El riesgo en la empresa.

Gestión del riesgo

Módulo: Corporate Finance [17OCT]

Clase: El riesgo en la empresa. Gestión del riesgo

1 Introducción

El riesgo es un concepto que no es inherente únicamente en el mundo empresarial. Nuestra vida

cotidiana está repleta de riesgos, algunos los aceptamos y lidiamos diariamente con ellos de
manera inconsciente. Algunos de estos riesgos son intrínsecos y dependen exclusivamente de
nosotros o de nuestras decisiones mientras que otros se nos escapan de nuestras manos y
dependen de factores que no están a nuestro alcance.

Del mismo modo sucede en las organizaciones, existen riesgos que dependerán de nuestras
políticas, de nuestras decisiones y que son a priori más fácil de identificar y controlar mientras que
existen otro tipo de riesgos que no dependen exclusivamente de nuestros actos pero que pueden
tener consecuencias iguales o peores que los primeros.

Históricamente, las compañías asociaban el concepto de gestión del riesgo como un factor no
estratégico y no contemplado como un factor clave de éxito para lograr los objetivos. Con el paso
del tiempo, unos mercados mucho más volátiles, la expansión internacional y la apertura de
mercados las compañías han ido tomando consciencia de la importancia de la gestión de riesgos.
Tal es así, que existen actualmente ISO de carácter internacional.

Por ello, podemos decir que las organizaciones han ido dejando de lado la gestión del riesgo como
un concepto asociado a un centro de coste que no genera rendimiento económico a integrarlos en
sus modelos de gestión como un factor de éxito o estratégico para el buen desempeño de la
compañía.

Los riesgos son diversos y anticiparse a ellos resultará clave para el porvenir de la compañía. Ello
requiere tener un buen sistema de gestión de riesgos integrado en la compañía. Un riesgo mal
calibrado, o mal gestionado puede tener consecuencias negativas en la compañía que pueden
llevar, en casos extremos, al cese de la actividad de la misma.

No obstante, tendemos a pensar y asociar riesgo como una amenaza, si bien en la mayoría de
casos dicha afirmación podría ser cierto, detectar a tiempo un riesgo puede suponer una
oportunidad para crecer o para mover antes que la competencia lo que nos llevará a tener una
posición dominante, solucionar antes que la competencia un problema y posicionarse en situación
privilegiada en el mercado.

La gestión del riesgo se ha configurado como una nueva ciencia social (Enterprise Risk
Management, ERM) que utiliza métodos científicos para asumir riesgos con conocimiento,
disminuyendo las posibilidades de fracaso al tomar decisiones sustentadas en datos. De este
modo, a lo largo de esta clase, deberemos ser capaces de entender el concepto de riesgo,
clasificarlos y tras ello saber gestionarlos.

Página 1 / 31
2 Definición de riesgo

Para definir el riesgo usaremos dos bases correlacionadas que nos darán una idea global del
concepto del riesgo:

Según la norma ISO31000:2009, el riesgo es el efecto de la incertidumbre sobre la

consecución de los objetivos. Dicha definición pone ya de manifiesto una de las
afirmaciones vistas en la introducción, y es que el riesgo no tiene que ser entendido
siempre de manera negativa sino que también puede suponer una oportunidad para el
logro de los objetivos de una organización.
Si analizamos la raíz latina, la palabra riesgo viene de “risicare”, que significa atreverse.
Por tanto, existe riesgo cuando existen varias posibilidades para escoger, sin poder saber
con total certeza cuál de ellas conducirá mejor a nuestros objetivos.

Vista la definición de riesgo se ponen de manifiesto implícitamente 4 conceptos interrelacionados

entre sí, que son:

Tiempo: el riesgo se asocia al futuro.

Certeza: si el riesgo está relacionado con el futuro, ello implica que en mayor o menor
medida existe una determinada incertidumbre acerca del futuro, con lo que la importancia
estará en reducir la incerteza de un riesgo.
Resultados: todo riesgo conllevará unos resultados a corto, medio o largo plazo. Dichos
resultados pueden ser negativos o positivos.
Complejidad: si unimos las 3 variables vistas anteriores, nos damos cuenta que estamos
ante escenarios complejos con múltiples variables en los que no hay certeza, que
condicionarán el futuro de la empresa y que comportarán unos resultados que pueden ser
positivos o negativos.

Debemos entender el concepto riesgo de manera global con consecuencias que pueden afectar
en mayor o menor medida el futuro de la compañía. Los riesgos no se originan únicamente por la
no existencia de controles sino que son inherentes y propios tanto de las compañías (internos)
como de mercado (externos). En este sentido, los mencionados controles que las organizaciones
implantan se establecen en aras de reducir, mitigar o evitar las causas que generan los riesgos.
De manera obvia, existen riesgos más fáciles de controlar y otros (sobre todo los externos) más
difícil tanto de predecir como de poder incidir sobre ellos.

Página 2 / 31
3 Clasificación de los riesgos

No existe una clasificación única y universal de los riesgos. Depende de la bibliografía consultada
se pueden encontrar varias clasificaciones y diferentes maneras de englobar los riesgos. De las
fuentes consultadas para la elaboración del presente temario junto con las clasificaciones que
comúnmente aceptan los principales asesores externos de Risk Management, dividiremos los
riesgos en: estratégicos, financieros, de mercado y operativos.

Cada uno de los 4 riesgos no deben ser tratados de manera aislada. Por lo general, un riesgo
puede conllevar el desarrollo de otro tipo de riesgo. Además, un riesgo estratégico tendrá un
impacto tanto a nivel financiero, de mercado como operativo.

Pongamos un ejemplo. Un riesgo estratégico podría ser la decisión de internacionalización una

empresa que hasta el momento opera con carácter exclusivamente nacional. Este riesgo puede
comportar a su vez:

Riesgo financiero: necesidad de apalancar la compañía para poder acometer el proceso de

expansión internacional
Riesgo de mercado: riesgo de no aceptación de la marca o de los productos en una zona
geográfica nueva que hasta el momento desconoce el producto de la compañía.
Riesgo operacional: riesgos en la cadena de distribución o de logística en el reparto a
mercados extranjeros.

El gráfico que presentado a continuación, muestra la interrelación entre los 4 tipos de riesgos:

En los siguientes apartados se definen y analizan de manera individual los citados riesgos.

Página 3 / 31
3.1 Riesgos estratégicos

Los riesgos estratégicos los definiremos como aquellos que afectan o pueden tener un impacto de
manera transversal en toda la organización, ello es, como se mencionaba previamente, pudiendo
originar otro tipo de riesgos.

Estos riesgos están relacionados con los conceptos básicos e iniciales de una organización. Es
decir hacen referencia a los conceptos de misión, visión, valores, objetivos, diferenciación
estratégica…

Los riesgos estratégicos deben ser considerados y calibrados desde el inicio ya que de estos
dependerá, la estrategia empresarial.

Ejemplo: una compañía detecta una oportunidad de mercado en el sector textil. A pesar de ser una
buena oportunidad, se trata de un mercado maduro, con diferentes competidores. La compañía
debe marcar claramente su estrategia para hacerse hueco en el mercado. Un posible riesgo
estratégico es la elección de la diferenciación, es decir, debe la compañía ser competitiva en
precio o por el contrario diferenciarse por la calidad de sus productos? Opte por cualquiera de las
opciones, estaremos delante de un riesgo estratégico.

Página 4 / 31
3.2 Riesgos financieros

Históricamente, y aunque ciertamente cada vez en menor medida, el concepto de riesgo se

asociaba a la parte financiera. Se consideraba que, ya que el objetivo de las compañías es el de
maximizar beneficios, los riesgos debían ser analizados por parte de los departamentos
financieros. Aunque el riesgo financiero no es el único de una organización, sigue existiendo y
debe ser gestionado.

Por lo general, el riesgo financiero se puede clasificar en 3 subgrupos:

Riesgo de mercado: hace referencia a los riesgos asociados con la situación de los
mercados (ya sean financieros o no) y que pueden tener un impacto en los resultados
financieros o en nuestra estructura de pasivo.
Riesgo de liquidez: estrechamente ligado al riesgo de la compañía a tener los recursos
suficientes para hacer frente a sus pagos ordinarios y financieros.
Riesgo de crédito: se define como la probabilidad de sufrir pérdidas en el caso que los
deudores con los que la compañía tiene contraídas operaciones (comerciales,
financieras…) no puedan satisfacer sus obligaciones de pago. Los riesgos de créditos no
solamente tienen que ser por créditos o periodos medios de pago sino que también existe
riesgo de crédito en garantías, avales, etc.

La siguiente tabla muestra los riesgos financieros más comunes en las organizaciones para cada
subgrupo:

Página 5 / 31
Página 6 / 31
3.3 Riesgos de mercado

Los riesgos de mercado se relacionan o motivan a raíz de aspectos que, por lo general, son
exógenos a la compañía, es decir, son aquellos riesgos que tienen su naturaleza fuera de la
compañía pero que impactan en la compañía. Podemos clasificar los riesgos en dos sub
apartados:

Riesgo país/zona geográfica: son aquellos que no afectarán a un único sector sino que
afectan a toda la economía o un segmento de ésta. Las compañías reciben las
consecuencias de operar o tener la sede en un determinado país.

Algunos ejemplos serían: riesgos de aranceles, riesgos políticos, aspectos impositivos/fiscalidad,

estabilidad política, terrorismo, burocracia administrativa, etc.

Riesgo de sector/industria: relacionados propiamente dentro de la industria o del sector en

los que opera la compañía.

Algunos ejemplos serían: notoriedad de marca, percepción de nuestros productos,

concentración de mercado, nivel de competencia, players del sector, poder de mercado de
los clientes, etc.

Página 7 / 31
3.4 Riesgos operativos

Son los relativos a la cadena de valor de la compañía, es decir, sus procesos, gestión de la venta
y entrega del producto. Dichos riesgos deber ser analizados de manera individual (cada proceso
como un ente único) y de manera conjunta (riesgos en una etapa que pueden poner en jaque toda
la cadena de valor).

Los riesgos operativos pueden ser diversos y muy diferentes según el tipo de la compañía y el
mercado operativo. Es decir, los riesgos operativos serán muy distinto en una compañía industrial
versus una empresa de servicios.

Como ejemplos de riesgos operativos se podrían citar: riesgos en la externacionalización de algún

elemento clave de la cadena de valor, riesgos en empresas subcontratadas, cuellos de botella,
infra producción, riesgos logísticos o en la distribución, calidad, etc.

Página 8 / 31
4 La gestión del riesgo

Hasta el momento hemos establecido un marco en el que se ha definido qué debemos entender
por riesgos, cuáles son los más comunes y como se pueden clasificar. Hemos visto que no existe
organización sin riesgos ya que estos son inherentes tanto al mercado como a la propia compañía.
Si damos por buena esta premisa, “siempre hay riesgos”, debemos ser capaces de gestionarlos,
ello es conocer los riesgos y mitigar los posibles efectos negativos.

La gestión del riesgo se define como el proceso de identificar, analizar y cuantificar las
probabilidades de efectos negativos de los elementos (riesgos) que se interrelacionan en una
compañía, así como de las acciones preventivas, correctivas y reductivas correspondientes que
deben emprenderse para cada elemento (riesgo).

En este sentido, se trata de poder disponer de una herramienta o método que de manera lógica,
sistemática y ordenada permita identificar, analizar, evaluar y comunicar los riesgos asociados a la
compañía con el objetivo de establecer pautas y planes de contingencia que permitan a la
organización minimizar pérdidas o adelantarse a nuestros competidores.

Es muy importante entender que la gestión del riesgo responde a futuro. Es decir, no es una
herramienta cuyo objetivo sea el de explicar sucesos negativos del pasado sino más bien todo lo
contrario, anticiparse a consecuencias futuras en base a unos riesgos actuales y establecer pautas
para que errores del pasado no se vuelvan a producir.

Página 9 / 31
5 Evolución de la gestión del riesgo

El concepto de la gestión del riesgo es relativamente novedoso. Apenas hace 30-40 años la
gestión del riesgo se asociaba a las aseguradoras y se articulaba a través de las pólizas de
seguro. Es probablemente a raíz del caso Enron, en el que a través de una contabilidad
fraudulenta se ocultaban pérdidas millonarias, la gestión del riesgo emergió en el panorama de las
organizaciones siendo un elemento clave.

Los inversores ya no depositaban su capital a merced de las decisiones de una Junta Directiva
sino que exigían mayores controles para velar por sus inversiones. Es decir, exigían una gestión
del riesgo global que no dependiese únicamente de la Junta Directiva sino que fuese controlado
en todos los niveles de la organización.

Es a partir del inicio de la década de los 2000 donde se pone de relieve este fenómeno. Las
organizaciones empiezan a contratar los servicios externos de especialistas en gestión de riesgo
para implementar en su compañía modelos de análisis y planes de soluciones en caso de
producirse un riesgo. Actualmente, existen ISO en relación a la gestión del riesgo. Del mismo
modo, existen en el mercado grandes compañías que se dedican exclusivamente a la
implementación de la gestión del riesgo.

¿La gestión del riesgo es obligatoria? Lamentablemente, aunque la historia ha demostrado que
debería serlo, o por lo menos unos controles mínimos, los hechos demuestran que existen
compañías, incluso algunas de ellas cotizadas, en las que la gestión del riesgo era inexistente o
bien fallaron los controles.

Los casos más recientes y notorios a nivel de medios en España han sido Gowex, Forum Filatelico
o Bankia. Todas ellas grandes compañías en las que la gestión del riesgo no fue útil para detectar
los casos de fraude y que provocaron pérdidas millonarias de los inversores. La pregunta es si se
podrían haber evitado estos casos con una buena política de gestión del riesgo. Pero, tal vez, la
pregunta clave sería otra… ¿y si estas compañías no hubieran tenido un sistema de gestión de
riesgos y de control interno, conoceríamos actualmente estos casos de fraude?

El éxito de la gestión de riesgos se basa en el desarrollo de una cultura de la Prevención. La

prevención debe ser un valor clave en todos los niveles de la compañía. Para ello es necesario
entender el cambio relacionado a la gestión del riesgo, vista como una evolución en la
organización para lograr eficacia y eficiencia, y estableciéndola como una ventaja competitiva
asociada al sistema integrado de gestión para mejorar el desempeño y optimización del negocio.

A pesar de la corta historia de la gestión del riesgo, este concepto ha ido variando a lo largo del
tiempo. Podemos hablar de un enfoque tradicional vs un enfoque moderno en que las diferencias
son notables. La siguiente tabla pone de relieve la diferente concepción de enfoques:

Página 10 / 31
Página 11 / 31
6 Principios de la gestión de riesgos

A lo largo del temario se han ya identificado algunas de las claves de éxito en los sistemas de
gestión de riesgo. Existen 3 principios básicos que deben aplicarse en todo sistema de gestión de
riesgos. Estos son:

1. La gestión de riesgos es responsabilidad de toda la organización y de todas las personas

que en ella pertenecen. Es decir, todos los directivos y empleados deben participar en el
análisis, prevención y reducción de los riesgos. Ello implica que todos los empleados
deben saber las funciones que implica su puesto de trabajo y como deben administrar el
riesgo. Por ello, debemos olvidarnos de la idea que la gestión del riesgo es solamente
responsabilidad de la junta directiva o del comité de control interno.

1. La gestión de riesgos es una inversión. La implementación de cualquier sistema de gestión

de riesgos, por básico y sencillo implica una dotación de tiempo, de personal, de
restructuración, en definitiva, de dinero. Ello no significa que sea un coste sino que debe
ser tratado como una inversión. Una inversión de futuro que permitirá reducir costes, tener
una posición más ventajosa en el mercado, ser más eficientes o en el extremo de los casos
evitar grandes pérdidas o el cierre de la compañía.

1. La gestión de riesgos es necesaria: Como se decía en capítulos anteriores la gestión de

riesgos no debería ser una opción sino una necesidad. Ello requiere de un cambio de
mentalidad de toda la organización y la aceptación por parte de su totalidad. Es decir, se
precisa de un cambio hacia una cultura de detección y prevención de riesgos.

Página 12 / 31
7 Binomio riesgos - controles

En los apartados anteriores hemos sido capaces de ver la importancia que tienen para las
organizaciones la gestión de riesgos y establecer controles para poder reducir incertidumbres y
evitar efectos negativos.

Ello no significa que las organizaciones deban tener una lista interminable de riesgos y que para
todos los riesgos se deban establecer una infinidad de controles. No se debe olvidar que cualquier
sistema de gestión de riesgo implica una dotación de recursos tanto de tiempo como económico.

Es importante establecer un binomio compensado de riesgos y controles para poder lograr los
objetivos estratégicos. Si este binomio está equilibrado, de manera muy probable los riesgos serán
minimizados. Por el contrario, un binomio descompensado representará:

Página 13 / 31
8 Beneficios de una óptima gestión de riesgos

La gestión de riesgos como herramienta integrada en el proceso estratégico es de gran utilidad y

necesidad, a pesar de ello, hemos visto como compañías que sí que tenían un sistema de gestión
de riesgos han tenido que cerrar o han tenido que presentar un concurso de acreedores por
motivos que teóricamente podrían haberse evitado. Ello es debido a que todo sistema de gestión
de riesgos tiene ciertas limitaciones.

El principal de ellos es que todo sistema de gestión de riesgos depende del juicio humano y su
evaluación y, por tanto, está sujeto a errores. Del mismo modo, la mitigación de los riesgos
conlleva unos costes que algunas empresas no pueden asumir; con lo que prefieren hacerse
cargo del riesgo sin establecer un plan de mitigación. Ello es peligroso, y debe calibrarse muy bien
el riesgo que está soportando la organización y su probabilidad de ocurrencia.

Los beneficios de una óptima gestión de riesgos son los que se detallan en la siguiente tabla:

Para la obtención de los beneficios descritos en la tabla anterior, las organizaciones pueden
implementar un sistema de gestión de riesgos desde 3 ópticas diferentes:

Control de riesgos: este enfoque se caracteriza por la implantación de un sistema de

gestión de riesgos con el objetivo de evitar pérdidas excesivas y/o establecer los límites de
los riesgos.
Mejora de la eficiencia: este enfoque no busca únicamente el controlar los riesgos sino que
también pretende mejorar la eficiencia en los procesos que la compañía considera clave.
Transformación de riesgos: en este caso, el sistema de gestión de riesgos busca
transformar los riesgos en oportunidades para la compañía para ser más competitivo, tener
una ventaja o anticiparse a posibles cambios de mercado.

Página 14 / 31
9 El proceso de gestión de riesgos

Visto hasta el momento el marco teórico, centrémonos en los dos siguientes apartados en la
aplicación práctica en las organizaciones de los sistemas de gestión de riesgos. Para ello, en este
capítulo se analizará el proceso de gestión de riesgos y se detallarán sus fases. En el siguiente
apartado se explicará de manera práctica la aplicación de un sistema de gestión de riesgos.

Todo proceso de riesgos consta de 6 fases:

1. Conocer los objetivos estratégicos de la organización

2. Riesgos
3. Informe de riesgos
4. Toma de decisiones
5. Informe de riesgos residuales
6. Supervisión

Todo este proceso debe estar monitorizado por el departamento de control interno o bien el comité
de auditoría. Además a nivel transversal, la comunicación será un elemento clave presente en
todas las fases. Por comunicación debemos entender, a nivel interno (entre los diferentes
departamentos y conocer los riesgos en cada etapa) y comunicación externa (con todos los
stakeholders o grupos de interés) de la compañía a los que pueda conferir la gestión de riesgos.

A continuación se presenta el esquema del proceso de gestión de riesgos y se detallará

individualmente cada fase:

Página 15 / 31
Página 16 / 31
9.1 Objetivos estratégicos de la organización

El primer paso en la gestión de riesgos consiste en establecer y comunicar a la organización

cuáles son los objetivos que el Consejo de Administración establece como estratégicos y, por
tanto, prioritarios.

Si la compañía no tiene claros cuáles son los objetivos estratégicos nos encontraremos con un
mapa de riesgos y controles excesivos que comportará los problemas que ya se han analizado
anteriormente. La gestión de riesgos pivotará en base a los objetivos estratégicos.

Del mismo modo, y antes de iniciar el estudio de riesgos, se deberá establecer la política de
riesgos de la empresa, su nivel de riesgo asumible y se establecerán responsabilidades en la
gestión de riesgos. Será necesario también decidir cuál es el objetivo que se persigue con la
implantación del sistema de riesgos y destinar, para ello, los recursos necesarios para la exitosa
consecución.

Página 17 / 31
9.2 Estudio de riesgos

Esta fase se postula como crítica dentro de la gestión de riesgos y de ella dependerá la exitosa
implementación y la utilidad. El estudio de riesgos se realizará en base a los objetivos y el enfoque
que la dirección de la compañía o el Consejo de Administración haya definido previamente. La
fase de estudio de riesgos se divide en sub etapas que se analizan a continuación:

Identificación de riesgos

La identificación de riesgos tiene como objetivo el identificar la exposición de una compañía al

riesgo. Ello implica que se deberá realizar un estudio detallado de la compañía, tanto a nivel
interno como externo (mercado, competencia). Es importante realizar una identificación de riesgos
de manera metódica para asegurarse que se han identificado aquellos que son realmente
importantes y que pueden tener un impacto en la organización.

Es aconsejable que la identificación de riesgos, en una primera fase, se realice de forma interna,
con equipos y trabajadores de la compañía. Tras ello, se aconseja, en la medida que los recursos
lo permitan, la contratación de asesores externos que aporten una visión “menos viciada” para
completar la identificación de riesgos.

Descripción de los riesgos

Identificados los riesgos, la siguiente etapa consiste en su descripción; ello es, mostrar los riesgos
de forma estructurada. El uso de una estructura bien diseñada de descripción es necesario para
asegurar un proceso minucioso de descripción de riesgos y la posterior evaluación de los mismos.

Algunos de los parámetros que deben contener las tablas de descripción de los riesgos son:
nombre del riesgo, alcance del riesgo, tipo de riesgo, interesados, importancia del riesgo.

Estimación de los riesgos

La estimación de los riesgos puede ser cuantitativa, semi-cuantitativa o cualitativa en términos de

probabilidad de ocurrencia y de sus posibles consecuencias. En este sentido, se deberá controlar
la probabilidad que un riesgo ocurra y qué consecuencias puede tener (tanto positivas
“oportunidades” como negativas “amenazas”).

Evaluación de los riesgos

Es necesario completar las fases anteriores, con la comparación de los riesgos detectados con el
criterio de riesgo establecido por la compañía. Los criterios de riesgos pueden incluir costes y
beneficios asociados, requisitos legales, etc. Es decir, se usa la evaluación de los riesgos para
tomar decisiones acerca de la importancia de los riesgos detectados.

Página 18 / 31
9.3 Informe de riesgos

Detectados los riesgos y evaluados se preparan los correspondientes informes de riesgos. Se

habla en plural ya que, por lo general, se deberán preparar varios informes de riesgos,
dependiendo del destinario del mismo. Como norma general, podemos diferenciar 3 tipos de
informes de riesgos:

Informe interno para el Consejo de Administración: el Consejo de Administración deberá

conocer los riesgos más importantes a los que se enfrenta la compañía y sus posibles
efectos sobre el valor de la empresa.
Informe interno para cada unidad de negocio: cada unidad de negocio deberá ser
informada con aquellos riesgos que afectan propiamente su ámbito, los posibles impactos
y las consecuencias que pueden tener en otras áreas de la compañía. Del mismo modo,
deberán disponer de indicadores que permitan supervisar el desarrollo de dichos riesgos.
Informe externo (comunicación externa): las empresas tienen que informar regularmente a
sus stakeholders de sus políticas de gestión de riesgos y la efectividad con la que se están
consiguiendo sus objetivos.

Página 19 / 31
9.4 Decisión

Clasificados e identificados los riesgos y evaluados se deberá de tomar las correspondientes

decisiones acerca de aquellos riesgos que tengan un mayor impacto de ocurrencia y acerca de
aquellos riesgos que tengan unos impactos mayores. Es decir, se tomarán en consideración dos
variables: probabilidad de ocurrencia e impacto para la compañía. Estos serán prioritarios, aunque
se deberán considerar todos los riesgos que se hayan identificado.

Para cada uno de los riesgos se decidirá y se comunicará el nivel de aversión al mismo y los
planes de reacción sobre ellos. Se establecerán, por tanto, pautas de actuaciones, responsables
del seguimiento y los correspondientes reports con una fijada periodicidad. Si bien el órgano
máximo de decisión en una compañía es el Consejo de Administración, las decisiones deberán ser
comunicadas a los responsables o actores implicados en cada riesgo con la intención de seguir las
indicaciones establecidas por la dirección.

El nivel de tolerancia al riesgo deber ser establecido con la mayor precisión posible y cuantificable
en la mayor medida. Decisiones tomadas en variables cualitativas no cuantificables pueden
suponer subjetividad a la hora de establecer planes de mitigación o tolerancias diferentes entre
varios miembros de la organización. En todo caso, las decisiones tomadas deberán ser revisadas
con cierta periodicidad y adaptadas al nivel de riesgo en cada situación de la compañía.

Página 20 / 31
9.5 Informe de riesgos residuales

El riesgo residual es aquel que queda después de la respuesta dada al riesgo. Las respuestas al
riesgo pueden ser de varios tipos: prevención (no realizar actividades que muestren un riesgo
excesivo), reducción (reducir la probabilidad de que un riesgo se produzca), reparto (transferir
parte del riesgo a otra entidad, por ejemplo a una entidad aseguradora) o aceptación (conocido el
riesgo, se tolera).

De este modo, entenderemos el riesgo residual como aquél que sigue permaneciendo una vez se
ha tomado la decisión del riesgo. Estos riesgos a veces tienden a no darle la importancia que
requiere puesto que como que ya ha habido una respuesta al riesgo se entiende que el riesgo está
controlado, y evidentemente ello no es cierto. Dar respuesta a un riesgo no significa que el riesgo
esté bajo control ni que la compañía deba despreocuparse. Es lo que se conoce como la gestión
de riesgos residuales.

Es importante elaborar, tras la toma de decisiones un informe de los riesgos residuales para
conocer el nivel de riesgo que implícitamente se está aceptando, y muy seguramente, controlando
de manera menos exhaustiva que los riesgos identificados en las fases iniciales.

Página 21 / 31
9.6 Supervisión

La gestión de riesgos no se basa en un proceso cerrado sino que es continuo en el tiempo, es

decir, no termina con el análisis de riesgos y la toma de decisiones. Los riesgos, los niveles de
aceptación y las condiciones de mercado y de las compañías son cambiantes, con lo que también
lo deberá ser nuestro sistema de gestión de riesgos y deberá de adaptarse a la situación del
momento.

Para ello, es necesario revisar de manera continua el análisis de riesgos y las respuestas dadas a
éstos. Se deberá hacer una supervisión en doble sentido:

Supervisar el cumplimiento de las decisiones: una vez implantado el sistema de gestión de

riesgos es preciso que existan en la organización responsables de controlar, monitorizar y
realizar los correspondientes reports para asegurar el cumplimento de las medidas
tomadas.
Adaptación a nuevos eventos: los riesgos varían, aparecen de nuevos y algunos
desaparecen. El proceso de supervisión consiste también en que de forma sistemática se
vuelva a realizar revisiones a todas las fases para detectar nuevos riesgos o bien para
analizar si el nivel de riesgo ha cambiado. Del mismo modo, se deberá revisar todo el
proceso en el caso de cambios o nuevos objetivos estratégicos fijados por el Consejo de
Administración.

Página 22 / 31
10 El rol de la auditoría interna

La auditoría interna es una actividad independiente, objetiva de aseguramiento y consulta. Su rol

principal con relación a la gestión de riesgo es proveer aseguramiento objetivo a la compañía
sobre el desarrollo de la gestión de riesgo.

Hay que destacar que los responsables de la gestión del riesgo es la organización con el poder de
decisión que recae sobre el máximo organismo, es decir, el Consejo de Administración. En este
sentido, el comité de auditoría interna es una medida más para proteger los intereses de la
compañía y asegurar el cumplimiento de las pautas de actuación frente los riesgos.

El siguiente cuadro muestra los roles de la auditoría interna y aquellos que no pertenecen a su
ámbito de actuación:

Página 23 / 31
Página 24 / 31
11 Aplicación práctica: La matriz de riesgos

11.1 Definición
11.2 Beneficios de la matriz de riesgos
11.3 Pasos para la elaboración de la matriz de riesgos
11.4 Ejemplo práctico

Página 25 / 31
11.1 Definición

La matriz de riesgos es la herramienta típica usada en los sistemas de gestión de riesgos que
permite evaluar los riesgos desde el más importante hasta el de menor relevancia, permitiendo por
medio de esta ponderación establecer las medidas correctivas a implementar o tomar la decisión
aceptar el nivel de riesgo.

Página 26 / 31
11.2 Beneficios de la matriz de riesgos

Los principales beneficios de la matriz de riesgos son:

Se pretende objetivizar el análisis usando métodos cuantitativos intentando dejar los

aspectos subjetivos o métodos cualitativitos.
Establece parámetros de comparación.
Permite medir la evolución.
Permite asignar recursos.

Página 27 / 31
11.3 Pasos para la elaboración de la matriz de riesgos

Deberemos clasificar cada riesgo detectado según la probabilidad que suceda el riesgo y según el
impacto que puede tener (magnitud). De este modo, podemos clasificar el riesgo según la
siguiente tabla:

El siguiente paso será clasificar el riesgo en base a una matriz de doble entrada y asignarle un
valor y un color:

De acuerdo al cuadro anterior, a cada riesgo se le asigna un valor, en base a su probabilidad e

impacto. Para clasificar los riesgos deberemos tener en cuenta:

Página 28 / 31
Si el riesgo se sitúa en los cuadros rojos, significará que se requiere de una atención urgente,
mientras que si se sitúa en un color verde, probablemente la compañía sea capaz de actuar
asumiendo el riesgo.

Clasificados todos los riesgos en función del objetivo a conseguir, los siguientes pasos serán:

1. Dar una respuesta al riesgo y un mecanismo de actuación.

2. Evaluar, mediante el mismo método de la matriz de riesgos, el riesgo residual.
3. Establecer los controles necesarios.
4. Establecer el plan de seguimiento, monitorización y comunicación.

Página 29 / 31
11.4 Ejemplo práctico

A continuación vamos a realizar una matriz de riesgo para una compañía de perfumes que vende
sus productos en internet y en tiendas físicas. En la última sesión de Consejo de Administración ha
decidido potenciar el canal de venta de internet fijando como objetivo estratégico incrementar las
ventas en el canal internet un 5% sin verse afectadas las ventas totales de la compañía.

Objetivo estratégico: incrementar las ventas un 5% en el canal internet

Unidad de medida: % incremento de ventas

Uno de los posibles riesgos podría ser que al potenciar el canal de internet se destinen menos
recursos a las tiendas físicas y el incremento de ventas por internet se traduzca en una caída
mayor de las ventas en tiendas físicas. Veamos una posible matriz de riesgos:

Controles: para establecer las campañas de promoción se realizará un estudio de los costes
asociados al canal de ventas en las tiendas con la intención de reducir costes fijos y destinar estos
ahorros a la promoción de los perfumes con más margen.

Seguimiento: se establece un report quincenal a realizar por el responsable de cada tienda

analizando la evolución de las ventas de los productos en promoción en comparación con los que
no tienen ningún descuento.

Página 30 / 31
12 Conclusiones

El riesgo es inherente en nuestras vidas, así como en el día a día de las compañías. Un buen
sistema de gestión de riesgos no asegura el éxito de las organizaciones pero sí que facilita el
anticiparse a posibles cambios y a transformar un riesgo en una oportunidad que conlleve al éxito.

A modo de conclusión nos gustaría destacar las siguientes claves de éxito y bases de la gestión
de riesgos en las empresas:

La gestión de riesgos no es una opción sino que debería ser una necesidad. Muchas
compañías hubieran tenido un porvenir mucho más exitoso si hubieran dispuesto de un
buen sistema de gestión de riesgos. En contextos volátiles, con grandes cambios y en un
panorama internacional, disponer de un sistema de gestión de riesgos integrado en la
compañía permite anticiparse a los cambios y adaptarse a ellos.
La gestión de riesgos es un proceso que requiere e implica a toda la organización y que no
es competencia única de los altos órganos de dirección de las organizaciones. Sin un
cambio de cultura y una cooperación los sistemas de gestión de riesgo tenderán a
fracasar.
Cualquier sistema de riesgos es infinito y debe estar constantemente en evaluación. Tan
importante es la fase previa de análisis como la comunicación o la supervisión de los
controles establecidos.
Implementar un sistema de gestión de riesgos requiere de una dotación de recursos sobre
todo tiempo y formación a los empleados. Destinar los recursos necesarios en etapas
previas ayudará a que toda la organización esté alineada con el sistema y no se vea como
una forma de intrusismo sino como una oportunidad de mejora.
La auditoría interna debe ser vista y tratada como un órgano independiente y con un juicio
objetivo sobre los riesgos de la compañía. En este sentido, el auditor interno no es el único
responsable de que los sistemas de gestión de riesgo funcionen y den resultados.
La matriz de riesgos es una forma útil y la más usada por las compañías para analizar y
evaluar los riesgos y establecer los correspondientes planes de seguimiento y controles.

Página 31 / 31
Powered by TCPDF (www.tcpdf.org)