25

Capítulo 1Identificación de riesgos empresariales

Antecedentes

El interés por identificar los riesgos ha existido desde la antigüedad, fruto de la necesidad de prevenir eventos desfavorables para el bienestar de la humanidad. Acudir a oráculos para predecir los hechos, leer cartas como el tarot o la llamada carta astral, pedir consejo a expertos, consultar información, estar atentos a las noticias locales e internacionales, mo ni­torear las acciones de la competencia y los gustos de los consumidores han sido, entre muchos otros, medios para identificar riesgos que alteren la realización de nuestros deseos y planes o afecten nuestra seguridad. Para identificar los riesgos personales no es necesario desarrollar técnicas sofisticadas; la observación es una de las mejores aliadas para buscar la seguridad en la cotidianidad. Si se observa en las calles, bodegas, edificios, laboratorios e instalaciones, se puede en general percibir una variedad de señales que evidencian peligros y que permiten evitarlos o controlarlos; el instinto de conservación hace que estemos en constante aler ta ante condiciones anormales que pueden atentar contra nuestra supervivencia. La palabra riesgo, desde sus orígenes, se relaciona con peligro, con hechos adversos que pueden suceder y deben afrontarse:

Desde el punto de vista etimológico, el origen de la palabra riesgo se atribuye tanto al latín como al árabe. Se dice que llega al italiano a través de la palabra risico o rischio, y ésta del árabe clásico rizq (lo que depara la providencia), o del latín resecu (riesgo en el mar, roca, risco) y risicare (desafiar, retar, enfrentar, atreverse o transitar por un sendero peligroso). El significado de riesgo se relacionaba con el peligro que en la antigüedad representaban los riscos marinos pa ra las embarcaciones.1

1 Rubi Consuelo Mejía Quijano, El riesgo y la historia empresarial antioqueña. Tres casos de estudio, Medellín, Fondo Editorial Universidad EAFIT, 2011, p. 50.

26

Los riesgos han evolucionado y su estudio adquiere mayor relevan­cia en el ámbito de la práctica empresarial. Allí se evidencia aún más la ne ce sidad de controlar las amenazas que pueden afectar el normal fun cionamiento de toda empresa y generar pérdidas, que van desde lo eco nómico hasta la afectación a las personas, pasando por el deterioro del me dio ambiente o de la imagen corporativa. Según la norma ISO 31000, el riesgo es: “[…] el efecto de la incer­tidumbre sobre los objetivos”.2 En el campo empresarial el riesgo se aso­cia con la incertidumbre de un resultado, el cual puede ser negativo al ocasionar pérdidas materiales o inmateriales, o positivo si se convierte en opor tunidad de obtener ganancias.3

Sobre los conceptos incertidumbre y riesgo hay diferentes concep­tualizaciones; a continuación se presentan tres perspectivas que pueden aclarar la diferencia entre ellos:

Frank Knight uno de los autores más reconocidos en al ámbito de la economía por tratar en profundidad el tema del riesgo, en su libro Risk, Uncertainty and Profit plantea el papel de la incertidumbre en la actividad empresarial y distingue los conceptos de riesgo e incertidumbre, caracterizando el primero como mesurable y el se­gundo como incalculable. Es decir, cuando habla de riesgo, refiere la aleatoriedad de los resultados con probabilidades conocidas; en el caso de la incertidumbre, refiere la aleatoriedad con probabilidades desconocidas.4

El riesgo y la incertidumbre son conceptos relacionados; en algu­nos casos se utilizan los dos indistintamente. Algunos autores

2 International Organization for Standardization, ISO 31000. Risk Management – Principles and Guidelines, Suiza, iso, 2009, p. 1. [Todas las traducciones de la norma son realizadas por la autora].

3 Algunos autores, como Javier Mirabal, consideran que los posibles resultados de los riesgos dependen de si son riesgos puros o especulativos. Cuando se habla de riesgos especulativos existen tres posibles resultados: pérdida, ganancia o ni pérdida ni ganancia; cuando se trata de riesgos puros se pueden dar dos posibles resultados: pérdida o no pérdida. Javier Mirabal T., “La Auditoría interna y la administración de riesgos”, Administración de riesgos y seguros latinoamericana, Buenos Aires, año 1, núm. 1, abril de 2004, pp. 8­17.

4 R. C. Mejía Quijano, El riesgo y la historia empresarial antioqueña. Tres casos de estudio, op. cit., p. 46

27

con sideran el riesgo como cualquier situación en la que hay incer­tidumbre acerca del resultado que se obtendrá.

La incertidumbre se relaciona con la duda ante la posible ocurrencia de algo que puede ocasionar pérdida, por lo cual algunos la con­sideran como una ilusión basada en el desconocimiento de los he chos o las condiciones que pueden generar pérdida; de ahí que Irvin Pteffer, al hablar del tema, diga que el riesgo es un estado del mundo real y que la incertidumbre es un estado de la mente, porque es posible que exista el riesgo y no tengamos incertidumbre sobre su ocurrencia, o por el contrario tengamos incertidum ­

bre, pero el riesgo puede no existir.5

Es importante diferenciar entre riesgo e incertidumbre. La incer­tidumbre existe siempre que no se sabe con seguridad lo que ocurrirá en el futuro. El riesgo es la incertidumbre que afecta ne gativamente el bienestar. Por ejemplo, hay incertidumbre de que mañana pueda llover, lo cual implica un riesgo para quien no lleve paraguas y una oportunidad para quien necesite rociar su jar­dín. Como se ve, oportunidad es la incertidumbre que mejora el bienestar de las personas, la cual cambia de una a otra de acuerdo con sus necesidades. Toda situación riesgosa es incierta, pero pue de haber incertidumbre sin riesgo.6

Las empresas pueden afrontar riesgos provenientes de diferentes ámbitos de su actuación, tanto del entorno como de sus operaciones; pero también se corren riesgos en la toma de decisiones: “[…] la esencia de ‘hacer negocios’ es, precisamente, correr riesgos, en otras palabras, el riesgo es una elección propia, más que una imposición o un obstáculo indeseable”.7

El avance en la identificación de riesgos con fines de control ha si­do impulsado por varias razones, entre ellas, la creciente normatividad expedida en diferentes campos, como los de la salud ocupacional y la

5 Rubi Consuelo Mejía Quijano, Administración del riesgo. Un enfoque empresarial, Medellín, Fondo Editorial Universidad EAFIT, 2006, p. 31.

6 Oscar Bravo Mendoza y Marleny Sánchez Celis, Gestión integral de riesgos, Bogotá, Bravo & Sánchez, 2009, p. 18.

7 Deloitte & Touche e IMEF, Administración integral de riesgos de negocios, México, Instituto Me xicano de Ejecutivos de Finanzas, 2003, p. xv.

28

pública, la seguridad industrial, las finanzas, etc. La conciencia creada hacia la responsabilidad del control de los riesgos que afectan a clientes, comunidades y medio ambiente, como el derrame de sustancias tóxicas en ríos y mares, el deterioro ambiental, las explosiones de productos tó­xicos, la afectación de la salud por el uso de medicamentos o materiales defectuosos en intervenciones quirúrgicas, las catástrofes naturales, el incremento y revelación de fraudes corporativos, el desacierto en deci­siones de administración de grandes capitales comunitarios en mercados de valores, el aumento de costos para resarcir víctimas de riesgos pro­venientes de empresas o entidades públicas, el cuestionamiento ético y de responsabilidad social sobre el manejo de riesgos y su impacto en el futuro de la humanidad…, han puesto en alerta a administradores, le gis ladores, científicos y comunidad en general sobre la importancia de identificar y administrar de forma efectiva los riesgos que pueden afectar la sociedad. De otro lado, la globalización que ha generado la interdependencia entre las naciones y las empresas, que ha permitido que la información se difunda en tiempo real en todo el planeta, y el desdibujamiento de las fronteras de tiempo y espacio, traen consigo un cambio drástico en la velo­cidad de la toma de decisiones, en la forma de responder a la diversi dad de costumbres y a las crecientes expectativas, necesidades y exigencias del mundo conectado. Cada vez se corren más riesgos, a la vez que se espera que éstos sean controlados. Por tanto, identificar los riesgos que el entorno genera a las organi­zaciones y los que provienen de sus propios procesos constituye una fuente de información de vital importancia para la gestión y competitividad em presarial, y eso requiere de herramientas que complementen la obser­vación, la experiencia y la intuición. En general los riesgos inherentes, y que por rutina se materializan en las empresas o en otros sectores de la economía, pueden ser reconocidos fácilmente. El administrador no necesita técnicas especiales para iden­tificarlos; pero, ¿está preparada la empresa para identificar riesgos tales como los psicosociales (depresión, ansiedad en el trabajo, tensión, insa­tisfacción laboral) o riesgos técnicos relacionados con los productos que elabora o servicios que ofrece, y que pueden generar a sus clientes o al medio ambiente impactos negativos?¿Está capacitada la organización para determinar las circunstancias externas e internas que pueden afectar el cumplimiento de los objetivos que se ha trazado? ¿Es suficientemente

29

flexible y tiene capacidad para adaptarse al entorno cambiante? ¿Puede analizar las causas de esos riesgos y sus consecuencias? La disciplina de la Administración de Riesgos surgió de la admi­nis tración de seguros. Inicialmente se dedicó al estudio de los ries­gos asegurables y con el tiempo amplió su cubrimiento a los demás riesgos:

El manejo del riesgo a través de un asegurador se inició con el transporte marítimo; los banqueros, con el soporte de un contrato, fi nanciaban a los dueños de los barcos viajes en los que se arriesgaba tanto el barco como la carga. En caso de pérdida, el contrato esti­pulaba que el dueño del barco no tenía la obligación de pagar el valor financiado para el viaje. Este tipo de contratos, aunque cos tosos, constituyeron el inicio del mercado de seguros. Éste se extendió posteriormente a otros campos, como el seguro de vida, al obtenerse cálculos más precisos de la esperanza de vida de las per sonas y los seguros patrimoniales. […]

Desde 1929, a nivel mundial se dio gran importancia al administrador del riesgo puro en los negocios, se crearon asociaciones de admi­nistradores de riesgos para intercambiar información entre los miem bros y publicar noticias o datos de interés para los compradores cor porativos de seguros. Posteriormente se fundaron Institutos de investigación y Sociedades de Administración de Riesgos y Se­

guros, los cuales, a través de reportes de estudios, seminarios y pu bli caciones, ayudaron al desarrollo de la Administración de Ries gos.8

La evolución de la administración de riesgos ha permitido que se establezcan acciones, ya no aisladas, sino de manera estructurada e in­tegral, para identificar, calificar, evaluar y monitorear todo tipo de riesgos que puedan afectar el cumplimiento de los objetivos de las organizaciones, con el propósito de responder con medidas efectivas para su manejo.9

La normatividad sobre riesgos empresariales ha evolucionado y en la actualidad un importante referente internacional es la norma ISO 31000, que establece para la administración de riesgos, principios que fun damentan la gestión de riesgos, un marco de referencia que delimita y direcciona la misma y un proceso para la gestión de riesgo que facili­

8 R. C. Mejía Quijano, Administración de riesgos. Un enfoque empresarial, op. cit., pp. 23­24.9 Ibíd., p. 41.

30

ta su ejecución. En la Figura 1.1 se presentan esos lineamientos, que según la norma interactúan en el desarrollo de la administración de riesgos.

Figura 1.1 Relación entre principios, marco y proceso de administración de riesgos

Fuente: Icontec International, NTC ISO 31000. Norma técnica colombiana, Bogotá, Icontec, 2011, p. 3.

El proceso de administración de riesgos implica varias etapas: Iden tificación, etapa previa que conduce al Análisis de los riesgos (estos se ca lifican según la probabilidad de ocurrencia y el impacto que pueden pro ducir en caso de materializarse). Para Calificar los riesgos se usan es­calas de valoración, dependiendo de las necesidades de cada empresa. En la evaluación de riesgos se determina qué tan graves son los riesgos identificados según los criterios de aceptabilidad, definidos por el nivel directivo. Una vez evaluados los riesgos se definen las medidas para tra­tarlos: control o financiamiento de las pérdidas.10 Luego se implementan las medidas de tratamiento de los riesgos y se monitorea su eficacia. El proceso de monitoreo, al igual que la comunicación de la información referente a las etapas de la administración de riesgos, es de acción permanente; ambos permiten el mejoramiento continuo del manejo de los riesgos.

10 R. C. Mejía Quijano, Administración de riesgos. Un enfoque empresarial, op. cit., p. 115­140.

31

La identificación de riesgos, así como las demás acciones, no puede ser puntual ni obedecer a una moda administrativa o a un impulso origina­do por la materialización de un riesgo catastrófico; se trata de un proceso consciente de análisis permanente y participativo, en el cual se busca responder como empresa a los riesgos que pueden afectarla.

¿En qué consiste la identificación de riesgos?

Identificar un riesgo empresarial es determinar los posibles eventos que con su materialización puedan impactar objetivos, estrategias, pla­nes, proyectos, servicios, productos u operaciones de la empresa. La identificación de riesgos incluye además la caracterización de esos eventos, es decir, el análisis de cómo ocurrirían, por qué se presentarían, dónde y cuándo sucederían, quién o qué factores incidirían en su ocurrencia, qué o quién podría verse afectado por ella, cuál sería la afectación (a la imagen, al personal, a recursos materiales o inmateriales, a terceros, etc.) y quién sería el responsable de manejar el riesgo. La norma ISO 31000 define la identificación de riesgos como el “[…] proceso para encontrar, reconocer y describir los riesgos”.11 Este proceso no es tan sencillo de realizar como se podría pensar, porque implica el aná lisis de varios elementos relacionados con el riesgo, que lo caracterizan se gún las condiciones del proceso, la decisión, el proyecto, el producto o la función a analizar.

Importancia y beneficios de la identificación de riesgos

La identificación de riesgos permite la calificación, evaluación, tra­tamiento o respuesta y monitoreo, al brindar elementos de análisis para cada una de las etapas de su administración; por lo que quizás es el paso más importante cuando se decide manejar los riesgos. De su correcta iden tificación dependen las acciones posteriores, mientras que con su omisión la empresa puede quedar sujeta al vaivén de las circunstancias. Según el experto en riesgos Carlos Velásquez, la identificación de és ­tos es considerada la actividad o etapa más importante del proceso de

11 International Organization for Standardization, op. cit., p. 4.

32

ges tión; no sólo porque los riesgos no identificados son asumidos inicial­mente por la empresa, sino también porque es el momento que habilita un buen ejercicio de análisis de riesgos, de tratamiento, monitoreo y co municación:

Una buena caracterización del riesgo es importante porque si se define un nombre corto del riesgo (genérico) y luego un escenario de ocurrencia, lo primero permitirá consolidar el mapa de riesgo corporativo y lo segundo dará claridad sobre la probabilidad y las consecuencias del evento; esta información es útil para el análisis de riesgos.

De igual forma definir el propietario del riesgo tiene como fin res­ponsabilizarlo por monitorear el riesgo identificado y gestionar el plan de tratamiento, independiente de que él sea el responsable de implementar las acciones registradas en dicho plan.

La etapa de identificación también es un momento fundamental para el componente financiero de la gestión de riesgos, pues da elementos para estimar el costo del riesgo y además puede dar in­formación para definir frente a un posible impacto el porcentaje de desviación o tolerancia aceptada.

Si identificamos un agente generador o fuente del riesgo y sus cau ­ sas asociadas, éstas pueden ser insumos tanto para identificar

controles existentes así como futuros tratamientos; igual, al analizar los tratamientos de los riesgos, desde su eficacia, se analiza el grado de incidencia de cada tratamiento sobre las causas, sean “causa mediata” o “causa raíz”.12

Los beneficios de la identificación de riesgos son muchos, y pueden dividirse primordialmente en dos campos: el primero tiene que ver con lo que se puede prevenir y el segundo con lo que se puede aprovechar; es decir, prevención de pérdidas y aprovechamiento de oportunidades. Los riesgos se identifican con el fin de estar preparados ante eventos no esperados, evitar sorpresas desagradables que puedan afectar nega­tivamente a la empresa o prevenir sanciones por el incumplimiento de normas. La identificación de riesgos facilita también la toma de decisiones, al brindar información que permite conocer causas e implicaciones de los

12 Carlos Andrés Velásquez, entrevista personal por Rubi Consuelo Mejía Quijano, Medellín, febrero de 2012.

33

hechos y definir si se hace o se deja de hacer alguna actividad, proyecto o estrategia, de acuerdo con el nivel de riesgo que implica; por lo cual genera un manejo coherente del riesgo, lo que permite “correr” riesgos controlados. La adecuada identificación de riesgos, unida a la correcta admi­nis tración de los mismos, propicia mayor control de los eventos adver ­sos, la optimización de inversiones y la protección de los recursos; ade más mejora las relaciones entre las partes o grupos de interés de la empresa, crea responsabilidad en el manejo de los mismos, genera comportamiento proactivo –más que reactivo– y permite alinear el comportamiento indi­vidual con la responsabilidad organizacional. Esto trae grandes beneficios en la mejora de los procesos, productos o servicios, haciéndolos más seguros y reduciendo la posibilidad de pérdidas. Los riesgos pueden ser, a su vez, fuente de oportunidades: si se iden­tifican a tiempo y se estudia cómo manejarlos, se pueden transformar a favor de la empresa. Su evaluación puede llevar a vislumbrar decisiones –en ocasiones poco obvias– que permiten proteger y generar valor para los grupos de interés, lo que los convierte en ventajas competitivas, pues propician la anticipación a las actuaciones de los competidores y el apro ­vechamiento de oportunidades no previstas, que pueden redundar en uti ­ li dades derivadas de la innovación y mejora organizacional. En una entrevista, el experto en riesgos Tomás Isaza Jaramillo destaca otros aspectos de la identificación de riesgos:

En las buenas prácticas en la dirección de las empresas, dentro de las cuales se encuentra la Gestión Integral del Riesgo en general, y la identificación de riesgos en particular como una de las etapas más

importantes de dicho proceso, se hallan otros tópicos relacionados a ésta que merecen ser destacados:

En el mundo se habla cada vez más del desarrollo sostenible de los países y de las empresas. Este concepto se basa fundamentalmente en obtener el desarrollo económico logrando igualmente el desa­rrollo social y la preservación del medio ambiente. Hay quienes consideran que éste será el nuevo modelo económico del mundo, ante el fracaso de los modelos dominantes en el siglo xx: el comu­nismo y el capitalismo (puro o salvaje). En este orden de ideas, la Gestión Integral de Riesgos se constituye en un elemento tras ­

cen dental e ineludible para quienes están al frente de las em­pre sas. Así mismo, la identificación de riesgos se convierte en el elemento fundamental y punto de partida de aquellos riesgos

34

que atenten contra el desarrollo económico, el desarrollo social y la preservación del medio ambiente; es decir, ya no se trata sólo de identificar riesgos que afecten la variable económica, sino tam ­

bién los riesgos que incidan en las variables sociales (cambio de­mográfico, pobreza, desigualdad, desempleo, déficit pensional, etc.) y ecológica (capa de ozono, escasez de agua, agotamiento de los recursos no renovables, etc.), las cuales muchas veces no son cuantificables en términos monetarios.

La identificación de riesgos es igualmente importante en la eva­luación de proyectos. Normalmente los proyectos se evalúan de acuerdo con las variables de mercadeo, factibilidad financiera, legal, tecnológica. Pero, pocas veces se hace un análisis desde el punto de vista de riesgos del proyecto. Es factible que mediante una iden tificación integral de riesgos, se detecten factores de riesgos que hagan inviable un proyecto, que por otro lado resulte viable en las variables antes mencionadas. Es decir, existe una premisa fundamental en finanzas y es que cada rentabilidad está asociada a un riesgo. De esta manera puede decirse que la rentabilidad de un proyecto no puede analizarse en términos de rentabilidad (roe, tir, etc.) sino que es necesario asociarla a un nivel de riesgo, y esto solo se logra a través de un juicioso ejercicio de identificación de riesgos.13

Consecuencias de no identificar los riesgos empresariales

Cuando una empresa quiebra, pierde mercado, se presenta un escándalo por fraude que le implica pérdidas económicas o deterioro reputacional, es sancionada, hay paros en la producción o los proyectos fallan y la rentabilidad disminuye, se torna ilíquida y empieza a incumplir obli ga­ciones financieras, sus clientes la abandonan, la competencia se vuelve agre siva y pierde oportunidades, un accidente o una decisión inadecua ­da ge nera consecuencias humanas o físicas, cuando sus productos nuevos no permanecen en el mercado o se deben retirar por fallas… sólo enton­ces la dirección de algunas empresas se cuestiona sobre lo adecuado de la administración de sus riesgos. Pero no es necesario pasar por todas

13 Tomás Isaza Jaramillo, entrevista personal, por Rubi Consuelo Mejía Quijano, Medellín, febrero de 2012.

35

esas situaciones para comprender la importancia de prevenirlas; to ­das ellas implican pérdidas para la empresa y la pueden ubicar en si­tuación desventajosa, inclusive hasta minar su estabilidad y capacidad de crecimiento. Si un riesgo no es identificado es como si no existiera, lo cual implí­citamente equivale a la decisión de aceptar las consecuencias de su materialización. Es responsabilidad del gerente o empresario no ignorarlo, así como identificar y controlar esos riesgos empresariales. A ellos corresponde la previsión, la viabilidad y el cumplimiento de lo planeado; también reorientar las acciones si hay fallas en su funcionamiento según lo previsto; todo ello con el fin de lograr los beneficios planeados y cumplir las expectativas de sus grupos de interés. Si no se identifican los riesgos no se puede planear su control, es decir, no se pueden definir medidas para disminuir su probabilidad de ocurrencia, para minimizar su impacto, para transferirlos a terceros cuando sea necesario o posible, para eliminar la actividad que los genera o para asumirlos, si es el caso, con plena conciencia. Ejemplos de empresas que no identifican riesgos y llegan a la quiebra son numerosos. En el libro Cómo caen los poderosos, Jim Collins presenta, co mo fruto de sus investigaciones, las cinco etapas de la decadencia de los poderosos: la arrogancia nacida del éxito, la búsqueda desordenada de más, la negación del riesgo y el peligro, la búsqueda ansiosa de la salvación, la capitulación ante la irrelevancia o la muerte. De esas etapas, la negación del riesgo es la que detona la caída de las empresas.14

Al entrar en la tercera etapa las señales de alerta comienzan a acu­ mularse, pero los resultados externos de la empresa siguen siendo lo

suficientemente buenos como para desechar los datos preo cupantes o para sugerir que las dificultades son “transitorias” o “cíclicas” o

“no tan malas”, y “no hay nada fundamentalmente mal”. En la tercera etapa los directivos subestiman los datos negativos, am ­

plifican los datos positivos y le imprimen un giro positivo a los datos ambiguos.15

14 Jim Collins, Cómo caen los poderosos, Bogotá, Norma, 2009, pp. 18­20.15 Ibíd.,p. 19.

36

De ahí la importancia de identificar los riesgos a tiempo, de no dar la espalda a la información relevante y de no dejar a la deriva decisiones im portantes respecto del manejo de los riesgos empresariales.

Responsables de la identificación de riesgos

Como la identificación de riesgos tiene un alcance amplio en las orga­nizaciones, en ella participan diferentes actores, unos como responsables directos o “propietarios”16 de los riesgos y otros como personal inde­pendiente, de apoyo o externo a la organización. El personal interno responsable de la identificación de riesgos estra tégicos puede estar en la gerencia, en la junta directiva y en la alta di rec ción; para los demás riesgos intervienen los líderes de los procesos, pro yectos, servicios o productos y quienes participan en ellos, con el apoyo del administrador de riesgos. Los auditores internos o externos, en forma independiente, son responsables de identificar los riesgos para realizar evaluaciones sobre la ex posición de la empresa y la eficiencia de su sistema de administración; los entes reguladores, las entidades crediticias, las partes interesadas en la empresa pueden también identificar riesgos de una organización. Según la singularidad y complejidad de los riesgos identificados, y de acuerdo con los recursos y necesidades propios de una entidad, es po­sible que sea necesario personal externo, asesores expertos o consultores especializados en determinados tipos de riesgos. En ocasiones puede ser indispensable el apoyo de empresas del mismo sector, interesadas en identificar riesgos e implementar soluciones conjuntas para beneficio común. Los responsables de la identificación de riegos deben tener cono­cimiento o experiencia sobre el ámbito en el cual se realiza esta actividad. Para ello deben estar capacitados en la identificación, de acuerdo con las técnicas o metodologías seleccionadas. También deben disponer de imaginación, apertura a nuevas ideas o posibilidades, capacidad de pro­yectar la influencia de eventos negativos sobre procesos y recur sos, además de ser personas objetivas en sus apreciaciones.

16 International Organization for Standardization, op.cit., p. 2.

37

¿Cómo identificar los riesgos empresariales?

Para identificar los riesgos empresariales es necesario, inicialmente, tener claridad acerca de los tipos de riesgos inherentes al carácter de la empresa, con el fin de que su administración de riesgos sea integral, no fragmen taria y parcial. La variedad de riesgos puede ser alta, igual que las formas de cla ­sificarlos y abordarlos; por lo tanto, no es posible establecer una única cla sificación de tipos de riesgos empresariales. En la Tabla 1.1, Riesgos generados por el entorno organizacional, se presenta un es quema de categorías de riesgos provenientes del medio empresarial, en la Tabla1.2, Riesgos generados en la empresa, se relacionan las categorías de riesgos que puede propiciar la organización en el curso de sus operaciones. La información de estas tablas concreta la teoría desa­rrollada por Mejía Quijano en el libro Administración de riesgos. Un enfoque empresarial.17

El esquema contempla los riesgos más comunes; sin embargo, cada empresa, de acuerdo con sus condiciones, puede enfrentar riesgos singulares. En este libro se presentan listas detalladas de riesgos, según su importancia, en relación con el estudio de cada técnica o metodología uti lizada para la identificación de riesgos.

Tabla 1.1 Riesgos generados por el entorno organizacional

17 R. C. Mejía Quijano, Administración de riesgos. Un enfoque empresarial, op. cit.

Riesgos del entorno

Origen del riesgo

Tipo de riesgo Explicación

Naturaleza

Provenientes de la

naturaleza

Riesgos generados por el medio ambiente natural, tales como: huracanes, vientos fuertes, lluvias, inundaciones, maremotos, sequías, olas de frío o ca lor, terremotos, movimientos sísmicos, erupción volcánica, deslizamiento de tierras, plagas, bac­terias, virus, epidemias, caída de meteoritos, etc.

Generados a la naturaleza por parte de la empresa

Uso inadecuado de recursos naturales que pueden afectar la naturaleza. Consecuencias: efecto in­ver nadero; disminución de la capa de ozono; con ta minación acumulativa del aire, agua, suelos; ge ne ración de residuos de alta peligrosidad; deser­ti zación y pérdida de biodiversidad

38

Origen del riesgo

Tipo de riesgo Explicación

Riesgos asociados

al país, la región

y la ciudad de ubicación

Riesgo país

Grado de peligro que representa un país para las inversiones locales o extranjeras, según el nivel de déficit fiscal, la situación política, el crecimien ­to de la economía y la relación ingresos­deuda

Riesgo geopolítico

Debido a dificultades políticas entre naciones se pueden alterar las condiciones comerciales, que pue ­den implicar pérdidas de negocios, demoras o con­flictos con proveedores o clientes

Riesgo social

Tiene que ver con la cultura de la región, las con diciones de seguridad, empleo, salubridad, de sarrollo de las comunidades, condiciones de vi­da, vivienda y bienestar, etc. Riesgos que pueden originarse en la sociedad son: hurto, robo, atraco, sabotaje, chantajes y extorsiones, terrorismo, mo­tín, conflictos generadores de guerra, alteración del orden público, huelgas, migraciones masivas, ham bre, enfermedades, epidemias, colapso de ser ­vicios públicos indispensables, conflictos de ba­ja intensidad, explotación de grupos sociales, cam bios en los hábitos de consumo, demandas co lectivas, conflictos comerciales

Riesgo económico

Relacionado con el crecimiento económico na­cional y local, debido a las fluctuaciones de va­ riables macroeconómicas: pib, inflación, de sem­pleo, balanza de pagos. El decrecimiento de la economía puede generar riesgos que conlleven detrimento patrimonial a las empresas, al disminuir la capacidad de compra de sus clientes y la de­manda de sus productos

Riesgo político

El manejo político del país, y las implicaciones que tiene sobre la economía nacional, afecta las orga ­nizaciones según sus condiciones particulares

Sector económico e industrial

Riesgo sistemático

Riesgo que se origina por el hecho de competir en un sector determinado, ejemplo: campañas de desprestigio de la competencia comercial, es ­pio naje industrial, tráfico de informaciones reser­vadas, competencia desleal, transacciones ilegales, corrupción insti tucional y privada, operacio nes ilícitas, daños por productos, accidentes y enfer­medades pro fesio nales; accidentes industriales,

39

Riesgos generados en la empresa

Tipo de riesgo Explicación

No sistemáticos

Riesgos propios y específicos de cada empresa que pueden afec­tar procesos, recursos, clientes o imagen

Riesgo de reputación

Desprestigio de la organización, que acarrea pérdida de cre­dibilidad y confianza del público, por fraude, insolvencia, con­ducta irregular de empleados, rumores o errores cometidos en la ejecución de alguna operación

Riesgo puro Al materializarse origina pérdidas, como incendio, accidente, inundación

Riesgo especulativo

Al materializarse presenta la posibilidad de generar indis tin­tamente beneficio o pérdida, como una aventura comercial, inversión en divisas ante expectativas de devaluación o revalua­ción, compra de acciones, lanzamiento de nuevos productos

Riesgo estratégico

Tiene que ver con pérdidas ocasionadas por definiciones estratégicas inadecuadas o errores en el diseño de planes, pro­gramas, estructura, integración del modelo de operación con el direccionamiento estratégico, asignación de recursos, estilo de dirección; además de ineficiencia en la adaptación a los cambios constantes del entorno empresarial

Riesgo operativo

Consiste en la posibilidad de pérdidas ocasionadas en la ejecución de procesos y funciones de la empresa, por fallas en procesos, sistemas, procedimientos, modelos o personas

Riesgos financieros

Los riesgos financieros impactan la rentabilidad, ingresos y nivel de inversión, pueden provenir no sólo por decisiones de la empresa, sino por condiciones del mercado, ellos son:

Origen del riesgo

Tipo de riesgo Explicación

Sector económico e industrial

Riesgo sistemático

graves, actividades públicas molestas o peligrosas, reclamación ju dicial por productos de consumo contaminados, contaminación ambiental, respon­sabilidad por contratos de ejecución

Fuente: Rubi Consuelo Mejía Quijano, Administración de riesgos. Un enfoque empresarial, Medellín, Fondo Editorial Universidad EAFIT, 2006, pp. 35­36.

Tabla 1.2 Riesgos generados en la empresa

40

Tipo de riesgo Explicación

Riesgos financieros

Riesgo de mercado, tiene que ver con fluctuaciones de las inversiones en bolsa de valores; también hacen parte de éste las fluctuaciones de precios de insumos y productos, la tasa de cambio y las tasas de interés

Riesgo de liquidez, se relaciona con la imposibilidad de trans formar en efectivo un activo o portafolio o tener que pagar tasas de descuento inusuales y diferentes a las del mercado para cumplir con obligaciones contractuales

Riesgo de crédito, consiste en que los clientes y las partes a las cuales se les ha prestado dinero, o con las cuales se ha inver ti­do, fallen en el pago

Riesgos legales

Se refieren a pérdidas en caso de incumplimiento de la contra­parte en un negocio, sumado a la imposibilidad de exigir jurídicamente la satisfacción de los compromisos adquiridos. También se puede presentar al cometer algún error de inter­pretación jurídica u omisión en la documentación, o en el in­cumplimiento de normas legales o disposiciones regla men tarias que puedan conducir a demandas o sanciones

Riesgos tecnológicos

Son generados por el uso de tecnología, como virus in for máticos, vandalismo puro o de ocio en las redes informá ticas, fraudes, intrusiones de hackers, colapso de las telecomu ni caciones que puede generar daño de información o in terrup ción del servicio. También incluyen la actualización y dependencia de un proveedor, o de tecnología específica, bien sea en el campo informático, médico, de transporte u otras áreas

Riesgos laborales

Los riesgos laborales, como accidentes de trabajo y enfermedades profesionales, pueden ocasionar daños a las personas y a la mis ma organización. Un accidente de trabajo puede producir lesio ­nes or gánicas, invalidez, muerte o una perturbación funcional. La enfermedad profesional, por su parte, puede ser permanente o temporal, consecuencia del trabajo desem peñado o del medio en el cual se realizan las funciones. Existen otros riesgos laborales que surgen de la relación de la em presa con sus empleados, asociaciones o sindicatos, como huelgas, sabotajes, etc.

Riesgos físicos

Afectan los recursos materiales, como cortocircuitos, explo­siones, daños en maquinaria o equipos (por su operación, diseño, fabricación, montaje o mantenimiento), deterioro de productos y daño en vehículos

Fuente: Rubi Consuelo Mejí Quijano, Administración de riesgos. Un enfoque empresarial, Medellín, Fondo Editorial Universidad EAFIT, 2006, pp. 37­39.

41

Según la norma ISO 31000, las acciones para la identificación de riesgos son:

[…] identificar las fuentes de riesgo, las áreas de impacto, los eventos (incluyendo los cambios en las circunstancias) y sus causas y consecuencias potenciales. El objeto de esta fase es generar una lista exhaustiva de riesgos con base en aquellos eventos que podrían crear, aumentar, prevenir, degradar, acelerar o retrasar el logro de los objetivos.18

La norma habla también de la importancia de incluir en la lista los ries gos, bien sea que estén bajo el control de la organización o fuera de él. Para realizar la identificación de riesgos debe conocerse profundamente la organización: “[…] entender bien el riesgo es entender bien el ‘business model’ de la empresa y sus puntos de creación de valor”;19 además de sus planes a mediano y largo plazo. La identificación de riesgos tiene un espec­tro amplio de aplicación, por tanto debe estar circunscrita a un ám bito de análisis (decisiones, procesos, productos, servicios, funciones, proyectos, etc.). Definir el objetivo específico del ámbito de análisis es primordial para identificar los riesgos que pueden afectar su cumplimiento. La identificación de riesgos no se reduce a asignar un nombre al riesgo, pues se deben incluir todos los datos relacionados con el mismo, para estudiarlos exhaustivamente y aportar elementos a las demás eta ­pas de su gestión. Para ello es primordial contar con información actualizada y pertinente, además de establecer mecanismos de alerta temprana que permitan identificar cambios en variables críticas, que ayuden a determinar riesgos estratégicos u operativos que pueden impactar la organización, y procedimientos que garanticen el monitoreo en forma periódica, de acuer do con los ciclos de la empresa y las transformaciones del entorno. Es importante crear una cultura de identificación de riesgos en las organizaciones, que permita a todos, y bajo cualquier circunstancia, estar atentos para detectar los posibles riesgos que deriven en consecuencias

18 International Organization for Standardization, op. cit., p.17.19 Pierre­Alexandre Bapst, “El mapa de riesgos, punto de partida para una buena gerencia

global de riesgos” [2004], sitio web: Gerencia de Riesgos y Seguros, disponible en: http://www.mapfre.com/documentacion/publico/i18n/catalogo_imagenes/grupo.cmd?path= 1025001, consulta: enero de 2012.

42

negativas y comunicar los hechos, de tal forma que la organización pueda responder con acierto. Las técnicas de identificación de riesgos se han desarrollado con los avances en sus estudios, desde los seguros, las finanzas, la sociología, el control organizacional, la auditoría, la informática, la seguridad industrial, la salud ocupacional, la seguridad pública, la ingeniería ambiental, la ges­tión de proyectos y otros campos. Existen variedad de técnicas, herramientas y metodologías para iden tificar los riesgos, las cuales pueden aplicarse dependiendo de la dis­ po nibilidad de recursos económicos, humanos y tecnológicos de la orga­nización; del tiempo, la experiencia, el grado de desarrollo de la empresa; al igual que del nivel de implementación de la administración de riesgos. Es posible utilizar una mezcla de técnicas o alguna específica, según el tipo de riesgo, su complejidad y la necesidad de información sobre el mismo. Algunas técnicas de identificación de riesgos son utilizadas en dis­ci plinas que no necesariamente han estudiado los riesgos, pero que han necesitado abordar el tema, como la administración. En los análisis es tratégicos se utiliza la matriz dofa: “[…] es probable que este análi ­sis sea la primera y más importante de todas las herramientas de análisis de la estrategia. Identifica las actuales fortalezas y debilidades, las opor­tunidades emergentes y las amenazas preocupantes que enfrenta la com pañía”.20 También se recurre al análisis pest: “[…] muchas veces se lo denomina análisis pestel porque refleja los componentes políticos, eco nómicos, sociales, tecnológicos, ambientales y legales”;21 con él se establecen las variables del entorno que pueden afectar las empresas, antes de formular los planes estratégicos. Adicionalmente, en los análisis estratégicos se analizan las fuerzas que mueven la competencia en un sector, llamadas también las Cinco Fuerzas de Porter que estudian “[…] el poder de negociación de los clien­tes, el poder de negociación de los proveedores, la amenaza de productos o servicios sustitutos, la amenaza de los nue vos in gresos de competidores

20 Robert S. Kaplan y David P. Norton, The Execution Premium, Barcelona, Deusto, 2008, p. 74.

21 Ibíd., p. 72.

43

potenciales, y la rivalidad entre los compe tidores existentes”.22 En todas las herramientas mencionadas se abordan elementos de estudio que per­miten identificar los riesgos que podrían co rrer las compañías y que se hace necesario analizar para definir las estra tegias organizacionales. En campos del saber, como el de sistemas de calidad, se utilizan téc­nicas para identificar riesgos como el Análisis Causa­Efecto; en auditoría se acude, entre otras estrategias, a Entrevistas y Flujogramas de procesos. Existen técnicas de fácil aplicación, como las Entrevistas semies­tructuradas y la Lluvia de Ideas; algunas son estandarizadas, como las Listas de Chequeo y Cuestionarios; otras se aplican a procesos o productos, como el Análisis de Modo y Efecto de Falla o el Análisis de Puntos Crí­ticos de Control. Algunas técnicas utilizan información histórica, como registros de eventos, estados financieros, informes de auditoría o de com­pañías aseguradoras. Otras se orientan hacia el futuro, como el Análisis de Escenarios, el Estudio del Impacto del Negocio o el “¿Qué pasaría si?”. Las hay que se basan en la observación, como la Inspección, o en la con sulta a expertos, como el método Delphi. También se puede recurrir a análisis de información por sectores. Con la proliferación de técnicas,23 herramientas y metodologías para identificar riesgos, a la hora de definir en la empresa cómo hacerlo, puede parecer difícil decidir cuál de ellas es la más adecuada, o si es mejor crear una metodología propia. Ciertas compañías desarrollan metodologías ajustadas a sus nece­sidades para identificar los riesgos, algunas adaptan estrategias de reco­no cida aplicación en el medio; casi todas buscan adecuarse a las normas o es tándares y algunas desarrollan conocimiento nuevo sobre el tema. Lo más importante al aplicar técnicas o métodos es la consistencia en su uso, de manera que permita estandarizar el proceso y obtener resultados com parables en toda la organización, con el fin de lograr una identificación de riesgos que garantice su administración en forma integral.

22 Michael E. Porter, “The five competitive forces that shape strategy”, Harvard Business Review, Boston, núm. 01, vol. 86, enero de 2008, p. 80.

23 Ver: International Organization for Standarization, ISO 31010. Risk Management – Risk Assessment Techniques, Suiza, iso, 2009. En la que se listan técnicas que contribuyen a la identificación de riesgos, clasificándolas según el grado de aplicabilidad. [Todas las traducciones realizadas de la norma son elaboradas por la autora].

44

Esas técnicas, herramientas y metodologías son alternativas que ayudan a identificar los principales riesgos que afectan una organización, pero no garantizan que se incluyan todos los posibles riesgos; es el res pon ­sable de la identificación quien, con su experiencia, conocimiento y sentido común, determina cuáles riesgos son importantes en la iden­tificación y cuáles no lo son. En los siguientes capítulos se exponen diferentes técnicas y meto­dologías para identificar riesgos. En la Tabla 1.3 se listan cada una de ellas, se describe algunas de sus aplicaciones y el capítulo en el cual se desarrollan.

Tabla 1.3 Uso de técnicas y metodologías para identificar riesgos24

24 Las tablas que carezcan de fuentes, son elaboración del autor.

Técnica / Metodología Aplicación Capítulo

Lluvia de Ideas Identificación de riesgos y de sus características en forma grupal 2

Análisis causa­efecto Identificación de causas y efectos de un riesgo 3

Listas de Chequeo y

Cuestionarios

Identificación de riesgos con guías estan da­ri zadas, amplias y ajustables a todo tipo de em presa, pueden ayudar a elaborar el catálogo general de riesgos de una empresa

4

Inspección Identificación de riesgos que pueden ser obser vados en instalaciones o en el desarrollo de un proceso

5

Entrevista Identificación de riesgos que requieren el conocimiento y experiencia de personas clave 6

Flujograma Identificación de riesgos en los procesos 7

Análisis de Modo y Efecto

de Falla (AMEF)

Identificación de posibles formas en que pue de fallar el diseño u operación de procesos, pro­ductos o servicios y los efectos de estas fallas

8

Análisis de Información

Identificación de riesgos a través del análisis de información financiera, manuales técnicos, registro de siniestralidad y otros eventos, y del estudio de contratos laborales y comerciales

9

45

Técnica / Metodología Aplicación Capítulo

Método Delphi Identificación de riesgos que requieran grupo de expertos y opiniones independientes

10

Análisis de Escenarios

Identificación de riesgos estratégicos 11

Risicar Identificación de riesgos operativos en procesos, actividades, procedimientos, productos, insta­laciones, cargos o funciones

12

Prest Identificación de riesgos en la planeación es­tra tégica

13