Académique Documents
Professionnel Documents
Culture Documents
ADMINISTRACIÓN DE EMPRESAS
FACULTAD DE CIENCIAS EMPRESARIALES
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 2
Este material tiene fines educativos y no puede usarse con propósitos económicos o comerciales.
AUTOR
Freddy Gustavo Vela Martínez
Magíster en Riesgos
Administrador de Empresas
Nota: el autor certificó (de manera verbal o escrita) No haber incurrido en fraude científico, plagio o vicios de
autoría; en caso contrario eximió de toda responsabilidad a la Corporación Universitaria Remington, y se declaró
como el único responsable.
RESPONSABLES
Lina María Maya Toro
Decana de la Facultad de Ciencias Empresariales
lmaya@uniremington.edu.co
GRUPO DE APOYO
Personal de la Unidad CUR-Virtual Derechos Reservados
EDICIÓN Y MONTAJE
TABLA DE CONTENIDO
Pág.
6 GLOSARIO ...................................................................................................................................................... 48
7 BIBLIOGRAFÍA ................................................................................................................................................ 51
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 5
1 MAPA DE LA ASIGNATURA
GESTIÓN DEL RIESGO
Cabe mencionar que los conceptos acá desarrollados son una base conceptual que deberá ser ampliada por el
estudiante con la orientación del docente o tutor y es importante no quedarse únicamente con la información
aquí consignada, ya que el desarrollo de las capacidades deberá fundamentarse en el proceso investigativo para
la generación de conocimiento continuo y permanente.
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 6
Accionistas: Son aquellas personas que son titulares de acciones (ordinarias y/o con dividendo preferencial
sin derecho a voto) de cualquier compañía
Autocontrol: Es la voluntad del empresario y los administradores para detectar, controlar y gestionar de
manera eficiente y eficaz los riesgos a los que está expuesta la compañía
Canal de Distribución: Estructura propia o externa a través de la cual se promocionan y venden los productos
o servicios de la compañía.
Control del Riesgo de LA/FT: Comprende la implementación de políticas, procesos, prácticas u otras acciones
existentes que actúan para minimizar el riesgo LA/ FT en las operaciones, negocios o contratos que realice la
compañía.
Debida Diligencia: Son las medidas necesarias al momento de establecer una relación contractual o de
negocios basado en el comportamiento que tendría un buen padre de familia o un buen hombre de negocios.
Equivale a ejecutar algo con suficiente cuidado. Existen dos interpretaciones sobre la utilización de este
concepto en la actividad empresarial. Se concibe como actuar con el cuidado que sea necesario para prevenir
la posibilidad de llegar a ser considerado culpable por negligencia y de incurrir en las respectivas
responsabilidades administrativas, civiles o penales.
Debida Diligencia Mejorada: Es el término con el que se sugiere a las empresas públicas o privadas a tomar
medidas o precauciones adicionales al momento de establecer una relación contractual o de negocios,
basado en el comportamiento que tendría un buen padre de familia o un buen hombre de negocios, para
identificar posibles riesgos o actividades posiblemente ocultas.
Evaluación de Riesgos: Proceso utilizado para determinar las prioridades de administración de riesgos al
comparar un determinado nivel de riesgo respecto de estándares predeterminados, niveles de riesgo
objetivos u otro criterio.
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 7
Evento de Riesgo: incidente o situación de LA/FT que ocurre en la compañía durante un intervalo particular
de tiempo.
Fuentes de Riesgo: Son los agentes generadores de riesgo de LA/FT en una empresa y se deben tener en
cuenta para identificar las situaciones que puedan generarle este riesgo en las operaciones, negocios o
contratos que realiza.
Financiación del Terrorismo: Delito que comete toda persona que incurra en alguna de las conductas
descritas en el artículo 345 del Código Penal Colombiano, así como aquellas consideradas como tal por la
legislación internacional aplicable.
GAFI: Sigla del Grupo de Acción Financiera Internacional. Organismo intergubernamental cuyo propósito es
elaborar y promover medidas para combatir el lavado de activos y la financiación del terrorismo.
GAFILAT: Sigla del Grupo de Acción Financiera de Latinoamérica. Es el grupo regional del GAFI que promueve
la lucha contra el lavado de activos y la financiación del terrorismo. Colombia es miembro activo de GAFILAT.
Gestión del Riesgo de LA/FT: Consiste en la adopción de políticas que permitan prevenir y controlar el riesgo
de LA/FT.
Herramientas: Son los medios que se utilizan para prevenir la compañía para evitar que se presente el riesgo
de LA/FT y para detectar operaciones intentadas, inusuales o sospechosas. Dentro de dichas herramientas
se deben mencionar, entre otras, las señales de alerta, indicadores de operaciones inusuales, programas
para administración de riesgos empresariales y hojas electrónicas de control.
Jurisdicción: Lugar o ubicación geográfica en el que se promocionan, venden los productos o se prestan los
servicios de la compañía ya sean locales o internacionales.
Lavado de Activos: Delito que comete toda persona que busca dar apariencia de legalidad a bienes o dinero
prevenientes de alguna de las actividades descritas en el artículo 323 del Código Penal Colombiano, así como
aquellas consideradas como tal por la legislación internacional aplicable.
Listas Vinculantes Nacionales o Internacionales: Relación de personas y empresas que de acuerdo con el
organismo que las publica, pueden estar vinculadas con actividades de lavado de activos o financiación del
terrorismo, como lo son las listas del Consejo de Seguridad de las Naciones Unidas, que son vinculantes para
Colombia. Adicionalmente, pueden ser consultadas por internet las listas OFAC, INTERPOL, Policía Nacional,
entre otras.
Monitoreo: Es el proceso continuo y sistemático mediante el cual se verifica la eficiencia y la eficacia de una
política o de un proceso, mediante la identificación de sus logros y debilidades para recomendar medidas
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 8
correctivas tendientes a optimizar los resultados esperados. Es condición para rectificar o profundizar la
ejecución y para asegurar la retroalimentación entre los objetivos, los presupuestos teóricos y las lecciones
aprendidas a partir de la práctica.
Políticas: Son los lineamientos, orientaciones o aspectos que fundamentan la prevención y el control del
riesgo de LA/FT en la Compañía. Deben hacer parte del proceso de gestión del riesgo de LA/FT.
Riesgo de LA/FT: Es la posibilidad de pérdida o daño que puede sufrir una empresa al ser utilizada para
cometer los delitos de lavado de activos o financiación del terrorismo.
Riesgo Inherente: Es el nivel de riesgo propio de una actividad, sin tener en cuenta el efecto de los controles.
Riesgo Residual o Neto: Es el nivel resultante del riesgo después de aplicar los controles al riesgo inherente.
Segmentación: Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos
homogéneos al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el
reconocimiento de diferencias significativas en sus características conocidas como variables de
segmentación.
Señales de Alerta: Son circunstancias particulares que llaman la atención y justifican un mayor análisis que
realiza la persona natural o jurídica.
UIAF: Sigla de la Unidad de Información y Análisis Financiero. Es una unidad administrativa especial, de
carácter técnico, adscrita al Ministerio de Hacienda y Crédito Público en Colombia, que tiene como objeto la
prevención y detección de operaciones que puedan ser utilizadas para el lavado de activos o la financiación
del terrorismo. Así mismo, impone obligaciones de reporte de operaciones a determinados sectores
económicos.
Desde el año 2001 se da relevancia e inicio a los primeros modelos de administración de riesgos a nivel mundial.
Con la quiebra de grandes empresas como Enron (Fue el principal detonante en la elaboración de la Ley Sarbanes
Oxley, la cual tiene por objeto el establecer medidas de control interno más rígidas y eficientes para evitar que las
empresas que cotizan en bolsa realicen fraudes) y Worldcom , (Maquillajes contables) y la crisis financiera de 2008
(Burbuja Inmobiliaria), los reguladores financieros a nivel mundial, adoptaron conceptos de gestión integral de
riesgos.
La administración de riesgos tradicional se concentró en el desarrollo de modelos para la gestión de riesgos puros.
La gestión integral de riesgos (ERM) ha logrado consolidar la administración de riesgos de forma transversal a la
organización.
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 10
La posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos; el
riesgo se mide en términos de probabilidad e impacto. (Fuente: Glosario- IIA (The Institute of Internal
Auditors)).
Garantizar que los resultados de las actividades de asunción de riesgos sean congruentes con las
estrategias y el apetito por el riesgo de la compañía
Que exista un adecuado equilibrio entre el riesgo y la recompensa a fin de maximizar los rendimientos
de la inversión para los accionistas.
El marco institucional de gestión de riesgos constituye la base para alcanzar estos objetivos.
La Gestión Integral de Riesgos es un integrador de elementos en la compañía, sin embargo, solo se ha tomado
en cuenta tras impactos específicos:
Crisis financieras
Fenómenos climáticos
Fraudes
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 12
Riesgos económicos: Se refiere a los riesgos asociados a la actividad económica, ya sean de tipo interno o
externo. En el primer caso, hablamos de las pérdidas que puede sufrir una organización debido a decisiones
tomadas en su interior. En el segundo, son eventos cuyo origen es externo. Para diferenciarlo del ítem anterior,
es preciso señalar que el riesgo económico afecta básicamente a los beneficios monetarios de las empresas,
mientras que los riesgos financieros tienen que ver con todos los bienes que tengan las organizaciones a su
disposición.
Riesgos ambientales: Son aquellos a los que están expuestas las empresas cuando el entorno en el que operan
es especialmente hostil o puede llegar a serlo.
En el primer grupo podemos mencionar elementos como la temperatura, la altitud, la presión atmosférica, las
fallas geológicas, entre otros. En el segundo, cuestiones como los niveles de violencia y la desigualdad.
Sea como sea, lo cierto es que son riesgos que no dependen de las empresas y que, por tanto, su gestión requiere
de planes preventivos más eficaces.
Riesgos políticos: Puede derivarse de cualquier circunstancia política del entorno en el que operen las empresas.
Los hay de dos tipos: gubernamentales, legales y extralegales. En el primer caso se engloban todos aquellos que
son el resultado de acciones que han sido llevadas a cabo por las instituciones del lugar, por ejemplo, un cambio
de gobierno o una modificación en las políticas comerciales. En el segundo caso, se sitúan actos al margen de la
ley como acciones terroristas, revoluciones o sabotajes.
Riesgos legales: Se refiere a los obstáculos legales o normativos que pueden obstaculizar el rol de una empresa
en un sitio determinado. Por ejemplo, en algunos países operan leyes restrictivas en el mercado que limitan la
acción de ciertas compañías. Estos riesgos van generalmente ligados a los de carácter político.
Riesgo Reputacional: Una empresa corre el riesgo de que, por causa de algún evento negativo, sea éste interno
o externo, el público la castigue dejando de usar o comprar sus productos. Es claro que tal castigo se traduce en
menores ventas o en mayores costos de remediación, o en ambas situaciones.
El impacto financiero de un riesgo como el anterior depende del giro del negocio, del ciclo de ventas, de la
competitividad en el mercado y de la fluidez de los clientes, entre otros factores.
Acciones de Competidores
De hecho, es la manera más extensa a la hora de clasificarlos. Está claro que un riesgo de tipo legal o jurídico no
debe tener la misma gestión que otro de tipo económico. En ese sentido, la clasificación de los riesgos quedaría
de la siguiente manera:
Riesgos financieros: Son todos aquellos relacionados con la gestión financiera de las empresas. Es decir, aquellos
movimientos, transacciones y demás elementos que tienen influencia en las finanzas empresariales: inversión,
diversificación, expansión, financiación, entre otros. En esta categoría es posible distinguir algunos tipos:
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 15
La norma ISO 31000 es una herramienta que establece una serie de principios para la implementación de un
Sistema de Gestión de Riesgos en las empresas. Como se dijo antes, puede aplicarse a cualquier tipo de
organización independiente de su tamaño, razón social, mercado, fuente de capital, espectro comercial o forma
de financiación. No especifica ningún área o sector en concreto.
Para una mejor comprensión de sus principios y directrices, la norma ISO 31000: 2009 divide su contenido en tres
áreas básicas:
1) PRINCIPIOS Y DIRECTRICES
2) GESTIÓN DE RIESGOS
3) VOCABULARIO DE GESTIÓN
La norma ISO 31000 sirve de referencia para otros estándares sobre Gestión de Riesgos. Además, complementa
la información de diversas normativas en el plano local, regional, nacional o incluso continental. A continuación,
se explica no sólo el alcance de la misma, sino que se detallan las prácticas básicas que debe tener en cuenta
cualquier organización dispuesta a implementar un Sistema de Gestión de Riesgos.
La norma ISO 31000 define la Gestión de Riesgos como todas aquellas acciones coordinadas para dirigir y
controlar los riesgos a los que puedan estar abocadas las organizaciones. La gestión tiene que ver, sobre todo,
con la cuantificación de los riesgos, para lo cual es fundamental definir dos elementos dentro de este proceso:
Consecuencia (Impacto): La norma define la consecuencia como los efectos o aquellos elementos que se derivan
directa o indirectamente de otros. Es cierto que no siempre se pueden prever las consecuencias de una acción o
decisión. Sin un mínimo grado de consecuencia, cualquier acción en la materia resultará insuficiente.
Probabilidad: Corresponde a la posibilidad de que un hecho se produzca., es fundamental que las empresas
contemplen la irrupción de hechos que puedan derivarse o no de las decisiones de la empresa. Nunca se está del
todo preparado para los acontecimientos, sobre todo si éstos provienen de factores externos, pero el sólo hecho
de pensar en su materialización ya es un buen indicador de la Gestión de Riesgos.
Nombre del taller de Datos del autor del taller: FREDDY GUSTAVO VELA MARTÍNEZ; Administrador
aprendizaje: Generalidades de de empresas, Especialista en aseguramiento y control interno, Magíster en
Riesgos Administración de Riesgos.
1. Son todas aquellas acciones coordinadas para dirigir y controlar los riesgos a los que puedan estar
expuestas las organizaciones
2. La gestión tiene que ver, sobre todo, con la cuantificación de los riesgos, para lo cual es fundamental
definir dos elementos dentro de este proceso:
Consecuencia (Impacto): Son los efectos o aquellos elementos que se derivan directa o indirectamente
de la materialización de los riesgos.
Probabilidad: Corresponde a la posibilidad de que un hecho se produzca., es fundamental que las
empresas contemplen la irrupción de hechos que puedan derivarse o no de las decisiones de la empresa.
Actividad previa:
Describa la actividad:
Legal:
Económico:
Político:
Ambiental:
Reputacional:
En Colombia se tienen definidos unos elementos los cuales han sido adoptados por entes reguladores y los cuales
describimos a continuación soportándonos en los elementos citados para la administración de riesgos operativos
en Colombia:
Políticas: Son los lineamientos generales que las entidades deben adoptar en relación con los sistemas
de administración de riesgos. Cada una de las etapas y elementos del sistema debe contar con unas
políticas claras y efectivamente aplicadas.
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 19
Procedimientos: Las entidades deben establecer los procedimientos aplicables para la adecuada
implementación y funcionamiento de las etapas y elementos del sistema de administración de riesgos.
Documentación: Las etapas y los elementos de los sistemas de administración de riesgos implementados
por las entidades deben constar en documentos y registros, garantizando la integridad, oportunidad,
confiabilidad y disponibilidad de la información allí contenida.
Estructura organizacional: Las entidades deben establecer y asignar funciones en relación con las
distintas etapas y elementos del sistema de administración de riesgos.
Registro de eventos: las entidades deben construir un registro (base) de eventos de riesgo materializado
y mantenerlo actualizado. Este registro debe contener todos los eventos de riesgo operativo ocurridos y
si han generado o no pérdidas económicas a la Compañía.
Órganos de control: Las Compañías deben establecer instancias responsables de efectuar una evaluación
de los sistemas de riesgos, dichas instancias informarán, de forma oportuna, los resultados a los órganos
competentes.
Los órganos de control no deben ser responsables de la administración del riesgo operativo.
Plataforma tecnológica: Las Compañías, de acuerdo con sus actividades y tamaño, deben contar con la
tecnología y los sistemas necesarios para garantizar el adecuado funcionamiento del sistema de
administración de riesgos.
Nombre del taller de Datos del autor del taller: FREDDY GUSTAVO VELA MARTÍNEZ; Administrador
aprendizaje: de empresas, Especialista en aseguramiento y control interno, Magíster en
Administración de Riesgos.
Actividad previa:
Describa la actividad:
1) ¿Puede usted pensar en una empresa que se enfoque en muchos segmentos frente a otra que se
centre en sólo uno o unos pocos?
2) ¿Cómo diferencia cada una de las empresas que eligió su oferta de mercado y su imagen?
Se trata de aquellos obstáculos relacionados con la etapa de implementación. Es decir, cuando la empresa ha
decidido dar este paso y se presta a realizar las actividades necesarias para la implementación de un Sistema de
Gestión de Riesgos. En esta categoría, se pueden distinguir varios tipos de problemas:
b) Inmediatez: Un buen número de organizaciones no están dispuestas a esperar los plazos que se han
convenido para la implementación del sistema. Quisieran que todo fuese de una sola vez y sin que
tuviesen que invertir tiempo en ello.
c) Criterios distintos: Cuando los grupos de responsables tienen demasiados miembros o su elección no
ha seguido parámetros de cierta unidad, lo más común es que entre estas personas se presenten
diferencias de criterio a la hora de implementar el plan. Esto se traduce en retrasos, reuniones excesivas
y, posiblemente, nombramiento de nuevos integrantes.
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 21
d) Falta de una figura coordinadora: Algunos grupos suelen notar la ausencia de una persona líder que
direccione los procesos. De ahí la importancia de la elección de esa persona en los primeros pasos de la
implementación.
e) Incumplimiento de plazos: Por causa de una mala planificación, recursos insuficientes o una
comunicación deficiente entre los responsables, algunas veces los procesos de implementación de
Gestión de Riesgos incurren en incumplimiento de los plazos previstos. En estos casos, el perjuicio es
doble: primero, porque obstaculiza la realización del proyecto en sí mismo; y segundo, porque se pierde
tiempo valioso para mitigar o gestionar riesgos que, en muchos casos, tienen carácter urgente.
f) Aplazamiento: Esto sucede cuando el plan ni siquiera llega a implementarse. Se han definido las
directrices, las estrategias, los responsables y los recursos, pero por la razón que sea el plan acaba
guardado en un archivo de la dirección.
Resistencia al
Inmediatez
cambio
Falta de una
Problemas habituales en la gestión Criterios
de riesgos
figura
distintos
coordinadora
Incumplimiento
Aplazamiento
de plazos
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 22
1) Cómo lograr construir posiciones sólidas con los clientes para posicionar sus productos o servicios en
el mercado.
2) ¿De qué manera una empresa puede diferenciarse asimismo o a su oferta de mercado?
1) Siendo claro con el cliente y entregándole lo que realmente le ofrece. Si por ejemplo la empresa
posiciona sus productos ofreciendo la mejor calidad y el mejor servicio, en realidad debe diferenciar
el producto de manera que entregue la calidad y el servicio prometido.
2) Puede diferenciarse a lo largo de las líneas de productos, servicios, canales, personas o imagen.
Actividad previa:
Describa la actividad:
1) Nombre algunas diferencias que debe promover el mercadólogo en la empresa para que sus
productos o servicios establezcan una diferencia en la medida en que se cumplan estos criterios.
2) ¿Cómo diferencia cada una de las empresas que eligió su oferta de mercado y su imagen?
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 23
3) Identifique y analice las cinco (5) propuestas de valor favorables en el posicionamiento de la marca.
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 24
IMPACTO:
Resultado de un evento expresado cualitativa o cuantitativamente, como por ejemplo una
pérdida, lesión, desventaja o ganancia. Puede haber una serie de resultados posibles asociados
con un evento.
PROBABILIDAD:
Posibilidad de que ocurra un evento o resultado específico, medida por la relación entre
los eventos o resultados específicos y el número total de eventos o resultados posibles.
SEVERIDAD:
Es la evaluación general del riesgo; resulta de la combinación de la probabilidad de ocurrencia
y el impacto en la operación.
La incertidumbre existe siempre que no se sabe con seguridad lo que ocurrirá en el futuro. El riesgo es la
incertidumbre que afecta negativamente el bienestar. Por ejemplo, hay incertidumbre de que mañana pueda
llover, lo cual implica un riesgo para quien no lleve paraguas y una oportunidad para quien necesite rociar su
jardín. Toda situación riesgosa es incierta, pero puede haber incertidumbre sin riesgo
Disminuir el nivel de incertidumbre sobre el logro de los objetivos, incrementando el nivel de confianza
de los grupos de interés.
Ri Ri OPERATIVO
Ri Ri Ri TÁCTICO Ri
Ri Ri FINANCIERO
PROBABILIDAD
Ri Ri Ri
ESTRATÉGICO
Ri
Ri
Ri
Ri Ri Ri Ri
IMPACTO
Es de vital importancia el poder clasificar el tipo de riesgo que se quiere administrar. En la figura anterior se
muestra el nivel de impacto que se genera de acuerdo con la materialidad de cada uno de los riesgos.
1) Deben identificar primero el valor esencial que los consumidores buscan en el producto. Después
deben diseñar el producto real y encontrar maneras de aumentarlo para crear este valor para el
cliente y la experiencia más satisfactoria para él.
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 27
Actividad previa:
Describa la actividad:
1) Realice una tabla donde muestre las consideraciones de mercadeo de los productos de consumo,
teniendo en cuenta aspectos como: comportamiento de compra del cliente, precio, distribución,
promoción.
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 28
Identificar un riesgo consiste en poder prever los posibles eventos que con su materialización puedan impactar
objetivos, estrategias, planes, proyectos, servicios, productos u operaciones de la empresa. La identificación de
riesgos incluye además la caracterización de esos eventos, es decir, el análisis de cómo ocurrirían, por qué se
presentarían, dónde y cuándo sucederían, quién o qué factores incidirían en su ocurrencia, qué o quién podría
verse afectado por ella, cuál sería la afectación (a la imagen, al personal, a recursos materiales o inmateriales, a
terceros, etc.) y quién sería el responsable de manejar el riesgo.
La norma ISO 31000 define la identificación de riesgos como el “[…] proceso para encontrar, reconocer y describir
los riesgos”. Este proceso no es tan sencillo de realizar como se podría pensar, porque implica el análisis de varios
elementos relacionados con el riesgo, que lo caracterizan según las condiciones del proceso, la decisión, el
proyecto, el producto o la función a analizar.
Las técnicas de identificación de riesgos se han desarrollado con los avances en sus estudios, desde los seguros,
las finanzas, la sociología, el control organizacional, la auditoría, la informática, la seguridad industrial, la salud
ocupacional, la seguridad pública, la ingeniería ambiental, la gestión de proyectos y otros campos.
Ciertas compañías desarrollan metodologías ajustadas a sus necesidades para identificar los riesgos, algunas
adaptan estrategias de reconocida aplicación en el medio; casi todas buscan adecuarse a las normas o
estándares y algunas desarrollan conocimiento nuevo sobre el tema.
Lo más importante al aplicar técnicas o métodos es la consistencia en su uso, de manera que permita estandarizar
el proceso y obtener resultados comparables en toda la organización, con el fin de lograr una identificación de
riesgos que garantice su administración en forma integral.
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 29
La adecuada identificación de riesgos, unida a la correcta administración de los mismos, propicia mayor control
de los eventos adversos, la optimización de inversiones y la protección de los recursos; además mejora las
relaciones entre las partes o grupos de interés de la empresa, crea responsabilidad en el manejo de los mismos,
genera comportamiento proactivo más que reactivo y permite alinear el comportamiento individual con la
responsabilidad organizacional. Esto trae grandes beneficios en la mejora de los procesos, productos o servicios,
haciéndolos más seguros y reduciendo la posibilidad de pérdidas.
Si un riesgo no es identificado es como si no existiera, lo cual implícitamente equivale a la decisión de aceptar las
consecuencias de su materialización. Es responsabilidad del gerente o empresario no ignorarlo, así como
identificar y controlar esos riesgos empresariales. A ellos corresponde la previsión, la viabilidad y el cumplimiento
de lo planeado; también reorientar las acciones si hay fallas en su funcionamiento según lo previsto; todo ello
con el fin de lograr los beneficios planeados y cumplir las expectativas de sus grupos de interés.
Si no se identifican los riesgos no se puede planear su control, es decir, no se pueden definir medidas para
disminuir su probabilidad de ocurrencia, para minimizar su impacto, para transferirlos a terceros cuando sea
necesario o posible, para eliminar la actividad que los genera o para asumirlos, si es el caso, con plena conciencia.
Principios de identificación de
riesgos:
Un riesgo NO es la negación del
objetivo
Un riesgo NO es una deficiencia de Tener claro el objetivo del proceso
control Identificar “que puede fallar ”, que
bajo revisión. (Los riesgos deben ser
podría afectar el logro de los
Un riesgo NO es una queja o identificados basados en un
objetivos del proceso.
reclamo objetivo)
Un riesgo NO es una falencia en los
recursos
Los riesgos NO pueden ser
restricciones
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 30
Para realizar la identificación de riesgos debe conocerse profundamente la organización: “[…] entender bien el
riesgo es entender bien el modelo de la empresa y sus puntos de creación de valor”; además de sus planes a
mediano y largo plazo. La identificación de riesgos tiene un espectro amplio de aplicación, por lo tanto, debe
estar circunscrita a un ámbito de análisis (decisiones, procesos, productos, servicios, funciones, proyectos, etc.).
Definir el objetivo específico del ámbito de análisis es primordial para identificar los riesgos que pueden afectar
su cumplimiento. La identificación de riesgos no se reduce a asignar un nombre al riesgo, pues se deben incluir
todos los datos relacionados con el mismo, para estudiarlos exhaustivamente y aportar elementos a las demás
etapas de su gestión. Para ello es primordial contar con información actualizada y pertinente, además de
establecer mecanismos de alerta temprana que permitan identificar cambios en variables críticas, que ayuden a
determinar riesgos estratégicos u operativos que pueden impactar la organización, y procedimientos que
garanticen el monitoreo en forma periódica, de acuerdo con los ciclos de la empresa y las transformaciones del
entorno.
Calidad del producto: Permite posicionar el bien en el mercado, está relacionado con
la satisfacción y el valor para el cliente.
Diseño y estilo del producto: El diseño comienza con la observación de los clientes,
con una comprensión profunda de sus necesidades y dando forma a su experiencia
de uso de productos.
Los nombres de las marcas ayudan a los consumidores a identificar productos que podrían
beneficiarlos. Las marcas dicen algo sobre la consistencia y calidad del producto.
Longitud: Se refiere al número total de artículos que tiene una empresa dentro de sus
líneas de productos.
Actividad previa:
Describa la actividad:
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 32
Realice una tabla donde muestre las consideraciones de mercadeo de los productos de consumo,
teniendo en cuenta aspectos como: comportamiento de compra del cliente, precio, distribución,
promoción.
La mayoría de las veces, al tratar de identificar los riesgos se pueden presentar inquietudes y dudas para lograr
determinar la causa del riesgo, el riesgo y la consecuencia. Por esta razón es importante tener en cuenta que son
elementos consecutivos
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 33
Un aspecto muy relevante en la gestión de riesgos es conocer sus causas y consecuencias, de esta forma es
posible clasificarlos por los más relevantes, asignando recursos eficientemente. La mejor forma de estudiar y
administrar los riesgos es clasificándolos ya sea porque el origen de las fallas se genere en algunos de los factores
relacionados a continuación:
Personal Procesos
Eventos
Sistemas.
Externos
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 34
Personal: Son todas aquellas fallas cometidas por el personal. Por ejemplo, por falta de capacitación, por
negligencia, por omisión, por violación intencional de políticas, por incumplimiento de normativa, errores en
ejecución entre otros.
Procesos: Son fallas causadas por debilidades en el diseño o en la ejecución de los procesos tales como: controles
inadecuados, mal diseño de alertas, inexistencia de políticas, procesos desactualizados entre otros.
Sistemas: Son todas aquellas fallas causadas por vulnerabilidades en los sistemas como: fallas de la red, caídas
de la línea, pérdidas de información.
Eventos externos: Son los eventos materializados por acontecimientos o cambios adversos en el entorno de la
organización entre estos se clasifica el fraude externo, las catástrofes naturales, terremotos, actos vandálicos.
Intangibilidad: Las personas que se hacen cirugías plásticas solo acceden a ellas
cuando se las hacen.
Caducidad: el cobro de una cita médica donde el cobro existe sólo en ese momento y
desaparece cuando el paciente no llega a la cita.
Mercadeo interno: Significa que la empresa de servicios debe orientar y motivar a sus
empleados de contacto con el cliente y a su personal de apoyo para que trabajen con
un equipo a fin de proporcionar satisfacción al cliente. Deben conseguir que toda la
organización se centre en el cliente.
Actividad previa:
Describa la actividad:
Investigue cuáles son las tres tareas de mercadeo a las que se enfrenta una empresa de servicios.
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 36
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 37
http://www.sigweb.cl/biblioteca/MatrizdeRiesgo.pdf
Definir las herramientas de la mezcla promocional para comunicar el valor para el cliente.
La evaluación de los riesgos debe realizarse previo al lanzamiento de cualquier producto, la modificación de sus
características, la incursión en un nuevo mercado, la apertura de operaciones en nuevas jurisdicciones y el
lanzamiento o modificación de los canales de distribución.
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 38
El método a utilizar parte de la evaluación del evento de riesgo en relación con el impacto que tendría en caso
de materializarse y de la probabilidad de que ocurra en un proceso determinado de la entidad. Posteriormente,
las consecuencias y probabilidades asignadas se combinan para producir un nivel de riesgo o severidad.
Es la evaluación preliminar del riesgo, con la cual la Organización quiere conocer el nivel de exposición al mismo,
sin tener en cuenta las medidas de mitigación o los controles. En esta evaluación se involucran dos conceptos la
probabilidad de ocurrencia y la magnitud del impacto.
Es el nivel de riesgo al cual está expuesto la organización de acuerdo con los controles existentes
El riesgo residual es el resultante de combinar la calificación del riesgo inherente ó bruto y la evaluación
de los controles considerando el diseño y la eficiencia operacional de los mismos.
Con base en la generación del mapa anterior se definen los niveles de criticidad de los riesgos residuales: Extremo,
alto, moderado y bajo.
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 39
Actividad previa:
Describa la actividad:
Realice un ensayo sobre la manera como desarrollan las comunicaciones integradas de mercadeo en
algunas empresas nacionales para lograr que los clientes los conozcan y sean files a sus marcas.
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 41
La escala establecida, debe contener las clasificaciones que la organización considere que describen de forma
completa y clara tanto los efectos como la frecuencia de ocurrencia de los riesgos.
Cualitativa: las escalas son descriptivas y no contienen ninguna referencia numérica. Las escalas deben
ser claras y contener todos los factores que deban ser evaluados en la organización para asignar la
clasificación.
Semicuantitativa: Se combinan las descripciones con valores que permiten priorizar las escalas definidas
buscando una mayor exactitud en las valoraciones realizadas.
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 42
Cuantitativa: A la escala se le asignan valores numéricos que establecen la magnitud de las pérdidas o el
nivel de frecuencia con el que se presenta un evento. Estos datos son obtenidos a partir de estimaciones,
análisis estadísticos, entre otros.
Después de establecer la escala de medición a utilizar, los dueños de proceso y el equipo de trabajo en gestión
de riesgos deben evaluar cada uno de los riesgos identificados de acuerdo con su experiencia y tomando como
base la información recopilada durante el proceso de identificación.
Este análisis les permitirá a los colaboradores asignar el nivel de probabilidad e impacto a cada riesgo sin tener
en cuenta los controles.
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 43
Actividad previa:
Revise el contenido entregado en la unidad
Describa la actividad:
1. ¿Cómo se relacionan entre sí los conceptos de comunicaciones integradas de mercadeo y mezcla de
promoción?
2. Si estuviera buscando una casa nueva ¿dónde buscaría usted la información?
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 44
Cualquier medida que tome la dirección y las áreas para gestionar los riesgos y aumentar la probabilidad de
alcanzar los objetivos y metas establecidos. La dirección planifica, organiza y dirige la realización de las acciones
suficientes para proporcionar una seguridad razonable de que se alcanzaran los objetivos y metas. (Fuente:
Glosario- IIA (The Institute of Internal Auditors)).
Evaluación de Controles
• Diseño: Configuración del control con respecto al riesgo que está mitigando. Esta variable se evalúa
teniendo en cuenta los siguientes criterios:
La frecuencia definida para la ejecución del control es apropiada para cumplir con el objetivo
de control y mitigar de manera efectiva el riesgo.
La naturaleza del control (manual, automática o dependiente de TI) es adecuada para mitigar
el riesgo.
• Eficacia Operativa: Implementación del control (ejecución) de acuerdo con las condiciones
establecidas (procedimiento, frecuencia, responsable y documentación soporte). Esta variable se
evalúa respondiendo al siguiente interrogante:
¿El control se está ejecutando de acuerdo con las condiciones que se le han establecido?
5 PISTAS DE APRENDIZAJE
Tener presente: La norma ISO 31000 es una herramienta que establece una serie de principios para la
implementación de un Sistema de Gestión de Riesgos en las empresas.
Traer a la memoria: Los dos elementos sobre los cuales se debe gestionar los riesgos son la probabilidad y la
consecuencia impacto.
Tener presente: Las tres áreas básicas en las que se divide la ISO 31000 son:
Principios y directrices
Gestión de riesgos
Vocabulario
Tener presente: Para simplificar el proceso de compra, los consumidores organizan productos, servicios y
empresas en categorías y los “posicionan” en sus mentes
Tener en cuenta: La posición del producto es el complejo conjunto de percepciones, impresiones y sentimientos
que los consumidores tienen sobre los productos en comparación con los productos competidores
Traer a la memoria: La ventaja competitiva es aquella ventaja sobre los competidores que se adquiere al ofrecer
mayor valor al cliente, ya sea por medio de precios más bajos o por proveer mayores beneficios que justifiquen
los precios más altos.
Tener presente: Los mercadólogos deben pensar en la totalidad de la experiencia del cliente con el producto o
servicio de la empresa.
Tener en cuenta: La creación y gestión de las marcas es una de las tareas más importante de los mercadólogos.
Traer a la memoria: Los empaques innovadores pueden darle una ventaja a una empresa sobre sus competidores
y aumentar las ventas
Tener presente: El rellenado de la línea de productos implica agregar más elementos dentro de la gama actual.
La empresa debe asegurarse de que los nuevos artículos sean notablemente diferentes a los existentes.
Tener presente: Las empresas de servicio usan el mercadeo para posicionarse fuertemente en sus mercados
meta.
Traer a la memoria: Las empresas de servicio deben diferenciarse de su competencia mediante la oferta, su
prestación de servicios y su imagen.
Tener presente: La calidad del servicio siempre variará, dependiendo de las interacciones entre empleados y
clientes.
Tener presente: La mezcla promocional es la actividad principal de comunicaciones de la empresa, sin embargo,
es necesario coordinar la mezcla completa de mercadeo para tener mayor impacto.
Tener en cuenta: El nuevo modelo de comunicaciones de mercadeo consiste en una mezcla cambiante tanto de
los medios de comunicación tradicionales como una amplia gama de medios nuevos, mejor dirigidos y más
personalizados
Traer a la memoria: Las comunicaciones integradas de mercadeo requieren reconocer todos los puntos de
contacto donde el cliente puede encontrar a la empresa y sus marcas.
Tener presente: Las comunicaciones integradas de mercadeo vinculan todos los mensajes e imágenes de la
empresa.
Tener presente: Los riesgos no pueden ser restricciones (ya que es algo existente y probable y se debe hacer un
plan de contingencia para contrarrestarlo)
Tener presente: Un vendedor eficaz mantiene los intereses del cliente para forjar una relación a largo plazo,
resolviendo los problemas del cliente.
Tener en cuenta: Las empresas consideran muchos factores al diseñar sus estrategias de mezcla de promoción,
incluyendo el tipo de producto y mercado.
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 48
6 GLOSARIO
Análisis de Riesgo: Uso sistemático de la información disponible para determinar qué tan frecuentemente
pueden ocurrir eventos específicos y la magnitud de sus consecuencias.
Accionistas: Son aquellas personas que son titulares de acciones (ordinarias y/o con dividendo preferencial
sin derecho a voto) de cualquier compañía
Autocontrol: Es la voluntad del empresario y los administradores para detectar, controlar y gestionar de
manera eficiente y eficaz los riesgos a los que está expuesta la compañía
Canal de Distribución: Estructura propia o externa a través de la cual se promocionan y venden los productos
o servicios de la compañía.
Control del Riesgo de LA/FT: Comprende la implementación de políticas, procesos, prácticas u otras acciones
existentes que actúan para minimizar el riesgo LA/ FT en las operaciones, negocios o contratos que realice la
compañía.
Debida Diligencia: Son las medidas necesarias al momento de establecer una relación contractual o de
negocios basado en el comportamiento que tendría un buen padre de familia o un buen hombre de negocios.
Equivale a ejecutar algo con suficiente cuidado. Existen dos interpretaciones sobre la utilización de este
concepto en la actividad empresarial. Se concibe como actuar con el cuidado que sea necesario para prevenir
la posibilidad de llegar a ser considerado culpable por negligencia y de incurrir en las respectivas
responsabilidades administrativas, civiles o penales.
Debida Diligencia Mejorada: Es el término con el que se sugiere a las empresas públicas o privadas a tomar
medidas o precauciones adicionales al momento de establecer una relación contractual o de negocios,
basado en el comportamiento que tendría un buen padre de familia o un buen hombre de negocios, para
identificar posibles riesgos o actividades posiblemente ocultas.
Evaluación de Riesgos: Proceso utilizado para determinar las prioridades de administración de riesgos al
comparar un determinado nivel de riesgo respecto de estándares predeterminados, niveles de riesgo
objetivos u otro criterio.
Evento de Riesgo: incidente o situación de LA/FT que ocurre en la compañía durante un intervalo particular
de tiempo.
Fuentes de Riesgo: Son los agentes generadores de riesgo de LA/FT en una empresa y se deben tener en
cuenta para identificar las situaciones que puedan generarle este riesgo en las operaciones, negocios o
contratos que realiza.
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 49
Financiación del Terrorismo: Delito que comete toda persona que incurra en alguna de las conductas
descritas en el artículo 345 del Código Penal Colombiano, así como aquellas consideradas como tal por la
legislación internacional aplicable.
GAFI: Sigla del Grupo de Acción Financiera Internacional. Organismo intergubernamental cuyo propósito es
elaborar y promover medidas para combatir el lavado de activos y la financiación del terrorismo.
GAFILAT: Sigla del Grupo de Acción Financiera de Latinoamérica. Es el grupo regional del GAFI que promueve
la lucha contra el lavado de activos y la financiación del terrorismo. Colombia es miembro activo de GAFILAT.
Gestión del Riesgo de LA/FT: Consiste en la adopción de políticas que permitan prevenir y controlar el riesgo
de LA/FT.
Herramientas: Son los medios que se utilizan para prevenir la compañía para evitar que se presente el riesgo
de LA/FT y para detectar operaciones intentadas, inusuales o sospechosas. Dentro de dichas herramientas
se deben mencionar, entre otras, las señales de alerta, indicadores de operaciones inusuales, programas
para administración de riesgos empresariales y hojas electrónicas de control.
Jurisdicción: Lugar o ubicación geográfica en el que se promocionan, venden los productos o se prestan los
servicios de la compañía ya sean locales o internacionales.
Lavado de Activos: Delito que comete toda persona que busca dar apariencia de legalidad a bienes o dinero
prevenientes de alguna de las actividades descritas en el artículo 323 del Código Penal Colombiano, así como
aquellas consideradas como tal por la legislación internacional aplicable.
Listas Vinculantes Nacionales o Internacionales: Relación de personas y empresas que de acuerdo con el
organismo que las publica, pueden estar vinculadas con actividades de lavado de activos o financiación del
terrorismo, como lo son las listas del Consejo de Seguridad de las Naciones Unidas, que son vinculantes para
Colombia. Adicionalmente, pueden ser consultadas por internet las listas OFAC, INTERPOL, Policía Nacional,
entre otras.
Monitoreo: Es el proceso continuo y sistemático mediante el cual se verifica la eficiencia y la eficacia de una
política o de un proceso, mediante la identificación de sus logros y debilidades para recomendar medidas
correctivas tendientes a optimizar los resultados esperados. Es condición para rectificar o profundizar la
ejecución y para asegurar la retroalimentación entre los objetivos, los presupuestos teóricos y las lecciones
aprendidas a partir de la práctica.
Políticas: Son los lineamientos, orientaciones o aspectos que fundamentan la prevención y el control del
riesgo de LA/FT en la Compañía. Deben hacer parte del proceso de gestión del riesgo de LA/FT.
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 50
Riesgo de LA/FT: Es la posibilidad de pérdida o daño que puede sufrir una empresa al ser utilizada para
cometer los delitos de lavado de activos o financiación del terrorismo.
Riesgo Inherente: Es el nivel de riesgo propio de una actividad, sin tener en cuenta el efecto de los controles.
Riesgo Residual o Neto: Es el nivel resultante del riesgo después de aplicar los controles al riesgo inherente.
Segmentación: Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos
homogéneos al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el
reconocimiento de diferencias significativas en sus características conocidas como variables de
segmentación.
Señales de Alerta: Son circunstancias particulares que llaman la atención y justifican un mayor análisis que
realiza la persona natural o jurídica.
UIAF: Sigla de la Unidad de Información y Análisis Financiero. Es una unidad administrativa especial, de
carácter técnico, adscrita al Ministerio de Hacienda y Crédito Público en Colombia, que tiene como objeto la
prevención y detección de operaciones que puedan ser utilizadas para el lavado de activos o la financiación
del terrorismo. Así mismo, impone obligaciones de reporte de operaciones a determinados sectores
económicos.
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 51
7 BIBLIOGRAFÍA
“Las Cuarenta Recomendaciones”. Grupo de Acción Financiera sobre el Lavado de activos GAFI. Junio de
2003.
“ABC del Lavado de Activos y la Financiación del Terrorismo” Unidad de Información y Análisis Financiero.
Vito Tanzi, “Money Laundering and the International Financial System”, May 1996, FMI Working Paper.
Fabián Caparros, Eduardo A (1998): “El delito de blanqueo de capitales”, Editorial Colex. Madrid.
“Debida diligencia con los clientes bancarios” Comité de Supervisión Bancaria de Basilea. Octubre de
2001
Circular externa 022 de 2007 de la Superintendencia Financiera de Colombia. “Título I Capítulo Décimo
Primero: Instrucciones relativas a la administración del riesgo de lavado de activos y de la financiación
del terrorismo”.
Mejía Delgado, Hernán (2011), Gestión integral de riesgos y seguros: para empresas de servicio,
comercio e industria (2a. ed.); Ecoe Ediciones.
Colectivo de autores (2010), MAAR01 Manual Sarlaft para la prevención al lavado de activos y
financiación al terrorismo, D – FIDUCOLDEX
Estupiñán Gaitán, Rodrigo (2015) Administración de riesgos E.R.M. y la auditoría interna (2a. ed.), Ecoe
Ediciones.
GESTIÓN DEL RIESGO
ADMINISTRACIÓN DE EMPRESAS 52
http://www.sepblac.es/espanol/legislacion/norma-blanqueo.htm
http://www.uiaf.gov.co
http://www.sarlaft.com
http://www.superfinanciera.com
http://www.fatf-gafi.org
https://www.uiaf.gov.co/index.php?idcategoria=28814
http://www.supersolidaria.gov.co/es/normativa/gestion-del-riesgo-de-lavado-de-activos-y-
financiacion-del-terrorismo
http://www.infolaft.com/es/art%C3%ADculo/los-factores-de-riesgo
https://www.supersociedades.gov.co/delegatura_aec/informes_publicaciones/lavado_activos/Paginas
/default.aspx
http://marketing.asobancaria.com/17%C2%BA-congreso-de-riesgo-de-lavado-de-activos-y-
financiaci%C3%B3n-del-terrorismo.
http://www.antiriskn.com/congreso/wp-content/uploads/2015/05/Frey-Leon-Taller-Matriz-de-
Riesgos.pdf.