Manual de Gestión Integral de Riesgo TN

MANUAL DE GESTIN
DE RIESGOS
EMPRESARIALES
Jorge Bonito Vera
Gestin de Riesgos Empresariales
Pgina 1
Es muy fina la lnea que separa el xito del fracaso en una empresa. Es precisamente el
objetivo de esta gua, mostrar una metodologa que permita a las direcciones de las
organizaciones y responsables de reas, controlar el riesgo asociado a las actividades y
procesos, y transformar esos riesgos en oportunidades. Una caracterstica que podra definir
perfectamente la coyuntura actual de los mercados es la alta velocidad de cambio, cambios
que se van acelerando y para los cuales las organizaciones ya no pueden quedarse en una
posicin defensiva hacia el riesgo. El riesgo hay tomarlo por los cuernos, es ms, hay que
obtener de l ventajas estratgicas para mejorar la satisfaccin del cliente e incrementar el
valor de las marcas y organizaciones.
Desde el punto de vista de la macroeconoma, la economa de un pas depende de que los
procesos de los sectores pblico y privado, ya sean industriales, de servicios o infraestructuras,
funcionen con eficacia y fluidez. Cuando no es as, como consecuencia por ejemplo de una
catstrofe natural o una crisis econmica, se produce una gran prdida de la competitividad,
aumento de los costes de explotacin, desempleo y reduccin de las expectativas de
crecimiento e incluso recesin econmica. Por otra parte, en el mbito de la microeconoma,
las empresas se enfrentan al riesgo de que sus procesos y actividades se vena interrumpidos
de forma inesperada, lo que tiene como consecuencia el retraso en la prestacin del servicio,
perdida en la calidad del servicio/producto, perdida de reputacin y como consecuencia la
quiebra de la compaa con todo lo que conlleva con respecto a empleados, proveedores, etc.
La correcta gestin del riesgo es un elemento esencial del buen gobierno empresarial y por
tanto una herramienta que permite proteger el valor del accionista y de todas las partes
interesadas.
Despus de un siniestro importante, lo razonable es que muchas organizaciones atribuyan
gran prioridad a la gestin del riesgo. Sin embargo, a lo largo del tiempo, la importancia de
esta actividad va disminuyendo. De ah la necesidad de implementar metodologas que
permitan una gestin del riesgo asociadas a la gestin de la mejora continua de las
organizaciones. Es por ello, que la responsabilidad de asegurar que la gestin del riesgo cala en
toda la organizacin, dependa de la alta direccin. Es imposible construir una organizacin
elstica sin unos modelos y objetivos de gestin bien definidos que aprovechen la existencia
de canales de comunicacin eficaces. La alta direccin ha de promover el conocimiento y la
gestin del riesgo como objetivo continuo.
Pgina 2
Mediante la GIR pretendemos detectar los riesgos que pueden afectar a una organizacin con
el fin de generar estrategias que se anticipen a ellos y los conviertan en oportunidades de
rentabilidad para la empresa. En la actualidad, las empresas de xito no asumen los riesgos,
sino que los estudian y modelan para gestionarlos y sacarle el mximo provecho. Es decir los
riesgos se convierten en oportunidad para as aumentar de rentabilidad de la organizacin.
La GIR permite anticiparse al riesgo y asegurar los objetivos y metas estratgicas definidas por
la empresa u organizacin, lo que hace que la empresa genere valor en el mercado, es decir
crezca rentablemente, as la empresa asegura su sostenibilidad, crecimiento, consolidacin. En
la actualidad el ritmo del cambio sigue aumentando, por tanto la gestin satisfactoria del
mismo, va cobrando mayor importancia para el xito de la empresa en su conjunto. En este
contexto, la tensin entre la gestin del riesgo y la adopcin de riesgos ir creciendo.
La aceleracin exponencial del ritmo del cambio hace que la funcin de gestin del riesgo se
oriente ms una a garantizar la mayor eficacia posible en la prestacin del servicio o
fabricacin del producto.
Pero para ello, es necesario contar con las herramientas necesarias para tener un control de la
gestin de riesgo empresarial. La ISO 31000 es la norma internacional que ofrece una
metodologa probablemente la ms utilizada actualmente.
La gestin del riesgo se encuentra en estos momentos en medio de una transicin, que tendr
que culminar en la satisfaccin de todas las partes interesadas (stakeholders) de una
organizacin.
En este manual vamos a analizar como implantar un sistema de gestin de riesgos
empresariales basado en la norma ISO 31000.
Jorge Bonito Vera
Pgina 3
1. INTRODUCCIN A LA GESTIN DE RIESGOS
Conoce cules son las principales vulnerabilidades de sus clientes y proveedores? Cul es el
nivel de riesgo de que sus mercancas sean contaminadas con mercanca ilcita? Cuenta su
organizacin con un plan de continuidad en caso de alerta roja?
El riesgo se puede definir como la combinacin de la probabilidad de un suceso y sus
consecuencias (Gua ISO/CEI 73).
En todos los tipos de empresa existe un potencial de sucesos y consecuencias que constituyen
oportunidades para conseguir beneficios (lado positivo) o amenazas para el xito (lado
negativo).
La gestin de riesgos trata tanto los aspectos positivos como los negativos de los riesgos. Por lo
tanto, los presentes estndares consideran el riesgo para convertir la estrategia en objetivos
tcticos y desde ambas perspectivas. De este modo trata de aumentar la probabilidad de xito
y reduce tanto la probabilidad de fallo como la incertidumbre acerca de la consecucin de los
objetivos generales de la empresa. En el campo de la seguridad, se suele admitir que las
consecuencias son slo negativas, por lo que la gestin de riesgos de seguridad se centra en la
prevencin y en la mitigacin del dao.
Una de las empresas farmacuticas ms grandes del mundo, puso en marcha un proyecto de
gestin del riesgo a travs del anlisis del riesgo en la cadena de suministro. Una tendencia
muy extendida en el sector farmacutico ha sido la subcontratacin de la fabricacin, lo que ha
supuesto una reduccin en el nmero de proveedores. Esto es debido a que las empresas
estn sometidas a fuertes presiones en la reduccin de costes, como consecuencia de la
competencia a la que se enfrentan. Pero es evidente que esto no frena la dependencia de un
reducido nmero de proveedores de materias primas esenciales, sin embargo aumenta el
riesgo de la cadena de suministro. Esto obliga al anlisis de la trayectoria de los productos
desde la cuna a la tumba, desde los materiales de suministro hasta la fabricacin y
distribucin, es decir, el ciclo completo de vida (ACV). Cuando se lleva a cabo este ejercicio, se
identifican los puntos problemticos. De este modo, la organizacin analizo las actividades en
las que existe una total dependencia de una instalacin de fabricacin para las etapas claves
de la fabricacin de un producto. Al realizar este tipo de evaluacin de riesgo, es posible
identificar proveedores alternativos, crear unas existencias, es decir, asegurar la continuidad
de la actividad. Esto ha generado a la organizacin una ventaja competitiva, ya que la
normativa es especialmente estricta con el sector farmacutico y las mismas pueden ser
castigadas y no son capaces de fabricar los productos farmacuticos que se necesitan de forma
perentoria en el mercado. En este caso, la administracin de EE.UU, clausur la actividad de un
Pgina 4
competidor de nuestro ejemplo por no poder suministrar una vacuna, lo que pone en
evidencia la eficacia de la gestin del riesgo, al darle plena ventaja en el mercado.
La gestin de riesgos tiene que ser un proceso continuo y en constante desarrollo que se lleve
a cabo en toda la estrategia de la empresa y en la aplicacin de esa estrategia. Y como no,
debe tratar metdicamente todos los riesgos que rodeen a las actividades pasadas, presentes
y, sobre todo, futuras de la empresa.
Debe estar integrada en la cultura de la empresa con una poltica eficaz y un programa
dirigidos por la alta direccin. Tiene que convertir la estrategia en objetivos tcticos y
operacionales, asignando responsabilidades en toda la empresa, siendo cada gestor y cada
empleado responsable de la gestin de riesgos como parte de la descripcin de su trabajo.
Respalda la responsabilidad, la medida y la recompensa del rendimiento, promoviendo as la
eficiencia operacional a todos los niveles. Respalda la responsabilidad, la medida y la
recompensa del rendimiento, promoviendo as la eficiencia operacional a todos los niveles.
Beneficios
La gestin de riesgos protege y aade valor a la empresa y sus interesados (stakeholders)
mediante el apoyo a los objetivos de la empresa a travs de:
Establecer una metodologa que permita que las actividades futuras se desarrollen de
forma consistente y controlada.
Mejorar la toma de decisiones, la planificacin y el establecimiento de prioridades
mediante una visin integrada y estructurada del negocio, su volatilidad y las
oportunidades y amenazas del proyecto. Contribuir a una asignacin ms eficiente
del capital y los recursos dentro de la organizacin.
Reducir la volatilidad en las reas no esenciales del negocio.
Proteger y mejorar los activos y la imagen de la compaa.
Desarrollar y apoyar a los empleados como base del conocimiento de la organizacin.
Optimizar la eficiencia operacional.
Pero adems desde un punto de vista directamente econmico:
Crecimiento de las ventas: las organizaciones pueden modificar sus operaciones para
desarrollar e introducir servicios y productos ms competitivos.
Margen de beneficios de explotacin: esto opera en un nivel bsico, a medida que las
empresas reducen sus prdidas de explotacin
Periodo de duracin del crecimiento: al lograr una mayor eficiencia operativa a travs
de la gestin del riesgo, las empresas pueden crecer, mejorando el plazo de salida al
mercado de sus productos.
Pgina 5
2. ISO 31000
La norma ISO 31000:2009 (UNE-ISO 31000:2010), Gestin del riesgo: Principios y directrices
tiene como objetivo ayudar a las organizaciones de todo tipo y tamao a gestionar el riesgo
con efectividad. Si bien todas las organizaciones gestionan el riesgo en cierta medida, la norma
ISO 31000: 2009 establece una serie de principios que deben ser satisfechos para hacer una
gestin eficaz del riesgo. La norma recomienda que todas las organizaciones desarrollen,
implementen y mejoren continuamente un marco de trabajo y estructura de soporte
(framework) cuyo objetivo es integrar el proceso de gestin del riesgo en el gobierno
corporativo de la organizacin, planificacin y estrategia, gestin, procesos de informacin,
polticas, valores y cultura. La norma provee de los principios, el marco de trabajo y un proceso
destinado a gestionar cualquier tipo de riesgo de una manera transparente y creble dentro de
cualquier alcance o contexto. Otra caracterstica de la norma es que puede ser aplicada a lo
largo de la vida de una organizacin, as como una variada gama de actividades, incluidas las
estratgicas y de decisiones, operaciones, procesos, funciones, proyectos, productos, servicios
y activos. Por otro lado, la norma se puede aplicar a cualquier tipo de riesgo, cualquiera que
sea su naturaleza, causa u origen, tanto si sus consecuencias sean positivas o negativas para la
organizacin.
El enfoque est estructurado en tres elementos claves para una efectiva gestin de riesgos:
1. Los principios de gestin del riesgo.
2. El marco de trabajo (framework) para la gestin del riesgo.
3. El proceso de gestin del riesgo.
La norma establece los principios bsicos de carcter genrico sobre la gestin de los riesgos.
Crear valor.
Estar integrada en los procesos de la organizacin.
Formar parte de la toma de decisiones.
Tratar explcitamente la incertidumbre.
Ser sistemtica, estructurada y adecuada.
Estar basada en la mejor informacin disponible.
Estar hecha a medida.
Tener en cuenta factores humanos y culturales.
Ser transparente e inclusiva.
Ser dinmica, iterativa y sensible al cambio.
Facilitar la mejora continua de la organizacin.
Pgina 6
Marco de trabajo para la gestin del riesgo:
3. DEFINICIONES
Riesgo
Efecto de la incertidumbre sobre la consecucin de los objetivos.
El efecto puede ser positivo o negativo.
Pgina 7
Los objetivos pueden tener diferentes aspectos (financieros, seguridad, salud, medio
ambiente, etc.) y se pueden aplicar a diferentes niveles (tales como, nivel estratgico, nivel de
un proyecto, producto, de un proceso o una organizacin completa). Generalmente los riesgos
los caracterizamos por la referencia a sucesos potenciales y sus consecuencias, o una
combinacin de ambas. La incertidumbre es el estado, incluso parcial, de deficiencias en la
informacin relativa a la comprensin o al conocimiento de un suceso, de sus consecuencias o
su probabilidad.
Algunos ejemplos de riesgo:
Gestin del Riesgo
Es el proceso de ponderacin de las distintas opciones en base a los resultados de la valoracin

de riesgos. Procesos para aumentar la probabilidad e impacto de las oportunidades y reducir la
probabilidad e impacto de las amenazas. Actividad coordinada para dirigir y controlar una
organizacin en lo relativo al riesgo. La gestin del riesgo es el objetivo, tanto de la norma,
como de la organizacin que tiene en cuanto a la norma en su gestin de los riesgos.
Pgina 8
Acciones Mitigadoras: acciones que tomamos para reducir el impacto de las

consecuencias de un riesgo. Antes de que el Riesgo suceda.
Acciones de Contingencia: Cuando el Riesgo ya sucede.
Riesgos Individuales: Afectan a los objetivos del Proyecto.
Riesgos Globales: Afectan de manera global la operacin de la compaa.
Reservas: Provisin de fondos para mitigar riesgos del cronograma y/o costes (Gestin
y Contingencias).
Marco de trabajo gestin del riesgo
Conjunto de elementos que proporcionan los fundamentos y las disposiciones de la

organizacin para el diseo, la implantacin, el seguimiento, la revisin y la mejora continua de
la gestin del riesgo en toda la organizacin. Los fundamentos incluyen la poltica, el mandato
y el compromiso para gestionar el riesgo. Las disposiciones de la organizacin incluyen los
planes, las relaciones, la obligacin de rendir cuentas, los recursos, los procesos y las
actividades. El marco de trabajo de la gestin del riesgo es parte integrante de las polticas y
prcticas estratgicas y operacionales generales de la organizacin.
Poltica de gestin del riesgo
Declaracin de intenciones y orientaciones generales de una organizacin en relacin con la

gestin del riesgo. La poltica representa el marco de juego que la alta direccin establece para
la gestin del riesgo, por ello es muy importante ya que es la forma de trasmitir a la
organizacin y a las partes interesadas cuales son los criterios de la organizacin en cuanto a la
gestin del riesgo.
Actitud ante el riesgo
Enfoque de la organizacin para apreciar un riesgo y eventualmente buscarlo, retenerlo,

tomarlo o rechazarlo.
La Indiferencia al Riesgo de una organizacin, propietario o inversionista se basa en que al
aumentar el riesgo, no es requerido ningn aumento en el rendimiento. Y en el caso de la
Aceptacin del Riesgo, en cuanto aumenta el nivel de riesgo se disminuye el nivel de
rendimiento esperado. Pero es notable que las empresas aceptaran los riesgos hasta donde
sus administradores se sientan tranquilos, en relacin con el rendimiento que se espera.
Una actitud prudente ante el riesgo no es considerada en el no asumirlo, sino de hacerlo en
una forma controlada, tratndolo de medir y mitigar.
Pgina 9
Plan de gestin del riesgo
Esquema incluido en el marco de trabajo de la gestin del riesgo que especifica el enfoque, los
componentes de gestin y los recursos a aplicar en la gestin del riesgo. De forma general, los
componentes de gestin incluyen los procedimientos, las prcticas, la asignacin de
responsabilidades, la secuencia y la cronologa de las actividades. El plan de gestin del riesgo
se puede aplicar a un producto, un proceso o un proyecto particular, y a una parte o a la
totalidad de la organizacin.
Dueo del riesgo
Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo. Para cada
uno de los riesgos definidos dentro del sistema, se debe asignar una persona, departamento,
etc. de la organizacin con la autoridad suficiente para gestionar el riesgo asignado.
Proceso de gestin del riesgo
Aplicacin sistemtica de polticas, procedimientos y prcticas de gestin a las actividades de

comunicacin, consulta, establecimiento del contexto, e identificacin, anlisis, evaluacin,
tratamiento, seguimiento y revisin del riesgo. El proceso de gestin del riesgo es el aspecto
bsico de la gestin ya que en el definimos todos los aspectos relacionados con el riesgo, cmo
lo vamos a tratar y controlar.
Establecimiento del contexto
Definicin de los parmetros externos e internos a tener en cuenta cuando se gestiona el

riesgo, y se establece el alcance y los criterios de riesgo para la poltica de gestin del riesgo.
Los riesgos estn ntimamente relacionados con el contexto en el cual pueden manifestarse.
Por ejemplo, el riesgo de que un trabajador enferme estar relacionado con el contexto en el
cual el trabajador vive, no ser lo mismo el riesgo de contraer una determinada enfermedad
en un pas europeo que en un pas africano. Por eso es muy importante el contexto cuando
analizamos y gestionamos un riesgo.
Contexto externo
Entorno externo en el que la organizacin busca alcanzar objetivos.

El contexto externo suele estar fijado y no ser modificable, en la mayora de los casos, por
parte de la organizacin. Los cambios producidos en el contexto externo pueden ser parte del
propio riesgo y su gestin. Por ejemplo, una empresa de transportes no puede actuar, por
ejemplo, con el precio de la gasolina, pero si debe tener en cuenta en su gestin que sta est
sometida a fluctuaciones.
El contexto externo siempre es cambiante.
Contexto interno
Pgina 10
Entorno interno en el que la organizacin busca alcanzar sus objetivos.

El contexto interno, entre otros, puede incluir:
El gobierno, la estructura de la organizacin, las funciones y las obligaciones de rendir
cuentas.
Las polticas, los objetivos y las estrategias para conseguirlos.
Las capacidades, entendidas en trminos de recursos y conocimientos (por ejemplo,
capital, tiempo, personas, procesos, y tecnologas.
Los sistemas de informacin, los flujos de informacin y los procesos de toma de
decisin (tanto formales como informales).
La cultura de la organizacin.
Las normas, las directrices y los modelos adoptados por la organizacin.
La forma y amplitud de las relaciones contractuales.
Comunicacin y consulta
Procesos iterativos y continuos que realiza una organizacin para proporcionar, compartir u
obtener informacin y para establecer el dilogo con las partes interesadas. La informacin
puede corresponder a la existencia, la naturaleza, la forma, la probabilidad, la importancia, la
evaluacin, la aceptabilidad y el tratamiento de la gestin del riesgo.
Una consulta constituye un proceso de comunicacin informada de doble sentido entre una
organizacin y sus partes interesadas, sobre una cuestin antes de tomar una decisin o
determinar una orientacin sobre dicha cuestin.
La consulta es:
Un proceso que impacta sobre una decisin a travs de la influencia ms que por la
autoridad
Una contribucin para una toma de decisiones y no una toma de decisiones conjunta.
Parte interesada
Persona u organizacin que puede afectar, ser afectada, o percibir que est afectada por una
decisin o actividad. Establecer cules son las partes interesadas de la gestin de un riesgo es
un elemento bsico para poder gestionarlo adecuadamente.
Apreciacin del riesgo
Proceso global que comprende la identificacin del riesgo, el anlisis de riesgos, y la evaluacin
del riesgo. La apreciacin representa la toma de conciencia de la existencia del riesgo, su
anlisis y evaluacin.
Para que un riesgo sea gestionado debe haber sido previamente apreciado. En muchos casos,
se plantea la no existencia de un riesgo, pero ste existe y no ha sido apreciado.
Pgina 11
Identificacin del riesgo
Proceso que comprende la bsqueda, el reconocimiento y la descripcin del riesgo.

La identificacin del riesgo implica la identificacin de las fuentes de riesgo, los sucesos, sus
causas y sus consecuencias potenciales.
La identificacin de los riesgos puede implicar datos histricos, anlisis tericos, opiniones
informadas y de expertos, as como las necesidades de las partes interesadas.
Fuente de riesgo
Elemento que, por s solo o en combinacin con otros, presenta el potencial de engendrar un
riesgo. La fuente de riesgo a veces tambin se denomina como factor de riesgo.
Un ejemplo de fuente de riesgo es un cuchillo ya que pude producir un corte a la persona que
lo utiliza.
Suceso
Ocurrencia o cambio de un conjunto particular de circunstancias. Un suceso puede ser nico o

repetirse, y se puede deber a varias causas. Un suceso puede consistir en algo que no se llega a
producir. Algunas veces un suceso se puede clasificar como accidente o incidente.
Un suceso sin consecuencias tambin se denomina como cuasi accidente o incidente.
Consecuencia
Resultado del suceso que afecta a los objetivos. Un suceso puede conducir a varias
consecuencias (daos financieros, daos a la reputacin, etc.).
Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o negativos sobre
la consecucin de un objetivo. Las consecuencias se pueden expresar en forma cuantitativa (la
prdida de un % de rentabilidad) o cualitativa (la prdida de imagen)
Las consecuencias inciales pueden convertirse en reacciones en cadena.
Probabilidad
Posibilidad de que algn hecho se produzca.

En gestin de riesgos probabilidad se utiliza para indicar la posibilidad de que algn hecho se
produzca, que esta posibilidad est definida, medida o determinada objetiva o subjetivamente,
cualitativa o cuantitativamente, y descrita utilizando trminos generales o de forma
matemtica (tales como una probabilidad o una frecuencia sobre un periodo de tiempo dado).
Pgina 12
Perfil de riesgo
Descripcin de cualquier conjunto de riesgos. El conjunto de riesgos puede incluir los riesgos
de toda la organizacin, o definirse de otra manera.
Por ejemplo, el perfil de riesgo de un producto que nos da los diferentes riesgos a los que est
sometido ste.
Criterios de riesgo
Trminos de referencia respecto a los que se evala la importancia de un riesgo.

Los criterios de riesgos se basan en los objetivos de la organizacin y en el contexto externo e
interno. No es igual de importante un riesgo en un determinado contexto que en otro, como
un cliente puede aceptar un riesgo de nuestro producto que otro no.
Los criterios de riesgo se pueden obtener de normas, leyes, polticas y otros requisitos.
Nivel de riesgo
Magnitud de un riesgo o combinacin de riesgos, expresados en trminos de la combinacin

de las consecuencias y de su probabilidad.
El nivel de riesgo nos lo dar la conjuncin de la probabilidad y consecuencias en funcin del
mtodo de evaluacin que adoptemos.
Evaluacin de riesgos
Proceso de comparacin de los resultados del anlisis de riesgos con los criterios de riesgo
para determinar si el riesgo y/o su magnitud son aceptables o tolerables.
La evaluacin de riesgos es un elemento bsico para la toma de decisiones sobre el
tratamiento de riesgos.
Tratamiento del riesgo
Proceso destinado a modificar el riesgo. El tratamiento del riesgo puede implicar:

Evitar el riesgo, decidiendo no iniciar o continuar con la actividad que motiva el riesgo.
Aceptar o aumentar el riesgo con objeto de buscar una oportunidad.
Eliminar la fuente de riesgo.
Cambiar la probabilidad.
Cambiar las consecuencias.
Compartir los riesgos con otra u otras partes (incluyendo los contratos y la financiacin
del riesgo).
Mantener el riesgo en base a una decisin informada
El tratamiento del riesgo pude originar nuevos riesgos o modificar los riesgos existentes.
Pgina 13
Control
Medida que modifica un riesgo. La modificacin de un riesgo puede venir a travs de

diferentes medidas o controles. Generalmente, todas ellas actan sobre la probabilidad de que
se produzca aumentndola o disminuyndola, o sobre las consecuencias, generalmente
reducindolas.
Riesgo residual
Riesgo remanente despus del tratamiento del riesgo.

Salvo que eliminemos el riesgo, las medidas de tratamiento del riesgo no lo eliminan del todo,
por ello, siempre nos queda un riesgo residual, que en la lgica debe ser aceptable para la
organizacin. Por ejemplo, podemos reducir el fallo de produccin de un equipo de un 7% a un
1%, si este valor es aceptable para la organizacin.
Seguimiento
Verificacin, supervisin, observacin o determinacin del estado con objeto de identificar de

una manera continua los cambios que se puedan producir en el nivel de desempeo requerido
o previsto. El seguimiento se puede aplicar a un marco de trabajo de gestin de riesgo, a un
proceso de gestin de riesgo, a un riesgo o al control.
Revisin
Actividad que se realiza para determinar la idoneidad, la adecuacin y la eficacia del tema
estudiado para conseguir los objetivos establecidos. La revisin se puede aplicar a un marco de
trabajo de gestin de riesgo, a un proceso de gestin de riesgo, a un riesgo o al control.
4. PRINCIPIOS
1. La gestin del riesgo crea y protege valor.
Los diferentes riesgos de la organizacin son un elemento clave para la consecucin de los
objetivos de la misma, aportndonos informacin que nos permite corregir las desviaciones
que pudieran producirse. De no gestionar adecuadamente los riesgos, la consecucin de los
objetivos es imprevisible e incluso puede llegar a ser inalcanzable.
2. La gestin del riesgo es una parte integral de todos los procesos de la organizacin.
En la mayora de los casos, la gestin del riesgo se plantea como una gestin de una parte de
la organizacin, de este modo el departamento de seguridad laboral, gestiona los riesgos de
accidente de los trabajadores, o el de seguridad de la informacin, los riesgos asociados a
ataques informticos o salida de informacin confidencial. Pero todo ellos lo hacen de forma
independiente. La gestin del riesgo no es una actividad independiente de la actividad que se
Pgina 14
desarrolla, por esto est interrelacionada con la gestin de la actividad y/o proceso y debe
integrarse en la gestin de las actividades/procesos que se desarrollen en la organizacin.
3. La gestin del riesgo es parte de la toma de decisiones.
La toma de decisiones (abrir sedes, lanzar nuevos productos/servicios, contratar personal,
etc.) genera unos riesgos que deben ser analizados como parte integrante de la toma de
decisiones. Cuando tomamos una decisin nos planteamos la posible prdida si est es
equivocada y la cuantificamos en funcin de dicha prdida, sin tener en cuenta la probabilidad.
Veremos a lo largo del manual, como el riesgo viene definido por la conjuncin de los dos
factores: consecuencia y probabilidad.
4. La gestin del riesgo trata explcitamente de la incertidumbre.
La gestin del riesgo tiene en cuenta explcitamente la incertidumbre, la naturaleza de esa
incertidumbre, y la manera en la que puede tratarse. Por ejemplo, el riesgo de impagos nace
de la incertidumbre de la capacidad de respuesta de nuestros clientes a los pagos que nos
deben realizar. Esta incertidumbre puede nacer del desconocimiento que de la capacidad
financiera tenemos de nuestros clientes, pero podemos ajustarla mediante un anlisis
financiero de nuestros clientes o el aseguramiento de los impagos.
5. La gestin del riesgo es sistemtica, estructurada y oportuna.
Sistemtica: se realiza en base a la informacin de la que disponemos (input) y tras su

anlisis nos da como resultado la aceptacin o no del riesgo (output).
Estructurada: debe realizarse de una forma ordenada y establecida en el sistema de
gestin.
Oportuna: se hace o sucede en tiempo a propsito y cuando conviene.
6. La gestin del riesgo se basa en la mejor informacin disponible.

La informacin es el input bsico de entrada en el proceso de gestin del riesgo, si la
informacin de la que disponemos no consideramos que sea suficiente no podemos iniciar la
gestin de un riesgo, ya que el resultado no tendra garantas de xito. Por ello, la calidad y
cantidad de dicha informacin debe ser suficiente.
7. La gestin del riesgo se adapta.
Los riesgos son cambiantes, ya que las circunstancias que los generan son igualmente
cambiantes, de ah que la gestin del riesgo se ha de disear de tal forma que sea capaz de
adaptarse de forma continua a los cambios. Por ejemplo, los riesgos de impago dependern en
muchos casos de la situacin econmica del entorno, la cual es continuamente cambiante.
8. La gestin del riesgo integra los factores humanos y culturales.
La gestin del riesgo debe estar integrada en la cultura de la empresa y de su gestin. El nivel
de implicacin de las partes interesadas ha de ser apropiado, sobre todo de las personas que
Pgina 15
toman las decisiones a todos los niveles de la organizacin, lo cual asegurara xito de la
gestin.
9. La gestin del riesgo es trasparente y participativa.
Los factores humanos, tanto internos como externos, son un elemento importante de la
gestin del riesgo. Por ello, la gestin del riesgo debe permitir identificar las aptitudes, las
percepciones y las intenciones de las personas externas e internas de la organizacin que
pueden influir en el logro de los objetivos de la organizacin.
Por ejemplo, en la gestin de riesgos alimentarios, tenemos riesgos adems de los posibles
riesgos del proceso de fabricacin, envasado, etc. puede verse influida por riesgos de sabotaje
internos y externos.
10. La gestin del riesgo es dinmica, iterativa, y responde a los cambios.
Toda buena gestin del riesgo debe adaptarse de forma continua a los cambios internos y
externos que pueden influir en el nivel de riesgo, por lo tanto, toda gestin del riesgo debe ser
sensible a detectar dichos cambios en funcin de los parmetros establecidos en el proceso de
gestin. Por ejemplo, si el riesgo de impagos est relacionado con la fluctuacin del PIB del
pas, debemos establecer que variacin en el PIB consideraremos debe producirse para
establecer una revisin del riesgo definido. Este proceso debe ser continuo y estar actualizado.
11. La gestin del riesgo facilita la mejora continua de la organizacin.
Cualquier organizacin tiene que funcionar con procesos de gestin que generen la mejora
continua de la organizacin, en consecuencia, dentro del proceso global de mejora continua, el
proceso de gestin de los riesgos es un elemento clave para conseguir sta.
5. EL MARCO DE TRABAJO
El marco de trabajo representa la forma en la que la organizacin debe gestionar sus riesgos, y
su integracin en todos los niveles de la organizacin. El marco de trabajo facilita una gestin
eficaz del riesgo mediante la aplicacin del proceso de gestin del riesgo.
El marco de trabajo garantiza que la informacin sobre el riesgo obtenida del proceso de
gestin del riesgo se comunica y utiliza adecuadamente como una base para la toma de
decisiones y la obligacin de rendir cuentas en todos los niveles pertinentes de la organizacin.
Pgina 16
Mandato y compromiso (4.2.)

Para que la gestin de los riesgos funcione eficaz y eficientemente debe existir un compromiso
fuerte y sostenido de la organizacin.
Este compromiso se fundamenta en:
1. El establecimiento de una poltica de gestin de riesgos. La organizacin debe
disponer de un marco de juego conocido para poder actuar, por ello, la poltica de
gestin de riesgos fija las pautas para el funcionamiento de toda la organizacin. Esta
poltica debe estar documentada y comunicada a todas las partes interesadas.
2. Asegurar que la poltica de la organizacin y la poltica de gestin del riesgo estn
alineados. La poltica no es simplemente un papel dnde se plasman directrices,
instrucciones, etc. La poltica debe estar alineada con la cultura de la organizacin ya
que de no estarlo no tendr ningn valor. En este sentido recordemos que cuando
hablamos de cultura organizacional estamos refirindonos a la forma de trabajo de la
organizacin, fundamentada en sus valores organizacionales. Si la gestin del riesgo no
representa un valor de la empresa, la gestin del riesgo no funcionar.
3. Determinar los indicadores de desempeo de la organizacin. Cmo hemos visto la
organizacin debe estar alineada en todos sus aspectos, en consecuencia sus
indicadores de desempeo igualmente. Los indicadores de desempeo de la gestin
del riesgo deben estar alineados con el resto de los indicadores. Recordemos que los
indicadores de desempeo son aquellos que nos dan informacin del cumplimiento
del sistema y su adecuacin a las necesidades.
4. Alinear los objetivos de la gestin del riesgo con los objetivos y estrategia de la
organizacin. Los objetivos, al igual que todos los aspectos de la gestin empresarial
deben estar alineados con el resto de objetivos de la organizacin.
5. Asegurar el cumplimiento legal y reglamentario. El incumplimiento de los aspectos
reglamentarios generara un riesgo para la organizacin, pero dicho riesgo slo puede
ser gestionado con el cumplimiento de los requisitos reglamentarios. Por ejemplo, si la
normativa de seguridad y salud en el trabajo me obliga a cumplir un requisito, no
puedo evaluar el riesgo que se asume por su incumplimiento, simplemente debe
cumplirse.
6. Asignar la obligacin de rendir cuentas y las responsabilidades que corresponden a los
diferentes niveles de la organizacin. Para que la organizacin funcione en relacin
con la gestin del riesgo, todos sus miembros deben conocer cules son sus funciones
y responsabilidades en la gestin de los riesgos. No deben quedar zonas mal
delimitadas entre los distintos departamentos y/o personas que componen la
organizacin.
7. Asegurar que la gestin del riesgo tiene los recursos necesarios. Si no existen recursos
econmicos y humanos es imposible desarrollar una adecuada gestin de los riesgos.
La direccin debe garantizar que los recursos disponibles son los necesarios y que son
suficientes.
Pgina 17
8. Comunicar los beneficios de la gestin del riesgo a todas las partes interesadas. Si
queremos implicar a las diferentes partes interesadas debemos comunicarle los
beneficios que podemos obtener de la gestin del riesgo.
9. Asegurar que el marco de trabajo para gestionar el riesgo es adecuada. El marco de
trabajo puede requerir cambios en funcin de los propios cambios de la organizacin o
de cambios externos que le puedan afectar.
Compromiso de la organizacin y de su contexto (4.3.1)

El marco de trabajo debe ser diseado de acuerdo a las necesidades de la organizacin y su
contexto, por ello, debe definirse ste previamente al diseo del marco de trabajo. Para ello
debemos realizar una evaluacin del contexto externo e interno de la organizacin.
Evaluacin del contexto externo
La evaluacin del contexto externo de la organizacin debe incluir, como mnimo:
1) El entorno social y cultural, poltico, legal, reglamentario, financiero, tecnolgico,
econmico, natural y competitivo, a nivel internacional, nacional, regional o local.
2) Los factores y las tendencias que tienen impacto sobre los objetivos de la
organizacin.
3) Las relaciones con las partes interesadas (previamente deberemos definirlas).
Evaluacin del contexto interno
La evaluacin del contexto interno debe incluir:
1) La estructura organizativa
2) Las funciones y responsabilidades
3) Las aptitudes, entendidas en trminos de recursos y conocimientos (por ejemplo,
capital, tiempo, personas, procesos, sistemas y tecnologas)
4) Los sistemas de informacin, los flujos de informacin y los procesos de toma de
decisin (tanto formales como informales)
5) Las relaciones con las partes interesadas, sus percepciones y sus valores.
6) La cultura de la organizacin
7) Las normas, directrices y modelos adoptados por la organizacin.
Pgina 18
Establecimiento de la poltica de gestin del riesgo (4.3.2)

La poltica de gestin del riesgo debe indicar claramente los objetivos y el compromiso de la
organizacin, y deber incluir cmo mnimo:
1) Las razones de la organizacin en materia de gestin del riesgo (por qu gestionamos
los riesgos?)
2) La relacin entre los objetivos y las polticas de la organizacin y la poltica de gestin
del riesgo.
3) Las obligaciones de rendir cuentas y las responsabilidades en la gestin del riesgo.
4) La manera en la que se tratan los intereses que entran en conflicto.
5) El compromiso de mantener los recursos necesarios.
6) La manera en la que se mide e informa sobre el desempeo de la gestin del riesgo.
7) El compromiso de revisin y mejora de la poltica y el marco de trabajo, tanto
peridicamente como consecuencia de un suceso.
Obligacin de rendir cuentas (4.3.3.)
La organizacin debe definir la obligacin de rendir cuentas, la autoridad y las competencias
apropiadas para gestionar el riesgo, para ello debe:
1. Identificar los dueos del riesgo que tiene la responsabilidad y autoridad para
gestionar los riesgos.
2. Identificar quienes tienen obligacin de rendir cuentas del desempeo, la
implementacin, y el mantenimiento del marco de trabajo.
3. Identificar las responsabilidades de las personas, a todos los niveles de la
organizacin.
4. El establecimiento de los proceso de medicin del desempeo y de informacin
externa y/o interna y el proceso de informacin a nivel superior.
5. El establecimiento de los niveles de reconocimiento adecuado.
Integracin de los procesos de organizacin (4.3.4.)
La gestin del riesgo debe integrarse en todos los procesos de la organizacin, de una
manera relevante, eficaz y eficiente, por ello, el proceso de gestin del riesgo debe formar
parte de todos los procesos de la organizacin y, en particular, en los procesos de gestin del
cambio. Para ello debe existir un plan de gestin del riesgo que debe integrarse dentro del
plan de gestin estratgico de la organizacin.
Recursos (4.3.5)
La organizacin debe contar con los recursos materiales, econmicos y humanos, para ello
debe tener en cuenta:
Las personas que la componen, las habilidades, la experiencia y las competencias.

Los recursos necesarios para cada etapa del proceso de gestin del riesgo.
Pgina 19
Los procesos de la organizacin, los mtodos y las herramientas que utiliza para la gestin del
riesgo.
Los procesos y procedimientos adecuados.

Los sistemas de gestin de la informacin y del conocimiento.
Los programas de formacin.
Establecimiento de mecanismos internos de comunicacin e informacin (4.3.6)

La organizacin deber contar con mecanismos de comunicacin e informacin internos.
Estos mecanismos deben apoyar y fomentar la obligacin de rendir cuentas y la propiedad del
riesgo, para lo cual deben garantizar:
La comunicacin adecuada de los componentes clave del marco de gestin del riesgo,
incluyendo sus modificaciones.
Los resultados de los informes internos sobre el marco de trabajo su eficacia y sus
resultados.
La disponibilidad de la informacin adecuada obtenida de la aplicacin de la gestin
del riesgo en los niveles y tiempos adecuados.
La existencia de procesos para realizar consultas con las partes interesadas.
Establecimiento de mecanismos externos de comunicacin e informacin (4.3.7)

Debe existir un plan de comunicacin con las partes interesadas externas, el cual debe incluir
cmo mnimo la participacin de las partes externas apropiadas, en cada caso, asegurndose
el intercambio eficaz de informacin.
El establecimiento de informes externos conforme con los requisitos legales y reglamentarios
La disponibilidad de retroalimentacin y de informe sobre comunicacin y consulta.

La utilizacin de comunicaciones para generar confianza en la organizacin.
La comunicacin a las partes interesadas en caso de crisis contingencias.
Implementacin de la gestin del riesgo

El sistema de gestin del riesgo debe ser implementado en la organizacin para ello debe:
1.
2.
3.
4.
Implementar el marco de trabajo de la gestin de riesgos.

Implementacin del proceso de gestin del riesgo.
Seguimiento y revisin del marco de trabajo.
Mejora continua del marco de trabajo.
Pgina 20
Los pasos a dar para implementar el marco de trabajo son:
Seguimiento y medicin del marco de trabajo.

Con los resultados de la revisin del marco de trabajo se debe analizar cmo se puede
mejorar el mismo, para lo cual se debe revisar:
El marco de trabajo.
La poltica de gestin del riesgo.
El plan de gestin del riesgo.
Mejora continua del marco.
Con objeto de asegurar que el sistema de gestin del riesgo es eficaz y contribuye a ayudar el
desempeo de la organizacin, se debe:
1. Medir el desempeo de la gestin del riesgo en base a indicadores.
2. Medir peridicamente el progreso y desviaciones respecto al plan de gestin del
riesgo.
3. Revisar de forma peridica si el marco de trabajo, la poltica y el plan de gestin del
riesgo siguen siendo apropiados en funcin de los cambios del contexto interno y
externo.
4. Revisar la eficacia del marco de trabajo de gestin del riesgo.
Pgina 21
PROCESO PARA LA APRECIACIN DEL RIESGO

La finalidad de la apreciacin del riesgo tiene por objeto proporcionar evidencias basadas en
informacin y anlisis para tomar decisiones informadas sobre cmo tratar riesgos particulares
y como hacer seleccin entre distintas opciones.
Como parte del marco de trabajo, la organizacin deber disponer de una poltica y estrategia
para deducir cmo y cundo se debera realizar la apreciacin de los riesgos.
Los responsables de la realizacin de la apreciacin de los riesgos debera tener claro lo
relativo a:
El contexto y los objetivos de la organizacin.

El alcance y los tipos de riesgo que son tolerables, as como la frecuencia en que deben
tratarse los riesgos inadmisibles.
La forma en que la apreciacin del riesgo se integra en los proceso de la organizacin.
Los mtodos y las tcnicas que se utilizan para la apreciacin del riesgo y su
contribucin al proceso de gestin del riesgo.
Las competencias, responsabilidades y autoridad para la apreciacin del riesgo.
Los recursos disponibles para la apreciacin del riesgo.
Cmo se informar y comunicar la apreciacin del riesgo.
Comunicacin y consulta
El xito de la apreciacin del riesgo depende del establecimiento de consultas eficaces con las
partes interesadas.
Esto es consecuencia de que un riesgo es cierto para una organizacin en funcin de lo que
signifique dicho riesgo para las partes interesadas.
Por ejemplo, si una empresa tiene el riesgo de no poder entregar sus mercancas en el plazo
establecido al cliente, deberamos preguntarles a nuestros clientes, cunto tiempo de retraso
admitiran? Si el plazo que nos indica el cliente es 10 das, nuestra capacidad de riesgo es 10
das y todo aquel factor de riesgo que pueda generar un retraso de 10 o ms das deben ser
reducidos.
Sin esta informacin no podremos realizar una adecuada apreciacin del riesgo.
Las partes interesadas nos ayudan a:
1. Definir el contexto de forma adecuada.
2. Asegurar que los requisitos de las partes interesadas se comprenden y se tienen en
consideracin.
3. Asegurar que los riesgos se identifican a adecuadamente.
Pgina 22
Establecimiento del contexto

El establecimiento del contexto define los parmetros bsicos para la gestin de los riesgos y
establece los criterios para el resto del proceso.
El establecimiento del contexto incluye la apreciacin de los parmetros internos y externos
aplicables a la organizacin, as como de los antecedentes de los riesgos particulares sobre los
que se realiza la apreciacin del riesgo. Los criterios los podremos fijar en muchos casos
respondiendo a preguntas como:
Qu tiempo puede aguantar la empresa sin ingresos?

Qu tolerancia de error me permiten mis clientes?
Qu nivel de rechazo tienen mis clientes?
El retraso en la entrega es un problema para la empresa?
Cunto me puedo retrasar en las entregas sin tener un nivel de reclamaciones
superior al 1%?
Teniendo en cuenta, a su vez la poltica y los objetivos del sistema de calidad.
Establecimiento del contexto externo
Implica la familiarizacin con el entorno externo dnde la organizacin funciona, incluyendo:

1.
2.
3.
4.
5.
Factores polticos, culturales, sociales, etc.

Reglamentos y legislacin.
Entorno econmico.
Tendencias del mercado.
Percepcin de las partes interesadas.
Establecimiento del contexto interno.
Implica:
1.
2.
3.
4.
5.
6.
Las capacidades de la organizacin en trminos de recursos y conocimientos.

El flujo de informacin y el proceso de decisin.
Las partes interesadas internas.
Los procesos.
Las normas y los modelos de referencia adoptados por la organizacin.
La estructura de la organizacin.
Pgina 23
Criterios de riesgo
La definicin de los criterios de riesgo implica:
La naturaleza y los tipos de consecuencias a incluir y la manera de medirlas.

La manera de expresar la probabilidad.
La manera de determinar el nivel de riesgo.
Los criterios para decidir cundo un riesgo necesita tratamiento.
Los criterios para decidir cundo un riesgo es aceptable y/o tolerable.
Cmo se tendrn en cuenta las combinaciones de riesgos.
Los criterios se pueden basar en fuentes tales como:
Los objetivos de procesos acordados.

Los criterios identificados en las especificaciones.
Las fuentes de datos generales.
Los criterios de la industria aceptados normalmente, tales como los niveles de
seguridad integral.
El apetito de los riesgos de la organizacin.
Los requisitos legales.
Proceso de apreciacin del riesgo

La apreciacin del riesgo es el proceso global de identificacin, anlisis y evaluacin del
riesgo. Los riesgos pueden apreciarse a nivel organizacin, a nivel departamento, proyecto, por
actividades individuales o riesgos especficos.
Pgina 24
Identificacin del riesgo

La identificacin de los riesgos es el proceso por el que descubre, reconocen y registran los
riesgos.
La finalidad de la identificacin de los riesgos es definir los sucesos y las situaciones que
pudiesen presentarse y poner en riesgo los objetivos de la organizacin.
El proceso de identificacin de los riesgos incluye la identificacin de las causas o factores de
riesgo y del origen del riesgo.
Los mtodos de identificacin de los riesgos incluyen, entre otros:
Mtodos basados en evidencias como la revisin de datos histricos.

El anlisis por un grupo de expertos de forma sistmica: conjunto estructurados de
proposiciones o preguntas: qu pasara si?
Tcnicas de razonamiento inductivo.
La mejor forma de identificar los riesgos es a travs del anlisis de los procesos.
Para ello:
Debemos preguntarnos para cada proceso qu factores pueden hacer que no se cumplan los
objetivos del proceso o cuales pueden ser las consecuencias de que se plasmen dichos
factores.
Pgina 25
Por ejemplo, en un proceso de compras podemos identificar el riesgo:
Pero este riesgo puede deberse a varias causas que debemos analizar y valorar
posteriormente la probabilidad de que se manifiesten.
En procesos complejos, este anlisis podemos hacerlo para cada una de las tareas o fases del
proyecto, es decir identificamos las causas o factores que pueden hacer que la tarea no se
realice adecuadamente.
Anlisis del riesgo
El anlisis de los riesgos implica desarrollar una comprensin del riesgo, proporcionando un
elemento de entrada para la apreciacin del mismo y la toma de decisiones correspondientes.
De este modo el anlisis del riesgo consiste en determinar las consecuencias y las
probabilidades de que las consecuencias puedan suceder, para lo cual se han de identificar los
factores que puedan afectar a dichas consecuencias y probabilidades. Adems se deben tener
en cuenta los controles de riesgo existentes, es decir los controles que ya estamos aplicando.
Pgina 26
Mtodos de Evaluacin
Los diferentes mtodos de evaluacin pueden ser cualitativos, semicuantitativos o
cuantitativos.
La apreciacin cualitativa define las consecuencias, la probabilidad y el nivel de riesgo, se

identifican con trminos como: alto, medio y bajo y puede combinar las consecuencias y
la probabilidad y evaluar el nivel de riesgo resultante en funcin de criterios cualitativos.
Deben quedar explicados con claridad los trminos empleados y deben registrar la base
establecida para todos los criterios.
Pgina 27
Los mtodos semicuantitativos utilizan escalas de valoracin numrica para las consecuencias
y las probabilidad, y las combinan para determinar un nivel de riesgo aplicando una formula.
El anlisis cuantitativo estima valores realistas para las consecuencias y sus probabilidades, y
obtiene valores del nivel de riesgo en unidades especficas definidas cuando se desarrolla el
contexto.
Para la realizacin del anlisis de riesgos debemos tener en cuenta:

1.
2.
3.
4.
El anlisis preliminar.
Los controles.
Las consecuencias.
Las probabilidades.
Pgina 28
Anlisis preliminar
Los riesgos se pueden filtrar con objeto de identificar los ms importantes, o para excluir los
riesgos menos significativos, con el fin de dirigir los recursos a los riesgos ms importantes.
Para ello se debera establecer los riesgos insignificantes que no justifican su tratamiento
(mnimas probabilidades y consecuencias y que de materializarse no representan ningn
problema para la organizacin), por ejemplo, todos los riesgos cuyo coste econmico sea
inferior a XXXX euros.
Los controles
El nivel de riesgo depende de los controles y la eficacia de estos existentes previamente al
anlisis. Para ello, debemos preguntarnos: Cules son los controles existentes para un
determinado riesgo? Por ejemplo, una fbrica tiene un grupo electrgeno propio que le
permite seguir funcionando aunque se corte el suministro de la compaa.
El elemento de control es el grupo electrgeno.
Pueden estos controles tratar adecuadamente el riesgo, de manera que quede controlado
hasta un nivel que se considere tolerable?
En el ejemplo anterior, si para la empresa no es problema funcionar slo al 80% el riesgo est
controlado. El nivel de tolerabilidad de la empresa es el 80%.
En la prctica, funcionan los controles de la manera prevista y son eficaces?
Cundo cae la corriente elctrica de la compaa se pone automticamente en
marcha el grupo electrgeno?
Realmente funciona la fbrica al 80%?
Deben existir evidencias objetivas para valorarlo, por ejemplo, se prueba el grupo cada 15 das
y nunca ha fallado, hemos hecho una prueba de la fbrica al 80%, etc.
Pgina 29
Los controles actan reduciendo la probabilidad o las consecuencias, o ambas

simultneamente.
Cuando ponemos una barandilla en la terraza de un tercer piso, respecto al suceso de caerse al
vaco sin barandilla, hemos reducido la probabilidad de caerse respecto a si esta no existiera,
pero no hemos actuado sobre las consecuencias, ya que si alguien se cae (por sentarse en la
barandilla), las consecuencias son las mismas que sin barandilla.
Cuando un trabajador que est colocando tejas en un tejado trabaja con un arns, hemos
reducido las consecuencias, pues si se cae el arns mitigar las mismas, pero no hemos
modificado la probabilidad de resbalar del trabajador por colocarse el arns.
Las consecuencias.
El anlisis de las consecuencias determina la naturaleza y tipo de impacto que se podra
producir asumiendo que se ha producido un suceso, situacin o circunstancia particular.
El anlisis de las consecuencias puede ir desde una somera descripcin hasta un modelo
cuantitativo.
Pgina 30
En los modelos cualitativos debe quedar claro el concepto de cada uno de los criterios.
Muchas veces es importante analizar por separado los riesgos de consecuencias graves y
consecuencias leves. Un factor a tener en cuenta es la frecuencia. Por ejemplo, un problema
frecuente pero de bajo impacto (consecuencia) puede tener efectos grandes por acumulacin
o efectos a largo plazo.
Las probabilidades
Para estimar la probabilidad se utilizan tres enfoques, individualmente o en conjunto:
Uso de datos histricos
Los datos deben ser fiables y estar registrados durante un plazo que les haga representativos.
Si los datos histricos existentes muestran que la frecuencia de que el suceso ocurra es muy
baja, cualquier estimacin de la probabilidad es muy incierta. Esto se aplica especialmente
cuando la posibilidad de que el evento ocurra es cero, cuando no se puede asumir que el
suceso, situacin o circunstancia no ocurrir en el futuro.
Pronsticos de probabilidad
Cuando los datos histricos no son suficientes o fiables, es necesario obtener la probabilidad
mediante el anlisis del sistema, actividad, equipo, instalacin, etc. Los pronsticos de
probabilidad utilizan tcnicas de prediccin tales como el anlisis del rbol de fallos y el anlisis
del rbol de sucesos, entre otros.
La opinin de un experto
Un experto en procesos, actividades, etc. puede establecer la probabilidad en base a su

experiencia y los posibles datos que pueda obtener de la organizacin.
Evaluacin de riesgos
La evaluacin de riesgos implica la comparacin de niveles estimados de riesgos con los
criterios de riesgo definidos cuando se estableci el contexto, con objeto de determinar la
importancia del nivel y tipo de riesgo.
Pgina 31
El proceso de evaluacin tiene como salidas:

1. Los riesgos que necesitan tratarse.
2. Las prioridades de tratamiento.
3. Cmo se va a realizar el tratamiento.
Los criterios para la toma de decisiones se establecieron al definir el contexto. La decisin
sobre si se debe tratar el riesgo y de cmo tratarlo, puede depender de los costes y el
beneficio de implantar controles mejorados.
Un enfoque comn consiste en dividir los riesgos en tres grupos:
Banda superior
El nivel de riesgos se considera intolerable, cualesquiera que sean los beneficios que la
actividad pueda proporcionar, y dnde, el tratamiento del riesgo es esencial cualquiera que
sea su coste.
Banda media
Dnde los costes y los beneficios se tienen en cuenta y las oportunidades se compensan con
respecto a las consecuencias potenciales.
Banda inferior
Dnde el nivel de riesgos se considera insignificante o tan pequeo que no es necesario tomar
medidas para el tratamiento del riesgo.
Esquema del proceso

Probablemente, llegados a este punto nos hemos podido perder en el desarrollo del proceso,
por ello a continuacin incluimos el esquema del proceso y veremos un ejemplo que nos
ayudar a fijar los conceptos.
Pgina 32
Planificacin y respuesta al riesgo

Una vez analizados y priorizados los riesgos del proyecto, es preciso proceder a su tratamiento,
seleccionado para cada riesgo aquella estrategia de respuesta que tenga mayores
posibilidades de xito. Estas estrategias son:
Eliminacin
Consiste en eliminar la amenaza eliminando la causa que puede provocarla.
Transferencia
La transferencia del riesgo busca trasladar las consecuencias de un riesgo a una tercera parte
junto con la responsabilidad de la respuesta.
Mitigacin
Busca reducir la probabilidad o las consecuencias de sucesos adversos a un lmite aceptable

antes del momento de activacin. Es importante que los costos de mitigacin sean inferiores a
la probabilidad del riesgo y sus consecuencias.
Mitigar riesgos consiste en actuar para reducir su impacto si finalmente ocurren. Algunas
acciones de mitigacin deben preceder a la materializacin. Considere el riesgo de incendio en
un colegio. Mientras sea slo un riesgo (una cosa mala que puede ocurrir o no), usted no est
obligado a hacer nada al respecto. Pero cuando se materializa, el riesgo cambia de ser
meramente una abstraccin a una crisis de la vida real. Ahora usted debe actuar.
Pgina 33
Pero si no ha trabajado previamente la preparacin, algunas cosas que ms desesperadamente

quiere hacer ahora no van a ser posibles. A usted le encantara tener extintores de incendios,
pero nadie hizo el trabajo preparatorio para comprarlos, cargarlos y colocarlos. Usted necesita
un timbre para avisar a los nios, pero ninguno fue instalado. Le gustara que los nios hicieran
una evacuacin perfecta, pero nadie les enseo cmo hacerlo.
El plan de mitigacin debe preceder a la materializacin.
Dado que el trabajo pre-materializacin es necesario para que una mitigacin efectiva sea
posible, ha de haber un plan, aunque slo sea para saber qu mitigacin hacer y qu
preparacin requerir.
En el caso de un incendio en un colegio, usted naturalmente ya saba el trabajo que debe
anticiparse. Lo que no es tan obvio es que la mitigacin de los riesgos de su negocio tambin
requiere trabajo previo. Debe de estar intelectualmente claro, pero hay una tendencia
inquietante a ignorar este trabajo de pre-materializacin porque viola una regla no escrita: No
trabajes en lo que a lo mejor no es necesario.
Esto es particularmente cierto en la gente bajo presin (y quin no est bajo presin?).
Pnganle a un director de proyectos una fecha lmite ajustada y l o ella razonarn: Bien, voy
a tener que esprintar una o dos veces durante el camino para finalizar a tiempo. Ante un
plazo tan agresivo, esprintar se convierte en una parte integral del plan. En un calendario
planificado para el xito no hay tiempo para trabajos que pueden no ser necesarios, esos
que nos auto-convencemos de que no habr que hacer porque los sprint los harn
innecesarios.
El mnimo trabajo de pre-materializacin para cada riesgo es esbozar un plan de respuesta a
los riesgos. Recuerde que estas actividades de mitigacin pueden terminar finalmente en el
camino crtico, y preste atencin a que todos los requisitos de las actividades predecesoras
sean satisfechos, por si ocurren.
Aceptacin
Esta estrategia se utiliza cuando se decide no actuar contra el riesgo antes de su activacin. La
aceptacin puede ser activa o pasiva.
La primera incluye el desarrollo de un plan de contingencia que ser ejecutado si el riesgo
ocurre.
La aceptacin pasiva no requiere de ninguna accin, dejndose en manos del equipo de
proyecto la gestin del riesgo si este llegara a materializarse.
Para cada riesgo se deber nombrar a un responsable de implementar la estrategia elegida
segn un plan predefinido. Como consecuencia de esta implantacin pueden aparecer riesgos
residuales y riesgos secundarios.
Pgina 34
Los riesgos residuales son aquellos que permanecen despus de implementar las respuestas al
riesgo.
Los riesgos secundarios son los riesgos que pueden aparecer como consecuencia de la
implementacin de la respuesta a un riesgo. Deben ser gestionados de igual manera a los
riesgos primarios, planificando sus respuestas.
Caso prctico
Una empresa de distribucin de productos farmacuticos hace los envos a travs de una
empresa de Courier con un compromiso con el cliente de entregar los libros en 48 horas
despus de la compra.
Normalmente la empresa entrega los productos en 12 horas, pero analizando los datos de los
tres ltimos aos, ha observado que cuando la entrega se hace en ms de 24 horas, por
cualquier circunstancia, los clientes se quejan cuando la entrega se hace en ms de 36 horas y
anulan el pedido cuando el plazo supera los 72.
Caso: Analizar los riesgos de no entregar en plazo los libros.
De los datos anteriores deducimos:
El apetito de riesgo de la empresa se fija en 24 horas.

La tolerancia al riesgo es 36 horas.
La capacidad de riesgo es de 72 horas.
Identificacin de riesgos
La empresa tiene que analizar todos aquellos factores que pueden hacer que la entrega supere
las 24 horas, las 36 horas y las 72 horas. Lo tenemos que hacer por separado ya que en funcin
del tiempo variara la importancia del riesgo.
Debemos identificar por separado los riesgos de origen interno y externos.
Los riesgos externos encontrados han sido:
Huelga en la empresa de Courier

Huelga en el sector de transportes.
Climatologa.
Datos de entrega mal indicados por el comprador.
Y los internos:
Huelga en la empresa.
Perdida del pedido.
Error en la direccin de envo.
Pgina 35
Una vez definidos los riesgos, debemos trabajar sobre cada uno de ellos por separado. Para
este caso vamos a centrarnos en el riesgo externo de huelga en la empresa de distribucin.
Con los datos que la empresa cuenta sobre su proveedor, el entorno social, etc. valora que la
probabilidad de huelga en la empresa de Courier es del 15%, valorando una estimacin mnima
de tiempo de huelga de 7 das.
En consecuencia, como resultado de una posible huelga, la probabilidad de superar la
capacidad de riesgo es de un 15%.
Si para evaluar el riesgo utilizamos una matriz de cuatro por cuatro y asignando:
Consecuencias = Fatal
Probabilidad = Probable
Nos encontramos con un riesgo "Moderado" (MO), por lo que tendremos que tratar le riesgo.
Como hemos visto una forma de tratar el riesgo es disminuir las probabilidades y las
consecuencias.
En este caso, no podemos reducir las consecuencias ya que stas estn relacionadas con la
entrega tarde que se produce.
Por eso, actuamos sobre las probabilidades.
Para reducir la probabilidad lo que la empresa hace es trabajar con dos empresas de Courrier,
de tal forma que si una falla, deriva la totalidad de entregas a la otra.
Pgina 36
Aplicando las reglas de probabilidades la probabilidad de que las dos empresas estn de
huelga simultneamente ser el producto de las probabilidades de cada una de ellas (0,2% y
0,2%) lo que nos da un probabilidad de un 0,04%.
Volviendo a utilizar la matriz de riesgos, en este caso:
Consecuencias = Fatal
Probabilidad = Poco probable
Nos encontramos con un riesgo "Tolerable" (TO), por lo que el riesgo es aceptable ya que se
encuentra dentro de nuestro apetito al riesgo.
De la misma forma podemos ir reduciendo el riesgo, contratando ms de dos empresas de
distribucin ya que la probabilidad final evolucionara de acuerdo a la siguiente frmula:
P = Pempresa1 x Pempresa2 x . x Pempresa N
De tal forma que aumentando el nmero de empresas de distribucin, la probabilidad del
riesgo tiende a cero. La empresa tiene que elegir entre el nivel de riesgo que acepta y el
nmero de empresas con las que pude gestionarse de forma aceptable.
Suponiendo que la empresa no puede gestionar de forma habitual adecuadamente ms de 3

empresas, la reduccin mxima de la probabilidad es del 0,08%.
Pgina 37
No obstante de este anlisis, al utilizar dos empresas, debemos tener en cuenta el riesgo de
huelga en todo el sector (valorada en un 3% de probabilidad). Por lo que debemos tener en
cuenta al calcular el valor del riesgo, la probabilidad del 4% y no la probabilidad de 0,04%
calculada anteriormente.
No obstante, como el 3% lo seguimos considerando como "Poco probable", el riesgo sigue
siendo tolerable, es decir aceptable.
Si volvemos al grfico, aplicando el 3%, vemos que es superior a la probabilidad de trabajar con
tres empresas, por lo que dado que hemos valorado la probabilidad en el 3% no tiene sentido
trabajar con una tercera empresa ya que complica la gestin y no reduce el riesgo que, como
consecuencia de las posibles huelgas de todo el sector de distribucin est en el 3%.
Pgina 38
TCNICAS PARA LA APRECIACIN DEL RIESGO

Las tcnicas de apreciacin del riesgo se pueden clasificar de varias maneras para comprender
sus cualidades relativas a la solidez y de debilidad.
La primera clasificacin muestra cmo se aplican las tcnicas en cada etapa del proceso de
apreciacin del riesgo, como sigue:
Identificacin del riesgo.

Anlisis de riesgos anlisis de consecuencias.
Anlisis de riesgos anlisis de la probabilidad.
Anlisis de riesgos evaluacin eficacia controles.
Anlisis de riesgos estimacin del nivel de riesgo.
Evaluacin de riesgos.
Criterios para seleccionar un determinado mtodo
La complejidad del problema y de los mtodos que se necesitan para analizarlos.

La naturaleza y el grado de incertidumbre de la apreciacin del riesgo, basadas en la
cantidad de informacin disponible y que se refiere para satisfacer los objetivos.
La amplitud de los recursos requeridos en funcin del tiempo y del nivel de
conocimiento tcnicos, de las necesidades de datos y el coste.
Si el mtodo proporciona un resultado cuantitativo.
Pgina 39
Herramientas
En las siguientes tablas puedes ver la adecuacin de cada mtodo a cada una de las fases del
proceso. Cada mtodo se clasifica en No aplicable (NA), aplicable (A) y muy aplicable (MA) en
funcin de los atributos.
Pgina 40
Tormenta de ideas
Consiste en reunir a un conjunto de personas conocedoras de la organizacin, del sistema, el
proceso, etc. que vamos a analizar. Es muy til para la identificacin de los riesgos, pero no es
vlida para el resto del proceso, o lo que hay que complementarla con otras herramientas.
Pgina 41
Las nuevas tecnologas permiten desarrollar tormentas de ideas en red.
HAZOP
HAZOP (Estudios de Riesgos y Operabilidad) es un mtodo basado en un equipo bien
estructurado y experimentado para la identificacin de riesgos no previstos en el diseo del
proceso o en posteriores modificaciones. La tcnica consiste en realizar un examen detallado
del proceso y de la ingeniera en instalaciones nuevas o existentes para evaluar los riesgos
potenciales de las operaciones no previstas en el diseo, o el mal funcionamiento de los
equipos y la consecuencia de sus efectos en una instalacin y entorno.
Pgina 42
El HAZOP es liderado por un auditor experimentado. Para un proyecto, el equipo HAZOP

incluye habitualmente personal de Procesos, Instrumentacin, Mquinas, Ingeniera de
Proyecto y Operaciones, y puede requerir tambin la participacin de tecnlogos de proceso,
especialistas ambientales y personal corporativo de Salud y Seguridad y Medio Ambiente en
determinadas fases del estudio. La identificacin minuciosa de riesgos es la piedra angular de
Pgina 43
la gestin efectiva de riesgos, si un riesgo no ha sido identificado entonces no se pueden

implementar las medidas para mitigar el mismo. Si un riesgo ha sido pasado por alto puede
tener un impacto significativo en el xito total de la operacin. El HAZOP cubre seguridad,
medio ambiente, operaciones y mantenimiento. Un anlisis detallado suele consumir muchos
recursos y tiempo, por lo que es un mtodo costoso.
Qu pasara s?
Es una metodologa de lluvia de ideas en la cual un grupo de personas familiarizadas con el
proceso a analizar se realizan preguntas a cerca de un suceso que comienzan con la frase
Qu pasara si ..?, Su estructura es la del mtodo HAZOP simplificado, por ello se utiliza en
procesos poco complejos.
El coordinador del grupo debe haber preparado una batera de preguntas sobre el proceso que
va a ser analizado, comenzando desde el inicio del proceso y recorrindolo totalmente
El resultado nos da todos los posibles peligros, el nivel de riesgo y los posibles controles.
El coordinador del grupo debe haber preparado una batera de preguntas sobre el proceso que
va a ser analizado, comenzando desde el inicio del proceso y recorrindolo
El resultado nos da todos los posibles peligros, el nivel de riesgo y los posibles controles.
Pgina 44
Anlisis de impacto en el negocio (BIA).

El propsito fundamental del Anlisis de Impacto sobre el negocio, conocido ms comnmente
como BIA, (Business Impact Anlisis) es determinar y entender qu procesos son esenciales
para la continuidad de las operaciones y calcular su posible impacto. Este proceso es parte
fundamental dentro de la elaboracin de un Plan de Continuidad del Negocio.
De acuerdo al Business Continuity Institute se tienen cuatro objetivos principales al realizar un

anlisis de impacto:
Entender los procesos crticos que soportan el servicio, la prioridad de cada uno de
estos servicios y los tiempos estimados de recuperacin (RTO).
Determinar los tiempos mximos tolerables de interrupcin (MTD).
Apoyar el proceso de determinar las estrategias adecuadas de recuperacin.
Clasifica los procesos en:

CRTICOS
Funciones que pueden realizarse slo si las capacidades se reemplazan por otras
idnticas.
No pueden reemplazarse por mtodos manuales.
Muy baja tolerancia a interrupciones.
VITALES
Pueden realizarse manualmente por un periodo breve.

Costo de interrupcin un poco ms bajos, slo si son restaurados dentro de un tiempo
determinado (5 menos das, por ejemplo).
SENSITIVOS
Funciones que pueden realizarse manualmente por un periodo prolongado a un costo

tolerable.
El proceso manual puede ser complicado y requerira de personal adicional.
Pgina 45
NO CRTICOS
Funciones que pueden interrumpirse por tiempos prolongados a un costo pequeo o

nulo.
El anlisis de impacto sobre el negocio, est basado en escenarios catastrficos que al darse su
ocurrencia impactaran la infraestructura y procesos que soporta la organizacin.
Anlisis de causa raz (RCA)
Es un mtodo reactivo ya que realiza las causas de un suceso que se ha manifestado para
establecer sus causas y en particular su causa principal o causa.
Las tcnicas de anlisis estructurados ms habituales son:
Los llamados 5 porqus, o preguntarse repetidamente porque hasta llegar a la

causa que ni tiene una causa primaria.
Anlisis de modos de fallos y efectos.
Anlisis del rbol de fallos.
Diagrama de espina de pescado o de Ikisawa.
Anlisis de pareto.
Pgina 46
Generalmente la evaluacin de las causas va desde causas fsicas inicialmente evidentes hasta
causas relacionadas con las personas, y finalmente hasta las causas subyacentes o causa
fundamentales.
Anlisis del rbol de fallos (FTA)
El FTA es una tcnica para identificar y analizar factores que pueden contribuir a un suceso
especificado no deseado. Los efectos casuales se identifican deductivamente, se organizan en
una manera lgica y se reflejan grficamente mediante un diagrama de rbol.
Pgina 47
Anlisis del rbol de sucesos (ETA).

El anlisis ETA es una tcnica grfica para la representacin de secuencias mutuamente
exclusivas de sucesos que siguen a un suceso iniciador de acuerdo con el funcionamiento/no
funcionamiento de los diversos sistemas diseados para mitigar las consecuencias.
Anlisis de causa-consecuencia.
Es una combinacin del anlisis del rbol de fallos y el anlisis del rbol de sucesos. Comienza a
partir de un suceso crtico y analiza las consecuencias a partir de una combinacin de salidas
lgicas SI/NO que representan las condiciones que pueden ocurrir o los fallos de las medidas
implantadas para mitigar las consecuencias del suceso.
Pgina 48
Pgina 49
Anlisis de causa y efecto.

El anlisis de causa y efecto tambin llamado de Ishikawa o de espina de pescado, se trata de
un diagrama que por su estructura ha venido a llamarse tambin: diagrama de espina de pez.
Consiste en una representacin grfica sencilla en la que puede verse de manera relacional
una especie de espina central, que es una lnea en el plano horizontal, representando el
problema a analizar, que se escribe a su derecha.
Pgina 50
Anlisis de capas de proteccin (LOPA).

La metodologa (LOPA) para evaluacin de riesgos es un mtodo que provee una evaluacin
consistente y sistemtica para determinar potenciales asociados en escenarios inaceptables en
los procesos evaluados, adicionando proteccin para llevar al proceso a una frecuencia de
ocurrencia aceptable (AFO). sta metodologa se basa en la informacin generada del Anlisis
Preliminar de Riesgos (PHA) y es usada en proyectos nuevos o existentes y/o modificaciones
mayores de acuerdo al ciclo de vida del SIS (ANSI/ISA S84.01).
Matrices de consecuencia
Las matrices de consecuencia-probabilidad es un medio de combinar clasificaciones
cualitativas y semicuantititivas de consecuencias y probabilidad para establecer un nivel o
clasificacin de los riesgos. Muchas veces son utilizadas para realizar un filtrado que prioriza
los riesgos y posteriormente analizar cada uno de ellos con mtodos especficos. Los
elementos de entrada son las escalas personalizadas de probabilidades y consecuencias. Las
escalas pueden ser cuantitativas o cualitativas.
Las escalas pueden tener diferentes criterios de valoracin en funcin de los tipos de riesgo.
Pgina 51
La matriz debe establecer el criterio de clasificacin para cada par consecuencia/

probabilidad.
Las matrices de consecuencia-probabilidad son muy utilizadas por:
Su facilidad de uso.
Permite jerarquizar los riesgos de forma rpida.
Es fcil de entender los resultados para cualquier persona.
Pgina 52
EJEMPLO DE RIESGOS EMPRESARIALES
Dependencia de los ingresos en pocos clientes
La dependencia de los ingresos en pocos clientes es uno de los riesgos de negocio ms

comunes en las organizaciones y se presenta cuando una parte importante de los ingresos est
concentrada en pocos clientes. Ejemplo: Ms del 30% de los ingresos estn concentrados en
un cliente. Este riesgo se puede materializar de la siguiente forma:
Prdida del cliente
El problema de depender de uno o pocos clientes es que cuando nuestro cliente decide
cambiarnos por otro, seguramente, puede poner en riesgo la supervivencia de nuestro negocio
teniendo en cuenta que existen costos y gastos fijos dentro de la organizacin que pueden
llevar a prdidas significativas dentro de la compaa por los menores ingresos que se van a
percibir.
Problemas financieros del cliente
Otro punto importante es que normalmente esos clientes dentro de la cartera de la

organizacin representan montos importantes que al momento de sufrir algn tipo de
dificultad econmica, ejemplo: quiebra, pueden generar cartera de difcil recuperacin que
debe ser provisionada por nuestra organizacin reduciendo de forma importante la liquidez de
la compaa y generando prdidas significativas para la Compaa.
Deterioro de las relaciones polticas con el pas en donde se encuentra nuestro cliente
A veces ha ocurrido que por las dificultades que se atraviesa el pas de nuestro cliente
afectados de forma significativa si tenemos dependencia de dichos clientes.
Volatilidad de la tasa de cambios
Cuando en nuestro negocio exportamos y/o importamos las variaciones de la tasa de cambio
pueden afectar nuestra organizacin de forma importante.
Exportaciones
La revaluacin en compaas que exportan puede generar que sus ventas en moneda
extranjera representen menos pesos generando ventas a prdida y/o con baja rentabilidad.
Importaciones
La devaluacin para las compaas que importan puede generar que sus compras en moneda
extranjera representen ms pesos generando altos costos en sus productos e igualmente
generando ventas de productos a prdida y/o con baja rentabilidad.
Nuevos competidores
Pgina 53
La entrada de nuevos competidores genera disminucin en las ventas e incremento de las

devoluciones en ventas.
Algunas formas en las que se puede materializar este riesgo son:
Tratados de libre comercio
Estos tratados pueden facilitar el ingreso de nuevos competidores que entran al mercado
ofreciendo calidad y precios bajos.
Importacin de productos de pases en vas de desarrollo
Los productos que vienen de pases en vas de desarrollo se caracterizan por ser productos de
bajo costo y que al entrar a competir con productos fabricados en el pas pueden ser atractivos
para los clientes.
Marcas propias
Son las marcas pertenecientes a una cadena de distribucin, generalmente, hper o

supermercado con la que se venden productos de distintos fabricantes.
Algunas ventajas son:
1. Normalmente son marcas ms baratas que las marcas que distribuye el fabricante al
ahorrar costes en publicidad y promocin.
2. En muchos casos, el producto es idntico al comercializado por marcas lderes pero a
un coste inferior.
3. El fabricante tiene garantizada la implantacin de su producto en un mercado concreto
y amplio, los puntos de venta del distribuidor.
Contrabando
Es la compra o venta de mercancas evadiendo los aranceles, es decir evadiendo los impuestos,
lo que hace que al entrar a competir con productos legales su precio de venta sea mucho
menor, afectando de forma importante a las compaas legales.
Falsificacin de productos
En el mercado existe un gran nmero de productos falsificados, que utilizan marcas

reconocidas pero con contenidos falsos y que por lo general se vende a un menor precio.
Productos sustitutos
Los productos sustitutos pueden realizan las mismas funciones del producto que ofrece la
compaa cubriendo las mismas necesidades a un precio menor, con rendimiento y calidad
superior. La entrada de productos sustitutos le puede generar a nuestra organizacin la
disminucin en las ventas, el incremento de las devoluciones en ventas y en algunos casos
problemas de negocio en marcha.
Pgina 54
Ejemplos:
El t es un sustituto de las gaseosas.
La telefona mvil es un sustituto de la telefona fija.
La venta de msica en internet es un sustituto de las tiendas de msica.
Los medicamentos genricos son sustitutos de los medicamentos originales
Poder de negociacin de los clientes
Cuando nuestra organizacin depende de pocos clientes o clientes grandes, estos pueden
imponer sus condiciones (precio de venta, descuentos, devoluciones en ventas, servicios,
forma de pago, calidad de los productos, etc.), generando altos costos para nuestra
organizacin y por consiguiente la venta de productos a prdida.
Ejemplo:
Las grandes cadenas de supermercados normalmente imponen sus condiciones a sus
proveedores y en algunos casos las ventas a este tipo de clientes terminan siendo a prdida
y/o con una baja rentabilidad para nuestra organizacin.
Deterioro del medio ambiente
Para organizaciones en donde el desarrollo de su objeto social depende directamente de

recursos naturales renovables, el cambio climtico que vivimos en la actualidad (sequia,
invierno o heladas) puede generar escasez de productos por prdidas de cultivos.
Ejemplos:
Para compaas que cultivan flores las heladas pueden afectar de forma importante sus
cultivos generando prdidas significativas para el negocio hasta el punto de poner en riesgo su
continuidad. Para compaas productoras de alimentos, las pocas de sequa o invierno
generan incremento en los costos de sus productos debido a que se presenta escases de
alimentos. Lo anterior, puede generar ventas a prdida. Para compaas que explotan recursos
no renovables tales como el petrleo y la minera, el agotamiento de estos puede poner en
riesgo su continuidad. El cambio climtico puede afectar los hbitos de compra del consumidor
generando altos niveles de inventario obsoleto, daado o de lenta rotacin.
Estrategias generadoras de riesgos
Las estrategias son establecidas por las organizaciones para el logro de sus objetivos. Pero en
algunos casos, estas estrategias pueden generar riesgos de negocio.
Pgina 55
Ejemplo de la materializacin de riegos de negocio generados por la implementacin de

estrategias:
Los procesos de la compaa no soportan los objetivos y las estrategias planteadas. Ejemplo:
Dentro de los objetivos de la compaa se plantea un crecimiento en ventas superior al 30%
para lo cual la compaa ha definido un incremento en los gastos de publicidad, sin tener en
cuenta la capacidad de los procesos de produccin. Es decir, puedo atraer clientes pero no
cuento con la infraestructura para responder a esos nuevos clientes lo que puede generar la
prdida de imagen.
Diversificacin de productos: La diversificacin puede generar canibalizacin lo que significa
que los nuevos productos pueden afectar las ventas de los productos actuales.
Estrategias de Integracin: La compaa que adquiere a otra compaa para lograr una
participacin mayoritaria en el mercado puede estar invirtiendo en una compaa con
problemas de negocio en marcha y/o problemas financieros que le pueden afectar a futuro.
Ausencia de control interno
La ausencia de un control interno efectivo en la organizacin puede generar un alto grado de

vulnerabilidad ante la materializacin de riesgos de negocio, fraude y procesos.
Ejemplo de materializacin de estos riegos son:
o
o
o
o
Organizacin que no vigila de forma permanente su ambiente externo puede

ser impactada por fenmenos polticos, econmicos, sociales, tecnolgicos o
ambientales de forma importante.
Una compaa que no vigila el ambiente de su industria puede ser impactada
de forma importante por fenmenos competitivos (nuevo competidores,
productos sustitutos, innovacin de productos, entre otros).
Inadecuada segregacin de funciones dentro de sus procesos puede tener
creadas oportunidades para que le cometan fraudes.
Los controles no responden ante la materializacin de los riesgos puede
generar prdidas significativas.
Organizacin con una comunicacin interna inefectiva puede hacer que la
compaa no cumpla sus objetivos.
Riesgo tecnolgico
Los avances tecnolgicos generan cambios importantes dentro de las organizaciones. Estos
cambios tecnolgicos normalmente traen riesgos que al materializarse pueden afectar a las
organizaciones de forma importante. Los siguientes son algunos ejemplos de la forma como se
pueden materializar estos riesgos.
Pgina 56
Las nuevas tecnologas pueden crear ventajas competitivas importantes para la competencia.
Ejemplo si mi competencia adquiere el ltimo equipo para producir sus productos que ahorra
mano de obra y produce cinco veces lo que produce mi compaa, seguramente voy a quedar
fuera del mercado.
Alta obsolescencia: Para compaas en donde su objeto social depende directamente del
componente tecnolgico, ejemplo, compaas de telecomunicaciones, la alta obsolescencia
que sufren sus activos pueden poner en riesgo su continuidad.
Riesgo regulatorio
El cumplimiento de leyes y regulaciones puede generar bajos mrgenes de rentabilidad para

ciertos sectores (gobierno, financiero, inmobiliario, farmacutico y de petrleo y gas, entre
otros).
Ejemplos de la forma como se pueden materializar estos riesgos:
o
o
o
o
o
Nueva normatividad.
Regulaciones en la industria.
Leyes de proteccin ambiental.
Controles de precios.
Leyes antimonopolio.
Riesgo laboral
La prevencin de riesgos laborales es un aspecto bsico de la gestin empresarial, si bien,

podramos incluirlo en los riesgos regulatorios, ya que en la mayora de los pases las normas
de seguridad y salud estn reguladas administrativamente.
Ejemplos de riesgos:
o
o
o
o
Sanciones administrativas.
Perdidas de productividad.
Incapacidad de cumplir plazos con clientes.
Mal ambiente de trabajo.
Pgina 57
Hasta qu punto est preparada su organizacin?

Si no se disea adecuadamente nuestro sistema de gestin del riesgo, el proceso se puede
convertir en una mera tramitacin burocrtica ms.
La respuesta a las siguientes preguntas tiene como objetivo que la alta direccin realice una
rpida evaluacin de las reas que pueden plantear mayor dificultad a sus organizaciones, y
por tanto, sobre que ms atencin prestar:
Cuenta la gestin del riesgo con el respaldo de los niveles superiores de la direccin?
Est la gestin del riesgo explcitamente conectada con los objetivos empresariales?
Ha fijado la alta direccin los objetivos y polticas adecuados sobre la gestin del
riesgo y los controles internos?
Tiene la alta direccin una idea clara de las reas de mxima prioridad?
Hay una informacin peridica y slida a la alta direccin en materia de gestin de
riesgos?
Cul es la actitud predominante dentro de la empresa hacia la gestin del riesgo?
Podran los directivos individualmente decir cules son sus principales reas de riesgo
y donde son ms necesarias las mejoras en la gestin del riesgo?
Estn la gestin del riesgo y el control interno incorporados en la empresa?
Contribuye el sistema de control interno a la implantacin de las polticas adoptadas
por la alta direccin?
Mantiene la empresa su sistema de control del riesgo renovado y capaz de reaccionar
ante los cambios?
Pgina 58

Manual de Gestión Integral de Riesgo TN

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Manual de Gestión Integral de Riesgo TN

Transféré par

Droits d'auteur :

Formats disponibles

MANUAL DE GESTIN

Jorge Bonito Vera

Gestin de Riesgos Empresariales

Gestin de Riesgos Empresariales

Jorge Bonito Vera

Gestin de Riesgos Empresariales

1. INTRODUCCIN A LA GESTIN DE RIESGOS

Gestin de Riesgos Empresariales

Gestin de Riesgos Empresariales

Gestin de Riesgos Empresariales

Marco de trabajo para la gestin del riesgo:

Efecto de la incertidumbre sobre la consecucin de los objetivos.

El efecto puede ser positivo o negativo.

Gestin de Riesgos Empresariales

Algunos ejemplos de riesgo:

Gestin del Riesgo

Es el proceso de ponderacin de las distintas opciones en base a los resultados de la valoracin

Gestin de Riesgos Empresariales

Acciones Mitigadoras: acciones que tomamos para reducir el impacto de las

Acciones de Contingencia: Cuando el Riesgo ya sucede.

Riesgos Individuales: Afectan a los objetivos del Proyecto.

Riesgos Globales: Afectan de manera global la operacin de la compaa.

Marco de trabajo gestin del riesgo

Conjunto de elementos que proporcionan los fundamentos y las disposiciones de la

Poltica de gestin del riesgo

Declaracin de intenciones y orientaciones generales de una organizacin en relacin con la

Actitud ante el riesgo

Enfoque de la organizacin para apreciar un riesgo y eventualmente buscarlo, retenerlo,

Plan de gestin del riesgo

Dueo del riesgo

Proceso de gestin del riesgo

Aplicacin sistemtica de polticas, procedimientos y prcticas de gestin a las actividades de

Establecimiento del contexto

Definicin de los parmetros externos e internos a tener en cuenta cuando se gestiona el

Entorno externo en el que la organizacin busca alcanzar objetivos.

Gestin de Riesgos Empresariales

Entorno interno en el que la organizacin busca alcanzar sus objetivos.

Apreciacin del riesgo

Gestin de Riesgos Empresariales

Identificacin del riesgo

Proceso que comprende la bsqueda, el reconocimiento y la descripcin del riesgo.

Ocurrencia o cambio de un conjunto particular de circunstancias. Un suceso puede ser nico o

Posibilidad de que algn hecho se produzca.

Gestin de Riesgos Empresariales

Trminos de referencia respecto a los que se evala la importancia de un riesgo.

Magnitud de un riesgo o combinacin de riesgos, expresados en trminos de la combinacin

Tratamiento del riesgo

Proceso destinado a modificar el riesgo. El tratamiento del riesgo puede implicar:

Gestin de Riesgos Empresariales

Medida que modifica un riesgo. La modificacin de un riesgo puede venir a travs de

Riesgo remanente despus del tratamiento del riesgo.

Verificacin, supervisin, observacin o determinacin del estado con objeto de identificar de

Gestin de Riesgos Empresariales

Sistemtica: se realiza en base a la informacin de la que disponemos (input) y tras su

6. La gestin del riesgo se basa en la mejor informacin disponible.

Gestin de Riesgos Empresariales

Gestin de Riesgos Empresariales

Mandato y compromiso (4.2.)

Gestin de Riesgos Empresariales

Compromiso de la organizacin y de su contexto (4.3.1)

Gestin de Riesgos Empresariales

Establecimiento de la poltica de gestin del riesgo (4.3.2)

Las personas que la componen, las habilidades, la experiencia y las competencias.

Gestin de Riesgos Empresariales