Professional Documents
Culture Documents
Del mismo modo sucede en las organizaciones, existen riesgos que dependerán de nuestras
políticas, de nuestras decisiones y que son a priori más fácil de identificar y controlar mientras que
existen otro tipo de riesgos que no dependen exclusivamente de nuestros actos pero que pueden
tener consecuencias iguales o peores que los primeros.
Históricamente, las compañías asociaban el concepto de gestión del riesgo como un factor no
estratégico y no contemplado como un factor clave de éxito para lograr los objetivos. Con el paso
del tiempo, unos mercados mucho más volátiles, la expansión internacional y la apertura de
mercados las compañías han ido tomando consciencia de la importancia de la gestión de riesgos.
Tal es así, que existen actualmente ISO de carácter internacional.
Por ello, podemos decir que las organizaciones han ido dejando de lado la gestión del riesgo como
un concepto asociado a un centro de coste que no genera rendimiento económico a integrarlos en
sus modelos de gestión como un factor de éxito o estratégico para el buen desempeño de la
compañía.
Los riesgos son diversos y anticiparse a ellos resultará clave para el porvenir de la compañía. Ello
requiere tener un buen sistema de gestión de riesgos integrado en la compañía. Un riesgo mal
calibrado, o mal gestionado puede tener consecuencias negativas en la compañía que pueden
llevar, en casos extremos, al cese de la actividad de la misma.
No obstante, tendemos a pensar y asociar riesgo como una amenaza, si bien en la mayoría de
casos dicha afirmación podría ser cierto, detectar a tiempo un riesgo puede suponer una
oportunidad para crecer o para mover antes que la competencia lo que nos llevará a tener una
posición dominante, solucionar antes que la competencia un problema y posicionarse en situación
privilegiada en el mercado.
La gestión del riesgo se ha configurado como una nueva ciencia social (Enterprise Risk
Management, ERM) que utiliza métodos científicos para asumir riesgos con conocimiento,
disminuyendo las posibilidades de fracaso al tomar decisiones sustentadas en datos. De este
modo, a lo largo de esta clase, deberemos ser capaces de entender el concepto de riesgo,
clasificarlos y tras ello saber gestionarlos.
Página 1 / 31
2 Definición de riesgo
Para definir el riesgo usaremos dos bases correlacionadas que nos darán una idea global del
concepto del riesgo:
Debemos entender el concepto riesgo de manera global con consecuencias que pueden afectar
en mayor o menor medida el futuro de la compañía. Los riesgos no se originan únicamente por la
no existencia de controles sino que son inherentes y propios tanto de las compañías (internos)
como de mercado (externos). En este sentido, los mencionados controles que las organizaciones
implantan se establecen en aras de reducir, mitigar o evitar las causas que generan los riesgos.
De manera obvia, existen riesgos más fáciles de controlar y otros (sobre todo los externos) más
difícil tanto de predecir como de poder incidir sobre ellos.
Página 2 / 31
3 Clasificación de los riesgos
No existe una clasificación única y universal de los riesgos. Depende de la bibliografía consultada
se pueden encontrar varias clasificaciones y diferentes maneras de englobar los riesgos. De las
fuentes consultadas para la elaboración del presente temario junto con las clasificaciones que
comúnmente aceptan los principales asesores externos de Risk Management, dividiremos los
riesgos en: estratégicos, financieros, de mercado y operativos.
Cada uno de los 4 riesgos no deben ser tratados de manera aislada. Por lo general, un riesgo
puede conllevar el desarrollo de otro tipo de riesgo. Además, un riesgo estratégico tendrá un
impacto tanto a nivel financiero, de mercado como operativo.
El gráfico que presentado a continuación, muestra la interrelación entre los 4 tipos de riesgos:
En los siguientes apartados se definen y analizan de manera individual los citados riesgos.
Página 3 / 31
3.1 Riesgos estratégicos
Los riesgos estratégicos los definiremos como aquellos que afectan o pueden tener un impacto de
manera transversal en toda la organización, ello es, como se mencionaba previamente, pudiendo
originar otro tipo de riesgos.
Estos riesgos están relacionados con los conceptos básicos e iniciales de una organización. Es
decir hacen referencia a los conceptos de misión, visión, valores, objetivos, diferenciación
estratégica…
Los riesgos estratégicos deben ser considerados y calibrados desde el inicio ya que de estos
dependerá, la estrategia empresarial.
Ejemplo: una compañía detecta una oportunidad de mercado en el sector textil. A pesar de ser una
buena oportunidad, se trata de un mercado maduro, con diferentes competidores. La compañía
debe marcar claramente su estrategia para hacerse hueco en el mercado. Un posible riesgo
estratégico es la elección de la diferenciación, es decir, debe la compañía ser competitiva en
precio o por el contrario diferenciarse por la calidad de sus productos? Opte por cualquiera de las
opciones, estaremos delante de un riesgo estratégico.
Página 4 / 31
3.2 Riesgos financieros
Riesgo de mercado: hace referencia a los riesgos asociados con la situación de los
mercados (ya sean financieros o no) y que pueden tener un impacto en los resultados
financieros o en nuestra estructura de pasivo.
Riesgo de liquidez: estrechamente ligado al riesgo de la compañía a tener los recursos
suficientes para hacer frente a sus pagos ordinarios y financieros.
Riesgo de crédito: se define como la probabilidad de sufrir pérdidas en el caso que los
deudores con los que la compañía tiene contraídas operaciones (comerciales,
financieras…) no puedan satisfacer sus obligaciones de pago. Los riesgos de créditos no
solamente tienen que ser por créditos o periodos medios de pago sino que también existe
riesgo de crédito en garantías, avales, etc.
La siguiente tabla muestra los riesgos financieros más comunes en las organizaciones para cada
subgrupo:
Página 5 / 31
Página 6 / 31
3.3 Riesgos de mercado
Los riesgos de mercado se relacionan o motivan a raíz de aspectos que, por lo general, son
exógenos a la compañía, es decir, son aquellos riesgos que tienen su naturaleza fuera de la
compañía pero que impactan en la compañía. Podemos clasificar los riesgos en dos sub
apartados:
Riesgo país/zona geográfica: son aquellos que no afectarán a un único sector sino que
afectan a toda la economía o un segmento de ésta. Las compañías reciben las
consecuencias de operar o tener la sede en un determinado país.
Página 7 / 31
3.4 Riesgos operativos
Son los relativos a la cadena de valor de la compañía, es decir, sus procesos, gestión de la venta
y entrega del producto. Dichos riesgos deber ser analizados de manera individual (cada proceso
como un ente único) y de manera conjunta (riesgos en una etapa que pueden poner en jaque toda
la cadena de valor).
Los riesgos operativos pueden ser diversos y muy diferentes según el tipo de la compañía y el
mercado operativo. Es decir, los riesgos operativos serán muy distinto en una compañía industrial
versus una empresa de servicios.
Página 8 / 31
4 La gestión del riesgo
Hasta el momento hemos establecido un marco en el que se ha definido qué debemos entender
por riesgos, cuáles son los más comunes y como se pueden clasificar. Hemos visto que no existe
organización sin riesgos ya que estos son inherentes tanto al mercado como a la propia compañía.
Si damos por buena esta premisa, “siempre hay riesgos”, debemos ser capaces de gestionarlos,
ello es conocer los riesgos y mitigar los posibles efectos negativos.
La gestión del riesgo se define como el proceso de identificar, analizar y cuantificar las
probabilidades de efectos negativos de los elementos (riesgos) que se interrelacionan en una
compañía, así como de las acciones preventivas, correctivas y reductivas correspondientes que
deben emprenderse para cada elemento (riesgo).
En este sentido, se trata de poder disponer de una herramienta o método que de manera lógica,
sistemática y ordenada permita identificar, analizar, evaluar y comunicar los riesgos asociados a la
compañía con el objetivo de establecer pautas y planes de contingencia que permitan a la
organización minimizar pérdidas o adelantarse a nuestros competidores.
Es muy importante entender que la gestión del riesgo responde a futuro. Es decir, no es una
herramienta cuyo objetivo sea el de explicar sucesos negativos del pasado sino más bien todo lo
contrario, anticiparse a consecuencias futuras en base a unos riesgos actuales y establecer pautas
para que errores del pasado no se vuelvan a producir.
Página 9 / 31
5 Evolución de la gestión del riesgo
El concepto de la gestión del riesgo es relativamente novedoso. Apenas hace 30-40 años la
gestión del riesgo se asociaba a las aseguradoras y se articulaba a través de las pólizas de
seguro. Es probablemente a raíz del caso Enron, en el que a través de una contabilidad
fraudulenta se ocultaban pérdidas millonarias, la gestión del riesgo emergió en el panorama de las
organizaciones siendo un elemento clave.
Los inversores ya no depositaban su capital a merced de las decisiones de una Junta Directiva
sino que exigían mayores controles para velar por sus inversiones. Es decir, exigían una gestión
del riesgo global que no dependiese únicamente de la Junta Directiva sino que fuese controlado
en todos los niveles de la organización.
Es a partir del inicio de la década de los 2000 donde se pone de relieve este fenómeno. Las
organizaciones empiezan a contratar los servicios externos de especialistas en gestión de riesgo
para implementar en su compañía modelos de análisis y planes de soluciones en caso de
producirse un riesgo. Actualmente, existen ISO en relación a la gestión del riesgo. Del mismo
modo, existen en el mercado grandes compañías que se dedican exclusivamente a la
implementación de la gestión del riesgo.
¿La gestión del riesgo es obligatoria? Lamentablemente, aunque la historia ha demostrado que
debería serlo, o por lo menos unos controles mínimos, los hechos demuestran que existen
compañías, incluso algunas de ellas cotizadas, en las que la gestión del riesgo era inexistente o
bien fallaron los controles.
Los casos más recientes y notorios a nivel de medios en España han sido Gowex, Forum Filatelico
o Bankia. Todas ellas grandes compañías en las que la gestión del riesgo no fue útil para detectar
los casos de fraude y que provocaron pérdidas millonarias de los inversores. La pregunta es si se
podrían haber evitado estos casos con una buena política de gestión del riesgo. Pero, tal vez, la
pregunta clave sería otra… ¿y si estas compañías no hubieran tenido un sistema de gestión de
riesgos y de control interno, conoceríamos actualmente estos casos de fraude?
A pesar de la corta historia de la gestión del riesgo, este concepto ha ido variando a lo largo del
tiempo. Podemos hablar de un enfoque tradicional vs un enfoque moderno en que las diferencias
son notables. La siguiente tabla pone de relieve la diferente concepción de enfoques:
Página 10 / 31
Página 11 / 31
6 Principios de la gestión de riesgos
A lo largo del temario se han ya identificado algunas de las claves de éxito en los sistemas de
gestión de riesgo. Existen 3 principios básicos que deben aplicarse en todo sistema de gestión de
riesgos. Estos son:
Página 12 / 31
7 Binomio riesgos - controles
En los apartados anteriores hemos sido capaces de ver la importancia que tienen para las
organizaciones la gestión de riesgos y establecer controles para poder reducir incertidumbres y
evitar efectos negativos.
Ello no significa que las organizaciones deban tener una lista interminable de riesgos y que para
todos los riesgos se deban establecer una infinidad de controles. No se debe olvidar que cualquier
sistema de gestión de riesgo implica una dotación de recursos tanto de tiempo como económico.
Es importante establecer un binomio compensado de riesgos y controles para poder lograr los
objetivos estratégicos. Si este binomio está equilibrado, de manera muy probable los riesgos serán
minimizados. Por el contrario, un binomio descompensado representará:
Página 13 / 31
8 Beneficios de una óptima gestión de riesgos
El principal de ellos es que todo sistema de gestión de riesgos depende del juicio humano y su
evaluación y, por tanto, está sujeto a errores. Del mismo modo, la mitigación de los riesgos
conlleva unos costes que algunas empresas no pueden asumir; con lo que prefieren hacerse
cargo del riesgo sin establecer un plan de mitigación. Ello es peligroso, y debe calibrarse muy bien
el riesgo que está soportando la organización y su probabilidad de ocurrencia.
Los beneficios de una óptima gestión de riesgos son los que se detallan en la siguiente tabla:
Para la obtención de los beneficios descritos en la tabla anterior, las organizaciones pueden
implementar un sistema de gestión de riesgos desde 3 ópticas diferentes:
Página 14 / 31
9 El proceso de gestión de riesgos
Visto hasta el momento el marco teórico, centrémonos en los dos siguientes apartados en la
aplicación práctica en las organizaciones de los sistemas de gestión de riesgos. Para ello, en este
capítulo se analizará el proceso de gestión de riesgos y se detallarán sus fases. En el siguiente
apartado se explicará de manera práctica la aplicación de un sistema de gestión de riesgos.
Todo este proceso debe estar monitorizado por el departamento de control interno o bien el comité
de auditoría. Además a nivel transversal, la comunicación será un elemento clave presente en
todas las fases. Por comunicación debemos entender, a nivel interno (entre los diferentes
departamentos y conocer los riesgos en cada etapa) y comunicación externa (con todos los
stakeholders o grupos de interés) de la compañía a los que pueda conferir la gestión de riesgos.
Página 15 / 31
Página 16 / 31
9.1 Objetivos estratégicos de la organización
Si la compañía no tiene claros cuáles son los objetivos estratégicos nos encontraremos con un
mapa de riesgos y controles excesivos que comportará los problemas que ya se han analizado
anteriormente. La gestión de riesgos pivotará en base a los objetivos estratégicos.
Del mismo modo, y antes de iniciar el estudio de riesgos, se deberá establecer la política de
riesgos de la empresa, su nivel de riesgo asumible y se establecerán responsabilidades en la
gestión de riesgos. Será necesario también decidir cuál es el objetivo que se persigue con la
implantación del sistema de riesgos y destinar, para ello, los recursos necesarios para la exitosa
consecución.
Página 17 / 31
9.2 Estudio de riesgos
Esta fase se postula como crítica dentro de la gestión de riesgos y de ella dependerá la exitosa
implementación y la utilidad. El estudio de riesgos se realizará en base a los objetivos y el enfoque
que la dirección de la compañía o el Consejo de Administración haya definido previamente. La
fase de estudio de riesgos se divide en sub etapas que se analizan a continuación:
Identificación de riesgos
Es aconsejable que la identificación de riesgos, en una primera fase, se realice de forma interna,
con equipos y trabajadores de la compañía. Tras ello, se aconseja, en la medida que los recursos
lo permitan, la contratación de asesores externos que aporten una visión “menos viciada” para
completar la identificación de riesgos.
Identificados los riesgos, la siguiente etapa consiste en su descripción; ello es, mostrar los riesgos
de forma estructurada. El uso de una estructura bien diseñada de descripción es necesario para
asegurar un proceso minucioso de descripción de riesgos y la posterior evaluación de los mismos.
Algunos de los parámetros que deben contener las tablas de descripción de los riesgos son:
nombre del riesgo, alcance del riesgo, tipo de riesgo, interesados, importancia del riesgo.
Es necesario completar las fases anteriores, con la comparación de los riesgos detectados con el
criterio de riesgo establecido por la compañía. Los criterios de riesgos pueden incluir costes y
beneficios asociados, requisitos legales, etc. Es decir, se usa la evaluación de los riesgos para
tomar decisiones acerca de la importancia de los riesgos detectados.
Página 18 / 31
9.3 Informe de riesgos
Página 19 / 31
9.4 Decisión
Para cada uno de los riesgos se decidirá y se comunicará el nivel de aversión al mismo y los
planes de reacción sobre ellos. Se establecerán, por tanto, pautas de actuaciones, responsables
del seguimiento y los correspondientes reports con una fijada periodicidad. Si bien el órgano
máximo de decisión en una compañía es el Consejo de Administración, las decisiones deberán ser
comunicadas a los responsables o actores implicados en cada riesgo con la intención de seguir las
indicaciones establecidas por la dirección.
El nivel de tolerancia al riesgo deber ser establecido con la mayor precisión posible y cuantificable
en la mayor medida. Decisiones tomadas en variables cualitativas no cuantificables pueden
suponer subjetividad a la hora de establecer planes de mitigación o tolerancias diferentes entre
varios miembros de la organización. En todo caso, las decisiones tomadas deberán ser revisadas
con cierta periodicidad y adaptadas al nivel de riesgo en cada situación de la compañía.
Página 20 / 31
9.5 Informe de riesgos residuales
El riesgo residual es aquel que queda después de la respuesta dada al riesgo. Las respuestas al
riesgo pueden ser de varios tipos: prevención (no realizar actividades que muestren un riesgo
excesivo), reducción (reducir la probabilidad de que un riesgo se produzca), reparto (transferir
parte del riesgo a otra entidad, por ejemplo a una entidad aseguradora) o aceptación (conocido el
riesgo, se tolera).
De este modo, entenderemos el riesgo residual como aquél que sigue permaneciendo una vez se
ha tomado la decisión del riesgo. Estos riesgos a veces tienden a no darle la importancia que
requiere puesto que como que ya ha habido una respuesta al riesgo se entiende que el riesgo está
controlado, y evidentemente ello no es cierto. Dar respuesta a un riesgo no significa que el riesgo
esté bajo control ni que la compañía deba despreocuparse. Es lo que se conoce como la gestión
de riesgos residuales.
Es importante elaborar, tras la toma de decisiones un informe de los riesgos residuales para
conocer el nivel de riesgo que implícitamente se está aceptando, y muy seguramente, controlando
de manera menos exhaustiva que los riesgos identificados en las fases iniciales.
Página 21 / 31
9.6 Supervisión
Para ello, es necesario revisar de manera continua el análisis de riesgos y las respuestas dadas a
éstos. Se deberá hacer una supervisión en doble sentido:
Página 22 / 31
10 El rol de la auditoría interna
Hay que destacar que los responsables de la gestión del riesgo es la organización con el poder de
decisión que recae sobre el máximo organismo, es decir, el Consejo de Administración. En este
sentido, el comité de auditoría interna es una medida más para proteger los intereses de la
compañía y asegurar el cumplimiento de las pautas de actuación frente los riesgos.
El siguiente cuadro muestra los roles de la auditoría interna y aquellos que no pertenecen a su
ámbito de actuación:
Página 23 / 31
Página 24 / 31
11 Aplicación práctica: La matriz de riesgos
11.1 Definición
11.2 Beneficios de la matriz de riesgos
11.3 Pasos para la elaboración de la matriz de riesgos
11.4 Ejemplo práctico
Página 25 / 31
11.1 Definición
La matriz de riesgos es la herramienta típica usada en los sistemas de gestión de riesgos que
permite evaluar los riesgos desde el más importante hasta el de menor relevancia, permitiendo por
medio de esta ponderación establecer las medidas correctivas a implementar o tomar la decisión
aceptar el nivel de riesgo.
Página 26 / 31
11.2 Beneficios de la matriz de riesgos
Página 27 / 31
11.3 Pasos para la elaboración de la matriz de riesgos
Deberemos clasificar cada riesgo detectado según la probabilidad que suceda el riesgo y según el
impacto que puede tener (magnitud). De este modo, podemos clasificar el riesgo según la
siguiente tabla:
El siguiente paso será clasificar el riesgo en base a una matriz de doble entrada y asignarle un
valor y un color:
Página 28 / 31
Si el riesgo se sitúa en los cuadros rojos, significará que se requiere de una atención urgente,
mientras que si se sitúa en un color verde, probablemente la compañía sea capaz de actuar
asumiendo el riesgo.
Clasificados todos los riesgos en función del objetivo a conseguir, los siguientes pasos serán:
Página 29 / 31
11.4 Ejemplo práctico
A continuación vamos a realizar una matriz de riesgo para una compañía de perfumes que vende
sus productos en internet y en tiendas físicas. En la última sesión de Consejo de Administración ha
decidido potenciar el canal de venta de internet fijando como objetivo estratégico incrementar las
ventas en el canal internet un 5% sin verse afectadas las ventas totales de la compañía.
Uno de los posibles riesgos podría ser que al potenciar el canal de internet se destinen menos
recursos a las tiendas físicas y el incremento de ventas por internet se traduzca en una caída
mayor de las ventas en tiendas físicas. Veamos una posible matriz de riesgos:
Controles: para establecer las campañas de promoción se realizará un estudio de los costes
asociados al canal de ventas en las tiendas con la intención de reducir costes fijos y destinar estos
ahorros a la promoción de los perfumes con más margen.
Página 30 / 31
12 Conclusiones
El riesgo es inherente en nuestras vidas, así como en el día a día de las compañías. Un buen
sistema de gestión de riesgos no asegura el éxito de las organizaciones pero sí que facilita el
anticiparse a posibles cambios y a transformar un riesgo en una oportunidad que conlleve al éxito.
A modo de conclusión nos gustaría destacar las siguientes claves de éxito y bases de la gestión
de riesgos en las empresas:
La gestión de riesgos no es una opción sino que debería ser una necesidad. Muchas
compañías hubieran tenido un porvenir mucho más exitoso si hubieran dispuesto de un
buen sistema de gestión de riesgos. En contextos volátiles, con grandes cambios y en un
panorama internacional, disponer de un sistema de gestión de riesgos integrado en la
compañía permite anticiparse a los cambios y adaptarse a ellos.
La gestión de riesgos es un proceso que requiere e implica a toda la organización y que no
es competencia única de los altos órganos de dirección de las organizaciones. Sin un
cambio de cultura y una cooperación los sistemas de gestión de riesgo tenderán a
fracasar.
Cualquier sistema de riesgos es infinito y debe estar constantemente en evaluación. Tan
importante es la fase previa de análisis como la comunicación o la supervisión de los
controles establecidos.
Implementar un sistema de gestión de riesgos requiere de una dotación de recursos sobre
todo tiempo y formación a los empleados. Destinar los recursos necesarios en etapas
previas ayudará a que toda la organización esté alineada con el sistema y no se vea como
una forma de intrusismo sino como una oportunidad de mejora.
La auditoría interna debe ser vista y tratada como un órgano independiente y con un juicio
objetivo sobre los riesgos de la compañía. En este sentido, el auditor interno no es el único
responsable de que los sistemas de gestión de riesgo funcionen y den resultados.
La matriz de riesgos es una forma útil y la más usada por las compañías para analizar y
evaluar los riesgos y establecer los correspondientes planes de seguimiento y controles.
Página 31 / 31
Powered by TCPDF (www.tcpdf.org)