OPSA, PNSA, EPSA, LFSA
Consejos para la práctica, imple-mentación y fortalecimiento de la
Administración de Riesgos
PPoorr :: NNeellssoonn HHeerrrreerraa
2
Tabla de contenido
PRESENTACION ........................................................................................................................................ 3
Objetivos .............................................................................................................................................................. 4
Sobre La Administracion De Riesgos… .......................................................................................................... 5
PLANEACIÓN DE LA ADMINISTRACIÓN DEL RIESGO .......................................................... 7
1. Diagnostico De La Situación Actual ............................................................................................................ 8
2. Directrices Generales ................................................................................................................................... 13
3. Tareas O Actividades Clave Del Proceso De Administracion De Riesgos ....................................... 15
Actividad 1 - Definir El Contexto ......................................................................................................... 16
Actividad 2 - Identificar Y Documentar Riesgos ............................................................................... 21
Actividad 3 - Analizar Y Evaluar Niveles De Riesgo ......................................................................... 29
Actividad 4 - Definir Tratamiento De Riesgo ..................................................................................... 37
Actividad 5 - Administrar Y Comunicar Incidentes ........................................................................... 43
Actividad 6 –Monitorear ......................................................................................................................... 45
CONSIDERACIONES ESPECIALES PARA LA EVALUACION DE RIESGOS
ESTRATEGICOS ............................................................................................................................................ 49
Análisis 1 –Evaluación De Riesgos Basados En Los Componentes Estratégicos De Porter ............... 52
Análisis 2 – Evaluación De Riesgos Basados En Los Objetivos Estratégicos......................................... 55
Análisis 3 – Relación Existente Entre Los Controles Que Mitigan Los Riesgos Estratégicos Con
Los Procesos ...................................................................................................................................................... 58
Análisis 4 – Nivel De Eficacia De Sus Procesos Para Administra Los Riesgos Y Objetivos
Estratégicos ........................................................................................................................................................ 59
PRESENTACION
PRESENTACION
Los Consejos para la práctica, implementación y fortalecimiento de
la Administración de Riesgos está dirigido a todos aquellos con res-
ponsabilidades gerenciales, que han asumido el compromiso de agregar
valor en las empresas del grupo a través de buenas prácticas de gobierno
que incluye entre otros, un proceso integral de Administración de Ries-
gos.
En cuanto a su contenido, comprende los principios básicos, procedi-
mientos y herramientas que en general integran las 6 etapas o actividades
clave del proceso de administración de riesgos operativos y estratégicos.
Esperamos que esta guía práctica pueda aportar mejoras a sus procesos de
gestión, riesgo, control y gobierno para el logro de los objetivos.
PRESENTACION
OBJETIVOS
Promover el modelo gerencial de buen gobierno y autocontrol a través
de la Administración de Riesgos.
Dar a conocer los principios, procedimientos y herramientas necesarias
para obtener una visión global e integrada de los riesgos y oportunida-
des que tienen potencial de destruir o aumentar el valor.
Promover el establecimiento de una estrategia que guarde equilibrio
entre los objetivos de crecimiento, rentabilidad y los riesgos asociados,
mediante:
- Visualización de los riesgos de la industria desde un contexto in-
terno y externo.
- El alineamiento del riesgo aceptado y la estrategia.
- La mejora de las decisiones de respuesta a los riesgos.
- La reducción de las sorpresas y pérdidas operativas.
- La identificación y gestión de la diversidad de riesgos para toda la
Entidad1 y,
- El aprovechamiento de las oportunidades.
1 Para facilitar el contenido, se utilizará el concepto de entidad, para hacer referencia a la
Unidad de Negocio, área o departamento que será objeto de un proceso de administración
de riesgos.
PRESENTACION
SOBRE LA ADMINISTRACION DE RIESGOS…
La administración de riesgos, es el conjunto de acciones llevadas a cabo
en forma estructurada e integral, que permite a las organizaciones identifi-
car y evaluar los eventos que pueden afectar el cumplimiento de sus obje-
tivos, con el fin de emprender en forma efectiva las medidas necesarias
para responder ante ellos, desde una perspectiva preventiva.
Cualquier actividad que el ser humano realice está expuesta a riesgos de
diversa índole, basando generalmente nuestras decisiones diarias en los
riesgos u oportunidades que percibamos, desde cambiar nuestra ruta al
trabajo para evitar el tráfico (riesgo) o por haber encontrado un atajo que
nos ahorre tiempo y combustible (oportunidad), administramos riesgos
para obtener el mayor beneficio posible o bien evitar alguna situación ne-
gativa.
Esta conciencia sobre el riesgo, vista como un medio para asegurar de
mejor manera la sostenibilidad del negocio, la eficacia de sus recursos y la
consolidación de sus procesos, estructuras y sistemas; ha causado un im-
portante cambio de visión en cuanto a la administración del riesgo.
En los últimos años, la tendencia internacional migra de un enfoque tra-
dicional basado en la detección y reacción de riesgos financieros; a un
PRESENTACION
nuevo enfoque, continuo y recurrente, que anticipa y previene los riesgos,
bajo un contexto holístico, ágil y flexible para lograr la estrategia.
La planeación que debe llevarse a cabo para lograr este nuevo enfoque, se
explicara a partir de la sección siguiente.
.
PLANEACION DE LA ADMINISTRACION DE RIESGOS
PLANEACIÓN DE LA ADMINISTRACIÓN DEL RIESGO
Como cualquier otro proceso institucional, la administración del riesgo
debe planearse y programarse de manera que forme parte de todo el
quehacer de la entidad.
Para el diseño de esta planeación es fundamental tener claridad en la mi-
sión institucional, en sus objetivos y tener una visión sistémica de manera
que no se perciba la administración del riesgo como algo aislado, igual-
mente es necesario dar respuestas a inquietudes comunes en la entidad
por ejemplo: ¿Cuándo va a empezar a manejarse el tema dentro de la en-
tidad?, ¿Quiénes van a participar directamente en el proceso?, ¿Cuándo
van a realizarse las capacitaciones y a quién van a ir dirigidas? y ¿Cómo se
va a articular el tema dentro de la planeación y con los procesos?.
Dentro de los aspectos esenciales que deben planificarse y realizar-
se adecuadamente son los siguientes:
1. Diagnostico de la situación actual como punto de partida para implementar y/o
fortalecer la administración de riesgos
2. Asegurar el compromiso del alta y media Dirección, conformar el equipo de trabajo
y capacitación en la metodología como parte de las Directrices Generales.
3. Implementar íntegramente las 6 actividades del procesos de administración de riesgos
PLANEACION DE LA ADMINISTRACION DE RIESGOS
1. DIAGNOSTICO DE LA SITUACIÓN ACTUAL
Iniciamos nuestros Consejos para la Práctica presentando a continuación un
cuestionario que permite realizar un diagnóstico sobre el estado en que se
encuentra la entidad, útil para tomar conciencia y obtener mayor informa-
ción sobre los aspectos que se deben mejorar para administrar adecuada-
mente los riesgos.
1. Esta usted listo para administrar el riesgo?
Responda las siguientes preguntas usando escala desde 1 (nunca), 2 (a ve-
ces) hasta 3 (siempre). Deje casillas en blanco si no conoce la respuesta:
# Criter ios para la auto-evaluación o
diagnóstico Diagnóstico
1 2 3
Tome en cuenta estos criterios para valorar su situación actual:
1 La administración de riesgos es tema de dis-
cusión en nuestros comités de área y de UN.
2 Nuestros reportes sobre decisiones importan-
tes incluyen los riesgos de cada escenario
3
Administradores asisten a los talleres (tanto
internos como conferencias) sobre prácticas
de administración del riesgo.
4
Tenemos una valoración clara de los riesgos
por lo cual la mayoría de eventos no nos to-
man por sorpresa.
PLANEACION DE LA ADMINISTRACION DE RIESGOS
5
Cuando una de mis decisiones se torna insa-
tisfactoria, el equipo administrativo trata de
aprender de ello.
6 Estoy provisto de las herramientas que nece-
sito para valorizar el riesgo.
7 Mi jefe respalda la administración del riesgo.
Total de puntos 7 14 21
Puntaje < 13:
Administración del riesgo no es parte de su entidad actual. Trabaje en la
construcción y apreciación para el manejo del riesgo.
Puntaje 13-18:
Administración del riesgo es parte de su entidad, pero se requiere su ayu-
da para convertirla en una mayor parte de la cultura corporativa de la ge-
rencia.
Puntaje >18:
Estructura de éxito. Revise las áreas en que se obtuvo 2 puntos o menos
para ver qué medidas debe tomar.
PLANEACION DE LA ADMINISTRACION DE RIESGOS
Diagnóstico de las bases del proceso de administración de riesgos Considere los siguientes elementos que existen en una adecuada adminis-
tración de riesgos. Responda las siguientes preguntas para definir la nece-
sidad de fortalecer la administración de riesgo, usando escala desde 1
(no/inexistente), 2 (insuficiente/requiere mejoras) hasta 3
(si/satisfactorio).
# Criter ios para la auto -eva luación o
Diagnóst ico
Diagnóst ico
1 2 3
1 Propósitos generales claramente definidos,
publicados y comprendidos en la Entidad.
2 Objetivos definidos y comunicados.
3
Personal con claro entendimiento de cómo
sus objetivos personales se relacionan con
los de su área y el resto de la organización.
4 Revisión anual de la relación entre los objet i-
vos organizacionales y personales.
5 Lenguaje común de riesgo
6
Un acuerdo común, parámetros y responsabi-
lidades claras sobre el manejo del riesgo en la
Entidad.
7 Análisis de riesgos inherentes 2 basados en los
siguientes componentes:
Riesgos por fuerzas de la naturaleza
Riesgos por fuerzas sociales
2 El riesgo inherente es aquel a que se expondría la organización en carencia absoluta de controles.
PLANEACION DE LA ADMINISTRACION DE RIESGOS
# Criter ios para la auto -eva luación o
Diagnóst ico
Diagnóst ico
1 2 3
Riesgos por fuerzas políticas y legales
Riesgos por fuerzas económicas
Riesgos por fuerzas tecnológicas
Riesgos por factores relacionados con los
Proveedores
Riesgos por factores relacionados con los
clientes
Riesgos por competidores de la industria
Riesgos por nuevos competidores
Riesgos por productos sustitutos
8
Identificación de nuevos riesgos inherentes
ante cambios en las funciones y responsabil i-
dades.
9
Identificación de riesgos inherentes para ca-
da uno los objetivos estratégicos y operativos
definidos por la Entidad.
10 Conocimiento de los tres riesgos más impor-
tantes a enfrentar en los próximos 12 meses.
11
Conocimiento de las oportunidades de la En-
tidad para lograr sus objetivos en los próx i-
mos 12 meses.
12 Conocimiento y experiencia para priorizar y
manejar los riesgos.
13 Conocimiento sobre los principales riesgos
que administran otras organizaciones.
14 Evaluación de la efectividad de los controles
y el manejo gerencial del riesgo.
PLANEACION DE LA ADMINISTRACION DE RIESGOS
# Criter ios para la auto -eva luación o
Diagnóst ico
Diagnóst ico
1 2 3
15 Evaluación del costo-beneficio de los contro-
les
16 Conocimiento de cuánto riesgo se puede to-
mar en el cumplimiento de objetivos.
17 Revisión rutinaria de la efectividad de la ac-
tividad de administración de riesgos
18
Políticas y procedimientos definidos para re-
portar los cambios de riesgo, los incidentes y
las fallas de control y el desempeño del pro-
ceso en general.
19 Entrenamiento en manejo del riesgo estrat é-
gico y operativo.
20
Procesos de comunicación y reporte debida-
mente soportados con un adecuado mane jo
de riesgo.
21
Receptividad de la Alta Gerencia sobre el
desempeño de la gestión de riesgos incluidas
las malas noticias.
22
Un código de conducta que guía al personal
en las acciones relacionadas para el manejo
de riesgos.
23
Monitoreo de la efectividad del manejo de
riesgo como parte de una rutina integral del
reporte de procesos gerenciales.
PLANEACION DE LA ADMINISTRACION DE RIESGOS
2. DIRECTRICES GENERALES
Realizado el diagnóstico sobre la situación actual, conviene en este punto
formalizar los siguientes aspectos clave:
Compromiso de la alta y media dirección: Para el éxito en la imple-
mentación de una adecuada administración del riesgo, es indispensable el
compromiso de la alta gerencia como encargada, en primera instancia, de
definir las políticas y en segunda instancia de estimular la cultura de la
identificación y prevención del riesgo. Para lograrlo es importante la defi-
nición de canales directos de comunicación y el apoyo a todas las acciones
emprendidas en este sentido, propiciando los espacios y asignando los re-
cursos necesarios.
Conformación de un equipo de trabajo: Es importante conformar un
equipo de trabajo que se encargue de liderar el proceso de administración
del riesgo dentro de la entidad y cuente con un canal directo de comuni-
cación con la alta dirección. Dicho equipo lo deben integrar personas de
diferentes áreas que conozcan muy bien la entidad y el funcionamiento de
los diferentes procesos para que se facilite la administración del riesgo y la
construcción de los mapas de riesgos institucionales.
PLANEACION DE LA ADMINISTRACION DE RIESGOS
Capacitación en la metodología: Definido el equipo o equipos de tra-
bajo, debe capacitarse a sus integrantes en la metodología de la adminis-
tración del riesgo, para lo cual se podrá contar con el apoyo de estos Con-
sejos para la Práctica y/o personal externo especializado en el tema.
PLANEACION DE LA ADMINISTRACION DE RIESGOS
3. TAREAS O ACTIVIDADES CLAVE DEL PROCESO DE ADMINISTRACION DE RIESGOS
Un adecuado proceso de administración de riesgos está compuesto por
un conjunto de 6 tareas o actividades clave que interactúan entre sí para
identificar, documentar, administrar y mantener actualizados los riesgos
estratégicos y operativos que debe administrar la Entidad, tal como se
muestra en la figura abajo.
Estas actividades clave son las explicaremos a continuación, agrupando
por cada actividad, los Consejos para la Práctica que hemos considerado
básicos para la implementación y/o fortalecimiento de la Administración
de Riesgos. Utilizamos la etiqueta para ampliar conceptos esenciales
del contenido así como pies de página que aseguraran la comprensión
inmediata de la metodología propuesta.
DEFINIR TRATAMIENTO DE RIESGO
16
ACTIVIDAD 1 - DEFINIR EL CONTEXTO
Qué es? Es evaluar con claridad la posición actual de la Entidadfrente al entorno
externo e interno de la industria3 y exponer con exactitud los objetivos
estrategicos y operativos a los que dará soporte la Administración de
Riesgos para el cumplimiento de los mismos.
Para qué sirve?
Facilita la asignación de recursos en la administración exclusiva de los
riesgos clave4 del negocio, frente a un universo de riesgos potenciales que
por su relevancia y/o costo/beneficio la Dirección decide descartarlos.
Cosas para hacer
Es estrictamente necesario satisfacer los siguientes pasos:
1. Elabore o documente su plan estratégico.
Permite asegurar el alineamiento de la misión, visión, objetivos es-
tratégicos y metas de la Entidad. Saber responder ¿Quiénes somos?
¿Por qué existimos? y ¿Hacia dónde vamos? Le asegura mayor efi-
ciencia y eficacia a la administración de riesgos.
3 Ver más sobre el análisis del entorno en Consideraciones especiales para la evaluación de riesgos
estratégicos Pág. 49.
4 En administración de riesgos, los riesgos clave son los que hace referencia a aquellos que
la entidad está obligada a administrar para asegurar los objetivos estratégicos y operativos.
DEFINIR EL CONTEXTO Actividad 1 de 6
2. Identifique las partes interesadas (stakeholders) que son afectadas o
pueden afectar las actividades de la Entidad.
Le permite analizar los objetivos específicos que convergen entre
los accionistas, acreedores, proveedores, clientes, empleados, go-
bierno con la Entidad. Posteriormente se evalúan los riesgos que
deben administrarse para lograr los objetivos entre los stakeholders.
3. Defina la tolerancia al riesgo de los objetivos estratégicos y operativos.
Permite determinar los niveles aceptables de variación entre la meta
planeada y la realidad y tomar decisiones sobre cuánto invertir para
lograr los resultados deseados. Por ejemplo:
Fijar una meta de 95% de calidad, con tolerancia de 90%. Si sus
informes indican 91% de calidad, teóricamente no necesitaría
hacer mayores inversiones en administrar los riesgos del proce-
so de calidad.
Fijar un objetivo del 98% de puntualidad para sus entregas, con
una desviación aceptable entre el 97% y el 100%, pero al medir
resulta una puntualidad de 90%, la Entidad deberá en esas ins-
tancias invertir recursos para alcanzar la meta de 98%.
Esperar que el personal responda a todos los reclamos de los
clientes en un plazo de 24 horas, aunque acepta que hasta un
25% de ellas se atiendan entre 24 y 36 horas.
DEFINIR EL CONTEXTO Actividad 1 de 6
Representado en una tabla, el ejercicio de alinear objetivos con la
tolerancia al riesgo sería bajo el siguiente ejemplo:
Tabla vinculación de la misión con los objetivos y tolerancia al riesgo
Misión Somos el fabricante líder de productos de cali-dad para el hogar en las regiones en las que operamos.
Objetivo Estratégi-co
Estar en el cuartil superior de ventas de produc-to a nuestros minoristas.
Otros objetivos re-lacionados
Reclutar 180 nuevos empleados cualificados en el conjunto de todas las divisiones de fabrica-ción, con el fin de responder a la demanda de nuestros clientes sin sobrecargar la planilla.
Unidad de medi-da de los objetivos
Número de nuevos empleados cualificados contratados.
Tolerancia (en +/-)
160 - 200 nuevos empleados cualificados.
4. Identifique los procesos clave y documéntelos con diagramas de flujo
y/o narrativas. Para poder identificar sus procesos clave pregúntese y
analice ¿Cómo hace la Entidad para que sus productos o servicios
permitan lograr las metas planteadas?
Los diagramas de flujo sirven como herramienta para el análisis de
flujo de procesos, una técnica sencilla para la identificación de eventos
que veremos posteriormente.
DEFINIR EL CONTEXTO Actividad 1 de 6
Los pasos formales para la construcción de Diagramas de Flujo in-
cluye:
Paso 1: Establecer quienes deben participar en la construcción
del Diagrama.
Paso 2: Preparar la logística de la sesión.
Paso 3: Establecer el objetivo de los diagramas de flujo y resul-
tado esperado de la sesión de trabajo.
Paso 4: Definir el alcance de cada proceso clave.
Paso 5: Esquematizar la secuencia lógica lo más cercano posi-
ble a la realidad, utilizando la simbología adecuado, tomando en
cuenta el siguiente cuestionario básico para la elaboración de
diagramas:
¿Qué es lo primero que ocurre?
¿Qué es lo siguiente que ocurre?
¿Qué es lo último que ocurre?
¿De dónde viene el (Servicio, Material)?
¿Cómo llega al proceso?
¿Quién toma las decisiones?
¿Qué pasa si la decisión es “Sí”?
¿Qué pasa si es “No”?
¿A dónde va el producto de esta operación?
¿Qué revisiones / verificaciones se realizan en el “producto” en cada par-te del proceso?
¿Qué pasa si la revisión / verificación no cumple con los requisitos?
DEFINIR EL CONTEXTO Actividad 1 de 6
Paso 6: Revisar el diagrama, verificando que sea una representa-
ción gráfica del proceso apegada a la realidad con el nivel de de-
talle de información necesaria para tener una comprensión preci-
sa del proceso flujogramado.
5. Documente los objetivos de control de cada uno de sus procesos de
negocio.
Los objetivos de control, son declaraciones del resultado deseado o
del propósito a ser alcanzado implementando procedimientos de
control en una actividad particular. Por ejemplo, en el proceso de
Inventario algunos objetivos de control comunes son:
Rotar el inventario por antigüedad del mismo.
Asegurarse del registro de los consumos de inventario.
Asegurar que todo el inventario obsoleto o de lento movimien-
to son identificados y propiamente valuados.
DEFINIR TRATAMIENTO DE RIESGO
21
ACTIVIDAD 2 - IDENTIFICAR Y DOCUMENTAR RIESGOS
Qué es? Es la identificación de incidentes o acontecimientos que pueden afectar la
implantación de la estrategia o la consecución de los objetivos.
Para qué sirve?
El uso de herramientas o métodos formales de identificación de eventos,
ayuda a la Dirección a tener plena conciencia sobre los riesgos de la
organización, reduciendo lo que sería una especie de ceguera organizacional.
Cosas para hacer
1. Efectúe un análisis de flujo de procesos en un taller de trabajo:
Recorriendo cada paso representado en los diagramas de flujo, vi-
sualice múltiples escenarios y pregúntese:
Qué puede salir mal? Para afectar los objetivos de control defi-
nidos en la etapa anterior.
Cómo puede suceder?
Quién puede generarlo?
Por qué se puede presentar?
Cuándo puede ocurrir?
En función a éstas preguntas, documente su análisis de lo que
puede salir mal en una lista de eventos.
IDENTIFICAR Y DOCUMENTAR RIESGOS Actividad 2 de 6
2. Refuerce el análisis de flujo efectuando una inspección al proceso. Los pa-
sos necesarios para realizar una inspección de procesos son:
1. Realice un recorrido general estableciendo contacto con las instala-
ciones y operaciones realizadas.
2. Compruebe en forma física la manera como se llevan a cabo las ac-
tividades, el estado de los equipos, instalaciones, filtros o controles
y la manera de prestar los servicios ofrecidos.
3. Recoja información adicional entrevistando al personal, utilice en-
tre otras, las siguientes preguntas:
a. Procesos que en su opinión deberían ser evaluados y refor-
mados?
b. Actividades que le ocasionan gran esfuerzo y mayores recur-
sos humanos?
c. Aspectos que le impiden lograr sus tareas u objetivos diarios?
4. Realizar una reunión con el responsable del sitio o del proceso ana-
lizado para aclarar o precisar detalles adicionales y establecer final-
mente la lista de eventos identificados.
IDENTIFICAR Y DOCUMENTAR RIESGOS Actividad 2 de 6
5. Concluya el proceso de identificación de eventos, haciendo un aná-
lisis de los factores externos e internos5 que pueden afectar a la or-
ganización. Para mayor comprensión véase Pág. 49, Consideraciones
Especiales para la Evaluación de Riesgos Estratégicos para obtener más in-
formación sobre este paso.
6. Documente la información recopilada en la siguiente sección de la
matriz de evaluación de riesgos - control:
UNIDAD CORPORATIVA DE CONTROL DE GESTION
FORMATO MATRIZ DE EVALUACION DE RIESGO - CONTROL
Riesgo / Impacto Causa Descripción del
riesgo
Tipo de riesgo
Para preparar la matriz anterior tome en cuenta las siguientes considera-
ciones:
1. En la columna Riesgo/Impacto, se conceptualizan los eventos
identificados anteriormente, describiendo el incidente o aconteci-
miento que afectaría el cumplimiento de los objetivos.
2. La causa, es el motivo, la vulnerabilidad o circunstancia por las cua-
les se considera que un evento puede ocurrir. ¿Qué es lo que falta?
5 Este paso se realiza después de haber hecho el análisis de flujo de procesos y la ins-
pección a fin de tener un conocimiento profundo de los procesos del negocio.
IDENTIFICAR Y DOCUMENTAR RIESGOS Actividad 2 de 6
¿Qué es lo que falla? ¿Qué excesos existen? Por ejemplo, ¿Qué es
lo que falla en una Entidad para que ocurra el riesgo de fraude?:
a. Falta de políticas de selección de proveedores.
b. Falta de normas para el proceso de compras.
c. Exceso de poder.
d. Ausencia del perfil del cargo de Jefe de compras.
e. Fallas en la selección del Jefe de compras.
f. Ausencia de procedimientos de validación y verificación de
los productos o servicios comprados.
3. La descripción del riesgo le permite ampliar la perspectiva bajo la
cual ciertos eventos se consideran riesgos, facilitando la compren-
sión de cómo estos pueden suceder. A mayor comprensión del
riesgo, mayor seguridad de que se implementen y ejecuten las acti-
vidades de control por parte del personal.
En la práctica, muchos riesgos llegan a ocurrir por desestimar que
estos pudieran materializarse al no comprender la vulnerabilidad y
su impacto.
4. Tipificar el riesgo, es clasificarlo de acuerdo a sus consecuencias es-
tratégicas y operativas, las cuales suelen ser de tipo 1) financiero 2)
laboral 3) operativo 4) medio ambiental 5) de imagen y 6) de mer-
cado. Estas clasificaciones permiten obtener con un enfoque de
IDENTIFICAR Y DOCUMENTAR RIESGOS Actividad 2 de 6
administración de riesgos, una referencia rápida de las debilidades y
fortalezas de la Entidad.
A estos 6 elementos, se les llama sistemas de referencia por ser donde se ob-
serva la repercusión de un riesgo.
Métodos alternativos para la identificación de riesgos
Existen otros métodos que al combinarlos, aportan información impor-
tante que puede servir en la tarea de identificación.
Lista de chequeo de las pólizas de seguro
Cosas para hacer
1. Consulte en las compañías aseguradoras o libros publicados sobre se-
guros
Los catálogos de los diferentes riesgos que pueden cubrir las pólizas
de seguros proporcionan un amplio panorama de análisis, aunque
generalmente excluyen los no asegurables, pone en la conciencia de
la organización riesgos como los del cuadro a continuación.
Cuadro 2. Lista de chequeo de las pólizas de seguro (tomado de Mapfre)
Grupo Riesgo
Riesgos de la naturaleza
Terremoto, lluvia torrencial, caída de rayo, inundación, ola de calor o frío, sequía, moho, hongos, etc.
Riesgos tecno-lógicos
Incendio, explosión, humo, polvo, derrame de produc-tos químicos, escape de gases y vapores, contaminación súbita, avería mecánica o eléctrica de maquinaria, corte súbito de energía eléctrica, desmoronamiento de mate-
IDENTIFICAR Y DOCUMENTAR RIESGOS Actividad 2 de 6
rial apilado, obsolescencia de equipo.
Riesgos de transporte
Averías de medios de transporte, colisión, pérdida o deterioro de mercancía, errores de conducción.
Riesgos políti-cos-sociales
Guerra civil, acto bélico, levantamiento militar o civil, revolución, motín, huelga legal, confiscación, etc.
Riesgos antiso-ciales
Terrorismo, sabotaje, huelga ilegal, acto vandálico, pi-romanía, asesinato, atentado, secuestro, robo, hurto, desaparición misteriosa, mermas, infidelidad de em-pleados, falsificación, desfalco, fraude, intrusión y es-pionaje industrial
Riesgos indirec-tos
Daños a bienes arrendados a terceros, o bajo dominio de terceros o bajo su responsabilidad civil.
Riesgos conse-cuenciales
Demolición necesaria de partes ilesas, pérdida de uso, pérdida de personal clave, gastos financieros extraordi-narios.
Responsabilidad civil empresarial
Daño a edificio o local arrendado, daño a bien de terce-ros en: depósito, proceso de transformación, mezcla o ensamble, incumplimiento de contrato, difamación, ca-lumnia, piratería industrial o comercial, competencia desleal.
Responsabilidad civil patronal
Incumplimiento de normas de higiene, de seguridad, de convenio colectivo, de contrato individual, daños a bie-nes de empleados, etc.
Responsabilidad civil profesional
Error técnico, de diseño o cálculo, error administrativo, abandono de funciones profesionales, negligencia, dolo de personal directivo.
Responsabilidad civil ecológica
Contaminación gradual del ambiente, contaminación súbita o accidental, delito ecológico.
IDENTIFICAR Y DOCUMENTAR RIESGOS Actividad 2 de 6
Riesgos perso-nales
Muerte por accidente laboral, muerte por accidente no laboral, invalidez permanente, incapacidad profesional, incapacidad laboral transitoria, secuestro, asesinato, atentado.
Riesgos finan-cieros
Riesgo de crédito, riesgo de inversión en el exterior, riesgo de caución, riesgo de cambio.
Análisis de estados financieros y otra información de la empresa
Cosas para hacer
1. Analice los indicadores financieros, tales como rentabilidad, liqui-
dez, nivel de endeudamiento, rotación de inventarios o de cartera.
2. Efectúe análisis comparativos de las cifras del balance y el estado de
resultado, entre años y entre rubros. Adicionalmente analice las ci-
fras más representativas de los activos, los pasivos, el patrimonio,
los ingresos y los gastos.
i. Esta herramienta indiscutiblemente requiere de un conocimiento
amplio de los aspectos financieros, contables y del funcionamien-
to de la empresa. El análisis puede ampliarse con entrevistas a los
responsables de las cuentas o centros de costos.
IDENTIFICAR Y DOCUMENTAR RIESGOS Actividad 2 de 6
El análisis de información adicional de la empresa incluye el estudio de
documentos que pueden ayudar a identificar sus riesgos, si se revisan con
cuidado y con mirada amplia y creativa.
Documentos tales como organigramas, informe anual de actividades, con-
tratos, informes de auditorías o de entidades de vigilancia, planes de desa-
rrollo, manuales de operación, folletos, publicidad de la empresa, registros
de siniestralidad, informes de sugerencias, quejas y reclamos, etc.
DEFINIR TRATAMIENTO DE RIESGO
29
ACTIVIDAD 3 - ANALIZAR Y EVALUAR NIVELES DE RIESGO
Qué es? Consiste en cuantificar, mediante métodos cualitativos y cuantitativos -
dependiendo de la importancia o disponibilidad de la información- que
tan probable es que un riesgo ocurra y que impacto tendría en los objeti-
vos de la organización. En este punto, se evalúa el listado de even-
tos/riesgos identificados y documentados en la sección anterior.
Para qué sirve?
Permite tomar decisiones sobre la forma en que la Entidad administra los
riesgos de negocio. Una organización no puede dedicar toda su atención
(y su dinero) en administrar y mitigar el universo de riesgos sin importar
su probabilidad e impacto. Mediante un proceso formal de análisis y eva-
luación se definen prioridades y el tipo de respuesta6.
Cosas para hacer
1. Efectúe una encuesta al personal para que dé una valoración de los
riesgos identificados.
Los pasos formales para efectuar un análisis y evaluación del nivel de
riesgo basado en el criterio o juicio profesional de las personas, em-
pleados o grupos de interés son:
6En materia de administración de riesgos, la respuesta a los riesgos son: Evitar, Reducir, Compartir y Aceptar. Véase más en el proceso 4 “Definir tratamiento de riesgo” en Pág. 37
ANALIZAR Y EVALUAR NIVELES DE RIESGO Actividad 3 de 6
Defina los criterios cualitativos de medición tanto para la probabi-
lidad de ocurrencia como para el impacto. Prepare estos criterios en
escalas descriptivas como los ejemplos de abajo.
Estas escalas y la forma en que se interpretará cada una de ellas de-
be ser consensuada con el equipo y de preferencia ser aprobadas
por la Dirección
Vacíe su listado de riesgos identificados anteriormente en un for-
mato encuesta como el ejemplo y solicítele al personal involucrado
a que le asigne la calificación que considere más apropiada, sobre la
probabilidad de ocurrencia de sus riesgos clave:
EMPRESA XYZ
PROCESO DE EVALUACION DE RIESGOS CALIFICACION DE LA PROBABILIDAD DE OCURRENCIA DE RIESGOS CLAVE
PROCESO:
# Riesgo
Calificación
1 2 3 4 5
1 Accidente laboral
2 Fallas de software
… …
Clave Calificación
1 Extremadamente Improbable
2 Improbable
3 Posible
4 Probable
5 Casi Segura
ANALIZAR Y EVALUAR NIVELES DE RIESGO Actividad 3 de 6
De la misma forma, solicítele al personal involucrado a que le asig-
ne la calificación que considere más apropiada para determinar el
impacto de ocurrencia de sus riesgos clave:
EMPRESA XYZ
PROCESO DE EVALUACION DE RIESGOS CALIFICACION DEL IMPACTO
TIPO DE RIESGO: DE IMAGEN (*)
PROCESO ABC.
# Riesgo
Calificación
1 2 5 10 20
1 Accidente Laboral
2 Fallas de software
… …
Clave Calificación
1 Insignificante
2 Menor
5 Moderado
10 Grave
20 Catastrófico
Notas:
(*) Se debe realizar una encuesta por cada tipo de riesgos, para calificar el im-pacto de cada uno de ellos en: Lo Financiero, Laboral, Ambiental, Operativo y de Mercado.
ANALIZAR Y EVALUAR NIVELES DE RIESGO Actividad 3 de 6
Con la información anterior completamos nuestra Matriz de Eva-
luación de Riesgo - Control.
Riesgo / Impacto Causa Descripción del
Riesgo
Tipo de Riesgo
Continúa
Probabilidad Severidad del Impacto Impacto en Lps.
Se utiliza escalas principalmente cua-
litativas:
- 5 (Casi segura)
- 4 (Probable)
- 3 (Posible)
- 2 (Improbable)
- 1 (Extremadamente Improbable)
La escala más común:
- 20 (Catastrófico)
- 10 (Grave)
- 5 (Moderado)
- 2 (Menor)
- 1 (Insignificante)
Mapas de Riesgo
Los riesgos evaluados por lo general se grafican en un mapa de riesgos, los cuales mediante escala de colores dan una visualización rápida sobre la criticidad de los riesgos inherentes,7 residuales8y tratados9 a los cuales se enfrenta la Entidad.
7El riesgo inherente es aquel a que se expondría la organización en carencia absoluta de
controles. 8 El riesgo residual es el que enfrenta la organización como consecuencia del efecto miti-gante de sus controles actualmente vigentes. 9El riesgo tratado es el que subsistirá después de haber incorporado nuevos controles y optimizado los actualmente vigentes.
ANALIZAR Y EVALUAR NIVELES DE RIESGO Actividad 3 de 6
Para la elaboración de los mapas de riesgos, en función a las calificaciones
obtenidas en el paso anterior, resta únicamente ubicar los riesgos en las
zonas que corresponden a la calificación obtenida.
Cód. Evento Probabilidad Impacto
A1 Accidente laboral 3 5
A2 Fallas de Software 1 10
Empresa XYZ Mapa de riesgos Financieros*
*En la práctica conviene construir un mapa de riesgos por cada sis-
tema de referencia sobre el cual se hizo la evaluación de riesgos, de
manera que un riesgo con una gravedad insignificante en las finan-
zas puede tener un impacto grave en el medio ambiente.
Ejemplos de escalas cualitativas de probabilidad e impacto
ANALIZAR Y EVALUAR NIVELES DE RIESGO Actividad 3 de 6
ESCALAS DE PROBABILIDAD
ANALIZAR Y EVALUAR NIVELES DE RIESGO Actividad 3 de 6
ESCALAS DE IMPACTO
ANALIZAR Y EVALUAR NIVELES DE RIESGO Actividad 3 de 6
DEFINIR TRATAMIENTO DE RIESGO
37
ACTIVIDAD 4 - DEFINIR TRATAMIENTO DE RIESGO
Qué es? Es determinar cómo la Dirección va a responder a cada uno de los riesgos
evaluados. Las opciones en administración de riesgos son: evitar, redu-
cir, compartir y aceptar el riesgo.
En esta etapa se definen además las actividades de control para evitar, re-
ducir o compartir los riesgos así como los criterios para aceptarlos. En
este proceso se evalúan y/o diseñan las medidas que tomará la dirección
para mejorar la gestión de riesgos y aumentar la probabilidad de alcanzar
los objetivos y metas establecidas.
Para qué sirve? Es fundamental para un adecuado sistema de administración de riesgos.
Una decisión errónea puede dejar a la Entidad expuesta a riesgos clave o
agravar el costo operativo por evaluar erróneamente el costo/beneficio de
las respuestas seleccionadas.
Cosas para hacer 1. Determine la respuesta a los riesgos, tomando en cuenta lo siguiente:
El efecto que pueda tener las posibles respuestas sobre la probabili-
dad y el impacto del riesgo.
Los costes y beneficios de las respuestas potenciales.
Las posibles oportunidades para alcanzar los objetivos de la entidad.
DEFINIR TRATAMIENTO DE RIESGO Actividad 4 de 6
2. Establezca políticas y procedimientos para asegurar que las respuestas
a los riesgos son ejecutadas efectivamente.
Las políticas y procedimientos proveen un marco normativo a
las respuestas al riesgo que se definen en esta etapa. Por su
criticidad y los recursos que se comprometen según la res-
puesta al riesgo que se defina, tres aspectos importantes deben
considerarse:
i. Proveer las instrucciones precisas sobre como la Dirección pre-
vé evitar, reducir, compartir o aceptar el riesgo.
ii. Proveer los recursos para reducir o compartir riesgos.
iii. Dejar canales de comunicación abiertos en caso se identifiquen
oportunidades de mejora en las políticas o procedimientos que
dan respuesta a los riesgos. La Entidad debe preguntarse conti-
nuamente si hay modos más eficientes o eficaces, o sí es equi-
vocada el tipo de respuesta actual.
Las 4 posibles respuestas al riesgo se basan en los conceptos siguientes:
Evitar
Supone salir de las actividades que generan riesgos.
Prescindir de una unidad de negocio, línea de producto o segmen-to geográfico.
No emprender nuevas iniciativas/actividades que podrían dar lugar a riesgos.
DEFINIR TRATAMIENTO DE RIESGO Actividad 4 de 6
Reducir
Implica llevar a cabo acciones para reducir la probabilidad o el impac-to del riesgo o ambos conceptos a la vez.
Diversificar las ofertas de productos.
Establecer límites operativos.
Establecer procesos de negocio eficaces.
Aumentar la implicación de la dirección en la toma de decisiones y el seguimiento.
Reasignar el capital entre las unidades operativas.
Compartir
La probabilidad o el impacto se reducen trasladando o, de otro modo, compartiendo una parte del riesgo.
Adoptar seguros contra pérdidas inesperadas significativas.
Entrar en una sociedad de capital de riesgo/sociedad compartida.
Establecer acuerdos con otras empresas.
Utilizar instrumentos del mercado de capital a largo plazo.
Acuerdos con clientes, proveedores u otros socios de negocio.
Aceptar
No se emprende ninguna acción que afecte la probabilidad o impacto
Provisionar las posibles pérdidas.
Se desestima la adquisición de nuevos sistemas de información.
No se producen esfuerzos por afectar el status quo.
Los procesos no sufren cambio alguno.
DEFINIR TRATAMIENTO DE RIESGO Actividad 4 de 6
3. Evalúe los controles que están funcionando actualmente. Tómele una
fotografía a la situación actual.
Reúna a su equipo y demás personal que tenga conocimiento so-
bre su área. Examine cada objetivo de control, los riesgos rela-
cionados y pregúntense ¿Qué actividades permiten detectar y/o
reducir los riesgos para lograr los objetivos?
Determine qué tipo de controles son con los que cuenta actual-
mente, en cuanto a si es preventivo, detectivo, de protección o
correctivo, así como la eficacia que a juicio del equipo tiene cada
control para mitigar los riesgos.
4. Defina los controles que le den una cobertura razonable a los riesgos.
Considere cual sería la situación deseada, lo que debería existir en contra-
posición a la situación actual.
Se requiere mucho juicio estimar hasta donde es necesario definir
controles para mitigar los riesgos, básicamente es hasta donde la
administración pueda tener confianza, transparencia y competi-
tividad de las operaciones del negocio.
Se requiere conocer perfectamente los tipos de controles, para
aplicar algunas fórmulas o criterios utilizados en la práctica, tales
como:
DEFINIR TRATAMIENTO DE RIESGO Actividad 4 de 6
i. Diseñar objetivos preventivos, si el riesgo residual continúa
siendo crítico, formule entonces controles detectivos, luego de
ser necesario los controles de protección y los correctivos.
ii. De preferencia, los controles deben ser automatizados antes
que manuales ya que los primeros gozan de un mayor nivel de
seguridad.
iii. Equilibre los controles a nivel de entidad con los controles deta-
llados a nivel de transacción. Los primeros suelen consumir me-
nos recursos, son menos costosos que los diseñados a nivel de
transacción.
5. Analice la efectividad de los controles
Una vez definidos los controles actuales y los que decidió im-
plementar, se calcula su efectividad, es decir, se establece su con-
tribución a la disminución del riesgo (eficacia) con un uso ade-
cuado de los recursos (eficiencia). Este paso en la práctica puede
ejecutarse en forma paralela o aún antes del paso Definición de con-
troles anterior.
Para establecer la efectividad de los controles propuestos se utili-
za el cuadro siguiente, el cual se estructura con tres niveles de
eficacia de los controles: baja, media y alta, al igual que tres nive-
les para la eficiencia.
DEFINIR TRATAMIENTO DE RIESGO Actividad 4 de 6
Efectividad de los controles
Eficacia
Alta Media Alta Muy alta
Media Baja Media Alta
Baja Muy Baja Baja Media
Baja Media Alta
Eficiencia
La efectividad de los controles se determina calificando la eficiencia
y la eficacia en forma cualitativa, de la siguiente manera: si un con-
trol tiene una eficiencia baja y una eficacia baja, la efectividad es
muy baja, tal como figura en la celda de intersección entre la califi-
cación de la eficiencia y la eficacia; si por el contrario, la eficiencia
es alta y la eficacia también, su efectividad es muy alta.
Cabe mencionar que la eficacia es en referencia a la capacidad del
control para reducir la probabilidad de ocurrencia o frecuencia del
riesgo así como su impacto. La eficiencia hace referencia al costo
del control en relación a la envergadura del riesgo que mitiga.
La eficiencia y eficacia de un control se valora de acuerdo a la per-
cepción de valor que tenga sobre el mismo los evaluadores de con-
trol en esta fase
DEFINIR TRATAMIENTO DE RIESGO
43
ACTIVIDAD 5 - ADMINISTRAR Y COMUNICAR INCIDENTES
Qué es? Es un proceso mediante el cual, al presentarse eventos de pérdida, estos
son administrados a través de un proceso que asegure que:
Son registrados en estadísticas de incidentes de manera oportuna y fi-
dedigna,
Generan una respuesta en cuanto a posibles acciones contingentes,
Son analizados para retroalimentar las estimaciones de probabilidad e
impacto de los riesgos y
Generan “inteligencia” a la empresa.
Para qué sirve? Registrar los incidentes en el proceso de administración y comunicación
de incidentes, es importante porque es una especie de “comprobación de
hipótesis” sobre las estimaciones de probabilidad e impacto de los ries-
gos. Además el análisis histórico de eventos permite hacer pronósticos de
posibles eventos futuros.
Cosas para hacer 1. Consolide los siguientes procesos de administración y comunicación
de incidentes:
1. Proporcionar y capturar
Tiene que ver con la forma en que se genera y capta la informa-
ción, ya sea desde fuentes internas o externas. Se abordan en este
ADMINISTRAR Y COMUNICAR INCIDENTES Actividad 5 de 6
nivel las reglas para captar y registrar la información, los métodos
y los criterios de selección de los incidentes relevantes.
2. Procesar y analizar
Se analiza la información para evaluar el riesgo de la información,
comprobar la hipótesis sobre probabilidad e impacto previsto y
modificar proyecciones de riesgo futuros.
3. Informar
Se relaciona con la forma de distribuir la información a los usua-
rios finales. Ya sea de manera formal, informal o personalizada
mediante escritos o reuniones sobre el proceso de administración
de riesgos y los incidentes registrados.
Los incidentes registrados se archivan y mantienen disponibles
para futuras evaluaciones de riesgo periódicas.
MONITOREAR Actividad 6 de 6
ACTIVIDAD 6 –MONITOREAR
Qué es? Nos proporciona una vigilancia rutinaria del desempeño actual para compa-
rar con el desempeño esperado o requerido. Involucra la investigación pe-
riódica de la situación actual, la comparación continua, dinámica y desea-
blemente automatizada para determinar si la administración del riesgo está
operando eficazmente.
Para qué sirve?
Informa sobre la efectividad de las estrategias y los sistemas de administra-
ción establecidos para el tratamiento de riesgos.
Cosas para hacer
1. Establezca las bases del sistema de monitoreo.
Los pasos formales para hacer esto incluye:
i. Defina y publique ante toda la Entidad el “tono en la organiza-
ción”: estándares y principios éticos que guían a la Alta Dirección,
sobre los cuales los empleados y demás grupos de interés tendrán
confianza sobre las actuaciones y decisiones que tome la Alta Di-
rección.
La forma en que ésta exprese sus creencias acerca de la importancia
del monitoreo, tiene un impacto directo sobre la eficacia de la ad-
ministración del riesgo.
MONITOREAR Actividad 6 de 6
ii. Integre su sistema de monitoreo a las funciones y responsabilidades
de vigilancia a la estructura organizacional responsable de la empresa
misma o Unidad de Negocio: Consejo de Administración, Alta Di-
rección y Comités Ejecutivos, evite aislar su sistema de administra-
ción de riesgo con el del resto de la Organización.
iii. Asegúrese de tener una comprensión básica de la eficacia del pro-
ceso de administración de riesgos que ha implementado.
Esta comprensión le permite monitorear en tiempo real si:
o Los controles se han diseñado y aplicado correctamente
desde el principio.
o Si existe la necesidad de efectuar cambios en alguna parte
del sistema de administración de riesgos y controles ope-
rando.
o Si el entorno en el cual se han implementado controles ha
respondido adecuadamente y se están logrando los objeti-
vos previstos.
2. Diseñe y ejecute procedimientos de monitoreo.
El monitoreo es un proceso dinámico, que puede ser implementado
a través de los siguientes pasos:
MONITOREAR Actividad 6 de 6
Paso 1: Priorice los riesgos. De mayor a menor en la medida en que
estos son determinantes en la consecución de los objetivos.
Paso 2: Identifique los controles clave. Oriente las funciones de
monitoreo de su estructura organizacional en aquellos controles ca-
paces de mitigar los riesgos seleccionados anteriormente.
Paso 3: Identifica información concluyente. Implica estudiar el tipo
de información que necesitará para monitorear la eficacia del control
interno para gestionar o mitigar los riesgos identificados.
Existe dos tipos de información concluyente: la información directa,
proveniente de la observación de los controles en la operación o de
su propia evaluación independiente; la indirecta proviene de 1) esta-
dísticas 2) indicadores clave de riesgos 3) indicadores clave de ren-
dimientos 4) indicadores comparativos de la industria.
3. Comunique los resultados
Tomando en cuenta la información recopilada en la actividad 5 -
Administración y Comunicación de Incidentes que vimos en la pág. 41 y los
procedimientos de monitoreo anteriores, se preparan Reportes Internos
y Reportes externos.
MONITOREAR Actividad 6 de 6
Reportes Internos
Informes dirigidos a la Dirección y Comités Ejecutivos sobre las de-
ficiencias detectadas y las medidas implementadas para corregir y
mejorar el proceso de administración de riesgos.
Reportes Externos
Estos reportes son diseñados para respaldar las afirmaciones o certi-
ficaciones externas, ya que proporcionan información concluyente
sobre la eficacia del control interno durante un periodo determinado.
ANEXOS
CONSIDERACIONES ESPECIALES PARA LA EVALUACION DE RIESGOS ESTRATEGICOS
EVALUACION DE RIESGOS ESTRATEGICOS
Los riesgos estratégicos son aquellos que destruyen el valor de la
empresa por efecto de cambios que ocurren en el entorno país (po-
lítico, económico y social), el entorno competitivo de la empresa, la
posición estratégica del producto (tendencias de consumo y ten-
dencias tecnológicas), la implementación de proyectos y el vinculo
con los principales grupos de interés de la empresa.”
En el apartado anterior, desde la actividad 1 al 6 se utilizó un enfoque pa-
ra identificar y evaluar riesgos operacionales, estos se refieren a varia-
bles enteramente bajo el dominio de la organización, tales como el evitar
despachar a clientes en exceso de su límite de crédito asignado y por tal
razón se utiliza un enfoque de análisis de flujo de procesos.
En esta sección ya con el aprendizaje de haber evaluado riesgos operati-
vos nos centraremos en el riesgo estratégico que se diferencian de los an-
teriores porque se refieren a variables que la organización no domina pero
que podemos controlar, entendiendo que hay una diferencia entre dominar
y controlar. No podemos evitar que llueva (riesgo estratégico) pero po-
demos mitigar sus efectos con un paraguas (controles).
Para la evaluación y mitigación de este tipo de riesgos tome en cuenta lo
siguiente:
ANEXOS
Consideraciones para la evaluación de riesgos estratégicos
Utilice el modelo de Estrategia Competitiva de Porter, que aparece
graficada más abajo, para analizar los riesgos desde una perspectiva
estratégica. A partir de este modelo se crea la Matriz de Estrategia
Competitiva, que permite evaluar los riesgos a partir de sus Compo-
nentes estratégicos y de sus Objetivos estratégicos.
Considere que entre mejor definido tenga el contexto bajo el cual opera la En-
tidad, mayor es la probabilidad de administrar precisamente los ries-
gos clave del negocio sin que estos no se dispersen al infinito.
Figura 1 – Estrategia competitiva (Porter, Modificada)
Competidores de la industria
Estrategia
Mercados Productos
Alianzas Clientes
C
l
i
e
n
t
e
s
P
r
o
v
e
e
d
o
r
e
s
Nuevos competidores
Productos sustitutos
ANEXOS
Desarrolle su evaluación de riesgos estratégicos analizando lo si-
guiente:
1. Su posición actual frente a los componentes estratégicos de la fi-
gura anterior.
2. Lo que puede salir mal para no lograr sus objetivos estratégicos.
3. La relación existente entre los controles que mitigan los riesgos
estratégicos con los procesos.
4. El nivel de eficacia de sus procesos para administrar los riesgos y
objetivos estratégicos.
Estos 4 análisis se efectúan con el fin de asegurar la adecuada inter-
relación entre riesgos, objetivos, controles y procesos. Considere
que los riesgos y objetivos estratégicos se administran por medio de
procesos, que se prestan servicios unos a otros; de modo que la falla
de un proceso puede generar un efecto “cascada” e impactar en
riesgos y objetivos no directamente ligados a ese proceso.
Por ejemplo, fallas en el reclutamiento y capacitación de vendedores
(Proceso de RRHH), genera desatención de clientes importantes.
Por eso, aunque se esfuerce en administrar los riesgos de “sus” pro-
cesos, si desconoce y/o no tiene aseguramiento de que se adminis-
tran los riesgos de los procesos relacionados, puede menoscabarse
el cumplimiento de sus objetivos estratégicos.
ANEXOS
Análisis 1 –Evaluación de riesgos basados en los componentes es-tratégicos de Porter
Utilizando la experiencia y conocimiento adquirido en la sección anterior
de evaluación de riesgos operativos, prepare la siguiente matriz desde una
perspectiva estratégica considerando los componentes del entorno ex-
terno que pueden afectar o reorientar su estrategia al identificar riesgos y
oportunidades:
Matriz de Evaluación de Riesgos por Componente Estratégico
Id Componentes Estratégicos Riesgo Estratégico Impacto Inherente
Continúa
Probabilidad inherente Controles
estratégicos
Reducción
impacto
Reducción Probabilidad
Cosas para hacer
Para preparar la matriz anterior haga lo siguiente:
1. Plasme los componentes estratégicos en la primera columna, estos
son: a) Fuerzas de la naturaleza b) fuerzas sociales c) fuerzas políti-
cas y legales d) fuerzas económicas e) fuerzas tecnológicas f) pro-
ANEXOS
veedores g) clientes h) nuevos competidores i ) competidores de la
industria j) productos sustitutos.
2. Contraste los componentes estratégicos contra la posición actual de
la Entidad, cuando encuentre brechas o cosas que pueden salir mal
estos eventos se plasman en la columna Riesgo estratégico.
3. Pregúntese ¿De cuánto dinero sería el impacto si se materializara un
riesgo? Calcúlelo a través de herramientas financieras o estadísticas
y coloque los valores resultantes en la columna impacto inherente10.
4. Pregúntese ¿De1 a 100 que probabilidad hay de que ocurra un ries-
go? Inicialmente hágalo basado en un juicio de valor por el equipo
evaluador y coloque los valores resultantes en la columna probabili-
dad inherente11, considere que posteriormente el propio proceso de
administración de riesgos generara información estadística para
ajustar la probabilidad a valores más exactos.
5. Identifique las acciones, procesos o actividades que sean capaces de
mitigar los riesgos estratégicos identificados y coloque dicha infor-
mación en la columna Controles estratégicos. Los valores de juicio que
10 El impacto inherente son las pérdidas que le acarrea la ocurrencia de un riesgo a la Enti-
dad si no existiera ningún control que reduzca la probabilidad o su impacto.
11 La probabilidad inherente es la frecuencia de ocurrencia de un riesgo si no existiera nin-
gún control que lo prevenga o corrija.
ANEXOS
mejoraran su criterio para identificar los controles adecuados son
los siguientes:
a. Son suficientes? Valorado en cuanto a cantidad; ni tantos que
entorpezcan el proceso y causen ineficiencias, demoras o dete-
rioro ni tan pocos que sean insuficientes para actuar adecua-
damente.
b. Son comprensibles? Valorado en cuanto a la claridad, sencillez
y facilidad de interpretación. Un control complicado crea con-
fusiones, genera equivocaciones y propicia el rechazo que po-
dría conducir a que el empleado en la práctica no lo ejecute.
c. Son económicos? Valorado en cuanto al beneficio que apor-
tan en relación al costo del mismo. Para que resulten econó-
micos deben implantarse para los riesgos que realmente lo re-
quieran.
d. Son eficaces? Valorado en cuanto a la capacidad de detectar el
riesgo y disminuir la probabilidad de ocurrencia o su impacto,
para lo cual deben establecerse con un objetivo de control es-
pecifico.
e. Son eficientes? Valorado en cuanto a la capacidad de ejecutar
el control con el mínimo de recursos posibles, la valoración
ANEXOS
incluye considerar el número de personal requerido, tiempo,
dinero, infraestructura, etc.
f. Son oportunos? Valorado en cuanto al momento en que debe
actuar un control frente a los riesgos que mitiga; controles eje-
cutados mensualmente frente a riesgos que pueden materiali-
zarse a diario evidentemente se consideraría inoportuno.
g. Están inmersos en los procesos? Valorado en cuanto a la ga-
rantía de que los mismos se ejecutan en la rutina y periodici-
dad misma en que ejecutan las actividades las personas o sis-
temas.
6. Finalmente haga la valoración de la reducción del impacto y la reducción
de la probabilidad, el cual será un valor de 1 a 99 que determina cuán-
to es la probabilidad de ocurrencia y su impacto después de imple-
mentados los controles estratégicos. Haga su valoración con su
equipo de trabajo, considere que los riesgos no pueden ser mitiga-
dos en un 100%.
Análisis 2 – Evaluación de riesgos basados en los objetivos estraté-gicos
El segundo análisis de riesgos después de evaluar el entorno para identifi-
car riesgos y oportunidades, que en la práctica hacen que los objetivos de
su planeamiento estratégico se reafirmen o reajusten, consiste en analizar-
ANEXOS
los riesgos estratégicos12 y operativos de los objetivos estratégicos13 ha-
ciendo uso de la siguiente matriz:
Id Objetivos estratégicos Riesgos Estratégicos Impacto Inherente
Continúa
Riegos Operacionales de
Objetivos Estratégicos
Probabilidad
inherente
Controles
Aplicables
Reducción
impacto
Reducción
Probabilidad
Cosas para hacer
Para preparar la matriz anterior haga lo siguiente:
1. Plasme sus objetivos estratégicos en la primera columna, estos pro-
vienen de su planeación estratégica y en los mejores casos de las 4
perspectivas del Balance Scorecard: a) Aprendizaje y Conocimiento
b) procesos c) clientes f) financiera.
2. Pregúntese ¿De cuánto dinero sería el impacto si se materializara un
riesgo? Calcúlelo a través de herramientas financieras o estadísticas
12 Recuerde que los riesgos estratégicos se diferencian porque son eventos externos que
afectan la estrategia, que prácticamente no pueden evitarse pero si controlarse.
13 Riesgos que ocurren por eventos internos de la Entidad y que tienen un efecto “en cas-
cada” hasta afectar la estrategia misma.
ANEXOS
considerando periodos anteriores o presupuestos del periodo actual
y coloque los valores resultantes en la columna impacto inherente14.
3. Identifique eventos que pueden ocurrir en el entorno y analice si es-
tos pueden afectar los objetivos estratégicos definidos, coloque los
eventos que se producirían en la columna Riesgo estratégico de objetivos.
4. Identifique eventos que pueden ocurrir a lo interno de la Entidad,
por fallas en los procesos o controles que administran sus riesgos
estratégicos, coloque los eventos que se producirían en la columna
Riesgos operacionales de objetivos estratégicos.
5. Pregúntese ¿De 1 a 99 que probabilidad hay de que ocurra un ries-
go? Inicialmente hágalo basado en un juicio de valor por el equipo
evaluador y coloque los valores resultantes en la columna probabili-
dad inherente15, considere que posteriormente el propio proceso de
administración de riesgos generara información estadística para
ajustar la probabilidad a valores más exactos.
6. Considere el tipo de análisis descrito en la pág. 51 inciso 5 para
identificar los controles que incluirá en la columna Controles aplicables
14 El impacto inherente son las pérdidas que le acarrea la ocurrencia de un riesgo a la Enti-
dad si no existiera ningún control que reduzca la probabilidad o su impacto.
15 La probabilidad inherente es la frecuencia de ocurrencia de un riesgo si no existiera nin-
gún control que lo prevenga o corrija.
ANEXOS
7. Finalmente haga la valoración de la reducción del impacto y la reducción
de la probabilidad, el cual será un valor de 1 a 100 que determina
cuánto es la probabilidad de ocurrencia y su impacto después de
implementados los controles estratégicos. Haga su valoración con
su equipo de trabajo, considere que los riesgos no pueden ser miti-
gados en un 100%.
Análisis 3 – Relación existente entre los controles que mitigan los riesgos estratégicos con los procesos
Como se ha mencionado anteriormente, la falta de aseguramiento de que
todos los controles estén vinculados con un proceso pueden generarle
perdidas a la Entidad. Sucede comúnmente cuando un área “X” asume
que existen ciertos controles en un área “Z”, sin embargo, esta área no
tiene contemplada la ejecución de dicho control dentro de sus procesos.
La matriz utilizada para realizar este análisis es la siguiente:
Id Descripción del
control
Cobertura del
control
Proceso
relacionado
Evaluación de
controles
Cosas para hacer
Para preparar la matriz anterior haga lo siguiente:
1. Enliste en la primera columna los controles identificados hasta el
momento.
ANEXOS
2. Pregúntese ¿Me ayuda este control a reducir la probabilidad y/o
impacto de mis riesgos? Recuerde tener en claro estos dos concep-
tos. La respuesta consígnela en la columna Cobertura del control.
3. Consigne en la columna Proceso relacionado, los procesos en los cuales
se implementaron o identificaron dichos controles. El paso clave en
este punto es indagar con los dueños de procesos y/o dueños de
controles si estos están realmente presentes y operando.
4. Consigne el nivel de efectividad del control en la columna Evaluación
de controles. Puede obtener mayor información sobre cómo hacer es-
to en el Actividad 4 - Definir tratamiento de riesgos.
Análisis 4 – Nivel de eficacia de sus procesos para administra los riesgos y objetivos estratégicos
Este análisis especifico, resulta necesario para poder formarse el criterio
necesario para determinar la eficacia de los procesos. Considere lo dicho
anteriormente, las fallas en los procesos tienden a tener un impacto “en
cascada” en los objetivos estratégicos.
ANEXOS
La matriz utilizada para realizar este análisis es la siguiente:
Id Descripción del
Proceso
Riesgos del
Proceso
Controles del Pro-
ceso
Evaluación del
Proceso
Cosas para hacer
Para preparar la matriz anterior haga lo siguiente:
1. Enliste en la primera columna la lista de procesos evaluados.
2. Enliste los riesgos inherentes que ha identificado para cada proceso
evaluado.
3. Enliste los controles relacionados con los riesgos y procesos evaluados.
4. Evalúe la eficacia del proceso, considerando la confianza que a su cri-
terio le brinden los controles para mitigar los riesgos. La valoración
puede ser: “satisfactoria”, “insatisfactoria” y “deficiente”.
La valoración de “insatisfactorio” significará que usted aun no alcance
la confianza adecuada sobre sus procesos, en cuanto existen aspectos
del control que podrían mejorarse; en cambio, una opinión de “defi-
ciente” indicará que el proceso no es apto para lograr los objetivos es-
tratégicos a los cuales responde.
Top Related