Introducción a La Gestión de Riesgos

Introducción a la Gestión de Riesgos

J. B. Madrigal, Diciembre 2004 1

INTRODUCCIÓN A LA GESTIÓN DE RIESGOSEMPRESARIALES



Introducción a la Gestion de Riesgos

Contenido

Prólogo........................................................................................................................................3

¿Qué es un riesgo? ....................................................................................................................4

¿Qué es la Gestión de Riesgos? ...............................................................................................4

¿Cómo funciona la Gestión de Riesgos? ................................................................................5

¿Cómo se inserta la gestión de riesgos en la estrategia empresarial? ...............................6

El contexto de los riesgos .........................................................................................................6

Contexto de los riesgos.............................................................................................................7

Identificación de los riesgos.....................................................................................................7

Matriz de Riesgos......................................................................................................................9

Análisis de los riesgos ............................................................................................................10

Evaluación de los riesgos .......................................................................................................10

Nivel de riesgo.........................................................................................................................12

Prioridad de los Riesgos.........................................................................................................12

Tratamiento de los riesgos .....................................................................................................13

Control de los riesgos .............................................................................................................13

Distribución de los riesgos.....................................................................................................14

Comunicación de los riesgos .................................................................................................15

Plan de Acción para Riesgos .................................................................................................15

Cerrando el ciclo......................................................................................................................15

Anexo 1 Matriz de Riesgos ...................................................................................................16

Anexo 2 Matriz de Riesgos (ejemplo)..................................................................................17

Anexo 3 Registro de Evaluación de Riesgos (ejemplo)....................................................18

Anexo 4 Registro de tratamiento de los riesgos (ejemplo)................................................19

Anexo 5 Plan de Acción de Riesgos ...................................................................................20

Referencias ...............................................................................................................................21



Prólogo

Lloyd’s Register Quality Assurance en Cuba está comprometido con ayudar a sus clientesa mejorar su gestión empresarial más allá del ámbito y requisitos utilizados para lacertificación de sus sistemas de gestión.

La gestión de riesgos es una herramienta de dirección en la que se sustentan los sistemasde gestión modernos y está destinada a ayudar en la toma de decisiones en los diferentesniveles de la organización.

Este documento tiene el propósito de inducir a las empresas a adoptar la gestión deriesgos en sus actividades empresariales y ayudarles a ponerla en práctica.

El contenido del documento ha sido estructurado siguiendo el proceso utilizado en lapráctica para llevar a cabo la identificación, análisis, evaluación y tratamiento de losriesgos con un enfoque empresarial que, a pesar de ser un proceso complejo, se ha tratadode mostrar de la forma más simple posible, con la intención de que pueda ser utilizadocomo una guía de referencia para todo aquel personal de la empresa involucrado encualquiera de las etapas mencionadas.

En la preparación de este documento se han tomado conceptos, informaciones yreferencias de documentos publicados que reflejan la práctica actual.

La redacción de este documento es responsabilidad exclusiva del autor y aunque se hatomado el mayor cuidado en ello, no asume ninguna responsabilidad por el uso delcontenido del mismo por ninguna persona o entidad. Asimismo, Lloyd’s Register QualityAssurance Ltd. queda eximido de cualquier responsabilidad antes sus clientes y o terceraspartes por el contenido y uso de este documento.

Juan B. MadrigalLa Habana, diciembre 2004

No se permite la reproducción y / o distribución de este documento por cualquier medio para finescomerciales. Cualquier reproducción para uso no comercial de este documento deberá ser integra yno parcial.




¿Qué es un riesgo?

Es el resultado de la probabilidad o frecuencia de ocurrencia de un peligro definido(problema, fallo, accidente, catástrofe natural, fraude, error humano, etc.) y de la severidado magnitud de las consecuencias de este hecho indeseable en caso de que ocurra. Elconcepto de riesgo tiene dos elementos, la probabilidad de que algo suceda y lasconsecuencias en caso de que suceda.

El nivel de riesgo relaciona la frecuencia o probabilidad de que ocurra un hecho y lasconsecuencias potenciales (el impacto o magnitud del efecto) que generaría el hecho encaso de ocurrir. En la medida que la frecuencia o el impacto aumenten, aumentará el nivelde riesgo, y viceversa. El nivel de riesgo está influenciado por cualquier control, o acción,actualmente implementada para minimizar la probabilidad de ocurrencia o susconsecuencias.

¿Qué es la Gestión de Riesgos?

Es la aplicación sistemática de políticas, procedimientos y prácticas para identificar,analizar, evaluar, tratar y dar seguimiento a los riesgos. Esencialmente la Gestión deRiesgos implica el anticipar qué puede ir mal , porqué puede ocurrir y qué puederealizarse para evitar o disminuir el riesgo.

La Gestión de riesgos es aplicable a todo el ámbito empresarial, en cualquier fase de unprograma, proceso, actividad, proyecto, etc., así como en todos los niveles de laorganización, tanto estratégico como operacional.

A nivel estratégico, los riesgos son el impacto actual o previsto en los resultadosempresariales debido a decisiones inadecuadas, inapropiada implementación de lasdecisiones o falta de respuesta ante los cambios (industria, mercado, política, sociedad,leyes, tecnología, etc.). Este riesgo está en función de la compatibilidad entre los objetivosestratégicos de una organización, las estrategias empresariales desarrolladas para alcanzarestos objetivos, los recursos asignados para lograr estos objetivos y la calidad de laimplementación de las estrategias.

A nivel operacional, los riesgos surgen de la posibilidad de sistemas de información yoperación inadecuados, fallos en los controles internos, fraudes, catástrofes o eventosimprevistos, resulten en perdidas o daños inesperados.

Gestionar los riesgos no significa que los riesgos se prevengan o eviten completamente. Elnivel de riesgo relaciona la posibilidad de que algo suceda (i.e. su frecuencia oprobabilidad) y las consecuencias potenciales (i.e. su impacto o severidad del efecto). Elnivel de riesgo está influenciado por cualquier control o disposición implementada paraminimizar la posibilidad de ocurrencia o sus consecuencias.



El diseño e implementación de los sistemas de control y registros de las operacionesempresariales se fundamentan en numerosas decisiones basadas en análisis de riesgos,aunque en las empresas hoy en día estas decisiones aún se hacen intuitivamente conmucha frecuencia. La adopción formal de los principios de gestión de riesgos no tiene laintención de introducir complejidad innecesaria o niveles de burocracia en sus prácticasactuales, sino que tiene el propósito de introducir un enfoque sistemático a lo que usted yahace, y por tanto mejorar la responsabilidad y el desempeño de la organización.

Para comprender los riesgos empresariales se requieren tres condiciones básicas:

1. El conocimiento detallado de los procesos empresariales.2. Una imaginación activa y las herramientas para generar ideas sobre los posibles

efectos de los riesgos.3. Una estructura de riesgo y un lenguaje común para discutir los riesgos.

¿Cómo funciona la Gestión de Riesgos?

Las seis etapas del proceso se puede mostrar con el siguiente diagrama de flujo.

Establecer elcontexto de los

riesgos

Identificación delos riesgos

Análisis de losriesgos

Evaluación de losriesgos

Tratamiento delos riesgos

Segu

imie

nto

y R

evis

ión

cont

inua

de

las

etap

as d

e ge

stió

n de

los

riesg

os

Identificar y definir el ambiente político, social, económico, legal yorganizativo dentro del cual se lleva a cabo la actividad, el proceso,la decisión, etc. incluyendo el desarrollo de los criterios, políticas yestrategias de riesgos.

Identificar los activos y recursos que la organización utiliza paraoperar y los riesgos potenciales (¿qué puede ocurrir?) sobre ellos,dentro del contexto, identificando, a su vez, para cada riesgo el cómo,cuándo, dónde, porqué y cómo puede ocurrir, quiénes pueden estarinvolucrados y qué consecuencias puede tener.

Determinar la ocurrencia (frecuencia) y la severidad de lasconsecuencias de cada problema y estimar el nivel del riesgo,tomando en consideración los controles existentes que pudierandetectar o prevenir los riesgos potenciales o indeseables.

Evaluar y priorizar los riesgos considerando el grado de controlsobre cada uno, incluyendo su costo, el beneficio y lasoportunidades presentadas, y decidir cuales riesgos soninaceptables y categorizarlos para actuar sobre ellos.

Identificar, evaluar y seleccionar las opciones de tratamiento de losriesgos, tomando en consideración la relación costo-beneficio, lasmedidas que se necesitan aplicar para ayudar a minimizar losriesgos inaceptables y/o su impacto, y preparar e implementarplanes de acción.

¿Tolerable?si

no

Determinar si el riesgo es tolerable. Si lo es, monitorizar el mismo.Si no es tolerable, adoptar un tratamiento.



¿Cómo se inserta la gestión de riesgos en la estrategia empresarial?

Para las empresas, la gestión de riesgos significa planificarse para las desviacionespotenciales de los resultados esperados. Aunque la mayoría de las organizaciones y susgerentes han establecidos objetivos y un plan para alcanzarlos, eventos internos y cambiosexternos a la empresa pueden interrumpir el camino hacia los objetivos o presentaroportunidades inesperadas. Aquel que reconoce esta posibilidad y establece planes pararesponder eficazmente, está practicando la gestión de riesgos.

En la práctica, la gestión de riesgos no es más que una parte de la buena gestiónempresarial, a través del reconocimiento de la existencia diversos eventos y planificando laposibilidad de que ocurran. La gestión empresarial incluye el riesgo como un factor máspara llevar a cabo la toma de decisiones.

La gestión de riesgos no es un proyecto con vida limitada, que concluye una vez que sehan logrado los objetivos previamente definidos, sino que es parte integral del procesocontinuo de gestión empresarial, es una forma de pensar y un patrón para trabajar en todala organización, que forma parte de todo lo que se hace en la empresa.

Al analizar los requisitos de los modelos de sistemas de gestión establecidos por normasreconocidas internacionalmente, vemos que están estructurados con un enfoque de gestiónde los riesgos en el ámbito de actividad que cubren, por ejemplo:• ISO 9001 para sistemas de gestión de la calidad, incorpora la gestión de los riesgos

relacionados con el logro de la satisfacción de los clientes y el cumplimiento de losrequisitos reglamentarios dando como resultado el control de todos los aspectos queinfluyen en la calidad de los servicios o productos,

• ISO 14001 para sistemas de gestión medioambiental, incorpora la gestión de los riesgosrelacionados con la protección del medio ambiente y el cumplimiento de lasregulaciones, dando como resultado el establecimiento de controles para la prevenciónde la contaminación y el manejo de los residuos y planes de contingencia,

• OHSAS 18001 para sistemas de gestión de salud y seguridad laboral, incorpora lagestión de los riesgos relacionados con la prevención de accidentes y enfermedadesocupacionales resultando en el establecimiento de prácticas y controles para evitardaños a las personas en sus lugares de trabajo.

• Como las empresas tienen cada vez más responsabilidades corporativas con terceraspartes (todas las partes interesadas), hoy día es común que se establezcan sistemas de“Control Interno” que incorpora la gestión de los riesgos para: el logro de los objetivosbásicos de las empresas, incluyendo su desempeño, la rentabilidad y la protección delos recursos; la confiabilidad de los informes financieros; y el cumplimiento de las leyesy regulaciones a las que está sujeta la actividad empresarial en cuestión.

El contexto de los riesgos

La identificación, los criterios para determinar la tolerabilidad y la estrategia a seguir conlos riesgos estará determinada por el contexto en que estos se desarrollan, tomando enconsideración a todas las partes interesadas en las actividades para las cuales se gestionanlos riesgos. Por ello, para cada actividad cuyos riesgos se pretenden gestionar, es necesario



establecer claramente cuales son las expectativas con relación a los riesgos que se tienen enlos ámbitos político, social, económico, empresarial, cultural, educacional, organizativo,gubernamental, etc.

Contexto de los riesgos

Identificación de los riesgos

El primer paso es identificar todos aquellos activos y recursos que la organización utilizapara operar y alcanzar sus objetivos. Los activos tangibles, financieros y recursos de laempresa, tales como maquinaria, suministros, empleados, capital e instalaciones oedificaciones, son fáciles de identificar. Sin embargo, hay otros activos y recursos quepueden ser menos obvios, por ejemplo: la competencia de los directivos, la cuota demercado, la capacidad de crédito, la cartera de clientes, la reputación, las virtudes de losservicios o productos y los presupuestos de los insumos que la organización utiliza paraproducir sus servicios o productos.

Algunos de los activos y recursos que necesita una empresa para lograr sus objetivospueden ser:• Activos intangibles

Reputación de la empresa, capacidad de obtener créditos, ética comercial, marca, cuota demercado, objeto social aprobado.

• Activos tangibles y recursos financierosEdificios e instalaciones, maquinaria, propiedades, inventarios, materias primas, dinero,créditos.

• Recursos humanosConocimiento, competencia, habilidades y compromiso de los empleados y directivos.

Riesgos

Sociedad

Gobierno

Sindicatos

Cultura

Prensa

Estado

Empresas, Gruposempresariales

Política educacional einstituciones

educacionalesMercado yclientes

Inversionistas

Propietarios yaccionistas

Organizacionespolíticas y sociales



• Ingresos y derechos o autorizacionesIngresos de recursos financieros para cubrir los gastos de operación incluyendo los pagos porbienes y servicios, autorización para operar en zonas francas o para participar en operacionescomerciales.

• Presupuestos de gastosPresupuestos de gastos para los servicios (electricidad, agua, comunicaciones, etc.), materiasprimas, inventarios, suministros, salarios y beneficios, transportación, alquileres o hipotecas,impuestos, embarques, publicidad, alquiler de equipos y mantenimiento.

• ClientesGrupo de clientes a quienes sirve la empresa.

• SuministradoresSuministradores de materias primas, de insumos y otros suministros, telecomunicaciones,electricidad, agua, higiene, personal, formación, verificación y certificación por terceras partes,servicios bancarios, mantenimiento, otros servicios, seguros.

• SociedadComunidad donde se desarrolla o tiene impacto la actividad empresarial, tanto territorial,nacional como internacional.

Para cada uno de los activos y recursos de la empresa pueden haber un número de riesgospotenciales que es necesario identificarlos. Algunos riesgos como huracanes, incendios yaccidentes de tráfico son familiares y fáciles de identificar, pero aquellos otros riesgos queproducen perdidas con poca frecuencia, que afectan solamente a algunas partes de laempresa o que son considerados generalmente como fuera del control de la organización,son más difíciles de identificar. Sin embargo, como estos riesgos pueden tener seriasconsecuencias para la organización, desde perdidas financieras hasta la quiebra total de laempresa, es crítico el identificarlos y analizarlos.

Los riesgos generales para una empresa pueden incluir:

• Relaciones comerciales y legalesSon las relaciones comerciales definidas por contratos escritos o verbales, acuerdos de negocios ola legislación, con terceras partes, incluyendo clientes, suministradores, arrendadores,aseguradores, entidades financieras, inversionistas. Incluyen los términos y condiciones acumplir por las partes y los requisitos especificados de los servicios o productos a suministrar.

• Circunstancias económicasLas características y condiciones del ámbito económico donde se desenvuelven las actividadesempresariales.

• Comportamiento humanoToda la gama de las actividades humanas. Perdida de productividad debido a malas prácticas dedirección o poco compromiso de los trabajadores; Baja utilización de los recursos humanos; faltade liderazgo; favoritismo; falta de disciplina; decisiones inconsistentes; conflictos personales;ambiente de trabajo inadecuado; acoso sexual; excesiva presión para cumplir los objetivos sincompensación adecuada; decisiones de emplear personal inadecuado o incompetente; robo,sabotaje, soborno, fraude.

• Desastres por causas naturales y humanasEventos mayores naturales (huracanes, inundaciones, etc.) y humanos (incendios, accidentes,guerras, contaminación ambiental, etc.) que causan daño significativo, destrucción o perdidas devidas humanas.



• Actividades gubernamentalesTodas las decisiones y funciones llevadas a cabo por el gobierno, incluyendo la adopción yaplicación de leyes y regulaciones, suministro de servicios públicos, contratación de productos yservicios a las entidades comerciales, protección de los intereses nacionales.

• TecnologíaLa dependencia de las redes informáticas, computadoras, internet y telecomunicaciones parallevar a cabo las operaciones empresariales. Obsolescencia de las instalaciones.

• GestiónEl control estratégico y operacional sobre los planes y las operaciones empresariales paraalcanzar los objetivos y metas de la organización, incluyendo la toma de decisiones. Deficienteevaluación de los planes y las operaciones; mecanismos de control inadecuados u obsoletos;prácticas inadecuadas de manipulación y almacenamiento de los recursos; conflictos entre losdiversos planes, programas y objetivos; decisiones de compras o ventas inadecuadas;desactivación inadecuada de los medios básicos; mala operación de la maquinaria; deficientediseño de los procesos o su sistema de control; instrucciones de trabajo inadecuadas; ausencia dcontrol; baja utilización de los recursos en los procesos; decisiones inadecuadas de la dirección.

Los riesgos afectan la empresa afectando a los activos y recursos que esta dispone paraalcanzar sus objetivos. Por ejemplo, si un fabricante depende de una maquinaria específicapara producir su producto, cualquier evento interno o externo que pueda poner esamaquinaria fuera de operación, y por tanto interrumpir el proceso de fabricación, es unafuente de riesgo. Una nueva regulación del gobierno que prohibe el uso de la maquinaria,un desastre que impide el acceso a las instalaciones, un fuego o explosión que destruye lamaquinaria, la falla de una pieza que no se puede reemplazar, sabotaje de un empleado,falta de mantenimiento, todos son riesgos que, al limitar o impedir la disponibilidad de lamaquinaria, pueden causar que los resultados de la empresa se desvíen de lo esperado.

Hoy en día hay muchas técnicas para ayudar a identificar los riesgos, aunque la mayoríaestán orientadas a los riesgos relacionados con la seguridad de las instalaciones, talescomo HAZOP (Hazard and Operability Study), FMEA (Faliure Mode & Effects Analysis),OER (Operational Experience Reviews), etc. Sin embargo, como frecuentemente los erroreshumanos son los contribuyentes principales para los riesgos, y esto es aplicable muyespecialmente al ámbito empresarial, las técnicas usualmente utilizadas para identificarestos riesgos son los Análisis de Tareas, Listas de chequeo, consulta con expertos de lasactividades analizadas y los ejercicios de tormentas de ideas en grupos de trabajo.

Matriz de Riesgos

El próximo paso es analizar cuidadosamente como los riesgos potenciales pueden afectarlos activos y recursos de empresa y conducir a que los resultados no sean los previstos. Lamejor forma de analizar los riesgos es hacerlo sistemáticamente y una matriz de riesgos(anexos 1 y 2) puede ayudar a organizar el proceso y la información.

La matriz de riesgos es bastante simple de construir y utilizar, se colocan los activos yrecursos en columna a la izquierda (tan desagregados como se desee) y los riesgos (tandetallados como se quiera) en fila en la parte superior. Cada celda de la matriz representael efecto potencial de un riesgo en una categoría de activos o recursos. Este registro esuna herramienta muy útil para identificar, analizar y documentar los riesgos potenciales.



La matriz de riesgos puede ser utilizada como lista de chequeo, como ayuda a pensar enlos riesgos en un ejercicio de “tormenta de ideas” y como documento de trabajo.

Probablemente una matriz que incluya todos los activos y recursos y los riesgos serádemasiado grande para utilizarla de forma práctica, entonces será necesario modificar lamatriz y ajustarla a sus necesidades.

Análisis de los riesgos

El análisis de los riesgos es el proceso de identificación de los efectos potenciales en elfuncionamiento empresarial. Un detallado análisis de riesgos estudia el probable efecto decada riesgo potencial en los activos y recursos de la organización.

Al igual que para la identificación de los riesgos, existen técnicas para el análisis de losriesgos, pero probablemente, la mejor técnica para identificar los riesgos y susconsecuencias en el ámbito empresarial es, teniendo conocimiento de la actividadempresarial, utilizar la “tormenta de ideas” para crear escenarios del tipo “¿qué sucede si…..?”. Estos escenarios también nos ayudarán a identificar las acciones que puedenadoptarse para gestionar estos riesgos.

Las consecuencias potenciales de un riesgo pueden diferir grandemente dependiendo delperíodo de tiempo que duren. Un evento adverso que ocurra durante un período corto detiempo puede resultar que las perdidas impidan a la empresa alcanzar sus objetivos;entonces la respuesta a este riesgo se concentrará principalmente en estrategias paraprevenir, reducir las consecuencias o responder a los eventos adversos. Sin embargo, si eltiempo que dura ese evento adverso es largo, la empresa puede tomar otras acciones, talescomo adoptar sistemas de control más eficaces para evitar o mitigar las consecuencias delriesgo. Muchas de estas acciones pueden producir mayor eficiencia y beneficiosadicionales a la empresa y es aquí, en los eventos de larga duración cuando las empresaspueden sacar ventajas de los cambios del ambiente en que se desenvuelven, tales como ladisponibilidad de nuevos mercados o nuevas tecnologías par mejorar su posición.

Evaluación de los riesgos

Una vez que se han identificado los efectos potenciales de los riesgos deberán establecerselas prioridades para su tratamiento y control. Los dos elementos fundamentales paraevaluar un riesgo son su frecuencia de ocurrencia y la severidad de las consecuencias. Espoco probable que las empresas cuenten con información numérica fiable de laprobabilidad de ocurrencia de los eventos adversos y de sus consecuencias en términosfinancieros, puesto que en muchos casos nunca se han experimentado esos riesgos y enotros no es posible reflejar adecuadamente el costo de las perdidas en los activos menostangibles, tales como afectación en las relaciones con los clientes, daño a la imagen de laempresa, vulnerabilidad legal, etc.

Una vía para resolver estos problemas al analizar los riesgos es hacer un análisiscualitativo de la frecuencia de ocurrencia y la severidad. En la práctica, las técnicas de



evaluación cuantitativas se utilizan fundamentalmente en aquellas funciones donde existemucha experiencia cuantificada que permite valorar la probabilidad de ocurrencia,consecuencias y el nivel tolerable de riesgos ALARP (As Low As Reasonable Practicable),tales como la seguridad ocupacional y la prevención de accidentes.

Para la evaluación de los riesgos puede utilizarse un Registro de Evaluación de Riesgos(anexo 3) , donde se incluirán todos los aspectos relacionados con el riesgo y su evaluaciónde forma que pueda utilizarse también para identificar las prioridades.

A continuación se muestran ejemplos de evaluación cualitativa de las ocurrencias (tabla 1)y de la severidad (tabla 2) de los riesgos identificados que pueden servir de ayuda y guía.

Tabla 1

Categoría deOcurrencia Descripción de la Frecuencia

5 Casi seguro Se espera que ocurra en la mayoría de las circunstancias4 Probable Probablemente ocurrirá en la mayoría de las circunstancias3 Moderada Debería ocurrir en algunas circunstancias2 Poco probable Pudiera ocurrir en algunas circunstancias1 Raramente Pudiera ocurrir solamente en circunstancias excepcionales

Tabla 2

Categoría deSeveridad Descripción de las Consecuencias

1 Insignificante • El desempeño operacional de la función/actividad/área no seríamaterialmente afectado.

• No se vería comprometida ninguna responsabilidad de la organización.• Los intereses de las partes interesadas no serían afectados.• La percepción pública de la organización permanecería intacta.

2 Baja • Ligeras inconveniencias/dificultades en el desempeño operacional de lafunción/actividad/área.

• Algunas responsabilidades de la función/actividad/área estaríancomprometidas, pero no afectarían la capacidad de la organización paracumplir con sus compromisos.

• La recuperación de las consecuencias pudiera gestionarse rápidamente sinnecesidad de desviar recursos de actividades claves.

• Algunos efectos menores sobre los derechos de las partes interesadas. Porejemplo, habrían alternativas para las partes interesadas.

• La percepción pública de la organización se alteraría ligeramente, pero noocurrirían alteraciones ni daños significativos.

3 Media • El desempeño operacional de la organización estaría comprometido alpunto que se requeriría la revisión de los planes para afrontar lasdificultades experimentadas en la función/actividad/área.

• La organización experimentaría dificultades en cumplir con suscompromisos los cuales pudieran poner en peligro algunos intereses delorganismo superior (grupo, ministerio, estado, etc.)

• La recuperación sería gradual y requeriría planes detallados a nivelcorporativo desviando recursos a partir de otras actividades claves.

• Las partes interesadas experimentarían una dificultad considerable enejercer sus derechos.

• Habría una considerable reacción pública adversa que resultaría en algúnperjuicio y alteración para la organización.



4 Muy Alta • El desempeño operacional de las funciones/actividades/áreas seríaseveramente afectado y la organización sería incapaz de cumplir la mayorparte de sus obligaciones y responsabilidades. Los activos y recursos de laorganización pudieran reducirse significativamente.

• La organización no sería capaz de cumplir con la mayoría de suscompromisos eficazmente.

• La recuperación de las consecuencias sería muy complicada y tomaríamucho tiempo.

• Las partes interesadas no podrían ejercer sus derechos.• La reacción pública resultaría en grandes alteraciones para la organización.

5 Extrema • La organización colapsaría y dejaría de funcionar.• El desempeño operacional se vería comprometido al extremo de que la

organización sería incapaz de cumplir sus obligaciones yresponsabilidades en las actividades claves.

• Las responsabilidades de la organización estarían tan severamentecomprometidas que esta no sería capaz de cumplir con sus compromisos.

• La organización incurriría en enormes pérdidas financieras.• Las partes interesadas enfrentarían peligro para sus vidas.• Grandes repercusiones adversas afectarían grandes sectores del organismo

superior, los clientes y el público en general.

Nivel de riesgo

Después que se han identificado los riesgos relacionados con los activos y recursosparticulares y han sido introducidos en el Registro de Evaluación de Riesgos (anexo 3), sepuede utilizar la tabla 3 de Nivel de Riesgo para analizar el impacto de los riesgos en laorganización. Cuando haya introducido en el Registro de Riesgos, la categoría deOcurrencia y de la Severidad y el Nivel de Riesgo, entonces se estará en capacidad deevaluar la prioridad relativa para el tratamiento de cada riesgo.

Tabla 3

Nivel de RiesgoSeveridadOcurrencia Extrema Muy Alta Media Baja Insignificante

Casi seguro Severo Severo Muy Alto Alto SignificativoProbable Severo Muy Alto Alto Significativo ModeradoModerada Muy Alto Alto Significativo Moderado BajoPoco probable Alto Significativo Moderado Bajo TrivialRaramente Significativo Moderado Bajo Trivial Trivial

Prioridad de los Riesgos

La Prioridad de los Riesgos para su tratamiento estará relacionada con la ocurrencia, laseveridad de las consecuencias y la detección de los riesgos. La determinación del Númerode Prioridad del Riesgo RPN (Risk Priority Number) a través de un análisis S.O.D(Severidad - Ocurrencia - Detección) es una herramienta muy útil para ayudar a identificarlas prioridades en el tratamiento de los riesgos. Para esto asignamos un valor a laSeveridad, a la Ocurrencia y al nivel de Detección y el resultado será RPN=SxOxD.



Mayor valor de RPN Mayor prioridad.

El nivel de detección del riesgo que indica la habilidad de la organización para detectar atiempo los indicios que el riesgo se ha iniciado o va a ocurrir. Los mejores indicios son losque nos dicen, con antelación suficiente, que está ocurriendo un problema que puede serla causa de un riesgo, de forma que pueda actuarse de acuerdo con lo previsto para evitarque se desarrolle o reducir sus consecuencias.

La siguiente tabla muestra un ejemplo de las probabilidades de detección de los riesgospara ayudarle a evaluar el Nivel de Detección.

Tabla 4

Nivel de Detección Probabilidad de detección5 Incierto Los controles existentes no detectan el problema o no existe control4 Bajo Poca posibilidad de que sea detectado el problema con antelación suficiente3 Moderado En ocasiones se detecta el problema con antelación suficiente2 Alto Alta probabilidad de ser detectado con antelación suficiente1 Casi cierto Generalmente siempre se detecta el problema con antelación suficiente

Tratamiento de los riesgos

Una vez definidas las prioridades deberíamos analizar las estrategia a seguir para eltratamiento y control de cada riesgo. Para saber qué debe realizarse para protegerse contraperdidas potenciales y obtener ventajas de las oportunidades potenciales y qué estrategiadará los mayores beneficios a la empresa es necesario primero identificar las opciones deactuación que tenemos.

Normalmente, la mayoría de las técnicas de respuesta a los riesgos están dentro de estascategorías:

• Control de los riesgos• Distribución de los riesgos• Comunicación de los riesgos

Probablemente la mayoría de las organizaciones emplearán las tres categorías para susprogramas de respuesta a los riesgos.

Para ayuda en la organización, discusión y selección del tratamiento de los riesgos sepuede utilizar el formato del anexo 4, Registro de Tratamiento de los Riesgos.

Control de los riesgos

Las estrategias de control de riesgos reducen el efecto del riesgo sobre la empresa, esto es,tienen la intención de minimizar las desviaciones de los resultados planificados. Loscontroles de riesgos que se llevan a cabo antes de que un evento adverso ocurra, sediseñan para reducir la frecuencia y la severidad de los eventos, y los controles que se



llevan a cabo después de que ha ocurrido el evento, están diseñados para controlar laseveridad de las perdidas.

El control de los riesgos puede hacer más por la organización que reducir la exposición alos riesgos. Por ejemplo: el control de los riesgos le permite identificar oportunidades demejora en su eficiencia, sus procesos y sus operaciones en general. Asimismo, los cambiosque se hagan para enfrentar el riesgo pueden producir tanto efectos positivos comonegativos, por ejemplo: sustituir un equipo envejecido y peligroso con vistas a proteger alos trabajadores puede también mejorar la eficiencia, pero de la misma forma ese equiponuevo más eficiente y supuestamente más seguro puede simplemente crear otros peligrospara los trabajadores que no existían con el equipo viejo. De modo que es imprescindibleidentificar tanto los efectos colaterales positivos como negativos para asegurarse que seconocen claramente los costos y beneficios de las estrategias de control de riesgopropuestas.

Aunque las estrategias de control de riesgos son ilimitadas, la mayoría se enmarcan dentrode las siguientes categorías:

• Eliminar una actividad que produce un riesgoNo hacer o detener algo que produce un riesgo. Esta es una estrategia muy eficaz, perolamentablemente en la mayoría de las ocasiones poco práctica porque interfiere con la esencia dela empresa y los negocios: cuando se ponen los recursos y activos en riesgo se alcanzanbeneficios.

• Cambio de una actividad para reducir la posibilidad de consecuencias negativasSe pueden cambiar las actividades para reducir la frecuencia o magnitud de las perdidaspotenciales. Algunos de estos cambios pueden ser en equipamiento, procesos, supervisión,registros, formación, etc.

• Limitar las inversiones en nuevas oportunidadesLos riesgos de una nueva oportunidad pueden controlarse limitando la inversión inicial. Esto,si bien puede limitar las perdidas si el negocio sale mal, también limita los beneficios si elnegocio sale bien.

• Crear y poner en práctica planes de contingenciaLos planes de contingencia ayudan a facilitar y mejorar la capacidad de respuesta de lasempresas ante eventos que pueden afectarla.

• Gestionar los eventos para minimizar las perdidasResponder a los eventos tan pronto como ocurran para reducir los daños. Por ejemplo: unarápida y eficaz investigación y administración de las reclamaciones pueden ayudar a reducir lasperdidas. Una rápida y eficaz respuesta a la perdida de recursos o activos críticos (propiedades,cartera de clientes, fuerza de trabajo, suministradores) puede ayudar a restaurar las operacionesnormales más rápidamente y por tanto reducir las perdidas.

Distribución de los riesgos

La distribución de los riesgos transfiere todos o parte de los riesgos de una actividad a otraparte, limitando de esta forma la exposición de la organización a los riesgos. Por ejemplo:Subcontratando actividades o servicios que de otra forma la empresa tendría queasumirlos en una forma de distribuir los riesgos. Otra forma puede ser transferir lasconsecuencias financieras del riesgo a una compañía de seguros.



Comunicación de los riesgos

Una comunicación eficaz involucra a todas las partes interesadas en un esfuerzocoordinado para identificar y enfrentar los riesgos y ayuda a tomar decisiones másacertadas. La comunicación interna de los riesgos involucra al personal de la empresa y lacomunicación externa involucra a los clientes, suministradores, organizaciones sectorialesy sociales, gobierno, aseguradores, asesores legales, etc.

Plan de Acción para Riesgos

Después de seleccionar las estrategias para enfrentar los riesgos mas significativos, se estálisto para crear un Plan de Acción para los Riesgos. El plan identifica cada una de lasestrategias que han sido seleccionadas, asigna responsabilidades para la implementación yestablece fechas de cumplimiento de las tareas. Para cada área de riesgo se puede prepararun plan de acción. En el anexo 5 se muestra un formato de Plan de Acción de Riesgos.

Como es más fácil adoptar estrategias de respuesta que aplicarlas, es necesario darseguimiento a los resultados y hacer los cambios necesarios. El plan de acción tiene elpropósito de ayudar mantener a la atención de empresa en la gestión de los riesgos.

Cerrando el ciclo

El proceso de Gestión de los Riesgos nunca termina, porque los cambios en lasempresas son inevitables y estos cambios siempre traen riesgos con ellos.

La gestión de riesgos es eficaz si se lleva a cabo sistemáticamente, pues de lo contrariopudieran no identificarse riesgos que pueden poner en peligro la integridad de laorganización. Debería establecerse un procedimiento de seguimiento y revisión de todaslas etapas del proceso de gestión de riesgos que asegure que, toda vez que ocurra uncambio o aparezca una nueva fuente de riesgo, tanto interno como externo, exista unmecanismo para su detección (a través de una monitorización sistemática de todosaquellos elementos del contexto, los activos y los riesgos), identificación, análisis yevaluación los riesgos derivados de dicho cambio y se revise el plan de acción.

Gestión delos Riesgos

Identificación

Análisis yEvaluación

Tratamiento

Seguimiento yRevisión



Anexo 1 Matriz de Riesgos

RiesgosActivos yrecursos

Relacionescomerciales ylegales

Circunstanciaseconómicas

Comportamientohumano

Desastres porcausas naturalesy humanas

Actividadesgubernamentales

Tecnología Gestión

Activostangibles yrecursosfinancierosActivosintangibles

Recursoshumanos

Ingresos yderechos oautorizaciones

Presupuesto degastos

Clientes

Suministradores

Sociedad



Anexo 2 Matriz de Riesgos (ejemplo)

RiesgosActivos yrecursos

Relacionescomerciales ylegales

Circunstanciaseconómicas

Comportamientohumano

Desastres porcausas naturalesy humanas

Actividadesgubernamentales

Tecnología Gestión

Suministradores Responsabilidadporincumplimientode contrato opérdidas porincumplimientode contrato por laotra parte.

Malascircunstanciaseconómicas: lossuministradorespueden cerrarrepentinamente ysalir del mercado,dejándonos sinfuentes desuministroscríticos o serviciosvitales;

(oportunidad)pueden ofertarmercancías aprecio deliquidación.

Problemas con lafuerza de trabajo(huelgas, etc.) nopermite a lossuministradoresentregar lasmercancías o losservicios.

La cadena desuministro delsuministrador seve interrumpida.

Interrupciones delsistemainternacional,nacional o localno permite quelos suministroslleguen.

Debido a undesastre lossuministradoresno pueden llegaral lugar de laentrega parahacer la entrega.

Las operacionesdel suministradory su capacidad desuministro se venafectadas por undesastre.

Las operacionesde lostransportistas seven afectadas porun desastre.

Acciones oinacciones delgobierno nopermiten a lossuministradoreshacer o entregarlos suministros.

El gobierno nopuede suministrarservicios vitales.

El gobierno nopuede suministrarservicios deemergenciaadecuadamente(policía, bomberos,etc.)

Los sistemas desuministro “justoa tiempo” (just intime) o deinventariomínimo dejan ala empresavulnerable a lasinterrupcionesde lossuministros.

Depender desuministradoresúnicos deja a laempresavulnerable a laperdida repentinade los suministrosesenciales.

Falla de pagar atiempo lasfacturas de lossuministradores.



Anexo 3 Registro de Evaluación de Riesgos (ejemplo)

Riesgo Impacto potencial Controles ymedidas

existentes para lareducción del

riesgo

Categoría de laOcurrencia

Tabla 1

Categoría dela Severidad

Tabla 2

Nivel deriesgo

Tabla 3

Nivel de Detección

D

Nivel dePrioridad

RPN=SxOxD

Cierrerepentino deunsuministradorde productoscríticos.

Reducción de losingresos porreducción de lasoperaciones.

Perdidas porreclamaciones deincumplimiento decontratos con losclientes.

Perdida de clientes.Perdidas por costoadicional decompra deemergencia.

Utilizar más de unsuministrador paraproductos críticos.

Selección de lossuministradoresprevia evaluación.

Monitorización deldesempeño de lossuministradores

Pocoprobable

2 Media 3 Moderado En ocasiones se detectael problema conantelación suficiente.

3 18

Nota:El nivel de detección dependerá de la eficacia de los controles existentes.



Anexo 4 Registro de tratamiento de los riesgos (ejemplo)

Riesgos Priorizados Posibles estrategias detratamiento

Costo estimado Beneficio estimado Estrategiasselecionadas

Eliminar/reducir los peligros deincendio en el edificio

$ 400 por el tiempo de losempleados inicialmente.$ 80/mes por tiempo de losempleados posteriormente.$ 200 por los extintores deincendio.

Se evitará una perdidamáxima de $ 1. 475.000

Si

Preparar un plan de enfrentamiento alos incendios y entrenar a los empleadosacerca de sus responsabilidades

$ 500 por el tiempo de losempleados

Se evitará una perdidamáxima de $ 1. 475.000

Si

Mantener copia de todos los registrosinformáticos claves fuera del edificio.

$ 100 por mes por el tiempo delos empleados para copiar lainformación de respaldo.$ 500 de inversiones enhardware.

Se evitará una perdida de$ 25.000 por la sustitución delos registros.

Si

Obtener cobertura de seguro para losriesgos adecuados para el edificio y laspropiedades del personal

$ 5000 prima del seguro Se evitará una perdidamáxima de $ 1. 475.000

Si

Preparar un plan de contingencia paracontinuar las operaciones en otro lugar.

$ 500 por tiempo de losempleados en la investigacióny desarrollo del plan.

Se evitará una perdida deingresos de $ 400.000 porevitar la interrupción.

Si

Incendio en el edificio



Anexo 5 Plan de Acción de Riesgos

Area de Riesgo:

Estrategias Actividades Fecha determinaciónplanificada

Personaresponsable

Fecha determinación

Comentarios



Referencias• DIRKS – A strategic approach to managing business information apendix 11- Risk

Analysis in Dirks, National Archives of Australia.• Targeting Business Risk; David McNamee; Mc2 Management Consulting.• Risk management for small business; C. Lee Reiss; Public entity risk institute.• Guidelines on Risk Issues; The Engineering Council, U.K., published by Lloyd’s

Register.

Introducción a La Gestión de Riesgos

Documents

Transcript of Introducción a La Gestión de Riesgos