ENCUENTRO NACIONAL DE PROFESORES DE

CONTADURÍA PÚBLICA 2009

Marzo 19, 20 y 21 de 2009

DOCUMENTO No 5

MESA:

CONTROL, AUDITORÍA Y ASEGURAMIENTO

TÍTULO:
RISICAR MÉTODO PARA ADMINISTRAR RIESGOS EMPRESARIALES

INSTITUCIÓN: UNIVERSIDAD EAFIT MEDELLIN

AUTOR(ES): Rubí Consuelo Mejía Quijano

Profesor Titular
Departamento de Contaduría Pública
Universidad EAFIT
 RISICAR1
MÉTODO PARA ADMINISTRAR RIESGOS EMPRESARIALES

INTRODUCCIÓN
La empresa moderna se enfrenta constantemente con la posibilidad de ocurrencia
de innumerables riesgos, que pueden ocasionarle desde pérdidas económicas
hasta deterioro de la imagen. La administración de riesgos requiere, por tanto, de
la elaboración de análisis estructurados en los que se apoyen los responsables del
manejo de los riesgos, que contengan información confiable para fundamentar sus
decisiones.
El objetivo de esta ponencia es ilustrar las características y beneficios del método
Risicar y presentar las etapas y las herramientas que proporciona para mejorar la
administración de los riesgos. Con ello se brinda, tanto a la comunidad académica
como al medio empresarial, un apoyo metodológico útil, de fácil entendimiento y
aplicabilidad.
Hasta le fecha se han desarrollado métodos de administración de riesgos con
enfoques específicos para determinados sectores o áreas de conocimiento. Por lo
anterior, es pertinente el diseño de un método con un enfoque integral, orientado
hacia todos los tipos de riesgo a los que puede verse expuesta una organización.
Este es el propósito del método Risicar, ya que discrimina las etapas y
herramientas para administrar los riesgos internos y externos que pueden afectar
a las empresas contemporáneas.

1. ANTECEDENTES DE LA ADMINISTRACIÓN DE RIESGOS

Tanto riesgos como formas de administrarlos han existido desde el inicio de la
humanidad. Los primeros antrópidos tuvieron que enfrentar una gran variedad de

1
El método Risicar fue diseñado académicamente para contribuir al manejo del riesgo empresarial.
Fue probado en 21 entidades colombianas del sector público, como parte del diseño del Modelo de
Control Interno para Entidades del Estado, auspiciado por la Agencia de los Estados Unidos para el
desarrollo Internacional (Usaid), operado por la firma Casals & Associates Inc. y desarrollado
académicamente por la Universidad EAFIT(2004). Este método incorpora varias modificaciones al
modelo inicial propuesto para las entidades del Estado (incluido su nombre), como resultado de su
aplicación y ajuste en diferentes empresas, y al desarrollo académico logrado en el marco de la
práctica pedagógica de la Administración de riesgos en la carrera de Contaduría Pública, y en las
especializaciones de Control Organizacional, Auditoría de Sistemas y Administración de riesgos y
seguros, de la Universidad EAFIT. Recientemente se desarrolló el software Risicar que soporta la
aplicación del método.

2
obstáculos para sobrevivir a las condiciones del entorno, con lo cual comenzaron a
aplicar técnicas rudimentarias para enfrentar los riesgos que corrían diariamente.
Los antiguos griegos pensaban que el futuro estaba sujeto a la voluntad de los
dioses, por lo que buscaban la manera de predecirlo con el fin de encontrar la
mejor forma de afrontarlo. Un ejemplo de ello eran las consultas al Oráculo de
Delfos, donde, según la tradición, el mismo Apolo hablaba a quienes lo
consultaban (Petsas, 1989, p. 11). Posteriormente, el desarrollo matemático y en
especial los avances con el concepto de probabilidad, contribuyeron a mejorar los
estudios para predecir la ocurrencia de los riesgos.
En la medida que evolucionó la civilización se transformaron también los riesgos y
se incrementó la necesidad de encontrar alternativas para prevenirlos o para cubrir
las pérdidas que ocasionaban. En la alta Edad Media se empezó a disponer de
opciones como los seguros marítimos, otorgados por bancos para proteger la
carga y el medio de transporte. Posteriormente con los cálculos de la esperanza
de vida se empezaron a ofrecer los seguros a las personas (Bernstein, 1996); con
la industrialización creció la responsabilidad por la salud de obreros y empleados,
a la par que se desarrollaron nuevos instrumentos financieros, como los derivados
(opciones, futuros, etc.) para proteger las inversiones ante cambios inesperados
en el mercado.
En diferentes campos se diseñaron métodos para tratar los riesgos, y disciplinas
que en escasas ocasiones tuvieron intereses comunes (control, seguros, salud
ocupacional, finanzas, seguridad integral, informática, etc.) encontraron temas,
preocupaciones y soluciones conjuntas al manejo de los riesgos. Por lo anterior,
surge la necesidad de analizar las amenazas que puede enfrentar cualquier tipo
de empresa, ya no de forma aislada ni con una orientación específica, sino en
forma integral: objetivo que busca la contemporánea Administración de Riesgos.

2. EL RIESGO EMPRESARIAL Y SU ADMINISTRACIÓN

En el desarrollo normal de las actividades de cualquier tipo de empresa, se
pueden presentar eventos negativos originados en su entorno (político,
económico, social, cultural, ambiental, tecnológico), relacionados con la ubicación
geográfica, la región donde opera y a la industria a la cual pertenece, que pueden
ocasionar pérdidas materiales o inmateriales y disminuir la capacidad para
alcanzar sus propósitos. Este tipo de eventos es denominado riesgo, y en el
ámbito empresarial requiere de su reconocimiento y evaluación para facilitar su
manejo.
Reconocer o identificar un riesgo algunas veces es tarea fácil, dadas las
condiciones en las cuales opera la empresa, pero en ocasiones se torna difícil por
lo impredecible de los sucesos y el amplio espectro de actores que pueden
intervenir y generarlos. Si un riesgo no se identifica, implícitamente se asume; esto
convierte la identificación en la más importante de las etapas de la Administración
de riesgos.

3
Identificados los riesgos, es preciso calificar qué tan graves pueden ser para la
empresa y qué tan probable es su ocurrencia. Con esta calificación se evalúan
para determinar las medidas que contribuyan a su tratamiento, con el fin de
implementarlas y determinar posteriormente su utilidad. Existen diferentes
métodos para llevar a cabo las anteriores etapas de la Administración de riesgos,
además se han emitido diferentes normas a nivel nacional e internacional 2. El
objetivo del Método Risicar es facilitar la administración del riesgo empresarial,
cumpliendo con los estándares que rigen el tema.

3. MÉTODO RISICAR
Este método debe su nombre a las raíces italianas de la palabra riesgo. Fue
diseñado en el ámbito académico y su aplicación en entidades estatales
colombianas permitió su ajuste y desarrollo. El método Risicar facilita la
identificación, calificación y evaluación de todo tipo de riesgo empresarial, y su
aplicación se extiende a compañías de diferentes tamaños, sectores e industrias,
proporcionando la oportunidad de implementar medidas para tratar los riesgos
evaluados.

3. 1. Beneficios
Contar con un método estructurado y probado para administrar los riesgos, brinda
beneficios desde el punto de vista metodológico, porque garantiza la efectividad
en su aplicación, y práctico, porque evita que las empresas se embarquen en
proyectos que pueden fallar en su enfoque o no dar los resultados esperados al
diseñar su propio método.
El método Risicar tiene, entre otros, los siguientes beneficios:
 Incluye todas las etapas básicas para la Administración de riesgos
 Garantiza la administración integral de los riesgos
 Se basa en el enfoque de operación por procesos, por lo cual propicia
interacción y coordinación con los sistemas de calidad
 Su desarrollo es estructurado y coherente
 Es de fácil aplicación en cualquier tipo de empresa
 Promueve el compromiso de todos los niveles jerárquicos de la
organización con la Administración de riesgos
 Propicia la definición de criterios para la toma de decisiones en el manejo
de los riesgos
 Genera conocimiento y aprendizaje organizacional
 Permite la utilización eficiente de los recursos económicos en el tratamiento
de los riesgos
 Favorece el autocontrol y el mejoramiento continuo.

2
Para mayor información se recomienda consultar el modelo de Control Coso(1992), ERM
Framework (2003) y la Norma técnica colombiana NTC 5254, entre otras.

4
3.2 Etapas
El método Risicar desarrolla las diferentes etapas de la Administración de riesgos,
tal como se presenta en la Gráfica 1.

Gráfica 1. Etapas del método Risicar

3.2.1. Identificación
La identificación de riesgos responde a las siguientes preguntas, referentes a los
eventos posibles que pueden afectar negativamente a una compañía:

¿Qué puede suceder?

¿Cómo puede suceder?
¿Quién puede generar el riesgo?
¿Cuál es la razón por la cual se puede presentar el riesgo?
¿Cómo se afecta la empresa con la materialización del riesgo?

Cada una de estas preguntas lleva a establecer los elementos claves en la

identificación del riesgo (Riesgo, Descripción, Agente generador, Causa y Efecto).
Con esta información se logra claridad sobre el evento analizado y se facilitan la
posterior calificación, evaluación y diseño de medidas de tratamiento.

En el Cuadro 1 se presenta un ejemplo de identificación de riesgos en el proceso

de compras de una empresa de confecciones.

5
 Proceso: Compras

Objetivo: adquirir los bienes y servicios requeridos por la compañía, cumplir con las
especificaciones solicitadas y los requisitos de calidad, oportunidad y buen precio.
Agente
Riesgo Descripción Generad Causa Efecto
or
Falta de experiencia
Desaciert Posibilidad de tomar Comprad Ausencia de políticas de Pérdida
o y/o decisiones or compras económica
error incorrectas en el Perfil inadecuado del cargo Deterioro
proceso de compras Falta de capacitación de la
o en la definición de imagen
las necesidades, o Comité Carencia de políticas y
en los parámetros de de procedimientos de compras
evaluación o en las compras
condiciones de
compra
Falta de planeación
Demora Posibilidad de Comprad Carencia de políticas y Pérdida
retrasos en la or procedimientos de compras económica
adquisición de bienes Desinterés en presentar Deterioro
y servicios cotización por demora en el de imagen
Proveed pago Interrupción
or Falta de condiciones de del servicio
obligatoriedad en el contrato
Error en el proceso de selección
Falta de claridad en la solicitud Pérdida
Incumpli- Posibilidad de no Comprad Negligencia económica
miento cumplir con los or Deterioro
requisitos de calidad Falta de claridad en la solicitud de imagen
y oportunidad en la Proveed Falta de condiciones de Interrupción
adquisición de los or obligatoriedad en el contrato del servicio
bienes y servicios
Falta de perfil adecuado para el
cargo
Fallas en el proceso de
Comprad selección
Posibilidad de que se or Deficiencias o carencia de
Fraude cometa engaño en políticas y procedimientos de Pérdida
los procedimientos compras económica
de compras, en Falta de evaluación del Deterioro
perjuicio de los cumplimiento de las políticas y de imagen
intereses de la procedimientos de compras

6
 empresa Deficiencias o carencia de
Comité políticas y procedimientos de
de compras
compras Falta de evaluación del
cumplimiento de las políticas y
procedimientos de compras
Carencia de políticas y
Proveed procedimientos de compras
or Falta de experiencia y/o
desconocimiento del negociador
sobre el producto o servicio a
contratar
Falta de evaluación del
cumplimiento de las políticas y
procedimientos, y condiciones
de compras
Cuadro 1. Ejemplo identificación de riesgos

Normalmente, en la etapa de identificación suelen cometerse los siguientes

errores, que con el uso del método Risicar se disminuyen:
 Confundir el Riesgo con la Causa
 Confundir el Riesgo con el Efecto
 Confundir la Causa y el Efecto
 Confundir el Riesgo con la Descripción
 Confundir el Riesgo con el Agente Generador.
Cuando se dan tales confusiones se hace difícil elaborar una lista de riesgos
acertada, que propicie objetividad en su calificación y que permita diseñar las
políticas o los controles necesarios para administrar los riesgos identificados.
Una clave importante para realizar la identificación de riesgos en forma precisa, es
partir del objetivo del proceso, proyecto, actividad, programa, etc., sobre el cual se
realiza la identificación, con lo que se excluye cualquier tipo de riesgo que no
tenga relación directa con el objetivo propuesto.

3.2.2. Calificación
Para calificar el riesgo con el método Risicar, se toman dos variables relacionadas
con él, la frecuencia y el impacto, y se obtiene el producto de ellas. La Frecuencia
del riesgo hace referencia al número de veces que éste podría presentarse en un
período de tiempo, dadas las condiciones de operación de la empresa, y el
Impacto se relaciona con las consecuencias que su ocurrencia pudiera ocasionarle
a la empresa.
Para calificar la frecuencia se propone usar una tabla de cuatro niveles (Baja,
Media, Alta y Muy Alta), cuyo significado depende del tipo de empresa, edad y

7
 operaciones que realiza. Para el impacto, la tabla también consta de cuatro niveles
(Leve, Moderado, Severo y Catastrófico), pero su significado puede variar de
acuerdo con los criterios escogidos por la compañía para expresar la gravedad del
mismo (términos económicos, operacionales, de imagen, de cumplimiento de
objetivos, etc.).
Para cada nivel, tanto de la frecuencia como del impacto, se asigna un valor que
corresponde a su calificación. En este método se le da más peso a la escala de
impacto que a la de frecuencia, dado el nivel de afectación que éste tiene sobre el
funcionamiento de la empresa. En los cuadros 2 y 3 se presenta un ejemplo de los
dos tipos de tablas, aplicadas a una compañía manufacturera de tamaño mediano.

CALIFICACIÓN DE LA FRECUENCIA
VALOR FRECUENCIA DESCRIPCIÓN
1 Baja Una vez en más de un año
2 Media Entre 1 y 12 veces al año

3 Alta Entre 13 y 23 veces al año

4 Muy Alta Más de 24 veces al año

Cuadro 2. Ejemplo de tabla de calificación de Frecuencia

CALIFICACIÓN DEL IMPACTO

DESCRIPCIÓN DESCRIPCIÓN DESCRIPCIÓN
VALOR IMPACTO (En términos (En términos (En términos de
económicos) operacionales) mercado)
5 Leve Pérdidas hasta Si se interrumpe la Si se pierde hasta el
$10.000.000 operación hasta en 0.5% del mercado
4 horas
10 Moderado Pérdidas entre Si se interrumpe la Si se pierde entre el
$10.000.001 y operación entre 5 0.6% y el 5% del
$50.000.000 horas y 23 horas mercado
20 Severo Pérdidas entre Si se interrumpe la Si se pierde entre el
$50.000.001 y operación entre 1 6% y el 14% del
8
 $150.000.000 día y una semana mercado
40 Catastrófico Pérdidas mayores Si se interrumpe la Si se pierde más del
a $150.000.000 operación más de 15% del mercado
una semana
Cuadro 3. Ejemplo de tabla de calificación de Impacto

3.2.3. Evaluación
Calificados los riesgos, se evalúan como Aceptables, Tolerables, Graves o
Inaceptables, de acuerdo con el valor asignado a su frecuencia e impacto, según
las tablas establecidas. En el Cuadro 4 se presentan los criterios de evaluación
correspondientes a los valores obtenidos en la calificación.

Calificación del riesgo Evaluación

5 Aceptable
10, 15, 20 Tolerable
30, 40, 60 Grave
80, 120, 160 Inaceptable
Cuadro 4. Evaluación de los riesgos

3.2.4. Medidas de tratamiento

Las medidas utilizadas para tratar los riesgos son: aceptar, evitar, prevenir,
proteger, retener y transferir. Cada una de ellas tiene características diferentes y
su aplicación se hace de acuerdo con la evaluación de los riesgos.
 Aceptar
Un riesgo se acepta por considerarse sin importancia, es decir, por no requerir la
aplicación de medidas para disminuir su probabilidad de ocurrencia, la cual es
baja, y considerar que sus efectos son mínimos para la compañía.
 Evitar
Sólo se evita un riesgo cuando la actividad que lo genera se elimina. Esta medida
se usa en los casos en los cuales existe una alta probabilidad de ocurrencia, a la
vez que sus efectos son catastróficos para la empresa.
 Prevenir
Cuando se habla de prevenir se piensa en anticiparse a los hechos negativos para
disminuir la posibilidad de que ocurran. Normalmente este tipo de medidas es el
más utilizado y a su vez el más efectivo por el momento en que actúa. Ejemplos
de tales medidas son: entrenamiento del personal, pruebas de seguridad,
diversificación de inversiones, segregación de funciones, medicina preventiva, etc.

9
  Proteger
La protección se da para disminuir o mitigar las consecuencias que pueden
originar los riesgos a las empresas, en caso de su materialización. La protección
debe actuar cuando las medidas de prevención no son suficientes para impedir la
ocurrencia de los riesgos. Como ejemplos de estas medidas se tienen: equipos de
protección personal, planes de emergencia y de contingencia, sistemas
automáticos de protección, como es el caso de los detectores de humo que se
accionan y contribuyen a apagar los incendios.
 Retener
Consiste en asumir el riesgo, acompañada esta decisión de los medios para
afrontar las pérdidas que acarrea. La retención se da a través de la creación de un
fondo disponible para cubrir las pérdidas, o de la inclusión de un gasto
presupuestado, una provisión o la aprobación de una línea de crédito
preestablecida.
 Transferir
Consiste en desplazar parte o la totalidad de las pérdidas que generan los riesgos
a un tercero, dependiendo del tipo de contrato establecido. Esta medida se utiliza
cuando la empresa no tiene capacidad suficiente para cubrir el total de las
pérdidas que generan algunos riesgos y cuando se dispone de la alternativa de
transferencia en el mercado.

3.2.5. Diseño e implementación de medidas de tratamiento

Para definir cuál o cuáles de las medidas de tratamiento son las apropiadas, de
acuerdo con la calificación del riesgo, se utiliza la matriz de respuesta que se
presenta en el Cuadro 5.

Frecuencia Valor
20 40 80 160
Zona de riesgo Zona de riesgo Zona de riesgo Zona de riesgo
Muy Alta 4 Tolerable Grave Inaceptable Inaceptable
Pv, R Pv, Pt, T Pv, Pt, T E, Pv, Pt
15 30 60 120
Zona de riesgo Zona de riesgo Zona de riesgo Zona de riesgo
Alta 3
Tolerable Grave Grave Inaceptable
Pv, R Pv, Pt, T Pv, Pt, T E, Pv, Pt
10 20 40 80
Zona de riesgo Zona de riesgo Zona de riesgo Zona de riesgo
Media 2
Tolerable Tolerable Grave Inaceptable
Pv, R Pv, Pt, R Pv. Pt. T Pv. Pt. T

10
 5
Zona de 10 20 40
Baja 1 Aceptabilidad Zona de riesgo Zona de riesgo Zona de riesgo
A Tolerable Tolerable Grave
Pt, R Pt, T Pt, T
Impacto Leve Moderado Severo Catastrófico
Valor 5 10 20 40

A = Aceptar el riesgo E = Eliminar la actividad T= Transferir el

riesgo
Pt = Proteger la empresa Pv = Prevenir el riesgo R= Retener las
pérdidas

Cuadro 5. Matriz de respuesta ante los riesgos3.

Obsérvese que en dicha Matriz de respuesta ante los riesgos existen cuatro
zonas, demarcadas de acuerdo con la calificación del riesgo (Aceptable, Tolerable,
Grave e Inaceptable), y que en cada celda que contiene la calificación obtenida,
aparecen letras que corresponden a las diferentes medidas de tratamiento
recomendadas.
Cada medida sugerida depende de la calificación. Si ésta tiene un valor de 5
(frecuencia baja -1- e impacto leve -5-) el riesgo se ubica en la zona de
aceptabilidad y no es necesario implementar medidas adicionales, es decir, el
riesgo se puede aceptar. Al contrario, si la calificación es de 160 (frecuencia muy
alta -4- e impacto catastrófico -40) el riesgo se ubica en la Zona de riesgo
inaceptable, para lo cual se sugiere, en primera instancia, eliminar la actividad que
lo genera; si no es viable esta opción, implementar medidas de prevención y
protección.
De la misma manera se analiza cada una de las celdas del Cuadro 5, así se
determinan las medidas apropiadas, dada la calificación de las variables que
componen el riesgo. Normalmente las medidas de prevención se utilizan para
disminuir la frecuencia; las de protección, el impacto; la retención se puede dar
cuando el impacto no es Severo o Catastrófico, casos en los cuales se sugiere
transferir el riesgo.
Las medidas de tratamiento de los riesgos se implementan en dos niveles:
estratégico y operativo. En el primero se definen las políticas de Administración de
riesgos y en el segundo se establecen los controles.
 Políticas de Administración de riesgos
Son directrices o lineamientos generales que emite la alta dirección de una
compañía, con el fin de orientar al personal en la toma de decisiones respecto de
la Administración de riesgos. Éstas se establecen en dos sentidos: uno general y

3
Tomado del libro Administración de riesgos. Un enfoque empresarial. (Mejía, 2006, p. 113).

11
otro específico. Las políticas generales tienen que ver con aspectos de la
administración de riesgos que deben tenerse en cuenta en toda la empresa y las
políticas particulares hacen referencia a lineamientos sobre el manejo de riesgos
estratégicos evaluados como críticos4.
Con la política General se establece, en primera instancia, el compromiso de la
dirección con la Administración de riesgos, el ámbito de aplicación y sus
responsables, y, en segunda instancia, los aspectos técnicos sobre el manejo de
los riesgos, que incluyen la necesidad de identificarlos, calificarlos, evaluarlos y
recomendar las medidas de tratamiento sugeridas por la evaluación. También se
expresa la necesidad de divulgación y actualización periódica de las políticas y de
la evaluación de su cumplimiento.
Las políticas particulares se diseñan como fruto de la identificación, calificación y
evaluación de los riesgos estratégicos de la empresa, es decir, aquellos que
pueden afectar el logro de su Misión, Objetivos y Estrategias. Este análisis se
realiza al nivel de los macroprocesos que conforman la Cadena de valor de la
compañía (Porter, 1987) y requiere de la priorización de los riesgos evaluados y
de los macroprocesos, según su nivel de riesgo.
Para los mayores riesgos de la empresa se definen las políticas particulares,
teniendo en cuenta las causas identificadas y los efectos que pueden acarrearle
por su ocurrencia. Con ellas se pretende disminuir tanto las causas como los
efectos de los riesgos.
 Controles
Un control es cualquier acción establecida para detectar o reducir un riesgo. Los
controles se diseñan en el nivel operativo para reducir los riesgos que pueden
presentarse en las actividades de un proceso.
El número de controles que se implementen debe ser suficiente, es decir ni
muchos ni pocos, para evitar sobrecostos o ineficacia. Los controles deben ser
comprendidos por las personas que deben ejecutarlos, deben ser económicos y
efectivos y su actuación oportuna, para lo cual se diseñan, en su mayoría, como
parte de los procesos.
Con el método Risicar se utilizan cuatro tipos de controles: preventivos, detectivos,
de protección y correctivos. Cada uno de ellos actúa en diferente momento y tiene
un objetivo específico en relación con el riesgo, tal como se muestra en el Cuadro
6.

TIPO DE OBJETIVO APLICACIÓN

CONTROL

4
Si se desea profundizar en este tema se sugiere consultar: Administración integral de riesgos de negocio de
Deloitte & Touche y otros; Gerencia de riesgos y seguros en la empresa, de la Fundación Mapfre y la Norma
Técnica Colombiana NTC 5254 de Icontec.

12
Preventivo Disminuir la probabilidad de Antes de presentarse el riesgo.
ocurrencia de los riesgos Actúa sobre las causas y los agentes
que lo generan
Detectivo Determinar la ocurrencia del Cuando se presenta el riesgo o
riesgo posteriormente. Actúa sobre el riesgo
De Disminuir el impacto que puede Cuando se presenta el riesgo. Actúa
protección generar la ocurrencia del riesgo sobre los efectos
a la empresa
Correctivo Mejorar los controles que fallaron Después de la ocurrencia del riesgo.
para prevenir la nueva Actúa sobre los controles y las
ocurrencia del riesgo o para desviaciones presentadas
corregir las desviaciones
presentadas
Cuadro 6. Tipo de controles y sus características

Para diseñar los controles, se define inicialmente el proceso objeto de análisis y se

conforma un grupo de trabajo con conocimiento y experiencia sobre el mismo.
Este equipo debe ser capacitado en el método Risicar para facilitar su aplicación.
Sobre el proceso analizado se requiere determinar su objetivo y las actividades y
tareas que lo conforman, para iniciar la identificación de los riesgos en cada
actividad, y posteriormente calificarlos y evaluarlos. También se precisa establecer
los controles que tiene la empresa para tratar los riesgos evaluados, con el fin de
tener la información necesaria que permita valorar la pertinencia de proponer
nuevos controles.
Si la evaluación del riesgo establece que es necesario disminuir su frecuencia, se
deben proponer controles preventivos. En el caso contrario, cuando se requiere
disminuir el impacto, se deben implementar controles de protección. Dependiendo
del riesgo, se puede decidir si se diseñan controles detectivos o correctivos en
forma automática.
Los controles propuestos se evalúan antes de implementarlos, para establecer
qué tan efectivos pueden ser. Para ello se analizan dos aspectos: eficacia y
eficiencia. Con la medición de la eficacia se establece qué tanto puede contribuir
el control propuesto en la disminución del riesgo y con la eficiencia se determina la
relación costo beneficio del control; de tal manera que un control se considera
efectivo si contribuye a disminuir el riesgo, con un uso adecuado de los recursos
invertidos en él.

3.2.6. Monitoreo y evaluación

La administración de riesgos es un proceso continuo que no tiene culminación,
debido a que requiere de revisión, ajuste y mejoramiento permanente. Para
realizar el monitoreo del comportamiento de los riesgos y determinar la efectividad
de los controles diseñados para reducirlos, se utilizan los indicadores de riesgo

13
como herramienta de autocontrol. Para evaluar el desarrollo de la Administración
de riesgos en la empresa, y su efectividad, se puede recurrir a la autoevaluación
por parte del personal interno y/o a la evaluación independiente o auditoría
realizada por personal externo.
 Indicadores de riesgo
Son variables de seguimiento que pueden convertirse en señales de alerta sobre
el comportamiento de los riesgos. Con su utilización es posible determinar si los
riesgos se identificaron y evaluaron en forma asertiva, si las medidas de
tratamiento implementadas han sido apropiadas y si se aplican tal como fueron
diseñadas.
Existen dos tipos de indicadores de riesgo básicos: de frecuencia y de impacto.
Con el indicador de frecuencia se mide el número de veces que se presenta el
riesgo en un período de tiempo establecido, con el indicador de impacto se mide la
magnitud de las pérdidas ocasionadas a la empresa por la materialización del
riesgo. Sólo para los riesgos evaluados como Graves e Inaceptables se establece
este tipo de indicadores, por ser ellos los que necesitan un mayor monitoreo y
control.
En el diseño de todo indicador de riesgo se incluyen los siguientes elementos:
nombre del riesgo, nombre del indicador, tipo de indicador, fórmula, meta,
periodicidad, resultado y responsable. Así, se puede diseñar en forma precisa el
indicador, asignar el responsable de la recolección de los datos para su cálculo,
establecer la meta de reducción del riesgo en un período de tiempo y obtener un
resultado, que al compararlo con lo planeado, da cuenta de la efectividad en el
diseño de controles y facilita la definición de planes de mejoramiento o la inclusión
de controles adicionales.
 Autoevaluación de la Administración de riesgos
Autoevaluar significa realizar sobre sí mismo un diagnóstico y para ello es
indispensable establecer parámetros de comparación. En el caso de la
autoevaluación de la administración de riesgos, se analizan sus etapas
(identificación, calificación, evaluación, diseño e implementación de medidas de
tratamiento, monitoreo y evaluación) y se establece su existencia, difusión y
operatividad en la empresa, a través del cumplimiento de unos criterios de
evaluación establecidos.
La objetividad es la clave de la autoevaluación, por lo cual la información que la
soporta debe ser veraz y obtenerse a través de medios confiables, como el
análisis de información documental, las entrevistas, encuestas, talleres, etc. Esta
información la recopila un grupo conformado por representantes de los procesos o
áreas de la empresa, quienes sirven de apoyo al Comité autoevaluador compuesto
por el nivel directivo de la organización.
El resultado de la autoevaluación del proceso de Administración de riesgos
(inadecuado, deficiente, satisfactorio, adecuado), permite diseñar los planes de
mejoramiento conducentes a fortalecer la administración de riesgos en la entidad.
 Evaluación independiente

14
Con ella se obtiene un diagnóstico, por parte de personal externo, sobre la forma
de administrar los riesgos. Esta es una evaluación en la que se determina qué tan
efectivas son las medidas de tratamiento y el grado de desarrollo del proceso de
administración de riesgos. El método utilizado puede ser igual al de la
autoevaluación, pero su valor adicional es que proporciona mayor grado de
objetividad en los resultados, lo cual se logra cuando se tiene una mirada distante
e independiente.
La evaluación independiente normalmente la realiza un auditor, quien emite un
informe que se discute en el nivel directivo y sirve de base para determinar las
acciones de mejora de acuerdo con las debilidades encontradas. También se
complementa con el resultado de la autoevaluación, dando información más
amplia de retroalimentación para el mejoramiento de la Administración de riesgos.

3. 3. Elaboración de mapas de riesgos

Los mapas de riesgos son representaciones gráficas que permiten visualizar los
riesgos en los diferentes niveles de análisis (estratégico y operativo). En ellos se
incluye información sobre los riesgos, los elementos de identificación (riesgo,
descripción, agentes generadores, causas y efectos), la calificación (frecuencia e
impacto), la evaluación (aceptable, tolerable, grave e inaceptable) y las diferentes
medidas de tratamiento propuestas de acuerdo con la evaluación obtenida para el
riesgo (aceptar, prevenir, proteger, transferir, retener, evitar).
En el análisis de riesgos operativos se incluyen, además de los datos anteriores,
los controles que se tienen para manejar los riesgos evaluados en las actividades
del proceso, los controles propuestos, así como la calificación de su efectividad.
En el análisis de riesgos estratégico se adiciona la priorización de riesgos y
macroprocesos.

CONCLUSIONES
El hombre, desde los inicios de la humanidad, afronta los diferentes riesgos a los
cuales se ve expuesto, utilizando diversos medios de predicción y de control. En el
ámbito empresarial diferentes disciplinas han diseñado métodos para contribuir a
este propósito, y en especial el método Risicar, desarrollado y probado
inicialmente en entidades estatales colombianas, brinda bases metodológicas y
herramientas para que cualquier tipo de empresa pueda mejorar la administración
de sus riesgos.
El método comprende las diferentes etapas de la administración de riesgos, tanto
en el nivel estratégico como en el operativo. En él se abarca desde la
identificación de los riesgos, donde se establecen elementos fundamentales como
el nombre del riesgo, la descripción, los agentes generadores, las causas y los
efectos, así como la calificación de su frecuencia e impacto y la evaluación, cuyo
resultado permite establecer los tipos de medidas más apropiadas para su
tratamiento.

15
Adicional al desarrollo de las etapas de administración de riesgos, el método
Risicar propone la elaboración de Mapas de riesgos, herramienta que proporciona
información gráfica y datos organizados para facilitar y mejorar el análisis y control
de los riesgos evaluados.
Entre los beneficios que ofrece la utilización del método Risicar en cualquier clase
de empresa, se destacan: su enfoque integral que abarca todo tipo de riesgo, la
facilidad de aplicación, el compromiso que genera en los responsables del manejo
de los riesgos y la utilidad de los resultados, los cuales ayudan a mejorar la
administración de los riesgos empresariales.

BIBLIOGRAFÍA

Bernstein, Peter (1996) Against the Gods. The remarkable story of risk. Estados
Unidos, John Wiley & Son.
Committe of Sponsoring Organizations of the Treadway Commission (1992)
Internal control-Integrated framework. New York, Coso.
__________ (2003) Enterprise Risk Management Framework. New York. Coso.
Deloitte & Touche y otros (2003) Administración integral de riesgos de negocio.
México, Instituto Mexicano de Ejecutivos de Finanzas.
Fundación Mapfre, (1998), Gerencia de riesgos y seguros en la empresa. Madrid,
Mapfre.
Icontec (2004), Norma Técnica Colombiana NTC 5254, Bogotá, Icontec.
Mejía Rubi Consuelo, (2006), Administración de riesgos. Un enfoque empresarial.
Medellín, Fondo Editorial Universidad EAFIT.
Petsas, Fotis (1989) Delfos. Sus monumentos y sus museos. Atenas, Krini.
Porter, Michael (1987) Ventaja competitiva: creación y sostenimiento de un
desempeño superior. México, Continental.
Usaid-Casals & Associates Inc. - EAFIT (2004) Modelo de Control Interno para
entidades del Estado. Manual de Implekmentación. Bogotá, Usaid-Casals &
Assocciates Inc.
Usaid-Casals & Associates Inc. - EAFIT (2004) Modelo de Control Interno para
entidades del Estado. Marco Conceptual. Bogotá, Usaid-Casals & Assocciates Inc.

16