Académique Documents
Professionnel Documents
Culture Documents
DE RIESGOS
EMPRESARIALES
Pgina 1
Es muy fina la lnea que separa el xito del fracaso en una empresa. Es precisamente el
objetivo de esta gua, mostrar una metodologa que permita a las direcciones de las
organizaciones y responsables de reas, controlar el riesgo asociado a las actividades y
procesos, y transformar esos riesgos en oportunidades. Una caracterstica que podra definir
perfectamente la coyuntura actual de los mercados es la alta velocidad de cambio, cambios
que se van acelerando y para los cuales las organizaciones ya no pueden quedarse en una
posicin defensiva hacia el riesgo. El riesgo hay tomarlo por los cuernos, es ms, hay que
obtener de l ventajas estratgicas para mejorar la satisfaccin del cliente e incrementar el
valor de las marcas y organizaciones.
Desde el punto de vista de la macroeconoma, la economa de un pas depende de que los
procesos de los sectores pblico y privado, ya sean industriales, de servicios o infraestructuras,
funcionen con eficacia y fluidez. Cuando no es as, como consecuencia por ejemplo de una
catstrofe natural o una crisis econmica, se produce una gran prdida de la competitividad,
aumento de los costes de explotacin, desempleo y reduccin de las expectativas de
crecimiento e incluso recesin econmica. Por otra parte, en el mbito de la microeconoma,
las empresas se enfrentan al riesgo de que sus procesos y actividades se vena interrumpidos
de forma inesperada, lo que tiene como consecuencia el retraso en la prestacin del servicio,
perdida en la calidad del servicio/producto, perdida de reputacin y como consecuencia la
quiebra de la compaa con todo lo que conlleva con respecto a empleados, proveedores, etc.
La correcta gestin del riesgo es un elemento esencial del buen gobierno empresarial y por
tanto una herramienta que permite proteger el valor del accionista y de todas las partes
interesadas.
Despus de un siniestro importante, lo razonable es que muchas organizaciones atribuyan
gran prioridad a la gestin del riesgo. Sin embargo, a lo largo del tiempo, la importancia de
esta actividad va disminuyendo. De ah la necesidad de implementar metodologas que
permitan una gestin del riesgo asociadas a la gestin de la mejora continua de las
organizaciones. Es por ello, que la responsabilidad de asegurar que la gestin del riesgo cala en
toda la organizacin, dependa de la alta direccin. Es imposible construir una organizacin
elstica sin unos modelos y objetivos de gestin bien definidos que aprovechen la existencia
de canales de comunicacin eficaces. La alta direccin ha de promover el conocimiento y la
gestin del riesgo como objetivo continuo.
Pgina 2
Mediante la GIR pretendemos detectar los riesgos que pueden afectar a una organizacin con
el fin de generar estrategias que se anticipen a ellos y los conviertan en oportunidades de
rentabilidad para la empresa. En la actualidad, las empresas de xito no asumen los riesgos,
sino que los estudian y modelan para gestionarlos y sacarle el mximo provecho. Es decir los
riesgos se convierten en oportunidad para as aumentar de rentabilidad de la organizacin.
La GIR permite anticiparse al riesgo y asegurar los objetivos y metas estratgicas definidas por
la empresa u organizacin, lo que hace que la empresa genere valor en el mercado, es decir
crezca rentablemente, as la empresa asegura su sostenibilidad, crecimiento, consolidacin. En
la actualidad el ritmo del cambio sigue aumentando, por tanto la gestin satisfactoria del
mismo, va cobrando mayor importancia para el xito de la empresa en su conjunto. En este
contexto, la tensin entre la gestin del riesgo y la adopcin de riesgos ir creciendo.
La aceleracin exponencial del ritmo del cambio hace que la funcin de gestin del riesgo se
oriente ms una a garantizar la mayor eficacia posible en la prestacin del servicio o
fabricacin del producto.
Pero para ello, es necesario contar con las herramientas necesarias para tener un control de la
gestin de riesgo empresarial. La ISO 31000 es la norma internacional que ofrece una
metodologa probablemente la ms utilizada actualmente.
La gestin del riesgo se encuentra en estos momentos en medio de una transicin, que tendr
que culminar en la satisfaccin de todas las partes interesadas (stakeholders) de una
organizacin.
En este manual vamos a analizar como implantar un sistema de gestin de riesgos
empresariales basado en la norma ISO 31000.
Pgina 3
Conoce cules son las principales vulnerabilidades de sus clientes y proveedores? Cul es el
nivel de riesgo de que sus mercancas sean contaminadas con mercanca ilcita? Cuenta su
organizacin con un plan de continuidad en caso de alerta roja?
El riesgo se puede definir como la combinacin de la probabilidad de un suceso y sus
consecuencias (Gua ISO/CEI 73).
En todos los tipos de empresa existe un potencial de sucesos y consecuencias que constituyen
oportunidades para conseguir beneficios (lado positivo) o amenazas para el xito (lado
negativo).
La gestin de riesgos trata tanto los aspectos positivos como los negativos de los riesgos. Por lo
tanto, los presentes estndares consideran el riesgo para convertir la estrategia en objetivos
tcticos y desde ambas perspectivas. De este modo trata de aumentar la probabilidad de xito
y reduce tanto la probabilidad de fallo como la incertidumbre acerca de la consecucin de los
objetivos generales de la empresa. En el campo de la seguridad, se suele admitir que las
consecuencias son slo negativas, por lo que la gestin de riesgos de seguridad se centra en la
prevencin y en la mitigacin del dao.
Una de las empresas farmacuticas ms grandes del mundo, puso en marcha un proyecto de
gestin del riesgo a travs del anlisis del riesgo en la cadena de suministro. Una tendencia
muy extendida en el sector farmacutico ha sido la subcontratacin de la fabricacin, lo que ha
supuesto una reduccin en el nmero de proveedores. Esto es debido a que las empresas
estn sometidas a fuertes presiones en la reduccin de costes, como consecuencia de la
competencia a la que se enfrentan. Pero es evidente que esto no frena la dependencia de un
reducido nmero de proveedores de materias primas esenciales, sin embargo aumenta el
riesgo de la cadena de suministro. Esto obliga al anlisis de la trayectoria de los productos
desde la cuna a la tumba, desde los materiales de suministro hasta la fabricacin y
distribucin, es decir, el ciclo completo de vida (ACV). Cuando se lleva a cabo este ejercicio, se
identifican los puntos problemticos. De este modo, la organizacin analizo las actividades en
las que existe una total dependencia de una instalacin de fabricacin para las etapas claves
de la fabricacin de un producto. Al realizar este tipo de evaluacin de riesgo, es posible
identificar proveedores alternativos, crear unas existencias, es decir, asegurar la continuidad
de la actividad. Esto ha generado a la organizacin una ventaja competitiva, ya que la
normativa es especialmente estricta con el sector farmacutico y las mismas pueden ser
castigadas y no son capaces de fabricar los productos farmacuticos que se necesitan de forma
perentoria en el mercado. En este caso, la administracin de EE.UU, clausur la actividad de un
Pgina 4
competidor de nuestro ejemplo por no poder suministrar una vacuna, lo que pone en
evidencia la eficacia de la gestin del riesgo, al darle plena ventaja en el mercado.
La gestin de riesgos tiene que ser un proceso continuo y en constante desarrollo que se lleve
a cabo en toda la estrategia de la empresa y en la aplicacin de esa estrategia. Y como no,
debe tratar metdicamente todos los riesgos que rodeen a las actividades pasadas, presentes
y, sobre todo, futuras de la empresa.
Debe estar integrada en la cultura de la empresa con una poltica eficaz y un programa
dirigidos por la alta direccin. Tiene que convertir la estrategia en objetivos tcticos y
operacionales, asignando responsabilidades en toda la empresa, siendo cada gestor y cada
empleado responsable de la gestin de riesgos como parte de la descripcin de su trabajo.
Respalda la responsabilidad, la medida y la recompensa del rendimiento, promoviendo as la
eficiencia operacional a todos los niveles. Respalda la responsabilidad, la medida y la
recompensa del rendimiento, promoviendo as la eficiencia operacional a todos los niveles.
Beneficios
La gestin de riesgos protege y aade valor a la empresa y sus interesados (stakeholders)
mediante el apoyo a los objetivos de la empresa a travs de:
Establecer una metodologa que permita que las actividades futuras se desarrollen de
forma consistente y controlada.
Mejorar la toma de decisiones, la planificacin y el establecimiento de prioridades
mediante una visin integrada y estructurada del negocio, su volatilidad y las
oportunidades y amenazas del proyecto. Contribuir a una asignacin ms eficiente
del capital y los recursos dentro de la organizacin.
Reducir la volatilidad en las reas no esenciales del negocio.
Proteger y mejorar los activos y la imagen de la compaa.
Desarrollar y apoyar a los empleados como base del conocimiento de la organizacin.
Optimizar la eficiencia operacional.
Pero adems desde un punto de vista directamente econmico:
Crecimiento de las ventas: las organizaciones pueden modificar sus operaciones para
desarrollar e introducir servicios y productos ms competitivos.
Margen de beneficios de explotacin: esto opera en un nivel bsico, a medida que las
empresas reducen sus prdidas de explotacin
Periodo de duracin del crecimiento: al lograr una mayor eficiencia operativa a travs
de la gestin del riesgo, las empresas pueden crecer, mejorando el plazo de salida al
mercado de sus productos.
Pgina 5
2. ISO 31000
La norma ISO 31000:2009 (UNE-ISO 31000:2010), Gestin del riesgo: Principios y directrices
tiene como objetivo ayudar a las organizaciones de todo tipo y tamao a gestionar el riesgo
con efectividad. Si bien todas las organizaciones gestionan el riesgo en cierta medida, la norma
ISO 31000: 2009 establece una serie de principios que deben ser satisfechos para hacer una
gestin eficaz del riesgo. La norma recomienda que todas las organizaciones desarrollen,
implementen y mejoren continuamente un marco de trabajo y estructura de soporte
(framework) cuyo objetivo es integrar el proceso de gestin del riesgo en el gobierno
corporativo de la organizacin, planificacin y estrategia, gestin, procesos de informacin,
polticas, valores y cultura. La norma provee de los principios, el marco de trabajo y un proceso
destinado a gestionar cualquier tipo de riesgo de una manera transparente y creble dentro de
cualquier alcance o contexto. Otra caracterstica de la norma es que puede ser aplicada a lo
largo de la vida de una organizacin, as como una variada gama de actividades, incluidas las
estratgicas y de decisiones, operaciones, procesos, funciones, proyectos, productos, servicios
y activos. Por otro lado, la norma se puede aplicar a cualquier tipo de riesgo, cualquiera que
sea su naturaleza, causa u origen, tanto si sus consecuencias sean positivas o negativas para la
organizacin.
El enfoque est estructurado en tres elementos claves para una efectiva gestin de riesgos:
1. Los principios de gestin del riesgo.
2. El marco de trabajo (framework) para la gestin del riesgo.
3. El proceso de gestin del riesgo.
La norma establece los principios bsicos de carcter genrico sobre la gestin de los riesgos.
Crear valor.
Estar integrada en los procesos de la organizacin.
Formar parte de la toma de decisiones.
Tratar explcitamente la incertidumbre.
Ser sistemtica, estructurada y adecuada.
Estar basada en la mejor informacin disponible.
Estar hecha a medida.
Tener en cuenta factores humanos y culturales.
Ser transparente e inclusiva.
Ser dinmica, iterativa y sensible al cambio.
Facilitar la mejora continua de la organizacin.
Pgina 6
3. DEFINICIONES
Riesgo
Pgina 7
Los objetivos pueden tener diferentes aspectos (financieros, seguridad, salud, medio
ambiente, etc.) y se pueden aplicar a diferentes niveles (tales como, nivel estratgico, nivel de
un proyecto, producto, de un proceso o una organizacin completa). Generalmente los riesgos
los caracterizamos por la referencia a sucesos potenciales y sus consecuencias, o una
combinacin de ambas. La incertidumbre es el estado, incluso parcial, de deficiencias en la
informacin relativa a la comprensin o al conocimiento de un suceso, de sus consecuencias o
su probabilidad.
Pgina 8
Reservas: Provisin de fondos para mitigar riesgos del cronograma y/o costes (Gestin
y Contingencias).
Pgina 9
Esquema incluido en el marco de trabajo de la gestin del riesgo que especifica el enfoque, los
componentes de gestin y los recursos a aplicar en la gestin del riesgo. De forma general, los
componentes de gestin incluyen los procedimientos, las prcticas, la asignacin de
responsabilidades, la secuencia y la cronologa de las actividades. El plan de gestin del riesgo
se puede aplicar a un producto, un proceso o un proyecto particular, y a una parte o a la
totalidad de la organizacin.
Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo. Para cada
uno de los riesgos definidos dentro del sistema, se debe asignar una persona, departamento,
etc. de la organizacin con la autoridad suficiente para gestionar el riesgo asignado.
Contexto externo
Contexto interno
Pgina 10
Comunicacin y consulta
Procesos iterativos y continuos que realiza una organizacin para proporcionar, compartir u
obtener informacin y para establecer el dilogo con las partes interesadas. La informacin
puede corresponder a la existencia, la naturaleza, la forma, la probabilidad, la importancia, la
evaluacin, la aceptabilidad y el tratamiento de la gestin del riesgo.
Una consulta constituye un proceso de comunicacin informada de doble sentido entre una
organizacin y sus partes interesadas, sobre una cuestin antes de tomar una decisin o
determinar una orientacin sobre dicha cuestin.
La consulta es:
Un proceso que impacta sobre una decisin a travs de la influencia ms que por la
autoridad
Una contribucin para una toma de decisiones y no una toma de decisiones conjunta.
Parte interesada
Persona u organizacin que puede afectar, ser afectada, o percibir que est afectada por una
decisin o actividad. Establecer cules son las partes interesadas de la gestin de un riesgo es
un elemento bsico para poder gestionarlo adecuadamente.
Proceso global que comprende la identificacin del riesgo, el anlisis de riesgos, y la evaluacin
del riesgo. La apreciacin representa la toma de conciencia de la existencia del riesgo, su
anlisis y evaluacin.
Para que un riesgo sea gestionado debe haber sido previamente apreciado. En muchos casos,
se plantea la no existencia de un riesgo, pero ste existe y no ha sido apreciado.
Pgina 11
Fuente de riesgo
Elemento que, por s solo o en combinacin con otros, presenta el potencial de engendrar un
riesgo. La fuente de riesgo a veces tambin se denomina como factor de riesgo.
Un ejemplo de fuente de riesgo es un cuchillo ya que pude producir un corte a la persona que
lo utiliza.
Suceso
Consecuencia
Resultado del suceso que afecta a los objetivos. Un suceso puede conducir a varias
consecuencias (daos financieros, daos a la reputacin, etc.).
Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o negativos sobre
la consecucin de un objetivo. Las consecuencias se pueden expresar en forma cuantitativa (la
prdida de un % de rentabilidad) o cualitativa (la prdida de imagen)
Las consecuencias inciales pueden convertirse en reacciones en cadena.
Probabilidad
Pgina 12
Perfil de riesgo
Descripcin de cualquier conjunto de riesgos. El conjunto de riesgos puede incluir los riesgos
de toda la organizacin, o definirse de otra manera.
Por ejemplo, el perfil de riesgo de un producto que nos da los diferentes riesgos a los que est
sometido ste.
Criterios de riesgo
Nivel de riesgo
Evaluacin de riesgos
Proceso de comparacin de los resultados del anlisis de riesgos con los criterios de riesgo
para determinar si el riesgo y/o su magnitud son aceptables o tolerables.
La evaluacin de riesgos es un elemento bsico para la toma de decisiones sobre el
tratamiento de riesgos.
Pgina 13
Control
Riesgo residual
Seguimiento
Revisin
Actividad que se realiza para determinar la idoneidad, la adecuacin y la eficacia del tema
estudiado para conseguir los objetivos establecidos. La revisin se puede aplicar a un marco de
trabajo de gestin de riesgo, a un proceso de gestin de riesgo, a un riesgo o al control.
4. PRINCIPIOS
1. La gestin del riesgo crea y protege valor.
Los diferentes riesgos de la organizacin son un elemento clave para la consecucin de los
objetivos de la misma, aportndonos informacin que nos permite corregir las desviaciones
que pudieran producirse. De no gestionar adecuadamente los riesgos, la consecucin de los
objetivos es imprevisible e incluso puede llegar a ser inalcanzable.
2. La gestin del riesgo es una parte integral de todos los procesos de la organizacin.
En la mayora de los casos, la gestin del riesgo se plantea como una gestin de una parte de
la organizacin, de este modo el departamento de seguridad laboral, gestiona los riesgos de
accidente de los trabajadores, o el de seguridad de la informacin, los riesgos asociados a
ataques informticos o salida de informacin confidencial. Pero todo ellos lo hacen de forma
independiente. La gestin del riesgo no es una actividad independiente de la actividad que se
Pgina 14
desarrolla, por esto est interrelacionada con la gestin de la actividad y/o proceso y debe
integrarse en la gestin de las actividades/procesos que se desarrollen en la organizacin.
3. La gestin del riesgo es parte de la toma de decisiones.
La toma de decisiones (abrir sedes, lanzar nuevos productos/servicios, contratar personal,
etc.) genera unos riesgos que deben ser analizados como parte integrante de la toma de
decisiones. Cuando tomamos una decisin nos planteamos la posible prdida si est es
equivocada y la cuantificamos en funcin de dicha prdida, sin tener en cuenta la probabilidad.
Veremos a lo largo del manual, como el riesgo viene definido por la conjuncin de los dos
factores: consecuencia y probabilidad.
4. La gestin del riesgo trata explcitamente de la incertidumbre.
La gestin del riesgo tiene en cuenta explcitamente la incertidumbre, la naturaleza de esa
incertidumbre, y la manera en la que puede tratarse. Por ejemplo, el riesgo de impagos nace
de la incertidumbre de la capacidad de respuesta de nuestros clientes a los pagos que nos
deben realizar. Esta incertidumbre puede nacer del desconocimiento que de la capacidad
financiera tenemos de nuestros clientes, pero podemos ajustarla mediante un anlisis
financiero de nuestros clientes o el aseguramiento de los impagos.
5. La gestin del riesgo es sistemtica, estructurada y oportuna.
Pgina 15
toman las decisiones a todos los niveles de la organizacin, lo cual asegurara xito de la
gestin.
9. La gestin del riesgo es trasparente y participativa.
Los factores humanos, tanto internos como externos, son un elemento importante de la
gestin del riesgo. Por ello, la gestin del riesgo debe permitir identificar las aptitudes, las
percepciones y las intenciones de las personas externas e internas de la organizacin que
pueden influir en el logro de los objetivos de la organizacin.
Por ejemplo, en la gestin de riesgos alimentarios, tenemos riesgos adems de los posibles
riesgos del proceso de fabricacin, envasado, etc. puede verse influida por riesgos de sabotaje
internos y externos.
10. La gestin del riesgo es dinmica, iterativa, y responde a los cambios.
Toda buena gestin del riesgo debe adaptarse de forma continua a los cambios internos y
externos que pueden influir en el nivel de riesgo, por lo tanto, toda gestin del riesgo debe ser
sensible a detectar dichos cambios en funcin de los parmetros establecidos en el proceso de
gestin. Por ejemplo, si el riesgo de impagos est relacionado con la fluctuacin del PIB del
pas, debemos establecer que variacin en el PIB consideraremos debe producirse para
establecer una revisin del riesgo definido. Este proceso debe ser continuo y estar actualizado.
11. La gestin del riesgo facilita la mejora continua de la organizacin.
Cualquier organizacin tiene que funcionar con procesos de gestin que generen la mejora
continua de la organizacin, en consecuencia, dentro del proceso global de mejora continua, el
proceso de gestin de los riesgos es un elemento clave para conseguir sta.
5. EL MARCO DE TRABAJO
El marco de trabajo representa la forma en la que la organizacin debe gestionar sus riesgos, y
su integracin en todos los niveles de la organizacin. El marco de trabajo facilita una gestin
eficaz del riesgo mediante la aplicacin del proceso de gestin del riesgo.
El marco de trabajo garantiza que la informacin sobre el riesgo obtenida del proceso de
gestin del riesgo se comunica y utiliza adecuadamente como una base para la toma de
decisiones y la obligacin de rendir cuentas en todos los niveles pertinentes de la organizacin.
Pgina 16
Pgina 17
8. Comunicar los beneficios de la gestin del riesgo a todas las partes interesadas. Si
queremos implicar a las diferentes partes interesadas debemos comunicarle los
beneficios que podemos obtener de la gestin del riesgo.
9. Asegurar que el marco de trabajo para gestionar el riesgo es adecuada. El marco de
trabajo puede requerir cambios en funcin de los propios cambios de la organizacin o
de cambios externos que le puedan afectar.
Pgina 18
Pgina 19
Los procesos de la organizacin, los mtodos y las herramientas que utiliza para la gestin del
riesgo.
La comunicacin adecuada de los componentes clave del marco de gestin del riesgo,
incluyendo sus modificaciones.
Los resultados de los informes internos sobre el marco de trabajo su eficacia y sus
resultados.
La disponibilidad de la informacin adecuada obtenida de la aplicacin de la gestin
del riesgo en los niveles y tiempos adecuados.
La existencia de procesos para realizar consultas con las partes interesadas.
Pgina 20
El marco de trabajo.
La poltica de gestin del riesgo.
El plan de gestin del riesgo.
Mejora continua del marco.
Con objeto de asegurar que el sistema de gestin del riesgo es eficaz y contribuye a ayudar el
desempeo de la organizacin, se debe:
1. Medir el desempeo de la gestin del riesgo en base a indicadores.
2. Medir peridicamente el progreso y desviaciones respecto al plan de gestin del
riesgo.
3. Revisar de forma peridica si el marco de trabajo, la poltica y el plan de gestin del
riesgo siguen siendo apropiados en funcin de los cambios del contexto interno y
externo.
4. Revisar la eficacia del marco de trabajo de gestin del riesgo.
Pgina 21
Comunicacin y consulta
El xito de la apreciacin del riesgo depende del establecimiento de consultas eficaces con las
partes interesadas.
Esto es consecuencia de que un riesgo es cierto para una organizacin en funcin de lo que
signifique dicho riesgo para las partes interesadas.
Por ejemplo, si una empresa tiene el riesgo de no poder entregar sus mercancas en el plazo
establecido al cliente, deberamos preguntarles a nuestros clientes, cunto tiempo de retraso
admitiran? Si el plazo que nos indica el cliente es 10 das, nuestra capacidad de riesgo es 10
das y todo aquel factor de riesgo que pueda generar un retraso de 10 o ms das deben ser
reducidos.
Sin esta informacin no podremos realizar una adecuada apreciacin del riesgo.
Las partes interesadas nos ayudan a:
1. Definir el contexto de forma adecuada.
2. Asegurar que los requisitos de las partes interesadas se comprenden y se tienen en
consideracin.
3. Asegurar que los riesgos se identifican a adecuadamente.
Pgina 22
Implica:
1.
2.
3.
4.
5.
6.
Pgina 23
Criterios de riesgo
La definicin de los criterios de riesgo implica:
Pgina 24
La mejor forma de identificar los riesgos es a travs del anlisis de los procesos.
Para ello:
Debemos preguntarnos para cada proceso qu factores pueden hacer que no se cumplan los
objetivos del proceso o cuales pueden ser las consecuencias de que se plasmen dichos
factores.
Pgina 25
Pero este riesgo puede deberse a varias causas que debemos analizar y valorar
posteriormente la probabilidad de que se manifiesten.
En procesos complejos, este anlisis podemos hacerlo para cada una de las tareas o fases del
proyecto, es decir identificamos las causas o factores que pueden hacer que la tarea no se
realice adecuadamente.
Anlisis del riesgo
El anlisis de los riesgos implica desarrollar una comprensin del riesgo, proporcionando un
elemento de entrada para la apreciacin del mismo y la toma de decisiones correspondientes.
De este modo el anlisis del riesgo consiste en determinar las consecuencias y las
probabilidades de que las consecuencias puedan suceder, para lo cual se han de identificar los
factores que puedan afectar a dichas consecuencias y probabilidades. Adems se deben tener
en cuenta los controles de riesgo existentes, es decir los controles que ya estamos aplicando.
Pgina 26
Mtodos de Evaluacin
Los diferentes mtodos de evaluacin pueden ser cualitativos, semicuantitativos o
cuantitativos.
Deben quedar explicados con claridad los trminos empleados y deben registrar la base
establecida para todos los criterios.
Pgina 27
Los mtodos semicuantitativos utilizan escalas de valoracin numrica para las consecuencias
y las probabilidad, y las combinan para determinar un nivel de riesgo aplicando una formula.
El anlisis cuantitativo estima valores realistas para las consecuencias y sus probabilidades, y
obtiene valores del nivel de riesgo en unidades especficas definidas cuando se desarrolla el
contexto.
El anlisis preliminar.
Los controles.
Las consecuencias.
Las probabilidades.
Pgina 28
Anlisis preliminar
Los riesgos se pueden filtrar con objeto de identificar los ms importantes, o para excluir los
riesgos menos significativos, con el fin de dirigir los recursos a los riesgos ms importantes.
Para ello se debera establecer los riesgos insignificantes que no justifican su tratamiento
(mnimas probabilidades y consecuencias y que de materializarse no representan ningn
problema para la organizacin), por ejemplo, todos los riesgos cuyo coste econmico sea
inferior a XXXX euros.
Los controles
El nivel de riesgo depende de los controles y la eficacia de estos existentes previamente al
anlisis. Para ello, debemos preguntarnos: Cules son los controles existentes para un
determinado riesgo? Por ejemplo, una fbrica tiene un grupo electrgeno propio que le
permite seguir funcionando aunque se corte el suministro de la compaa.
El elemento de control es el grupo electrgeno.
Pueden estos controles tratar adecuadamente el riesgo, de manera que quede controlado
hasta un nivel que se considere tolerable?
En el ejemplo anterior, si para la empresa no es problema funcionar slo al 80% el riesgo est
controlado. El nivel de tolerabilidad de la empresa es el 80%.
En la prctica, funcionan los controles de la manera prevista y son eficaces?
Cundo cae la corriente elctrica de la compaa se pone automticamente en
marcha el grupo electrgeno?
Realmente funciona la fbrica al 80%?
Deben existir evidencias objetivas para valorarlo, por ejemplo, se prueba el grupo cada 15 das
y nunca ha fallado, hemos hecho una prueba de la fbrica al 80%, etc.
Gestin de Riesgos Empresariales
Pgina 29
El anlisis de las consecuencias puede ir desde una somera descripcin hasta un modelo
cuantitativo.
Pgina 30
En los modelos cualitativos debe quedar claro el concepto de cada uno de los criterios.
Muchas veces es importante analizar por separado los riesgos de consecuencias graves y
consecuencias leves. Un factor a tener en cuenta es la frecuencia. Por ejemplo, un problema
frecuente pero de bajo impacto (consecuencia) puede tener efectos grandes por acumulacin
o efectos a largo plazo.
Las probabilidades
Para estimar la probabilidad se utilizan tres enfoques, individualmente o en conjunto:
Los datos deben ser fiables y estar registrados durante un plazo que les haga representativos.
Si los datos histricos existentes muestran que la frecuencia de que el suceso ocurra es muy
baja, cualquier estimacin de la probabilidad es muy incierta. Esto se aplica especialmente
cuando la posibilidad de que el evento ocurra es cero, cuando no se puede asumir que el
suceso, situacin o circunstancia no ocurrir en el futuro.
Pronsticos de probabilidad
Cuando los datos histricos no son suficientes o fiables, es necesario obtener la probabilidad
mediante el anlisis del sistema, actividad, equipo, instalacin, etc. Los pronsticos de
probabilidad utilizan tcnicas de prediccin tales como el anlisis del rbol de fallos y el anlisis
del rbol de sucesos, entre otros.
La opinin de un experto
Pgina 31
Pgina 32
Eliminacin
Transferencia
La transferencia del riesgo busca trasladar las consecuencias de un riesgo a una tercera parte
junto con la responsabilidad de la respuesta.
Mitigacin
Pgina 33
Pgina 34
Los riesgos residuales son aquellos que permanecen despus de implementar las respuestas al
riesgo.
Los riesgos secundarios son los riesgos que pueden aparecer como consecuencia de la
implementacin de la respuesta a un riesgo. Deben ser gestionados de igual manera a los
riesgos primarios, planificando sus respuestas.
Caso prctico
Una empresa de distribucin de productos farmacuticos hace los envos a travs de una
empresa de Courier con un compromiso con el cliente de entregar los libros en 48 horas
despus de la compra.
Normalmente la empresa entrega los productos en 12 horas, pero analizando los datos de los
tres ltimos aos, ha observado que cuando la entrega se hace en ms de 24 horas, por
cualquier circunstancia, los clientes se quejan cuando la entrega se hace en ms de 36 horas y
anulan el pedido cuando el plazo supera los 72.
Caso: Analizar los riesgos de no entregar en plazo los libros.
De los datos anteriores deducimos:
Identificacin de riesgos
La empresa tiene que analizar todos aquellos factores que pueden hacer que la entrega supere
las 24 horas, las 36 horas y las 72 horas. Lo tenemos que hacer por separado ya que en funcin
del tiempo variara la importancia del riesgo.
Debemos identificar por separado los riesgos de origen interno y externos.
Los riesgos externos encontrados han sido:
Y los internos:
Huelga en la empresa.
Perdida del pedido.
Error en la direccin de envo.
Pgina 35
Una vez definidos los riesgos, debemos trabajar sobre cada uno de ellos por separado. Para
este caso vamos a centrarnos en el riesgo externo de huelga en la empresa de distribucin.
Con los datos que la empresa cuenta sobre su proveedor, el entorno social, etc. valora que la
probabilidad de huelga en la empresa de Courier es del 15%, valorando una estimacin mnima
de tiempo de huelga de 7 das.
En consecuencia, como resultado de una posible huelga, la probabilidad de superar la
capacidad de riesgo es de un 15%.
Si para evaluar el riesgo utilizamos una matriz de cuatro por cuatro y asignando:
Consecuencias = Fatal
Probabilidad = Probable
Nos encontramos con un riesgo "Moderado" (MO), por lo que tendremos que tratar le riesgo.
Como hemos visto una forma de tratar el riesgo es disminuir las probabilidades y las
consecuencias.
En este caso, no podemos reducir las consecuencias ya que stas estn relacionadas con la
entrega tarde que se produce.
Por eso, actuamos sobre las probabilidades.
Para reducir la probabilidad lo que la empresa hace es trabajar con dos empresas de Courrier,
de tal forma que si una falla, deriva la totalidad de entregas a la otra.
Pgina 36
Aplicando las reglas de probabilidades la probabilidad de que las dos empresas estn de
huelga simultneamente ser el producto de las probabilidades de cada una de ellas (0,2% y
0,2%) lo que nos da un probabilidad de un 0,04%.
Volviendo a utilizar la matriz de riesgos, en este caso:
Consecuencias = Fatal
Probabilidad = Poco probable
Nos encontramos con un riesgo "Tolerable" (TO), por lo que el riesgo es aceptable ya que se
encuentra dentro de nuestro apetito al riesgo.
De la misma forma podemos ir reduciendo el riesgo, contratando ms de dos empresas de
distribucin ya que la probabilidad final evolucionara de acuerdo a la siguiente frmula:
P = Pempresa1 x Pempresa2 x . x Pempresa N
De tal forma que aumentando el nmero de empresas de distribucin, la probabilidad del
riesgo tiende a cero. La empresa tiene que elegir entre el nivel de riesgo que acepta y el
nmero de empresas con las que pude gestionarse de forma aceptable.
Pgina 37
No obstante de este anlisis, al utilizar dos empresas, debemos tener en cuenta el riesgo de
huelga en todo el sector (valorada en un 3% de probabilidad). Por lo que debemos tener en
cuenta al calcular el valor del riesgo, la probabilidad del 4% y no la probabilidad de 0,04%
calculada anteriormente.
No obstante, como el 3% lo seguimos considerando como "Poco probable", el riesgo sigue
siendo tolerable, es decir aceptable.
Si volvemos al grfico, aplicando el 3%, vemos que es superior a la probabilidad de trabajar con
tres empresas, por lo que dado que hemos valorado la probabilidad en el 3% no tiene sentido
trabajar con una tercera empresa ya que complica la gestin y no reduce el riesgo que, como
consecuencia de las posibles huelgas de todo el sector de distribucin est en el 3%.
Pgina 38
Pgina 39
Herramientas
En las siguientes tablas puedes ver la adecuacin de cada mtodo a cada una de las fases del
proceso. Cada mtodo se clasifica en No aplicable (NA), aplicable (A) y muy aplicable (MA) en
funcin de los atributos.
Pgina 40
Tormenta de ideas
Consiste en reunir a un conjunto de personas conocedoras de la organizacin, del sistema, el
proceso, etc. que vamos a analizar. Es muy til para la identificacin de los riesgos, pero no es
vlida para el resto del proceso, o lo que hay que complementarla con otras herramientas.
Pgina 41
HAZOP
HAZOP (Estudios de Riesgos y Operabilidad) es un mtodo basado en un equipo bien
estructurado y experimentado para la identificacin de riesgos no previstos en el diseo del
proceso o en posteriores modificaciones. La tcnica consiste en realizar un examen detallado
del proceso y de la ingeniera en instalaciones nuevas o existentes para evaluar los riesgos
potenciales de las operaciones no previstas en el diseo, o el mal funcionamiento de los
equipos y la consecuencia de sus efectos en una instalacin y entorno.
Pgina 42
Pgina 43
El coordinador del grupo debe haber preparado una batera de preguntas sobre el proceso que
va a ser analizado, comenzando desde el inicio del proceso y recorrindolo
El resultado nos da todos los posibles peligros, el nivel de riesgo y los posibles controles.
Pgina 44
Entender los procesos crticos que soportan el servicio, la prioridad de cada uno de
estos servicios y los tiempos estimados de recuperacin (RTO).
Determinar los tiempos mximos tolerables de interrupcin (MTD).
Apoyar el proceso de determinar las estrategias adecuadas de recuperacin.
Funciones que pueden realizarse slo si las capacidades se reemplazan por otras
idnticas.
No pueden reemplazarse por mtodos manuales.
Muy baja tolerancia a interrupciones.
VITALES
SENSITIVOS
Pgina 45
NO CRTICOS
El anlisis de impacto sobre el negocio, est basado en escenarios catastrficos que al darse su
ocurrencia impactaran la infraestructura y procesos que soporta la organizacin.
Anlisis de causa raz (RCA)
Es un mtodo reactivo ya que realiza las causas de un suceso que se ha manifestado para
establecer sus causas y en particular su causa principal o causa.
Pgina 46
Generalmente la evaluacin de las causas va desde causas fsicas inicialmente evidentes hasta
causas relacionadas con las personas, y finalmente hasta las causas subyacentes o causa
fundamentales.
Anlisis del rbol de fallos (FTA)
El FTA es una tcnica para identificar y analizar factores que pueden contribuir a un suceso
especificado no deseado. Los efectos casuales se identifican deductivamente, se organizan en
una manera lgica y se reflejan grficamente mediante un diagrama de rbol.
Pgina 47
Anlisis de causa-consecuencia.
Es una combinacin del anlisis del rbol de fallos y el anlisis del rbol de sucesos. Comienza a
partir de un suceso crtico y analiza las consecuencias a partir de una combinacin de salidas
lgicas SI/NO que representan las condiciones que pueden ocurrir o los fallos de las medidas
implantadas para mitigar las consecuencias del suceso.
Pgina 48
Pgina 49
Pgina 50
Las escalas pueden tener diferentes criterios de valoracin en funcin de los tipos de riesgo.
Pgina 51
Su facilidad de uso.
Permite jerarquizar los riesgos de forma rpida.
Es fcil de entender los resultados para cualquier persona.
Pgina 52
El problema de depender de uno o pocos clientes es que cuando nuestro cliente decide
cambiarnos por otro, seguramente, puede poner en riesgo la supervivencia de nuestro negocio
teniendo en cuenta que existen costos y gastos fijos dentro de la organizacin que pueden
llevar a prdidas significativas dentro de la compaa por los menores ingresos que se van a
percibir.
Deterioro de las relaciones polticas con el pas en donde se encuentra nuestro cliente
A veces ha ocurrido que por las dificultades que se atraviesa el pas de nuestro cliente
afectados de forma significativa si tenemos dependencia de dichos clientes.
Cuando en nuestro negocio exportamos y/o importamos las variaciones de la tasa de cambio
pueden afectar nuestra organizacin de forma importante.
Exportaciones
La revaluacin en compaas que exportan puede generar que sus ventas en moneda
extranjera representen menos pesos generando ventas a prdida y/o con baja rentabilidad.
Importaciones
La devaluacin para las compaas que importan puede generar que sus compras en moneda
extranjera representen ms pesos generando altos costos en sus productos e igualmente
generando ventas de productos a prdida y/o con baja rentabilidad.
Nuevos competidores
Pgina 53
Estos tratados pueden facilitar el ingreso de nuevos competidores que entran al mercado
ofreciendo calidad y precios bajos.
Los productos que vienen de pases en vas de desarrollo se caracterizan por ser productos de
bajo costo y que al entrar a competir con productos fabricados en el pas pueden ser atractivos
para los clientes.
Marcas propias
Contrabando
Es la compra o venta de mercancas evadiendo los aranceles, es decir evadiendo los impuestos,
lo que hace que al entrar a competir con productos legales su precio de venta sea mucho
menor, afectando de forma importante a las compaas legales.
Falsificacin de productos
Productos sustitutos
Los productos sustitutos pueden realizan las mismas funciones del producto que ofrece la
compaa cubriendo las mismas necesidades a un precio menor, con rendimiento y calidad
superior. La entrada de productos sustitutos le puede generar a nuestra organizacin la
disminucin en las ventas, el incremento de las devoluciones en ventas y en algunos casos
problemas de negocio en marcha.
Pgina 54
Ejemplos:
El t es un sustituto de las gaseosas.
La telefona mvil es un sustituto de la telefona fija.
La venta de msica en internet es un sustituto de las tiendas de msica.
Los medicamentos genricos son sustitutos de los medicamentos originales
Cuando nuestra organizacin depende de pocos clientes o clientes grandes, estos pueden
imponer sus condiciones (precio de venta, descuentos, devoluciones en ventas, servicios,
forma de pago, calidad de los productos, etc.), generando altos costos para nuestra
organizacin y por consiguiente la venta de productos a prdida.
Ejemplo:
Las grandes cadenas de supermercados normalmente imponen sus condiciones a sus
proveedores y en algunos casos las ventas a este tipo de clientes terminan siendo a prdida
y/o con una baja rentabilidad para nuestra organizacin.
Pgina 55
o
o
o
Riesgo tecnolgico
Los avances tecnolgicos generan cambios importantes dentro de las organizaciones. Estos
cambios tecnolgicos normalmente traen riesgos que al materializarse pueden afectar a las
organizaciones de forma importante. Los siguientes son algunos ejemplos de la forma como se
pueden materializar estos riesgos.
Pgina 56
Las nuevas tecnologas pueden crear ventajas competitivas importantes para la competencia.
Ejemplo si mi competencia adquiere el ltimo equipo para producir sus productos que ahorra
mano de obra y produce cinco veces lo que produce mi compaa, seguramente voy a quedar
fuera del mercado.
Alta obsolescencia: Para compaas en donde su objeto social depende directamente del
componente tecnolgico, ejemplo, compaas de telecomunicaciones, la alta obsolescencia
que sufren sus activos pueden poner en riesgo su continuidad.
Riesgo regulatorio
Nueva normatividad.
Regulaciones en la industria.
Leyes de proteccin ambiental.
Controles de precios.
Leyes antimonopolio.
Riesgo laboral
Sanciones administrativas.
Perdidas de productividad.
Incapacidad de cumplir plazos con clientes.
Mal ambiente de trabajo.
Pgina 57
Cuenta la gestin del riesgo con el respaldo de los niveles superiores de la direccin?
Est la gestin del riesgo explcitamente conectada con los objetivos empresariales?
Ha fijado la alta direccin los objetivos y polticas adecuados sobre la gestin del
riesgo y los controles internos?
Tiene la alta direccin una idea clara de las reas de mxima prioridad?
Hay una informacin peridica y slida a la alta direccin en materia de gestin de
riesgos?
Cul es la actitud predominante dentro de la empresa hacia la gestin del riesgo?
Podran los directivos individualmente decir cules son sus principales reas de riesgo
y donde son ms necesarias las mejoras en la gestin del riesgo?
Estn la gestin del riesgo y el control interno incorporados en la empresa?
Contribuye el sistema de control interno a la implantacin de las polticas adoptadas
por la alta direccin?
Mantiene la empresa su sistema de control del riesgo renovado y capaz de reaccionar
ante los cambios?
Pgina 58