctivos Extintores
Correctivos Respaldos
CorrectivosProcedimientos (de evacuación, de
recuperación, u otros)
Correctivos Sanciones administrativas
Correctivos Seguros
VALORIZACIÓN DE LOS CONTROLES
La Gestión de Riesgos requiere valorizar los controles o mitigadores que en
definitiva llevaran el nivel de Riesgo a un Nivel Aceptable o acorde al “Apetito” al
Riesgo de la organización. En este contexto, cada control debe ser evaluado en
cuanto a sus características individuales relevantes. Las características de un
control son: Calidad, Eficacia y Eficiencia. Algunas organizaciones utilizan
métodos estrictamente cualitativos, y les es indistinto el análisis de Calidad,
Eficacia y Eficiencia de un control en particular, puesto que evalúan el conjunto de
controles existentes que aplican a un Riesgo en particular, como si fuera un único
control.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 92/168
CALIDAD
La calidad de un control debiera considerar los aspectos propios de un control,
dejando de lado otras características relacionadas con la eficacia y/o eficiencia.
Algunas características de Calidad de un control pueden ser su nivel de
Formalidad, su Alcance, su Resiliencia, la frecuencia con que el control opera, el
tipo de control (Preventivo, Reactivo, Detectivo), Fabricante, requerimientos de
mantenciones y su frecuencia, costos de operación y mantención, etc. En general
son características propias de un control. Por ejemplo, el extintor de Incendios.
Obviando el simple hecho que estar presente no mitiga ningún Riesgo, se puede
evaluar si el tamaño del mismo es el adecuado, si sus mantenciones son
adecuadas, si el tipo de extintor es el adecuado, si su fecha de caducidad o
vigencia está al día, si es de activación manual, semi-autimática o automática, etc.
En general, las características de Calidad de un control se refieren a cuan
confiable puede ser en cualquier momento y particularmente cuando se le
necesite.
Estas características también deben ser valorizadas de alguna forma tal que
permita, en combinación con la eficiencia y eficacia del control, mitigar o controlar
adecuadamente el o los FR a los que se asociará el mismo.
EFICACIA
La eficacia de un control tiene que ver con cuan bien opera el control. Por ejemplo,
los bomberos pueden ser extremadamente eficaces, puesto que extinguen el
fuego, pero si se demoran demasiado (eficiencia) en llegar, da lo mismo si llegan o
no. Cuando se evalúa la Eficacia de un control se mide o valoriza “cuan bien”
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 93/168
opera sobre su alcance. Reiterando el ejemplo de los extintores de fuego, su
alcance individual es relativamente restringido, digamos que un extintor medio, de
unos 12 kilos, puede “controlar” una superficie de unos 30 mts a la redonda. Esto
es que cada 60 mts debiera existir un extintor de estas características. De no
contar con uno, entonces el más cercano no podrá apagar el amago de incendio
antes que se transforme en un incendio declarado y este control claramente no
será eficaz.
En este ejemplo en particular, se debe hacer énfasis en que no se está evaluando
a la persona que lo manipula, ni mucho menos el hecho que debe ser activado por
una persona. Esos parámetros son propios de la calidad del control. Así, un
sistema de extinción de incendios automático, combinado con sus
correspondientes detectores de calor y/o humo, es claramente más eficaz que un
simple extintor. Sin embargo, los costos involucrados tanto en su mantenimiento,
operación (una vez activado), y recuperación tras su activación, también son
distintos, pero corresponden a características de Calidad del Control.
EFICIENCIA
La Eficiencia de un control busca identificar cuán rápido actúa. En este sentido,
una buena referencia es determinar el RTO de cada proceso y definir, por ejemplo,
que en caso que su activación demore menos del 50% del RTO es
extremadamente eficiente, mientras si demora más del 200% del RTO es
extremadamente ineficiente. Siguiendo con el extintor de incendios, sería
extremadamente ineficiente, puesto que depende de un factor humano. Así, la
eficiencia podría considerar parámetros tales como el nivel de automatización, el
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 94/168
tiempo que demora en ser efectivo el control respecto del RTO, etc. El RTO se
puede obtener producto de un BIA o como resultado de alguna definición que sea
consistente. (Ver capítulo BUSINESS IMPACT ANALYSIS (BIA))
NOTA: El RTO es el tiempo máximo que un proceso puede soportar una interrupción de su operación sin
causar daño permanente.
La combinación de Calidad, Eficacia y Eficiencia se puede definir como la
Efectividad del Control y en definitiva, será el parámetro que representará la
capacidad del control de mitigar o controlar el FR al cual se asocie.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 95/168
MAGNITUD DEL RIESGO
Una vez definidos los aspectos anteriores respecto de las escalas y criterios de
valoración de Probabilidad e Impacto, Exposición y Severidad, controles y
mitigadores, es importante aclarar bajo qué escala y cómo se representará la
Magnitud del Riesgo.
MAGNITUD DISCRETA
Una forma de representar el Riesgo es mediante colores los que están asociados
a rangos de valores o coordenadas en un gráfico, tal que si un riesgo en particular
cae en una coordenada de un color determinado, su nivel de Riesgo final o
Residual estará dado por el color o coordenada en el cual se encuentra. Esta es
una metodología válida y muy útil cuando los Modelos de Gestión de Riesgo se
encuentran en una etapa inicial o insuficientemente maduros. También se puede
definir que dado el valor de la magnitud del Riesgo está en determinado rango,
tendrá determinado valor.
Por otro lado, es importante considerar algunos aspectos relevantes respecto de la
designación de colores y nomenclatura de la magnitud. Por ejemplo, no es
recomendable usar el color verde dentro del rango de colores. El motivo es que al
visualizarse, este se asocia a seguridad, “estamos bien”, siendo que en realidad
estamos trabajando sobre un Riesgo, cuya probabilidad e impacto existen. El
verde da tranquilidad y el hecho que un Riesgo esté en un nivel de este tipo,
probablemente el más bajo de la escala, no significa que no se deba tratar o dejar
de ocupar al equipo de Gestión de Riesgo. No significa estar pre-ocupado, pero si
estar ocupado.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 96/168
Respecto de la escala de la magnitud del Riesgo, es recomendable no ser
extremista. Por ejemplo, en las verbalizaciones de los Niveles de Riesgo,
Catastrófico como expresión del valor máximo de la magnitud de un riesgo tiende
a ser catalogado de “exagerado” o “alharaco” con las consecuencias de la
correspondiente desacreditación del trabajo que se realiza en esta materia. En el
otro extremo, la expresión “Insignificante” para un nivel de Riesgo muy menor,
tiende a despreciar dicho Riesgo. Sin embargo, el Riesgo persiste e incluso puede
materializarse y causar un impacto adverso. Puede descuidarse la vigilancia y
supervisión respecto de este Riesgo y a despacharlo por ser “insignificante” o
“irrelevante”.
Dados los ejemplos anteriores, es muy importante representar las magnitudes con
elementos que generen las alertas correspondientes y que permitan priorizar la
urgencia de atención, pero sin entrar en juicios de valor, exageraciones o
descalificaciones hacia uno u otro lado de la escala.
MAGNITUD CONTINUA
Cuando el Modelo de Gestión de Riesgos está maduro, la organización está
consciente de los Riesgos, se tiene registro de los incidentes y sus impactos
reales, y existen la capacidad y herramientas adecuadas, se puede avanzar hacia
escalas continuas, en reemplazo de las discretas. De esta manera, la Magnitud del
Riesgo viene a ser la magnitud del vector que se origina en la base de la escala
(1) y termina en la coordenada determinada del Riesgo. Hay que recordar que,
bajo el criterio que se está trabajando sólo con Riesgos que generan un impacto
negativo, NO EXISTE el Riesgo con probabilidad o impacto cero, por tanto las
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 97/168
Fig. 12
escalas comienzan siempre en 1. En caso que se consideren Riesgos con impacto
tanto positivo como negativo, existirá el Riesgo de magnitud cero.
En la Figura 12 se observa como distintos vectores, de la misma magnitud, se
pueden distribuir en el Mapa. Como se muestra en el gráfico de representación
continua de colores, se tiene un arcoíris formando un cuarto de círculo iniciando
con el color que representa la magnitud mínima y terminando con el que
representa la magnitud máxima.
Sin embargo, la magnitud máxima no será igual a magnitud máxima de la escala
discreta. Por ejemplo, en la Figura 12 se muestra una escala continua de Impacto
y Probabilidad con un valor mínimo de
1 y máximo de 5, el valor de magnitud
máxima de una combinación de
Probabilidad e Impacto (Probabilidad=5
e Impacto =5) sería de 6,071… eltamaño de la discontinuidad estará
dado por la cantidad de decimales que
se use. Sin embargo, no cae en la
misma escala de 5 valores que tienen
el Impacto o Probabilidad. Es por ello que en caso de aplicar escalas continuas es
necesario redefinir, en función de esta nueva escala, los criterios y parámetros
anteriores.
Eventualmente, se puede definir rangos de magnitudes en vez de coordenadas.
De esta forma se podría definir, por ejemplo, que cualquier riesgo con magnitud 5
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 98/168
Fig. 13 Nivel de Aceptación
o superior es de tipo “Extremo”. Sin embargo, en la práctica, lo que nos interesa es
todo Riesgo que se encuentre por sobre el Nivel Aceptable que la organización ha
definido para ese Riesgo en particular.
UMBRAL Y APETITO AL RIESGO
Una vez definidos los parámetros anteriores, es necesario definir el Umbral de
mitigación y la Apetito al Riesgo. Al observar desde el punto de vista opuesto, en
vez de Apetito al Riesgo, puede ser la Aversión al mismo. Es el Comité de Riesgo
el responsable, en base a experiencias propias y a la colaboración de los
“Especialistas”, de llegar a una
definición razonablemente aceptada
por la organización respecto de estos
parámetros.
Se puede asumir que se cuenta con
todos los recursos del universo para
mitigar un Riesgo en particular. Llega
un punto en que por más controles y
mitigadores que se agreguen, no se
puede seguir mitigando. Es como el fuego de una parrilla, sólo se puede poner
una cantidad de leña y carbón limitada y si se pone demasiado, puede que sea
necesario sacar leña para que el fuego surja. En el caso de los controles sucede lo
mismo, por lo que es necesario definir un Umbral o la cantidad máxima de
mitigación que se podrá obtener implementando todos los controles posibles e
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 99/168
imposibles. Es importante recordar que no importa cuánto se mitigue un Riesgo,
este nunca desaparece, sólo es controlado, asumido o traspasado, pero nunca
desaparece, salvo que se deje de hacer la actividad en la cual existe el Riesgo.
Por otro lado, es necesario definir el nivel de riesgo que la organización
considerara aceptable. Usualmente este se encuentra bajo el 40% de la escala
(Fig 13). Esto es que cualquier Riesgo cuya valoración se encuentre sobre este
Nivel de Aceptación, deberá ser tratado o controlado de alguna forma adicional o
complementario a como se controla actualmente, tal que permita mitigar ese
Riesgo y llevar su Magnitud bajo el Nivel de Aceptación. Aquellos Riesgos que se
encuentran bajo dicho nivel, se consideran como aceptados, puesto que el costo
de invertir en mitigar aún más dichos Riegos puede ser demasiado alto respecto
del beneficio de dicha mitigación, o puede ser traspasado a un tercero, como un
seguro o una tercerización de una actividad, etc. Sin embargo, nunca deben
olvidarse, puesto que por muy pequeña la Magnitud del Riesgo, salvo que se deje
de ejecutar la tarea en que ese Riesgo puede materializarse, siempre estará
presente el Riesgo.
Este límite permite a la organización identificar y priorizar de manera objetiva,
donde destinar los recursos disponibles y justificar su uso en tales o cuales
actividades y controles en pos de reducir las Magnitudes de Riesgos Restante o
Residual, que se encuentran sobre el Nivel de Aceptación.
Por otra parte, la Tolerancia al Riesgo, en algunas organizaciones se trata
indistintamente como el Nivel de Aceptación. Sin embargo, en otras
organizaciones se define que la toler ancia es el “margen de error” aceptable. Por
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 100/168
ejemplo, dado un nivel de aceptación definido como 3, la tolerancia pudiera
definirse como 0,2. Luego los Riesgos con nivel de residual entre 3 y 3,2 son
“tolerables”, lo que no significa que son “aceptables”.
También, la tolerancia se puede definir como el “margen de error” respecto de las
valoraciones de los parámetros. Se podría decir que un Riesgo es de
aproximadamente un magnitud determinada, con un error en la probabilidad de un
valor y un error en el impacto de tal otra. Estos márgenes de error son la
tolerancia. Por ejemplo, con una tolerancia de 0,2 ó de un 3% una probabilidad de
3,2, aun teniendo un error de un 3% (0,96) en uno u otro sentido, es aceptable
respecto de la certeza y confiabilidad del dato. (Vease Variabilidad de Probabilidad
y/o Impacto)
Lo más práctico es definir un único Nivel de Aceptación para todos los Riesgos, tal
que cualquier Nivel de Riesgo que sea superior a ésta definición debe
necesariamente ser tratado. Igualmente, definir una Tolerancia única, sea que laorganización defina utilizar indistintamente la expresión Aceptación y Tolerancia o
que establezca un Nivel de Aceptación único para todos los Riesgos. Sin
embargo, existen situaciones en las que llevar el Nivel de Riesgo Restante a un
Nivel Aceptable o dentro de la Tolerancia es tan costoso, que el negocio decide
asumir ese Riesgo y dejarlo hasta ese punto. El ejemplo de los Riesgos de
eventos de la naturaleza es claro. Para un comerciante que tiene tres o cuatro
tiendas en una ciudad, el costo de un huracán, una inundación de la ciudad o de
un terremoto, puede ser catastrófico. Sin embargo, tampoco es mucho lo que
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 101/168
puede hacer para reducir o mitigar este Riesgo, salvo mitigar el impacto, lo cual
también puede llegar hasta cierto punto únicamente.
También es factible, en consideración de situaciones en que no es posible
modificar alguno de los parámetros, definir niveles de tolerancia distintos según su
Categoría o incluso para cada Riesgo. Por ejemplo, la Categoría de Riesgos
“DAÑOS A ACTIVOS MATERIALES”, se podría definir un nivel de tolerancia
mayor que la Categoría de Riesgos “FRAUDE INTERNO”. El motivo es simple y
evidente. Contra el fraude interno puedo desarrollar actividades que controlen la
probabilidad y/o mitiguen el impacto, pero contra eventos que están fuera de mi
control, como los eventos de la naturaleza, o sublevaciones sociales, paros de
servicios públicos, guerras, etc., no es mucho lo que se puede hacer para
controlar la probabilidad, sólo se puede mitigar el impacto.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 102/168
METODOLOGÍA DE CÁLCULO (LA LICUADORA)
Probablemente una de las tareas más difíciles de la Gestión de Riesgo consiste en
determinar una metodología o fórmula matemática que no se base en criterios
subjetivos, juicios de valor o que no dependa de la persona de turno, que combine
los parámetros de Probabilidad e Impacto inherente o iniciales, con los Controles,
para generar una coordenada de Probabilidad e Impacto restante o residual, que
permita determinar la Magnitud del Nivel de Riesgo Restante.
Matemáticamente lo que buscamos es:
f(Pi,Ii,C) = |(Pr,Ir)|
donde,
|(Pr,Ir)| = Magnitud del Riesgo Restante
En palabras más simples, responder a la siguiente pregunta: ¿Ya que se dispone
de los valor es “objetivos” de Probabilidad e Impacto Inherentes o Iniciales, de los
Niveles de Exposición y Severidad, y de los Controles que los mitigan, cómo se
hace para que interactúen?
La necesidad de algún tipo de fórmula se hace indispensable a objeto de mitigar la
subjetividad de las valoraciones individuales, lo que además, permitirá una única
regla indistinta de otros aspectos y evitará distorsiones producto de juicios de
valor.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 103/168
La complejidad de la fórmula dependerá de varios factores, aunque principalmente
de las habilidades de la persona que gestione los riesgos, del nivel de certeza que
se requiera, del nivel de comprensión de la organización de los temas
relacionados a la Gestión de Riesgo o el Nivel de Madurez que ésta tenga al
respecto y de las herramientas que se tenga disponibles.
Cada organización puede definir sus propios criterios y metodología, por lo que se
señalan solamente algunas variantes a modo de ejemplo sobre las cuales se
puede trabajar para definir una metodología propia, acorde a los requerimientos de
la organización. Sin embargo, es necesario que la organización, particularmente el
Comité de Riesgos, esté consiente y pueda justificar adecuadamente porqué se
utiliza tal o cual metodología.
La Gestión de Riesgos debe basarse en información lo más objetiva posible y
nada más objetivo que los hechos evidenciados en el pasado. Sin embargo,
además es necesario mitigar en la mayor medida de lo posible, la subjetividad dela evaluación, por lo que se recomienda tomar los datos históricos y procesarlos
mediante algún tipo de “licuadora” que entregue un resultado más objetivo
respecto de las proyecciones de probabilidad e impacto de futuros Riesgos.
Finalmente, el resultado debe contrastarse necesariamente contra el más
complejo e inusual parámetro existente. Lamentablemente no es posible ir al
negocio de especialidad y conseguir un poco, es el “Sentido Común”.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 104/168
METODOLOGÍA DE ANÁLISIS
Muchas empresas y profesionales de la Gestión de Riesgos consideran que el
proceso es tan complejo, que es difícil y engorroso utilizar fórmulas matemáticas
que representen objetivamente los Niveles de Riesgo a los que está expuesta la
organización y los niveles de control sobre los mismos. Es por ello que el proceso
es de análisis detallado y, en función de ciertos criterios y de una metodología de
análisis, se determina la prioridad o urgencia de tratar determinados Riesgos, los
costos y características de los controles y mitigadores necesarios para tratar
dichos Riesgos más relevantes o prioritarios.
Este Análisis de Riesgos lo realiza una persona, o equipo de trabajo, que
determinan ciertos criterios para definir cómo identificarán y medirán el Riesgo.
Entre otras cosas, definirán los niveles de probabilidad e impacto y cómo los
controles y mitigadores aplican y afectan al Riesgo. Como resultado de lo anterior
generarán un listado de prioridad de los Riesgos a mitigar o controlar.
Sin embargo, también son válidas metodologías que intentan “objetivizar” las
aprensiones y juicios de valor de las personas y los valores inicialmente
designados a fin de tener resultados que no dependan del criterio de las personas,
sino como resultado de un proceso complejo.
METODOLOGÍA BÁSICA
La forma más simple de aplicar matemáticamente los controles, es dejando de
lado todo tipo de matices. Para ello se puede comenzar por definir controles sólo
de tipo Preventivo o Reactivo y se define que todos los controles de tipo Detectivo
actúan únicamente sobre la Probabilidad o únicamente sobre el Impacto. Otra
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 105/168
alternativa es que algunos controles de tipo Detectivo se clasifiquen como
Preventivos y otros se clasifiquen como Reactivos.
Adicionalmente, se debe definir una escala, que para un nivel básico usualmente
es de 3 ó 4 niveles, puesto que es más relevante mantener simple el Modelo de
Gestión de Riesgos y que los usuarios comprendan rápida y fácilmente los
conceptos, por sobre la exactitud o efectividad del modelo.
Una vez clarificados estos aspectos, se puede determinar el valor de mitigación de
un control únicamente en base a la calidad del mismo, o en forma intuitiva. Se
puede considerar dos o tres parámetros de un control, como su formalidad,
frecuencia de aplicación y/o calidad “subjetiva”, los que se ponderan y suman,
determinando un valor de mitigación de ese control. Incluso, se puede utilizar un
valor porcentual en base a un criterio tan simple como la moda entre un grupo de
usuarios y directamente designar un valor de mitigación de ese control.
Posteriormente se puede ir ajustando el valor de mitigación hasta que el resultado“haga sentido”.
En este caso es importante tener una visión holística de la organización e
idealmente el proceso debiera se emprendido por terceros, lo que permite
controlar de alguna forma la subjetividad de quienes participan en los procesos
evaluados y se aplica el “sentido común” que puede no haber sido desarrollado al
interior de la organización.
De esta forma se puede determinar el valor de la Probabilidad e Impacto inicial
asociados a cada FR en particular.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 106/168
Luego, es necesario determinar qué control aplica a qué FR. Por ejemplo, el
extintor de incendios no sirve de mucho ante una intoxicación alimentaria o una
epidemia. En este nivel se puede definir que cada FR que cuente con un control,
será mitigado únicamente por el mejor control que aplique. Luego, si hay dos o
tres controles que aplican, se determinará el nivel de control o mitigación del mejor
y ese es el que se aplicará matemáticamente.
Teniendo claro qué y a qué, es momento de tratar el cómo. Siendo que es una
forma básica y simple, sería conveniente ordenar los controles que apliquen a un
FR determinado y determinar cuál es el mejor respecto de sus características o su
valor de mitigación. Sabiendo que es un control de tipo Preventivo, afectará
únicamente a la Probabilidad y si es de tipo Reactivo afectará únicamente al
Impacto. ¿Cuánto? Lo más simple es restando el valor entero, dividiendo o
definiendo una proporción (menor que 1) que multiplique el valor inicial. Si el nivel
de mitigación se expresa porcentualmente, se puede multiplicar directamente y se
tendrá un resultado en la escala definida. La división, pese a que es muy utilizada,
no es recomendada, puesto que no tiene una explicación racional y lógica
consistente con la forma como el control se aplica o afecta. En el caso de la resta,
es evidente que el control está “quitando” algo a la probabilidad o al impacto
asociado a un Riesgo, mientras que en la multiplicación por un factor menor de 1
claramente sucede lo mismo, reduciendo proporcionalmente uno de los
parámetros que determinará la Magnitud del Riesgo resultante o residual, para ese
Riesgo en particular.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 107/168
Por ejemplo, un FR cuyos parámetros de Probabilidad Inherente e Impacto
Inherente son (3,4) respectivamente, con un Nivel de Riesgo de tipo “ Alto” y
aplicando un control de tipo Preventivo cuyo valor es 2, generaría el Nivel de
Riesgo Residual en la coordenada (1,4). Dependiendo de la escala de Riesgo que
se utilice, podrá cambiar de nivel o no. Repitiendo el ejercicio anterior, pero con un
control de tipo preventivo cuya mitigación se ha definido como un 50%, se tendría
que el Nivel de Riesgo Residual en la coordenada (1,5,4).
En este punto se considera como mitigadores solamente el mejor control
Preventivo y/o el mejor control Reactivo. De esta manera, se podría mitigar
Probabilidad, Impacto o ambos.
Es decir, donde:
Cr = Control Reactivo
Cp = Control Preventivo
Pi = Probabilidad Inicial
Ii = Impacto Inicial
Luego,
f(Pi, Ii, Cr , Cp) = (Pi - Cp, Ii - Cr ) = coordenadas del Riesgo restante
si los controles tienen valores de la escala o
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 108/168
f(Pi, Ii, Cr , Cp) = (Pi *(1- Cp), Ii *(1- Cr )) = coordenadas del Riesgo restante
si los controles tienen valores porcentuales
En función de estas nuevas coordenadas, se puede determinar, a partir del mapa
de calor, la Magnitud Residual de ese Riesgo en particular.
Esta combinación de controles que mitigan probabilidad e impacto de un riesgo, si
bien es básica y simple, como todo lo básico, adolece de varias dificultades y
problemas. El mayor de ellos que es, pese a ser una fórmula matemática que
busca eliminar o reducir la subjetividad, en la práctica, esta se mitiga muy poco o
nada. Los valores de los controles tienden a ser muy altos y los niveles de
mitigación son lejos superiores a la realidad, llevando a un claro error en la
mayoría de los casos. Esto provoca que muchos Riesgos sean “escondidos” bajo
un falso nivel de control o sobre expuestos con una excesiva Magnitud del Riesgo
Residual. Todo ello puede generar un falso sentido de seguridad en aspecto que
no la tienen y un falso sentido de urgencia en aspectos que no la requieren.
Adicionalmente, el uso de escalas menores a 5 generan los problemas de escala
mencionados en el capítulo de Definiciones y Criterios.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 109/168
METODOLOGÍA DE INTRODUCCIÓN
Una forma que pudiera ser más certera al tratar el tema de la Gestión de Riesgo,
respecto de la Metodología Básica, es establecer una escala de 5 valores y
manejar un grupo de 5 a 6 parámetros que permitan determinar las características
de los controles. En los controles se puede considerar un grupo de características
que definan la “Calidad”, otro la “Ef icacia” y otro la “Eficiencia”. Incluso puede que
uno o dos de estos parámetros sean definidos lo más objetivamente posible, o
subjetivamente y sus valores ingresados directamente y no como el resultado de
un cálculo. A su vez, se combinan y normalizan estos valores. El resultado puede
ser en la misma escala de 1 a 5 ó como un porcentaje de mitigación.
Algunos ejemplos de variantes sobre el mismo tema:
Sean,
C = valor de calidad calculado, medido o asignado en escala 1 a 5
Ef1= valor de la eficiencia calculado, medido o asignado en escala 1 a 5
Ef2= valor de la eficacia calculada, medida o asignada en escala 1 a 5
Ej1-
(C + Ef1 + Ef2) /3 = Mitigación del Control (M1)
¿Por qué dividido por 3? Básicamente, es la forma de obtener una media.
Ej2-
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 110/168
C*Ef1*Ef2 / 125 = % Mitigación del Control (M2)
¿Por qué dividido por 125? El objetivo que es que sea un porcentaje y dado que
todo está en la misma escala de 1 a 5, el valor máximo de la multiplicación de las
características del control sería 125. Luego para obtener un porcentaje, el valor
debe ser dividido por 125.
Otra forma de valorizar los controles es darles un “peso” o ponderador a cada uno
de los parámetros, tal que la suma de los ponderadores siempre sea 1. Luego la
Calidad pudiera ser ponderada de una forma, la Eficacia de otra y la Eficiencia de
otra. La suma ponderada se puede usar como valor o su proporción respecto del
valor máximo de la escala o como un porcentaje de mitigación.
Por ejemplo, manteniendo la escala de 1 a 5 se podría ponderar de la siguiente
forma:
Pc = Ponderador de la Calidad
Pef1= Ponderador de la Eficiencia
Pef2= Ponderador de la Eficacia
Luego, la mitigación del Control seria:
M = Pc * C + Pef1 * Ef1 + Pef2 * Ef2
ó
%M = (Pc * C + Pef1 * Ef1 + Pef2 * Ef2) / 5
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 111/168
Nuevamente, por qué dividido por 5? Es porque la suma ponderada nos entrega
un valor máximo de 5 y si se quiere un porcentaje, se debe dividir por este valor.
En este punto, tanto el valor de la Calidad (C), como de la Eficiencia (Ef1) y
Eficacia (Ef2) pueden ser calculados en base a parámetros o valorizados
directamente.
A su vez, estos porcentajes o niveles de mitigación se aplican según corresponda
a los controles según su tipo (Reactivo, Detectivo, Preventivo), permitiendo que un
conjunto de controles afecte tanto la Probabilidad como el Impacto en forma
simultánea e independiente.
Además es necesario definir si se utilizará solamente el mejor control o cómo se
combinarán varios controles si hay más de uno que aplique al mismo parámetro
para el mismo FR. Por ejemplo, en el ámbito de las tecnologías, ante situaciones
de discontinuidad, se tienen respaldos de bases de datos y respaldos de equipos.
Individualmente ambos mitigadores tiene sus características propias y ambos
aplican al parámetro de Impacto, es decir, son Reactivos. Luego, cómo se
combinan estos para mitigar el Riesgo? Claramente la suma de ambos valores
debiera ser superior a cada uno individualmente. Pero ¿cuánto, cómo? Son temas
que se deben definir.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 112/168
METODOLOGÍA CONTÍNUA
Cuando se trata de una metodología de este tipo, la discontinuidad está dada por
la cantidad de decimales que se usen. Esto tiene directa relación con el nivel de
detalle con que se traten las variables y parámetros del Modelo Gestión de
Riesgos implementado. Es decir que la discontinuidad sea lo más pequeña
posible, pero dentro de un rango razonable. Para efectos de considerar una
función o fórmula continua que permita determinar la magnitud del Riesgo
Restante, con dos o tres decimales puede ser razonable.
Como mencionado anteriormente, hay organizaciones que definen el Impacto
como una función de la Probabilidad. Usualmente, este tipo de funciones implican
complejas ecuaciones que pudieran combinar raíces cuadradas, funciones
trigonométricas y otro tipo de artilugios matemáticos. Sin embargo, en este sentido
y según cómo se definan los parámetros, las fórmulas serán más complejas o
menos. Claramente lo más simple dentro de las alternativas continuas es el uso de
Pitágoras. Es decir:
Dadas las coordenadas restantes de,
Pr = Probabilidad Restante
Ir = Impacto Restante
Magnitud = |Raiz (Pr ̂ 2 + I^2)-1|
Para llegar a ello, es necesario definir matemáticamente la Probabilidad y el
Impacto restantes. Una forma sería:
Pr = Pi * C e Ir = Ii * (1 + Vi/10 – 0,1) * ( 1 + P i/10 - 0,1) * C
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 113/168
ó, según sea el caso,
Pr = Pi / C e Ir = Ii * (1 + Vi/10 – 0,1) * ( 1 + P i/10 - 0,1) / C
Donde,
Pr = Probabilidad Restante
Pi = Probabilidad Inherente
C = Mitigación de Control
Ir = Impacto Residual
Ii = Impacto Inherente
Vi = Velocidad del Impacto
P i = Persistencia del Impacto
Donde el nivel de mitigación de los controles puede expresarse como un
porcentaje (se usa la primera expresión) o como un valor en la misma escala de
probabilidad e impacto (se usa la segunda expresión)
Igualmente, es necesario definir cómo se determinará el nivel de mitigación y
control de los Controles. Al trabajar en una modalidad continua de escala, se
recomienda definir 2 a 4 parámetros para determinar la Calidad, Eficiencia y
Eficacia. Estos pudieran ser valorizados en la misma escala de la Probabilidad e
Impacto a objeto de mantener consistencias.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 114/168
Algunos ejemplos de parámetros:
Calidad Nivel de Formalidad
Frecuencia de Requerimientos de Mantención
Experiencias respecto del control
Seguridad en estado “Stand By”
Confiabilidad
Eficiencia Tiempo de Respuesta respecto del RTO de ese proceso o
actividad
Complejidad de aplicación o ejecución del control
Certeza de su activación oportuna
Nivel de automatización
Eficacia Alcance
Resultados conocidos/esperados de su aplicación
Certeza de los resultadosDesarrollo propio
Una vez definidos los parámetros a considerarse y definido cómo se combinarán
estos valores para determinar el nivel de control o mitigación del Control o la
Efectividad del mismo, se determina el nivel de control y mitigación del conjunto de
controles que aplican.
El siguiente paso es definir parte de la metodología de cálculo del Riesgos. Es
necesario definir cómo se aplicarán estos valores, especialmente considerando
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 115/168
que para un FR puede existir un control y para otro FR puede existir ese mismo
control más otros.
En este sentido existen distintos criterios. La mayoría son subjetivos y valorizan
como un paquete el conjunto de controles. Sin embargo, el nivel de subjetividad de
dicha valoración pone en riesgo el resultado de la valoración de los Riesgos. La
ventaja de trabajar con ecuaciones matemáticas, por muy simples que sean, es
que se mitiga o reduce en alguna medida, los conceptos y juicios de valor que
tergiversarán los resultados.
La siguiente fórmula, ha sido perfeccionada en el tiempo en base a los resultados
y experiencias de su aplicación. Esta fórmula genera un porcentaje de mitigación
producto de la combinación priorizada de los controles según su efectividad
individual.
% %Mc(1)(id1) %Mc(n)(i d1)∞
=2 ∗ −%Mc(i)(i d1)∞
=
Fuente: Desarrollo conjunto Ing. Alan Santos – Ing. Leopoldo Ponce
Donde,
%Mc(1) = % de mitigación del control que más mitiga
Id = posición relativa de la capacidad de mitigación del control que aplica
%Mc(n) = % de mitigación de n-ésimo control que más mitiga
Umbral = nivel máximo de mitigación asumiendo infinitos controles
%Mc(i) = % de mitigación del i-ésimo control que más mitiga.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 116/168
Básicamente, se asume que el mejor control, aquel que controla o mitiga más,
opera mejor que los demás y en forma complementaria, los siguientes controles
van aportando mayor mitigación. Ello genera una representación matemática que
permite que la combinación de controles cuya capacidad de control y mitigación
conjunta sea mayor a la del mejor control individual.
El concepto se puede observar con mayor facilidad en el siguiente gráfico:
Fig 14 – Gráfico Aporte de Controles al % de Mitigación
Luego, es cuestión de definir en forma continua los límites entre un rango y otro.
Por ejemplo, la probabilidad e impactos se definen en rangos de 1 a 5, pero las
magnitudes del Riesgo no, solamente un nivel de tolerancia, puesto que la
magnitud combinando los valores máximos de 5 niveles sería levemente superior
a 6, en este ejemplo. En este sentido, se puede definir un par de niveles bajo el
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 117/168
nivel de tolerancia y otros 3 sobre dicho nivel, a objeto de generar las debidas
alertas. Por ejemplo, si el Nivel de Aceptación se ha definido como una Magnitud
de Riesgo 3, estamos estableciendo que todos aquellos Riesgos cuyas
magnitudes sean menores a 3 se encuentran controlados. Luego es posible
establecer que en el rango de 2 a 3 está “controlado” y en el rango menor a 2 está
“muy controlado”. Luego para aquellos valores sobre el Nivel Aceptable, se puede
decir que el rango de 3 a 4 tendrá un Nivel de Riesgo “Medio”, entre 4 y 5 un Nivel
de Riesgo “Alto” y sobre 5 un Nivel de Riesgo “Extremo”. Sin embargo, estos tres
niveles son inaceptables. Esta jerarquización permite identificar la prioridad con
que se deben designar los siempre escasos recursos para mitigar los Riesgos
según su Nivel.
Sin embargo, al jerarquizar por rangos, lo que se está haciendo es llevar una
Magnitud de Riesgo representado matemáticamente por una escala continua, a
una escala discontinua representada por los rangos. Esto se hace únicamente con
el fin de ofrecer a quienes no son entendidos en la materia y que en definitiva son
los que deciden las acciones relevantes de la organización, una herramienta más
digerible y fácil de comprender.
Existen muchas fórmulas de valoración de Riesgos que entregan valores
continuos.
Por ejemplo:
Riesgo = Pr *Ir *F*Vi*Pi C
Fuente: Proceso de Gestión de Riesgos y Seguros, Isabel Cáceres San José-Marti
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 118/168
Donde:
Pr es la Probabilidad Restante
Ir es el Impacto Restante
F es la frecuencia con que se ejecuta la actividad donde el FR se presenta
Vi es la Velocidad con que se presenta el Impacto
Pi es la Persistencia del Impacto
C es la valoración de los controles y mitigadores
En este caso, si se define que la Probabilidad, Impacto y Controles están en
escalas de 1 a 5 y la Frecuencia, Velocidad del Impacto y Persistencia del Impacto
son parámetros mayores a 0 y menores o iguales a 1, el resultado siempre será
entre 0 y 5, existiendo la posibilidad de tener magnitudes de Riesgo menores a 1.
Otra fórmula la indica la Norma Europea Solvencia para los seguros:
RSS = √ ∑ (( , ) ∗ ∗ )∞,=
Fuente: Directiva del Parlamento Europeo Solvencia 2009
Donde,
RSS = Riesgo de Suscripción de Seguro
CORR= es la combinatoria de los RSS j y k
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 119/168
La misma norma, mediante su Reglamento emitido en 2015 conocido como
Solvencia II establece la siguiente fórmula para determinar el Margen de Riesgo
de la cartera de seguros:
MR = CoC * ∑ ()(+(+))>
Fuente: Reglamento Delegado (UE) 2015/35 de la Comisión, Solvencia II
Donde,
MR = Margen de Riesgo
CoC = Tasa de Costo de Capital
CS(t) = Capital de solvencia obligatorio al cabo de t años
R(t+1) = tipo de interés sin riesgo básico correspondiente al vencimiento de
t + 1 años
Para calcular el nivel de Riesgo Cardiovascular, se han identificado una serie de
parámetros que aportan al riesgo. Para cada uno de estos parámetros se
determina un aporte parcial y la suma total indicará el nivel de Riesgo
Cardiovascular del individuo. De esta forma, el Riesgo Cardiovascular se
determinará como:
R.C. = f(Edad, Colesterol Total, Colesterol HDL, Antecedentes Familiares,
tabaquismos, género, estilo de vida)
Luego, para cada parámetro se puede determinar niveles de riesgo específicos o
rangos.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 120/168
Por ejemplo, en el parámetro edad se podría establecer rangos como los
siguientes:
Rango Etario Aporte al Riesgo
Cardiovascular0 - 10 110 - 20 220 - 40 340 - 60 4
60 + 5
Igualmente, para cada parámetro se asignan rangos y valores de aporte, siendo
que el Riesgo Cardiovascular se definirá como la suma de los resultados
individuales de los factores que aportan riesgo.
Particularmente, para efectos de medición del Riesgo Cardiovascular (CV), los
médicos especialistas usan una serie de tablas de Riesgo basadas en los
siguientes parámetros:
País, Étina, Edad, Género, Antecedentes personales de enfermedad CV, Antecedentes familiares de enfermedad CV: sólo cuando éstos han ocurrido
en familiares de 1er grado. Tabaquismo, Hipertensión arterial, Diabetes, Dislipidemia, Obesidad abdominal, Sedentarismo, Colesterol HDL< 40 mg/dL, Triglicéridos >150 mg/dL
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 121/168
Estos son los parámetros utilizados en las Tablas de Framingham, las que se ven
aproximadamente como muestra la figura.
Fig 15 – Ejemplo Tabla de Framingham de Riesgo Cardiovascular (RCV)
Como se puede observar de los anteriores ejemplos, se puede desarrollar las
fórmulas que se estimen necesarias, con los parámetros adecuados a considerar
según el objetivo al cual apunta la Gestión de Riesgos en cada caso específico. La
principal ventaja de una escala continua, es que facilita la identificación y trabajo
en base a rangos, cosa que no ocurre con las escalas discontinuas.
Complementariamente, la ventaja de usar fórmulas, es que se elimina o de alguna
forma se reduce el aspecto subjetivo de la evaluación, entregando información
más certera.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 122/168
EL FACTOR TIEMPO
Indistinto de la metodología, escalas o criterios definidos, siempre existirá una
pesadilla que rondará los rincones de nuestras mentes. Esta es cómo varía la
Magnitud del Riesgo en el tiempo.
Para analizar esta situación, es necesario definir cinco estados o puntos en el
tiempo que son relevantes. Se definirá como T0 aquella instancia de tiempo en que
no ocurre nada o desde la perspectiva de los parámetros de probabilidad e
impacto, aquel momento en el cual la probabilidad existe y es menor que 100%.
En el instante en que se materializa un incidente, ese preciso instante de tiempo
en que la probabilidad pasa a ser 100%, puesto que se ha materializado el riesgo,
se denominará T1. A partir de este punto, pasa un tiempo hasta el momento en
que la organización detecta y se da cuenta que se ha materializado el riesgo. A
este momento se le denominará T2. Entre T1 y T2 el impacto se va materializando
y en la medida que el tiempo transcurre, el impacto aumenta y el servicio o
proceso afectado se va degradando. En este punto (T2), la organización se
prepara para reaccionar, basado en los controles existentes o la intuición, según
sea el caso. Cuando efectivamente la organización comienza a reaccionar o los
controles comienzan a operar, ese instante será T3. A partir de la reacción de la
organización, se mitiga el impacto y este, en función lo la calidad de las respuesta,
irá disminuyendo hasta retornar a los niveles normales equivalentes a los
existentes en T0. Esto demorará el tiempo necesario para llegar a T4, el instante en
que se ha declarado que la incidencia ha sido superada.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 123/168
Para algunos casos, estos tiempos pueden tener distancias temporales de unos
pocos segundos, mientras que para otros pudieran ser varios años, según sea el
riesgo materializado.
La figura 16 muestra estos tiempos en función del nivel de servicio que se ve
deteriorado por la materialización de un Riesgo específico.
Fig 16 – Representación gráfica e los efectos del tiempo
Desarrollo propio
Como se observa, entre T1 y T2, la organización percibe el impacto inicial. La
degradación del servicio dependerá de la velocidad con que el impacto se
materializa y la velocidad con que la organización reaccionará. A partir de T2, pese
a que se ha iniciado el proceso de activación de las respuestas y procesos de
recuperación, el impacto sigue aumentando hasta llegar el punto T3, donde los
esfuerzos de mitigación están operando al 100% y comienzan a dar frutos. Es
recién a partir de T3 que se comienza a mitigar el impacto, por lo que la duración
del período entre T3 y T4 dependerá esencialmente de la persistencia del impacto
y de las características de los mitigadores que operen.
Nivel normal
del Servicio
T0
T1
T2 T3T4
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 124/168
Ejemplos:
Un banco realiza transacciones en miles de millones de dólares en forma diaria.
Se puede suponer el peor escenario posible, que justo cuando está realizando una
de estas millonarias transacciones, se produce un incidente. El banco no puede
darse el lujo de perder una transacción, menos aún si es por mucho dinero que no
es de su propiedad. Por lo tanto, el tiempo entre T 1 y T2 debe ser menor a 1
segundo. Igualmente, el tiempo entre T3 y T4 no puede ser significativo y a lo más
será de unas horas.
Por otro lado, se dan situaciones como las centrales eléctricas nucleares. El
accidente de Chernobil, por ejemplo, tuvo un plazo entre T 1 y T2 de unos días.
Mientras que el período entre T3 y T4 aún no se puede cuantificar después de ¡30
años!
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 125/168
PROCESO DE GESTIÓN DE RIESGOS
El Proceso de Gestión de Riesgos, está definido por dos componentes. Por una
parte, está la definición de Proceso y por otra la Gestión de Riesgos. La figura
muestra gráficamente en qué consiste un Proceso.
Desarrollo propio
La Gestión de Riesgos consiste en la identificación y tratamiento de los riesgos
identificados, así como la aceptación de las consecuencias producto de la
materialización de uno de ellos u otro no identificado.
Luego, el Proceso de Gestión de Riesgos consiste en la transformación de datos
relacionados a riesgos que enfrenta la organización, en acciones de mitigación y
control de los mismos que permitan reducir las consecuencias de la
materialización de un riesgo.
En la figura 17 se muestra que el Proceso de Gestión de Riesgos se inicia con la
determinación por parte de las máximas autoridades de una organización para
iniciarlo. Suena sencillo, pero si las autoridades de la organización no están
interesadas, nada se puede hacer o su implementación será tan compleja que
Elementosde Entrada
Transformación
Elementosde Salida
DEFINICIÓN DE PROCESO
Inicio
Término
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 126/168
nadie participará y todo el trabajo irá a parar a la basura. Las máximas autoridades
deben definir y designar los recursos necesarios y posteriormente establecer las
definiciones y criterios bajo los cuales se realizará la Gestión de Riesgos. Con
estas definiciones se tendrá un Marco de Trabajo de la Gestión de Riesgos.
Dadas las definiciones y criterios establecidos, el ciclo de la Gestión de Riesgos
comienza con el levantamiento, identificación, valorización y cálculo de las
magnitudes de los Riesgos. Luego, estas deben se validadas con los usuarios
“Dueños” de los procesos y se procede a evaluar la consistencia entre las
magnitudes de riesgos resultantes y lo que el “sentido común” del dueño del
proceso dice. Si existen ajustes, sean en los criterios o en las definiciones, estos
se implementan y si no es necesario realizar ajustes, se procede a implementar
controles y mitigadores, y el proceso se inicia nuevamente.
DEFINICIONES
Inicio
LEVANTAMIENTO Y
CÁLCULOS
VALIDACIÓN
¿REQUIERE
AJUSTES? NO
REVISIÓN DE
DEFINICIONES Y
PARÁMETROS
SI
ACCIONES DE
MITIGACIÓN
Figura 17 Flujo de Levantamiento de Riesgos
Desarrollo propio
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 127/168
En general, como se ha mencionado anteriormente, el Proceso de Gestión de
Riesgos requiere de ciertos formalismos, designación de responsables,
otorgamiento de facultades y autoridades, así como de recursos para realizar la
tarea encomendada. En esta incipiente etapa, donde la Gestión de Riesgos se
encuentra incubando en las mentes de las máximas autoridades de la
organización y a penas germinada, es que se requiere tomar ciertas decisiones
tales como definir el Comité de Riesgos, su funcionamiento y operación, así como
el encargado de Riesgos, Oficial de Riesgos o Director de Riesgos, su estructura
organizacional y los recursos necesarios para implementarla.
En paralelo a la implementación de formalismos y designaciones, es factible iniciar
el proceso de identificación de los riesgos, para lo cual la identificación de
procesos críticos es recomendable y su posterior levantamiento o mapeo detallado
es una herramienta muy importante para las etapas siguientes. Durante el
levantamiento y mapeo de los procesos, para la debida Gestión de Riesgos, es
recomendable incorporar la mayor cantidad de información posible, tales como las
tecnologías involucradas, aspectos legales, documentos o informaciones que se
intercambian en uno u otro sentido del proceso, unidades o áreas responsables, si
hay infraestructuras específicas necesarias para desarrollar una actividad,
interacción con fiscalizadores, etc.
Una vez identificados los procesos, sus respectivas actividades, y sus respectivos
Riesgos, se puede proceder a valorizar los parámetros de Probabilidad e Impacto
de cada uno de los FR que generarían como consecuencia la materialización del
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 128/168
Riesgo evaluado. Si hay más parámetros, se evalúan y valorizan también en este
punto.
Luego, determinados los parámetros, es necesario conocer el Riesgo Inherente,
esto es la Magnitud del Riesgo bajo el supuesto que no existiese ningún tipo de
control o mitigador y siempre pensando en la peor situación. Una vez que el
Riesgo Inherente se ha determinado, y se conocen los controles y mitigadores
asociados a cada FR, se procede a determinar la Magnitud del Riesgo Residual o
Restante. En la práctica, este es el parámetro que a todos interesa, puesto que es
la situación actualizada de ese Riesgo.
Siguiendo con el proceso, es necesario validar que los resultados sean
consistentes y coherentes con la realidad, para lo cual, una forma, es generar
reuniones de trabajo con los “Dueños” de procesos y actividades puntuales,
exponer los resultados y validar en conjunto los parámetros y los resultados. Con
ello, junto con validar, se está integrando a los colaboradores al Proceso deGestión de Riesgos y a su vez, quienes deben administrar directamente los
Riesgos, se involucran y reconocen los niveles de riesgo y los requerimientos de
tratamiento específico identificado en sus casos. En este punto lo más relevante
es que quienes activamente participan de las actividades donde existen riesgos,
reconocen la existencia de los mismos y validan su magnitud. Existen situaciones
en que los resultados no hacen sentido y en la gran mayoría de los casos, resulta
que hay controles existentes que no han sido identificados anteriormente, por lo
que complementariamente se depura el levantamiento realizado.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 129/168
Finalmente, si se requieren de nuevos controles o mitigadores, si se identifican
requerimientos de ajustes, se realizan y se revalidan. En su defecto, si se
identifican nuevos requerimientos de mitigación, se modifican los controles y/o
mitigadores existentes o se complementan con nuevos controles o mitigadores.
La implementación de nuevos controles y mitigadores por lo general conlleva
costos, tanto de implementación y puesta en marcha como de operación. Cuando
se decide implementar nuevos tratamientos al Riesgo, es necesario evaluar la
relación costo-beneficio. Se puede dar situaciones en que el costo de reducir un
riesgo es tal que no se justifica por el escaso beneficio. En estas situaciones se
puede considerar básicamente dos alternativas. Por un lado, se puede evaluar
modificar los seguros existentes y, de no existir, tomar un seguro. Con ello se
traspasa parcialmente el Riesgo a un tercero y se mitiga fuertemente el impacto.
Por otro lado, se puede asumir que se convivirá con ese Nivel de Riesgo, el que
será monitoreado en condiciones especiales con una frecuencia mayor. Si llegase
a surgir una tecnología o elemento a costo razonable que permitiera tratar el
Riesgo, esta será evaluada y eventualmente implementada. Una tercera opción a
evaluar es la de traspasar la actividad en la cual se genera el Riesgo a un externo
para que la desarrolle en beneficio de la organización, haciéndose responsable de
dicho Riesgo. Sin embargo, en este último caso, surgirán nuevos Riesgos.
Finalmente, en forma regular y sistemática, se valida la operación, funcionamiento
y adecuación del Modelo de Gestión de Riesgos, sus controles y mitigadores, su
cumplimiento y especialmente el registro de eventos, con lo que se procede a re-
evaluar y a afinar el resultado, permitiendo a la organización mejorar la calidad de
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 130/168
información respecto de sus riesgos y por ende una mejor calidad de información
para la toma de decisiones.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 131/168
LEVANTAMIENTO DE PROCESOS
Para poder iniciar el levantamiento e identificación de los Riesgos, es necesaria
una comprensión detallada del proceso que se evaluará. La forma más práctica de
hacerlo es mediante un conjunto de documentos. Por un lado, un diagrama de
flujo que detalle las actividades, agrupadas en sub-procesos, si existieren, y en el
que cada toma de decisión y cada actividad, ya sea interna o externa, debiera
estar codificada y asociada a un área o unidad responsable de dicha tarea. El
segundo documento debiera ser una descripción operacional de cada una de las
actividades, indicando los elementos de entrada de dicha actividad, la actividad
propiamente tal y los elementos de salida. Además, en ambos documentos es
necesario indicar las tecnologías involucradas. En este sentido es importante
reconocer que una corchetera (engrapadora) o un lápiz pueden ser tan
importantes como una base de datos digital o un sistema informático de gestión.
Por ejemplo, en una actividad en particular se usan corchetes (grapas) para unir
importantes documentos, como un cheque y su respectivo documento de
autorización. Si no hay disponible una corchetera o siquiera corchetes que
permitan efectivamente unir ambos documentos para evitar el extravío de alguno
de ellos, la probabilidad de materialización de un FR del tipo “que se extravíe un
cheque” aumenta significativamente. Para evitar esta situación, se puede
considerar como mitigador, tener un pequeño stock de corchetes o clips
disponibles.
En un banco pequeño, el dueño es el único autorizado para firmar documentos
valorados sobre determinado monto. Hay un importante documento que debe ser
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 132/168
firmado con tinta azul, por un aspecto legal. Justo cuando va a firmar, no hay tinta
azul, solo negra y pese a que hay otras personas, solo hay lápices de tinta negra,
verde o roja o de cualquier color menos azul… ¿qué hacemos?
Ambos ejemplos anteriores son hechos reales que han sido observados en
distintas organizaciones y que efectivamente han causado impacto en las
organizaciones. Los detalles, usualmente los menos evidentes, son aquellos de
los que hay que preocuparse, del resto, sólo hay que ocuparse.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 133/168
FLUJOGRAMA
Cuando se trabaja con flujogramas, en general, es necesario conocer algunos
aspectos básicos de los mismos. Para la documentación de los flujos se
recomienda el uso del método de notación BPMN (Business Process Modeling
Notation – ISO 19510:2013), el que consiste de una notación gráfica
estandarizada para el modelado de los procesos de negocio.
Su principal objetivo es:
Resolver las dificultades de comunicación que tiene el lenguaje común
Proporciona un método normalizado para representar procesos de negocio
Facilita su entendimiento debido a la poca complejidad de su notación
Proporciona un lenguaje común entre los usuarios de negocio y los técnicos
Facilita la diagramación de los procesos de negocio
Algunas reglas o buenas prácticas mencionan lo siguiente:
1. Por lo general existe a lo menos un punto de inicio y un punto final del
proceso.
2. Una actividad específica puede gatillar varias actividades subsecuentes
paralelas.
3. Una actividad específica puede ser gatillada por una o varias actividades.
4. Una decisión sólo tiene dos salidas, esto es que se cumple o no se cumpleuna condición.
5. La línea de unión de dos figuras debe indicar hacia donde se dirige el flujo.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 134/168
6. En el caso de las líneas de salida de una decisión, deben indicar si esa ruta
corresponde a una confirmación de la condición o a una negación de la
misma.
Es recomendable que con cada actividad, adicionalmente se identifiquen:
1. Documentos o comunicaciones de entrada y/o salida de la actividad.
2. Tecnologías utilizadas para recepción y/o transmisión de insumos a la
actividad, procesamiento de la actividad y entrega o despacho de los
resultados de la actividad.
3. Infraestructura relevante utilizada en esa actividad.
4. Un código único que permita identificar la actividad o toma de decisión en
forma específica.
Fig. 18.- Ejemplo de Flujograma de Sub-Procesos
Desarrollo propio
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 135/168
Figura 20 Ejemplo de Simbología de Flujos
Fig. 19.- Ejemplo se Flujograma en detalle
Desarrollo propio
En la figura 19 se puede observar que
las actividades específicas y las
decisiones se encuentran codificadas
y que algunas de estas actividades
tienen varias figuras numeradas en
torno a las actividades o sub-
procesos. Estas corresponden, según
sea el caso, a herramientas digitales o
en papel, cuyo número se asocia a una tecnología en particular o un tipo de
documento que se ha definido y documentado en otra sección del gráfico,
generando un diccionario o glosario de figuras y numeraciones necesarias para
poder comprender el detalle del flujo.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 136/168
Es importante contar con algún tipo de descriptor de la simbología, tal que permita
conocer el significado de cada uno de ellos.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 137/168
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 138/168
generar Factores de Riesgo con la falta de controles del tipo “¿Qué no funcione el
generador ?”. En este caso, el FR indica que no funcione el control, lo que no es un
FR, sino debe ser evaluado y considerado al momento de asignar una calidad al
control. Igualmente es tentador definir varios FR del tipo “Que se enferme la
Recepcionista” y luego “Que se enferme el Gerente XXXX”, etc. En realidad lo que
se está identificando es “Que no se disponga del RRHH necesario en el momento
adecuado” o “Que no se disponga de RRHH Críticos”. Con ello se analiza sólo un
FR y se cubren todas las alternativas, incluyendo las variantes de que se
enfermen o renuncien o simplemente que no estén disponibles porque fueron a un
evento en el colegio de su hijo. Obviamente se debe intentar evaluar aquellas
alternativas más críticas.
Por ejemplo, el efecto que se puede tener producto que la secretaria-recepcionista
se enferme puede ser muy distinto del efecto que el administrador de la base de
datos que se explota diariamente se enferme, o que el Gerente que firma los
cheques se enferme. Son Riesgos distintos, de probabilidad e impacto distintos,
pero el FR es el mismo, que la persona que realiza la actividad se enferme o que
el 10% de los RRHH de la empresa se enferme en un mismo instante, etc.
Muchos considerarán que evaluar que el 10% del RRHH se enferme
simultáneamente es demasiado exagerado. Sin embargo cuando se producen
pandemias como la gripe aviar o la gripe porcina, efectivamente es posible y de
hecho sucedió, que más del 10% de los RRHH de diversas organizaciones no
pudieron ir a trabajar. Se recurrió a planes de emergencia y tecnologías que
permitieron el trabajo remoto, pero eso es un mitigador del Riesgo.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 139/168
Otro ejemplo similar es con las inundaciones. Están aquellos que tienden a
matizar “que se inunde con 1 cm de agua”, “que se inunde con 5 cm de agua”, etc.
Son matices, en la práctica es “que se rompa una cañería”, lo cual es válido
incluso en pisos altos. Sin embargo, también se puede producir una inundación
porque en la oficina de arriba se produjo una filtración o se rompió una cañería.
Luego todas estas variantes están incluidas en el FR “Que se rompa una cañería
provocando una inundación”, dado que lo importante es la consecuencia o impacto
y no la variante de la causa específica.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 140/168
IDENTIFICACIÓN DE RIESGOS
Teniendo identificados los FR específicos e individuales, que no son fallas o faltas
de controles, se pueden agrupar en variados criterios. Usualmente las normas
relacionadas a la Gestión de Riesgo indican una serie de categoría y es cuestión
de analizarlas e ir asociando los FR a los Riesgos especificados. Por ejemplo,
Basilea II especifica 7 categorías señaladas anteriormente.
Estas categorías son válidas para cualquier tipo de organización, indistinto que
fueran concebidas originalmente para la industria financiera. Obviamente existen
Riesgos específicos que se enmarcan en cada una de estas categorías. Por
ejemplo: “Accidente Laboral”; “Acoso”; “Discriminación”; etc, son Riesgos
específicos asociados a “Relaciones Laborales Y Seguridad En El Trabajo”.
Complementariamente, si se considera necesario se puede abrir otras categorías
como por ejemplo Legales o Político – Sociales.
Luego, estos Riesgos específicos agrupan distintas formas como se puede
materializar. Por ejemplo, el Riesgo “Acoso” incluye “Que se solicite favores extra-
laborales a un subalterno con fines laborales”; “Que un supervisor genere cargas
de trabajo desproporcionadas respecto de sus supervisados”; “Que una autoridad
exija favores sexuales a cambio de mejoras de evaluaciones, remuneraciones o
simplemente para mantener el trabajo u otras condiciones”; etc. Todos estos FR
son distintos, pero todos están asociados al concepto de ACOSO, por lo que se
agrupan en ese Riesgo. Eventualmente pueden existir Riesgos mencionados en
normativas o guías de referencia que no aplican a la organización y en dicho caso,
no deben ser considerados. Sin embargo, usualmente la gran mayoría de las
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 141/168
categorías y Riesgos mencionados en las normas y recomendaciones aplican a
cualquier organización, indistinto del tamaño, giro, complejidad, tipo, etc.
No obstante, es importante recordar que el Riesgo más relevante no es el más
crítico y usualmente el de mayor impacto, es aquel que no conocemos o el cual no
consideramos como factible. Por mencionar tan solo un ejemplo, cuando el WTC
en Nueva York fue atacado y destruido por terroristas, uno de los Directores de la
compañía de seguros que ostentaba los seguros correspondientes se declaró
inmediatamente en quiebra. Eventualmente pudieron llegar a esa situación, pero
una adecuada Gestión de Riesgos interno de la compañía les permitió traspasar
gran parte de sus costos a Re-aseguradoras que terminaron por responder con los
pagos correspondientes.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 142/168
ASOCIACION FACTOR DE RIESGO – RIESGO
Una vez identificados los FR y definidos los Riesgos, es necesario relacionar de
alguna forma estos elementos. Ello es necesario dado que un mismo FR puede
materializar distintos Riesgos y a la inversa, un mismo Riesgo puede tener varios
FR. Por ejemplo, el Riesgo de Accidente Laboral tiene asociado el FR “Que se
accidente el mensajero”. Sin embargo, ese mismo FR “Que se accidente el
mensajero” también puede materializar un Riesgo de “Pérdida de documentos
jurídicos”.
Las asociaciones de unos con otros pueden ser infinitas. Sin embargo, a objeto de
no volverse demasiado exagerado, se sugiere que un Riesgo no tenga más de 40
ó 50 FR asociados y a su vez, que un FR no se asocie a más de 8 ó 10 Riesgos.
El promedio ideal es de 5 a 6 FR por Riesgo, pero como todo lo utópico, es
extremadamente improbable.
A su vez, es muy importante una adecuada codificación. En este sentido, unaforma que garantiza una codificación única de la forma Rxx, donde xx es un
número secuencial o aleatorio, pero único y los FR, también debidamente
codificados, por ejemplo FRyyy donde yyy es un número único. La combinación de
estos, generará un código único para la relación FR – Riesgo, lo que será muy útil
al momento de identificar los FR más relevantes dentro de un Riesgo en particular.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 143/168
VALORACIÓN
Una vez identificados los FR, definidos los criterios y la metodología que se
utilizará, comienza el trabajo de valorizar cada uno de los parámetros para cada
uno de los FR y de los controles. Lo peor que se puede hacer, es que a puerta
cerrada, entre un grupo de colaboradores que en ningún momento se encuentra
involucrado con las actividades o procesos donde se genera el FR, se valorice en
función del “criterio” de cada uno. Lamentablemente, el “criterio” no se puede
comprar en el negocio de la esquina o en supermercado de su rubro. Es por ello
que es indispensable estandarizar e integrar a los involucrados en las actividades
específicas.
Una forma que ha demostrado dar buenos resultados, es reunir a todos quienes
están involucrados en el proceso, desde el auxiliar que reparte la correspondencia
hasta el director general, si participan en el proceso. Se hace una pequeña
introducción explicando la actividad a desarrollar, la metodología y los resultados
esperados.
La metodología básicamente consiste en primero evaluar los parámetros de
Probabilidad para cada uno de los FR identificados. Esta situación permite
concretar varios aspectos relevantes, puesto que primero se valida por los propios
usuarios, en forma pública, que los FR identificados efectivamente son válidos y
eventualmente incluso pueden surgir nuevos. Adicionalmente, se está capacitando
a los asistentes en la Gestión de Riesgos y por último, se genera conciencia de los
niveles de relevancia de mitigar los FR en forma permanente. La idea es que para
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 144/168
cada valoración se dé un espacio para conversar respecto del nivel de
probabilidad e intentar llegar a un consenso al respecto. Si no es posible un
consenso, se puede aplicar la MODA, esto es la valoración con mayor cantidad de
adeptos. En caso que aun así no sea posible concretar un valor, se puede usar un
promedio redondeado.
El promedio es recomendable hacer lo posible por evitarlo, puesto que no es
precisamente una buena salida, dado que justamente elimina los extremos. Sin
embargo, cuando no hay solución en el debate y el tiempo apremia, es una
alternativa válida.
El motivo de comenzar por valorizar la Probabilidad, es que dados criterios
estandarizados, es más fácil identificar las probabilidades de ocurrencia y la
frecuencia con que una actividad expone a la organización a un Riesgo en
particular.
Una vez recorridos todos los FR y valorizados todos los parámetros de
Probabilidad para cada uno de ellos, se procede a valorizar los parámetros del
impacto. Se ocultan los valores de los parámetros de probabilidad evaluados
previamente, pudiendo incluso realizar esta segunda etapa de valoración en una
segunda reunión de trabajo, con el objeto de evitar “subjetivisar” el impacto. La
ventaja de trabajar únicamente sobre estos parámetros es que se plantea que
indistinto del evento y de su probabilidad, se considera que el incidente
efectivamente sucedió. La organización se ve efectivamente enfrentada a una
situación que le genera un impacto negativo.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 145/168
Probablemente lo más complicado, es que los colaboradores no consideren los
controles ya existentes. Por ejemplo, si la organización se ve afectada por un
incendio, no se debe considerar los seguros para efectos de valorizar el Impacto,
puesto que posteriormente, aplicando la fórmula que corresponda y en función de
las características de los seguros, estos mitigarán el impacto del incidente
generando una valoración “objetiva” del Nivel de Exposición al cual la organización
está expuesta, producto de la inexistencia de seguros o de seguros que no cubren
la totalidad de los requerimiento, etc.
Luego, es necesario valorizar los Controles. En una tercera etapa o reunión, con el
mismo grupo se procede a valorizar los parámetros asociados a cada uno de los
controles en forma individual, indistinto del FR al que apliquen o la metodología
que se utilice.
Finalmente, se procede a asociar cada control el/los FR que mitiga.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 146/168
RIESGO
INHERENTE O INICIAL
Producto del análisis detallado y la valoración individual de los FR asociados a
cada Riesgo, se calcula un primer nivel de exposición denominado Riesgo
Inherente. Este consiste con el cálculo de la Magnitud del Riesgo, pero sin
considerar los controles, podríamos decir que se evalúa el Riesgo “tal cual Dios lo
trajo al mundo”, desnudo. Este cálculo matemático entregará un valor asociado al
Riesgo Inherente o propio de la actividad para cada FR. Dado lo anterior, es
necesario identificar, para cada Riesgo, cual es el FR, asociado a ese Riesgo en
particular, que tiene la mayor exposición y por ende es el que lleva al Riesgo a su
mayor nivel. En general es bastante evidente, pero hay ciertas condiciones de
borde que deben ser consideradas y tratadas.
Supongamos que tanto la probabilidad como el impacto están en escala de 1 a 5.
La metodología o fórmula para calcular el Riesgo será P * I. Qué sucede cuando
tenemos un FR con Probabilidad = 4 e Impacto = 5 y lo comparamos contra otro
de Probabilidad = 5 e Impacto = 4. Al aplicar nuestra fórmula, en ambos casos
tenemos el mismo valor, 20. Cuál de los dos es más relevante? Es necesario
definir un criterio que permita discriminar cuál de los dos es más relevante.
Cuando ocurren estas situaciones medias extrañas, es recomendable considerar
como más relevante aquel FR cuyo Impacto es mayor. El motivo es que al
comparar dos situaciones, se presume que ambas han ocurrido, luego el Impacto
es la variable que manda para diferencia la prioridad de uno sobre el otro.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 147/168
Un elemento interesante a destacar en este punto, es que usualmente el FR que
lleva el Riesgo a su máximo Nivel de Exposición es el más evidente y a su vez el
más controlado. A su vez, en la mayoría de los Riesgos, sucederá que una vez
aplicados los controles sobre un Riego en particular, será otro el FR que llevará el
Riesgo a su máximo Nivel de Exposición, pero aun así, será menor que el
inherente.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 148/168
RIESGO RESTANTE O RESIDUAL
El Nivel de Riesgo Restante o Residual es el resultado del tratamiento del Riesgo
mediante controles y mitigadores que se aplican en determinadas actividades en
las que surgen los FR que pueden materializar distintos Riesgo. En otras palabras,
es el resultado de aplicar los controles y mitigadores disponibles a los FR
identificados y es el Nivel de Riesgo al cual la actividad está expuesta pese a que
se aplican los controles identificados.
Si el Nivel de Riesgo Residual de un Riesgo en particular es superior al Nivel de
Aceptable, significa que es necesario tomar medidas suficientes para reducir dicho
Nivel bajo el nivel aceptable o eventualmente, con conocimiento y debidamente
documentado, decidir traspasar dicho Riesgo a una aseguradora o simplemente
asumir dicho Riesgo.
MAPAS DE RIESGOS
El Mapa de Riesgos no es más que una representación gráfica de los resultados
de la evaluación de Riesgos y debe ser relativamente fácil de comprender por
parte de personas que no son entendidas en la materia, tales como altos directivos
de la compañía y Directores de la misma. En este sentido, existen distintas formas
de representación. No hay unas más correctas que otras, sino que simplemente
son distintas en función de lo que se pretende enfatizar.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 149/168
MAPA DE PROBABILIDAD x IMPACTO
Estándar
El Mapa de Riesgos estándar basado en Probabilidad e Impacto, considera que
cada Riesgo es representado por un punto dado por la coordenada generada de
los resultados de la Probabilidad (eje X) y el Impacto o Severidad (eje Y) (también
se usan los ejes invertidos, donde el Impacto es el eje X y la Probabilidad el eje Y).
En este Mapa la Magnitud del Riesgo está dada por la magnitud del vector de
origen en el punto de intersección de los ejes que termina en la coordenada del
Riesgo. Eventualmente la magnitud puede estar dada por el color resultante por la
posición relativa en la matriz de colores y determinando su nivel de riesgo de esta
forma.
Fig 21.1 Mapa de Riesgos estándar P x I Fig 21.2 Mapa de Riesgos estándar P x I
5
4
3
2
1
1 2 3 4 5
IMPACTO
P R O B A B I L I D A D
FR03
FR212
FR244
FR142
FR190
R04e
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 150/168
Variabilidad de Probabilidad y/o Impacto
Un Mapa de Riesgos del tipo P x I con variabilidad de Probabilidad y/o Impacto
representa, adicionalmente a la coordenada del Riesgo, su margen de error
respecto de la Probabilidad e Impacto representados. En este sentido, pudiera un
Riesgo tener una Probabilidad 2 con una variación de un 10% por tanto en
realidad estaría entre 1.8 y 2.2. Lo mismo sucede si existe un margen de error
conocido respecto del impacto potencial.
Fig 22 Mapa de Riesgos de tipo P x I con variabilidad de Probabilidad e Impacto
Desarrollo propio
FR212FR160
FR22
FR161
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 151/168
MAPA DE RIESGO RESTANTE
Otra forma de mostrar gráficamente la Magnitud de los Riesgos es directamente
utilizando las escala de riesgos. Así el tamaño de la figura indicará la cantidad de
Riegos asociados a una Categoría en particular, el eje vertical indicará la mayor
Magnitud de Riesgo Residual de alguno de los Riesgos de dicha Categoría y el
horizontal la Categoría. El resultado se muestra en la figura 23, lo cual permite un
primer nivel de información ejecutiva.
Fig 23 Magnitud del Riesgo por Categoría
Desarrollo propio
En general, cuando un Riesgo se encuentra con una “ Alta” Probabilidad y es de
“ Alto” Impacto, debe ser tratado inmediatamente. Cuando es solamente la
25
32
45
17
29
12
39
Magnitud del Riesgo por Categoría de Riesgo
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 152/168
Probabilidad la que se puede afectar, es necesario implementar planes de control
tales como capacitaciones, dobles controles u otras medidas que permitan reducir
dicho parámetro. Cuando lo único que se puede mitigar es el impacto, es
recomendable implementar planes de continuidad operacional y evaluar seguros
complementarios que mitiguen a lo menos el impacto financiero para la
organización.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 153/168
INFORMES
Con cada ciclo de Gestión de Riesgos, donde se ha evaluado cada uno de los FR
y se ha determinado los niveles de exposición de cada Riesgos y su relación con
sus respectivos Niveles de Tolerancia o Aversión al Riesgo, es necesario informar
a las máximas autoridades de la organización el estado del arte o la situación
vigente de los Riesgos. Esta información es muy importante para la toma de
decisiones y particularmente aquellas que tengan que ver con temas estratégicos
o con enfrentar situaciones de desmedro.
Por ejemplo, las compañías de seguro cobrarán menor prima si el nivel de
accidentalidad es nulo o bajo. En la medida que se apliquen controles adecuados,
el nivel de accidentabilidad bajará, las primas bajarán y todos estarán felices. Por
otro lado, es importante para la autoridad organizacional conocer estos factores,
puesto que se podría estar estudiando la fusión de la organización con otra y el
tener niveles bajos de accidentabilidad pudiera ser un factor preponderante en las
negociaciones y particularmente el precio. En el sentido opuesto, dada una
situación de mercado que se contrae, es posible que sea necesario realizar
recortes presupuestarios. El hecho de tener una baja accidentabilidad es una
fortaleza que permitirá que los recortes no estén por ese lado.
En general, el informe debe comenzar con una breve reseña de la situación
anterior. Breve, de no más de un párrafo o dos, sumando no más de unas 10
líneas. El informe debe ser ejecutivo, breve, conciso, sin rodeos, directo a la
materia. Luego una reseña de la situación actual, no más larga que la anterior y
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 154/168
finalmente una reseña de lo que se está haciendo para mejorar la situación actual.
Cada uno de estos puntos no debe extenderse significativamente, puesto que se
complementará con información en detalle en el resto del informe. Todo esto debe
estar en una única página del informe, puesto que es EJECUTIVO y no en detalle.
La siguiente sección del informe deberá profundizar un nivel mostrando gráficos
de cada Categoría de Riesgo, el comparativo del ciclo anterior y el actual. Ello
permitirá mostrar en forma resumida la evolución de la Gestión de Riesgos a nivel
de Categoría.
La siguiente sección profundiza aún más, y debe indicar los Factores de Riesgos
específicos más riesgosos o peligrosos, indicando en primer lugar aquellos de
mayor prioridad y paulatinamente llegar hasta los de Magnitud del Riesgo medio o
bajo, según sea el caso, hasta los cuales tengan una Magnitud del Riesgo sobre el
Nivel de Aceptación definido, pero por muy poco. De esta forma se facilita la
priorización de la asignación de los recursos y facilita la generación de proyectosnecesarios para implementar nuevos controles.
En algunos casos, pudiera ser necesario especificar la situación particular de
alguno de ellos, incluso cuando un Riesgo está bajo el nivel de tolerancia, por
motivos de cumplimiento legal. Usualmente, estos Riesgos específicos tienen que
ver con la probabilidad de comisión de algún delito por parte de la organización o
que esta sea utilizada por clientes o proveedores para cometer ilícitos. Es por ello
que pudiera ser tan relevante tratar estos Riesgos específicos en sesiones de
Directorio o reuniones de las máximas autoridades de la organización.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 155/168
Luego de este informe de la situación vigente, se debe indicar el seguimiento
realizado a los indicadores de Riesgo. En general, estos indicadores no debieran
ser más de 10, los que se informan, indistinto de que el área o unidad a cargo de
la Gestión de Riesgos pueda tener varios más. La idea es escoger los principales
indicadores que den el mayor valor posible a la visualización de la relevancia de
los Riesgos y requerimientos de la Gestión de Riesgos, así como el mayor aporte
a la toma de decisiones. Al igual que con los Riesgos, es necesario indicar la
situación comparada de cada indicador respecto del ciclo anterior y agregar
alguna pequeña descripción que justifique la variación en uno u otro sentido.
Por ejemplo, el número de caídas de sistemas podría ser un indicador. En el
período anterior era 0 y para este período es 1. Se puede explicar que hubo una
situación no prevista de cortes de energía en el proveedor de los sistemas, lo que
afectó por aproximadamente xx minutos a nuestra organización. Se aplicarán las
multas establecidas en el contrato y se está evaluando el costo de cambiar de
proveedor o de implementar un sistema de respaldos más complejo y seguro.
Finalmente, el informe debe indicar los proyectos asociados a la Gestión de
Riesgos, y todos los respectivos parámetros del proyecto, tales como responsable,
nivel de avance, problemáticas puntuales, presupuesto, gasto real, etc.
Un informe con estas 5 secciones, se puede entregar en una reunión de directorio
o un Comité de Directores, y su presentación no debe durar más de 15 a 20
minutos, salvo que existan dudas de los asistentes. Este informe debiera ser
fácilmente entendido por un Directorio o una Alta Gerencia para incorporarlo en los
procesos de toma de decisión de la organización.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 156/168
ANÁLISIS COSTO BENEFICIO
La Gestión de Riesgos no implica únicamente identificar la Magnitud del Riesgo
Restante de la organización a un Riesgo en particular, sino que además requiere
que se determine qué hacer con él. Sin embargo, solamente el qué hacer no
basta, puesto que los costos involucrados pudieran no justificar el beneficio de
controlar el Riesgo. Por ejemplo, si la infraestructura tiene un costo de 100 y
mitigar el riesgo de pérdida de ella significa una inversión de 200, el costo es muy
superior al beneficio y tal vez es mejor simplemente aceptar el Riesgo.
Es por lo anterior que, adicionalmente al informe ejecutivo, una adecuada Gestión
de Riesgos hace necesario entregar a las máximas autoridades de la organización
un análisis de los costos involucrados en la mitigación de los Riesgos versus los
beneficios esperados de dicha inversión. En general, los costos son bastante
claros y tienen que ver con bienes y servicios específicos, tales como servicios de
monitoreo y vigilancia o bienes como extintores y sistemas automáticos de
extinción de incendios o primas de seguros, etc. Sin embargo, la parte difícil de
justificar es el beneficio y su mayor proporción respecto del costo.
Por ejemplo, el costo de instalar un sistema de extinción de incendios puede ser
del orden de US$1.000.000 en una bodega. Sin embargo, el costo de los
productos en dicha bodega, superan en 10 veces dicho valor. A eso es necesario
considerar pérdidas de mercado producto de un evento de esta naturaleza, juicios
y demandas de vecinos y terceros afectados, además de la propia producción que
no se puede generar.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 157/168
Cuando el resultado de la proporción entre invertir en mitigadores y el costo
resultante es casi 1, es decir son casi iguales, es necesario evaluar dos
alternativas. Por un lado, según el monto involucrado, decidir asumir dicho costo
en caso de materialización de un evento. La otra alternativa es evaluar seguros a
los cuales poder traspasar a lo menos el impacto financiero de un evento de dicha
naturaleza. Una tercera alternativa sería asumir el Riesgo.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 158/168
REGISTRO DE PÉRDIDAS
Usualmente, cuando se inicia el proceso de Gestión de Riesgos, no hay
disponibles registros o estadísticas respecto de las probabilidades o de los
impactos reales de todos los eventos. Es por ello que es indispensable, junto con
el inicio del proceso de Gestión de Riesgos, generar un modelo de base de datos
que permita registrar y contabilizar las pérdidas y en definitiva los impactos.
Este registro debe contener la mayor cantidad posible de información, tal que
permita hacer un análisis y como resultado del mismo se puedan implementar
mejoras. Por ejemplo, cuándo sucedió, qué sucedió y cómo sucedió. El cuándo es
bastante evidente, se debe indicar no sólo la fecha, sino también la hora y el lugar.
El qué, debe ser una descripción más que de los eventos, de la percepción de la
situación, del contexto general en que se dio el incidente y el cómo debe indicar el
análisis de causa raíz y sus conclusiones. Adicionalmente, es necesario detallar
los efectos en la infraestructura, la tecnología, la producción, las personas, el
negocio como tal, si los seguros operaron adecuadamente, si se detectaron
falencias en planes de evacuación, planes de contingencia, etc.
En la medida que se disponga de mayor cantidad y calidad de información, mejor
será la evaluación de los riesgos, la comprensión de los requerimientos de
mitigación y más certero el análisis de costo – beneficio de los controles
implementados.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 159/168
Por ejemplo, en las industrias manufactureras es común ver carteles que indican
la cantidad de días transcurridos desde el último accidente. Un accidente en una
industria donde la mano de obra es intensa, tiene un costo que va más allá de la o
las personas accidentadas, con el costo que significa el tratamiento de las
lesiones, los costos de recuperación y eventualmente capacitación. También hay
que considerar los costos de despido y los costos de reemplazo, sólo desde el
punto de vista del recurso humano. Adicionalmente, están los costos de la
producción propiamente tal. Si el proceso productivo se detuvo durante varias
horas o eventualmente días, existe un costo relevante en la materia, la reposición
de componentes o maquinarias dañadas producto del accidente, el impacto en la
moral y la eficiencia de los colaboradores que vieron el accidente o participaron
indirectamente, amigos y colegas. Complementariamente, subirá la prima de
accidentes, y en el peor de los casos puede incluso surgir demandas laborales o
descontento general. Directamente, todo lo anterior debe valorizarse en dinero,
necesariamente, puesto que ello se comparará con el costo de implementar una o
un conjunto de medidas con el objetivo que el incidente no se repita y a que si
llegase a ocurrir, el impacto del mismo sea el menor posible.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 160/168
GLOSARIO
Amenaza: Causa potencia de un evento no deseado, que puede resultar en daños
o perjuicios a los sistemas o la organización.
Análisis de Riesgo: Proceso de comprender la naturaleza del riesgo y determinar
el Nivel de Riesgo.
Apetito de Riesgo: a) Magnitud del Riesgo que se está dispuesto a aceptar en
búsqueda de resultados acordes con los objetivos de la organización. (Nivel de
Aceptación). b) Decisión informada de asumir un determinado Riesgo.
Apreciación del Riesgo: Es el proceso global de identificación, de análisis y de
evaluación del Riesgo.
Auditoría: Proceso sistemático, independiente y documentado para obtener
evidencia y evaluarla objetivamente para determinar el nivel de cumplimiento de
los criterios de auditoría.
Alcance de la Auditoría: Extensión y límites de una auditoría.
Alta Dirección: Persona o grupo de personas que dirigen y controlan una
organización a su más alto nivel.
Aversión al Riesgo: Actitud de alejarse del Riesgo.
BCP: Sigla del inglés Business Continuity Plan o Plan de Continuidad de Negocio.
Su objetivo es contar con procedimientos claros y estructurados que permitan
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 161/168
proteger a las personas y continuar con la operación o restablecerla a la brevedad
posible.
BIA: Sigla del inglés Business Impact Analysis o Análisis de Impacto al Negocio.
Su principal objetivo es identificar aquellas situaciones que de materializarse
generarían un mayor impacto negativo en la organización, tal que la misma pueda
preparar acciones o controles que reduzcan la probabilidad que ocurran estos
eventos o que en caso de ocurrir, el impacto sea menor al considerado
originalmente. (véase el punto BIA)
Buena Práctica: Conjunto de criterios y/o actividades que han sido probadas en
diversas organizaciones de diversas características, que han dado resultados
positivos.
Capacidad de Riesgo: Máxima Magnitud de Riesgo Restante que la organización
es capaz de soportar en caso de materialización de el/los Riesgos.
Criterio: Término de referencia contra el cual se realiza una evaluación.
Crítico: Característica de un elemento, actividad, sub-proceso o proceso, sin el
cual la organización no puede continuar su operación usual.
Control: Proceso, elemento o acción, que permite controlar y/o mitigar, identificar
o reaccionar ante la materialización de un Riesgo.
Controlar : Acción que reduce de alguna manera la Probabilidad de la
materialización de un Riesgo.
Consecuencia: Resultado de un evento que afecta objetivos.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 162/168
Descripción del Riesgo: Declaración estructurada del Riesgo que usualmente
contiene cuatro elementos: fuentes, eventos, causas y consecuencias.
Dueño del Riesgo: Persona o entidad que tiene la responsabilidad y autoridad
para gestionar el Riesgo.
DRP: Sigla de inglés Disaster Recovery Plan o Plan de Recuperación de
Desastres. Cuando el BCP no logra controlar la situación y se declara que ha
ocurrido un desastre, este conjunto de planes e instrucciones establecen los
mecanismos para recuperar a la organización de una situación de esta naturaleza.
Efectividad: Se refiere a las capacidades de un control de operar en calidad,
tiempo y alcance de acuerdo a sus características propias.
Eficacia: Característica relacionada a “cuán bien” opera o se ejecuta una
actividad, proceso o control.
Eficiencia: Característica relacionada a “cuán rápido” opera o se ejecuta una
actividad, proceso o control.
Escala: Conjunto de valores ordenados, continuos o discretos, o conjunto de
categorías a los cuales un parámetro hace referencia.
Evaluación del Riesgo: Proceso de comparación de los resultados del Análisis de
Riesgos con Criterios de Riesgo y/o el Nivel de Aceptación o Tolerancia al Riesgo.
Evento: a) Algo que sucede en la organización fuera de lo establecido en los
procedimientos y procesos usuales de la misma. b) Cambio en un conjunto
particular de circunstancias.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 163/168
Factor de Riesgo (FR): Causa raíz o incidente que materializa un Riesgo en
particular.
Fuente de Riesgo: Elemento que por sí solo o en combinación con otros tiene
potencial intrínseco de materializar un Riesgo.
Gestión de Riesgos: Actividades coordinadas para administrar, dirigir y controlar
una organización respecto de los Riesgos.
Identificación de Riesgos: Proceso de detección, reconocimiento y descripción
de Riesgos. (Véase el punto Identificación de Riesgos)
Impacto: Resultado negativo sobre la organización dada la materialización de un
Riesgo. (Véase el punto Impacto)
Incidente: Evento de connotación negativa para la organización.
Incertidumbre: Estado, incluso parcial, de deficiencia de información relacionada
con la comprensión o conocimiento de un evento, su consecuencia o su
probabilidad.
Indicador : Medida que provee una estimación, valoración o referencia de una
variable, una actividad, o un proceso, como resultado de un proceso de análisis.
Matriz de Riesgos: Herramienta que permite ordenar y priorizar Riesgos,
mediante la definición de rangos de parámetros tales como Probabilidad o Impacto
u otros.
Mapa de Riesgo: Representación gráfica de los resultados del tratamiento de los
Riesgos reflejados en la Matriz de Riesgos Residual o Restante.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 164/168
Medición: Proceso para determinar un valor.
Mitigar : Acción que reduce de alguna manera el Impacto de la materialización de
un Riesgo.
Monitoreo: Proceso de determinación del estado de un proceso o actividad
específica en un momento dado.
Nivel de Aceptación: a) Magnitud del Riesgo que la organización está dispuesta
a correr, pudiendo afectar negativamente los resultados financieros de la
organización. b) Magnitud del Riesgo considerada aceptable y dentro del Apetito al
Riesgo.
Nivel de Exposición: Cantidad o Nivel de veces en que la organización se ve
“expuesta” a la materialización de un Riesgo en particular.
Nivel de Riesgo: Magnitud del Riesgo, resultante de la Apreciación del Riesgo,
representada como el resultado de una combinación de variables.
Percepción del Riesgo: Visión que las partes interesadas tienen del Riesgo.
Política: Expresión formal de intención y dirección de una organización por parte
de la Alta Dirección.
Probabilidad: Frecuencia de veces que se materializa un evento respecto de la
cantidad de veces que se ejecuta la acción en la cual el riesgo está presente.
(Véase el punto Probabilidad)
Proceso: Transformación de elementos de Entrada en elementos de Salida.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 165/168
Resiliencia: a) Capacidad adaptativa de una organización en un ambiente
complejo y cambiante. b) Resistencia.
Riesgo: a) Combinación de parámetros de Probabilidad e Impacto respecto de la
materialización de un evento específico que afecte a la organización o su
desarrollo cotidiano. b) Contingencia o proximidad de un daño. c) Efecto de la
incertidumbre en los objetivos.
Riesgo Residual: Riesgo restante.
Riesgo Restante: a) Resultado de la combinación de la evaluación de
Probabilidad, Impacto y Controles que indica la prioridad y nivel de efecto de un
Riesgo en particular. b) Magnitud del Riesgo luego de aplicar un tratamiento al
Riesgo.
RPO: Sigla del inglés Recovery Point Objective o Punto Objetivo de Recuperación,
es la cantidad de datos o procesos que la organización considera tolerable o
aceptable perder antes de considerarlo una interrupción del proceso.
RTO: Sigla del inglés Recovery Time Objective o Tiempo Objetivo de
Recuperación, es la cantidad de tiempo que se considera aceptable que un
proceso pueda estar detenido hasta que éste se reactiva sin ser considerado
crítico.
Tratamiento al Riesgo: a) Combinación de controles que tienden a reducir el
impacto y/o probabilidad de materialización de un Riesgo. b) Proceso para
modificar el Riesgo.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 166/168
Tolerancia al Riesgo: Rango de error aceptable para considerar un parámetro de
Riesgo como confiable.
Vulnerabilidad: Debilidad de un activo o control que potencialmente puede ser
explotada por una o más amenazas.
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 167/168
BIBLIOGRAFIA
Guía 73 - Risk management – Vocabulary - ISO
NCH ISO 19600: 2015 - Sistemas de gestión de Compliance – Directrices - INN
ISO 31000:2009 - Risk management – ISO
ISO 31010:2009 - Risk assessment techniques - ISO
ISO 27001:2013 - Information technology -- Security techniques -- Informationsecurity management systems – Requirements – ISO
ISO 22301:2012 - Societal security — Business continuity management systems
— Requirements – ISO
ISO 19510:2013 - Information technology - Object Management Group Business
Process Model and Notation - ISO
ISO/TC 176/SC2 – Documento N°1222, Julio 2014
Risk Taking: A Corporate Governance Perspective – IFC World Bank Group
Proceso de gestión de riesgos y seguros en las empresas - Mª ISABEL CASARES
SAN JOSÉ-MARTÍ, Madrid 2013.
“Implementación de la Gestión Integral de Riesgos en el Sector Asegurador bajo la
norma ISO 31000” - - Mª ISABEL CASARES SAN JOSÉ-MARTÍ, Madrid 2014
Recomendación Basilea II – Banco Mundial
8/17/2019 Gestión de Riesgos - Alan Santos.pdf
http://slidepdf.com/reader/full/gestion-de-riesgos-alan-santospdf 168/168
COSO I - Internal Control Integrated Framework – 1992
COSO II - Internal Control Integrated Framework – 2004
COSO III - Internal Control Integrated Framework – 2013
Directiva del Parlamento Europeo Solvencia 2009
Reglamento Delegado (UE) 2015/35 de la Comisión, Solvencia II
Diccionario de la Real Academia de la Lengua Española
Cálculo del Nivel de Riesgo Cardiovascular – UNED - Facultad de Ciencias
Nutrición y Dietética - FERNANDO MARTÍN FERNÁNDEZ -
http://www2.uned.es/pea-nutricion-y-dietetica-I/guia/PDF/
Programa_Calculo_Riesgo_Cardiovascular _UNED.pdf
top related