¿Qué es la gestión de riesgos?

– La gestión de riesgos es el proceso de planificación, organización, dirección y control

de los recursos humanos y materiales de una organización, con el fin de reducir al
mínimo o aprovechar los riesgos e incertidumbres de la organización.

Las incertidumbres representan riesgos y oportunidades con el potencial de destruir o

crear valor. La gestión de riesgos de la empresa permite a los administradores hacer
frente eficazmente a las incertidumbres así como a los riesgos y oportunidades
asociados con ellos, con el fin de mejorar la capacidad de generar valor.

El valor se maximiza cuando la organización establece estrategias y objetivos para

lograr el equilibrio ideal entre los objetivos de crecimiento, rentabilidad de la
inversión y los riesgos asociados con ellos, y para explorar sus recursos con eficacia y
eficiencia en la consecución de objetivos de la organización.

De acuerdo con la definición de lo que es la norma de gestión de riesgos ISO 31000, la

gestión de riesgos efectiva debe cumplir con los siguientes principios:

-Proteger y crear valor para las organizaciones.

-Ser parte integrante de todos los procesos de la organización.

-Ser considerada en el proceso de toma de decisiones.

-Abordar a la incertidumbre de forma explícita.

-Ser sistemática, estructurada y oportuna.

-Basarse en la mejor información disponible.

-Estar alineada con los entornos internos y externos de la organización y con el perfil
de riesgo.

-Considerar los factores humanos y culturales.

-Ser transparente e inclusiva.

-Ser dinámica, interactiva y capaz de reaccionar a los cambios.

-Permitir la mejora continua de los procesos de la organización.

¿Qué es la gestión de riesgos? – Concepto

La gestión de riesgos de la empresa trata los riesgos y oportunidades que afectan a la

creación o conservación de su valor, que se define como un proceso llevado a cabo en
una organización por la junta de directores, gerentes y empleados, y es aplicado en el
establecimiento de estrategias y diseñado para identificar todos los eventos
potenciales, capaces de afectarla, y gestionar los riesgos con el fin de mantenerlos en
consonancia con el apetito de riesgo de la organización, para proporcionar una
seguridad razonable de lograr sus objetivos.

Los eventos pueden generar impactos negativos, positivos o ambos. Los que generan
impacto negativo representan riesgos que pueden impedir la creación de valor o incluso
destruir el valor existente. Aquellos que generan un impacto positivo pueden
compensar el impacto negativo o pueden representar oportunidades, que a su vez
representan la posibilidad de que ocurra un evento e influyen favorablemente en la
consecución de los objetivos, apoyando la creación o conservación de su valor.

Propósitos principales de la gestión de riesgos.

Alinear el apetito de riesgo con la estrategia adoptada.

Los administradores evalúan el riesgo de la organización al analizar las estrategias,

mediante la definición de los objetivos relacionados con las mismas y el desarrollo de
mecanismos para gestionar estos riesgos.

Fortalecer las decisiones en respuesta a los riesgos

La gestión del riesgo empresarial proporciona el rigor en la identificación y selección

de alternativas de respuestas a los riesgos – Cómo evitar, reducir, compartir y
aceptar los riesgos.

Reducir sorpresas y pérdidas de operación

Las organizaciones adquieren mejores condiciones para identificar eventos potenciales

y establecer respuestas a ellos, lo que reduce las sorpresas y los costos o pérdidas
asociadas.

Identificar y gestionar múltiples riesgos y entre los proyectos

Cada organización enfrenta una serie de riesgos que pueden afectar a diferentes
sectores de la organización. La gestión del riesgo empresarial permite una respuesta
eficaz a los impactos relacionados entre sí y también respuestas integradas a diversos
riesgos.

Aprovechar las oportunidades

Debido al hecho de tener en cuenta todos los eventos posibles, la organización está en
condiciones de identificar y aprovechar las oportunidades de forma proactiva.

Optimizar el capital

Obtener información adecuada sobre los riesgos permite que la administración

conduzca una evaluación eficaz de las necesidades de capital en su conjunto y mejorar
la asignación de ese capital.

Ahora que ya sabe lo que es la gestión de riesgos, su propósito y concepto. Vea

también ¿Qué es BPM y qué es proceso empresarial?

Etapas del proceso de gestión de riesgos

Los riesgos son importantes para las decisiones estratégicas, son también la principal
causa de las incertezas en las organizaciones y están presentes en las actividades más
simples de una empresa. Un abordaje amplio y corporativo de la gestión de riesgos
permite que una organización contabilice el potencial impacto de todos los tipos de
riesgo en todos sus procesos, actividades, productos y servicios.

La premisa inherente a la gestión de riesgos corporativos (ERM – Enterprise Risk

Management) es que toda organización existe para generar valor a las partes
interesadas. Todas las organizaciones enfrentan incertezas y el desafío de sus
administradores es determinar hasta qué punto aceptar esa incerteza y definir cómo
ella puede interferir en el esfuerzo para generar valor a las partes interesadas.

Las incertezas representan riesgos y oportunidades que tienen potencial para destruir
o agregar valor. La gestión de riesgos corporativos posibilita a los administradores
tratar con eficacia las incertezas, bien como los riesgos y las oportunidades a ellas
asociadas, a fin de mejorar la capacidad de generar valor.

Una iniciativa exitosa de gestión de riesgos corporativos puede afectar la

probabilidad y el impacto de posibles riesgos, así como proporcionar beneficios
relacionados a decisiones estratégicas más bien fundamentadas, procesos de cambio
exitosos y aumento de la eficiencia operacional.
Otros beneficios incluyen la reducción del costo del capital, informes financieros más
precisos, ventaja competitiva, mejora de la percepción de la organización, mejor
presencia de mercado y, en el caso de organizaciones de servicio público, mejora en el
apoyo político y comunitario.

En un proceso de gestión de riesgos pueden existir varias etapas y actividades. Pero el

ciclo de vida completo de la gestión de riesgos puede ser resumido en sólo 5 de ellas,
que son la base para los principales reglamentos de gestión de riesgos, incluyendo el
COSO y la ISO 31000. Son ellas:

1. Identificación

El punto de partida es descubrir los riesgos y definirlos con algún detalle y en un

formato estructurado.

2. Evaluación

Los riesgos son evaluados cuanto a probabilidad y el impacto de su ocurrencia.

3. Tratamiento

Un abordaje para el tratamiento de cada riesgo debe ser definido, que en algunos
casos puede ser no hacer nada. Eso requiere un análisis de la aceptabilidad del riesgo,
pudiendo requerir un plan de acción para prevenir, reducir o transferir el riesgo.

4. Monitorización

Un proceso continuo de revisión es esencial para una gestión de riesgos proactiva,

reevaluando los riesgos y monitorizando la situación de los tratamientos y controles
implementados.

5. Comunicación

La comunicación en cada una de estas cuatro etapas anteriores es parte fundamental

para un proceso de toma de decisión efectivo en la gestión de riesgos.

Establecer el contexto de la estrategia de riesgo de acuerdo a ISO 31000

Establecer el contexto de la estrategia de riesgo implica considerar los factores
externos, internos, los diferentes tipos de riesgo, los procesos pertinentes y los
planes para medir y auditar los resultados del sistema.

ISO 31000 es la norma internacional que permite evaluar, medir y tratar los
riesgos dentro de una organización.

Si leemos detenidamente la cláusula 6.3.1 de la norma, notaremos que desde la

introducción se habla de la necesidad de establecer el contexto, tema sobre el que se
profundiza en la Cláusula 5.3 del mismo estándar.

¿Por qué es importante establecer el contexto de la estrategia de riesgo?

Es importante que se establezca el contexto de la estrategia de riesgo, dentro del

contexto de la organización que es su marco natural. Para ello, el contexto de la
gestión de riesgos debe definirse de acuerdo con los objetivos y las actividades de la
organización, teniendo en cuenta los factores internos y externos que la afectan.

Es importante considerar que la estrategia de gestión de riesgos no es una rueda

suelta dentro de la organización. Ella forma parte de un contexto, como parte integral
de cada área de la organización, para garantizar la gestión de riesgos efectivas.

Entre otros factores, el contexto de la estrategia de riesgo de acuerdo a ISO

31000, debe tener en cuenta:

-Las actividades y los objetivos de la organización.

-Los recursos, que deben incluir la rendición de cuentas y las responsabilidades.

-Los registros y los documentos. Su almacenamiento y un proceso estandarizado para

los reportes.

-La hora, ubicación, inclusiones y exclusiones específicas.

Establecer el contexto de la estrategia de riesgo – La definición de los criterios

Identificar y definir los criterios de riesgo, hace posible que la organización

establezca procesos concretos, eficientes y estandarizados, que permiten gestionar y
minimizar el impacto de los riesgos.
Los criterios de riesgo definen el proceso de gestión de riesgos. Para definirlos
podemos ayudarnos de las siguientes consideraciones:

-Tipos de incertidumbre, de acuerdo con la naturaleza del riesgo que puede afectar
los resultados y los objetivos de la organización.

-Normativas, requisitos legales, regulaciones contractuales y/o voluntarias de la

organización.

-La probabilidad de ocurrencia de un incidente generador de riesgo. El impacto y las

consecuencias.

-Tiempos de impacto, causas del riesgo y tratamiento del mismo.

-Riesgos múltiples y complejos. La cadena de impacto de riesgo. El riesgo residual.

-¿Cómo se determina la gravedad de un riesgo?

-¿Cuáles son los riesgos tolerables?

-¿Cuáles son las opciones de tratamiento de un riesgo?

-Los riesgos tienen que definirse dentro del contexto de la organización, teniendo en
cuenta los objetivos y sus actividades, para que su gestión resulte efectiva y eficaz.

Estrategias de riesgos: prever amenazas y oportunidades y aumentar la ventaja

competitiva

Una curiosidad es que en el análisis de riesgos se pueden identificar oportunidades.

Después de todo, si hay una oportunidad de negocio, pero no existe la capacidad de
atender a la demanda, se convierte en un riesgo también.

En un mercado tan competitivo como el actual, este tipo de deslizamiento puede ser
fatal. De este modo, analizar, predecir y actuar sobre los riesgos, naturalmente
auxilia en el potencial de mercado de la organización pues trae ventajas competitivas
que superponen a la visión de la “masa” del mercado -que no trabaja con gestión
estratégica de riesgos-, en relación a amenazas y oportunidades.